KVKK: Teknik Tedbirler← İçindekiler

KVKK: Teknik Tedbirler

B

KVKK’nın 12. maddesi teknik tedbirleri de zorunlu kılar. İdari tedbirler insan ve süreç odaklıdır; teknik tedbirler ise sistem ve teknoloji odaklıdır. İkisi birlikte çalışır. En güçlü güvenlik duvarı bile eğitimsiz bir çalışanla aşılır; en bilinçli çalışan bile şifresiz bir veritabanıyla savunmasızdır.

Özlü kural: Teknik tedbirler bir kerelik kurulum değil, sürekli güncellenen canlı bir savunma hattıdır.

6698 sayılı KVKK Tam Metni (Mevzuat Bilgi Sistemi) ↗

49.1 Siber Güvenlik Temelleri

Zorunlu Teknik Tedbirler
  • Güvenlik duvarı (firewall) ile ağ trafiğini kontrol et
  • İşletim sistemi ve uygulamaları güncel tut
  • Erişim yetkilerini rol bazında tanımla (RBAC)
  • Kötü amaçlı yazılım koruması (antivirüs/EDR) kur
  • Güçlü parola politikası ve çok faktörlü doğrulama (MFA) uygula
  • Kişisel verileri şifrele (bekleyen ve hareket halindeki veri)
  • Saldırı tespit ve önleme sistemi (IDS/IPS) ile ağ trafiğini izle
  • Veri kaybı önleme (DLP) çözümü ile yetkisiz veri aktarımını engelle
  • Şifreleme anahtarlarını güvenli şekilde yönet (anahtar yönetimi)

Kullanılmayan yazılım ve servisleri güncellemek yerine silmek tercih edilmeli. Her yüklü uygulama, saldırgan için bir hedeftir.

Şifreleme

Şifreleme, kişisel verilerin yetkisiz erişime karşı korunmasında en kritik tekniktir. İki durumda şifreleme şarttır:

  • Bekleyen veri (data at rest): Veritabanında, dosya sunucusunda, yedeklerde duran veri
  • Hareket halindeki veri (data in transit): Ağ üzerinden iletilen veri (TLS/SSL)

49.2 Erişim Kontrolü

Erişim kontrolü, kişisel veriye kimin, ne zaman, hangi yetkiyle eriştiğini yönetir.

  • Rol bazlı erişim (RBAC): Her rol sadece ihtiyaç duyduğu veriyi görür
  • En az yetki prensibi (Least Privilege): Kimse ihtiyacından fazla yetkiye sahip olmamalı
  • Veri maskeleme: Hassas alanlar (TCKN, kart no) test ve geliştirme ortamlarında maskelenmeli
  • Erişim logları: Kim, ne zaman, hangi veriye erişti; hepsi kayıt altında
  • Düzenli yetki gözden geçirmesi: İşten ayrılan, rol değiştiren personelin yetkileri derhal güncellenmeli

49.3 İzleme ve Loglama

Kişisel veri güvenliğinin takibi, ihlallerin tespit edilmesi için zorunludur.

  • Sistem loglarını merkezi olarak topla (SIEM)
  • Şüpheli erişim girişimlerini izle ve uyarı ver
  • Log kayıtlarını değiştirilemez şekilde sakla
  • Zafiyet taramaları ve sızma testleri yap
Senaryo: Log Sayesinde

Kurum veritabanına yapılan şüpheli bir sorgu log sistemi tarafından tespit edildi. Erişim, hafta sonu normal olmayan saatlerde, farklı bir lokasyondan yapılmıştı. İhlal, veri sızmadan önce engellendi. Log olmasaydı, ihlal aylar sonra fark edilebilirdi.

49.4 Bulut Güvenliği

Kişisel verilerin bulutta depolanması, KVKK kapsamında özel dikkat gerektirir.

  • Bulut hizmet sağlayıcısı ile işleme sözleşmesi imzala
  • Verinin bulutta nerede saklandığını (data residency) bil
  • Bulut sağlayıcısının sertifikalarını (ISO 27001, SOC 2) doğrula
  • Bulut ortamında da şifreleme ve erişim kontrolü uygula
  • Yedekleme stratejisini bulut sağlayıcısına bırakma

49.5 Fiziksel Güvenlik ve Cihaz Yönetimi

Kişisel veri sadece siber saldırılarla değil, fiziksel erişimle de tehlikeye girer. Sunucunun çalınması, su basması, yangın veya yetkisiz birinin sunucu odasına girmesi de bir güvenlik ihlalidir.

  • Kişisel veri içeren fiziksel arşivleri kilitli dolaplarda sakla
  • Sunucu odalarına erişimi sınırlandır ve giriş-çıkışları logla
  • Şahsi cihazların kurum ağına bağlanmasını engelle, gerekirse izole alan oluştur
  • Kişisel veri içeren sistemlerde rol bazlı kısıtlama ve çoklu erişim kontrolü uygula

Cihaz Bakım ve Onarımı

Arızalanan veya bakımı gelen cihazlar, kişisel veri içeriyorsa, üreticiye veya servis firmasına gönderilmeden önce veri saklama ortamı (disk/SSD) sökülerek kurumda tutulmalıdır. Sadece arızalı parça gönderilmelidir.

Senaryo: Servise Giden Disk

Bir hastanenin BT departmanı, bozulan bir MRI cihazının kontrol birimini tamir için yurt dışındaki üretici firmaya gönderdi. Cihazın sabit diskinde binlerce hastaya ait görüntüler vardı. Disk sökülmedi. Ayler sonra üretici firma, diski “veri kurtarma” adı altında üçüncü bir firmaya verdi. Hastane, KVKK ihlali nedeniyle Kurul’a bildirimde bulunmak zorunda kaldı ve idari para cezası ile karşılaştı. Disk sökülseydi, hiçbir veri kurumdan çıkmamış olacaktı.

Bakım ve onarım amacıyla dışarıdan personel geliyorsa, kişisel verileri kopyalayıp kurum dışına çıkarmasını engellemek için gerekli önlemler alınmalı.

49.6 BT Sistemleri Yaşam Döngüsü

Kişisel veri güvenliği, sistemlerin tedarikinden kaldırılmasına kadar tüm yaşam döngüsünü kapsar.

  • Tedarik: Güvenlik gereksinimleri sözleşmede tanımlı olmalı
  • Geliştirme: Güvenli kodlama standartları (OWASP), kod incelemesi
  • Test: Güvenlik testleri, sızma testleri
  • Bakım: Güvenlik yamaları zamanında uygulanmalı
  • Kaldırma: Eski sistemlerden kişisel veriler güvenli şekilde imha edilmeli

49.7 Yedekleme ve Olay Yönetimi

Yedekleme, veri kaybına karşı son savunma hattıdır.

  • 3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 off-site
  • Yedekleri düzenli test et (geri yükleme denemesi yap)
  • Yedekleri de şifrele
  • Yedekleri ağ dışında tut (sadece sistem yöneticisi erişebilmeli)
  • Fidye yazılımına karşı: Ransomware hem canlı veriyi hem ağda duran yedekleri şifreleyebilir. Yedeklerin ağ dışında (offline) olması, son savunma hattıdır
  • Olay müdahale planı: İhlal durumunda kim, ne yapacak? Zaman çizelgesi net olmalı
  • İhlal bildirimi: KVKK gereği ihlali en kısa sürede ilgilisine ve Kurula bildir
Bunu Yap
  • Kişisel verileri hem bekleyen hem hareket halinde şifrele
  • Erişim loglarını merkezi topla ve düzenli incele
  • Yedekleri düzenli test et, sadece alma
  • Servise gönderilen cihazdan diski sök ve kurumda tut
  • Kullanılmayan yazılımı sil, sadece güncelleme yapma
Bunu Yapma
  • Antivirüs kurduysan güncellemeyi unut
  • Tüm personelle aynı admin şifresini paylaş
  • İhlal durumunda "belki geçer" diye bekleyip bildir
  • Yedekleri canlı ağda bırak, fidye yazılımı gelince yedeğin de gider

İlgili Bölümler