Bilgi Güvenliği’nde Mahremiyet Kavramı

Yazarı:
Zeynep Sadunoğlu
-
0
1308
views
Kişisel bilgilerin gizliliğinin korunmasında/sağlanmasında önümüze çıkan konu olan mahremiyet (privacy), birçok kuruluşun, kullanıcıları hakkında kişisel bilgiler barındırması nedeni ile günümüzde önem arz eden konu olarak dikkat çekmektedir. Bu yazıda mahremiyet kavramına kısa bir giriş yapılacaktır.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Kişisel olarak tanımlanabilir bilgi (PII – Personally Identifiable Information) tanımsal olarak; tek bir kişiyi benzersiz bir şekilde tanımlamak, iletişim kurmak veya bulmak için kullanılabilecek veya tek bir kişiyi benzersiz bir şekilde tanımlamak için diğer kaynaklarla kullanılabilecek veriler olarak ifade edilmektedir. PII kapsamında;

  • İsim
  • Ulusal kimlik numarası
  • Ehliyet numarası
  • Yüz, parmak izi
  • Kredi kartı numarası
  • Doğum günü
  • Genetik bilgi
  • Sosyal güvenlik numaraları
  • Bordro depozitoları için gerekli yıllık maaş içeriği
  • Banka hesabı bilgileri

… vb. kişisel olarak tanımlanabilir bilgiler şeklinde ifade edilmektedir. Gizlilik/mahremiyet, bir bireyin veya grubun kendileri hakkında belirli türde bilgilere sahip olduğunu kontrol etme yeteneği olup, bu bilgilerin gizliliğinin sağlanması gerekmektedir.

Son birkaç yılda bilgi sistemlerinde yaşanan gelişim patlamasının talihsiz yan etkilerinden biri de mahremiyet kaybıdır. Bireyler hakkında gittikçe daha fazla verinin bilgi sistemleri tarafından kullanılarak saklanmasından dolayı bu verilerin, sehven ifşa edilmesi, üçüncü bir tarafa satılması veya kötü niyetle içeriden taraflarca kasıtlı olarak tehlikeye girme olasılığı artmaktadır. Ayrıca, zaman zaman kamuya açıklanan mali ve sağlık kayıtların ihlali, milyonlarca kaydın rutin olarak ele geçirilmesi ile en hassas verilerin gizliliğinin aşınması artık yaygınca görülen bir durum olmuştur. Bugün küçük boyutlu bir flash bellek aygıtına sığabilen bu verilerin çalınması, önceden kasaları dolduracak fiziksel anlamda kağıt kayıtlarını çalmak demekti. Ne yazık ki, mevzuat ve düzenlemelerin orta noktada buluşması ile sonuçlanan bir uluslararası gizlilik yasası bulunmamaktadır. Bazı ülkeler gizlilik ve kişisel bilgilerle ilgilenmekte ilerlerken, bazıları henüz bu alanda hareket etmemiştir.

 

A) İlgili Kanunlar / Yönetmelikler

Bilgi sistemleriyle ilgili gizlilik yasaları, vatandaşlara kişisel verilerinin daha fazla kontrolü veya güvenliğini sağlamak için tüm dünyada yaygınlaşmaya başlamıştır. Çok sayıda farklı uluslararası gizlilik kanunu/yönetmeliği mevcut olup, bu noktada öne çıkan anlaşılması gereken konu, vatandaşın gizlilik korumalarına yönelik alacağı tavırdır.(öncelikle katılmayı mı yoksa kapsam dışı mı kalmayı seçecektir) Örneğin; kişisel verileri toplayan bir şirket, verilerin üçüncü taraf şirketlere satılabileceğini açıkça belirtir. Bu gerçeği açık bir şekilde belirtseler de, kuruluş, bireyin, satılmakta olan verilere izin vermek veya vermemek için ilgili seçeneği işaretlemesini isteyebilir (opt-in / opt-out). Bu bir vazgeçme anlaşmasıdır, çünkü birey olası değişen durumundan kaynaklı olarak yeniden değerlendirdiğinde bilgilerinin satılmasını önlemek isteyebilmelidir. Bu kapsamda kurumlar genellikle, bireyin verilerinin kullanılması için katılım sözleşmelerini tercih etmektedirler.

Düzenlemelerin veya bazı durumlarda gizlilikle ilgili yasaların fiilen yürürlüğe girmesi yargı yetkisine bağlıdır. Bazı ülkeler, gizlilik düzenlemelerine, yatay yasalara (yani hükümet dahil tüm endüstrilerde) genel bir yaklaşımı tercih ederken, diğerleri endüstri, dikey yasalarla (ör. Finansal, sağlık, halka açık) düzenlemeye karar vermiştir. Uluslararası gizlilik yasaları, kendi özel gereklilikleri bakımından biraz farklı olsa da, hepsi temel ilkelere veya yönergelere dayanmaktadır.

