Yeni gelişme
Kişisel Verileri Koruma Kurumu (“Kurum“) 15 Şubat 2022 tarihinde internet siteleri kullanıcı adı ve parola bilgilerinin kamuya açık kaynaklardan erişilebilir şekilde yayınlanması suretiyle gerçekleştirilen veri ihlallerinin artması ile beraber veri sorumlularınca alınması gereken idari ve teknik tedbirlere ilişkin bir kamuoyu duyurusu yayımladı. Duyuruda bir dizi teknik ve idari tedbiri listeleyen Kurum, veri sorumlularınca faaliyetlerine uygun olan tedbirlerin alınmasını tavsiye etmektedir. Duyuruya buradan ulaşabilirsiniz.
Duyuru ne diyor?
Kurum, son zamanlarda kendilerine intikal eden veri ihlal bildirimlerinde finans, e-ticaret, sosyal medya ve oyun sektöründe faaliyet gösteren veri sorumlularının internet sitelerine giriş için kullanılan kullanıcı adı ve parolaların farklı internet sitelerinde herkese açık şekilde yayımlandığını tespit etmiştir. Bilgileri kamuya açılan kişilerin haberi olmadan hesaplarına girilerek kişisel verilerine erişim sağlandığı ve yasa dışı yollarla erişilen verilerin satışa sunulduğu ve veri setleri halinde yeniden pazarlandığı anlaşılmıştır.
Kurum, Kişisel Verilerin Korunması Kanunu’nun 12. maddesi uyarınca veri sorumlularının kişisel verilerin korunması amacıyla uygun güvenlik düzeyini sağlamak için gerekli idari ve teknik tedbirli almakla yükümlü olduğunu ifade etmiştir. Bu kapsamda Kurum, söz konusu ihlallerin idari ve teknik tedbirlerin eksikliklerinden kaynaklandığını belirterek veri sorumluların almasını önerdiği tedbirleri aşağıdaki şekilde sıralamıştır:
- Çift kademeli kimlik doğrulama sistemlerinin kurulması ve alternatif güvenlik önlemi olarak sunulması,
- Kullanıcıların hesaplarına farklı cihazlardan giriş yapılması halinde giriş bilgilerinin ilgili kişilerin iletişim adreslerine e-posta veya SMS ile iletilmesi,
- Uygulamaların HTTPS veya aynı güvenlik seviyesini sağlayacak şekilde koruma altına alınması,
- Güvenli ve güncel karma (hashing) algoritmaların kullanılması,
- IP adresinden yapılacak başarısız giriş deneme sayısının sınırlandırılması,
- İlgili kişilerin en az son 5 başarılı ve başarısız giriş denemeleri ile ilgili bilgileri görüntüleyebilmesinin sağlanması,
- İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,
- Veri sorumluları tarafından parola politikasının oluşturulması,
- Kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması ve yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi,
- Kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması,
- Erişime izin verilen IP adreslerinin sınırlandırılması,
- Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması, ve
- Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması.
Sonuç
Kişisel Verilerin Korunması Kanunu’nun 12. maddesine uyum kapsamında Kurum’un belirttiği tedbirlerin alınması, veri güvenliğinin sağlanması bakımından hem ilgili kişiler hem de veri sorumluları bakımından önem arz etmektedir. Veri sorumlularının uygulamalarını gözden geçirerek, duyuru kapsamındaki tedbirleri almaları önerilmektedir.
