Karar Tarihi: 16.06.2020

Karar No: 2020/463

Konu Özeti: Bir İlaç sektöründe faaliyet yürüten bir veri sorumlusunun veri ihlali bildirimi hakkında

İhlal Özeti

Veri sorumlusunun Kuruma gönderilen veri ihlal bildiriminde özetle;

Veri ihlalinin zararlı yazılımlardan ve fidye yazılımlarından kaynaklı bir siber saldırı olarak veri sorumlusunun yetkili kullanıcı şifresi ele geçirilerek sistemlerine erişimin engellenmesi şeklinde gerçekleştiği ve saldırının çalışanlarının sistemlere erişememesi sonucu tespit edildiği,

Veri sorumlusunun faaliyetlerini sürdürmesi için kritik öneme sahip tüm sunucu ve verilerinin ve bunlara ek olarak diğer sunucuların yedek dosyalarının depolandığı Data Domain Sunucusu verilerinin silindiği,

Yetkisiz erişim sağlama girişimlerinin 8-11-12 Ocak tarihlerinde gerçekleştiği, saldırının 12/01/2020 tarihinde tespit edildiği,

Veri sorumlusunun yaptığı incelemede, saldırının, LDAP  servislerinde kullanılan Domain Admin yetkili anonim isimli bir kullanıcı hesabı ile gerçekleştirildiği, ihlalin yapılmış olduğu bilgisayarın tespit edildiği ve şüpheliler aleyhine İstanbul Cumhuriyet Başsavcılığına şikâyette bulunulduğu,

Saldırının veri sorumlusunun bizzat siber güvenlik desteği almakta olduğu firmaya ait IP adresi üzerinden ve firma çalışanı tarafından gerçekleştirildiğinin tespit edildiği ve bu tespitin firma tarafından kabul edildiği,

İhlali gerçekleştiren siber güvenlik desteği alınan firmanın çalışanının aynı zamanda veri sorumlusu eski çalışanı olduğu,

İhlalden etkilenen kişi ve kayıt sayısının tam ve kesin olarak belirlenememiş olduğu ancak 1000 kişi civarında olduğunun tahmin edildiği belirtilmekte olup bunlardan 297 kişinin şirket çalışanı olduğu; bunlar dışında kalanların ise tedarikçi, müşteri ve taşeronlara ait olduğu,

ifadelerine yer verilmiştir.

Karar Özeti

Veri sorumlusunun faaliyetlerini sürdürmesi için kritik öneme sahip tüm sunucu ve verilerinin ve bunlara ek olarak diğer sunucuların yedek dosyalarının depolandığı Data Domain Sunucusu verilerinin silindiği,

İhlalden etkilenen kişi ve kayıt sayısının tam ve kesin olarak belirlenememiş olduğu ancak 1000 kişi civarında olduğu ve ihlalden özel nitelikli kişisel verilerinde etkilenmiş olabileceği,

Veri sorumlusu, sistemlerine düzenlenen söz konusu saldırıyı şirket çalışanlarının sistemlere erişememesi sonucu tespit ettiği; özel nitelikli kişisel veriler üzerinde çalışan çok uluslu bir şirketin, böylesi saldırılar için sızma testleri ve risk analizleri yapıp tehditleri belirlemesi ve güvenlik açıklarını kapatması ve log kaydı takibi ile veri güvenliğini sağlayacak önlemler alması gerektiği ve bu durumun Kişisel Veri Güvenliği Rehberi 3.2. maddesinde belirtilen ifadelerine aykırılık teşkil ettiği, 

Veri sorumlusunun, sunucularının yedek dosyalarının depolandığı Data Domain sunucusunda yer alan verilerinin de silinmesinin, Kişisel Veri Güvenliği Rehberi 3.6. maddesinde; “Kişisel Verilerin Yedeklenmesi” başlığı altında belirtilen ifadelerine aykırılık teşkil ettiği, 

hususları dikkate alındığında, Kanun’un 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına

İhlalden etkilenen şirket çalışanlarına 13.01.2020 tarihinde e-posta ile bildirim yapıldığı buna yönelik tevsik edici belgenin gönderildiği, ihlalden etkilenen şirket çalışanı dışındaki kişilere ise web sayfasından genel duyuru yapıldığı ve yapılan bu duyurunun ise Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı gerekliliğine uygun olduğu, 

11.01.2020 tarihinde gerçekleşen veri ihlali, 12.01.2020 tarihinde tespit edilmiş ve Kurumumuza 14.01.2020 tarihinde bildirilmiş olup veri sorumlusunun Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne uygun hareket ettiği

hususları dikkate alındığında; Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (Kurul’a bildirim için 72 saat) bildirimde bulunma yükümlülüğüne uygun davranan veri sorumlusu hakkında bu konuda yapılacak bir işlem bulunmadığına

karar verilmiştir.

