KVKK 2020/934 Karar Özeti Enerji Sektöründe “Açık Şifre Listesi” Kaynaklı Veri İhlali ve Kurumsal Dersler
Enerji sektöründe faaliyet gösteren bir veri sorumlusunun, kurum içi bir platforma ait kullanıcı listesini sehven şifreleri açık şekilde içerecek biçimde ortak klasörde saklaması; düşük sayıda ilgili kişiyi etkilese bile güvenlik kültürü ve erişim yönetimi açısından kritik bir “önlenebilir ihlal” örneği olarak öne çıkar. Kişisel Verileri Koruma Kurulu’nun 08.12.2020 tarihli 2020/934 sayılı karar özetinde; olayın nasıl tespit edildiği, kaç kişinin etkilenmiş olabileceği, hangi önlemlerin alındığı ve bildirim sürecinde nelere dikkat edilmesi gerektiği ele alınmıştır.
Bu karar, özellikle “kurum içi doküman yönetimi / ortak klasör” kullanımında şifrelerin dosyada tutulmaması, erişimlerin sınırlandırılması, maskeleme ve farkındalık gibi kontrol noktalarının önemini vurgulayan pratik bir rehber niteliğindedir.
İhlal türü: Kullanıcı listesinde şifrelerin açık biçimde yer alması.
Etkilenen kişi: 2 kullanıcı (Türkiye’den).
Olası erişim: Dosyaya erişmiş olabilecek 8 kullanıcı.
Sonrası: Dosya kaldırıldı, şifreler yenilendi, maskeleme yapıldı, kullanıcılar bilgilendirildi.
Kritik not: Bildirimlerde asgari unsurların tamamı ve zaman çizelgesi net olmalı.
https://www.kvkk.gov.tr/Icerik/7035/2020-934
Ek okuma:
https://www.nesilteknoloji.com/veri-ihlalinden-sonra-kimliginizi-nasil-koruyabilirsiniz/
1. Olayın Özeti ve İhlalin Kaynağı
Veri sorumlusunun kurum içi kullanımına yönelik; ürün katalogları, dokümanlar, resimler ve sertifikaların yer aldığı kurum içi arşiv platformu bulunmaktadır. Yönetim tarafından yetkilendirilmiş bir çalışan, platform kullanıcılarının eğitimi kapsamında, platform yöneticisiyle birlikte bir irtibat / kullanıcı listesi hazırlamıştır.
İhlal; bu kullanıcı listesinin olağan iş koordinasyonu kapsamında, üst düzey kullanıcıların erişebildiği bir ortak klasörde saklanması sırasında ortaya çıkmıştır. Bir kullanıcı, irtibat listesi ararken ilgili dosyada sehven şifre bilgilerinin açık bir şekilde bulunduğunu fark etmiş ve durumu raporlamıştır.
1.1. Kritik hata: “Şifrelerin dosyada düz metin saklanması”
Dosyada; kullanıcı adı, isim, profesyonel e-posta gibi tanımlayıcılar ile birlikte şifrelerin açık biçimde yer alması, kişisel veri güvenliği açısından yüksek riskli bir senaryodur. Bu tür bir kayıt, tek başına sınırlı kişiyi etkilese bile; yetkisiz erişim, hesap ele geçirme ve zincirleme sistem ihlali riskini büyütür.
2. Hangi Veriler Etkilendi? Etki ve Erişim Senaryosu
Karar özetine göre ihlalden etkilenen kişi ve kayıt sayısı 2’dir. Dosyaya erişim kaldırılmadan önce, dosyaya yalnızca 8 kullanıcının erişmiş olabileceği değerlendirilmiştir. Bu 8 kullanıcı ile görüşülmüş, gizlilik yükümlülüklerini anladıkları ve herhangi bir şifre bilgisini kullanmayacaklarını veya paylaşmayacaklarını teyit ettikleri belirtilmiştir.
| Başlık | Karar Özetindeki Çerçeve | Kurumsal Risk Notu |
|---|---|---|
| Etkilenen kişi sayısı | 2 kullanıcı (Türkiye) | Az kişi etkilenmiş olsa da “şifre” niteliği nedeniyle risk büyüyebilir |
| Olası erişen kullanıcı | 8 kişi erişmiş olabilir | Yetki kapsamı geniş ortak klasörler risk doğurur |
| Veri türü | Kullanıcı adı, isim, profesyonel e-posta + açık şifre | Hesap ele geçirme ve farklı sistemlerde şifre tekrar kullanım riski |
3. Kurul Değerlendirmesi: Tedbirler ve Bildirim İçeriği
Kurul; ihlalin niteliği, etkilediği kişi sayısı ve sonrasında alınan önlemler çerçevesinde, Kanunun 12. maddesinin (1) numaralı fıkrası kapsamında bu aşamada ayrıca bir işlem bulunmadığını değerlendirmiştir. Bununla birlikte, bildirim süreci ve bilgilendirmenin içeriği açısından veri sorumlusunun daha dikkatli olması gerektiğini vurgulamıştır.
3.1. İhlal sonrası alınan tedbirler (karar özetindeki güçlü noktalar)
- Dosyanın ivedilikle kaldırılması: İhlale konu dosyanın erişimden kaldırılması ve ortadan kaldırılması.
- Şifrelerin yenilenmesi: Etkilenen platform kullanıcılarının şifrelerinin resetlenmesi ve değişim uyarısı.
- Maskeleme: Platformda şifrelerin maskelenmesinin sağlanması (teknik tedbir uyumu).
- Farkındalık etkisi: Çalışanların sınırlı bilgiyle dahi erken müdahalesinin önemine işaret edilmesi.
3.2. Zaman çizelgesi ve “72 saat” hassasiyeti
Karar özetinde; ihlalin 02.09.2019 – 16.09.2019 aralığında gerçekleştiği, 16.09.2019 tarihinde tespit edildiği ve 24.10.2019 tarihinde Kuruma bildirildiği bilgisi yer almaktadır. Bu çerçevede, ihlalin öğrenilmesinden itibaren başlayan 72 saatlik süre içinde bildirim yapılmamasına ilişkin değerlendirme yapılmış; çok uluslu yapı ve etkilenen ülkelerin tespiti gibi unsurların süre bakımından “makul görülebilecek” yönleri olduğu belirtilmiştir.
3.3. Bildirimin içeriği: Asgari unsurların tamlığı
Kurul; bilgilendirmenin bazı asgari unsurları içerdiğini, ancak ihlalinin ne zaman gerçekleştiği ve olası sonuçlar hakkında yeterli bilgi bulunmaması gibi eksikliklere dikkat çekmiştir. Bu nedenle, ilgili kişilere ve Kuruma yapılacak bildirimlerde; asgari unsurların tamamına yer verilmesi konusunda daha dikkatli olunması yönünde talimatlandırma yapılmıştır.
4. Kurumsal Dersler: Şifre Yönetimi ve Ortak Klasör Riski
Bu kararın en kritik tarafı, ihlalin “siber saldırı” kaynaklı değil; iş süreci içinde yapılan bir dosyalama hatası nedeniyle meydana gelmesidir. Bu tür ihlallerde en büyük risk, önlenebilirlik ve tekrarlanabilirliktir: aynı çalışma alışkanlıkları devam ederse benzer olaylar yeniden yaşanabilir.
4.1. “Şifre listesi” neden en riskli dokümanlardan biridir?
- Hesap ele geçirme: Şifre + kullanıcı adı birleşimi doğrudan erişim anahtarıdır.
- Şifre tekrar kullanımı: Aynı şifrenin başka platformlarda da kullanılması olasılığı.
- İçeriden risk: Ortak klasörler, niyet olmasa bile yanlış erişim ve yanlış paylaşımı artırır.
- Denetim izleri: Şifrelerin dosyada bulunması, güvenlik olgunluğu açısından olumsuz sinyaldir.
4.2. Ortak klasörlerde temel hata kalıpları
- “Herkes görsün kolay olsun” yaklaşımıyla geniş yetkilendirme
- Hassas dosya etiketleme yapılmaması (confidential / restricted)
- DLP / içerik tarama / anahtar kelime alarmı olmaması
- Periyodik erişim gözden geçirmesi yapılmaması
5. Uyum, Riskler ve En İyi Uygulamalar (Checklist)
Karar özeti, kurumların hem teknik hem idari tedbirleri birlikte ele alması gerektiğini gösterir. Aşağıdaki kontrol listesi; “ortak klasör + doküman yönetimi + kimlik bilgisi” eksenindeki riskleri azaltmaya yönelik pratik adımlar sunar.
5.1. Teknik tedbirler
- Şifreler asla düz metin tutulmamalı: Şifreler dokümanlarda, Excel listelerinde veya paylaşımlı klasörlerde yer almamalı.
- Erişim kontrolü: Ortak klasörlerde rol bazlı yetki (least privilege) + periyodik yetki gözden geçirme.
- DLP / içerik tarama: “password, şifre, pass, pwd” gibi kalıplar için dosya içerik taraması ve uyarı mekanizması.
- Loglama: Hassas klasör erişimleri, indirme/taşıma/silme hareketleri izlenebilir olmalı.
- Maskeleme: Uygulama arayüzlerinde şifre ve benzeri sırların maskelenmesi.
- Şifre sıfırlama politikası: İhlal anında hızlı reset + tüm kullanıcılara “parola hijyeni” duyurusu.
5.2. İdari tedbirler
- Farkındalık eğitimi: Ortak klasör kullanım kuralları, hassas veri örnekleri ve “ilk müdahale” eğitimi.
- Doküman sınıflandırması: Gizlilik etiketleri + paylaşım kuralları (public/internal/confidential/restricted).
- İhlal müdahale planı: Kimin raporlayacağı, nasıl izolasyon yapılacağı, bildirim şablonları ve sorumluluklar.
- Bildirim standardı: İhlalin zamanı, kapsamı, olası sonuçlar, alınan/önerilen önlemler, iletişim kanalları.
Kurul karar özeti: https://www.kvkk.gov.tr/Icerik/7035/2020-934
Ek okuma: https://www.nesilteknoloji.com/veri-ihlalinden-sonra-kimliginizi-nasil-koruyabilirsiniz/
6. Sık Sorulan Sorular
“Sadece 2 kişi etkilendi” deniyorsa neden bu kadar önemli?
Çünkü ihlale konu veri “şifre”dir. Şifre; tek bir kullanıcıyı değil, aynı şifrenin kullanıldığı diğer platformları da riske sokabilir. Etkilenen kişi sayısı az olsa bile, ihlalin niteliği riskin büyümesine neden olabilir.
Ortak klasör erişimi olan kişiler “kullanmayacağım” dese yeterli mi?
Bu beyanlar önemlidir; ancak tek başına yeterli kabul edilmemelidir. Esas olan; verinin erişimden kaldırılması, şifrelerin yenilenmesi, erişim kontrollerinin sıkılaştırılması ve tekrarını önleyecek teknik-idari tedbirlerin uygulanmasıdır.
Bildirim e-postasında hangi bilgiler mutlaka olmalı?
İhlalin kapsamı, etkilenen veri kategorileri, ihlalin olası sonuçları, olumsuz etkileri azaltmak için alınan/önerilen tedbirler, ilgili kişilerin bilgi alacağı iletişim kanalları ve mümkünse zaman çizelgesi; bildirimlerin net ve anlaşılır olmasını sağlar.
En hızlı “önleyici kontrol” hangisi?
Şifrelerin dokümanlarda tutulmasını tamamen yasaklayan politika + ortak klasörlerde DLP/uyarı mekanizması + rol bazlı erişim; en hızlı ve yüksek etkili üçlü kontrol setidir.
