Veri güvenliği için şirketlere uyarı

Ulusal ve uluslararası şirketlere hem veri güvenliği alanında danışmanlık hem de hukuk hizmeti veren Kurt&Partners Kurucu Ortağı Özlem Kurt, hukuk ile teknolojinin hiç olmadığı kadar iç içe girdiğini söyledi. Kurt, “Bilişim teknolojileri alanında yaşanan hızlı değişimler, internetin her alanda hızlı ve kapsamlı yaygın kullanımı, hukuki bakımdan da birçok düzenleme ihtiyacını doğurdu. Ortaya çıkan ihtiyaçlar, sorunlar, ihlaller, suçlar da hukuken çözümlenme zorunluluğunu beraberinde getirdi. Bu durum bilişim ve veri koruma hukukunun önemini çok artırıyor” dedi. Son yıllarda şirketlerin veri güvenliğine yeterli yatırımları yapmamasından kaynaklı ciddi hukuki sorunların yaşandığını belirten Kurt, “Bu konuda birçok vatandaşımız zaman zaman mağduriyetler yaşadı. Kimi zaman bankalardaki hesaplardan habersiz para çekildi, kimi zaman da indirilen uygulamalar, online alışveriş ya da sipariş uygulamaları üzerinden kişisel veriler ele geçirildi” diye konuştu.

Bu sorunlarla mücadele için 2016 yılında KVKK’nın kanunlaşarak yürürlüğe girdiğini hatırlatan Kurt, “Şirketlere bu kapsamda gerekli önlemleri almaları için iki yıllık bir geçiş süreci tanındı. Aynı zamanda belirli çalışan sayısı veya bilanço büyüklüğü eşiklerini aşan şirketler için Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt yapılması yükümlülüğü getirildi ve kayıt için tanınan bu süre birkaç kez uzatıldı.  Ancak pandemi sonrasında tüm dünyada yaşanan ekonomik kriz şirketlerin bu alandaki yatırımlarını sınırlı tutmasına neden oldu” şeklinde konuştu. Türkiye’de şirketlerin hala ciddi bir önlem almadığını anlatan Kurt, “Uluslararası şirketler hukuki uyumu mecburen yapmak zorundalar. Ancak hala şirketlerin çoğunluğu topun ağzında. Ülkemizde şirketler maalesef ‘dostlar alışverişte görsün’ diye veri koruma uyumluluğu yapıyor. Niyet bu olmasa bile derinliği olmayan ve yalnızca zorunlu dokümantasyon ve prosedür hazırlığı ile sınırlı kalan, kültürel değişim ve uygulama ile desteklenmeyen çalışmalar yapılıyor. Ciddi bir veri koruma uyum çalışması ve teknik tedbir yatırımı hala tam anlamıyla yok” ifadelerini kullandı.

Şirketlerin veri güvenliğine dair yatırımlarını da olası bir sorunla karşılaştıklarında artırdığını anlatan Kurt, bu durumu şöyle örneklendirdi: “Şirketler bir veri ihlali ile karşı karşıya kalmadan ve başına bir şey gelmeden gerçek anlamda veri güvenliği ve gizliliği için gerekli hukuki, idari ve teknik adımları atmıyor. Başlıca risklerden biri hacker saldırıları. Böyle bir durum yaşadıklarında hemen harekete geçiyorlar. Ama en fazla sorun çalışandan kaynaklı oluyor. Çalışan hata veya kasıt ile şirket içinde veri ihlaline sebep olabiliyor. Şirketlerin bu alandaki eksikliğini suiistimal edebiliyor. Çalışanların elinde bu Demokles'in kılıcı olarak sallanıyor. Bu bağlamda alınacak güvenlik önlemleri, şirket içi yetki matrisi yapısı kurulması ve etkin işletilmesi, teknik personelin yetkin olması büyük önem taşıyor. Geçen yıl 30 bin nitelikli teknik personel, yazılımcı, siber güvenlikçi yurtdışına gitti. Şirketler hukuken zorunlu siber güvenlik önlemlerini alıyor ama bilgilerin laptoptan flash belleke atılması gibi en basit güvenlik riskini önleyemeyebiliyor. Oysa istense yapılabilir.”

YAZILIM ÇÖPLÜĞÜ OLUŞTU

Şirketlerin veri güvenliği konusunda ihtiyacı tam olarak belirleyemediğini ve doğru yatırım analizi yapamadığını anlatan Kurt&Partners Kurucu Ortağı İzzet Gürler de, “Birçok şirket yazılım çöplüğüne dönmüş durumda. Örneğin İK birimi çalışan performans yönetimi için bir yazılım almış ya da mali işler herhangi bir işlem için ayrı bir yazılım almış. Ancak bunların bir kısmı etkin olarak kullanılmıyor. Bu da hem yeni veri güvenliği risklerini beraberinde getiriyor hem de boşa yapılan yatırımlar olarak önümüze çıkıyor” dedi.

 GÜNLÜK MALİYET 1 MİLYON DOLAR

Şirketlere hem teknik danışmanlık hem de hukuk danışmanlığı hizmeti verdiklerini anlatan Gürler, “Şirketleri hukuk ve siber güvenlik perspektifinden inceliyoruz. Altyapıda yeterli güvenlik önlemi var mı? Gizlilik için yeterli adımlar atıldı mı? Bu gibi soruların yanıtları için şirketleri denetliyoruz. Firmalara bir Check-Up yapıyoruz. Ardından Mahremiyet Etki Değerlendirmesi hazırlıyoruz” dedi. Son yıllarda şirketlerin özellikle hacker saldırılarının ardından veri güvenliğine yönelik ilgilerinin arttığını anlatan Gürler, “Büyük şirketlerde sızıntıya maruz kalan verinin niteliğine ve etkilenen kişi sayısına bağlı olarak siber saldırıların günlük maliyeti 1 milyon doları dahi bulabiliyor. Oysaki bu alana yapılacak yatırım çok daha sınırlı” diye konuştu.

Son yıllarda şirketlerin farkındalığının arttığını anlatan Gürler, şöyle devam etti: “Çünkü hacker saldırıları da arttı. Birçok şirket hackleniyor. Şirketin bir ihlal ya da sızıntı olduğunu gördüğünde kendini KVKK kapsamında Kişisel Veri Kurulu’na ihbar etmesi, bildirim yapması gerekiyor. Ancak çoğu şirket bunu yapmıyor. Kişisel Verileri Koruma Kurumunca (KVKK), 2024 için veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde verilecek idari para cezalarının üst sınırı her bir ihlal için 9 milyon 463 bin 213 liraya çıkarıldı. Şimdiye kadar bu oranda ceza kesilmedi.”