Dünyada ve ülkemizde baş göstermiş olan Covid-19 salgın hastalığı nedeniyle işyerlerinde çalışanların bir bölümünün ya da tamamının evden çalışması ihtiyacı baş göstermeye başlamıştır.

Bu kapsamda, çalışanlar, işyerindeki mobil cihaz, laptop bilgisayar, tablet, hard disk, taşınabilir bellek gibi kişisel veri içeren elektronik ortamlar ve aynı zamanda fiziki belgeleri üzerinde çalışmak üzere eve götürmekte ve bazı durumlarda uzaktan bağlantı şeklinde işyerindeki cihazlarına bağlanabilmektedirler.

6698 Sayılı Kişisel Verilerin Korunması Kanun’un 12/1 maddesinde

“Veri sorumlusu;

  1. a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü yer almaktadır.

Çalışanlar, işyerine ait araç ve gereçler ile evden çalıştıklarında da, Kanun’da belirtilen güvenlik önlemlerinin İşveren tarafından alınması ve denetlenmesi zorunludur. Lakin, Kişisel Verilerin Korunması, yayınladığı Kamuoyu duyurusunda da bu hususa aşağıdaki şekilde dikkat çekmiştir. (Detaylı bilgi için:

https://www.eralpdanismanlik.com.tr/category/blog/yazilar/)

“Salgın sırasında kuruluşların personelinin çoğunun evden çalıştığı bilinmektedir. Evden çalışılan bu süre zarfında ne tür güvenlik önlemleri alınmalıdır?

Kişisel verilerin korunması mevzuatı, evden çalışmanın önünde bir engel değildir. Salgın sırasında personel evden çalışabilir ve kendi cihazlarını veya iletişim ekipmanlarını kullanabilir. Kişisel verilerin korunması mevzuatı bunu engellemez, ancak kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerekmektedir.”

Tüm bu bilgiler neticesinde, Şirketler nezdinde “uzaktan çalışma” esnasında alınacak teknik tedbirlerin ortaya çıkan ihtiyaç özelinde ve dikkatle değerlendirilmesi gereği doğmuştur:

  1. Kişisel Verileri Koruma Kurulu tarafından veri sorumlularında alınması gereken idari ve teknik tedbirler ile ilgili olarak rehber yayınlanmıştır. 

https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf

Rehbere göre alınması gereken teknik tedbirler aşağıdaki gibidir:

Teknik Tedbirler

  • Yetki Matrisi
  • Yetki Kontrol Erişim Logları
  • Kullanıcı Hesap Yönetimi
  • Ağ Güvenliği
  • Uygulama Güvenliği
  • Şifreleme
  • Sızma Testi
  • Saldırı Tespit ve Önleme Sistemleri
  • Log Kayıtları
  • Veri Maskeleme
  • Veri Kaybı Önleme Yazılımları
  • Yedekleme
  • Güvenlik Duvarları
  • Güncel Anti-Virüs Sistemleri
  • Silme, Yok Etme veya Anonim Hale Getirme
  • Anahtar Yönetimi

2. Kurul tarafından yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararında, diğer şartların yanı sıra, uzaktan erişilen veriler ile ilgili olarak aşağıdaki gereklilikler öngörülmüştür:

  • Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
  • Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
  • Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
  • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
  • Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

3. Her ne kadar alınması gerekli teknik tedbirlere rehberde ve Kurul kararlarında yer verilmiş olsa da, Kurumlar nezdinde, “uzaktan çalışma özelinde alınması gereken tedbirler” konusunda soru işareti doğabilmektedir.  Uzaktan/evden çalışma durumunda alınması gereken teknik tedbirlere ve siber saldırıların ne şekilde önlenebileceğine ilişkin esaslar Ulusal Siber Olaylarla Mücadele Merkezi tarafından yayınlanmış olup akla gelen soruların giderilmesini sağlamaktadır:

TR-20-159 (Güvenli “Uzaktan Çalışma” Kuralları)

Uzaktan çalışma yöntemi kullanan iş yerleri, kurumlar ve personeller için dikkat edilmesi gereken hususlar, alınması gereken tedbirler ve en iyi uygulama örnekleri aşağıda belirtilmiştir.

Uzaktan çalışma yöntemini uygulayan kurumlar ve sistem yöneticileri tarafından;

