2020/905
24/11/2020
- Sektör: Sigorta
- Kanun Maddesi
Kurum’a iletilen veri ihlal bildiriminde, veri sorumlusunun internet sayfasının bulunduğu testsuncuusunun siber saldırıya uğradığı ve bu durumun aynı tarihte veri sorumlusu tarafından tespit edildiği, gerçekleşen yetkisiz erişim sonucu uygulamanın bulunduğu veri tabanının silindiği ve silinen veri tabanı yerine fidye taleplerinin bulunduğu yeni bir veri tabanının sisteme yüklendiği, veri tabanının silinmesi işleminden önce muhtemelen siber saldırıyı gerçekleştiren kişi/kişiler tarafından kopyalandığının veri sorumlusu tarafından düşünüldüğü, ihlalden etkilenen kişi sayısının 311 olduğu ve ihlalden etkilnenen kişisel verilerin T.C. kimlik no, isim , soyisim, e-posta , plaka bilgisi olduğu beliritlmiştir. Kurum tarafından yapılan incelemeler neticesinde, ihlale konu test sunucusunun veri sorumlusu nezdinde yıllık olarak yapılan sızma testleri kapsamına alınmamasının söz konusu test suncusunda gerekli kontrollerin yapılmadığının gösterdiği, veri sorumlusu tarafından BT Veri Güvenlik ve Veri İhlali Prosedürü’nden yer alanın aksine periyodik sızma testlerinin uygulanmadığı, kullanılan parolanın yeteri kadar karmaşık ve güçlü olmadığı, veri ihallali öncesinden test sunucusunda yapılan erişimlerde sistemler arasından SSL VPN gibi güvenli iletişim sağlama yöntemlerinin kullanılmadığı, ayrıca ek güvenlik katmanı olarak erişimlerde İki Faktörlü Kimlik Doğrulama (2FA) gibi güçlü kimlik doğrulama yöntemlerinin kullnaılmadığı, T.C. kimlik numarası gibi verilerin etkilenmiş olması sebebiyle şifreleme gibi güvenlik tedbirlerinin kullanılmadığı ve bu kapsamda veri sorumlusu tarafından KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbilreri almaya ilişkin sorumluluğun ihlal edildiğine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Siber Saldırı, Veri İhlal Bildirimi, Veritabanı, Yetkisiz Erişim