Kurumdaki Eksiklikler Neydi?

Veri Sorumlusu tarafından ihlal tarihinden önceki yetkisiz erişim sağlama girişimlerinin zamanında tespit edilememesi.

Anonim isimli kullanıcı hesabının kullanılması ve bu hesapta domain yetkisinin bırakılması.

Veri Sorumlusu tarafından iş akdi sonlandırılan personelin halen bu anonim kullanıcı hesap şifrelerini kullanabilmesi. Kurumun parola güvenliğine ilişkin önlemleri almaması.

Veri Sorumlusunun olası saldırılar için sızma testleri, risk analizleri ve diğer teknik tedbir çalışmalarını kapsamlı olarak yapmaması.

Veri Sorumlusunun kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için veri yedekleme stratejilerinin geliştirilmemesi ya da uygulanmaması.

Veri işleyen firmanın yetkilerinin sınırlandırılmaması ve hareketlerinin izlenmemesi.

Ne Gibi Önlemler Alınmalıydı?

Veri sorumlusu tarafından yetkisiz erişim sağlama girişimlerinin tespit edebilmek için erişim kayıtları düzenli olarak analiz edilmeliydi. Veri sorumlusu firmanın uzaktan erişim taleplerini onaylaması ve onay dahilinde sisteme erişim yetkisi vermesi gerekirdi.

Veri Sorumlusu firmanın veri işleyen tarafında sistemlere kimlerin erişeceğinin bilgisini alması ve belirli periyotlarda yetkileri kontrol etmeliydi. Özellikle veri işleyen ile yapılan sözleşme içerisinde; veri işleyen tarafında rol değişikliği durumlarının ivedi olarak veri sorumlusuna bildirilmesi hususu eklenmeliydi.

Üçüncü taraf firma erişimlerinde yapılan işlem hareketlerinin izlenmesi gerekirdi.

Sistemlere erişimlerde anonim hesaplar kullanılmamalıydı. Bunun yerine sistem erişim sağlayan personele özgü profiller oluşturulmalıydı. Personel görev değişikliği ya da iş akdinin sonra ermesi durumunda bu yetkiler kaldırılmalıydı.

Erişim yetki tabloları oluşturularak, hangi veri işleyenin nereye erişeceği belirlenmeli ve bu ölçüde yetkiler sınırlandırılmalıydı

Veri Sorumlusu tarafından zafiyetlerin belirlenebilmesi için kapsamlı bir sızma testi gerçekleştirilmeliydi. Çıkan bulgular dikkate alınarak sorumlular belirlenmeli ve her zafiyet için termin süreleri belirlenmeliydi. Kapatılamayan zafiyetler için alternatif çözümler aranmalıydı.

Özel nitelikli kişisel verilerin olduğu ortamlar dikkate alınarak risk analizi çalışmaları kapsamlı olarak yapılmalıydı. Veri etki-mahremiyet analizleri gerçekleştirilmeliydi. Risk metodolojisi belirlenirken kapsamlı bir metod seçilmeliydi ( özel nitelikli kişisel veri durumu, finansal etki, kurum imajına etkisi, etkilenen kişi sayısı, idari ve teknik tedbirler vb.) Belirlenen riskler için sorumlular belirlenmeli ve riskler takip edilmeliydi.

Loglar merkezi ve otomatik olarak yönetilmeliydi. Logların yönetiminde kurallar sıkılaştırılmalıydı. Anormal davranış sergileyen kişi/kurumların hareketleri anlık olarak ilgili sistem yöneticisine bildirilmeliydi.

Veri Sorumlusu kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için veri yedekleme stratejilerini geliştirmeli ve uygulamalıydı. Sistemlere erişim sağlayan kullanıcı profilleri ile (burada anonim kullanıcı adı) yedeklere erişim sağlayan kullanıcı profilleri ayrıştırılmalı ya da her BT kullanıcısının yedek ortama erişimi kısıtlanmalıydı. Olası en kötü senaryo dikkate alınarak yedekler daha güvenilir ağlarda depolanmalı ve test/tatbikatlar sıkılaştırılmalıydı.