Kişisel veriler sadece Yemeksepeti örneğinde olduğu gibi dışarıdan saldırılarla ele geçirilmiyor. Bir de içerideki sızıntılar var ki o daha vahim bir boyutta çünkü yakalanması daha zor. En fazla verinin bulunduğu kurumlar olan bankaların kendi çalışanları tarafından dışarıya sızdırılan bilginin sayısında ciddi artışlar var. Kimlik, iletişim bilgileri, müşteri işlem ve finans verileri gibi önemli bilgiler üçüncü kişilere aktarılıyor. Üstelik bir anda yüzlerce kişinin bilgisi satılıyor.
Son olarak Garanti BBVA'da bir şube çalışanının, yüzde 85'i şube müşterisi olmayan ve yüzde 90'ı farklı müşteri segmentlerinden 3 bin 277 farklı kişiye ait KKB (Kredi Kayıt Bürosu) kaydını görüntülediği, bir diğer şubedeki çalışanın ise yüzde 70'i farklı şehirde ikamet eden müşterilerden 5 bin 79 kişiye ait bilgiyi sızdırdığı ortaya çıktı.
TEK SEFERDE BİNLERCE HESAP
Ancak Garanti BBVA dışında birçok bankada benzer ihlaller yapılıyor. Nisanda bir Yapı Kredi Bankası çalışanın, kendisine görevi nedeniyle tanımlanan Bankalar Birliği Risk Merkezi kayıtları yetkisini görevi dışında kullanarak, sorgulamalar yaptığı ve bilgileri üçüncü kişilere aktardığı tespit edildi.
İhlalden 2 bin 484 kişinin etkilendiği, TC kimlik numarası, ad, soyad, iletişim bilgileri, kredi risk ve teminat durumu, ödeme performans bilgileri, karşılıksız çek ve protestolu senet bilgilerinin sızdırıldığı tespit edildi. Mart 2021'de ise Fibabanka'da benzer bir şekilde personelin 13 bin 500 kişiye ait kimlik ve finans verilerinin dışarıya e-mail, telefon gibi yollarla aktardığı tespit edildi.
Bu üç örnek sadece bankacılık alanında 2021'de tespit edilenler. Sigortacılıktan, teknolojiye kadar birçok sektörde benzer örnekler var. Cezası da tartışılır bir düzeyde. Firmaların önlem alma ihtiyacı duymasını gerektirecek boyutta değil. Cezalar sadece 100 bin ile 250 bin TL düzeyinde.
DLP YAZILIMLARI KULLANILMALI
Uzmanlar veri ihlallerine karşı önlemleri çalışanlarının kişisel verilerinin toplanmasını, işlenmesini ve paylaşılmasını gerektiren girişimlerine yönelik bir gizlilik yaklaşımı geliştirmede buluyor. Ayrıca verilerin kim tarafından kullanıldığını ve taşındığını izlemeyi mümkün kılan profesyonel veri kaybı önleme yazılımı (DLP) çözümleri de öneriliyor. DLP, şirketlerin hassas verilerinin, şirket içinde nasıl yer değiştirdiğini gözleyen ve kontrollü bir şekilde dışarı sızmalarını engelleyen bir teknoloji. Bu tür çözümler son dönemde KVKK ile birlikte zorunlu hale de geldi.
Kaspersky Türkiye Pazarlama Müdürü Ünsal Yurdakonar
BİLGİ GÜVENLİĞİ KURALLARI OTURMALI
Kaspersky Türkiye Pazarlama Müdürü Ünsal Yurdakonar, veri sızıntılarının, çalışanların sorumluluk almaması ve kötü yönetim kararları nedeniyle meydana geldiğini belirtti. Yurdakonar, "Kontrol edilemez olduğu için insan faktörü kilit bir rol oynar. En ciddi olayların ikinci nedeni, bilgi güvenliği ve BT personelinin eylemlerini veya eylemsizliklerini de kapsayan etkisiz iş süreci yönetimine odaklanmadır. Yurdakonar, şirkette açık bilgi güvenliği kuralları oluşturulması gerektiğini ve bunları çalışırken izlemek için önlemler alınmasının da zorunlu olduğunu ekledi.
Laykon Bilişim Operasyon Direktörü Alev Akkoyunlu
ÇALIŞANLAR HER VERİYE ERİŞEMEMELİ
Son dönemde birçok kurum Kovid-19 nedeniyle hibrit çalışma sistemine geçti. Ofisten uzak çalışanların uzak bağlantı ile çalışmalarına devam ederken çok fazla güvenlik zafiyeti yaşandığını gözlemliyoruz. İş için kendi cihazını kullanma oranı da çok arttı ve bu bilgisayarların çoğunda güncel işletim sistemi, güvenlik yazılımı ve/veya güvenlik duvarı kullanımı kontrol edilemiyor. Bu önlemler dışında, kullanıcıların güvenlik politikalarının belirlenmesi ve erişilebilirliği kontrol altına alması gerekiyor. Her çalışanın her veriye sorumluluğu dışındaysa erişememesi gerekiyor.
Siberasist Genel Müdürü Serap Günal
YETKİ MATRISI VE ERİŞİM KAYDI TUTULMALI
Çalışanlar yeterli siber güvenlik çözümlerine sahip olmayan cihaz ve ağlardan iş yönetimini gerçekleştirmeye başladıklarında iç tehdit ortaya çıkabiliyor. Özellikle bankalarda iç tehditlere yönelik en önemli iki adım bulunuyor. Birincisi çalışanların siber güvenlik eğitimleri ile donatılması, ikincisi de ofis ya da uzaktan çalışmada cihaz ve ağ sistemlerinin siber güvenliklerinin sağlanması. Ayrıca bankalarda yetki matrisi ve erişim log kayıtlarının da tutulması, departmanlar arası veri akışına dikkat edilmesi iç tehditlere yönelik atılması gereken önemli siber güvenlik adımlarının olduğu unutulmamalı.
WatchGuard Türkiye & Yunanistan Ülke Müdürü Yusuf Evmez
HESAPLARIN ERİŞİMİNE DİKKAT ŞART
Günümüzde çoğu banka kuruluşu, kurumsal ve müşterilere ait tüm bilgilerini dijital sistemlerde saklamakta ve işlemektedir. Bir bankanın müşteri hesap bilgilerinin dijital ortamlarda tutulması siber saldırganların ilgisini çekse de çalışanların aynı şifreleri farklı hesaplarda kullanması ya da hesapların birçok kişi için erişime açılması gibi ihmalkar davranışlar, siber saldırıya uğrama riskini artırıyor. Kurumların, çalışanlarına sürekli siber güvenlik bilinci eğitimi vermeleri ve eğitimlerine yönelik davranışlarını test etmeleri gerekiyor.