Avrupa Birliği’nin direktiflerine uygun olarak kişisel veri güvenliğine dair çerçeve bir düzenleme getirmeyi amaçlayan “Kişisel Verilerin Korunması Kanunu” 7 Nisan 2016 tarihinde yürürlüğe girdi. Şirketlerin kanuna uyumlu hale gelmesi için verilen süre ise 7 Ekim 2016 tarihinde sona eriyor. Buna göre yükümlülüklere uyum sağlamayan şirketleri ise idari ve cezai yaptırımlar bekliyor. KPMG Türkiye KPMG Türkiye Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı ve Şirket Ortağı Sinem Cantürk konuyla ilgili yaptığı değerlendirmede “Şirketlerin uyum yükümlülüklerini yerine getirmesi için öncelikle mevcut durumlarını analiz etmesi, işledikleri kişisel verileri bir envanter olarak ortaya koyması, kanuna uygun olacak şekilde kişisel veri işleme prosedürlerini oluşturması ve mevcut sözleşmelerini güncellemesi gerekiyor” dedi. Yasada 7 Ekim 2016’ya kadar 6 aylık cezasız bir dönem öngörüldüğünden, veri sorumlusu şirketlerin 7 Ekim 2016’ya kadar yasada öngörülen şartlara ve veri işlemeye dair kurallara uyum çalışmalarını tamamlamış olurlarsa, kanundaki cezai yaptırımlara konu olmayabileceğini belirten Cantürk, “İhlal durumunda, ihlalin tipine göre ihlal başına 5 bin liradan 1 milyon liraya kadar idari para cezası verilebilmekte; yine ihlalin niteliğine göre 1 yıldan 4.5 yıla kadar hapis cezasıyla sonuçlanabilmektedir” dedi.

Yasa ne diyor?

Yasaya göre kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade ettiğini söyleyen Sinem Cantürk, “Bu bilgiler çalışanlarınıza, müşterilerinize veya iş ortaklarınıza ait olabilir. Yasa sadece gerçek kişilere ait kişisel verileri koruma altına aldığından, tüzel kişilere ait veriler yasa kapsamında değil. Yasada tanımlanan ‘özel nitelikli kişisel veriler’ (sağlık, biyometrik özellikler, üyelikler, cinsel yaşam, ırk, din, vs.) ise daha az istisnadan yararlanabiliyor ve işlenmeleri belli kurallara bağlı” dedi. Cantürk “Kişisel verilerin ve özel nitelikli kişisel verilerin, ilgilinin ‘açık rızası’ olmaksızın işlenmesi yasak olup, üçüncü kişilere veya yurt dışına aktarılmamalı ve kullanım amaçları bittiğinde silinmeli veya anonimleştirilmelidir. Ancak Kanun’da sayılan çok sınırlı haller ile ve yeterli önlemlerin alınması şartıyla açık rıza kuralına bazı istisnalar getirilmiştir” uyarısını da yaptı. “Veri işleme” yasada açıkça tanımlanmış teknik bir terim ve verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmek için kullanılıyor. Kanunun hem özel sektör, hem de belirli sınırlamalara tabi olarak kamu sektörü için kişisel verilerin korunması ve işlenmesine dair süreçler ile yükümlülükleri düzenlediğini belirten Sinem Cantürk yükümlülükleri ise şöyle sıraladı: • Aydınlatma: Veri sorumlusu veya yetkilendirdiği kişinin, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile yasanın 11’inci maddesinde ilgili kişiye sağlanan haklara dair, kişileri bilgilendirmesi ve aydınlatması gereklidir. • Veri güvenliğinin sağlanması: Veri sorumlusu şirketler; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. • Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi: Kanun ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gereklidir. • Yurt dışına veri aktarımı: Yasa uyarınca kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına veriler aktarılamaz. Kişisel veriler, ancak yasada sayılan sınırlı hallerde ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması durumunda mümkün olmaktadır. Yasanın, uyum açısından sadece, 7 Nisan 2016 tarihinden önce işlenmiş olan kişisel veriler için bir istisna getirmiş olduğuna dikkat çekilirken, bu verilerin işlenme süreçlerinin de 7 Nisan 2018’e kadar sürecek bir uyum dönemi içinde Kanun hükümlerine uygun hale getirilmesinin beklendiği de belirtildi. Yasaya göre yükümlülüklerini yerine getirmeyen şirketleri 5 bin TL’den başlayıp 1 milyon TL’ye kadar çıkabilen idari yaptırımlar ile 1 yıldan 4.5 yıla kadar çıkabilen cezai yaptırımlar bekliyor.

