KVKK Kurul Kararı 2020/463: İlaç Sektöründe Fidye Yazılımı Kaynaklı Veri İhlali
Kişisel Verileri Koruma Kurulunun 16/06/2020 tarihli ve 2020/463 sayılı kararına konu olayda, ilaç sektöründe faaliyet gösteren veri sorumlusunun sistemlerine zararlı yazılım / fidye yazılımı niteliğinde bir siber saldırı düzenlendiği; saldırıda yetkili kullanıcı şifresinin ele geçirilerek sistemlere erişimin engellendiği ve ihlalin çalışanların sistemlere erişememesi üzerine 12/01/2020 tarihinde tespit edildiği bildirilmiştir.
İncelemelerde; kritik öneme sahip sunucu ve veriler ile birlikte, yedek dosyaların depolandığı Data Domain sunucusundaki verilerin de silindiği; saldırının LDAP servislerinde kullanılan Domain Admin yetkili bir kullanıcı hesabı üzerinden gerçekleştirildiği ve olayın bir yönüyle üçüncü taraf siber güvenlik hizmeti kapsamında erişimi bulunan bir personelle ilişkilendirildiği anlaşılmaktadır.
Karar: 16/06/2020 – 2020/463.
Saldırı: Fidye yazılımı / yetkili hesap ele geçirilmesi (LDAP/Domain Admin).
Etkiler: Kritik sunucular + Data Domain yedekleri dahil verilerin silinmesi.
Kişi sayısı: Kesin değil; ~1000 kişi (297 çalışan + tedarikçi/müşteri/taşeron).
Sonuç: 125.000 TL idari para cezası; bildirim 72 saat içinde uygun.
1. Kararın Özeti: Olayın Kronolojisi ve Temel Bulgular
Veri sorumlusunun bildirimine göre ihlal; zararlı yazılım/fidye yazılımı niteliğinde bir siber saldırı olarak, yetkili kullanıcı şifresinin ele geçirilmesi suretiyle sistemlere erişimin engellenmesi şeklinde gerçekleşmiştir. Olay, çalışanların sistemlere erişememesi üzerine tespit edilmiş ve 12/01/2020 tarihinde ihlalin fark edildiği belirtilmiştir.
1.1. Kritik Varlıkların Etkilenmesi
- Faaliyetlerin sürdürülmesi için kritik öneme sahip sunucu ve veriler silinmiştir.
- Diğer sunucuların yedeklerinin depolandığı Data Domain sunucusu verilerinin de silindiği bildirilmiştir.
- Yetkisiz erişim girişimlerinin 8 – 11 – 12 Ocak tarihlerinde gerçekleştiği belirtilmiştir.
1.2. Saldırı Yöntemi ve Şüpheli Bağlantısı
Veri sorumlusunun incelemesinde saldırının, LDAP servislerinde kullanılan Domain Admin yetkili bir kullanıcı hesabı ile yapıldığı; ihlalin gerçekleştiği bilgisayarın tespit edildiği ve şüpheliler hakkında savcılığa şikâyette bulunulduğu ifade edilmiştir. Ayrıca saldırının, veri sorumlusunun siber güvenlik desteği aldığı firmaya ait bir IP adresi üzerinden ve firma çalışanı tarafından gerçekleştirildiğinin tespit edildiği; bu personelin aynı zamanda veri sorumlusunun eski çalışanı olduğu bilgilerine yer verilmiştir.
2. Etkilenen Kişiler ve Veri Kategorileri
Karar kapsamında, ihlalden etkilenen kişi ve kayıt sayısının tam ve kesin olarak belirlenemediği; ancak yaklaşık 1000 kişi civarında olduğunun tahmin edildiği belirtilmiştir. Bu kişilerden 297’sinin şirket çalışanı olduğu; geri kalanlarının ise tedarikçi, müşteri ve taşeron gruplarından oluştuğu ifade edilmiştir.
2.1. Özel Nitelikli Kişisel Veri Riski
Kurul değerlendirmesinde; etkilenen kişi/kayıt sayısının belirsizliği ile birlikte, ihlalden özel nitelikli kişisel verilerin de etkilenmiş olabileceğine dikkat çekilmiştir. Özellikle çok uluslu yapılar ve hassas veri işleme faaliyetleri olan şirketlerde, riskin büyüklüğü “kayıt sayısı belirsizliği” nedeniyle daha da kritik hale gelebilir.
| Kategori | Yaklaşık Durum | Not |
|---|---|---|
| Çalışan | 297 kişi | İhlal bildirimi kapsamında açıkça belirtilmiştir. |
| Tedarikçi / Müşteri / Taşeron | Kesin değil | Toplam ~1000 kişi tahmini içinde yer aldığı ifade edilmiştir. |
| Özel nitelikli veri | Olası | Kurul, etkilenmiş olabileceği riskine işaret etmiştir. |
3. Kurulun Değerlendirmesi: Teknik & İdari Tedbirler
Kurul, özel nitelikli kişisel veriler üzerinde çalışabilen çok uluslu bir şirketin; bu tür saldırılar için risk analizi, sızma testleri ve log kaydı takibi gibi önleyici/tespit edici kontrolleri uygulaması, bilinen güvenlik açıklarını kapatması ve uyarı mekanizmalarını etkin işletmesi gerektiğini vurgulamıştır.
3.1. Kişisel Veri Güvenliğinin Takibi
Kurul değerlendirmesi; güvenlik yazılımı mesajları, erişim kontrol kayıtları ve raporlama araçlarının düzenli kontrolü, uyarılar üzerine hızlı aksiyon alınması, düzenli zaafiyet taraması ve sızma testleri ile bulguların giderilmesi gerekliliğine işaret eder. Bu yaklaşım, veri güvenliğinde sürekli izleme (continuous monitoring) ihtiyacını öne çıkarır.
