Dijital Biz Dergisi | Özel Haber

Ege Bölgesi Şirketleri KVKK’ya Uyumlu Hale Gelmek için İzmir’de Buluştu

Pyron Data & Technology tarafından organize edilen “Kişisel Verilerin Korunması Kanunu’na (KVKK) Uyumlu Hale Gelmek” etkinliği, dopdolu içeriğiyle 18 Haziran 2019 Salı günü İzmir Özel Eraslan Eğitim Kurumları’nda yapıldı.

Dijital Biz Dergisi olarak sponsor olduğumuz etkinlikte Pyron Data & Technology Kurucusu Burhan Gökçe’nin moderatörlüğünde gerçekleşen panelde Dijital Biz Dergisi Genel Yayın Yönetmeni Şenol Vatansever, İzmir Büyükşehir Belediyesi Bilgi Güvenliği Yöneticisi İsmail Durankaya ve Bilgi Güvenliği Uzmanı Hüsnü Tavlaş KVKK ile ilgili tecrübelerini Ege Bölgesi şirket ve kurum temsilcilerine aktardı.

Vatansever: “Türkiye’nin her yerine çözüm götürebilmek için lokal iş ortaklarımızla beraber çalışıyoruz”

KVKK kapsamına kişisel verisi işlenen gerçek kişilerin, yani vatandaşlar olarak her birimizin girdiğini ifade ederek sözlerine başlayan Vatansever, “Kanun gerçek kişilerin verilerinin korunmasını isterken, tüzel kişilere ait verileri kapsam dışında tutuyor. Tüzel kişiye ait verilerin gerçek kişiyi belirlemesi ya da belirlenebilir kılması durumu da kanun kapsamına giriyor ve bu verilerin de korunması gerekiyor.

KVKK veriyi işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri veri sorumlusu olarak kabul ediyor. Kanun verinin elde edilmesi noktasından başlayarak açık rızanın varlığını arıyor. Söz konusu rıza alınırken vatandaşların aydınlatılmış olması gerekiyor. Irk, etnik köken, cinsiyet, siyasi görüş, felsefi inanç gibi açıklanması durumunda ilgili kişinin ayrımcılığa veya zarara uğraması muhtemel verileri özellikli kişisel veri sayıyor ve bunların işlenmesini gerektiren her işlemde ayrıca rıza talep ediyor. Bu arada her türlü işlemin yapılması vb. şeklindeki genel geçer nitelikli rızalar da geçersiz kabul ediliyor.

Verisi işlenen tüm vatandaşlar şirketlerin ya da kurumların veri sorumlularına başvurarak; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme haklarına sahip. Ek olarak işlenen verilerin otomatik sistemler vasıtasıyla analiz edilmesiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme gibi çok geniş haklara sahip.” diyerek, vatandaşların kişisel verileri konusunda sahip olduğu hakların farkında olmaları ve harekete geçerek şirketlerin ya da kurumların verilerini rızaları olmadan saklamalarına ya da kullanmalarına izin vermemeleri hakkında tavsiyelerde bulundu.

Vatansever, Kişisel Verileri Koruma Kurumu web sitesinde sene başından bu yana yoğun biçimde kamuoyu duyurusu olarak veri ihlali bildirimlerine yer verildiğine dikkat çekerek, “Bankacılık sektörünün güvenliğe ciddi önem vermesinden hareketle, özel bir bankanın veri ihlali bildiriminde bulunması ve bir kamu bankasının uyarılması acaba kişisel verilerimiz yeterince güvende değil mi konusunu tekrar gündemin en üst sıralarına taşıdı. Üstüne üstlük özel bankanın ihlal açıklamasına göre verileri çalınanların büyük çoğunluğu ilgili bankanın müşterisi bile değil, yani sizin de kişisel verileriniz çalınmış olabilir.

Vatandaşların haklarını aramak için öncelikle ilgili şirketin ya da kurumun veri sorumlusuna yazılı olarak başvuru yapması gerekiyor. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en geç otuz gün içinde ücretsiz olarak sonuçlandırmak zorunda. Yazılı olarak cevap verilecekse, on sayfaya kadar başvuru ücreti alınamıyor. Veri sorumlusu talebi kabul edebiliyor veya gerekçesini açıklayarak reddedebiliyor. Başvuruda yer alan talebin kabul edilmesi hâlinde, veri sorumlusunca gereği yapılmak durumunda. Vatandaşlar, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz gün içinde Kurula şikâyet edebiliyor. Aynı zamanda veri sorumlusuna karşı doğrudan yargı yoluna giderek tazminat talebinde bulunabiliyor.

