Yaşanmış ve Yaşanabilecek Olan : Dijital Dünyanın Görünmez Krizleri Veri İhlalleri

Bu yazıda, yaşanmış ve yaşanabilecek veri ihlali örneklerini ele alarak, konuya dair daha geniş bir perspektif sunmayı hedefliyoruz. Veri güvenliği konusunda farkındalık yaratmak ve çeşitli olayların nasıl bir veri ihlali olarak değerlendirilebileceğini göstermek istiyoruz.

Gerçek hayattan ve potansiyel senaryolarla, veri ihlallerine dair önemli detayları öğrenmek için okumaya devam edin.

“SADECE BİR TIK MIYDI?”  : YAŞANMIŞ 

Dijital çağın sunduğu hız ve kolaylıklar, veri güvenliğini hem şirketler hem de bireyler için vazgeçilmez bir öncelik haline getirdi. Ancak teknolojinin sağladığı bu imkanlar, beraberinde büyük riskler de getiriyor. Veri ihlalleri, sadece teknik altyapıları değil, şirketlerin itibarını, müşteri güvenini ve hukuki uyum süreçlerini de tehdit eden çok boyutlu krizler olarak karşımıza çıkıyor.

Tüm dünyada yaşanan dikkat çekici veri ihlalleri, bu sorunun ne kadar yaygın ve yıkıcı olabileceğini gösteriyor. Facebook’un Cambridge Analytica skandalı, Equifax’ın kredi raporlarına yönelik devasa ihlali, Türkiye’den Yemek Sepeti’ne yapılan saldırı ve Marriott otellerinde milyonlarca müşteriyi etkileyen siber güvenlik açıkları, veri ihlallerinin yalnızca bir IT meselesi olmadığını açıkça kanıtlıyor.

Bu yazıda, önce yaşanmış örneklere sonra da yaşanabilecek örneklere bakacağız.

1. Facebook (Cambridge Analytica Skandalı)

• Ne oldu?
  Facebook, Cambridge Analytica tarafından milyonlarca kullanıcının kişisel verilerinin izinsiz toplanıp siyasi kampanyalarda kullanılmasıyla büyük bir kriz yaşadı.
• Sonuç:
  Facebook, ciddi bir itibar kaybına uğradı ve dünya çapında kullanıcı güveni sarsıldı. Ayrıca, ABD Federal Ticaret Komisyonu (FTC) tarafından 5 milyar dolarlık bir ceza aldı.

2. Equifax (2017)

• Ne oldu?
  ABD’de bir kredi raporlama şirketi olan Equifax, 147 milyon kişinin kimlik, sosyal güvenlik numarası ve diğer finansal bilgilerinin çalındığı bir ihlal yaşadı.
• Sonuç:
  Şirket 575 milyon dolarlık bir uzlaşma cezası ödedi ve sistem güvenliği konusunda büyük eleştiriler aldı.

3. Yemek Sepeti (2021, Türkiye)

• Ne oldu?
  Türkiye’nin popüler yemek siparişi platformu Yemek Sepeti’nde, 21 milyon kullanıcının isim, adres, telefon numarası ve IP bilgileri siber saldırganlar tarafından çalındı.
• Sonuç:
  Kişisel Verileri Koruma Kurumu (KVKK), Yemek Sepeti’ne hem bildirim sürecindeki eksiklikler hem de güvenlik açıkları nedeniyle ceza uyguladı.

4. Marriott Hotels (2018)

• Ne oldu?
  Uluslararası otel zinciri Marriott’un veri tabanına yapılan siber saldırı, 500 milyon müşterinin rezervasyon bilgileri, pasaport numaraları ve kredi kartı bilgilerini tehlikeye attı.
• Sonuç:
  Şirket, düzenleyici kurumlar tarafından ciddi bir incelemeye alındı ve Avrupa’daki GDPR ihlali nedeniyle 18.4 milyon sterlin ceza ödedi.

5. Türk Telekom (2020, Türkiye)

• Ne oldu?
  Türk Telekom’da, birçok müşterinin kimlik ve iletişim bilgilerinin sızdırıldığına dair bir ihlal raporlandı.
• Sonuç:
  Şirket, KVKK’ya ihlal bildiriminde bulundu ve gerekli iyileştirme çalışmaları yapıldı. Ancak süreç, müşteri güvenini olumsuz etkiledi.

6. Uber (2016)

• Ne oldu?
  57 milyon Uber kullanıcısının ve sürücüsünün kişisel verileri, bir siber saldırı sonucunda çalındı. Şirket, bu durumu bir yıl boyunca gizleyip saldırganlara fidye ödediği için ek eleştiriler aldı.
• Sonuç:
  Uber hem itibar kaybetti hem de 148 milyon dolar cezaya çarptırıldı.

7. Sony Pictures (2014)

• Ne oldu?
  Sony Pictures’a yapılan bir siber saldırı sonucu, şirketin özel e-posta yazışmaları, mali belgeleri ve filmlerinin tamamlanmamış versiyonları internete sızdırıldı.
• Sonuç:
  Şirket ciddi bir itibar kaybına uğradı ve olayın ardından sistem güvenliğini yenilemek için büyük bir bütçe ayırdı.

“VERİLER ÇALINDI, VALLA BİZ DE HABERLERDEN ÖĞRENDİK!” : YAŞANABİLECEK OLAN 

Öncelikle belirtelim : Gelecekte bu başlığı atmanızı istemiyoruz.

Dijitalleşmenin hayatımızın her alanını şekillendirdiği günümüzde, veri güvenliği şirketlerin ve bireylerin en büyük sorumluluklarından biri haline geldi. Ancak, en güçlü teknolojik altyapılar ve politikalar bile bazen hataların, ihlallerin ve siber saldırıların önüne geçemiyor. Bir yanlış tık, bir unutulan şifre ya da bir güvenlik açığı, çok ciddi sonuçlar doğurabilecek bir veri ihlaline neden olabilir.

