Kuruluşlar genellikle tüketicilerden her gün veri toplarlar. Toplanan bu veriler geniş bir yelpazede değerlendirilebilir. Kimi zaman bu veriler tüketici adı soyadı olabilirken bazen hesap bilgilerine dair detaylar da bu veriler içerisinde yer alabilir. Bu hassas verilerin hassasiyetle korunması gerekir. Hassas verilerin bulut teknolojisine yakınlaşmasıyla bu hassas verilere erişmek daha kolay bir hale gelir. Ayrıca son zamanlarda dijital imza kullanımıyla hassas veri güvenliğini sağlamak mümkündür.
Hassas Veri Nedir?
Hassas veri kişilerin ve kurumların var olan bilgileri kopyalaması sonucunda yaşanabilecek kimlik hırsızlığı ve diğer suçlara karşı önlem almak amacıyla kamuya açık olması istenmeyen verilerdir. Doğum tarihi, bazı şifreler ve ödeme bilgileri gibi bilgiler bireylere ait hassas verilerken diğer durumlarda hassas veriler şirket verileri olabilir.
Hassas Veri Türleri
Operasyonların her alanında hassas veri örneklerine rastlamak mümkün. Bu veri kimi zaman ticari bir sırken kimi zaman müşteri bilgileri de olabilir. Elbette her bilginin korunması gerekir ama bazı yapılandırılmamış veriler en yüksek önceliğe sahiptir. İşletmelerin koruması gereken beş temel veri şunlardır:
1. Kişisel ve Müşteri Verileri
Kişinin kendini tanımlamak için kullandığı herhangi bir veri kişisel ve müşteri verileri kapsamında değerlendirilir. Kuruluşlar müşteriyle ilgili tanımlanabilir bilgileri koruyarak gizliliği sağlamış olur. Korumalı sağlık bilgileri (PHI), eğitim kayıtları ve gizli kişisel bilgiler, müşteriyi tanımlayabilen bilgilerdir ve bu bilgilerin kuruluşlar tarafından güvenli bir şekilde saklanması gerekir.
Kişisel bilgiler genellikle ırk, cinsiyet, cinsle yönelim, genetik ve biyometrik veriler gibi hassas verileri içerir. Diğer veri türleri, müşteriyi kolaylıkla tanımlanabilir hale getirir. Diğer kuruluşların bu verileri hedef almasıyla elde ettikleri bu diğer veriler, veri ihlali yoluyla hırsızlığa yol açar. En nihayetinde ise müşteri kimliklerinin çalınması riskini beraberinde getirir. Amerika Birleşik Devletleri’ndeki bazı mevzuatlarla bu durumun engellenmesi hedeflenmiştir. Kişisel ve mahremiyet verileri yasaları aşağıdaki gibidir:
- Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA)
- Adil Kredi Raporlama Yasası (FCRA)
- Aile Eğitim Hakları ve Mahremiyet Yasası (FERPA)
- Gramm-Leach-Bliley Yasası (GLBA)
- Elektronik İletişim Gizlilik Yasası (ECPA)
- Çocukların Çevrimiçi Gizliliğini Koruma Yasası (COPPA)
- Video Gizliliğini Koruma Yasası (VPPA)
- Federal Ticaret Komisyonu Yasası (FTCA)
Korumalar tüm bilgileri kapsamamakla beraber, maalesef ki hem müşteriler hem de işletmeler için ihlale açık ve ciddi sorunları beraberinde getirebilecek durumlar hala söz konusudur.
2. Çalışan Verileri
Müşteri verilerinde sağlanması gereken güvenlik gibi, şirketlerin çalışanların bilgilerini de koruma altında tutması gerekir. Çalışanlar için hassas veriler kullanıcı adı, parola, finansal bilgiler gibi kimlik doğrulama verileridir. Bunun yanında çalışanların sosyal medya gönderileri, medya ve mobil iletişimi gibi bilgiler de çalışanlara ait hassas veriler içerebilir. Çalışanların kullanıcı adı ve parolalarına ait verilerin ele geçirilmesi, yalnızca çalışanlar için tehdit unsuru olmakla kalmaz müşterilerin kişisel verilerini de güvensiz hale getirir.
3. Finansal Veriler
Kurumsal ve kişisel seviyedeki finansal işlemlere dair bütün bilgiler finansal veri olarak değerlendirilir. Bu değerlendirme hesap bilgilerini, işlem raporlarını, yıllık denetimleri ve ödemeleri de kapsar. Dolayısıyla finansal verilere dair hassas verilerin korunması ciddi önem teşkil eder.
4. İş Verileri
İşletmelerin müşteri, müşteri yatırımları, olası portföy şirketlerle alakalı verileri iş verileri kapsamında değerlendirilir. Ticari faaliyetlerin yürütülmesi için gerekli olan bazı veriler vardır. Bu verilerin olası güvenlik ihlallerinden korunması gerekir. İşletmelerin de sorumluluğu bu verilerin korunmasını sağlamaktır. Özellikle fikri mülkiyet, ticari sırlar ve birleşme planlarına erişildiği takdirde işletme ciddi zarar görebilir.
5. Operasyonel Veriler
İşletmedeki operasyonların sürdürülmesine ilişkin gereken her türlü bilgi operasyonel veridir. Operasyonel verilere pazar araştırması, tedarikçiler ve üçüncü taraflarla yapılan anlaşmalar ve ürün envanterleri örnek gösterilebilir. Operasyonel verilerde yaşanabilecek herhangi bir güvenlik ihlali, diğer türlerde olduğu gibi işletme zarar verebilir. Ayrıca bu ihlal işletmeyi etkilemesinin yanında müşteriler ve iş ortakları için de kötü sonuçlara yol açabilir.