KVKK sebebiyle para ve hapis cezalarıyla yüzleşmek durumunda kalan şirketlerin ya da kurumların son pişmanlığı fayda etmiyor. Kurulun verinin işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına kadar çok geniş yetkileri var. Şirketlerin ya da kurumların sürecin mağduru olmaması için vatandaşlardan gelen talepleri hızlı ve doğru biçimde cevaplaması gerekiyor. Vatansever Bilişim olarak dağıtıcısı olduğumuz yerli ve milli çözümlerimizle buna uygun teknoloji altyapısı sağlıyoruz. T.C. kimlik numarası, cep telefonu numarası, kredi kartı bilgileri, banka hesap bilgileri gibi bilgileri işletim sisteminden bağımsız olarak dosyaların içerisinde, taranmış dokümanlarda, yazılımlarda, veri tabanlarında ve bunları kullanan uygulamalarda; arayıp bulabiliyoruz, raporlayabiliyoruz, taşıyabiliyoruz, anonimleştiriyoruz, silebiliyoruz. Tabi yapılan işlemlerin mahkemede delil olarak kabul edilebilmesi için ilgili log’ları elektronik imza ve zaman damgası ile kaydediyoruz. Çözümlerimizi kullananlar risklerini azaltabiliyor. Ayrıca henüz KVKK’ya uyum çalışmasına başlamamış şirketlere stratejik iş ortaklarımızla beraber hukuk danışmanlığı dahil uçtan uca anahtar teslimi çözüm oluşturabiliyoruz.

KVKK çözümleriyle ilgili şirketlerden gelen yoğun lisans kiralama taleplerini karşılamak için model oluşturduk. Artık şirketlerin ilk yatırım maliyetlerini dert etmelerine gerek yok, şirketler 36 aylık lisans kiralama modeli ile sistemlerini KVKK’ya uyumlu hale getirebiliyorlar. Türkiye’deki tüm şirketlerin bu imkândan yararlanmasını isteriz.” değerlendirmelerinde bulunarak, Türkiye’nin her yerine çözüm götürebilmek için İstanbul dahil tüm illerde lokal iş ortaklarıyla beraber çalıştıklarını ifade etti.

Durankaya: “Kritik tüm log kayıtlarının tutulması ve korelasyon kuralları uygulamak için SIEM yazılımı konumlandırılmalı”

Özel sektör firmalarına ya da kamu kurumlarına dışarıdan gelebilecek saldırı ya da iç kaynaklı suistimal ile bu verilerin çalınmasının söz konusu olup olmadığı ve alt yapılarının ne düzeyde yeterli olduğuna ilişkin soruya cevap veren Durankaya, “Fiziksel ve mantıksal olarak güvenlik önlemleri alınmış olsa da insan faktörünün bulunduğu her ortamda suistimal ve çalınma riski bulunuyor. Bilgi güvenliği farkındalığını arttırmak için, güncel tehlikeler konusunda sürekli bilgilendirmeler yapılmalı.  Bununla birlikte; erişim ve ayrıcalıklı erişimler için yönetim yazılımları, verilerin kontrollü bir şekilde transferi veya korunması için DLP yazılımları, log kayıtlarını tutmak ve korelasyon kuralları uygulamak için SIEM yazılımları konumlandırmak gerekir. Donanım ve yazılım hizmetleri yetkinliği olan kuruluşlardan alınmalı ve 7/24 izlenmeli. Bütün bu önlemlerle de risklerin minimum seviyede kalması sağlanabilir. Bu konuda da kamu kurumlarının ve/veya özel sektör firmalarının alt yapılarının yeterliliği konusunda bir genelleme yapmak mümkün olmasa da son yıllarda bilgi güvenliğine yönelik farkındalığın giderek arttığını, hem kamu kurumlarında hem de özel sektör firmalarında bilgi güvenliğine yönelik çok ciddi yatırımların ve geliştirmelerin yapıldığını görüyoruz.” açıklamalarında bulundu.