Konu kapsamında bilgi güvenliği uzmanları tarafından dikkate alınması gereken başlıca kanunlar / yönetmelikler aşağıdaki gibi belirtilebilir;

  • Health Insurance Portability and Accountability Act (HIPAA)
  • Canada’s PI Protection and Electronic Documents Act (PIPEDA)
  • Gramm-Leach-Bliley Act
  • USA PATRIOT Act
  • Payment Card Industry Data Security Standard (PCI DSS)
  • EU Data Protection Directive, 1995
  • EU General Data Protection Regulation (GDPR),
  • TR KVKK
  • Health Information Technology for Economic and Clinical Health Act (HITECH)

…vb.

 

A.0) EU DPD Prensipleri

Avrupa Veri Koruma Direktifi’nin (European Data Protection Directive) yedi ana ilkesi (prensibi) vardır:

  • Bilgi vermek (Notice)
  • Seçim sunmak (Choice)
  • Verilerin üçüncü taraflara iletilmesi (Onward transfer)
  • Güvenlik
  • Veri bütünlüğü
  • Erişim sağlama
  • Zorlama (Enforcement)

 

Veri bütünlüğü (integrity) ilkesi, verilerin güvenilir (reliable) olması gerektiğini ve bu bilgilerin, kullanıcıların bildirimde (notice) bulundukları ve seçim (choice) yoluyla kabul ettikleri amaçlar dışında kullanılmaması gerektiğini belirtir.

 

GDPR, Mayıs 2018’de EU DPD’nin yerini almıştır.

 

 

A.1) Avrupa Birliği Gizliliği (EU Data Protection Directive, GDPR)

Avrupa Birliği, iş ihtiyaçlarını dengelerken agresif bir gizlilik yanlısı duruş sergilemiştir. Üye ülkelerin kişisel olarak tanımlanabilir bilgilerin toplanması ve kullanılmasıyla ilgili farklı düzenlemelerin olması aralarında mevcut olan ticaretin etkileyeceğinden ortak düzenleme ile ilerlenmiştir.

Kişisel verilerin işlenmesi ve bu verilerin serbest dolaşımı ile ilgili olarak bireylerin korunması hakkındaki 24 Ekim 1995 tarihli “Avrupa Parlamentosu ve Konseyinin 95/46 sayılı Direktifi” (Veri Koruma Direktifi 95/46 / EC) kişisel verilerin saklandığı, iletildiği veya işlendiği her yerde kişisel bilgiler etrafında bir temel oluşturmanın yanı sıra, kişisel verilerin AB üye ülkelerinin ulusal sınırları boyunca güvenli ve serbestçe taşınmasını garanti altına almak için düzenleyici bir çerçeve sağlamak amacıyla kurulmuştur. Direktif 8 bölümde 33 madde içermektedir. Bu genel Veri Koruma Direktifi, iletişim sektörü için E-Gizlilik Direktifi (2002/58 / EC Direktifi) gibi diğer yasal belgelerle tamamlanmıştır. Ayrıca kişisel verilerin polis tarafından korunması ve cezai konularda adli işbirliği için özel kurallar da bulunmaktadır (Framework Decision 2008/977 / JHA). AB Veri Koruma Direktifi, her üye ülkenin vatandaşlarının verilerinin tutarlı bir şekilde korunmasını sağlarken serbest bilgi akışına izin verir. Veri sahiplerinin bu Direktif tarafından belirlenen bireysel hakları;

  • veri denetleyicisinin kim olduğunu,
  • verilerin alıcısını ve işlemenin amacını öğrenme hakkı,
  • hatalı verilerin düzeltilmesini sağlama hakkı,
  • yasadışı işleme durumunda rücu hakkı,
  • bazı durumlarda verileri kullanma iznini saklama hakkı

…vb şekilde belirtilmektedir.

AB Veri Koruma Direktifi ayrıca sağlık, özel yaşam, dini veya felsefi inançlarla ilgili hassas kişisel verilerin kullanımına ilişkin güçlendirilmiş korumalar içermektedir.

Mart 2014’de AB Parlamentosu Sivil Özgürlükler, Adalet ve İçişleri Komitesi raporlarında 4.000 değişiklik (Yönetmelik) ve 768 değişiklik (Direktif) yönergeleri ile düzenlemeye gidilmiş ve Parlamentoda kabul edilmiştir.

