Abalıoğlu Veri İhlal Bildirim Protokolü
Abalıoğlu Veri İhlal Bildirim Protokolü
ABALIOĞLU BORU PROFİL VE TEKSTİL SANAYİ VE TİCARET ANONİM ŞİRKETİ
VERİ İHLAL VE BİLDİRİM PROTOKOLÜ
A. AMAÇ
İşbu protokol bir veri ihlali halinde Abalıoğlu Boru Profil ve Tekstil San. ve Tic. A.Ş.’nin mevcut teknik, idari ve fizikitedbirlerini belirlemek, şirket sistem ve güvenliğinin zedelenmesinin önünde geçmek ve bundan doğan zarar ve sonuçları en aza indirgemek amacı ile hazırlanmıştır.
Veri ihlalleri her durumda mümkündür. Veri güvenliğinin en üst düzeye taşınmasında dahi bir veri ihlali söz konusu olabilir. Böyle bir durumda atılacak adımların belirlenmesi ve uygulanması önem arzetmektedir.
Bu protokol, Abalıoğlu Boru Profil ve Tekstil San. ve Tic. A.Ş.’nin zaman, senaryo ve teknolojiden bağımsız olarak veri ihlalidurumunda izlemesi gereken adımları ortaya koymayı amaçlamaktadır.
B. VERİ İHLALİNE KARŞI ŞİRKETİN SORUMLULUKLARI
Aşağıda belirtilen önlemler alınarak veri ihlallerinin mümkün olduğunca önüne geçilmesi
hedeflenmektedir:
- Veri ihlali doğurabilecek senaryolar listelenmeli ve veri ihlali durumunda belirlenen her senaryo için yapılacaklar planlanmalıdır.
- Veri ihlali durumunda, konuyu sonlandırabilecek yetkili kişi veya kişiler belirlenmeli, bu kişilerin görev ve yetki tanımları yapılmalıdır.
- Veri ihlalinin önüne geçilebilmesi için Acil Durum Eylem Planı Kontrol Listesi’nde yer alan adımlar izlenmelidir.
- Veri ihlalinin çıkış noktası belirlenmeli, deliller toplanmalı ve korunmalıdır.
- Somut olaya uyarlanarak kullanılabilecek taslak ihlal bildirimleri hazırlanmalıdır. Kişisel Verilerin Korunması Kurulu tarafından öngörülen bir metin yayımlanması halinde ise yayımlanan metin esas alınmalıdır.
- Veri ihlali sonucu Kişisel Verilerin Korunması Kurumu gibi kurumlara hukuken bildirim yükümlülüğü ortaya çıkmış ise gerekli bildirimler yapılarak bu yükümlülük yerine getirilmelidir.
- Veri ihlali ile Abalıoğlu Boru Profil ve Tekstil San. ve Tic. A.Ş. bünyesinde bulunan kişisel veriler üzerinde herhangi bir işlem (ele geçirme, silme, güncelleme gibi) yapıldığına kanaat getiriliyorsa, 6698 sayılı Kişisel Verilerin Korunması Kanununun ilgili hükümleri uyarınca veri sahipleri konu ile ilgili derhal bilgilendirilmelidir.
- İhlal hakkında iç birimlerin yetersiz olması halinde ilgili taraflarla gizlilik sözleşmeleri yapılarak gerekli olan teknik ve hukuki destek alınmalıdır.
C. VERİ GÜVENLİĞİ İHLALİ DURUMUNDA YAPILACAKLAR
Veri ihlali ile karşılaşan veya veri ihlalini tespit eden çalışanın vakit kaybetmeden departman yetkilisi ile insan kaynakları biriminibilgilendirmesi gerekmektedir. Departman yetkilisi ile insan kaynakları birimi bildirimin kendilerine ulaşmasından sonra ihlalin yaratabileceğisonuçları değerlendirerek ilgili görebilecekleri kişi veya departmanlara konuyu taşımalıdır.
İhlal sırasında bilgilendirilmek üzere tespit edilen “Müdahale Ekibi”nde bulunan irtibat kişileri arasındaaşağıda belirlenen kişiler yer almalı ve işbu prosedürde yer alan tüm durumlarda bu irtibat listesikullanılmalıdır:
a. En az bir Abalıoğlu Boru Profil ve Tekstil San. ve Tic. A.Ş. Yönetim Kurulu personeli,
b. Hukuk çalışanı,
c. BT çalışanı,
d. İnsan Kaynakları çalışanı
İhlal kapsamında Abalıoğlu Boru Profil ve Tekstil San. ve Tic. A.Ş.’nin e-posta sisteminin de ihlalden etkilendiğidüşünülüyor ise daha fazla veri ihlalinin ortaya çıkmaması ve ihlalin sonlandırılabilmesi adına yapılacakbildirimler telefon yolu ile veya yüz yüze yapılmalıdır.