Kaspersky Lab ve B2B International’ın en son araştırması 55 yaş üstü insanların internet alışkanlıkları ile ilgili endişeleri ortaya koydu. “Daha yaşlı ve daha tecrübeli? 55 üstü insanların internetteki güvenliklerine genel bir bakış” adlı araştırmanın sonuçları, bu yaş grubundaki kişilerin internette güvenli olmayan şekillerde var olduklarını ve genelde dolandırıcılık kurbanı olduklarını gösteriyor. Sonuçlar endişe verici, çünkü dünyadaki 12.546 internet kullanıcısının katıldığı araştırma, eski jenerasyonun siber suçlular için aslında oldukça çekici hedefler olduğunu öne sürüyor. İnternetteyken pek çok 55 yaş üstü insan, kendilerini ve önem verdikleri şeyleri siber suçlulardan düzgün bir şekilde korumadan alışveriş yapıyor, banka işlemleri gerçekleştiriyor ve sevdikleriyle iletişime geçiyor. Bu yaş grubunun bilgisayarlarına güvenlik yazılımları yüklemelerinin daha muhtemel olmasına rağmen, aynısını mobil cihazlarda daha az yapmaya meyilliler ve internette güvenli kalabilmek için alışkanlıklarını daha az değiştiriyorlar. Örneğin, diğer yaş gruplarına göre sosyal medyada ve tarayıcılarında yüksek güvenlik ayarlarını daha az kullanıyorlar (yüzde 38’e karşılık yüzde 30). Ayrıca cihazlarla birlikte gelen ‘cihazımı bul’ gibi güvenlik özelliklerini ve VPN’i daha az kullanıyorlar. Oran tüm yaşlardaki kullanıcılarda sırayla yüzde 42 ve yüzde 16 iken, bu yaş grubunda yüzde 28 ve yüzde 10. Eski jenerasyon internet hayatlarının pek çok alanında kullanıyor ve böylece önlem almadan internete girdikçe siber suçlular için açık verme ihtimallerini artırıyorlar. 55 yaş üstü kişilerin yüzde 94’ü düzenli olarak e-posta kullanıyor yani interneti başkalarıyla iletişime geçmek için kullanıyorlar. Aynı zamanda günlük işleri halletmek için de internete giriyorlar. Bu yaş grubu internette finansal işlemler gerçekleştirmeye daha çok meyilli. 55 yaş üstü kişilerin yüzde 90’ından fazlası internette bankacılık işlemleri gerçekleştiriyor. Tüm yaş grupları incelendiğinde bu oran ortalama %84. Yine de tüm bunlara rağmen 55 yaş üstü kişilerin yalnızca yarısı (yüzde 49) internette alışveriş yaparken güvenliklerini önemsiyor ve çoğunluğu (yüzde 86) siber suçlular için hedef olduklarını düşünmüyor. Endişe verici olan bir başka nokta ise, bu kişilerin 4’te 1’I (yüzde 40) herkese açık etki alanlarında (domain) finansal bilgiler paylaşarak kendilerini riske atıyor. Oran diğer yaş gruplarında %15. İnternetle fazla haşır neşir olmamaları, 55 yaş üstü kişilerin internet dünyasının tehlikelerine daha az hazırlıklı olmalarına sebep oluyor. Bunun sonucunda bu jenerasyon, siber suçluların kurbanı oluyor. Rapora göre genel internet kullanıcılarının yüzde 20’si daha yaşlı olan akrabalarının kötü amaçlı yazılımla karşı karşıya kaldığını ve yüzde 14’ü de sahte ödül çekilişlerine kandıklarını söylüyor. Ek olarak yüzde 13’ü daha yaşlı akrabalarının internette kendileri ile ilgili çok fazla kişisel bilgi paylaştıklarını ve %12’si de bu akrabalarının online sahtekarlık kurbanı olduğunu, uygun olmayan/cinsel içerik gördüğünü veya tehlikeli yabancılarla konuştuğunu belirtiyor. Kaspersky Tüketici İşleri Başkanı Andrei Mochola konuyla ilgili: “Bir açıdan bu kadar çok 55 yaş üstü kişinin internet alışveriş, banka işlemleri ve sevdikleriyle iletişim için kullandıklarını görmek harika. Rapor gösteriyor ki bu kuşak internet çağını Kabul ediyor ve bununla gelen her fırsatı kucaklıyor. Fakat diğer taraftan 55 yaş üstü kişilerin internette kendilerini korumak için yeterince uğraşmadıkları ortada. Endişe verici olan şey siber suçluların hedefleri arasında olduklarına bile inanmıyor oluşları ancak bu şekilde kendilerini tekrar tekrar tehlikeye sokuyorlar. Kaspersky Lab olarak biz daha yaşlı olan internet kullanıcılarını internette karşılaştıkları tehlikelerin daha fazla farkında olmaları ve siber hayatı daha yakından tanımaları konusunda teşvik ediyoruz. Aynı zamanda daha genç olan internet kullanıcılarını da daha yaşlı akrabaları ve arkadaşlarına siber suçluların yarattığı gerçek tehditlere karşı kendilerini daha iyi korumaları konusunda yardımcı olmaları için teşvik ediyoruz. İnternette uyanık olmak ve güvenilir güvenlik çözümleri yükleyerek internete erişim için kullanılan tüm cihazlarda yüksek güvenlik ayarları kullanıldığından emin olmak mutlu ve sağlıklı bir internet hayatı sağlayacaktır” diyerek sözlerini tamamladı.

Genellikle kullanılan 2048 bit ve daha yeni olan 4096 bit RSA şifrelemelerinin kaba kuvvet ile kırılmaları ve şifreli belgelerin elde edilmesi teorik olarak mümkün, pratik olarak imkansızdır. İyi bir işlem gücüne sahip bir bilgisayar ile 2048 bit şifrelemeyi kırabilmek için yaklaşık 6,5 katrilyon yıla ihtiyacınız var. Evrenin yaşını 13,7 milyar yıl olarak hesapladığımız düşünülürse, bu süre evrenin gelecekteki de dahil olmak üzere toplam ömrünün birkaç milyar katı ediyor. 4096 bit RSA şifrelemeyi kırmak için gereken süre ise, 6,4 katrilyon yılın 2^36 katı (2 üssü 36) daha fazla. Böyle bir sayıyı nasıl yazacağımızı veya adının ne olduğunu bile bilmiyoruz. Önce kötü haber: Bazı bilgisayar bilimciler, yalnızca bir cep telefonu mikrofonu kullanarak 4096 bit RSA şifrelemesini 1 saat içerisinde çözmeyi başardılar! Şifre çözmek için kaba kuvvet kullanarak muhtemel şifreleri teker teker tahmin etmek yerine çok daha etkin yöntemler bulunmuş durumda. Bir bilgisayar şifre çözerken, işlemcisi normalde yapmadığı bazı işlemleri yapmaya başlar. Bu durum bilgisayarın genel olarak farklı bir elektromanyetik alan yaymaya başlamasına sebep olur. Gündelik hayatımızda bu değişimi biz fark edemeyiz. Ancak NSA’nın TEMPEST programında kullandığı gibi yalnızca bu iş üzerine özelleştirilmiş pahalı donanımlar, bilgisayarların yaydığı bu farklı elektromanyetik dalgaları yakalayıp, yapılan işlem konusunda veriler elde edebilirler. 4096 bit şifre çözmek gibi oldukça yoğun işlemlerde ise bu cihazlar yardımı ile basitçe çözülen şifre elektromanyetik dalgalar yakalanarak kaydedilebilir. Ancak bu işlem, yukarıda bahsettiğimiz gibi çok pahalı, özelleşmiş ve bulundurmanız halinde casusluktan 30 yıl hapisle yargılanacağınız cihazları, ayrıca epey de bir dinleme zamanını gerektirir. Bir de bu cihazları söz konusu bilgisayara bağlamanız lazım. Tel Aviv Üniversitesi’nde araştırmacılar, Association for Computing Machinery dergisinde yayınladıkları makalelerinde, bu elektromanyetik dalgaların yarattığı “gürültünün” parabolik bir mikrofon ile 10 metreden tespit edilebildiğini ve sonucunda şifre çözme işleminin tamamen kayıt edilerek şifrelerin çözülebildiğini kanıtları ile gösterdiler. Ancak parabolik mikrofon oldukça hantal ve büyük bir alet. Gizli gizli şifre çözmek isteyenler için pek de pratik bir cihaz değil. Bu yüzden araştırmacılar, tamamen aynı yöntemi bir cep telefonunda kullanarak başka denemeler yaptılar ve 30 santimetre mesafeden bir bilgisayarın 4096 bit RSA şifrelemesini çözdüler. Bu şifrelemenin çözülmesi için 1 saatlik dinleme süresi yetti. Yani cep telefonuna gerekli uygulamayı yüklemiş birisi, bir sunucu odasına girip telefonu bırakır ve 30 santimetre yakınındaki tüm yüksek güvenlikli sunucuların barındırdığı tüm şifrelemeleri çözebilir. Bu kötü haberdi; şimdi iyi haberlere geçelim. Bu şifre çözme metodunu atlatmanın birtakım yolları mevcut. Öncelikle sunucu kabinlerinin ses yalıtımlı olması, elektromanyetik dalgaları engelleyen Faraday Kafesi ile güvenlik altına alınması, dizüstü bilgisayarların özel yalıtım ile donatılması, böyle bir izleme metodunu etkisiz kılar. Aşırı kritik görevlerde bulunan sunucular için belki bu tarz önlemler düşünülebilir ancak siz de takdir edersiniz ki bunlar pek pratik çözümler değil. Daha iyi bir haber ise, bu sorunu çözmenin çok daha kolay, yazılımsal bir yolu olması: Basitçe, şifre çözme işlemleri arasına hiçbir işe yaramayan ve sunucunun ses veya elektromanyetik izlerini dinleyenlerin kayıtlardan hiçbir şey anlamamalarını sağlayacak gereksiz işlemler ile doldurmak. Bu fazladan işlemler yüzünden şifre çözme belki birkaç saniye daha uzayacaktır, ancak muhtelif casuslar hangi işlemin gerçek hangisinin sahte olduğunu bilemeyecekleri için onlar açısından şifreleriniz kırılamaz hale gelecektir (şimdilik). Şimdi de en iyi habere geçelim: Açık kaynak GNU Privacy Guard tam da bu işlemi yapmaya başladı. Süper kritik önemde şifreleme yapan sunucularınız varsa güncellemek isteyebilirsiniz.

