Dijital teknolojilerin yükselişi ile birlikte ortaya çıkan siber saldırılar kurumları ve bireyleri tehdit ederken saldırıların 2019'da yaklaşık maliyetinin 2 trilyon doları aşacağı tahmin ediliyor.
Dijital teknoloji, iş ve bireysel hayatta işlem sürelerinin kısalmasından bilgiye erişimin kolaylaşmasına kadar pek çok avantajı sağlarken "veri güvenliği" konusunda ciddi problemleri de beraberinde getiriyor.
Forrester Consulting ve Experian iş ortaklığında Türkiye de dahil olmak üzere Avrupa, Orta Doğu ve Afrika bölgelerinde 900'den fazla şirketle görüşülerek hazırlanan 'EMEA Dolandırıcılık Durum Analizi Araştırması'na göre Türkiye'den araştırmaya katılanların yüzde 67si veri hırsızlığını en çok karşılaşılan dolandırıcılık yöntemlerinden olduğunu söylüyor. Yine Türkiye'den araştırmaya katılanların yüzde 60'ının en çok karşılaştığı zorluk dolandırıcılığın tespiti ve siber atakların sayısının artması olarak görülüyor.
Avrupa'da ise internet kullanıcılarının yüzde 67'si kimlik hırsızlığı yaşama konusunda endişeli olduğunu vurguluyor. Yüzde 63'ü ise banka kartı veya online bankacılıkta veri hırsızlığına uğrama konusunda endişeli olduğunu söylüyor.
Geride bıraktığımız yıllarda yaşanan gelişmeler de veri güvenliği konusunda yaşanan endişelerin haklı olduğunu gözler önüne seriyor. ABD'de Cambridge Analytica gibi pek çok veri skandalı milyonlarca insanın verilerinin çalınmasına neden olmuş çalınan veriler sonucu yine milyonlarca insanın politik tercihleri manipüle edilmişti.
Veri skandallarının ardından devletler de veri güvenliği konusunda çok sert önlemler almaya devam ediyor. Geçen hafta ABD Federal Ticaret Komisyonu Facebook'a Cambridge Analytica skandalı sebebiyle 5 milyar dolar gibi bir rekor ceza keserek veri güvenliği konusunda ciddiyetini ortaya koydu.
Experian Türkiye ve Orta Doğu Genel Müdürü Serter Baltacı, verinin günümüzün petrolü olduğunu söyledi. Her şeyin veri üzerine kurgulandığına dikkati çeken Baltacı, "Son 2 senedeki data, insanlığın başlangıcından itibaren toplanmış datadan daha fazla. Bu anlamda ileriye dönük yapılacak tüm kararlar, tüm sektörler dahil olmak üzere veriye dayalı kararlarla yönetilecek." dedi.
"Her 'bit' artık bir vatan toprağı"
Baltacı, dünyada insanlar tarafından her saniye veri üretildiğini belirterek, şunları söyledi:
"Bu veri bir yerlerde toplanıyor ve bu veriden akıl üreten bir sistem ihtiyacı doğuyor. Bu anlamda bu verinin öncelikle doğru bir şekilde toplanması ve doğru amaçlara yönelik kullanılması için düzenlemeler yapılması gerekiyor.
Kamu yetkilileriyle yaptığımız görüşmelerden çıkan ortak mesajımız her "bit" artık bir vatan toprağı. Verinin vatan toprağı gibi korunması gereken bir şey olduğu konusunda herkes hem fikir. Çünkü artık sizin üretmiş olduğunuz veri sizin kimliğinizin ayrılmaz bir parçası oldu.
Serter Baltacı olarak beni, ürettiğim veriden ayırabileceğimiz bir dünya artık yok. O anlamda çalıştığım kurumlar ve devlet beni nasıl korumakla yükümlüyse, benim verimi de artık korumakla yükümlü hale geliyorlar."
"Siber saldırıların yaklaşık maliyeti 2 trilyon doları aşacak"
Siber suçlarla mücadelede maliyetlerin sürekli arttığına vurgu yapan Baltacı, "2018'de siber suçlarla mücadele için yaklaşık 80 milyon dolar para harcanmış. 2019'da ise siber saldırıların yaklaşık maliyeti 2 trilyon doları aşacak." dedi.