Mayıs 2018’de EU DPD (European Data Protection Directive) yürürlüğe giren Genel Veri Koruma Yönetmeliği (GDPR), dünyadaki en zorlu gizlilik ve güvenlik yasası olarak görülmektedir. Avrupa Birliği (AB) tarafından hazırlanmasına ve aktarılmasına rağmen, AB’deki insanları hedefledikleri veya topladıkları sürece kuruluşlara herhangi bir yerde yükümlülükler yüklemektedir. GDPR, gizlilik ve güvenlik standartlarını ihlal edenlere karşı ağır maddi yaptırımlar uygulamaktadır. GDPR ile Avrupa, daha fazla insanın kişisel verilerini bulut hizmetleriyle güvence altına aldığı ve ihlallerin günlük bir olay olduğu bu zamanda veri gizliliği ve güvenliği konusundaki sağlam durması ile dikkat çekmektedir. GDPR, bir dizi yasal terimi tanımlamaktadır. En önemli terimlerin bazıları şunlardır:

  • Kişisel veriler,
  • Veri işleme,
  • Veri konusu olan verileri işlenen kişi,
  • Veri denetleyicisi,
  • Veri işlemcisi olarak ifade edilen kişisel verileri veri denetleyicisi adına işleyen üçüncü taraf.

GDPR’da kişisel verilere yönelik işlemlerde, belirtilen yedi koruma ve hesap verebilirlik ilkesine göre yapılması gerektiği belirtilmektedir:

  • Yasallık, adillik ve şeffaflık -> İşlem, veri sahibine yasal, adil ve şeffaf olmalıdır.
  • Amaç sınırlaması -> Verileri toplarken veri sahibine açıkça belirtilen meşru amaçlar için işlenmelidir.
  • Veri minimizasyonu -> Belirtilen amaçlar için sadece gerektiği kadar veri toplanmalı ve işlenmelidir.
  • Doğruluk -> Kişisel veriler doğru ve güncel tutulmalıdır.
  • Depolama alanı sınırlaması -> Kişisel tanımlayıcı verileri yalnızca belirtilen amaç için gerekli olduğu sürece saklanabilmelidir.
  • Bütünlük ve gizlilik -> İşlem, uygun güvenlik, bütünlük ve gizliliği sağlayacak şekilde yapılmalıdır (örn. şifreleme kullanarak).
  • Hesap Verebilirlik -> Veri denetleyicisi, GDPR’nin tüm bu ilkelere uygunluğunu göstermekten sorumludur.

Not: GDPR’a göre veri ihlalleri 72 saat içerisinde ilgili hukuki taraflara bildirilmelidir.

 

A.2) OECD Gizlilik Kuralları

Ekonomik İşbirliği ve Kalkınma Örgütü (OECD), genellikle sadece Avrupa olarak görülse de, dünyanın dört bir yanından 30 üye ülkeden oluşmaktadır. Üyeler, önde gelen Avrupa ülkelerine ek olarak, ABD, Meksika, Avustralya, Japonya ve Çek Cumhuriyeti gibi ülkeleri de içermektedir. OECD, ülkelerin küresel ekonomiyi etkileyen konulara odaklanabilecekleri bir forum imkanı sunmakta olup, OECD rutin olarak üye ülkelerdeki ve ötesindeki mevcut politika ve mevzuatı değiştirmek için bir itici güç olabilecek uzlaşma önerileri yayınlamaktadır.

Bu noktadaki rehberliğine örnek olarak, 1980 yılında yayınlanan OECD Kişisel Verilerin Gizlilik ve Sınır Ötesi Akışlarının Korunması Hakkında bir kılavuzun bulunması verilebilir. Küresel ticaret, bir vatandaşın farklı bölgelerdeki şirketler arasındaki kişisel veri akışını gerektirmektedir. OECD gizlilik rehberliği, çeşitli dünya ekonomilerini dolaşırken bu kişisel verilere sağlanması gereken korumalar için temel bir çerçeve sağlamaya çalışmaktadır.

