COVID-19 Sebebi ile Uygulanan Uzaktan Çalışma Sisteminde Veri Güvenliğine İlişkin Dikkat Edilmesi Gereken Hususlar

Çin Halk Cumhuriyeti sınırları içerisinde başlayan ve devamında tüm Dünya ülkelerine sıçrayarak Dünya Sağlık Örgütü tarafından ‘’pandemi’’ olarak ilan edilen Covid-19 virüsü kaynaklı hastalığın ülkemizde de görülmesi ile bu hastalığın yayılımın durdurulması ve toplum sağlığının korunması amacıyla bireysel ve toplumsal boyutta birçok tedbir uygulanmış olup bu kapsamda çoğu şirket tarafından belirli çalışanların şirkete gelmeksizin uzaktan çalışmasına yönelik sistemler oluşturulmuştur. Bu süreç içerisinde Kişisel Verilerin Korunması Kanunu kapsamında ‘’Veri Sorumlusu’’ olarak belirtilen kişilerin kanun kapsamında tanımlanan tüm yükümlülükleri kesintiye uğramaksızın devam etmekte olup bu kişilerin, gelişen ve değişen sistemler içerisinde veri güvenliğinin sağlanması için her türlü ek teknik ve idari tedbirleri de alması gerekmektedir. Bir örnek ile konuyu irdelemek gerekir ise; uzaktan çalışma sistemi içerisinde çalışma faaliyetlerinin aksamasının önüne geçilmek için Şirketler tarafından görüntülü konuşma araçları ile toplantı ve eğitimler gerçekleştirildiği görülmekte olup Kişisel Verilerin Korunması Kurumu’nun da dikkatini çeken bu durum ile ilgili 07.04.2020 tarihli oluşturulan kararlarında; “Uzaktan eğitim platformlarında kişilerin ad ve soyadı gibi kişisel verileri ile ses ve görüntü gibi biyometrik veri kapsamında değerlendirilebilecek bazı özel nitelikli kişisel verilerinin işlendiği görülmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanununun 5’inci maddesinde kişisel verilerin işlenme şartları, 6’ncı maddesinde ise biyometrik verilerin dâhil olduğu özel nitelikli kişisel verilerin işlenme şartları belirlenmiştir. Bu noktada, kişisel verilerin Kanunun 5’inci ve/veya 6’ncı maddesinde belirtilen şartlara uygun olarak işlenmesi gerekmektedir. Bununla birlikte uzaktan eğitim amacıyla kullanılan yazılımların birçoğunun bulut hizmet sağlayıcılar aracılığıyla hizmet verdiği ve bu yazılımlara ait veri merkezlerinin çoğunlukla yurt dışında olduğu gözlemlenmektedir. Veri merkezleri yurtdışında olan platformların kullanılması durumunda yurtdışına veri aktarımı söz konusu olacağından, Kişisel Verilerin Korunması Kanununun 9’uncu maddesinde belirtilen şartlara uygun olmayan aktarımların Kanunun ihlali anlamına gelebileceği unutulmamalıdır. Bu bağlamda, uzaktan eğitim hizmeti amacıyla kullanılan bu platformların gerekli veri güvenlik tedbirlerini alıp almadıkları ile ilgili Kişisel Verileri Koruma Kurulu tarafından hazırlanan “Kişisel Veri Güvenliği Rehberi (İdari ve Teknik Tedbirler) ile Kişisel Verileri Koruma Kurulunun 31.01.2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” Kararı göz önünde bulundurulmalıdır.” ifadeleri ile veri güvenliğinin sağlanması, özel nitelikli kişisel veriler konusunda gerekli önlemlerin alınması ve bunlara aykırı durumların kanunun ihlaline sebebiyet verecek olduğu açıkça belirtilmiştir. Kişisel Verileri Koruma Kurulu tarafından öngörülen ve pandemi süreci de dahil olmak üzere her zaman için göz önünde bulundurulması gereken teknik ve idari tedbirler ile veri güvenliğine ilişkin dikkat edilmesi gereken hususlar ise yazımızın devamında yer almaktadır. Güvenlik ve çalışma koşullarına ilişkin risklerin belirlenmesi ve minimize edilerek uzaktan çalışma koşullarının oluşturulması için çalışanların da içinde bulunduğu bir çalışma grubunun oluşturulması önem arz etmektedir. Şirketler, çalışanlar tarafından kullanılan bilgisayar, telefon ve sair donanımlarda veri güvenliğinin sağlanması ve denetimi, bu donanımlarda yer alan zafiyetlerin tespit edilmesi ve gerekli iyileştirmelerin yapılması hususunda hızlı aksiyon alacak konusunda uzman birimler oluşturmalıdır. Böylelikle bu donanımlarda yer alan bilgilere yetkisiz üçüncü kişiler tarafından yapılacak saldırıların Şirketler tarafından önlenmesi sağlanabilecektir. Uzaktan erişime açılamayacak derecede kritik hizmetlerin risk değerlendirmelerinin yapılması gerekmektedir. Uzaktan erişime uygun olmayan kritik hizmetler ve kaynaklar için önceliklendirme yapılması, yeterli sayıda çalışanın yedekli biçimde iş yerinde bulundurulması ve görevlendirilmesi sağlanmalıdır. Çalışanlar, uzaktan çalışma sürecinde şirketteki iş faaliyetlerinin devam etmesi amacıyla şirket bilgisayarlarını, telefonları ve sair donanımları evlerinde bulundurarak çalışmalarını sürdürmektedir. Bu süreçte, şirkette var olan güvenlik önlemlerinin uzaktan bağlantı döneminde de devam etmesi gerekmekte olup; Çalışanlara yapılacak yönlendirmeler ile özellikle güçlü parola kullanımı, sosyal mühendislik saldırıları, güncel anti-virüs programlarının kullanımı ve güvenlik yazılımları hakkında farkındalık eğitimi verilmeli ve güvenlik prosedürü ile yönergeleri hazırlanmalıdır.

