← İçindekiler KVKK: Teknik Tedbirler
KVKK’nın 12. maddesi teknik tedbirleri de zorunlu kılar. İdari tedbirler insan ve süreç odaklıdır; teknik tedbirler ise sistem ve teknoloji odaklıdır. İkisi birlikte çalışır. En güçlü güvenlik duvarı bile eğitimsiz bir çalışanla aşılır; en bilinçli çalışan bile şifresiz bir veritabanıyla savunmasızdır.
Özlü kural: Teknik tedbirler bir kerelik kurulum değil, sürekli güncellenen canlı bir savunma hattıdır.
6698 sayılı KVKK Tam Metni (Mevzuat Bilgi Sistemi) ↗49.1 Siber Güvenlik Temelleri
- Güvenlik duvarı (firewall) ile ağ trafiğini kontrol et
- İşletim sistemi ve uygulamaları güncel tut
- Erişim yetkilerini rol bazında tanımla (RBAC)
- Kötü amaçlı yazılım koruması (antivirüs/EDR) kur
- Güçlü parola politikası ve çok faktörlü doğrulama (MFA) uygula
- Kişisel verileri şifrele (bekleyen ve hareket halindeki veri)
- Saldırı tespit ve önleme sistemi (IDS/IPS) ile ağ trafiğini izle
- Veri kaybı önleme (DLP) çözümü ile yetkisiz veri aktarımını engelle
- Şifreleme anahtarlarını güvenli şekilde yönet (anahtar yönetimi)
Kullanılmayan yazılım ve servisleri güncellemek yerine silmek tercih edilmeli. Her yüklü uygulama, saldırgan için bir hedeftir.
Şifreleme
Şifreleme, kişisel verilerin yetkisiz erişime karşı korunmasında en kritik tekniktir. İki durumda şifreleme şarttır:
- Bekleyen veri (data at rest): Veritabanında, dosya sunucusunda, yedeklerde duran veri
- Hareket halindeki veri (data in transit): Ağ üzerinden iletilen veri (TLS/SSL)
Özel nitelikli kişisel veriler (sağlık, biyometrik vb.) şifrelenmeden saklanamaz. Bu bir tercih değil, yasal zorunluluktur.
49.2 Erişim Kontrolü
Erişim kontrolü, kişisel veriye kimin, ne zaman, hangi yetkiyle eriştiğini yönetir.
- Rol bazlı erişim (RBAC): Her rol sadece ihtiyaç duyduğu veriyi görür
- En az yetki prensibi (Least Privilege): Kimse ihtiyacından fazla yetkiye sahip olmamalı
- Veri maskeleme: Hassas alanlar (TCKN, kart no) test ve geliştirme ortamlarında maskelenmeli
- Erişim logları: Kim, ne zaman, hangi veriye erişti; hepsi kayıt altında
- Düzenli yetki gözden geçirmesi: İşten ayrılan, rol değiştiren personelin yetkileri derhal güncellenmeli
49.3 İzleme ve Loglama
Kişisel veri güvenliğinin takibi, ihlallerin tespit edilmesi için zorunludur.
- Sistem loglarını merkezi olarak topla (SIEM)
- Şüpheli erişim girişimlerini izle ve uyarı ver
- Log kayıtlarını değiştirilemez şekilde sakla
- Zafiyet taramaları ve sızma testleri yap
Kurum veritabanına yapılan şüpheli bir sorgu log sistemi tarafından tespit edildi. Erişim, hafta sonu normal olmayan saatlerde, farklı bir lokasyondan yapılmıştı. İhlal, veri sızmadan önce engellendi. Log olmasaydı, ihlal aylar sonra fark edilebilirdi.
49.4 Bulut Güvenliği
Kişisel verilerin bulutta depolanması, KVKK kapsamında özel dikkat gerektirir.