Durankaya, kişisel verilerin güvenliğinin sağlanması için KVKK tarafında neler yapılması gerekir sorusuna kişisel verilerin güvenliğinin veri sorumlusunun yükümlülüğünde olduğunu belirterek, “Bu bağlamda veri sorumlusu atamaları yapılmalı, tüm idari ve teknik tedbirlerin alınması sağlanmalı.

Kanuna uyum çerçevesinde kişisel verilerin elde ediliş yöntemi, işleme gerekçeleri belirlenerek, gerekliliği ve kanunda tanımlanan işleme şartlarına uygunluğu analiz edilerek, saklama süreleri belirlenerek sınıflandırılmalı, hukuksal açıdan da değerlendirilerek kişisel veri envanteri oluşturulmalı ve güncel tutulmalı.

KVKK’ya ilişkin kişisel veri saklama ile imha politikasına ilişkin açık rıza ve aydınlatma metinleri oluşturulmalı, ardından bu metinler yayınlanmalı.

Bununla beraber risk analizleri yapılmalı, kurumsal politika ve prosedürler oluşturulmalı, çalışan eğitimleri, farkındalık çalışmaları yapılmalı, gizlilik taahhütnameleri oluşturulmalı.

Kurum içi periyodik/rasgele denetimler yapılarak, kriz ve olay yönetimi gibi süreçlerin etkin şekilde uygulanması sağlanmalı, hem çalışanlarla hem de veri işleyen firmalarla sözleşmelerin ve gizlilik taahhütnamelerinin imzalanması gibi bir dizi idari tedbirler alınmalı.

Teknik tedbirler kapsamında ise; siber güvenliğin sağlanmasına yönelik öncelikli tedbirler güvenlik duvarı, saldırı tespit ve önleme sistemleri olmalı.

Bununla birlikte erişim politika ve prosedürleri oluşturulmalı, kullanıcı hesap ve erişim yönetimi sistemleri kullanılmalı, sadece gerekli olduğu kadar erişim yetkileri tanımlanmalı, erişim yetki ve kontrol matrisleri oluşturulmalı, erişimlerin log kayıtları tutulmalı, düzenli olarak gözden geçirilmeli, hatta sadece erişim logları değil, kritik tüm log kayıtlarının tutulması ve korelasyon kuralları uygulamak için SIEM yazılımı konumlandırılmalı.

Kötü amaçlı yazılımlardan korunmak için de ayrıca antivirüs/antimalware, antispam gibi ürünler kullanılmalı, güncelliği sağlanmalı ve düzenli olarak zafiyet taramaları ve sızma testleri yaptırılmalı.

Uygulama güvenliğine yönelik güvenli yazılım geliştirme süreçlerinin uygulanması bununla beraber uygulama güvenliği için WAF çözümlerinin kullanılması, veri tabanı güvenliği ile veri maskeleme için ise veri tabanı aktivite izleme ve veri tabanı güvenlik duvarı çözümleri kullanılmalı.

Kişisel verilerin yapısal (database) ve yapısal olmayan (file server, client vb.) tarafta belirlenmesi, güncellenmesi, sınıflandırılması, güncel ve kontrol altında tutulması için veri sınıflandırma çözümleri ile birlikte veri kaybı önleme yazılımları (DLP) kullanılmalı.

KVKK kapsamında alınması gereken tüm bu teknik tedbirlere ilaveten kişisel verilerin herhangi bir sebeple, çalınması, zarar görmesi, yok olması, kaybolması gibi risklere yönelik de güçlü bir veri yedekleme altyapısı oluşturulmalı ve etkin bir şekilde veri yedekleme sürecinin yürütülmeli.” tavsiyelerinde bulundu.

Tavlaş: “VERBİS kaydı için son tarih yaklaşıyor, kaydolmayanlara 20 bin TL’den 1 milyon TL’ye kadar idari para cezası uygulanacak”

Şirketlerin büyük bir kısmının 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun gerekliliklerini yerine getirmek için ilk iş olarak danışmanlık hizmeti almasının yarattığı sıkıntılara dikkat çeken Tavlaş, “Alınan bu danışmanlık hizmetleri ne yazık ki hukuksal tedbirlerin ötesine geçmiyor ve alınması gereken teknik tedbirlerle şirketler baş başa kalıyor. Teknik tedbirler için gerekli olan teknolojilerin doğru belirlenmesi bütçeyi doğrudan ilgilendiren bir durum. Karmaşık ve yüklü bir bütçe gerektiren teknik tedbirler doğru kişiler tarafından iyi bir şekilde yönetildiği takdirde kanunun gerekliliklerine uygun olarak hesaplı bütçelerle tesis edilebilir. Bunun yolu da öncelikli olarak veri ve varlık envanterinin çıkarılarak yapılacak yatırımların bütçesini envanter sonuçlarına göre belirlemek.

