Bilgi Güvenliği Uzmanı ve Tetra Bilişim Yönetim Kurulu Başkanı Geylani Gani, AA muhabirine yaptığı açıklamada, kullanıcıların kişisel verilerinin kötü niyetli kişiler tarafından ele geçirilmesinin çeşitli yöntemleri olduğunu, bu yöntemler arasında en fazla e-postaların kullanıldığını söyledi.
Güçlü parola belirlemenin e-posta güvenliği için yeterli bir unsur olmadığına dikkati çeken Gani, "Güçlü parola oluşturmak, e-postanızın başka birinin eline geçip geçmemesiyle ilgili bir durum. Hesabı ele geçirmenin birincil önceliği bu değil. Bir kurumdan geliyormuş gibi ilginizi çekecek bir mail alırsınız. Örneğin, bir şirketin finans müdürüne yöneticisinden bir mail geliyormuş gibi gelir." dedi.
Gani, son zamanlarda fatura ödemeleriyle ilgili sahte e-postalar yollandığına dikkati çekerek, şunları kaydetti:
"Kullanıcılar, e-postanın geldiği adrese dikkat etmeli ve doğru yerden geldiğini doğrulamalı. Ayrıca, e-postanın içeriğindeki yazım diline dikkat edilmeli. 'Sayın ilgili', 'sayın borçlu' gibi ifadelerle başlayan e-postalara dikkat edilmeli. Bu yöntemle tuzağa düşürülebilirsiniz.
Bu tarz sahte postalarda çoğunlukla kullanıcının adına yer verilmiyor. Çünkü siber saldırı yapanlar, toplu e-posta atıyor ve kime gönderdiklerini bilmiyor. Adınızı bilmeyen birisi, sizin hangi kuruma ne kadar borcunuz olduğunu da bilemez.
Öte yandan, göndericinin e-posta uzantısına özellikle dikkat edilmeli. Şirketlerin isimlerine yakın alan adları kullanılarak kullanıcılar tuzağa düşürülmeye çalışılıyor. Düzenli güncelleme yapılması, bilinmeyen linklere tıklanmaması, kaynağı belli olmayan maillerin kabul edilmemesi gibi yöntemlerle bu tuzağın önüne geçilebilir."
"Şirketlere önemli sorumluluklar düşüyor"
Geylani Gani, kişisel verilerin korunmasında şirketlere önemli sorumluluklar düştüğünü ifade ederek, "Şirketler, kişisel verileri depoluyor ve kullanıyor. Bununla ilgili yeterli siber güvenlik önlemi alınmadığı takdirde bu veriler kötü niyetli kişiler tarafından hack'lenerek çalınıyor. Şirketler, çoğu zaman bu verilerin çalındığından bile haberdar olmuyor." dedi.
Şirketlerin bilgi güvenliğiyle ilgili yeterli önlem almamasının bedelini kullanıcıların ödediğine işaret eden Gani, sözlerini şöyle sürdürdü:
"Kişisel veriyi ikiye ayırmak gerekiyor. İlki, ad-soyad, telefon gibi normal veriler, diğerleri, kişinin sağlığı ve diğer özellikleriyle ilgili biyometrik verileri... Bu verilerin suistimali ciddi sonuçlar doğurabilir. Şirketler, tuttukları verinin öneminden haberdar değildi. Kişisel Verilerin Korunması Kanunu (KVKK), şirketleri verilerin önemi konusunda bilinçlendirdi.
Şirketler, kişisel verilerin korunmasına özen göstermeli ve KVKK'nın tek başına hukuk ya da bilişimle ilgili olmadığını, bunun metodolojik bir düzen olduğunu bilmesi gerekiyor. Veri ihlali durumunda ne tür bir zarara uğrayacağını bilmesi ve bu konuda önlemlerini almış olması gerekiyor."
"Veriler işlenerek kullanıcı alışkanlıkları tanımlanıyor"
Bilgi Güvenliği Uzmanı ve Tetra Bilişim Yönetim Kurulu Başkanı Gani, şirketlerin çeşitli süreçlerle elde ettiği kullanıcıların verilerini işleyerek hizmetlerini pazarlamaya çalıştığını ifade ederek, mağazaların, bir pazarlama şirketine dönüştüğünü, uygulamaları aracılığıyla kullanıcıları adım adım takip ettiğini söyledi.
Kişisel verilerin işlenmesiyle kullanıcı alışkanlıklarının tanımlanmaya başladığını vurgulayan Gani, şunları kaydetti:
"Şirketler, konum, boy ölçüsü, kredi kartı bilgileri, sipariş bilgileri, alışveriş sıklıklarını rahatlıkla takip edebiliyor. Öte yandan, sosyal ağ siteleri de kullanıcının ad-soyad, telefon, okul bilgileri, çalışılan şirketler, arkadaşlar, en çok gezilen yerler, hobiler gibi bilgilerini depoluyor. Örneğin, birinin dün nerede olduğunu bilmek için ya da güncel konularla ilgili yorumunu öğrenmek için sosyal medyasına bakmak yeterli oluyor.
Verilerin suistimalinin önüne geçilmesi sürecinde yapılan yasalar ve uygulanan cezai yaptırımlar önemli. Fakat kullanıcıların bilgi güvenliğinin sağlanmasındaki farkındalık düzeyi daha fazla önem taşıyor."
"En etkili önlem farkındalık sahibi olmak"
Geylani Gani, kişisel verilerin korunmasıyla ilgili olarak Avrupa'da daha erken başlayan yasal düzenlemelerin KVKK ile son yıllarda Türkiye'de de uygulanmaya başlandığını hatırlatarak, "KVKK ve küresel ölçekteki benzeri yasalarla verilerin belli kurallara göre daha ahlaki şekilde işlenilmesi sağlanıyor. Bu uygulamalarla birlikte veri kullanımında suistimallerin önüne geçilebilir." dedi.
KVKK'ya bağlı uyum sürecinden dolayı şirketlerin talebinin arttığını belirten Gani, "Bilgi güvenliği alanında şirketlere standartlara uyumluluk hizmeti sağlarken, KVKK ile birlikte artık kanuna uyumluluk sağlanmasına da yardımcı oluyoruz. Bu kapsamda, sızma testleri, e-posta güvenlik testleri yapıyor; çalışanlara bilgi güvenliği farkındalık eğitimi veriyoruz. Birincil önceliğin ve en etkili önlemin farkındalık olduğunu unutmamız gerekiyor." şeklinde konuştu.