Alınan önlemlere rağmen siber saldırıların devam edeceğini söyleyen Baltacı, "Bunu alınacak önlemlerle bitirmek çok zor. Burada önemli olan saldırılar yapıldıktan sonra bu saldırılar üzerine nasıl aksiyon alacağınız. Biz de bu nokta da 'vatandaşı nasıl koruruz' bunun üzerine çalışmalar yapıyoruz. ABD kamu kurumlarında yaşanan ve 36 milyon vatandaşın verisinin çalındığı ataklar sonrasında, Experian olarak verileri çalınan kişilere bilgilendirmeler yaparak önlem almalarını sağladık." ifadelerini kullandı.
Experian Siber Güvenlik Ülke Lideri Dr. Murat Ayaz ise "veri hırsızlığının" son derece organize bir şekilde yürütüldüğünü ve Dark Web de denen siber ortamda bu verilerin el değiştirdiği büyük bir market olduğunu söyledi.
Kişisel Verilerin Korunması Kanunu (KVKK) ile birlikte hangi verinin, hangi koşullarda ve ne kadar süreyle işlenebileceği gibi hususların kamu otoritesi tarafından sınırlandırıldığını belirten Ayaz, "KVKK'nın veri güvenliğine ilişkin yükümlülükler konulu 12. maddesine göre şirketlere gerekli güvenlik tedbirlerinin alınmaması sebebiyle ve veri sızıntılarına ilişkin olarak en kısa sürede kurumun bilgilendirilmemesi sebebiyle cezalar kesilebiliyor.
KVKK kapsamında en son uluslararası bir otel zincirine para cezası verildi. Olayda bir "truva atı" sayesinde otel müşterilerinin bilgileri ele geçiriliyor. Bu kapsamda Türkiye adresli müşterilerin de bilgilerinin sızması nedeniyle firmaya ceza kesiliyor.
Yine uluslararası bir hava yolu firmasından sızan yolcu verilerinde Türk müşterilerin verilerinin de bulunması sebebiyle KVKK kapsamında ceza kesilmişti." diye konuştu.
Veri hırsızlığında 3 temel risk var
Veri hırsızlığı noktasında bireyleri ve kurumları tehdit eden 3 temel riskin mevcut olduğuna dikkati çeken Ayaz, "Risklerden bir tanesi finansal risk. Bu nispeten telafi edilebilir. Diğeri adli risk. Verilerinizi çalanlar sizin adınıza yasal olmayan işler yaparak başınızı adli açıdan derde sokabilirler.
Bir diğeri ise 'itibar' riski. Sosyal medya hesabınız ya da eposta bilgileriniz ele geçirebilir ve sizin adınıza istemediğiniz paylaşımlar yapılabilir. Hiç ummadığınız şekilde itibarınız çok büyük zarar görebilir. Hatta işinizi bile kaybedebilirsiniz. Bu üç riske karşı siber güvenlik bilincinin artması ve siber güvenlik koruma poliçesine sahip olunması çok önemli hale gelecek" dedi.
Cumhurbaşkanlığı tarafından yayımlanan "Bilgi ve İletişim Güvenliği" genelgesini de yorumlayan Ayaz, şöyle devam etti:
"Bu genelgenin temel gerekçesi bilginin dijital ortamlarda yaygınlaşması sonucu kamu kurum ve kuruluşlarının karşılaştığı güvenlik risklerinin azaltılması ve kritik verilerin korunması. Dünyada bütün büyük devletlere baktığınızda, verilen hizmetlere ilişkin bilgilerin saklandığı ana sunucuların ülke içerisinde olması bekleniyor.
Dijital Dönüşüm Ofisi tarafından yayımlanan genelgenin hedefi de bu tür kritik verilerin yurt içinde yerel bir halde tutulması anlamına geliyor. Genelgede bulut teknoloji ile ilgili kısma gelecek olursak, kurum kontrolündeki yerli hizmet sağlayıcılara ait bulut sistemlerine izin verildiğini görüyoruz. Genelge, verileri yurt dışında tutan yabancı bulut şirketlerinde kritik verilerin saklanmasını yasaklıyor."