Kişisel verilerin gizliliğine ilişkin sekiz temel ilke aşağıdaki gibi belirtilmektedir:

  • Koleksiyon Sınırlama İlkesi; kişisel veri toplama sınırlamaları olmalı, yasal olarak elde edilmeli ve aksine zorlayıcı bir sebep olmadığı sürece, bireyin bilgisi ve onayı ile toplanmalıdır.
  • Veri Kalitesi Prensibi; kişisel veriler, veri toplama amaçlarına uygun şekilde eksiksiz, doğru ve korunmalıdır.
  • Amaç Belirtme İlkesi; veri toplama amacının bilinmesi ve verilerin daha sonraki kullanımının toplama sırasında belirtilen amaçlarla sınırlı olması gerekir.
  • Kullanım Sınırlama İlkesi; kişisel veriler asla bireyin rızası olmadan veya yasal bir gerekliliğin sonucu olarak da ifşa edilmemelidir.
  • Güvenlik Önlemleri Prensibi: Kişisel veriler yetkisiz kullanıma, ifşa edilmeye veya değiştirilmeye karşı makul bir şekilde korunmalıdır.
  • Açıklık İlkesi: kişisel verilerin toplanması ve kullanılması ile ilgili genel politika hazır bulundurulmalıdır.
  • Bireysel Katılım İlkesi: Bireyler;
    • Bir işletmenin kişisel verilerinden herhangi birini tutup tutmadığını öğrenebilmeli,
    • Tutulan tüm kişisel verilerin farkında olmalı,
    • Kişisel verilerin tutulmasına yönelik reddetme durumunun açıklama imkanının verilmeli,
    • Tutulan herhangi bir kişisel verinin içeriğine itiraz edebilir ve yanlış veya eksik olduğu tespit edilirse kişisel verilerini güncelleme işlemi yapabilmelidirler.
  • Hesap Verebilirlik İlkesi: Kişisel verileri kullanan kuruluş, yukarıdaki ilkelere uymaktan sorumlu olmalıdır.

Genel olarak, bu ilkeler makul mevzuat, düzenlemeler ve politikanın geliştirilmesi için asgari gereklilikleri oluşturmakta ve hiçbir şey kuruluşların ek ilkeler eklemesini engellememektedir. Bununla birlikte, bu ilkelerin fiilen uygulanması hemen hemen her koşulda zor ve maliyetli olmuştur. Bu, yürürlükteki yasaları, düzenlemeleri veya politikaları benimsememek, engellemek veya bunlara uymamak için bir bahane değildir. OECD’nin meşru sınır ötesi kişisel bilgi akışına engel oluşturmama konusunda çok dikkatli olduğuna dikkat edilmelidir. OECD ayrıca üyelerin bölgesel veya yerel farklılıklardan haberdar olmalarına ve bunlara duyarlı olmalarına ve OECD yönergelerine veya eşdeğerine uymayan ülkelerden kişisel bilgileri korumaya dikkat etmektedir.

 

A.3) EU – US Safe Harbor

AB Veri Koruma Direktifinin bir yönü, AB vatandaşlarının kişisel verilerinin, birey izin verse bile, alıcı ülke AB’e verileri yeterince koruduğunu kanıtlamadıkça, AB dışındaki ülkelere veri iletilmemektedir. Bu, verilerin daha az sıkı gizlilik korumalarına sahip olduğu düşünülen ABD ile paylaşılması konusunda bir zorluk oluşturmaktadır. Bu sorunun çözülmesine yardımcı olmak için ABD ve Avrupa Birliği, ABD merkezli kuruluşlara yetkili veri paylaşımı avantajı sağlayacak güvenli liman yapısı oluşturmuştur. Güvenli limanın bir parçası olmak için ABD kuruluşları, AB Veri Koruma Direktifi (EU Data Protection Directive) ile tutarlı veri gizliliği ilkelerine gönüllü olarak rıza göstermelidir.

Safe Harbor ile bir ABD şirketi (Google, Yahoo vs), AB vatandaşlarının kişisel verilerinin korunması gerekir. Safe Harbor ile Facebook gibi bir çok firmaya para cezası kesmiştir.

Not: ABD Ticaret Bakanlığı (US Department of Commerce – Federal Trade Commission (FTC)) Safe Harbor’ın uygulanmasından sorumlu olup, AB vatandaşlarının kişisel verilerini kullanmak isteyen kuruluşları denetler.

 

A.4) 1974 tarihli ABD Gizlilik Yasası (Privacy Act of 1974)

Tüm hükümetlerin vatandaşları hakkında kişisel olarak tanımlanabilir zengin bilgilere sahip bulunmaktadır. 1974 tarihli Gizlilik Yasası, ABD vatandaşlarının federal hükümet tarafından kullanılan verilerinin korunmasını sağlamak için oluşturulmuştur. Gizlilik Yasası’nda, ABD vatandaşlarının kişisel olarak tanımlanabilir bilgilerinin nasıl kullanılacağı, toplanacağı ve dağıtılacağı ile ilgili yönergeler tanımlanmıştır. Gizlilik Yasası’nın kişilere kendileriyle ilgili olarak tutulan verilere, bazı ulusal güvenlik odaklı istisnalarla erişim sağlaması ayrıca ifade edilmektedir.

