Veri ihlali yaşandıktan sonra neler yapılmalı?

Altın değerinde olan kişisel veriler konusunda yürürlüğe giren KVKK ile şirketlerin sorumlulukları daha da artıyor. Siber saldırganlar tarafından güvenlikleri tehdit edilen şirketlerin böyle bir durumda izlemeleri gereken önemli yollar bulunuyor. Hem veri ihlallerine hem de güvenlik ihlallerine karşı şirketleri uyaran Komtera Teknoloji Kanal Satış Direktörü Gürsel Tursun, şirketlerin bir veri ihlali durumunda alması gereken aksiyonları açıklıyor.

Kişisel verilerin korunması kapsamında yürürlüğe giren KVKK, şirketler için yeni düzenlemeleri beraberinde getiriyor. Veri güvenliğini sağlamakla yükümlü olan şirketlerin şeffaf bir şekilde verilere sahip çıkması beklenirken, siber saldırganlar ise saldırılarını daha da iştahlı gerçekleştiriyor. Şirketlerin veri ve güvenlik ihlallerine dikkat etmesi gerektiğini belirten Komtera Teknoloji Kanal Satış Direktörü Gürsel Tursun, veri ya da güvenlik ihlalleri durumunda şirketlerin doğru bir adım atabilmesi için kendilerine sorması gereken 6 sorunun olduğunu dile getiriyor.

1. Bir ihlal gerçekleşti mi? Herhangi bir aksiyon almadan önce, güvenlik ekibi, bir ihlalin olduğu iddiasını değerlendirmeli ve bunun gerçekleşip gerçekleşmediğini doğrulamalıdır.

2. Olay müdahale planı uygun mu, değilse nasıl düzenlenmeli? Güvenlik ekibi, kötü niyetli faaliyetlerin gerçekleştiğini onayladıktan sonra, şirketin olay müdahale planını harekete geçirmeli. Genellikle, potansiyel güvenlik olaylarının CISO’ya ve daha sonra şirketin genel müdürüne iletildiği bir süreç uygulanır. Genel müdür ve CISO, olayın kapsamına ve etkisine bağlı olarak, ekibin diğer üyelerini uygun şekilde bilgilendirebilir.

3. Siber saldırgan IT ortamına nasıl erişim sağladı? Güvenlik ekibinin, kötü niyetli faaliyetleri onaylamasından ve uygun kişileri komuta zincirinden haberdar etmesinden sonra, siber saldırganın şirketin IT ortamına nasıl eriştiği ve ne kadar süre kaldığını cevaplamak zorundadır. En yaygın erişim yöntemleri ise kimlik avı e-postası, şifre kırma veya diğer oltalama saldırıları yoluyla gerçekleşiyor. Birçok çalışanın tahmin edilmesi kolay şifreler kullandığına da dikkat çeken Gürsel Tursun, çalışanların benzersiz ve karmaşık şifreler kullanması gerektiğini de hatırlatıyor.

4. Siber saldırgan hala IT ortamınıza erişim sağlayabiliyor mu? Saldırganın hala IT ortamına erişip erişmediği ve bunun nasıl engelleneceği cevaplanmalıdır. Örneğin, saldırganlar kalıcı bir arka kapı kurmuş olabilir, şirketin VPN’sini kaldırarak veya ayrıcalıklı erişime sahip kullanıcı hesaplarının kimlik bilgilerine sahip oldukları için sızmaya devam ediyor olabiliyor. Saldırganlar, ayrıcalıklı hesapların güvenlik ekipleri tarafından daha az sıklıkla denetlenmesinden dolayı bu hesaplara sızma girişiminde bulunuyor. Ayrıcalıklı hesapları ele geçirmek, saldırganların hassas verilere ve veri tabanlarına erişmesini kolaylaştırıyor.

5. Siber saldırganlar ne tür bilgiler çaldı? Siber saldırganların hangi verileri sızdırdığını belirlemek gerekiyor. Çalınan bilgiler, sosyal güvenlik numaraları, kredi kartı bilgileri veya sağlık verileri gibi kişisel olarak tanımlanabilir bilgiler ise bunların tümü etkilenen kişilere rapor edilmelidir. KVKK kapsamında şirketlerin koruma yükümlülüğünde oldukları verilerin ihlali durumunda, şirketler para ve itibar kaybı ile karşı karşıya kalabilir.

6. İhlalin sebebi neydi? Son olarak şirket, saldırının sebeplerini belirlemelidir. Saldırganlar, fikri mülkiyet veya çok hassas şirket bilgilerini çalmak istemişlerse, endüstriyel casusluk mu planlıyorlar yoksa şirkete yönelik hedefli bir saldırı için bilgi mi topluyorlar sorusu cevaplanmalıdır. Güvenlik uzmanları, saldırganların sistemlerde kalıcı değişiklikler yapıp yapmadıklarını ve geri dönme ihtimallerinin yüksek olup olmadığını belirlemesi gerekiyor.

Son olarak veri ihlali ve güvenlik ihlali terimlerinin genellikle birbirlerinin yerine kullanıldığını ve bunların aynı şeyler olmadığını belirten Gürsel Tursun, bir veri ihlalinin ortak yasal yorumunun, yetkisiz erişim veya hassas bilgilerin çalınması olarak nitelendiğini, hassas verilere erişilmemesi veya hiçbir verinin çalınmaması durumunda ise sadece bir güvenlik ihlalinden söz edilebileceğini aktarıyor. Tursun, şirketin kendi fikri mülkiyet verilerinin etkilediği ancak kişisel verilerin etkilemediği veri ihlallerinde, kişisel verilerin ihlali yükümlülüğünde olunmadığını aktararak şirketlerin yürürlüğe giren KVKK kapsamında profesyonel destekler alması gerektiğini de öneriyor.