IDC Worldwide Quarterly Security Appliance Tracker (Küresel Güvenlik Cihazları Takibi Çeyrek Raporu) yayınlandı. Raporda, güvenlik cihazlarının satıcı ciroları ve sevkiyatları konularında yıldan yıla artış gözlemlendiği kaydedildi. 2016 yılının ikinci çeyreğinde cirolar yüzde 5,8 oranında artıp 2,75 milyar dolara ulaştı. Sevkiyatlar ise yüzde 15,2 oranında artarak 659.305 adete yükseldi. UTM (Unified Threat Management) pazarı ise geçen 5 yıla göre iki kat büyüdü ve büyümesine devam ediyor. Bu bakımdan UMT, genel sektörün büyüme trendinin lokomotifi görevini üstlenmiş durumda. UMT pazarı 2016 yılının ikinci çeyreğinde yüzde 13,4 oranında büyüyerek 1,35 milyar dolara ulaştı. UMT ciroları ise yıldan yıla yüzde 15,7 oranında artarak 2,6 milyar dolara ulaştı. Eski IDC raporları ile karşılaştırıldığında UMT pazarı, son yedi yıldır kesintisiz bir şekilde çift haneli büyüme rakamı kaydedebilen tek alt sektör kırılımı olarak da öne çıkıyor. IDP (Intrusion Detection and Prevention) pazarı ise IDC raporuna göre yıllık yüzde 4,8 büyüme oranı ile 402 milyon dolara ulaştı. Yine başka bir pazar olarak görülen güvenlik içerik yönetimi ise yıllık yüzde 4,9 büyüme ile 462 milyon doları gördü. Firewall ve VPN (Virtual Private Network) pazarları ise sırasıyla yıldan yıla yüzde 6,7 ve 14,6 oranında büyüme kaydetti. Rapor coğrafi olarak incelendiğinde Amerika Birleşik Devletleri’nin yıldan yıla yüzde 6,0 oranda büyüme kaydederek ve global pazarın yüzde 41’ini alarak en büyük yerel pazar olmaya devam ettiğini görüyoruz. yıldan yıla yüzde 5,9 büyüme oranı ve global pazarın yüzde 20 payını kapan Batı Avrupa bölgesi ise büyüme hızında ikinci sırada geliyor. Ancak Asya Pasifik bölgesi, yüzde 1,7 büyüme oranı sergilemesine rağmen, pazarın yüzde 22’sini elinde tuttuğu için gelirler incelendiğinde ikinci en büyük konumuna yerleşiyor. Cirosal bazda şirketler incelendiğinde 449 milyon dolar ciro ile Cisco birinciliğini korumaya devam ediyor. Cisco’yu 358 milyon dolar ile Check Point, 334 milyon dolar ile Palo Alto Networks, 270 milyon dolar ile Fortinet ve 117 milyon dolar ile Blue Coat izliyor. Bu şirketlerin pazar payı oranları da aynı sıralamayı takip ediyor. Yıldan yıla büyüme oranlarına baktığımızda farklı bir tablo karşımıza çıkıyor. Geçen yıla göre en yüksek büyümeyi sergileyen Palo Alto Networks, yüzde 38,2 oranında kendini geliştirmiş. Palo Alto Networks’ü yüzde 26,4 büyüme oranı ile Fortinet, yüzde 10,0 oran ile Check Point takip ediyor. Diğer firmaların büyüme oranları yüzde 1 veya aşağısında bulunuyor.