İş yerinde çalışırken bir sürprizle karşılaşmamak için bazı temel kurallar vardır. Örneğin şifreni unutmamak için masada bir kağıda not almayacaksın, çay kahve almaya giderken ekranı kilitleyeceksin. Bunlar artık herkes tarafından uygulanan temel kurallar. Bir de gözünü cebimizdeki paraya diken kötü niyetli hacker’lar var. Ancak insanlar günümüzde artık kolay kolay “olta”ya gelmiyor. Hacker’lar da hiç durmadan yöntem değiştirip, gelişip farklı formlarda üstümüze gelmeye devam ediyorlar. Yine de internet alemi eskisi kadar kolay avlanılabilecek bir orman olmaktan çıktı. Herkes her şeyin farkında olmaya özen gösteriyor. Dikkat ediyor!

Bazen de sadece bankadaki paramızın, sosyal medya hesabımızın güvende olması için değil, çalıştığımız kurumun bilgilerinin de kötü niyetli kişilerin eline geçmemesi için dikkatli olmalıyız. Bilerek ya da bilmeyerek böyle bir suçun ortağı olabiliriz. Peki bu konuda ne yapabiliriz? Gelin biraz bu konulardan bahsedelim.

Kurumsal bilgiler nelerdir?

Kurumsal bilgi, kurum içinde üretilen veya kuruma dışarıdan gelen bilgiler….. gibi klişe bir açıklama yapmak istemiyorum. Çalıştığınız şirkette ulaşabildiğiniz bilgi, başkasının eline geçtiğinde, bu durumun sizin başınızı ağrıtacağını düşünüyorsanız bu bilgi kurumsal bir bilgidir. Siz, şirket e-postanızı kullanarak ilgi alanınız, hobileriniz ile ilgili bir e-postayı arkadaşınıza, ailenize gönderirseniz bu kurumsal bir bilgi değildir. Ancak, bilerek veya bilmeyerek, içinde şirket veri tabanında bulunan telefon, isim, adres, iban, kredi kartı, TC no veya kan grubu, boy, kilo, uyruk, medeni durum gibi kişisel hatta özel nitelikli bilgileri dışarı çıkartırsanız sıkıntı yaşayabilirsiniz. Nisan 2016 dan önce bu durum yasal olarak pek karşımıza çıkmıyordu ancak şimdi hem sizin hem çalıştığınız şirketin başını epeyce ağrıtabilir. Çünkü 2016 dan bu yana hayatımızda 6698 sayılı “Kişisel Verilerin Korunması Kanunu” var.

Kurumsal dediğimiz bu bilgiler nasıl sızdırılır?

Bilgi sızdıran bir kişiye, yaptığının bir suç olduğunu söylediğinizde, “bilmiyordum” diye bir cevap almanız olasıdır. Ancak hukuk der ki, Ignorentio juris non excusat, yani yasayı bilmemek mazeret değildir.

Bilgi sızdırmanın bir çok yolu vardır. Bunun en temeli, e-posta ile dışarıya bilgi göndermektir. Bunun dışında USB bellek içerisine dosya kopyalamak, bir web formu üzerinden dosya transferi yapmak, bulut üzerindeki dosya barındırma servislerine dosya yüklemek, yazıcıdan çıktı almak ve hatta fotoğrafını çekmek bilgi sızdırma yöntemlerinden bazılarıdır.

Buna “Sosyal Mühendislik” kavramını da ekleyebiliriz. Sizin çöpleriniz başkasının bilgi kaynağı olabilir! Ağzınızdan çıkan bilgiler, yarın karşınızda bir duvar gibi dikilebilir! Bu gibi beklenmedik durumlardan kurtulmanın yolu ise basittir. Vegas’ta olanın Vegas’ta kalması gerektiği gibi şirkette olan da şirkette kalsın!

Bilgisini çaldıranın yasal sorumluluğu nedir?

Bilgi sızdırmanın en sosyal yolu arkadaş ortamlarıdır. İçeceğinizi yudumlarken o gün şirkette karşılaştığınız “tuhaf” olayı arkadaşınıza anlatırsınız. Müşterinin hesabının o kadar yüklü olması şaşırtmıştır sizi. Ama unutmayın ki o tuhaf olay içinde geçen bilgilerin “kurumsal bilgi” olma olasılığı ve istemsizce yayılma şansı düşündüğünüzden çok daha hızlı olacaktır.

Şirketler, Kişisel Verileri Koruma Kanunu sonrasında yasal olarak eskiye nazaran daha büyük bir sorumluluk altına girmiş bulunmaktadırlar. Ancak bu sorumluluk kendi bünyesindeki yönetici ve çalışanları bağlamaktadır. Kanun der ki, tüzel bir kişi olan şirketin, kendisini yöneten gerçek ki şilerden farklı bir iradesi olamaz. Tabii ki yöneticiden veya çalışandan dolayı şirketler maddi bazı cezalara tabii tutulmaktadırlar. Bundan daha kötüsü ise itibar kaybıdır. Özellikle günümüzde sosyal medya’nın diğer yayın organlarına oranla çok hızlı bir şekilde doğru / yanlış bilgileri yayması ile bu itibar çok hızlı bir şekilde zedelenebilmektedir.

