‘Kraliyet Mücevherleri’ İçin En Büyük Risk Denetlenmeyen Denetim

Bir banka çalışanının gerçek kişi verilerini banka dışına sızdırmasıyla gözler yeniden kişisel verilerin korunmasına çevrildi.

Türkiye’de faaliyet gösteren yabancı bir banka çalışanının, 19 bin 55 gerçek kişinin kişisel verilerini banka dışına sızdırması, kişisel verilerin korunması konusunun önemini bir kez daha gözler önüne serdi.

Banka çalışanının yetki sınırlamalarını devre dışı bıraktığı ve banka müşterisi olan veya olmayan kişilerin TC kimlik numaraları ve vergi numaraları üzerinden sorgulama yaparak elde ettiği bilgileri iletişim araçları yoluyla çeşitli kurum veya kişilerle paylaştığı öğrenildi. Sızdırılan 19 bin gerçek kişiye ait veriye ilişkin bilgi, Kişisel Verileri Koruma Kanunu (KVKK) web sitesinde yayınlandı.

Türkiye Bankalar Birliği (TBB) Risk Merkezi’nin bu banka çalışanının yaptığı işlemleri şüpheli görmesi üzerine 19 Ekim 2018’de bankanın genel müdürlüğüne yaptığı denetim uyarısı üzerine ortaya çıkan sızıntı, aynı çalışanın 2018 boyunca birçok benzer veri sızıntısına sebep olduğu da ortaya çıktı.

Denetim Yazılımlarının da Denetlenmesi Şart

Kadir Yüceer

Son dönemde artan kişisel veri sızıntıları kimlik ve erişim yönetiminin önemini bir kez daha ortaya koydu. Dolandırıcılık tespiti, kişisel verileri koruma ve kurumsal güvenlik yazılımları sağlayan İHS Teknoloji Kurumsal Hizmetler Direktörü Kadir Yüceer, “Bu ilk veri sızıntısı olmadığı gibi son da olmayacaktır. İnsan faktörünün bulunduğu herhangi bir sistemde sıfır hatadan ya da yüzde yüz güvenlikten bahsetmek maalesef mümkün olmuyor. Fakat riskleri ve hataları en aza indirgemek için farklı yöntemler mevcut.
Burada atlanmaması gereken çok önemli bir nokta var. Kimlik ve erişim yönetimi için kullanılan yazılımların da mutlaka denetleniyor olması gerekiyor.” dedi.

“Sadece Bankalar Değil, Kişisel Veri Toplayan Her Kurum Risk Altında”

“Kişisel verileri koruma yaklaşımı yalnızca BDDK’nın çıkardığı bir yönetmelik olsaydı, veri güvenliği konusu bankacılıkla sınırlı kalırdı.” diyen Yüceer, KVKK ile gelinen durumu şöyle özetledi: “KVKK ile birlikte artık herhangi bir sektörde kişisel veri işleyen ya da bulunduran kurumlar bu verilerin güvenliğinden ve aynı zamanda yalnızca -iş tanımı gereği- ihtiyacı olan çalışanların bu veriye eriştiğinden emin olmak durumunda.

Burada da tabi kurumların öncelikle yapması gereken analiz; “Benim için kıymetli veri ne?” KVKK gündeme geldiği zaman kişisel veri diye konuşuyoruz. Fakat aslında en doğru tanım şu: Kıymetli veri. Hatta veri yönetimi sektöründe kıymetli veriden ‘kraliyet mücevherleri’ şeklinde bahsedilir. Çünkü kraliyet mücevherleri maddi değerinin de ötesinde öneme sahiptir. Özel kasalarda ya da camekânlarda, çeşitli parolalar, sensörler ve hatta lazerler ile korunurlar. Kurumlar da kendi kraliyet mücevherlerini keşfetmeli, koruma altına almalı ve kurum dışına sızmasını önlemelidirler. Kıymetli veri, kişisel veri demek değildir. Kişisel veri kıymetli bir veridir ama kıymetli olan başka veriler de olabilir. Veri tabanında, uygulamada, kişisel bilgisayarda, ortak dosya paylaşım alanında, USB disk üzerinde. Bu tür kıymetli verilerin korunabilmesi için öncelikle kıymetli verilerin keşfedilmesi ve hangi sistemlerde ya da hangi dosyalarda bulunduğunun tespit edilmesi gerekir. Bu amaca hizmet eden veri keşfi ve sınıflandırma yazılımları mevcut. Hatta OCR(Optical Character Recognition) teknolojisi ile fotoğraf ya da pdf dosyalarında bile kıymetli veri tespiti ve sınıflandırması yapabiliyorlar.

Kıymetli verilerinizi keşfettikten sonra ikinci adım, veriye erişimi yönetmek ve denetlemek. Bir kişinin kıymetli veriye erişmesi normal mi değil mi? Ya da bu veriye kim erişmeli? Bu soruların yanıtlanabiliyor olması ve yalnızca işi gereği ihtiyacı olan kişilerin eriştiğinden emin olunması gerekiyor. Zaten KVKK’nın ana mesajı da budur. Yani KVKK ‘bu veriyi tutma’ demiyor. ‘İşini iyi yapabilmen için veriyi tutman gerekiyor, biliyorum ama bu veriyi koru’ diyor.”

