Karar Tarihi: 16.06.2020
Karar No: 2020/465

Konu Özeti: Kurumsal yazılım hizmeti sunan bir veri sorumlusunun veri ihlali bildirimi hakkında

İhlal Özeti

Veri sorumlusunun Kuruma gönderilen veri ihlal bildiriminde özetle;

• • Siber suçlularının “parola püskürtme" saldırısı ile veri sorumlusunun bilgi sistemleri iç ağına eriştiklerini bilgisinin 6 Mart 2019 tarihinde emniyet birimlerinin siber güvenlik uzmanları tarafından veri sorumlusuna bildirildiği,
• • Bilgilendirme sonrası, veri sorumlusu siber suçluları kendi dahili sistemlerinden çıkarmak için harici adli bilişim ve güvenlik uzmanlarını görevlendirdiği ve ek güvenlik önlemleri aldığı, ayrıca önde gelen bağımsız bir siber güvenlik firması tarafından yönetilen kapsamlı bir adli soruşturma çalışması başlattığı,
• • Parola püskürtme saldırılarının, saldırganların kurumsal kullanıcı hesaplarında başarıyla kimlik doğrulaması yapmasını sağladığı,
• • Saldırganlar, 5 kullanıcı hesabı için kimlik doğrulama anahtarını kaydettiği, bu da bir cep telefonu ortamı dışındaki XenDesktop Sanal Masaüstü Altyapısı (VDI) ortamına erişimi mümkün kıldığı, 
• • Ekim 2018'den Mart 2019'a kadar altı ayrı durumda, Dosya Aktarım Protokolü (FTP) ve Güvenli Dosya Aktarım Protokolü’nü (SFTP) kullanarak verileri dışarı sızdırdığı,
• • Veri sorumlusu soruşturma sırasında 6 terabayttan fazla verinin muhtemelen sistemlerinden dışarı sızdığını öğrendiği, 
• • 06.03.2019 tarihinde tespit edilen veri ihlali, 29.04.2020 tarihinde Kurumumuza bildirildiği,
• • İhlalden 22 gerçek kişiye ait kimlik (ad soyad, TCKN), özlük (iş beyanları, müşteri bağlılık belgeleri) ve finans (satış kayıtları, pazarlama materyalleri, bordro) verilerinin etkilendiği,
• • İhlalden etkilenen 18 çalışanına (7 eski çalışan, 11 halihazırda çalışıyor olan) ihlal sonrası posta yolu ile 29 Nisan 2019 tarihinde bildirim yapıldığı, fakat Türkiye’de ikamet ettikleri düşünülen 4 kişinin ise iletişim bilgileri kendilerinde mevcut olmadığı için bildirim yapamadıkları,

ifadelerine yer verilmiştir.

Karar Özeti

• • Veri sorumlusunun veri ihlalini, gerçekleşme tarihinden yaklaşık 5 ay sonra 06 Mart 2019’ da tespit ettiği ve bu durumun; Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.2. Kişisel Veri Güvenliğinin Takibi başlığı gereği, veri sorumlusu tarafından gerekli güvenlik kontrol ve denetimlerinin zamanında yapılmadığının göstergesi olduğu,
• • Parola püskürtme saldırıları, çok sayıdaki hesaba zayıf olarak nitelendirilen parolalar kullanarak erişen kullanıcıların, parolalarının saldırganlar tarafından şifre tahmini yöntemiyle ele geçirilmesi şeklinde gerçekleştiği, söz konusu ihlalin; Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 2.2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları başlığına göre, veri sorumlusunun son kullanıcıları tarafından parola güvenliği farkındalığının tam olarak oluşmamasından kaynaklandığı,
• • Bir paylaşım sürücüsünde bulunan 6 TB’tan fazla verinin çalınmasının, bu paylaşım sürücüsünde yüksek miktarda veri depolanması durumundan kaynaklanması sebebiyle, Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 2.1. Mevcut Risk ve Tehditlerin Belirlenmesi başlığı gereği, bu gibi saldırılara karşı veri kaybı riskini azaltmaya yönelik gerekli idari tedbirleri almadıkları,

dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL,

• • 06.03.2019 tarihinde tespit edilen veri ihlali, veri sorumlusu tarafından 29.04.2019 tarihinde Kurumumuza bildirilmiş olup bu durumda Kurumumuza 55 günlük geç bildirimde bulunduğu,
• • Veri sorumlusunun ihlalden etkilenen ilgili kişilere ihlal tespit edildikten 55 gün sonra bildirim yaptığı

dikkate alındığında, Kanunun 12’nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL olmak üzere toplam 125.000 TL idari para cezası uygulanmasına karar verilmiştir.

Kurumdaki Eksiklikler Neydi?

• • Veri Sorumlusu tarafından ihlal tarihinden önceki yetkisiz erişim sağlama girişimlerinin zamanında tespit edilememesi.
• • Veri Sorumlusu tarafından bilgi sistemlerine erişim için kullanıcıları güçlü parolalar oluşturmaya zorlayacak bir altyapı oluşturulmaması.
• • Veri Sorumlusu tarafından kişisel verilere kurum içi ve kurum dışından erişimin sınırlandırılmaması.
• • Veri Sorumlusu tarafından kişisel verilerin korunmasına ilişkin ortaya çıkabilecek risklerin belirlenmemesi
• • İş sürekliliğinin sağlanabilmesi için gereken personel iletişim bilgilerinin eksik / hatalı olması
• • Parola püskürtme teşebbüslerinin önüne geçebilecek güvenlik katmanlarının olmaması / zayıf olması

Ne Gibi Önlemler Alınmalıydı?

• • Veri sorumlusu tarafından yetkisiz erişim sağlama girişimlerinin tespit edebilmek için erişim kayıtları düzenli olarak analiz edilmeliydi. Veri sorumlusu firmanın uzaktan erişim taleplerini onaylaması ve onay dahilinde sisteme erişim yetkisi vermesi gerekirdi.
• • Veri Sorumlusu tarafından bilgi sistemlerine erişim için kullanıcıları güçlü parolalar oluşturmaya zorlayacak bir altyapı ve politika oluşturulmalıydı.
• • Veri Sorumlusu tarafından çalışanlara kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim verilmesi, çalışanlara yönelik farkındalık çalışmaları yapılması gerekirdi.
• • Veri Sorumlusu tarafından belirlenecek “Aktif Dizin” kuralları ile belli bir süre aralığında, belli bir deneme sayısından sonra hesap kilitlenerek erişim kısıtlanmalıydı.
• • Veri Sorumlusu tarafından bilişim sistemlerinin bilinen zaafiyetlere karşı korunması için düzenli olarak zaafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması gerekirdi.
• • Veri Sorumlusu tarafından kişisel verilerin güvenliğinin sağlanması için öncelikle işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekirdi.

Veri Sorumlusu tarafından bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıydı.