Kurumdan yapılan yazılı açıklamada, Kişisel Verilerin Korunması Kanunu hükümleri uyarınca veri sorumlularının, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu vurgulandı.
Son dönemde kuruma intikal eden veri ihlal bildirimlerinin değerlendirildiği belirtilen açıklamada, finans, e-ticaret, sosyal medya ve oyun gibi çeşitli sektörlerde faaliyet gösteren veri sorumlularının internet sitelerine giriş için kullanılan hesap bilgilerinin (kullanıcı adı ve parolalar), bazı internet sitelerinde herkese açık şekilde yayınlandığının görüldüğü ifade edildi.
Açıklamada, söz konusu kullanıcı hesaplarını elde eden üçüncü kişilerce veri sorumlularının internet sitelerine kullanıcıların haberi olmadan aktif bir şekilde giriş yapıldığı ve ilgili kişilere ait verilerin bu kapsamda görüntülenebildiğinin belirlendiği bildirildi.
Veri ihlallerini önlemek veya meydana gelmesi halinde ilgili kişiler üzerinde olumsuz sonuç doğurma olasılığının azaltılması amacıyla veri sorumluları tarafından önlemlerin alınmasına ihtiyaç duyulduğu kaydedilen açıklamada, veri sorumlularına şu tedbirleri almaları tavsiye edildi:
- Çift kademeli kimlik doğrulama sistemleri kurulmalı ve kullanıcılara üyelik başvurusu aşamasından itibaren alternatif güvenlik önlemi olarak sunulmalı.
- Kullanıcıların, hesaplarına sık erişim sağlayan cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda, giriş bilgilerinin e-posta/sms gibi yöntemlerle ilgili kişilerin iletişim adreslerine iletilmesi sağlanmalı.
- Uygulamalar HTTPS (Hypertext Transfer Protocol Secure - Hiper Metin Aktarma Güvenli İletişim Kuralı) ile veya aynı güvenlik seviyesini sağlayacak bir şekilde koruma altına alınmalı.
- Kullanıcı parolalarının, siber saldırı yöntemlerine karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmalar kullanılmalı.
- IP (Internet Protocol Address) adresinden yapılacak başarısız giriş denemesi sayısı sınırlandırılmalı.
- İlgili kişilerin en az son 5 başarılı ve başarısız giriş denemeleri ile ilgili bilgilerini görüntüleyebilmeleri sağlanmalı.
- İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiği hatırlatılmalı.
- Veri sorumluları tarafından parola politikası oluşturulmalı ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesi sağlanmalı veya bu husus ilgili kişilere hatırlatılmalı.
- Yeni oluşturulan parolalar, eski parolalarla (en az son üç parolayla) aynı olması engellenmeli, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojiler (CAPTCHA, dört işlem vb.) kullanılmalı, erişime izin verilen IP adresleri sınırlandırılmalı.
- Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulması sağlanmalı.
- Veri sorumluları sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerini düzenli olarak gerçekleştirmeli ve gerekli kontrolleri yapmalı.
aa