Siber güvenlik tedbirlerini ciddiye almamanın bedeli: 575 milyon dolar

0

Yazarımız Av. Dr. Başak Ozan Özparlak, Equifax’ın 2017’de uğradığı siber saldırı sonucu ortaya çıkan sonuçları değerlendiriyor

Bu rakam, tazminat taleplerine bağlı olarak 700 milyon dolara kadar ulaşabilir. Eylül 2017’de ABD’de kredi raporlama kurulu Equifax, bir siber saldırıya uğramıştı. Henüz kim veya kimler tarafından gerçekleştirildiği belli olmayan bu saldırı sonucunda; ABD vatandaşlarının neredeyse yarısının (147 milyon kişinin) kredi kartı bilgileri, sosyal güvenlik numaraları ve doğum tarihlerini de içeren veriler çalındı. Bu ağır veri ihlali, Moody’s tarafından şirketin notunun düşürülmesine ve Federal Ticaret Komisyonu (Federal Trade Commission – FTC) tarafından Equifax aleyhine soruşturma açılmasına neden oldu. Bu konuda yaşanan son gelişme ise 22 Temmuz 2019 tarihli. FTC tarafından resmî internet sitesinden kamuoyunda paylaşılan bilgiye göre, Equifax 575 milyon Amerikan Dolarlık bir uzlaşmaya boğun eğmek zorunda kaldı. Uzlaşma konusu para nereye gidecek? FTC tarafından açıklandığı üzere, 575 milyon dolar ile verileri çalınan kişilerin zararlarının karşılanacak. Equifax’ın veri ihlalinden zarar görenlere kişi başına 20 bin dolara kadar ödeme yapacağı belirtiliyor.

Veri ihlalinin bedeli para ile ölçülebilir mi?

Uzlaşma konusu rakamlar her ne kadar yüksek olsa da FTC’nin tıpkı Facebook ile Cambridge Analytica Skandalı sonrası varmış olduğu uzlaşıdaki gibi burada da uzlaşan taraf, soruşturma konusu olayda sorumluluğu bulunduğunu açıkça beyan etmedi, tıpkı 2012’de Google’ın mahremiyet ihlali konusunda ceza aldığı soruşturmada FTC’ye suçlu olduğunu beyan etmediği gibi. Peki, bunun hukuken ne sakıncası olabilir? Burada kamuoyuna yeşil renkli sus payı verilerek, veri ihlaline neden olan şirketlerin aklanmasının söz konusu olabildiği tartışılabilir. Bazen, yasalarda yaptırımı “öde ve geç” şeklinde sonuç verecek düzenlemeler bulunuyor. Örneğin 4857 sayılı İş Kanunundaki engelli işçi çalıştırma zorunluluğuna dair hükümlerde olduğu gibi.

Equifax’ın çaldırdığı verilerle neler yapılabilir?

Elbette, FTC’nin maddî yaptırımlarının toplam tutarlarına odaklandığımızda, bunlar kolay ödenebilir tutarlar olarak gözükmüyor. Ancak, örneğin Facebook aleyhine 5 milyar dolar olarak kararlaştırılan cezanın ardından bu hafta, Wall Street Journal’ın haberine göre, FTC ile Facebook arasında bir uzlaşma olacak ve Facebook veri ihlallerine karşı bir iç denetim sistemi kuracak. Bu yöndeki kesin olmayan haber, FTC’nin mahremiyet ihlallerine karşı “gevşek” olması ve yerini başka bir kuruma devretmesi gerektiğine yönelik eleştirileri alevlendirdi. 5 milyar dolarlık cezanın kamuoyu ile paylaşımından hemen sonra Facebook hisselerinin ilginç bir şekilde yükseldiğini de hatırlayalım. Equifax’ın zarar görenlere kişi başı 20 bin dolar ödeyecek olmasına gelince; çalınan kişisel verilerin siber saldırganlar veya azmettiricilerce el altından satıldığını varsayalım. Şimdi de ABD nüfusunun yarısının verileri ile neler yapılabileceğini düşünelim: Kredi kartı verileri ile ulaşılacak analitik ile ticarî gelir, sosyal güvenlik numaralarına erişimle ise politik fayda dahi sağlanabilir.

Mahremiyet ihlallerine para cezası yeni siber saldırılara prim verebilir mi?

Peki, geçtiğimiz Cambridge Analytica skandalı ile ortaya çıktığı üzere “veri analitiği” ile seçmen iradelerinin manipülasyonu dahi söz konusu olabilmişken, mahremiyet ihlallerinin sadece finansal olarak cezalandırılması yeni siber saldırılara ve veri ihlallerine prim verebilir mi? Belki de gücü veriye dayananları, veri kısıtlama tedbirleri ile cezalandırmak daha caydırıcıdır? 1 Ocak 2020’de yürürlüğe girecek olan ve GDPR gibi geniş bir uygulama alanı olacak California Tüketici Yasası bu açıdan incelenmeye değer. Yazıyı bir soru ve bir şarkı ile bitirelim: “Mahremiyet ihlalleri için parasal yaptırımlar yeterli midir?”   Ya da Radiohead’in Karma Police’te dediği gibi: “This is what you’ll get.”*

*  “İşte eline geçecek olan şey budur.”

Haber Merkezi

Techinside, teknonoloji ile alakalı alanlarda işletmelerin güncel haberlere ve analizlere tarafsız şekilde ulaşmalarını kolaylaştır!

Yorum Ekle

Posta adresiniz, gizli kalacaktır.

İzin verilen HTML tagları, <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>