Kimlik ve erişim yönetimi yazılımlarının kurumda çalışan kullanıcılara, insan kaynakları uygulamasındaki görev tanımına bakarak otomatik bir şekilde sadece ihtiyaç duyduğu yetkileri verdiğini belirten Yüceer, “Şöyle düşünebilirsiniz. Ben dolandırıcılık tespiti için danışman olarak bankalara gidip kurum binasında bilgisayarımı kullanabiliyorum. Erişebileceğim yerler çok net sınırlarla çizilmiş durumda. Bankanın müşterileriyle ilgili herhangi bir veriye erişmem mümkün değil. Bu net sınırlar el yordamıyla çizilirse, 20 bin çalışanı olan bir kurumda bu sınırların doğru çizilmesi ve yönetilmesi takdir edersiniz ki mümkün değil. Hatta 100 çalışanınız dahi olsa yetki yönetimini doğru yapmadığınız takdirde büyük risklerle karşılaşmanız olası.

Kurumların adreslemesi gereken ilk risk bahsettiğim yetki tanımlama ve denetleme sürecini otomatikleştirecek bir yazılım kullanılmaması. Bu durumda çalışanlara ihtiyacı olmamasına rağmen fazladan yetki verilmesi ya da geçici verilen yetkilerin unutulması aklıma gelen birkaç problem. Adreslenmesi gereken ikinci risk ise kimlik ve erişim yönetiminin denetlenmiyor olması. Bahsettiğim risk yalnızca kimlik ve erişim yönetimi için değil, tüm denetim noktaları için geçerli aslında. Denetim mekanizmalarında bir oto-denetim olması ve insan tercihine ya da hatasına kapalı olması gerekir. Biz gerçekleştirmekte olduğumuz projelerde tabiri caizse bazı kapıların görünmez olmasını sağlıyoruz. Biri kapıyı bir şekilde görse bile bile kilit var, açmasına imkan yok.” dedi. Yüceer, kullanıcının her şeye rağmen erişme yetkisi olmadığı veriye bir şekilde ulaşması durumunda bile verinin banka dışına çıkarılması halinde anlamsız hale geldiği, şifrelendiği, okunamaz olduğu yazılımların kullanılması gerektiğinin altını çizdi.

Kıymetli Verileriniz Bir Gün Tost Makinesinden de Sızabilir

Yetki yönetimi ve şifrelemeye rağmen riskin sıfırlanamadığına dikkat çeken Yüceer, sürekli gelişen teknolojiler ve akıllanan cihazlar nedeniyle korunması gereken kanalların da sürekli arttığını ifade ediyor. Veri merkezinde, ofiste, ofiste kullanılan bilgisayarlarda veri güvenliği sağlansa bile mobil çalışma alışkanlıklarının değişimi ile birlikte yeni risklerin ortaya çıktığını hatırlattı: “Herkes ofiste eriştiği her şeye telefondan da, dışarıda kahve içerken, evindeyken erişmek istiyor, görmek istiyor. Kurumlar da pek tabi çalışanlarının dinamik ve pratik çalışmasını destekliyorlar. Neticede ofiste ya da veri merkezinde bulunmayan kurumsal verilerin güvenliği de gündeme geliyor. Biz yaklaşık 6 senedir Türkiye’deki çok farklı sektörlerdeki kurumlarla mobil cihazların yönetimi ve güvenliği üzerine çalışıyoruz. Kurumların yaklaşımı iki ana kola ayrılıyor. Birincisi şirket dağıtıyorsa cihazı, diyoruz ki ‘Cihazı komple güvenli hale getirelim’. Dolayısıyla biz kurumlara şunu tavsiye ediyoruz. Eğer cihazı siz veriyorsanız, ‘Biz cihazı tamamen yönetelim ve risk durumunda cihazdaki verileri tamamen silelim’ diyoruz. Cihaz çalışanın kendi kişisel cihazıysa ondaki kişisel veri gündemimizde değil, olmamalı da zaten. Sadece kurumun verisini güvene alacak şekilde mobil cihazın içinde güvenli bir alan yapıyoruz ve bu kurumsal alanın güvenliğinden sorumlu oluyoruz. Cihaz çalındı mı? Uzaktan tek tuşla o verileri siliyoruz ama kişinin kendi verisine dokunmuyoruz. Veri güvenliği dediğimizde herkesin gözünde ofis canlanıyor ama veri artık bulutta, telefonda… Yani her yerde …”

Türkiye’den Yazılım Dünyasına Kazandırılan Bir Terim: Fraud Orchestration

İHS tarafından İngiltere’de kurulan Fcase markasıyla ilgili de bilgi veren Yüceer, “Şu anda Fcase yazılımının geliştiricisi İHS Ar-Ge, entegratörü ise İHS Teknoloji. Türkiye’nin en büyük bankasında bir yıldır başarılı bir şekilde kullanılmakta olan bir yazılım. Bu yıl Finovate London etkinliğine Fcase markasıyla sponsor olarak katıldık. Dünyanın her köşesinden binden fazla banka çalışanının katıldığı bir demo oturumu gerçekleştirdik. Fcase bizim için çok değerli çünkü tamamen kendimiz geliştirdik ve artık yalnızca bir entegratör değil, aynı zamanda üreticiyiz de. Yerli bir yazılım ile hem Türk bankalarına hem de dünya bankalarına hitap ediyoruz. Bunu ülkemiz için de çok kıymetli buluyorum. Bu yazılımı farklı ülkelerdeki bankalara sağladığımızda Türkiye’den doğmuş yepyeni bir terim ortaya çıkmış olacak: ‘Fraud orchestration’. Şu anda dünyada dolandırıcılık tespiti operasyon süreçlerini bizim gibi ele alıp çözüm üretmiş bir başka yazılım üreticisi yok. Alanımızda ilk olmanın gururunu yaşıyoruz.”

Sizin de bu konuda söyleyecekleriniz mi var?