GDPR (Türkiyedeki ismi Kişisel verilerin korunması kanunu – KVKK) ile ilgili tartışmalar (GDPR – Genel Veri Koruma Yönetmeliği), çoğu zaman beyaz şapkalı hackerların bildiği ve sıklıkla değindiği konulardan bir tanesidir. KVKK’ya bir beyaz şapkalı hacker bakış açısıyla bakarak ve neden güvenlik ilkesi zihniyetine geçiş yapmanın mükemmel bir fırsat olduğunu bu yazımda sizlerle paylaşmaya çalışacağım.
GDPR karmaşıktır, ancak arkasında yatan ana düşünce çok basittir. Şirketlerin, daha tasarım aşamasında müşterilerin gizliliğini ve bunları nasıl korumaları gerektiğini düşünmeleri gerekir. Güvenliğe ve veri korumasına yatırım yapmak sadece ağır para cezalarından kaçınmak için yapılmamalıdır. Beyaz Şapkalı Hacker bakış açısıyla GDPR’a uymanıza yardımcı olacak üç tane ipucunu sizlerle bu yazımda paylaşmak istiyorum.
1. Proaktif olarak geliştirme sürecinde güvenlik bakış açısıyla çalışılmalı
Güvenlik önlemlerini alma yaklaşımı, genellikle geliştirme sürecinin başlarında uygulamadan ziyade bir düşünce şeklindedir. Son teslim tarihleri geldiğinde, güvenlik kontrolleri zaman alıcı ve gereksiz göründüğünden genellikle bu süreç atlanır ve dikkat edilmez. Bununla birlikte, proaktif olarak geliştirme sürecinde güvenlik bakış açısıyla çalışmak akıllıca bir harekettir.
İlk etapta zafiyetlerin gerçekleşmesini önlemek için proaktif bir şekilde çalışmak, hacklenen sistemleri kurtarmak daha ucuz bir çözüm yoludur. Bir sistemi saldırıdan kurtarmak, sürekli güvenlik önlemlerini dikkate alarak çalışmaktan daha streslidir.
-
GDPR bu konuda ne diyor ?
GDPR’nin 32. Maddesinin merkezinde güvenliğe yönelik bu proaktif yaklaşım, güvenlik testi gerekliliğinin vurgulandığı ve şirketlerin güvenliğini sağlamak için teknik önlemlerin etkinliğini düzenli olarak test etmesi ve değerlendirmesini içeren maddeler yer almaktadır. (Madde 32, 1d)
-
Siz ne yapabilirsiniz ?
- Otomatik web güvenliği taraması kullanabilirsiniz. Otomatik web taraması güvenliği sağlayan bir araçla düzenli güvenlik testleri yapmak, güvenliğinizi korumanızı ve her zaman güncel açıklardan kendinizi korumanızı sağlar. Bilgisayar korsanları, web uygulamanızı her testinizde size yeni güvenlik açıklarını bulmanızı sağlar.
- Açık ve şeffaf bir bilgilendirme politikası uygulamak. Etik hacker topluluğundan yararlanarak size açıkları bildirmelerini sağlayabilirsiniz. Eğer Google, Facebook, PayPal gibi şirketler, tehditlerin üstesinden gelmelerine yardımcı olmak için dış araştırmacılara yöneliyorlarsa, sizlerde bu şekilde yapmalısınız. İlk adım, etik hackerların sizinle kolayca iletişim kurabilmesi için e-posta adresi oluşturmaktır ve etik hacker platformlarımda paylaşarak sizlere ulaşmalarını sağlayabilirsiniz. (Karim Rahal, Spotify’ı sadece 13 yaşındayken hackledi. Spotify’ın açık ve şeffaf bir açıklama politikası olduğundan, Spotify bu zafiyet raporunu alarak hemen bu güvenlik açığını düzeltebildi.)
2. Hızlı ve şeffaf bir şekilde olaylara tepki verilmeli
Belki kimsenin size asla saldırmayacağını düşünürsünüz, ancak bilgisayar korsanları nadiren hedef odaklı seçim yaparlar. Genelde bir güvenlik açığı türüne odaklanmaları ve ardından onu mümkün olduğu kadar çok sitede kullanmaya çalışmaları çok daha yaygın bir davranıştır. Siteniz saldırıya uğrarsa, tepki verme şeklinizin olayın etkisini büyük ölçüde azaltabileceğini asla unutmayın.
Saldırının kişisel olmadığını fark etmelisiniz. Saldırganlar, özellikle sizi değil, mümkün olduğu kadar çok kişiyi hacklemek istiyor. Bu konuda paniğe gerek yok, insanlar daha önce de benzer saldırılara uğradı ve halen daha hayatta kalmayı sürdürüyorlar. Böyle bir durumda, hızlı hareket etmeli ve şeffaf bir şekilde olaylara tepki verilmelidir.
-
GDPR bu konuda ne diyor ?
