Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirler

Son zamanlarda özellikle büyük kuruluşların maruz kaldığı veri ihlalleri göz önüne alındığında yetkisiz kişiler tarafından kişisel verilerimize erişim sağlandığını ve bu suretle kötü niyetli kişilerin eline geçtiğini gözlemliyoruz. Zira neredeyse her gün Kişisel Verileri Koruma Kurumu’nun (“Kurum”) web sayfasında bir veri ihlaline ilişkin kamuoyu duyurusu yayınlanıyor. Bir gün 30.000 kişinin kişisel verilerine yetkisiz erişim sağlanıyor, diğer gün 20.000.000 kişinin verileri hukuka aykırı şekilde elde ediliyor.   

Kurum, yakın zamanlarda meydana gelen bu veri ihlal bildirimlerini göz önüne alarak yapmış olduğu değerlendirmede finans, e-ticaret, sosyal medya ve oyun gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularının internet sitelerine giriş için kullanılan kullanıcı hesap bilgilerinin (kullanıcı adı ve parolalar) bazı internet sitelerinde herkese açık şekilde yayınlandığını, söz konusu kullanıcı hesaplarını elde eden üçüncü kişilerce anılan veri sorumlularının internet sitelerine kullanıcıların haberi olmadan aktif bir şekilde giriş yapıldığını ve ilgili kişilere ait verilerin bu kapsamda görüntülenebildiğini tespit etmiştir. Ayrıca veri sorumluları sistemlerinden veya son kullanıcı bilgisayarlarındaki güvenlik açıkları kullanılarak elde edilen kişisel verilerin, hukuka aykırı bir şekilde paylaşıldığı ve ekonomik bir değer karşılığında satışa sunulduğu görülmüş, bununla birlikte bu verilerin elden ele dolaşarak kötü niyetli kişilerce arşivlenerek daha büyük veri setleri halinde yeniden pazarlanabildiği tespit edilmiştir. 

Farklı Kullanıcı Adı, Parola ve İki Kademeli Kimlik Doğrulamanın Önemi

Kurum, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesi çerçevesinde veri sorumluları tarafından alınması gereken teknik ve idari tedbirlere ilişkin hazırlamış olduğu Rehber ile gerçekleşebilecek veri ihlallerinin önüne geçmeyi amaçlamaktadır. Bu tedbirlerin tam anlamıyla uygulanmaması veya hatalı ve eksik uygulanmasından kaynaklı ciddi veri kayıplarının meydana geldiğinin altını çizmekte ve olayların gerçekleşme şekillerine bağlı olarak yayınlamış olduğu duyurusunda özellikle “aynı kullanıcı adı ve parolanın farklı   platformlarda kullanılması, belirli zaman aralıklarında parola değişiminin yapılmaması, iki kademeli kimlik doğrulama vb. giriş yöntemlerinin kullanılmaması” gibi hatalı uygulamaların bu tür ihlallere sebebiyet verdiğini ifade etmektedir. Bu tespitlerden hareketle Kurum, veri sorumluları tarafından aşağıdaki teknik ve idari önlemlerin alınması gerektiğini ilgili veri sorumlularına bir kez daha hatırlatma amacıyla 15.02.2022 tarihinde Kamuoyu Duyurusu yayınlamıştır.  

• Çift kademeli kimlik doğrulama (two-factor authentication) sistemleri kurulmalı ve kullanıcılara üyelik başvurusu aşamasından itibaren alternatif güvenlik önlemi olarak sunulmalıdır.

• Kullanıcıların hesaplarına sık erişim sağlayan cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda, giriş bilgileri e-posta/sms vb. yöntemlerle ilgili kişilerin iletişim adreslerine iletilmelidir.
• Uygulamalar HTTPS (Hypertext Transfer Protocol Secure – Hiper Metin Aktarma Güvenli İletişim Kuralı) ile veya aynı güvenlik seviyesini sağlayacak bir şekilde koruma altına alınmalıdır.
• Kullanıcı parolalarında, siber saldırı yöntemlerine karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmalar kullanılmalıdır.
• IP (Internet Protocol Address) adresinden yapılacak başarısız giriş deneme sayısı sınırlandırılmalıdır.
• İlgili kişilerin en az son 5 adet başarılı ve başarısız giriş denemeleri ile ilgili bilgilerini görüntüleyebilmeleri sağlanmalıdır.

• İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiği hatırlatılmalıdır.
• Şirket içi uygulamalarda parola politikası oluşturulmalı ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesi sağlanmalı veya bu husus ilgili kişilere hatırlatılmalıdır.
• Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olması engellenmeli, kullanıcı hesaplarına girişlerde bilgisayar ile insan

davranışlarını ayırt edici güvenlik kodu gibi teknolojiler (CAPTCHA, dört işlem vb.) kullanılmalı, erişime izin verilen IP adresleri sınırlandırılmalıdır.  

• Şirket sistemlerine giriş yapılan parolaların uzunluğu asgari 10 karakter olmalı, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulması sağlanmalıdır.
• Şirket sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmeleri düzenli olarak gerçekleştirilmeli ve gerekli kontroller yapılmalıdır.