DDK’nın “Kişisel Verilerin Gizliliği” konulu denetleme raporuna dair haberin ilk bölümünü “Devlet Denetleme Kurulu’ndan Önemli Bir Rapor; Devlet Kurumları Kişisel Verileri Dikkatsizce Veriyor – 1” başlığı altında okuyabilirsiniz.
Ne demiştik; Devlet Denetleme Kurumu çok önemli bir rapor üretmiş. Bu raporun içinde sadece kişisel verilerin korunması konusu değil; yanısıra doğrudan ilgilendirdiği için bilgi güvenliği konusu da incelenmiş. İyi de olmuş.
Aşağıdaki tespitleri okurken, biliyorum ki, bunları çok uzun yıllardır pek çok TBD toplantısında dile getirilen konular olarak hatırlayacaksınız. Biz de sayfalarımızda özetlemeye çalışalım.
Raporun “Tespit ve Öneriler”inde yer alan 39 maddeden
- A bölümünde yer alan 7 tanesi genel,
- B Bölümünde yer alan 2 tanesi mevzuata yönelik,
- C bölümünde yer alan 5 tanesi Kişisel verilerin korunması hakkındaki kanun çalışmalarına
- D bölümünde yer alan 2 tanesi Kurumsal yapıya,
- E bölümünde yer alan 5 tanesi Kişisel verilerin toplanmasına,
- F bölümünde yer alan 14 tanesi bilgi güvenliği yönetim sistemlerine ilişkin
- G bölümünde yer alan 4 tanesi iç denetim ve iç kontrole yönelik
tespit ve öneriler olarak yer alıyor. Bu maddeleri okumak da epeyce zahmetli bir iş. Bu nedenle içinden önemli notları ayırarak ve raporun kendi diliyle yayınlıyoruz. Biz en çok “bilgi sistemlerinin kontrolünün özel firmaların elinde olduğu” tespitinden etkilendik, bunu da not edelim;
- Kurumların bazılarında güvenlik, yedekleme, yama, parola politikalarının bulunmaması, bu konudaki uygulamaların çoğu kurumda kişilere bağlı ve bağımlı olarak gerçekleştirilmesi,
- Kurumların çoğunda iş sürekliliğI politika ve senaryolarının bulunmaması,
- Çok önemli bazı bilgi sistemlerinin felaket kurtarma merkezinin bulunmaması,
- Kurumdaki en kritik bilgilere dahi ulaşabilen bilişim hizmeti sunan firmalarla ve bunların çalışanları ile herhangi bir gizlilik sözleşmesi yapılmaması ve firma personelinin herhangi bir güvenlik araştırmasından geçirilmemesi,
- Kaynak kodu dâhil, bilgi sistemleri üzerindeki işlemlerin kayıtlarının (log) tutulmasında ciddi eksiklikler bulunması,
- Bilgi sistem odasından otoparka açılan kapı bulunması veya sistem odasına giden fiber kablolarının açıktan geçmesi örnekleri dâhil, fiziki güvenlik konusunda ciddi eksikliklerin mevcudiyeti,
- Hassas veri içeren sistemlere erişimde kullanıcıların iki haneli sayısal şifre verebilmesi, 1111, 0000, 1234 gibi kolay tahmin edilebilir şifrelerin kullanılması,
- Bazı kurumların çağrı merkezinden sadece ad, soyad ve T.C. kimlik numarası beyan etmek suretiyle; maaş tutarları, kesintiye esas brüt ücret, gidilen sağlık kurumu, muayene olunan ery o, ilaç alınan eczane, alınan ilacın adı, ödenen katılım payı miktarı gibi birçok kişisel bilgiye ulaşılabilmesi,
- Kimlik Paylaşım Sistemi aracılığı ile özel kesim ve kamu kesiminden kimlik bilgilerine ulaşabilecek kullanıcı sayısının bir milyonun üzerinde olduğu tahmin edilmesine rağmen, bu erişimlerin güvenliğI konusunda verileri alan kurumların bir kısmında; IP adresi bazında kısıtlama getirilmesi, kullanıcıların ad, soyad ve T.C. kimlik numaralarının kayıt altında tutulması, kullanıcıların yapmış oldukları sorguların kayıtlarının (log) tutulması, bilgisayarlar ile internet arasında güvenlik duvarı (firewall) bulunması, imzaları devamlı güncellenen anti-virüs programının kullanılması, güçlü parola kullanılması gibi temel güvenlik önlemlerinin alınmamış olması,
- Kişisel veri içeren bilgilerin çeşitli taşınabilir kayıt ortamları aracılığı ile bu ortamlar şifrelenmeden ve başkaca herhangi bir güvenlik önlemi alınmadan paylaşılması, bir örnekte CD ortamında 13.8 milyon kişinin kimlik ve adres bilgisinin herhangi bir güvenlik önlemi alınmadan paylaşıldığının tespit edilmesi.
