Dijital Sızıntıların Gölgesinde: Veri Koruma Günü

Dijital çağın hızla gelişen teknolojisi, beraberinde veri güvenliği endişelerini de arttırıyor. 24 Ocak 2024 tarihinde ortaya çıkan ve 26 milyar kayıt içeren büyük çaplı bir veri sızıntısı, gizlilik ve güvenlik konularında ne kadar hassas bir noktada olduğumuzu bir kez daha gözler önüne serdi. Bu olay, sadece bireylerin değil, aynı zamanda şirketlerin ve devletlerin de kişisel verileri koruma konusunda daha proaktif önlemler alması gerektiğini gösteriyor.

Siber güvenlik araştırmacılarının açık bir depolama alanında keşfettiği sızıntı, tarihin en büyük veri ihlali olarak anılıyor. Araştırmacılar sızdırılan veri setinin çoğunlukla geçmiş veri ihlallerine ait bilgileri içerse de yeni ve yayımlanmamış bilgileri de içinde barındırdığını belirtiyor. 12 terabaytlık kullanıcı verisi içeren bu sızıntıya araştırmacılar tarafından Mother of All Breaches (Tüm İhlallerin Anası - MOAB) adı verilmiş. MOAB’ın içinde her biri ayrı bir veri ihlali anlamına gelen 3800 klasör ve 26 milyar kayıt bulunuyor. Araştırmacılara göre bu kayıtlar kimlik bilgilerinden daha fazla ve hassas bilgi içeriyor ve bu sebeple kötü niyetli kişiler için oldukça değerli. Araştırmacılar web sitelerindeki açıklamada sızıntının ABD, Brezilya, Almanya, Filipinler, Türkiye ve diğer ülkelerdeki çeşitli hükümet kuruluşlarının kayıtlarını da içerdiğini belirtmiş.  Dijital veri sızıntıları, kayıtların tek bir ülkeye ait olmadığı göz önünde bulundurulursa, küresel bir köy haline gelen dünyada uluslararası işbirliği gerektiren yeni bir tehdit olarak nitelendirilebilir.

Uluslararası alanda kişisel verilerin korunmasına ilişkin geniş kapsamlı yapılan ilk sözleşme Avrupa Konseyi tarafından gerçekleştirilen 28 Ocak 1981 tarih ve 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme”dir. 108 sayılı sözleşme olarak da anılan sözleşmenin amacı, sözleşmeye katılan ülkelerde kişilerin temel hak ve özgürlükleri ile kişisel verilerinin otomatik bilgi işleme tabi tutulduğu durumlarda özel yaşam haklarının güvenceye alınması. Avrupa Konseyi tarafından, 2006 yılında veri koruma sözleşmesinin imzaya açıldığı 28 Ocak tarihi dünya çapında Veri Koruma Günü olarak belirlendi. 28 Ocak Veri Koruma Günü, veri sızıntılarının önlenebilmesi ve toplumun veri güvenliği konusunda bilinçlenmesi açısından önemli bir misyon taşıyor. 

28 Ocak ülkemizde de Veri Koruma Günü kapsamında ele alınıyor. Türkiye 108 sayılı sözleşmeyi 28 Ocak 1981 yılında imzalayan ilk ülkelerden biri. 

Ulusal anlamda Türkiye’de kişisel verilerin korunmasına ilişkin bir kanun çıkarmak için çalışmalar 1989 yılında başlasa da, 2016 yılına kadar bu tasarılar kanunlaşamamıştı. 26 Aralık 2014 tarihinde TBMM’ye sunulan “Kişisel Verilerin Korunması Kanunu Tasarısı”, 24 Mart 2016 tarihinde kanunlaştı. 6698 sayılı “Kişisel Verilerin Korunması Kanunu” 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girdi. Kanunun amacı kişisel verilerin işlenmesinde kişilerim temel hak ve özgürlüklerini korumak, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini belirlemek.  

Kişisel verilerin işlenmesinden yönetilmesinden ve kayıt edilmesinden sorumlu gerçek ya da tüzel kişi kanunda veri sorumlusu olarak tanımlanmış. Veri sorumlusunun yükümlülükleri kanunda kişisel verilerin hukuka aykırı olarak işlenmesini, erişilmesini önlemek ve bu verilerin muhafaza edilmesini sağlamak olarak belirlenmiş. Bu verilerin başka kişiler tarafından elde edilmesi durumunda yaşanan veri ihlalinin Kişisel Verileri Koruma Kuruluna bildirilmesi gerekiyor. Veri sorumluları tarafından yapılan bu bildirimler, KVKK’nın resmi web sitesinde Veri İhlalleri Bildirimleri olarak yer alıyor.

2024 yılında KVKK’nın yayımladığı verilere göre 39 veri ihlali gerçekleşti. Bu ihlallerin büyük bir kısmında etkilenen kişi sayısının belirtilmemesi, sızıntılardan etkilenenlerin sayısının çok daha yüksek olabileceği endişesini doğuruyor. 2024’te veri ihlali yaşayan veri sorumluları arasında Rossmann, Allianz Sigorta, Uber, Yamaha Motor, Lizay Kuyumculuk gibi çok bilinen markalar da yer alıyor. Bununla birlikte, Maltepe Üniversitesi, Atılım Üniversitesi, Kilis 7 Aralık Üniversitesi ve Lokman Hekim Üniversitesi gibi eğitim kurumları da farklı zamanlarda veri ihlali yaşadı.