Alınacak olan teknik tedbirler kapsamında kullanılan teknolojilerin ve çıkarılan veri envanterinin VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kaydedilme zorunluluğunu da göz önünde bulundurmak gerekiyor. Kanunun 16. maddesi gereğince zorunlu olan VERBİS kaydı için verilen zaman da azalmış durumda, yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları 30 Eylül 2019 tarihine, çalışan sayısı 50’den az veya yıllık mali bilanço toplamı 25 milyon TL’den düşük olanlar için ise 31 Mart 2020 tarihine kadar kayıt yaptırmak zorundalar. VERBİS’e kayıt yükümlülüğüne aykırı hareket edenler hakkında 20.000 TL’den 1 milyon TL’ye kadar idari para cezasının uygulanacağı kanunun 18. maddesinde belirtilmiş durumda.

Alınacak teknik tedbirlerin organizasyonlarda entegrasyon ve uygulama sürecinin alacağı zamanı göz önünde bulundurarak şirketlerin daralan bu zaman içerisinde yatırımlarına hızlıca karar vererek gereklilikleri karşılaması, yalnızca olası maddi cezaların önüne geçmekle kalmayıp bundan doğacak itibar kaybının da önüne geçmiş olacak.” değerlendirmelerini paylaştı.

Panelin ardından gerçekleşen KVKK ve Güvenlik Çözümleri sunumunda Anet Yazılım AR-GE Direktörü Ertuğrul Akbaş; KVKK’ya uyumlu hale gelmek için gerekli olan Veri Sınıflandırma (Data Classification), Veri Keşfi (Data Discovery), Güvenlik Bilgi ve Olay Yönetimi (SIEM) çözümlerini demo da yaparak anlattı.

Akbaş: “İş ortaklarımızla beraber Veri Keşfi ve Sınıflandırması yazılımımız ve SIEM yazılımımız ile fark yaratıyoruz”

KVKK projelerinde öncelikle kişisel verilerin bulundurulmasının dayanağının oluşturulmasına ve sonrasında da bu alınan verilerin korunmasının kritikliğine işaret eden Akbaş, “Bu noktada yapılması gerekenler; kişisel verilerin nerelerde olduğunu bulmak, bu verileri tutmak için kanuni bir dayanağın ya da açık rızanın olup olmadığını tespit etmek, kişisel verilerinin tutulup tutulmadığını ve tutuluyorsa ne amaçla tutulduğunu soranlara cevap verebilmek, daha önceden açık rıza ile alınmış bir kişisel veri olsa bile, rıza veren kişi silinmesini talep ederse teknolojik olarak bulup silebilmek ve bu kişisel verilerin güvenliğini sağlamak. Bu adımlarda veri keşfi ve sınıflandırması yapan araçlar ve SIEM ön plana çıkıyor.

Vatansever Bilişim tarafından dağıtımı yapılan ve Pyron Data & Technology tarafından konumlandırılan Veri Keşfi ve Sınıflandırması yazılımımız ve SIEM yazılımımız kullanılarak belirttiğim maddeler eksiksiz olarak yerine getirilebilir.

Veri keşfi çözümü platform bağımsız olarak dosya ve veri tabanlarında kişisel verileri bulmayı ve sınıflandırmayı sağlarken False/Pozitif oranını “0”a düşürmek için T.C. kimlik taramalarını regex değil algoritmik olarak yapıyor. Resimleri tarama özelliği ile kurumun istediği gibi dosyaları silmeyi veya veri tabanlarında anonimleştirmeyi aynı anda sağlayan tek veri keşfi çözümü.

SIEM yazılımımız ise log toplama ve alarm özelliği olan pek çok rakiplerine göre çok gelişmiş korelasyon özellikleri ile ön plana çıkıyor. Ayrıca dünyanın en gelişmiş raporlama sistemine sahip ürünlerden biri.