İÇERİK

Giriş

Verinin İşlenmesi

Kişisel Verilerin Korunması

Bilgi Güvenliği

Bilgi Güvenliği Prensipleri

Sık Karşılaşılan Güvenlik Saldırıları

Sonuç

Kaynakça

 

Giriş

Günlük hayatımızda artık hepimiz sosyal medya hesaplarımızda fotoğraf, video, ses kaydı, konum gibi özel bilgilerimizi paylaşıyoruz. Tedavi amacıyla sağlık kuruluşuna gittiğimizde parmak izimizi, daha önce geçirdiğimiz sağlık sorunlarımızı paylaşıyoruz. Bankaya gittiğimizde mali bilgilerimizi, iletişim bilgilerimizi paylaşıyoruz. Her paylaştığımız bilgide kendimize ait bir iz bırakıyoruz. Bu izler bizi biz yapan ve herkesten ayran kişisel verilerimizdir. Paylaştığımız bu verileri bizden başka herkesin kötü ve haksız kullanımına karşı korumaya ise “veri koruma” denir.

Verinin İşlenmesi

Bir verinin kişisel veri niteliği kazanması veya belirli bir kişiyi temsil etmesi ancak verinin işlenme sürecinde kesinlik kazanabilmektedir. Kişisel verilerin işlenmesi, verilerin elde edilmesi, kaydedilmesi, düzenlenmesi, uyarlanması, dönüştürülmesi, kullanımı, açıklanması, birleştirilmesi, silinmesi gibi süreçlerden oluşmaktadır (Kaya, 2011).

Ekonomik İş birliği ve Kalkınma Örgütü (Organisation for Economic Co-operation and Development OECD) Rehber İlkeleri, kişisel verilerin korunması ve işlenme sürecinde dikkate alınması gereken prensipleri şu şekilde belirlemiştir (OECD, 2013):

  • Sınırlılık

Kişisel veriler, hukuka uygun sebepler ve araçlarla toplanmalıdır, veri sahiplerinin toplama konusunda bilgilendirilmeleri ve bilinçli rızalarının alınması gerekmektedir.

  • Kalite

Toplanan veriler kullanılan amaç doğrultusunda mümkün olduğunca tam, güncel ve doğru olmalıdır.

  • Amaca Özgülük

Kişisel verilerin toplanma amacı belirlenmelidir. Veriler sadece belirlenen amaç için kullanılmalıdır.

  • Kullanım Sınırlaması

Toplanan veriler belirtilen amaçlar dışında yayılamaz, bulundurulamaz veya başka amaçlarla kullanılamaz. Veri sahibinin bilinçli rızası ve kanuna dayalı yetkiler bu maddenin sınırlaması olabilir.

  • Güvenlik

Toplanan verilere yönelik oluşabilecek tehlikelere karşı (kayıp, yetkisiz erişim, zarar verme, değiştirme, açıklama) uygun güvenlik tedbirleri ile korunmalıdır.

  • Açıklık

Kişisel verilerle ilgili gelişmeler, uygulama ve politikalar hakkında genel bir açıklık ilkesi bulunmalıdır. Bireyler kendileri ile ilgili veri barındıran kurumların politikalarına kolayca ulaşabilmelidirler.

  • Bireyin Rızası

Veri sahibinin rızası olmaksızın veriler erişilebilir hale getirilmemeli ve açıklanmamalıdır.

  • Hesap Verebilirlik

Veri sahipleri veri toplayıcı ve yayınlayıcılarına karşı sayılan diğer ilkeler çerçevesinde hesap sorma hakkına sahip olabilmelidir. (Eroğlu, 2018)

Kişisel Verilerin Korunması

Yaşanan süreçlerde kişisel verilere yönelik tehditlere karşı hem bireysel hem toplumsal savunma mekanizmalarının varlığı değer kazanmaktadır. Kişisel verilerin korunması özel hayat ve aile hayatına saygı hakkı bakımından önemlidir. Kişisel verilerin korunmasının uluslararası belgelerde, mahremiyete yönelik düzenlemelerle yorumlandığı görülmektedir.

Türkiye’de kişisel verilerin korunmasına yönelik yasal düzenleme çalışmaları 2000’li yıllardan itibaren gündeme gelmiştir. 2016 yılında ise konuya yönelik kanun çalışması tamamlanmıştır. “6698 sayılı Kişisel Verilerin Korunması Kanunu” 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Kanun ile “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” amaçlanmaktadır. (Eroğlu, 2018).

Bilgi Güvenliği

Bilgi karşımıza çok çeşitli ve farklı yerlerde ortaya çıkmaktadır. Bilginin yer aldığı ortamlara örnek vermemiz gerekirse; sunucular, kişisel ve dizüstü bilgisayarlar, tabletler, akıllı telefonlar, veri tabanı gibi elektronik ortamlar, elektronik posta, taşınabilir diskler, CD/DVD ROM’lar, kâğıt vb. olarak sayılabilir. Bilginin üç hali olduğunu burada ifade etmemiz gerekir. Bunlar;

  • Durağan bilgi
  • Hareket halindeki bilgi
  • Kullanımdaki bilgi (Çek, 2017, p.4).