3.2. Yedekleme Stratejisinin Güvenliği (Data Domain)
Yedek dosyaların depolandığı Data Domain sunucusundaki verilerin de silinebilmesi, fidye yazılımı saldırılarında “yedeklerin de hedeflenebildiğini” gösteren kritik bir göstergedir. Kurul; yedeklenen verilerin erişiminin sınırlandırılması ve mümkünse yedeklerin ağ dışında/ayrık tutulması gibi stratejilerin önemini vurgulayan rehber yaklaşımıyla uyumlu bir değerlendirme yapmıştır.
4. Kurumsal Dersler: Tedarikçi/3. Taraf Siber Güvenlik Erişim Riskleri
Karara konu olayda saldırının, siber güvenlik desteği alınan firmaya ait IP üzerinden ve firma çalışanı tarafından gerçekleştirildiğinin tespit edildiği iddiası, 3. taraf erişim yönetimi ve ayrıcalıklı hesap kontrollerinin önemini güçlendirir. Özellikle eski çalışan/taşeron gibi “karma kimlik” risklerinde, erişim yönetimi süreçleri kritik hale gelir.
4.1. Kurumsal Kontrol Noktaları
- Least privilege: Domain Admin gibi ayrıcalıklı yetkilerin sınırlanması ve ayrı hesapla yönetimi.
- MFA/PAM: Çok faktörlü doğrulama ve ayrıcalıklı erişim yönetimi (PAM) kullanımı.
- Vendor access: Tedarikçi erişimlerinin zaman/oturum bazlı kısıtlanması.
- Offboarding: Eski çalışan hesaplarının kapatılması, sertifika/anahtar iptali, erişim izlerinin temizlenmesi.
- Denetim izi: Merkezi loglama, değişiklik kayıtları ve anomali uyarıları.
5. Uyum, Riskler ve En İyi Uygulamalar (Ransomware Hazırlığı)
5.1. Başlıca Riskler
- Ayrıcalıklı hesap ele geçirilmesi: Domain Admin/LDAP hesapları üzerinden geniş etki.
- Yedeklerin hedeflenmesi: Yedek altyapısının da silinmesi/şifrelenmesi.
- Log/izleme eksikliği: Erken uyarı alamama, tespitte gecikme.
- 3. taraf kaynaklı risk: Tedarikçi erişimlerinin kötüye kullanılması.
- Etki belirsizliği: Kayıt/kişi sayısı belirlenemediğinde bildirim ve analiz zorluğu.
5.2. En İyi Uygulamalar
- Periyodik risk analizi: Kritik varlıkların ve saldırı yollarının güncel tutulması.
- Düzenli sızma testi & zaafiyet yönetimi: Bulgu takibi, kapanış doğrulaması.
- Merkezi loglama ve uyarı: AD/LDAP, dosya silme, yetki yükseltme, yedek erişimi için alarmlar.
- Yedekleme mimarisi: Ayrık/offline yedek, erişim sınırı, değiştirilemez yedek yaklaşımı, restore testleri.
- PAM & MFA: Domain Admin erişimlerinde zorunlu güçlü doğrulama ve oturum kayıtları.
- Vendor yönetimi: Tedarikçi erişim politikası, süreli erişim, denetim ve kayıt şartları.
5.3. Hızlı Kontrol Tablosu
| Kontrol | Hedef | Minimum Çıktı |
|---|---|---|
| PAM/MFA | Ayrıcalıklı erişimi güvenceye almak | Domain Admin için MFA + oturum kaydı |
| Log takibi | Erken tespit | AD/LDAP + yedek erişimi alarm kuralları |
| Yedek ayrıklığı | Yedeklerin silinmesini önlemek | Offline/ayrık yedek + düzenli restore testi |
| Zaafiyet yönetimi | Bilinen açıkları kapatmak | Tarama + sızma testi + kapanış raporu |
| Tedarikçi erişimi | 3. taraf riskini azaltmak | Süreli erişim + denetim hakkı + kayıt |
6. Sık Sorulan Sorular
Bu kararda en kritik teknik problem neydi?
Yetkili hesabın (Domain Admin/LDAP) kötüye kullanılması ile birlikte, yedeklerin depolandığı Data Domain ortamındaki verilerin de silinebilmesi; yani saldırının sadece üretim verisini değil yedekleri de etkileyebilmesi kritik bir göstergedir.
Kurul neden sızma testi ve log takibini özellikle vurguluyor?
Çünkü sızma testleri ve zaafiyet yönetimi “önleme”, log takibi ise “erken tespit” kontrolüdür. Özellikle özel nitelikli verilerle çalışabilen yapılarda bu kontrollerin periyodik ve izlenebilir olması beklenir.
3. taraf (vendor) kaynaklı riskler nasıl yönetilmeli?
Yetki sınırlandırması, süreli erişim, MFA/PAM, denetim izleri, offboarding süreçleri ve sözleşmesel yükümlülükler birlikte tasarlanmalıdır. Eski çalışan/taşeron riskleri ayrıca değerlendirilmelidir.
Bildirim yükümlülüğü açısından sonuç ne oldu?
İhlal 12/01/2020 tarihinde tespit edilip 14/01/2020 tarihinde Kuruma bildirildiğinden, 72 saat içinde bildirim yükümlülüğüne uygun davranıldığı değerlendirilmiş ve bu yönden ayrıca işlem yapılmadığı belirtilmiştir.