  1. Güvenlik ve çalışma koşullarına ilişkin risklerin belirlenmesi ve minimize edilerek uzaktan çalışma koşullarının oluşturulması için teknik ve idari personelin içinde bulunduğu bir çalışma grubunun oluşturulması önem arz etmektedir.
  2. Uzaktan erişime açılamayacak derecede kritik hizmetlerin risk değerlendirmelerinin yapılması gerekmektedir. Uzaktan erişime uygun olmayan kritik hizmetler ve kaynaklar için önceliklendirme yapılması, yeterli sayıda personelin yedekli biçimde iş yerinde bulundurulması ve görevlendirilmesi sağlanmalıdır.
  3. Uzaktan çalışan tüm personele özellikle güçlü parola kullanımı, sosyal mühendislik saldırıları ve güvenlik yazılımları hakkında farkındalık eğitimi verilmeli ve oryantasyon yapılmalıdır.
  4. Uzaktan erişim için VPN veya uzaktan yönetim servisi (RDP, SSH vb.) kullanılması durumunda;
    • İlgili sistemlerin en güncel/stabil/güvenli versiyonu kullanılmalıdır.
    • Sistemlerin desteklediği tüm güvenlik önlemleri doğru ve tam şekilde yapılandırılmalıdır.
    • Üretilen iz kayıtları (logların) olası bir saldırıyı tespit edecek şekilde düzenli olarak kayıt altına alınmalı,
    • Yetkisiz erişim, kaba kuvvet (brute force) saldırıları vb. anomalilerin tespiti için alarm mekanizmaları oluşturulmalıdır.
    • Yetkiler “en az gerekli yetki” (least privileged access) prensibine uygun verilmelidir.
    • Sistemler üzerinde maksimum bağlantı süresi için bir zaman aşımı tanımlanmalıdır.
    • Uzaktan çalışma boyunca tanımlanan kurallar geçici süreliğine oluşturulmalıdır.
    • Mümkün olduğu durumlarda uzaktan bağlantılar için “kaynak IP” kısıtlaması yapılmalıdır.
  5. Erişimler için çok faktörlü kimlik doğrulama ve zaman bazlı yetkilendirme önlemleri alınmalıdır.
  6. Uzaktan çalışan personel için güvenlik önlemleri alınmış sistemler/bilgisayarlar verilmesi gerekmektedir.
  7. Risk değerlendirmesine göre uzaktan erişimin tanımlanmaması gereken hiçbir kritik sisteme erişim için izni verilmediğinden emin olunması gerekmektedir.

Uzaktan çalışan personel tarafından;

  1. Uzaktan çalışma için kullanılan sistemlerde (PC, laptop, tablet, telefon vb.) gerekli güvenlik yazılımlarının yüklendiğinden, güncel yazılımların kullanıldığınden, zararlı yazılım bulunmadığından emin olunmalıdır.
  2. Uzaktan çalışma sırasında dahi olsa, kurum dışına herhangi bir kritik verinin çıkarılmaması ve kaydedilmemesi gerekmektedir.
  3. Dışarıya çıkarılması zorunlu, kritik olmayan verilerin, kopyalandığı veya taşındığı sistemlerin takip edilmesi, söz konusu verilerin güvenliğinin sağlanması gerekmektedir.
  4. Bağlantının büyük bir çoğunluğunun kablosuz modemler ile yapılacağı varsayıldığında kablosuz modemler üzerinde WPA/WPA2 protokolünün kullanılması, Mac adresi filtreleme, SSID gizleme gibi önlemlerin alınması gerekmektedir.

https://www.usom.gov.tr/tehdit/1003.html Posted in BLOGHABERLERUncategorizedYAZILAR03NİSBy Özge Evci Eralp

Yeni Koronavirüs Hastalığı (COVID-19) ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler

Yeni Koronavirüs Hastalığı (COVID-19) nedir?

Yeni Koronavirüs Hastalığı (COVID-19), ilk olarak Çin’in Vuhan Eyaleti’nde Aralık 2019 ayının sonlarında solunum yolu belirtileri (ateş, öksürük, nefes darlığı) gelişen bir grup hastada yapılan araştırmalar sonucunda 13 Ocak 2020’de tanımlanan bir virüstür.

Salgın başlangıçta bu bölgedeki deniz ürünleri ve hayvan pazarında bulunanlarda tespit edilmiştir. Daha sonra insandan insana bulaşarak Vuhan başta olmak üzere Hubei eyaletindeki diğer şehirlere ve Çin Halk Cumhuriyeti’nin diğer eyaletlerine ve diğer dünya ülkelerine yayılmıştır.

Pandemiler veya pandemik hastalıklar, bir kıta, hatta tüm dünya yüzeyi gibi çok geniş bir alanda yayılan ve etkisini gösteren salgın hastalıklara (epidemilere) verilen genel ad olup; Corona virüsü kaynaklı Covid-19 hastalığı, 11 Mart 2020 tarihi itibarıyla Dünya Sağlık Örgütü tarafından pandemi ilan edilmiştir. 

02 Nisan 2020 tarihi itibariyle dünyada 205 ülkede; 932.166 vaka olup 46.764 kişi hayatını kaybetmiştir.

02 Nisan 2020 tarihi itibariyle Türkiye’de toplam 18.135 vaka olup 356 kişi hayatını kaybetmiştir. 

kaynak: https://covid19bilgi.saglik.gov.tr/tr/sss/halka-yonelik.html

Dünyada ve ülkemizde baş göstermiş olan Covid-19 salgın hastalığı nedeniyle işyerlerinde çalışan işçilerin ve gelen ziyaretçilerin sağlık verilerinin ve diğer bazı kişisel verilerinin işlenmesi zorunlu hale gelmiş olup, bu kapsamda yapılacak işlemlerin ve alınacak önlemlerin belirlenmesi gereği doğmuştur.

Konu ile ilgili olarak Kişisel Verilerin Korunması Kurulu, “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler” konulu kamuoyu duyurusunu yayınlayarak uyulması gereken kuralları ortaya koymuştur.

https://www.kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-

https://www.eralpdanismanlik.com.tr/category/blog/yazilar/

Kişisel Verilerin Korunması Uyum Süreçleri Hakkında Daha Detaylı Bilgi İçin Tıklayınız