KVKK 2020/216 Kararı: Bir Bilişim Şirketinin Veri İhlali ve 450.000 TL İdari Para Cezası

KVKK · Veri İhlali · 2020/216

KVKK 2020/216 Kararı Bir Bilişim Şirketinin Veri İhlali Bildirimi ve Kurul Değerlendirmesi

Kişisel Verileri Koruma Kurulunun 12/03/2020 tarih ve 2020/216 sayılı kararı, Türkiye’de faaliyet gösteren bir bilişim şirketinin maruz kaldığı kişisel veri ihlalini ve bu ihlal kapsamında alınmayan teknik/idari tedbirleri detaylı şekilde ele almaktadır. Olayda; sisteme siber saldırı ile yetkisiz erişim sağlanması, PHPSESSID oturum değerleri üzerinden Pilot adlı uygulamaya giriş yapılması, debugging özelliğinin internet üzerinden açık bırakılması ve VPN/SFTP erişim zafiyetleri ön plana çıkmaktadır.

Karar özetine göre sistemde yaklaşık 65.993 kişiye ait kayıt bulunmakta; bunlar arasında 1.784 adet eski kimlik fotokopisi (arkalı önlü), 50.000 kredi kartı kaydı (yaklaşık 8.000’i aktif) ve 701 alan adı başvuru dosyası yer almaktadır. Kurul, veri sorumlusunun KVKK m.12 kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almaması nedeniyle 450.000 TL idari para cezası uygulanmasına karar vermiştir.

Kararın Temel Çıktılarını Gör Teknik Zafiyet ve Risk Analizi

İçindekiler 1. Kararın Arka Planı ve KVKK Kapsamı 2. Veri İhlalinin Kapsamı ve Etkilenen Veriler 3. Kurulun Değerlendirmesi ve Tespit Edilen Eksiklikler 4. Teknik / Operasyonel Riskler ve Zafiyetler 5. KVKK m.12, m.18 ve Kurumsal Yükümlülükler 6. Sık Sorulan Sorular

Hızlı Özet

Karar: 12/03/2020 tarih, 2020/216 sayılı Kurul kararı.
Olay: Bilişim şirketinin sistemlerine siber saldırı, Pilot uygulamasında PHPSESSID oturum değeri ile yetkisiz erişim.
Etkilenenler: 65.993 kişi, 1.784 eski kimlik fotokopisi (arkalı önlü), 50.000 kredi kartı kaydı (yaklaşık 8.000 aktif kart).
Hukuki Çerçeve: KVKK m.12 veri güvenliği, m.18 idari para cezası, aydınlatma yükümlülüğü.
Sonuç: Teknik ve idari tedbirlerin yeterli seviyede alınmaması nedeniyle 450.000 TL idari para cezası.

KVKK 2020/216 Kararı Veri İhlali Bildirimi Siber Saldırı ve PHPSESSID Kredi Kartı Verileri Teknik ve İdari Tedbirler

Not: Bu içerik, KVKK Kurulu’nun resmi karar özetine dayalı olarak hazırlanmış olup, bilişim ve hosting sektöründe faaliyet gösteren kurumlar açısından veri ihlali yönetimi, loglama, VPN erişimi ve ödeme sistemleri tasarımı gibi alanlarda kurumsal dersler sunmaktadır. Resmî karar metni için KVKK Kurumu web sitesini inceleyebilirsiniz. KVKK hakkında genel bir rehber isterseniz: KVKK nedir? yazısına göz atabilirsiniz.

1. Kararın Arka Planı ve KVKK Kapsamı

İncelemeye konu olay, bir bilişim/hosting şirketinin sistemlerine yönelik siber saldırı ile başlamakta ve veri sorumlusunun KVKK m.12 kapsamındaki veri güvenliği yükümlülüklerini ne ölçüde yerine getirdiği ekseninde değerlendirilmektedir. Veri sorumlusu, Kuruma ilettiği veri ihlal bildiriminde aşağıdaki başlıkları paylaşmıştır:

Şirket sistemlerine siber saldırı gerçekleştirilerek sistemlerde yer alan verilerin elde edilmeye çalışıldığı,
Pilot adı verilen uygulamada debugging özelliğinin açık olduğu ve bu özelliğin, geliştiricilerin uygulama hatalarını tespit ve iyileştirme amacıyla kullandığı,
Saldırganların Pilot uygulamasına internet üzerinden erişim sağlamaya çalışırken, uygulamaya daha önce giriş yapmış kişilere ait “PHPSESSID” oturum değerlerini elde ederek sisteme erişim sağladığı,
Debugging özelliğinin internet üzerinden erişilebilir şekilde açık bırakılmasının, uygulamaya dış erişimle geliştirme yapılmasını sağlarken; aynı zamanda siber saldırılar için saldırı yüzeyini genişlettiği.

1.1. Tarih ve Karar Bilgisi

Kişisel Verileri Koruma Kurulu’nun 12/03/2020 tarih ve 2020/216 sayılı kararı, ilgili veri ihlal bildiriminin incelenmesi sonucunda alınmış olup, kararda:

İhlalin 09.10.2019 – 11.10.2019 tarihleri arasında tespit edildiği,
Veri sorumlusu tarafından 14.10.2019 tarihinde Kurula bildirim yapıldığı ve bu anlamda 72 saatlik bildirim süresine uygun hareket edildiği,
Buna karşılık, ihlal öncesinde alınması gereken teknik ve idari tedbirlerin yeterli olmadığı sonucuna varıldığı,

açıkça ortaya konmuştur. Kurul, özellikle hangi kişisel verilere erişildiğinin tespit edilememesini, veri sorumlusunun sistemlerinde yeterli kontrol ve uyarı mekanizması bulunmamasının sonucu olarak değerlendirmiştir.

1.2. Kararın KVKK m.12 ve m.18 ile İlişkisi

Kararın hukuki ekseni, ağırlıklı olarak KVKK m.12 (veri güvenliğine ilişkin yükümlülükler) ve m.18 (idari para cezaları) hükümleri etrafında şekillenmektedir:

Veri sorumlusunun; sistemde tutulan kredi kartı verilerinin imhası, debugging özelliğinin kapatılması, VPN/SFTP erişim güvenliğinin güçlendirilmesi gibi tedbirleri ihlalden önce almaması, m.12’ye aykırılık olarak değerlendirilmiştir.
Bu kapsamda Kurul, veri güvenliğinin sağlanmasına yönelik teknik tedbirlerin yeterli seviyede alınmadığı kanaatine vararak, KVKK m.18/1-b uyarınca 450.000 TL idari para cezası uygulanmasına hükmetmiştir.

2. Veri İhlalinin Kapsamı ve Etkilenen Kişisel Veriler

Veri sorumlusu tarafından yapılan bildirim ve Kurulun değerlendirmeleri birlikte ele alındığında, ihlal kapsamı ve etkilenen veri kategorileri aşağıdaki ana başlıklarda toplanmaktadır:

Başlık	Açıklama	Karardan Öne Çıkan Noktalar
Etkilenen Kişi Sayısı	Veri sorumlusunun sistemlerinde toplam 65.993 kişiye ait kayıt bulunduğu, bu kişilerin sadece aktif müşteriler değil; teklif almış, üyelik oluşturmuş, herhangi bir şekilde hizmet almış, aktif veya pasif tüm kullanıcıları kapsadığı tespit edilmiştir.	İhlalden etkilenen kişi kategorileri müşteriler ve potansiyel müşteriler olarak belirtilmiştir.
Eski Kimlik Fotokopileri	Sistem kayıtları içinde, imza sirkülerlerine ekli eski kimlik fotokopilerinin bulunduğu, bazı fotokopilerde kan grubu ve din bilgisi gibi özel nitelikli kişisel veri alanlarının yer alabildiği, kimliklerin bir kısmının ise arkalı önlü şekilde sisteme yüklendiği görülmüştür.	Yapılan sayımlarda toplam 1.784 adet eski kimlik fotokopisinin arkalı önlü yüzünün sistemde bulunduğu ve saldırganların bu verilere erişme ihtimalinin olduğu belirtilmiştir.
Kredi Kartı Verileri	Sistemde yaklaşık 50.000 kredi kartına ilişkin kayıt bulunduğu, bunların büyük çoğunluğunun son kullanma tarihi geçmiş olsa da 8.000 civarında aktif kartın tespit edildiği ifade edilmiştir.	Veri sorumlusu 2018 yılı itibarıyla yetkilendirilmiş ödeme hizmet sağlayıcıları ile çalışmaya başlamış olmasına rağmen, 2018 öncesi kredi kartı verilerini sistemden imha etmemiş, bu durum KVKK m.4/2 (b) veri minimizasyonu ve m.4/2 (ç) gerektiği kadar muhafaza ilkelerine aykırılık olarak değerlendirilmiştir.
Diğer Veri Kategorileri	Sistemlerde; kimlik ve iletişim bilgileri, işlem güvenliği verileri (kullanıcı adı, parola), alan adı başvuru dosyaları, imza sirküleri, vergi levhası gibi çok sayıda kişisel veri kategorisi yer almaktadır.	701 alan adı başvuru dosyası içinde; imza sirküleri, vergi levhası ve kimlik fotokopilerinin yer aldığı, bu verilerin bir kısmının tüzel kişilere ait olmakla birlikte ekler üzerinden gerçek kişilere ilişkin verileri de içerebildiği belirtilmiştir.

2.1. İhlalin Tespiti ve Bildirim Süreci

Karar özetinde, veri ihlalinin 09.10.2019 tarihinde 14:04’te gerçekleştiği, ihlalin 11.10.2019 tarihinde 14:04 civarında veri sorumlusu tarafından tespit edildiği ve 14.10.2019 tarihinde Kurula bildirildiği ifade edilmektedir. Bu çerçevede:

Kurul, bildirim süresinin KVKK mevzuatındaki 72 saatlik çerçeveye uygun olduğu kanaatine varmış ve bu başlıkta ilave bir yaptırım uygulamamıştır.
Ancak; ihlalden hangi veri kategorilerinin somut olarak etkilendiğinin tespit edilememesi, loglama ve izleme altyapısının yetersizliğine işaret eden kritik bir eksiklik olarak kayda geçmiştir.

3. Kurulun Değerlendirmesi ve Tespit Edilen Eksiklikler

Kurul, veri sorumlusunun bildirdiği teknik bilgiler, ihlal tarihleri ve sızma testi sonuçlarını birlikte değerlendirerek; teknik ve idari tedbirlerin ihlal öncesinde yeterli düzeyde alınmadığı sonucuna ulaşmıştır. Öne çıkan tespitleri kurumsal başlıklar hâlinde şu şekilde toparlamak mümkündür:

3.1. Loglama ve Anomali Tespiti Eksikliği

Sistemde saldırganlar tarafından erişilen verilerin net olarak tespit edilememesi, veri sorumlusunun sızma veya anomali tespiti için etkin kontrol/uyarı mekanizmalarına sahip olmadığının göstergesi olarak değerlendirilmiştir.
Log kayıtlarının adli süreçlerde delil niteliğinde kullanılabilecek standartta tutulmadığı, korelasyon ve zaman damgalama süreçlerinin yetersiz olduğu kararda açıkça ifade edilmektedir.

3.2. Kredi Kartı Verilerinin İmha Edilmemesi

Veri sorumlusunun 2016 itibarıyla ödeme sistemlerinde iyileştirme projesi başlattığı, 2018 yılı itibariyle ise kredi kartı bilgilerinin yetkilendirilmiş ödeme kuruluşları üzerinden toplanıp saklanmasına geçtiği belirtilmiştir.
Buna rağmen, 2018 öncesine ait kredi kartı bilgilerinin sistemde tutulmaya devam edilmesi, KVKK m.4/2 (b) (işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma) ve m.4/2 (ç) (ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme) ilkelerine aykırılık olarak yorumlanmıştır.

3.3. Aydınlatma Yükümlülüğünün Yerine Getirilmemesi

Veri sorumlusunun https://www.****.com.tr adresinde domain ve hosting hizmeti satın alınan ekranlarda; kimlik ve iletişim bilgilerinin talep edilmesine rağmen herhangi bir aydınlatma metni sunmadığı tespit edilmiştir.
Kurul, bu durumun KVKK kapsamındaki aydınlatma yükümlülüğünün yerine getirilmediği anlamına geldiğini ve veri sorumlusunun Kanun kapsamındaki yükümlülüklerini yeterli seviyede yerine getirmediğini değerlendirmiştir.

3.4. Teknik Tedbirlerin İhlal Sonrası Devreye Alınması

Çift faktörlü kimlik doğrulama, VPN sertifikalarının yenilenmesi, çalışan e-posta erişimlerinin iki aşamalı doğrulama ile güçlendirilmesi, log korelasyonu ve zaman damgası gibi adımların, ihlalden sonra devreye alınması kararda özellikle vurgulanmıştır.
Kurul, bu hususu; veri sorumlusunun, ihlal öncesinde m.12 kapsamında alınması gereken teknik ve idari tedbirleri zamanında uygulamadığının somut göstergesi olarak değerlendirmiştir.

3.5. İdari Para Cezası Tutarı

Tüm bu değerlendirmeler ışığında Kurul, KVKK m.12/1 çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan veri sorumlusu hakkında, m.18/1-b uyarınca 450.000 TL idari para cezası uygulanmasına karar vermiştir. Bildirim sürecinin 72 saat kuralına uygun olması nedeniyle, bildirime ilişkin ilave bir işlem yapılmasına gerek olmadığı ayrıca belirtilmiştir.

4. Teknik ve Operasyonel Riskler ile Öne Çıkan Zafiyetler

2020/216 sayılı karar, bilişim ve hosting alanında faaliyet gösteren şirketler için somut risk başlıklarını ve teknik zafiyetleri net biçimde ortaya koymaktadır. Olay özelinden hareketle öne çıkan ana riskler aşağıdaki gibi özetlenebilir:

4.1. Debugging Özelliğinin İnternet Üzerinden Açık Bırakılması

Pilot uygulamasında debugging özelliğinin internet üzerinden erişilebilir şekilde açık bırakılması, saldırganların sisteme dışarıdan erişim sağlayabilmesine imkân tanımıştır.
Geliştirme ve test ortamlarının ayrı ağ segmentlerinde, erişimi sınırlandırılmış ve kimlik doğrulama mekanizmalarıyla korunmuş şekilde tasarlanmaması, temel bir güvenlik açığı olarak değerlendirilmelidir.

4.2. PHPSESSID Oturum Yönetimi ve İşlem Güvenliği

Saldırgan, uygulamaya daha önce giriş yapmış kişilere ait PHPSESSID değerlerini ele geçirerek oturum çalma (session hijacking) yoluyla yetkisiz erişim elde etmiştir.
Oturum yönetimi, çerez güvenliği, HTTPS zorunluluğu, IP/cihaz bazlı oturum kısıtları gibi OWASP standardı güvenlik kontrollerinin güçlendirilmemesi, ihlalin etkisini artıran unsurlar arasındadır.

4.3. VPN, SFTP ve Uzaktan Erişim Güvenliği

Şirket dışından erişim için VPN ile şirket IP’sine bağlanıldığı, kişilere özel kullanıcı adı ve VPN şifresi verildiği belirtilmiştir. Ancak saldırganların da SFTP ve VPN üzerinden sisteme bağlanabildiği ifade edilmektedir.
İhlal sonrası yapılan sızma testinde, özellikle web uygulamalarında yüksek ve orta seviyede açıklıklar tespit edilmiştir. Bu durum, düzenli sızma testi, zafiyet yönetimi ve sertifika yenileme süreçlerinin yeterince işletilmediğini göstermektedir.

4.4. Ödeme Sistemleri ve Kart Verisi Saklama Riskleri

Kredi kartı bilgilerinin 2018 yılı öncesinde Şirket sistemlerinde tutulması ve ödeme sisteminin değişmesine rağmen bu verilerin imha edilmemesi, kart verilerinin gereğinden fazla ve gereğinden uzun süre saklandığını ortaya koymaktadır.
Bu durum, hem KVKK ilkelerine hem de ödeme sistemleri güvenliği (örneğin PCI-DSS gibi çerçeveler) açısından ciddi risk anlamına gelmektedir.

4.5. Örnek Bir Kurumsal Ders Seti

Üretim sistemlerinde debugging / test özelliklerinin kapatılması,
VPN erişiminde sertifika yönetimi, MFA ve erişim kontrol politikalarının sıkılaştırılması,
Oturum yönetimi, çerez güvenliği, HTTPS zorunluluğu ve IP/cihaz bazlı kısıtlama gibi kontrollerin güçlendirilmesi,
Eski kredi kartı verileri ve kimlik fotokopilerinin saklama-imha politikalarına uygun şekilde düzenli olarak silinmesi,
Logların zaman damgalı, bütünlüğü korunmuş ve korelasyonlu tutulması; SIEM ve uyarı mekanizmalarının etkin kullanılması,

gibi başlıklar, bu karar özelinde zorunlu kurumsal dersler olarak öne çıkmaktadır.

Öneri: Veri ihlali yaşamış veya yüksek riskli veri işleyen bilişim şirketlerinin; veri envanteri, saklama-imha politikaları, sızma testleri, loglama altyapısı ve uzaktan erişim mimarisini bütünsel bir bakışla yeniden gözden geçirmesi, KVKK m.12 yükümlülüklerinin etkin şekilde yerine getirilmesi açısından kritik önem taşımaktadır.

5. KVKK m.12, m.18 ve Kurumsal Yükümlülükler

2020/216 sayılı karar, yalnızca somut bir ihlal olayını değil, aynı zamanda bilişim şirketlerinin KVKK kapsamındaki temel yükümlülüklerini de görünür kılmaktadır. Özellikle m.12 veri güvenliği ve m.18 idari yaptırımlar açısından kararın önemli mesajları bulunmaktadır.

5.1. KVKK m.12 – Veri Güvenliğini Sağlama Yükümlülüğü

Veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek ve verilerin muhafazasını sağlamak için gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür.
Bu olayda; debugging özelliğinin açık tutulması, VPN ve SFTP erişimlerinin zafiyet barındırması, loglama ve sızma testi süreçlerinin ihlal öncesinde yeterli seviyede işletilmemesi, m.12’ye aykırılık olarak değerlendirilmiştir.

5.2. KVKK m.18 – İdari Para Cezaları

Kanunun 18. maddesi, veri güvenliği yükümlülüğüne aykırı davranan veri sorumluları hakkında uygulanacak idari para cezalarının çerçevesini belirler.
Kurul, somut olayda m.18/1-b uyarınca, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında 450.000 TL idari para cezasına hükmetmiştir.

5.3. Aydınlatma Yükümlülüğü ve Şeffaflık

Domain ve hosting satın alma ekranlarında kimlik ve iletişim bilgileri talep edilmesine rağmen herhangi bir aydınlatma metninin bulunmaması, Kanun kapsamındaki aydınlatma yükümlülüğünün yerine getirilmediğini göstermektedir.
Kurul, bu tespiti; veri sorumlusunun KVKK kapsamındaki yükümlülüklerini genel olarak yeterli seviyede yerine getirmediğine dair bir gösterge olarak da değerlendirmektedir.

5.4. Kurumsal Düzeyde Yapılması Gerekenler

Güncel KVKK ve ikincil mevzuata uyumlu Bilgi Güvenliği Politikası oluşturulması,
Veri kategorileri, saklama süreleri ve imha süreçlerini içeren Veri Saklama ve İmha Politikası hazırlanması,
Alan adı, hosting, bulut ve ödeme süreçlerinde aydınlatma metinlerinin kullanıcıya açık ve erişilebilir kılınması,
Düzenli sızma testi, zafiyet taraması, log analizi ve olay müdahale prosedürlerinin dokümante edilmesi,
İhlal hâlinde; ilgili kişilerin ve Kurulun bilgilendirilmesine yönelik Veri İhlali Müdahale Planı oluşturulması,

gibi adımlar, bilişim şirketlerinin KVKK perspektifinde asgari kurumsal gereklilikler olarak gündeme gelmektedir.

6. Sık Sorulan Sorular

Bu karar (2020/216) neden bilişim şirketleri için önemli bir örnek teşkil ediyor?

Çünkü karar; debugging özelliği, VPN/SFTP erişimi, oturum yönetimi (PHPSESSID), kart verisi saklama süreleri ve loglama gibi bilişim şirketlerinin günlük operasyonlarında sıkça karşılaştığı teknik konuları doğrudan KVKK m.12 ile ilişkilendiriyor. Bu yönüyle karar, sektöre dönük somut bir “yapılması ve yapılmaması gerekenler listesi” niteliğinde.

Veri ihlalinin Kurula bildirim süresi açısından bir eksiklik var mı?

Karar özetine göre ihlal 09.10.2019 tarihinde gerçekleşmiş, 11.10.2019 tarihinde tespit edilmiş ve 14.10.2019 tarihinde Kurula bildirilmiştir. Kurul, bu sürecin KVKK’daki 72 saatlik bildirim çerçevesine uygun olduğunu değerlendirerek, bildirim süresi bakımından ilave bir yaptırım uygulamamıştır. Esas eleştiri, ihlal öncesinde alınması gereken teknik ve idari tedbirlere yöneliktir.

Eski kredi kartı verilerinin silinmemesi neden bu kadar kritik görüldü?

Veri sorumlusu 2018 yılından itibaren kredi kartı verilerini yetkilendirilmiş ödeme hizmet sağlayıcıları üzerinden topluyor olsa da, 2018 öncesi kart verilerini sistemde tutmaya devam etmiştir. Bu durum, KVKK m.4/2 (b) (sınırlı ve ölçülü işleme) ve m.4/2 (ç) (gerekli süre kadar muhafaza) ilkelerine aykırı olduğu için, Kurul tarafından ciddi bir ihlal olarak değerlendirilmiş ve idari para cezasının gerekçeleri arasında yer almıştır.

Bu karardan hareketle şirketler hangi teknik tedbirleri önceliklendirmeli?

Karar; çok faktörlü kimlik doğrulamanın aktif edilmesi, VPN sertifikalarının yenilenmesi, çalışan e-posta erişimlerinin iki aşamalı doğrulama ile güncellenmesi, logların zaman damgalı ve korelasyonlu tutulması, düzenli sızma testlerinin yapılması ve üretim sistemlerinde debugging/test özelliklerinin kapatılması gibi tedbirlerin, ihlal öncesinde zorunlu olarak devreye alınması gerektiğini ortaya koyuyor.

Kararın tam metnine ve KVKK’ya nereden ulaşabilirim?

Kararın özetine ve KVKK’ya ilişkin tüm ikincil düzenlemelere KVKK Kurumu’nun resmî web sitesinden ulaşabilirsiniz. KVKK hakkında genel, teknik ve hukuki bir çerçeveye ihtiyaç duyuyorsanız, Nesil Teknoloji’nin “KVKK nedir?” rehberi pratik bir başlangıç noktası sunmaktadır.

KVKK Veri İhlali Bildirimi 2020/216 Sayılı Kurul Kararı Bilişim Şirketi Veri Güvenliği Kredi Kartı Verisi İhlali Debugging ve VPN Güvenliği KVKK m.12 ve m.18