Yazının bu kısmında, işletmelerde ve bireysel düzeyde yaşanabilecek olası veri ihlallerine dair çeşitli örnekler sunacağız. Veri güvenliği, günümüzün en kritik konularından biri haline gelmişken, hangi durumların bir veri ihlali teşkil edebileceğini bilmek büyük önem taşımaktadır.

Karşılaşılması muhtemel senaryolar üzerinden, veri ihlallerinin işleyişine dair daha net bir perspektif sunmayı amaçlıyoruz

1. Kişisel Verilerin Yetkisiz Paylaşımı

• Bir şirket çalışanının, müşterilere ait kimlik bilgilerini şirket dışındaki bir kişi veya kuruma izinsiz olarak göndermesi.
• Bir sağlık kuruluşunun hastaların tıbbi kayıtlarını yetkisiz kişilerle paylaşması.

2. Siber Saldırılar

• Şirketin veri tabanına yapılan bir siber saldırı sonucunda, kullanıcıların kimlik, e-posta, telefon numarası ve finansal bilgilerinin çalınması.
• Fidye yazılımı saldırısıyla tüm sistem verilerinin şifrelenmesi ve saldırganların fidye talep etmesi.

3. Fiziksel Güvenlik İhlalleri

• Şirketin dosyalarında saklanan kağıt belgelerin yetkisiz kişiler tarafından ele geçirilmesi.
• Bir çalışanın dizüstü bilgisayarının çalınması ve cihazda müşterilere ait hassas verilerin bulunması.

4. Yanlış Kişiye E-posta Gönderimi

• Müşteri bilgilerini içeren bir dosyanın yanlışlıkla başka bir müşteriye e-posta yoluyla iletilmesi.
• Toplu bir e-posta gönderiminde, tüm alıcıların e-posta adreslerinin birbirine açık şekilde görünmesi.

5. Yetkisiz Erişim

• Şirket içinde bir çalışanın, görev alanı dışında kalan verilere erişmesi ve bu bilgileri kullanması.
• Eski bir çalışanın, hala aktif olan kullanıcı hesapları üzerinden şirket sistemlerine erişim sağlaması.

6. Web Sitesi Güvenlik Açıkları

• Şirketin web sitesindeki bir güvenlik açığı nedeniyle müşterilerin kredi kartı bilgilerinin çalınması.
• Çevrimiçi formlarda gönderilen kişisel verilerin güvenli olmayan bir bağlantı üzerinden aktarılması.

7. Bulut Depolama İhlalleri

• Şirketin bulut hizmet sağlayıcısında sakladığı belgelerin yanlış yapılandırma nedeniyle herkese açık hale gelmesi.
• Bulut platformunda depolanan hassas verilerin, üçüncü taraflarca yetkisiz şekilde indirilmesi.

8. İçeriden Kaynaklanan İhlaller

• Bir çalışanın, şirketteki veri tabanından kopyaladığı müşteri bilgilerini başka bir şirkete satması.
• İçeriden birinin dikkatsizliği sonucu bir güvenlik açığının oluşması ve verilerin sızdırılması.

9. Mobil Cihazlardaki Güvenlik Açıkları

• Şirket çalışanının kullandığı bir cep telefonunun kaybolması ve cihazda müşteri verilerinin bulunması.
• Çalışanların kişisel cihazlarından, güvenlik protokollerine uygun olmayan bir şekilde şirket verilerine erişmesi.

10. Yanlış Şifreleme veya Veri Koruma

• Şirketin verileri korumak için kullandığı şifreleme yönteminin eski ve güvenlik açısından yetersiz olması.
• Veri tabanında hassas bilgilerin şifrelenmeden saklanması.

11. Sosyal Mühendislik ve Phishing Saldırıları

• Çalışanların, saldırganların gönderdiği sahte e-postalar yoluyla kullanıcı adı ve şifre bilgilerini paylaşması.
• Şirketin müşterilerine ait bilgilerin sahte bir platform üzerinden toplanması.

12. Üçüncü Taraf İhlalleri

• Şirketin birlikte çalıştığı bir tedarikçi veya iş ortağının sistemlerinde yaşanan ihlal sonucu şirket verilerinin ifşa edilmesi.
• Şirketin veri işleme süreçlerinde kullandığı bir yazılımda meydana gelen açık nedeniyle bilgilerin sızdırılması.

Veri ihlali, çoğunlukla bir siber saldırı sonucu meydana geldiği düşünülen bir olay olarak algılansa da, bu yalnızca buzdağının görünen kısmıdır. İnsan hataları, fiziksel güvenlik açıkları veya teknik zafiyetler de en az siber saldırılar kadar ciddi veri ihlallerine yol açabilir. Ancak, genellikle sadece dijital tehditlere odaklanılması, şirketlerin diğer risklere karşı savunmasız kalmasına neden oluyor.

En büyük hata, veri güvenliğini yalnızca teknolojiyle sınırlı bir sorun olarak görmekten kaynaklanıyor. Şirketlerin, teknik önlemlerin yanı sıra çalışanlarını eğitmesi, düzenli güvenlik denetimleri yapması ve hukuki süreç yönetimini doğru bir şekilde gerçekleştirmesi bu riskleri en aza indirmenin en etkili yollarıdır.

Unutulmamalıdır ki, bir veri ihlali bazen basit bir insan hatasından, hatta fiziksel bir güvenlik açığından kaynaklanabilir. Güçlü bir veri güvenliği anlayışı, tüm bu boyutları kapsayan kapsamlı bir strateji gerektirir.

Av.İlayda Döldöş