Bilgi kaçıranın başına ne gelir?

Daha önce de bahsettiğimiz üzere, hukuken bilmiyordum diye bir savunma yapmak yoktur. Bilerek veya bilemeyerek karıştığınız bilgi sızdırma suçuyla yüzleşmemek için, şirket yazışmalarınıza çok daha dikkat etmeniz gerekmektedir. Daha somut konuşmak gerekirse, bu tarz bir suçlamaya maruz kaldığınızda karşınıza TCK 135–136 ve 138. maddeleri çıkabilir. Çok detaya girmeden özetleyecek olursak, kişisel verileri hukuka aykırı olarak yaymak 2 yıldan 4 yıla kadar hapis (TCK 136), kişisel verileri hukuka aykırı olarak kaydetmek 3 yıla kadar hapis (TCK 135) ve kişisel verileri yok etmek de bir yıldan iki yıla kadar hapis (TCK 138) ile cezalandırılmaktadır.

Yönetici olarak çalıştığınız firmada, bilginiz dışında bile olsa böyle bir suçun işlenmesi, direkt olarak sizin ceza almanızı sağlayabilir. Çalışan olarak bilgi sızdırma suçunu işlediğinizde, yasal yaptırımlar yanında, iş akdi feshinin olması kaçınılmazdır.

Kurumsal bilgileri nasıl korumalı?

Buraya kadar, suçun içeriği, oluşumu ve sonuçlarından bahsettik. Şimdi gelelim bu tür olumsuz son uçların oluşmaması için neler yapılabileceğine. Bilgi kaçakçılığı ve sızdırma ihlallerini nasıl kontrol altına alabiliriz ve hatta önleyebiliriz?

Bilgi kaçakçılığını önlemek için her çalışanın başına bir bekçi dikmemiz gerekiyor. Evet, bu biraz maliyetli oldu. Bu kadar insan kalabalığı, gürültü, patırtı… Başka bir yol olmalı!

Bilgileri korumanın teknik tarafında geçmeden önce, hayatın her alanında olduğu gibi, burada da iyi bir eğitim önceliğiniz olmalı. Burada kastettiğimiz eğitim, çalışanlara bilgi güvenliğini anlatarak, neyin doğru neyin yanlış olduğunu, etik kuralların iş hayatındaki öneminin anlatılmasıdır. Çalışanlar ne ile yüzleşeceklerini bildikleri zaman, çok daha bilinçli bir şekilde hareket edeceklerdir.

İşin teknik tarafı ise, oluşturulacak güvenlik alt yapısından geçiyor. İçeriden dışarıya gönderilecek verilerin kontrolünü yapan DLP (Data Loss Prevention) ürünleri, sahip olunan veri tabanlarındaki erişim ve manipülasyonları denetleyen veri tabanı güvenlik duvarı ürünleri veri koruma ve denetlemede kurumların en büyük yardımcılarıdır. Ürün listesi ve çeşitliliği, marka, kullanım alanı ve ihtiyaçlara göre değişebilir.

Şirket içinden dışarıya, elektronik ortam yoluyla çıkartılmaya çalışılan veriler, DLP ürünleri ile yakalanıp önlenebilir ve yapılan bu işlem kayıt altına alınabilir. Sonrasında oluşacak hukuki süreç ile, iş akdinin feshi, para cezası ve hatta hapis cezasına kadar ulaşabilecek sonuçlar doğuracağı gibi, hem kurum hem kişi için itibar kaybına da sebebiyet verecektir.

Tüm bu süreç, aynı zamanda şirketlerin geçirdiği denetimler kapsamında da sorgulanmaktadır. Denetim sırasında, Türkiye’de KVKK, yurt dışında PCI DSS (Payment Card Industry Data Security Standard) ve GDPR (General Data Protection Regulation) regülasyonlarına uyum ve gerekliliklerin yerine getirilip getirilmediği sorgulanmaktadır.

Bilgi çaldığının farkında olmak veya olmamak bütün mesele bu mu?

Kötü niyetli olmak veya ne yaptığının farkında bile olmamak arasında ince bir çizgi var. Burada önemli olan, kurumların, çalışanlarına verdiği bilgilendirme eğitimleridir. Bilinçsiz bir kullanıcı, yaptıklarıyla kötü niyetli bir kişiden çok daha fazla zarar verebilir. Hayatımızın her alanında karşımıza çıkmaya başlayan kişisel verilerin korunması ilkesi, gün geçtikçe son kullanıcı ve çalışan olarak daha da aşina olduğumuz bir konu olmaktadır. Bu konuda hem kurumların hem de çalışanların gerekli hassasiyeti göstermesi ileride doğacak tüm kötü sonuçları azaltmak ve önlemek adına çok önemlidir.

Seyhan Tekelioğlu

Kaynaklar