Veri Sızıntısı

Veri sızıntısı, bir kuruluş içindeki verilerin harici bir hedefe veya alıcıya yetkisiz iletimidir. Terim, elektronik veya fiziksel olarak aktarılan verileri tanımlamak için kullanılabilir. 

Veri sızıntısı, bir kuruluşa ait gizli bilgiler (kuruluşun idari – mali bilgileri, ihale teklifleri, müşteri veri tabanı, iş yapış şekli ya da teknolojisi) ya da kişilerin gizli bilgilerinin çalınması şeklinde oluşur.

Veri Sızıntısı Nasıl Gerçekleşir?

Veri sızıntısı tehditleri genellikle web ve e-posta yoluyla gerçekleşir, ancak optik medya, USB anahtarlar ve dizüstü bilgisayarlar gibi mobil veri depolama aygıtlarından da oluşabilir.

Ancak veri sızıntıları farkedilmeden de gerçekleşebiliyor. “Düşük ve yavaş veri hırsızlığı” olarak da bilinen veri sızıntısı[1], veri güvenliği için büyük bir sorundur ve bu herhangi bir kuruluşun kendilerini korumak isteyeceği bir tehdittir.

“Yetkisiz” veri sızıntısı mutlaka amaçlanan veya kötü niyetli anlamına gelmez. Bazen de kazara veri sızıntısı meydana gelebiliyor. Örneğin, bir çalışan gizli verileri içeren bir e-posta gönderirken istemeden yanlış alıcıyı seçebilir.  Ama sonucu değiştirmez. Bu firma açısından cezai sorumluluğa neden olabilir.

Veri Sızıntısının Hukuki Karşılığı Nedir?

Bilgisayarların yayılmaya başladığı 1980’li yıllarda Avrupa tarafından ciddiyeti farkına varılan “veri sızıntıları”na karşı, 1981 yılında “Elektronik Ortamlarda Verilerin Korunması” sözleşmesi imzalandı.

Avrupa Birliği bu sözleşmeyi, internetin yaygınlaşması ile birlikte 1995 yılında yayınladığı “çerçeve” ile yeniledi. 2017 yılında ise asıl yönetmelik GDPR (General Data Protecting regulation) ismiyle yayınlandı.

Türkiye’de ise 2015 yılında 6698 sayılı “Kişisel Verilerin Korunması Kanunu” yayınlandı.

Kuruluşların hem Avrupa Birliği, hem de Türkiye ile ilgili kanun ve yönetmeliklere uyması gerekiyor. Veri sızıntısı, ciddi cezalar içeren bir konudur. Sızdıranlar kadar, verileri korumayanlar da cezalandırılır.

Veri Sızıntısını Kim Yapar?

Veri sızıntısına neden olan kişi ya da grupları anlamak için veri sızıntılarının da durumuna bakalım;

Hedefli (Kötü Niyetli) Elektronik İletişim

Şirketlerde, çalışanlar internete, e-postaya ve anlık mesajlaşmaya erişirler. Sorun, tüm bu ortamların internet üzerinden dosya aktarma ya da harici kaynaklara erişme kabiliyetli olmasıdır. Kötü amaçlı yazılımlar genellikle bu ortamları hedef alır. Örneğin, bir siber suçlu normal gözülen bir e-posta ile çalışanın hesabı üzerinden şirketin networküne sızabilir. Ya da normal gözüken bir e-posta ile doğrudan çalışana bazı bilgiler sorarak, o kişinin hassas bilgilerini alabilir.

Kimlik avı saldırıları, yüksek başarı oranına sahip bir siber saldırı yöntemidir. Sadece bir bağlantıya tıklayıp kötü amaçlı kod içeren bir web sayfasını ziyaret etmek, saldırganın ihtiyaç duyduğu bilgileri çalması için bir bilgisayara veya ağa erişmesine izin verebilir.

Hoşnutsuz ya da Kötü Niyetli Çalışanlar

Veri sızıntılarını genellikle dışarıdan birilerinin kuruluşun networküne, sunucularına ya da tek bir bilgisayar sızarak, çalındığı düşünülür. Ama ortaya çıkan sonuçlara bakıldığında, veri kaybının büyük çoğunluğunun şirket içinden yapıldığı ortaya çıkıyor.

Bu bilgisayar ortamlarından olabildiği gibi, fiziksel olarak da gerçekleştirilebilir. Kötü niyetli çalışanlar için yazıcılar, kameralar, fotokopi makineleri, USB sürücüleri ve atılan belgeler için çöp kutusu araştırmaları bu tür sızıntıların gerçekleştirilebildiği ortamlardır. 

Bir çalışan, işveren ile çalışan arasında güveni etkin bir şekilde belirten bir iş sözleşmesi imzalamış olsa da, kuruluşta çalışırken bu tür bilgileri dışarıya çıkarmaları ve hatta ayrıldıktan sonra şifreleri kullanarak dışarıdan sistemlere sızıp bilgi çalmaları bilinen örneklerdir. Bu tür veri sızıntılarına “dışarıya sızıntı (exfiltration) adı verilir.

Kaza ile Veri Sızıntısı Yaratmak

“Yetkisiz” veri sızıntısı mutlaka amaçlanan veya kötü niyetli anlamına gelmez. İyi haber şu ki, veri kaçağı olaylarının çoğunun tesadüfi olması. Örneğin, bir çalışan gizli verileri içeren bir e-posta gönderirken istemeden yanlış alıcıyı seçebilir. Ne yazık ki kasıtsız veri kaçağı, yasal sorumlulukları azaltmadıkları için aynı cezalara ve itibar hasarına neden olabilir.

Linkler

  1. Güvende Olduğunu Sanan KOBİ’lerin Neredeyse Yarısı Veri Sızıntısı Yaşıyor
Sidebar