Uzaktan güvenlik prosedürleri aşağıdaki gibi listelenebilir:

Uzaktan erişim için yetkilendirilmiş kurum çalışanları ve kurum ağları loglanmalıdır.

Uzak erişimle bağlanan kullanıcıya tanımlanan haklar ve yetkiler, yerel bilgisayar yetkileri ile aynı olmalıdır.

Uzak erişimde VPN kullanımı zorunlu olmalıdır.

VPN erişiminde gizliliğin korunması ve sistem devamlılığı için kurum güvenlik prosedürleri aynı şekilde uygulanmalıdır.

Kurum çalışanlarının uzaktan erişim bağlantı bilgileri başkaları ile paylaşılmamalıdır.

Kurum ağına uzaktan erişecek bilgisayarların işletim sistemi yamaları tam ve anti-virüs yazılımları güncel olmalıdır.

Uzak erişim için kullanıcılara belirli gün ve saatler için bağlantı izni verilmelidir.

Yüksek önemdeki sistemlere erişimlerde 2FA adı verilen iki kademeli güvenlik doğrulaması kullanılmalıdır.

VPN erişimi olmadan uzak masaüstü bağlantısı yöntemiyle ofis ağına bağlanılması engellenmelidir. 

Uzaktan erişim için VPN veya uzaktan yönetim servisi (RDP, SSH vb.) kullanılması durumunda;

İlgili sistemlerin en güncel/stabil/güvenli versiyonu kullanılmalıdır.

Sistemlerin desteklediği tüm güvenlik önlemleri doğru ve tam şekilde yapılandırılmalıdır.

Üretilen iz kayıtlarının (logların) olası bir saldırıyı tespit edecek şekilde düzenli olarak kayıt altına alınması sağlanmalıdır.

Yetkisiz erişim, kaba kuvvet (brute force) saldırıları vb. anomalilerin tespiti için alarm mekanizmaları oluşturulmalıdır.

Yetkiler “en az gerekli yetki” (least privileged access) prensibine uygun verilmelidir.

Sistemler üzerinde maksimum bağlantı süresi için bir zaman aşımı tanımlanmalıdır.

Uzaktan çalışma boyunca tanımlanan kurallar geçici süreliğine oluşturulmalıdır.

Mümkün olduğu durumlarda uzaktan bağlantılar için “kaynak IP” kısıtlaması yapılmalıdır.

Erişimler için çok faktörlü kimlik doğrulama ve zaman bazlı yetkilendirme önlemleri alınmalıdır.

Uzaktan çalışan personeller için güvenlik önlemleri alınmış sistemler/bilgisayarlar verilmesi gerekmektedir.

Risk değerlendirmesine göre uzaktan erişimin tanımlanmaması gereken hiçbir kritik sisteme erişim için izni verilmediğinden emin olunması gerekmektedir.

Uzaktan Çalışan Personel Tarafından Alınması Gereken Tedbirler:

Uzaktan çalışma için kullanılan sistemlerde (PC, laptop, tablet, telefon vb.) gerekli güvenlik yazılımlarının yüklendiğinden, güncel yazılımların kullanıldığından, zararlı yazılım bulunmadığından emin olunmalıdır. Kullanılan donanımlarında çalışanlar tarafından güçlü parolalar belirlenmeli ve üçüncü kişilerinin erişimlerinin engellenmesi adına mutlaka kilit özelliği aktive edilmelidir.

Uzaktan çalışma sırasında çalışanlar, işyerlerinde yapamayacağı faaliyetlerden kaçınmalı ve Şirket donanımlarını sadece iş amaçlı kullanmaya özen göstermelidir.

Uzaktan çalışma sırasında dahi olsa çalışanlar tarafından kurum dışına herhangi bir kritik verinin çıkarılmaması ve kaydedilmemesi gerekmektedir. Kurum ile ilişkisi kesilen kişilerin uzak erişim uygulamaları ve parolaları derhal devre dışı bırakılmalıdır.

Dışarıya çıkarılması zorunlu veya kritik olmayan verilerin, kopyalandığı veya taşındığı sistemlerin takip edilmesi ve söz konusu verilerin güvenliğinin sağlanması gerekmektedir.

Bağlantının büyük bir çoğunluğunun kablosuz modemler ile yapılacağı varsayıldığında kablosuz modemler üzerinde WPA/WPA2 protokolünün kullanılması, Mac adresi filtreleme ve SSID gizleme gibi önlemlerin alınması gerekmektedir.

Sonuç olarak; yukarıda da açıklamış olduğumuz üzere pandemi sürecinde dahi veri sorumlusu ve veri işleyenlerin Kişisel Verilerin Korunması Kanunu kapsamında tüm yükümlülükleri devam etmekte olup bu olağanüstü dönemde kişisel veri güvenliğinin sağlanması ve şirketlerdeki gizli bilgilerinin muhafaza edilmesi için teknik ve idari tüm tedbirlerin yerine getirilmesi gerekmektedir. Kişisel Verilerin Korunması Kurulu’nun yayınlamış olduğu duyurularda defalarca vurgulandığı üzere “istisnai zamanlarda dahi veri sorumluları ve veri işleyenlerin, ilgili kişilerin kişisel verilerinin güvenliğini sağlamaları gerektiği” hususu önem arz etmekte olup şirketler ile çalışanlar, bu döneme ilişkin kurumsal ve operasyonel süreçleri oluşturarak veri güvenliğini sağlamayı amaçlamalıdır.