2024’teki veri ihlali bildirimlerinde en dikkat çekici nokta ise, birçok ünlü marka ve kurumun sızıntılardan etkilenen kişi sayısını açıklayamaması oldu. Bu durum, hem şeffaflık eksikliğini hem de etkinin ölçülemeyecek kadar büyük olabileceğini düşündürüyor.

Veri sorumluları, KVKK’da belirtilen sorumluluklarını yerine getirmediklerinde bazı yaptırımlar ile karşı karşıya kalırlar. Veri sorumlularına işledikleri suçlar için hapis cezası ve kabahatler için idari para cezası ile yaptırım uygulanıyor. Verileri hukuka aykırı olarak kullanan ya da kaydeden kişilere ve verileri yok etmekle yükümlü olup yok etmeyen kişilere Türk Ceza Kanunu’na göre hapis cezası uygulanmakta.   

Kabahatler karşılığında ödenecek idari para cezaları her yıl değişiklik göstermekle birlikte 2024 yılında uygulanan cezalar şu şekilde olmuş;

KVKK’nın yayımladığı veri ihlali bildirimleri kayıtlarına göre 2023 yılında Türkiye’de 50 veri ihlali gerçekleşti. Bu ihlallerin bazıları küçük ölçekte gerçekleşirken bazıları ise pek çok kişiyi etkilemiş. 70 binden fazla kişiyi etkileyen veri ihlallerine bakıldığında, en yüksek veri ihlali Boyner Büyük Mağazacılık Anonim Şirketi (Boyner)’de görülüyor. Boyner’deki veri ihlali, SMS Gönderim Paneline erişilmesi sonucu panelde kayıtlı kullanıcılara sahte bir internet sitesine yönlendiren kısa mesaj gönderilmesi ile gerçekleşmiş. 

Kayıt sayısı 70 binin üzerinde olan fakat etkilenen kişinin daha az olduğunu öne süren iki veri sorumlusu, Vodafone Dağıtım Servis ve İçerik Hizmetleri AŞ* ve Marifet Saatçilik Ltd. Şti.** listeye dahil edilmemiştir.

*Vodafone Dağıtım Servis ve İçerik Hizmetleri AŞ'de yaşanan veri ihlalinde, ihlalden etkilenen kişi sayısının 26.698, kayıt sayısının ise 102.780 olduğu açıklanmış.

**Marifet Saatçilik Ltd. Şti. yaptığı açıklamada yaşanan veri ihlali sonucu 1.513.947 kişiye SMS gönderildiğini fakat veri sorumlusunda kayıtlı müşteri sayısının 66.000 olduğunu, bu sebeple SMS gönderilen numaraların uygulamayı ele geçiren kişiler tarafından sisteme yüklediğinin düşünüldüğünü belirtmiş.

Veri İhlalleri Bildirimlerinde pek çok tanınmış marka ve kuruluşun bildirimi yer alıyor. Vava Cars, Defacto Perakende, Puma, Vestel, Getir, Derimod, Geberit, Arçelik, AGEsa, UPS gibi birçok veri sorumlusunda farklı ölçeklerde veri ihlallerinin yaşandığı görülüyor. KVKK’ya göre, verilerde yaşanan tüm ihlaller bildirilmek zorunda. Bu sebeple etkilenen sayısının 5 olduğu bir veri ihlal bildirimi görmek de mümkün. 2023’te yaşanan tüm ihallerin ayrıntılı bilgileri için KVKK’da yayımlanan Veri İhlalleri Bildirimleri incelenebilir.

Dijital ortamda verilere yönelik tehditlerin arttığı bir dönemde, veri sorumlularının görev ve sorumluluklarını etkili bir biçimde yerine getirmemeleri, ciddi güvenlik açıklarıyla sonuçlanabilir. Bu durum, kötü niyetli aktörlerin saldırı girişimlerini artırarak,veri güvenliği standartlarının zayıflamasına ve gizlilik ihlallerine neden olabilir. Bu sebeple, kişisel verilerin güvenliği için veri sorumlularına yönelik yaptırımların uygulanması, veri güvenliği standartlarını korumak ve gizliliği güvence altına almak adına kritik bir öneme sahip.

Siber güvenlik uzmanlarına göre bireysel olarak dijital ortamda verileri koruyabilmek için;
→ Güçlü ve tahmin edilmesi zor şifreler kullanılmalı.
→ Önemli hesaplarda çok faktörlü kimlik doğrulaması etkinleştirilmeli.
→ Kimlik avı girişimlerine karşı dikkatli olunmalı.
→ Aynı şifreleri paylaşan hesapların şifreleri değiştirilmeli. 
→ Sahte web sitelerine ve kötü amaçlı eklere yönlendirecek linklere karşı dikkatli olunmalı.