TESPİT VE ÖNERİ 1- Bilgi güvenliği ve kişisel verilerin korunması konusunda gerekli önlemlerin alınması ve gerekli çabanın gösterilebilmesi için öncelikle bu konuda belirli bir farkındalığın oluşması, bilinç düzeyinin gelişmesi gerekmektedir.
Denetim çalışmaları sırasında da farkındalık eksikliğinden kaynaklı pek çok eksiklik ve açıklık tespit edilmiş olup bunlardan sadece birkaçına aşağıda yer verilmektedir:
Bilgi güvenliğIi ve kişisel verilerin korunması konusunda farkındalık artırmaya yönelik olarak kurumun en alt kademesindeki çalışanından en üst yöneticisine kadar uzanan geniş bir yelpazede eğitim veya farkındalık oluşturma çalışması yürütülmesi, mevzuat düzenlemelerinde kişisel verilerin güvenliğI konusunun gözetilmesi, kurumsal uygulamalardan kaynaklı kötü uygulama örneklerinin tekrarlanmamasına yönelik gerekli tedbirlerin alınması gerektiğI düşünülmektedir. Ayrıca, farkındalık ve bilinç oluşmasının ciddi kültür ve zihniyet değişimi gerektirmesi nedeniyle, kişisel verilerin korunması konusuna her kademede eğitim müfredatında mümkün olduğunca yer verilmesinin, kamu spotu ve benzeri uygulamalarla farkındalık oluşturma çalışmalarının desteklenmesinin uygun olacağı değerlendirilmektedir.
TESPİT VE ÖNERİ 2- Bilgi güvenliğI ve kişisel verilerin korunması açısından sadece teknolojik önlemler yeterli değildir. Bu kapsamda, kişisel verilerin toplanması, işlenmesi, kullanılması, muhafazası, paylaşılması, yeni işlemlere tabi tutulması, silinmesi gibi her aşamada etkin bir şekilde korunması amacıyla; kamu kesimi ve özel kesim, sivil toplum ve uluslararası kurum ve kuruluşlar olmak üzere tüm taraflar ile konunun teknik, idari, organizasyonel, sosyal ve ekonomik boyutlarının tamamını dikkate alan bütüncül yaklaşım ihtiyacı bulunmaktadır.
TESPİT VE ÖNERİ 3- Kamudaki bilgi sistemlerinin bir e-Devlet mimarisi genel çerçevesinde şekillendirilmemesi nedeniyle güvenlik riskleri başta olmak üzere, sistemlerin birbirleriyle konuşamaması, hizmet kalitesinin düşmesi, aynı verilerin defalarca farklı sistemlerde tutulması gibi pek çok sorun yaşanmakta, gereksiz maliyetlere katlanılmaktadır.
TESPİT VE ÖNERİ 4- Bilgi sistem donanımlarının ve yazılımlarının ilgili kurumun envanterinde yer alması, söz konusu bilgi sistemlerinin sahipliğinin ilgili kurumda olması anlamına gelmemektedir. Bilgi sistemleri üzerindeki gerçek sahiplik, bu sistemler üzerinde nihai belirleyicilik ve sistem yetkisine bağlıdır. Söz konusu bilgi sistemleri üzerindeki en üst sistem yetkilerinin bilişim hizmeti alınan özel firma yetkililerinde bulunması durumunda ilgili kurum, bilgi sistemlerinin sahipliğI konumundan, kullanıcısı konumuna düşebilmektedir. Denetimlerde Türkiye’de pek çok kurumun bilgi sistemlerinin gerçek anlamda sahibi olmadığı, tüm vatandaşların verilerini tutan bazı omurga veri tabanlarında dahi bilgi sistemleri üzerinde en üst sistem yetkisinin bilişim hizmeti alınan yüklenici firma personelinde olduğu görülmüştür.
