KVKK’dan 172 Müşterisinin Verisini Sızdıran Sigorta Şirketi Acentesine 172 Bin TL Ceza!

KVKK’dan 172 Müşterisinin Verisini Sızdıran Sigorta Şirketi Acentesine 172 Bin TL Ceza!

Bir sigorta şirketinin acentesinde gerçekleşen veri ihlalinin ardından Kişisel Verileri Koruma Kurulu’nun gerekçeli kararı kamuoyuyla paylaşıldı. İşte detaylar…

Kişisel Verileri Koruma Kurulu’nun web sitesinde detayları açıklanan olayda bir sigorta şirketinin acentesindeki bilgisayarlar, siber saldırı sonucu ele geçiriliyor. Saldırıyı gerçekleştiren siber korsan, bilgisayarlardaki yazışma ekranını açıp firma yetkilileri ile iletişime geçiyor ve fidye talebinde bulunuyor. Fidye yazılım saldırısı olduğu anlaşılan durum, böylelikle netlik kazanıyor. Toplamda 172 kişinin verilerinin ele geçirildiği belirlenirken veri kategorileri kimlik ve finans şeklinde belirtiliyor.

Konuyla ilgili olarak yürütülen araştırmada ilgili sigorta acentesinin müşterilerine ait verilerin güvenliğini sağlama konusundaki eksiklikleri ortaya çıkıyor. Bu kapsamda sızma testlerinin yapılmadığı, herhangi bir denetlemenin olmadığı ve bunun da;

Kişisel Veri Güvenliği Rehberi’nin (Teknik ve İdari Tedbirler-Rehber) 2.5 maddesinde “Veri İşleyenler ile İlişkilerin Yönetimi” başlığı altında; “…veri sorumlularının, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerekmektedir. Zira Kanunun 12’nci maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur.” ifadelerine aykırılık teşkil ettiği kaydediliyor.

Öte yandan acente yetkilisinin kişisel verilerin korunması ile ilgili eğitimi veri ihlalinin gerçekleşmesinden sonra almış olduğunun tespit edildiği, dolayısıyla, “veri sorumlusu tarafından eğitim ve farkındalık çalışmalarının yapılmasının veri sorumlusu tarafından sağlanmadığı” vurgulanıyor.

Ek olarak bilgisayarlarda Windows 7 Professional x64 işletim sisteminin (2009’da yayınlanmıştı) kullanıldığının, hâlihazırda eski bir sürüm olduğunun ve 14.01.2020 tarihinden itibaren güvenlik korumasıyla ilgili güncellemeleri desteklemediğinin altı çizilerek gerekli bunların güvenlik önlemlerinin veri sorumlusu ve veri işleyen tarafından tam olarak alınmadığını gösterdiği belirtiliyor. Ayrıca bilgisayarlarda antivirüs yazılımı kullanılmadığı da ifade edilerek KVKK tarafından 172 bin TL idari para cezası uygulanmasına karar verildiği bildiriliyor.

Karara ilişkin daha fazla detay için ilgili KVKK sayfasını ziyaret edebilirsiniz.

YORUM

Yorumlar 0