Karar Tarihi: 16.06.2020

Karar No: 2020/466

Konu Özeti: Bir sigorta şirketinin acentesinde gerçekleşen veri ihlali hakkında

İhlal Özeti

Veri sorumlusunun Kuruma gönderilen veri ihlal bildiriminde özetle;

•    İhlalin veri sorumlusu Sigorta şirketinin bir acentesinde işletmelerine ait bilgisayar ekranına bir hacker tarafından erişim sağlanmasıyla gerçekleştiği,

•    İhlalin; veri işleyenin verdiği şikayetçi ifade tutanağı ile anlaşıldığı, ilgili tutanağa göre; Acente tarafından kullanılan bilgisayarlarda yazışma ekranının açıldığı, yetkisiz kişinin bu ekran aracılığıyla iletişim kurup fidye istediği, saldırının bu şekilde tespit edildiği,

•    İhlalin 13.02.2020 tarihinde gerçekleştiği, 20.02.2020 tarihinde tespit edildiği ve 22.02.2020 tarihinde Kurumumuza bildirildiği,

•    İhlalden etkilenen kişisel veri kategorilerinin kimlik ve finans verileri olduğu,

•    İhlalden etkilenen kişi sayısının 172 olduğu,

•    Acente yetkilisinin ihlalin gerçekleşmesinden sonra kişisel verilerin korunması ile ilgili eğitim aldığı,

ifadelerine yer verilmiştir.

Karar Özeti

•    Veri ihlalinin 13.02.2020 tarihinde veri işleyenin sistemlerine yetkisiz erişim sağlanmasıyla gerçekleştiği, ihlalin veri sorumlusu tarafından 20.02.2020 tarihinde tespit edildiği,

•    Veri Sorumlusu sigorta şirketinin, veri işleyen acenteye donanımı kendilerinin temin etmediği, vakaya konu bilgisayarın veri işleyenin kendisine ait olduğu, bu nedenle bilgisayar üzerinde veri işleyenin kendi aktivite ve kullanıcı kayıtlarının veri sorumlusu tarafından yönetilmediği ve sızma testlerinin yapılmadığı hususlarını belirtildiği, ayrıca; Acente Bilgi Güvenliği İlkeleri dokümanında, Acentelerin bilgi güvenliği politikasına uyumlu olmasını temin etmek için, Bilgi Güvenliği veya Risk Yönetimi ve İç Kontrol birimleri tarafından denetlemelerin yapılabileceği ve gerektiği takdirde periyodik olarak kurum dışı bağımsız kaynaklara güvenlik ile uyum test ve denetlemelerin yaptırıldığı ifadelerine de yer verilmiş olmasına rağmen, Veri Sorumlusunun acenteyi denetlememesinin Kurum tarafından yayınlanan Kişisel Veri Güvenliği Rehberinin (Teknik ve İdari Tedbirler-Rehber) 2.5 maddesinde “Veri İşleyenler ile İlişkilerin Yönetimi” başlığına aykırılık teşkil ettiği,

•    Veri Sorumlusu tarafından; ilgili bilgisayar hemen olayın akabinde formatlandığı için herhangi bir araştırmanın yapılamadığı, herhangi bir kişisel veriye erişilip erişilmediğinin tespit edilmediği ve veri yedeklerinin tutulmadığı, veri işleyenin ifadesine istinaden araç ruhsatı üzerinde bulunan kimlik bilgileri ile kredi kartı bilgileri kategorilerinin seçildiği belirtilmiş olup bu durumun Rehber’in 3.6. maddesinde aykırılık teşkil ettiği,

•    Acente yetkilisinin kişisel verilerin korunması ile ilgili eğitimi veri ihlalinin gerçekleşmesinden sonra almış olduğu, Rehber’in 2.2. maddesinde; “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığına aykırı olarak veri sorumlusu tarafından eğitim ve farkındalık çalışmalarının veri sorumlusu tarafından sağlanmadığı,

•    Veri işleyenin Windows 7 Professional x64 işletim sistemini kullandığı, Windows’un resmi sayfası üzerinden yapılan duyuruda; Windows 7 işletim sisteminin 14.01.2020 tarihinden itibaren artık yeni Microsoft Security Essentials yüklemelerini desteklemediğinden, tüm müşterilerin en iyi güvenlik seçeneği olan Windows 10 ve Windows Defender Virüsten Koruma'ya geçmelerini önerildiği,  Rehber’in 2.3 maddesinde; Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi başlığına aykırı olduğu,

•    Veri işleyen tarafından veri ihlali öncesinde anti-virüs yazılımının hiç kullanılmamasının  Rehber’in 3.2 maddesinde “Siber Güvenliğin Sağlanması başlığı altında” belirtilen hususlara aykırı olduğuna, 27 Nisan 2020 tarihinde veri sorumlusunun acentelerin siber saldırılardan korunmalarına yönelik yapmış olduğu duyuruda; Tüm kullanıcı bilgisayarlarına anti-virüs yazılımlar yüklenmesi gerektiği, 01.11.2019 tarihli ve veri sorumlusunun acentelerine 21.01.2020 tarihinde duyurulan Acente Bilgi Güvenliği İlkeleri dokümanında yer alan; tüm kullanıcı bilgisayarlarına anti-virüs yazılımlarının yüklendiği, acente kullanıcılarının anti-virüs yazılımlarını kapatamadığı veya ayarlarını değiştiremediği, ifadelerine aykırı olarak veri sorumlusu ve veri işleyen tarafından bahse konu güvenlik önlemlerinin yerine getirilmediği aynı zamanda veri sorumlusunun kendi hazırlamış olduğu dokümanların gereklerinin sağlanmadığı

hususları dikkate alındığında, Kanun’un 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 172.000 TL idari para cezası uygulanmasına,

•    Veri ihlalinden etkilenen 172 ilgili kişiden 95 kişiye veri ihlalinin bildirilmediği,

•    İhlalin kişilere bildirildiği tarih ile ihlalin tespit tarihi arasında 1 ayı aşkın süre bulunduğu

dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (ilgili kişilere bildirim için) bildirimde bulunma yükümlülüğünün 24.01.2019 tarih 2019/10 sayılı Kararda yer verilen “ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılması” şeklinde de yapılabileceği hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

Kurumdaki Eksiklikler Neydi?