Şeffaflık GDPR’ya uyum için hayati öneme sahiptir çünkü kişisel veri ihlallerinin yetkililere ve etkilendiği düşünülen veriler 72 saat içinde bildirilmesi gerekir (madde 33 ve 34). Ciddi bir ihlali rapor etmeyen şirketler, ciddi para cezalarına maruz kalabilir, ancak bir güvenlik olayını gizlemeye çalışılması durumunda, en tehlikeli olan markanızın itibarını ve müşterilerinin güvenini kaybetmesine sebebiyet verir.
-
Siz ne yapabilirsiniz ?
- Olaylara müdehale planınızı gözden geçirin. Zaten bir henüz olaylara müdehale planınız yoksa, bir güvenlik ihlali durumunda hızlı bir şekilde tepki vermenizi sağlayacak ayrıntılı bir olay müdahale planı oluşturun. Hala geçerli olup olmadığını kontrol etmek için olay müdahale planınızı düzenli olarak gözden geçirmelisiniz. Bir güvenlik olayı durumunda, bir ihlalin gizlenmesinin asla iyi bir fikir olmadığını unutmayın ve bu konuda panik yapmayın.
- Açık ve şeffaf iletişim kurun. GDPR uyumluluğu ve kapsamlı güvenlik sıkılaştırmaları sizler için %100 kurşun geçirmez bir ortam oluşturmayacaktır, çünkü bu mümkün değildir. Google ve diğer teknoloji devleri savunmasızsa, siz de öyleysiniz. Asıl fark, bir güvenlik sorunu ortaya çıktığında nasıl tepki verdiğiniz ve iletişim kurduğunuzdur. Açık, hızlı iletişim ve şeffaflık kötü PR’ı iyi PR’ye dönüştürebilir. 2016 yılında, Slack adında bir şirket tarafından bilgisayar korsanlarının hesapları ele geçirildiği ve kullanıcıların sohbet geçmişlerine tam erişim sağlamasına izin veren bir zafiyetin olduğu rapor edildi. Raporun Cuma akşamı gelmesine rağmen, Slack hemen tepki gösterdi, güvenlik açığını birkaç saat içinde düzeltti ve olayla ilgili ayrıntılı bir açıklama yaptı. Hikaye medyada yer aldığında, Slack’in bu şekilde izlediği yol, şirketlerin güvenlikle ilgili bir zafiyet sonrasında nasıl çalışması gerektiğine dair olumlu bir örnek olarak görüldü.
3. Potansiyel hasarlar en aza indirilmeli
İki tür şirket vardır. Bunları saldırıya uğrayanlar ve hacklenmiş olanlar diye ikiye ayırabiliriz. Veri korsanlarının ele geçirdiği verilerin kullanışsızlığı ne kadar az ise bir güvenlik olayı daha az zarar verir.
Bir saldırgan ne tür verilerle ilgilenir? Bu noktada verileri önemsiz görmemek için dikkatli olmanız gerektiğine dikkat çekmek istiyorum: Saldırganlar, para çalmak için kredi kartı bilgilerinin peşindedir, örneğin kullanıcı başka yerlere giriş yapmak için kullandığı kimlik bilgileri, şantaj yapmak için kullanılacak kişisel bilgiler gibi liste uzayarak devam ediyor ve değişiyor. Hangi sektörde olduğunuzu asla unutmayın. Akılda tutulması gereken, neredeyse tüm verilerin birileri için ilginç olmasıdır.
-
GDPR bu konuda ne diyor ?
GDPR, şirketlerin sadece operasyonlar için gerekli olan kişisel verileri işlemesi gerektiğini vurgulamaktadır (Madde 6). Kişisel veriler, takma adlandırma ve şifreleme vb. önlemler kullanılarak korunmalıdır (Madde 32, 1a). Kısacası, kesinlikle ihtiyaç duymadığınız sürece kişisel verileri işlememelisiniz ve işlem yaptığınız veriler korunmalı ve asla zarar görmemelidir.
-
Siz ne yapabilirsiniz ?
- Kişisel verileri şifreleyin veya maskeleyin. Kullanıcılarınızın kişisel verilerini şifreleyin/maskeleyin ve bilgisayar korsanları sistemlerinizi ihlal etseler bile, keşfedebilecekleri şeyleri kullanamadıklarından, amaca uygun şifrelemeyi kullandığınızdan ve uyguladığınızdan emin olun. Verileri şifrelemek iyi bir fikirdir ve bir bulut servis sağlayıcısı kullanıyorsanız (Azure vb.) yapmanız gereken tek şey veri maskeleme kutucuğunu işaretlemektir. Ancak, bu verilerin bulunduğu bir sunucuya saldıramayacağı anlamını taşımaz ve olası her senaryoya karşı hazırlıklı olmalısınız. İşin zor kısmı şifre çözme anahtarını iyi bir şekilde saklamaktır ve bunun için tek bir doğru method yoktur. Asgari şartlarda anahtarı, şifresini çözdüğünüz verilerle aynı yerde asla saklamayın.