Veri İhlali Nedir? Veri İhlali Neden Olur?
Veri ihlali: Aktarılarak, depolanarak veya başka şekillerde işlenen kişisel verilerin istem dışı veya hukuka aykırı şekilde imhasına, ifşasına veya ele geçirilmesine yol açan haller” olarak ifade edilmektedir. (Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”)) GDPR Nedir? Yazımızı okumak için tıklayınız…
KVKK ve GDPR ile şirketlerin veri güvenliğine duyarlılığı artıyor. Bu durumda veri sızıntısı, şirketin en önemli sorunlarından biri olmaya başladı.
Peki veri sızıntısı/veri ihlali neden olmaktadır?
1- Yetkisiz erişim:
Yalnızca yetkili şirket çalışanlarının erişebileceği önemli veriler, yetkisiz erişimlere veri sızıntısına neden olabilir. Kişisel veri niteliğindeki ve şirketin koruma sorumluluğundaki verilere yetkisiz çalışanların erişimi ve ifşası veri sızıntısına neden olabilir.
2- Siber Saldırılar:
Siber suçlular şirketleri çeşitli şekillerde hedef alsalar da kullandıkları yöntemler genellikle üç kategoriye ayrılır. İlk olarak, hassas bilgilere erişmek için güvenlik açıklarını kullanan bilgisayar korsanları, parolaları kırarak verilere erişebilir. İkinci ağ saldırısı yöntemi, hassas bilgileri toplamak veya iş kesintisine neden olmak için kötü amaçlı yazılımların kullanılmasını içerir. Siber saldırının son yöntemi, bilgisayar korsanlarının sosyal mühendislik çabalarını içerir.
3- Sosyal Mühendislik:
Siber suçluların kullanıcılar hakkında elde ettikleri bilgileri kullanarak kullanıcıları aldatma girişimine sosyal mühendislik denir. Hackerlar; bireyler, resmi kurumlar veya şirketler adına kullanıcılara yönelik en fazla oltalama saldırısını gerçekleştirmektedir. Genellikle kullanıcıları ağlarına getirirler ve resmi kurumlardan veya şirketlerden geliyormuş gibi görünen e-postalar yoluyla veri sızıntılarına neden olurlar.
4- Personel Hataları:
Çalışanlar, bir veri ihlalindeki en zayıf halkadır. Çünkü veri sızıntısı genellikle çalışanların prosedürlere uymamasından ve kişisel verilerini dış dünyaya sızdırmasından kaynaklanmaktadır. Gizli bilgilerin yanlış e-posta adresine gönderilmesi, veri güvenliği prosedür ve politikalarına uyulmaması, şirket tarafından gerekli eğitimlerin sağlanamaması, şirket güvenliğinin ihlal edilmesi, korumalı güçlü şifrelerin kullanılmaması vb. birçok nedenden kaynaklanmaktadır.
5- Fidye Yazılım:
Fidye yazılım, ağ güvenliğini tehdit eden en önemli saldırı türü olup, dosyaları şifreleyen ve bulaşmış şirketlere şifre çözme anahtarlarını elde etmek için ekonomik olarak şantaj yapan bir tür kötü amaçlı yazılım olarak tanımlanabilir. Şirketler, şirket sistemlerine sızan fidye yazılımlarına karşı savunmasızdır. Fidye yazılımları genellikle e-posta eklerinde gizlenir.
6-İç tehditler:
Çalışanlar, ağ güvenliği açısından şirket için ciddi bir iç tehdit oluşturmaktadır. Yalnızca hassas bilgilere erişmeye yardımcı olacak hatalar yapmakla kalmaz, aynı zamanda bazı çalışanlar dürüst olmayan veya veri hırsızı olabilir. Yetkisiz verilere erişmeye çalışan şirket çalışanları, misilleme veya mali kazanç amacıyla kişisel verilerini rakip şirketlere sızdırabilir ve veri sızıntısına neden olabilir.
7-Fiziksel hırsızlık:
Veri ihlallerinin tamamı dijital ortamda saklanan veriler üzerinde gerçekleşmez. Veri işleyen gerçek ve tüzel kişiler, fiziksel veri hırsızlığına da dikkat etmelidir. Aksine hassas bilgilere erişim sağlayan belge ve cihazlar hırsızların hedefi oluyor. Dosyaların yok edilememesi, verilerin saklandığı USB diske kolay erişim, kişisel verilerin saklandığı kilitli dolaplar, gerekli yönetim önlemlerinin alınmaması gibi gerçekler şirket verilerinin fiziksel olarak çalınmasına neden olabilir.
ISO 27701 Danışmanlık ve Belgelendirme hizmeti almak için lütfen tıklayınız…