•    Acente Bilgi Güvenliği İlkeleri dokümanı hazırlanmasına rağmen, ilgili dokümanda belirtilen bir kısım idari/teknik tedbirlerin uygulanmaması

•    Acentelerin, Bilgi Güvenliği veya Risk Yönetimi ve İç Kontrol birimleri tarafından denetimlerin yapılmaması

•    Veri Sorumlusunun, Acentenin kurum dışı bağımsız kaynaklara güvenlik ile uyum test ve denetimlerin kontrol etmemesi

•    Veri İşleyenin, güncel güvenlik koruması ile ilgili güncellemeleri alamayan eski sürüm bir işletim sistemi kullanması

•    Veri İşleyen tarafından veri ihlali öncesinde herhangi bir anti-virüs ya da antispam yazılımının kullanılmaması

•    Veri Sorumlusunun hazırladığı Acente Bilgi Güvenliği İlkeleri dokümanında tüm kullanıcı bilgisayarlarına anti-virüs yazılımlarının yüklendiği, acente kullanıcılarının anti-virüs yazılımlarını kapatamadığı veya ayarlarını değiştiremediği belirtilmesine rağmen ilgili doküman gerekliliğinin sağlanamaması

•    Veri İhlalinden etkilenen kişilerin, ihlal olayından sonra geç bilgilendirilmesi ya da bilgilendirilmemesi

•    Veri İşleyenleri ilgilendiren farkındalık eğitiminin verilmemesi

•    Veri ihlali yaşandıktan sonra hemen fark edilememesi

Ne Gibi Önlemler Alınmalıydı?

•    Acentelerin periyodik olarak Veri Sorumlusu tarafından idari ve teknik tedbirleri kapsayacak şekilde denetlenmesi ve tespit edilen zafiyetlerin çözümlenmesi için aksiyon almalıydı.

•    Güvenlik ve uyum test işlemlerinin ne zaman gerçekleştirilmesi gerektiği ve ne gibi önlemler alınması gerektiğine ilişkin dokümante kurallara uyulmaması durumda acentenin sorumlulukları belirtilmeliydi ve acentelerden onay alınmalıydı.

•    İlgili bilgisayar ihlal olayı sonrası hemen formatlanmak yerine, internet ve yerel ağ ile bağlantısı kesilerek sonrasında teknik inceleme gerçekleştirilmek üzere karantinaya alınmalıydı.

•    Müşteri kişisel verilerinin bulunduğu ortamların yedekleri alınmalı ve uygun önlemler alınarak muhafaza edilmeliydi.

•    Veri İşleyenlerin denetimi ve uyumluluk süreçlerinin yürütülebilmesi için Veri sorumlusu bünyesindeki ilgili çalışanların kişisel veri güvenliğine ilişkin rol ve sorumlulukları görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması için periyodik olarak farkındalık eğitimleri verilmeliydi.

•    Veri sorumlusu, güncel güvenlik koruması ile ilgili güncellemelerin gerçekleştirilebildiği bir işletim sistemi kullanmasını temin etmek için Veri işleyen tarafından taahhüt almalı ve kontrol etmeliydi.

•    Acente tarafından kötü amaçlı yazılımlardan korunmak amacıyla antivirüs, antispam gibi ürünler kullanılmalı ve Acente Bilgi Güvenliği İlkeleri dokümanında belirtildiği üzere bu ürünlerin kullanıcılar tarafından kapatılamaması veya ayarların değiştirilememesi koşulu sağlanmalı ve bu kontroller Veri Sorumlusu tarafından gerçekleştirilmeliydi.

•    Veri ihlalinden etkilenen kişilerin, ihlal olayından sonra en kısa zamanda güncel iletişim adresleri üzerinden bilgilendirilmesi gerekirdi.

•    Veri Sorumlusu tarafından Veri İşleyenleri de kapsayacak şekilde kişisel veri güvenliğine ilişkin farkındalık eğitimleri verilmeliydi.

•    Veri Sorumlusu tarafından Veri İşleyenlerin kişisel veri saklama ortamlarının analizi için bir kontrol listesi oluşturulabilirdi. Kontrol listesinde her madde için alınması gereken önlemler rehber haline getirilebilirdi. Veri Sorumlusu, Veri İşleyenden gelen kontrol listesindeki geri bildirimleri dikkate alarak zafiyetlerin kapatılması için termin belirleyebilirdi. Kontrol listesine ortaya çıkan zafiyetlerin kapanmaması halinde sorumluluğun Veri İşleyende olacağına dair taahhütler alınabilirdi.

•    Öneri: Acenteler birden fazla sigorta şirketi ile çalışıldığı için yukarıda bahsi geçen önlemlerin bazılarının bir üst merci olan Türkiye Sigorta Birliği tarafından yapılması daha uygulanabilir olacaktır.