Bazı kurumlarda, hizmet alınan firmaların, bilgi sisteminin işletilmesi ve verilerin kullanımı, sorgu kayıtlarının tutulması ve benzeri konularda adeta sistemin sahibi gibi hareket edebildikleri ve herhangi bir sorgu kaydı olmaksızın sistemden veri çekebildikleri bizzat gözlemlenmiştir.
Özel kuruluşlar, bilgi sistemlerinin oluşturulması ve idamesi konusunda oldukça önemli bir birikime ve insan kaynağına sahiptirler. Ancak gelinen nokta, hem bilgi güvenliğI hem de sistemlerin sürdürülebilirliğI açısından kurumların kendi bilgi sistemlerinin gerçek anlamda sahibi olmalarını gerektirmektedir. Söz konusu durum dışarıdan hiç hizmet alınmayacağı anlamına gelmemekte olup, önemli olan husus, kurumun bilgi sistemleri üzerinde hâkimiyet sağlaması ve özel kurumlarla olan ilişkinin doğrudan hizmetin teslimi değil, işbirliğI yapma şekline dönüşmesidir.
TESPİT VE ÖNERİ 5- Güvenlik, neyin korunacağı, hangi değerin önemli olduğu, bu değere yönelmiş tehditler, mevcut zafiyetler ve alınabilecek önlemler unsurlarını bünyesinde barındıran bir kavramdır. Kişisel verilerin korunmasında, korunacak değer “veri”, “bilgi” olup öncelikle korunması gereken unsurun nelerden ibaret olduğunun belirlenmesine yönelik envanter çalışması yapılması önem taşımaktadır. Bilgi sistemleri ve bu sistemlerde bulunan veri envanteri çalışması ile korunması gereken veri varlıkları ve bunların niteliği belirlenebilecek, buna göre verilerin kişisel veri, hassas veri, kritik altyapı verisi, gizli veri gibi nitelikleri dikkate alınarak niteliklerine uygun güvenlik önlemleri uygulanabilecektir.
Kamu kurum ve kuruluşlarının sahip olduğu temel bilgi sistemleri ve bu bilgi sistemleri içinde bulunan kişisel ve kritik veri türlerinin neler olduğuna ilişkin herhangi bir envanter çalışmasının, gerek kurum bazında gerekse Türkiye genelinde yapılmamış olduğu anlaşılmıştır.
TESPİT VE ÖNERİ 6- Uygulama, yazılım ve sistemlerin oluşturulması sırasında kısa vadede sistemin işleyişi ve çalışır halde bulunmasının daha ön planda tutulduğu anlaşılmıştır. Bilgi sistemlerinin güvenliğinin tasarım aşamasından itibaren dikkate alınması ve bu kapsamda işlevsellik ile güvenlik arasında denge oluşturulması gerektiği düşünülmektedir.
TESPİT VE ÖNERİ 7- Bilgi güvenliği yönetim sisteminin uluslararası standartlara sahip bir yapıya kavuşması, gerekli güvenlik tedbirlerinin belirlenerek hayata geçirilmesi ve bunun bir sistem dâhilinde yürütülmesi açısından sertifikasyon süreçleri kurumlara olumlu katkılar yapmaktadır. Ancak bu tür sertifikasyonlarda nihai amaç, kurumun bilgi sistemlerinin güvenliğine katkı yapılmasıdır. Bu açıdan güvenlik amacına ulaşmada bir araç olan sertifikalar amaç mertebesine yükseltilmemelidir. Kurumda amacın, gerçek anlamda bilgi güvenliğini sağlayacak yeterli, yetkin, kurumsallaşmış ve yeni tehditlere göre sürekli güncellenen dinamik bir bilgi güvenliği yönetim sisteminin oluşturulması olduğu göz önünde bulundurulmalı, bilgi güvenliği yönetimi sertifikasının kapsamı konusunda yanlış algılara yol açabilecek uygulama ve açıklamalardan kaçınılmalıdır.
Yazımızın bugünkü bölümünde genel tespit ve öneriler bölümünde yer alan 7 maddeyi verdik. Yarın mevzuata ve kanun çalışmalarına yönelik maddeleri yayınlayacağız.. Bu bölümü burayı tıklayarak okuyabilirsiniz.

Kaynak : 