- Bulut hizmet sağlayıcısı ile işleme sözleşmesi imzala
- Verinin bulutta nerede saklandığını (data residency) bil
- Bulut sağlayıcısının sertifikalarını (ISO 27001, SOC 2) doğrula
- Bulut ortamında da şifreleme ve erişim kontrolü uygula
- Yedekleme stratejisini bulut sağlayıcısına bırakma
49.5 Fiziksel Güvenlik ve Cihaz Yönetimi
Kişisel veri sadece siber saldırılarla değil, fiziksel erişimle de tehlikeye girer. Sunucunun çalınması, su basması, yangın veya yetkisiz birinin sunucu odasına girmesi de bir güvenlik ihlalidir.
- Kişisel veri içeren fiziksel arşivleri kilitli dolaplarda sakla
- Sunucu odalarına erişimi sınırlandır ve giriş-çıkışları logla
- Şahsi cihazların kurum ağına bağlanmasını engelle, gerekirse izole alan oluştur
- Kişisel veri içeren sistemlerde rol bazlı kısıtlama ve çoklu erişim kontrolü uygula
Cihaz Bakım ve Onarımı
Arızalanan veya bakımı gelen cihazlar, kişisel veri içeriyorsa, üreticiye veya servis firmasına gönderilmeden önce veri saklama ortamı (disk/SSD) sökülerek kurumda tutulmalıdır. Sadece arızalı parça gönderilmelidir.
Bir hastanenin BT departmanı, bozulan bir MRI cihazının kontrol birimini tamir için yurt dışındaki üretici firmaya gönderdi. Cihazın sabit diskinde binlerce hastaya ait görüntüler vardı. Disk sökülmedi. Ayler sonra üretici firma, diski “veri kurtarma” adı altında üçüncü bir firmaya verdi. Hastane, KVKK ihlali nedeniyle Kurul’a bildirimde bulunmak zorunda kaldı ve idari para cezası ile karşılaştı. Disk sökülseydi, hiçbir veri kurumdan çıkmamış olacaktı.
Bakım ve onarım amacıyla dışarıdan personel geliyorsa, kişisel verileri kopyalayıp kurum dışına çıkarmasını engellemek için gerekli önlemler alınmalı.
49.6 BT Sistemleri Yaşam Döngüsü
Kişisel veri güvenliği, sistemlerin tedarikinden kaldırılmasına kadar tüm yaşam döngüsünü kapsar.
- Tedarik: Güvenlik gereksinimleri sözleşmede tanımlı olmalı
- Geliştirme: Güvenli kodlama standartları (OWASP), kod incelemesi
- Test: Güvenlik testleri, sızma testleri
- Bakım: Güvenlik yamaları zamanında uygulanmalı
- Kaldırma: Eski sistemlerden kişisel veriler güvenli şekilde imha edilmeli
49.7 Yedekleme ve Olay Yönetimi
Yedekleme, veri kaybına karşı son savunma hattıdır.
- 3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 off-site
- Yedekleri düzenli test et (geri yükleme denemesi yap)
- Yedekleri de şifrele
- Yedekleri ağ dışında tut (sadece sistem yöneticisi erişebilmeli)
- Fidye yazılımına karşı: Ransomware hem canlı veriyi hem ağda duran yedekleri şifreleyebilir. Yedeklerin ağ dışında (offline) olması, son savunma hattıdır
- Olay müdahale planı: İhlal durumunda kim, ne yapacak? Zaman çizelgesi net olmalı
- İhlal bildirimi: KVKK gereği ihlali en kısa sürede ilgilisine ve Kurula bildir
- Kişisel verileri hem bekleyen hem hareket halinde şifrele
- Erişim loglarını merkezi topla ve düzenli incele
- Yedekleri düzenli test et, sadece alma
- Servise gönderilen cihazdan diski sök ve kurumda tut
- Kullanılmayan yazılımı sil, sadece güncelleme yapma
- Antivirüs kurduysan güncellemeyi unut
- Tüm personelle aynı admin şifresini paylaş
- İhlal durumunda "belki geçer" diye bekleyip bildir
- Yedekleri canlı ağda bırak, fidye yazılımı gelince yedeğin de gider