 

B) Veri İhlalleri

Günümüzde neredeyse aylık olarak, dünya çapında saldırıya uğrayan veritabanlarının, kaybolan dosyaların ve kişisel/özel bilgilerin bulunduğu işletmelere ve sistemlere yönelik saldırıların bulunduğu raporlar paylaşılmaktadır. Bu raporlarda geçen ifadelerin ortak paydada tanımları aşağıdaki gibidir;

  • Olay/Vaka (Incident): Bir bilgi varlığının bütünlüğünü, gizliliğini veya kullanılabilirliğini tehlikeye atan bir güvenlik olayı.
  • İhlal (Breach): Verinin ifşa edilmesine veya potansiyel olarak açığa çıkmasına neden olan bir olay.
  • Veri İfşası (Data Disclosure): Verilerin yetkisiz bir tarafa gerçekten ifşa edildiği (sadece ifşa edilmediği) doğrulandığı bir ihlal.

Verizon Veri İhlali Araştırma Raporu’na (DBIR) 2014 göre, aşağıdaki 8 kategori, çalışma boyunca küresel olarak izlenen ve raporlanan tüm veri ihlali faaliyetlerinin yaklaşık %94’ünden sorumludur:

  • POS Saldırıları -% 14
  • Web Uygulaması Saldırıları – 35%
  • İç Kaynaklı Yanlış Kullanım/Uygulama – 8%
  • Fiziksel Hırsızlık / Kayıp – <% 1
  • Çeşitli Hatalar -% 2
  • Crimeware – 4%
  • Card Skimmers – 9%
  • Siber casusluk -% 22

 

Olayların, ihlallerin ve veri ifşa olaylarının kapsamlı ve zamanında bir listesini oluşturmak mümkün olmasa da, kamuya açıklanmış bilgilere dayanarak, konu ile ilgili örnek ihlaller aşağıdaki gibi listelenebilir.

  • eBay: Yaşanılan ihlalde şirketin 145 milyon üyesinin çoğunluğunu etkilediği düşünülmektedir. Saldırganlar birkaç çalışanın giriş bilgilerini elde ederek, müşterilere ait müşteri adları, şifreler, e-posta adresleri, fiziksel adresler, telefon numaraları, doğum tarihleri gibi bilgiler sızmıştır.
  • Michaels Mağazaları: 54 adet Michaels ve Aaron Brothers mağazasındaki satış noktası sistemlerine bulaşan zaralı yazılım nedeni ile 2.6 milyona yakın ödeme kartı bilgileri sızmıştır.
  • Montana Department of Public Health and Human Services: Departmana ait bir sunucunun saldırıya uğraması sonucu 1.3 milyon kişi üzerinde isim, adres, doğum tarihi ve sosyal güvenlik numarası sızmıştır.

 

C) Mahremiyet ve Gizlilik

Mahremiyet yasaları ve yönetmelikleri güvenlik uzmanı için “gizlilik”konusunda zorluklar oluşturmaktadır. Bilgi güvenliği uzmanlarının, katıldıkları uyumluluk faaliyetlerinin gerekli yasaları desteklemeye yönelik olmasını sağlamak amacıyla; kişisel bilgilerin işlenmesi konusunda işletmenin içinde faaliyet gösterdiği ve sorumlu oldukları coğrafyada yürürlükte olan düzenlemelere yönelik en son gelişmelerden haberdar olması gerekmektedir. Bilgi Güvenliği uzmanlarından, tüm konularda uygun uyumu sağlamak için müşterilere yasal yardım alma konusunda tavsiyelerde bulunulması, kuruluşlara gerekli yasa ve yönetmeliklere nasıl uyulacağını anlamalarında yardımcı olunması,hukuk departmanı uyum çalışmalarına katılım sağlanması vb şeklindeki konularda danışmanlık alınabilmektedir.

Global anlamda kişilerin özel bilgileri haricinde kurumlarda çalışanların ne tür bir izlemeye tabi tutulabileceğini, neyin kabul edilebilir davranış olarak kabul edildiğini ve bu beklentileri karşılamamanın sonuçlarını açıklayan bir belgeyi okuması tavsiye edilmektedir. Çalışanlardan daha sonra yasal olarak kabul edilebilir bir belge olarak değerlendirilebilecek bu belgeyi imzalamaları istenilmesi mevcutta işleyen bir süreç olarak karşımıza çıkmaktadır.

 

 

İlişkili Yazılar:
Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Benzer YazılarYAZARIN DİĞER İÇERİKLERİ

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.