Turkey: Kişisel Verileri Koruma Kurumu: İlaç Sektöründe Faaliyet Yürüten Şirketin Veri Ihlal Bildirimi

Veri sorumlusu Kişisel Verileri Koruma Kurumu'na ("Kurum") aşağıda ayrıntısı açıklanan veri ihlal bildiriminde bulunmuştur:

• Veri sorumlusu, siber suçluların kendisine ait sistemin yetkili kullanıcı şifrelerini ele geçirip çalışanlarının sisteme erişimlerinin engellendiğini (fidye yazılım saldırıları aracılığıyla) tespit etmiştir.
• Fidye yazılım saldırıları, Avrupa Veri Koruma Kurulu'nun "Veri İhlal Bildirimlerine İlişkin Örnekler üzerine 01/2021 Tarihli Rehberi"nde örnekleri ilk sırada ele alınmış ve "kötü amaçlı bir yazılımın kişisel verileri şifrelemesi ve ardından saldırganın, şifrenin çözülmesi işlemi karşılığında veri sorumlusundan fidye istemesi" olarak tanımlanmış en sık karşılaşılan siber saldırı türüdür.
• Bu hususa ilişkin siber saldırılar 8 – 11 – 12 Ocak 2021 tarihlerinde gerçekleştirilmiş ve veri sorumlusu tarafından çalışanlarının sisteme erişemediği 12 Ocak 2021 tarihinde tespit edilmiştir.
• Siber saldırıların gerçekleştirildiği bilgisayarların tespit edilmesi üzerine, suçlunun, önceki dönemde veri sorumlusu bünyesinde çalışmış olan ve veri sorumlusunun halihazırda siber güvenlik hizmeti aldığı firma bünyesinde çalışmakta olan aynı kişi olduğu tespit edilmiştir.
• Ayrıca, ihlalden etkilenen kişi ve kayıt sayısının tam ve kesin olarak belirlenememiş ihlalden 1000 kişinin (297 şirket çalışanı dahil tedarikçi, müşteri ve taşeronlar) etkilenmiş olabileceği tahmin edilmiştir.

Bu ihlal bildirimine ilişkin olarak, 16/06/2020 tarih ve 2020/463 sayılı Karar'da

Kişisel Verileri Koruma Kurulu ("Kurul"), 6698 Sayılı Kişisel Verilerin Korunması Kanunu'nun ("Kanun") 12. Maddesi'nin 1. Fıkrası uyarınca alınması gerekli teknik ve idari tedbirlerin veri sorumlusu tarafından alınmadığını kararlaştırmıştır. Bu hususta 125.000 TL idari para cezasına karar vermiştir.

• Kurul, ihlalden etkilenen kişi ve kayıt sayısının tam ve kesin olarak belirlenememiş olmasından dolayı tahmini 1000 kişinin özel nitelikli kişisel verilerinin dahi etkilenmiş olabileceğini belirtmiştir.
• Bu hususta da özellikle gerekli siber güvenlik alarm sistemleri üzerinden gelen uyarılar üzerine harekete geçilmesinin önemli olduğunu vurgulamış ve düzenli zafiyet taramaları ve sızma testlerinin ve bu testler sonucunda değerlendirmelerin düzenli yapılması gerektiğini belirtmiştir.
• Ayrıca, fidye yazılım saldırılarına ilişkin olarak da veri yedekleme stratejilerinin ve yedeklenen kişisel verilerin sadece sistem yöneticisi tarafından erişilebilir olmasının önemini vurgulamıştır.

Son olarak, Kurul, veri sorumlusunun bildirimleri zamanında ve usulüne uygun olarak gerçekleştirdiğini kararlaştırmıştır (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde bildirim yükümlülüğüne ve 18.09.2019 tarih ve 2019/271 sayılı Kurul kararında belirtilen asgari şartları taşıma yükümlülüğüne uygun olacak şekilde). Dolayısıyla Kanun'un 12'nci Maddesi'nin 5. Fıkrası kapsamında yapılacak bir işlem olmadığına karar vermiştir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.