Veri Hassasiyeti Nasıl Ölçülür?
Veri hassasiyetini ölçmede esas olan bilgilerin gizliliği, güvenliği, erişilebilir olması ve ihlali sonucunda işletmenin ve müşterilerin nasıl ve ne kadar etkileneceğidir. Bunun önüne geçmek için işletmelerin kullandığı kimlik doğrulamasını iki faktörlü hale getirmek, biyometri ile kullanıcı kimliği doğrulamak, bilgilerin bulanabileceği konumları ve bilgilerin kullanım sayısını kısıtlamak, bağlantısız depolama sistemleri kullanmak ve veri şifreleme uygulamasını zorunlu tutmak gibi yöntemler kullanmak etkili olacaktır.
Sözgelimi kuruluş ırk, etnik köken, politika, din, felsefe, sağlık veya cinsel yönelim gibi verileri işliyorsa, bu veriler için büyük bir koruma gerekir. Zira bu verilerin hepsi doğası gereği hassas bilgilerdir ve korunması için ekstra bir önlem gerektirir. Ayrıca bu veriler yasalar kapsamında da hassas olarak sınıflandırılır.
Hassas Verilerinizi Nasıl Korursunuz?
Aşağıdaki yöntemlerle hassas bilgilerinizi güvende tutmak daha kolay bir hal alacak.
1. Parola Yöneticisi Kullanın
Kullanıcıların var olan birden fazla hesapları için belirledikleri kelimelerden ve tümcelerden uzak, içerisinde harf ve sayı bulunduran ve her hesap için buna benzer farklı parolalar kullanmaması hesapları yönetmeyi zorlaştırabilir. Böylelikle şifreler kolaylıkla tahmin edilebilir ve hesapların ortak bir şifre ile birbirine bağlanması durumunda güvenlik açığı kaçınılmaz olacaktır.
Parola yöneticisi kullanacak bu sorunlar bir noktaya kadar hafifletilebilir. Bilgisayar veya mobil cihazlar, hesaplar için belirlenen şifreleri depolayarak güvenli bir şekilde saklayabilir. Böylelikle çalışanlar hesaplarındaki uygulamalara daha kolay bir şekilde ulaşabilir. Parola yöneticileri, depolanan diğer parolalara erişebilmek için bir ana parola, anahtar veya hesabın kimlik bilgilerine güvenerek bir tür kimlik doğrulamasına ihtiyaç duyar. Fakat yine de en nihayetinde şifre yöneticisine erişim sağlanması bir saldırı ihtimalini beraberinde getirebilir.
2. Verilerinizi Yedekleyin
Yaşanabilecek olası bir veri kaybı için verileri yedeklemek akıllıca bir hareket olacaktır. Bu verileri ayrı ve güvenli bir biçimde yedeklemelisiniz. Hassas bilgileri yedekleyerek karşılaşılabilecek olası bir saldırı durumunda kurtarma işlemi için gereken süreyi azaltacaktır. Fakat yedeklediğiniz bu hassas bilgiler de veri saklama politikalarına uygun olacak şekilde yedeklenmelidir.
3. Verilerinizi Şifreleyin
İşletmenizin sahip olduğu ve yetkisiz üçüncü şahıslar tarafından kolayca ulaşılmaması gereken tüm bilgiler için şifreleme yöntemi kullanmalısınız. Böylelikle bu adımla hem buluta geçiş için bir hazırlık yapmış olacak hem yetkili erişim için sıfır güven modeli uygulayacak hem de hassas bilgilerle yürütülen işlerde koruma sağlamış olacaksınız. Şifreleme işlemi belirli doysalar veya tüm depolama aygıtı için dosya sistemi düzeyinde uygulanabilir. Bunun yanında uçtan uca şifreleme yaparak, bilgiler arasındaki herhangi bir etkileşimin yetkisiz üçüncü bir kişi tarafından okunmasının veya değiştirilmesinin önüne geçilmiş olur.
4. Herkese Açık Wi-Fi Üzerinden VPN Kullanın
Son zamanlarda da sıkça tercih edilen uzaktan çalışma modeli, işletmelerin verilerine güvenli erişim ihtiyacını direkt olarak arttırdı. Halka açık Wi-Fi erişim noktasına bağlı olan cihazlardaki veriler, üçüncü kişiler tarafından görüntülenebilir. Halka açık Wi-Fi’lerdeki bu tehdidin önüne geçmek için VPN kullanılmalıdır. Böylelikle özel ve şifreli bir ağ erişim noktası oluşturulur. Böylelikle VPN kullanarak güvenli Wi-Fi erişim noktalarından dahi daha güvenli bir erişim sağlarsınız.
5. Daima Güncel Kalın
Bulut hizmetlerinin hali hazırda kendi kendini güncellemesinin yanında, işletmelerin de ağların ve bilgisayarların güvenliği için sistem güncellemelerini takip etmesi gerekir. Özellikle sahadaki bilgisayarlar ile uzaktan erişim için kullanılan bilgisayarlar için bu güncellemeler hassasiyetle takip edilmelidir. Güncellemeler olmadan sistem olası bir saldırıya açık haldedir.
Kazım Emre Akarsu, 2012 yılından beri Bilgisayar Mühendisi olarak çalışmaktadır. 2017 yılında Mesnet Bilişim Teknolojileri şirketini kurmuş ve Mespact Dijital İmza Uygulaması’nı geliştirmiştir.