Bilgi Güvenliği Prensipleri

Veri güvenliğinin üç temel prensibi vardır. Bunlar:

  • Gizlilik

Bilginin sadece yetkisi olan kişiler tarafından erişmesi, yetkisiz kişilerin eline geçmemesi ve yetkisiz kişiler tarafından görülememesidir.

  • Bütünlük

Bilginin yetkisiz kişiler tarafından değiştirilememesi, tam ve eksiksiz olmasıdır. Bilginin yine saklandığı veri tabanında veya iletim halindeyken yetkisi olmayan herhangi bir kişi tarafından değiştirilmesini, tahrip edilmesini veya silinmesi istenmez.

  • Erişilebilirlik

Bilginin yetkisi olan kişiler tarafından, gerektiği zaman ulaşılabilir olması bilgi güvenliğinin erişilebilirlik prensibidir.

Bilgi güvenliğinin yukarıda bahsettiğimiz üç temel prensibi dışında başka birtakım prensipleri de vardır. Bunlar:

  • Loglama

İngilizce ‘‘Accountability’’ kavramının karşılığı olarak dilimize hesap verilebilirlik olarak çevirebileceğimiz, log kayıtlarının bütünlüğünden bahsedilmesi gerekir. Log tutma, elektronik ortamda yapılan işlemlere ait kayıtların tutulmasıdır.

  • Kimlik Doğrulama

Bilgi sistemlerinden hizmet alan kişinin, uygulamanın ya da bir web servisinin gerçekten o kişi, uygulama ya da web servisi olduğunun tespiti gerekmektedir. Kimlik doğrulama olmaksızın bir bilgi güvenliği düşünmek olanaksızdır. Şifre, OTP, biyometrik kimlik doğrulama gibi çeşitli kimlik doğrulama yöntemleri bulunmaktadır.

  • İnkâr Edilemezlik

Bu prensibi, log kayıtlarının tutulması prensibiyle de birlikte değerlendirmek mümkündür. İnkâr edilemezliğin sağlanması için bütünlüğü korunmuş, tutarlı bir log kayıtlarının tutulması mekanizması gerekmektedir.

  • Güvenilirlik

Bilişim sisteminden beklenen sonucun üretilmesi ve elde edilen sonuçlar ile beklenen sonuçların tutarlılık durumudur. (Çek, 2017, p.4-6).

Sık Karşılaşılan Güvenlik Saldırıları

Bilgi güvenliğini tehdit eden saldırılar üç ana başlıkta gruplandırılabilir.

  • Gizliliği Tehdit Eden Saldırılar

Genel olarak, iki tür saldırı, bilginin gizliliğini tehdit eder: gözetleme ve trafik analizi. Ağ trafiğini dinleme (Snooping), verilere yetkisiz erişime veya veri kesme işlemine yönelik olarak gerçekleştirilir. Trafik analizi ise bir saldırganın çevrimiçi trafiği izlenerek toplanan değişik türdeki bilgileri elde etme işlemidir.

  • Bütünlüğü Tehdit Eden Saldırılar

Verilerin bütünlüğü çeşitli saldırılarla tehdit edilebilir. Bu saldırılara örnek olarak değiştirme, maskeleme, tekrarlama ve reddetme verilebilir.

  • Erişilebilirliği Tehdit Eden Saldırılar

Hizmet dışı bırakma (DOS) saldırıları ve dağıtık hizmet dışı bırakma saldırıları (DDOS), bir sistemin hizmetini yavaşlatabilir veya tamamen kesebilir. Saldırgan bunu başarmak için çeşitli stratejiler kullanabilir. Sistemi çok meşgul edebilir, çökertir ya da bir yönde gönderilen iletileri kesebilir ve gönderme sistemini iletişim veya mesajdaki taraflardan birinin mesajı kaybettiğine ve tekrar gönderilmesi gerektiğine inanmasına neden olabilirler. (Kurt Kaya, 2017, p.4-8).

Sonuç

            Sonuç olarak bütün bu bilgileri ele aldığımızda kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmektedir.

KAYNAKÇA

  • Kurt Kaya, G. (2017). Bilgi Güvenliği ve Siber Güvenlik Kapsamında Bakanlık Uygulamaları için Güvenli Yazılım Geliştirme Metodolojisi Önerisi (Master’s thesis).
  • Eroğlu, Ş. (2018). Dijital Yaşamda Mahremiyet (Gizlilik) Kavramı ve Kişisel Veriler: Hacettepe Üniversitesi Bilgi ve Belge Yönetimi Bölümü Öğrencilerinin Mahremiyet ve Kişisel Veri Algılarının Analizi. Hacettepe Üniversitesi Edebiyat Fakültesi Dergisi, 131-153.
  • Çek, E. (2017). Kurumsal Bilgi Güvenliği Yönetişimi ve Bilgi Güvenliği İçin İnsan Faktörünün Önemi (Master’s thesis).
  • Photo by Rob Sarmiento on Unsplash

 


Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.