1. İhlalin Değerlendirilmesi
İhlal değerlendirilirken yapılacak her türlü işlem kayıt altına alınmalı, kayıt esnasında aşağıda belirtilen detaylar dikkate alınmalıdır. Bu detayların yetersiz kaldığının düşünüldüğü durumlarda veri ihlalinin durumu değerlendirilerek ek değerlendirmelerde bulunulabilir. Kayıt altına alınması beklenen işlemler başında aşağıdakiler gelmektedir:
a. İhlalin hangi verileri ve sistemleri etkilediği
b. Yapılan işlemlerin saati ve tarih bilgileri
c. İhlal ile ilgili olabilecek kişiler (olayı fark eden, önlemleri gerçekleştirmeye çalışan, kaydı
oluşturan kişiler)
d. İhlalin değerlendirilmesi ve sonlanması için atılan adımlar
2. Veri İhlalinin İncelenmesi ve Hasarı En Aza İndirme Süreçleri
İlgili birimin veri ihlalinin nasıl gerçekleştiğini belirlemesinin ardından ihlalin tekrar yaşanmaması ve zararın büyümemesi adına aşağıda listelenen önlemlerin alınması gerekmekte olup sayılan önlemlerin haricinde şirket tarafından ek önlemlerde öngörülebilir.
a. Veri sahipliği fiziki veya elektronik olarak kaybolmuş bir veri söz konusu ise, bu verilerin güvenliği Abalıoğlu Boru Profil ve Tekstil San. ve Tic. A.Ş. tarafından tekrar sağlanmalıdır.
b. Kolluk kuvvetlerine haber verilmesi uygun ise vakit kaybetmeden bu başvuru yapılmalıdır.
c. Verilerin bulunduğu ortamlara giriş çıkışlar sınırlandırılmalıdır.
d. Fiziksel ortamda veya bilgisayar ortamında tutulan veriler fiziki olarak ihlale uğramış ise fiziki ortama ait giriş – çıkış ve kamera kayıtları korunmalıdır.
e. Bilgisayar ortamında tutulan veriler ihlale uğramış ise mevcut denetim izi kayıtları oluşabilecekherhangi bir müdahaleye karşı korunmalıdır.
Abalıoğlu Boru Profil ve Tekstil San. ve Tic. A.Ş. yapılan inceleme ve analizler sırasında aşağıda listelenen maddelerinüzerinden ilerleyerek veri ihlali ile ilgili aksiyon almalıdır:
a. Veri ihlali sebeplerinin değerlendirilmesi,
b. Veri ihlalinden etkilenen veri sahiplerinin belirlenmesi
c. İhlale uğrayan verilerin ne gibi amaçlar için kullanılacağının tespit edilmesi
d. Risk altındaki diğer sistemlerin belirlenmesi
Bu süreçte veri ihlalini inceleyen sorumlu kişi Müdahale Ekibi’nde bulunan BT personelinden destek almalıdır. BT personelinin yetersiz kaldığı durumlarda BT Departmanı’ndan veya dış kaynaklardan destek alınabilir.
Veri ihlali incelenirken tutulacak olan tüm belgeler gizli olmalı ve belgeler üzerinde “Gizli ve İmtiyazlıdır” ifadesi bulunmalıdır.
3. Veri İhlali Sonrası Yapılacak Bildirimler
Veri ihlali sonrasında Abalıoğlu Boru Profil ve Tekstil San. ve Tic. A.Ş. kişi ve kurumları bilgilendirmekle yükümlüdür.Bilgilendirme verilerin sahibi kişi ise doğrudan gerçek kişilere, başka bir şirketin (iş ortakları veyadiğer şirketler) verileri ise ilgili şirkete yapılmalıdır.
Bildirim yapılması hukuken gereklidir ve kamu ilişkileri için önem taşımaktadır. Bu sebeple yapılacakolan bildirim planlı olmalı ve bildirim metni ilgili departman yetkilisi tarafından hazırlanmalıdır. Hazırlanan bildirim metni Hukuk Departmanı’nın incelemesinin ardından ilgili yerlerle paylaşılmalıdır.
Bildirim içerisinde aşağıdaki başlıklara yer verilmeli, bu başlıkların yeterli olmadığı düşünülen durumlarda ekleme yapılmalıdır:
a. Veri ihlalinin açıklanması,
b. Veri ihlalinden kimlerin etkilendiği,
c. Alınan önlemler,
d. Abalıoğlu Boru Profil ve Tekstil San. ve Tic. A.Ş.’nin veri ihlalinden etkilenen kişilere nasıl yardımcı olacağı,
e. İhlalden etkilenen kişilerin Abalıoğlu Boru Profil ve Tekstil San. ve Tic. A.Ş.’ne ulaşabilecekleri iletişim bilgileri. (Analizler sırasında ihlale konu olan verilerin başka bir şirkete ait olduğu tespit edilirse, ilgili şirkete ihlalbildirimi yapılmalıdır.)
Bu bildirim planlanırken aşağıdaki şartlar dikkate alınmalıdır:
a. Bildirim, belirlenmiş olan ilgili şirket irtibat kişisi veya kişilerine yapılmalıdır. Bu kişilere ulaşılamaması durumunda Abalıoğlu Boru Profil ve Tekstil San. ve Tic. A.Ş. Hukuk Departmanı’na danışılmadan farklı bir kişiye bildirim yapılmamalıdır.
b. Bildirim iletişim kanalı veri ihlali ile ilişkili olacak şekilde Müdahale Ekibi tarafındanbelirlenmelidir.
D. BİLGİ TEKNOLOJİLERİ ACİL DURUM EYLEM PLANI KONTROL LİSTESİ
1. Bilgi Teknolojileri Acil Durum Eylem Planı Kontrol Listesinin Amacı
İşbu Bilgi Teknolojileri Acil Durum Eylem Planı Kontrol Listesi (“Kontrol Listesi”), Abalıoğlu Boru Profil ve Tekstil San. ve Tic. A.Ş. çalışanlarının bilgi teknolojileri (“BT”) sistemlerinde bir zafiyet yaşanması durumundaizleyecekleri adımlara rehberlik etmek amacıyla hazırlanmıştır. BT sistemlerinde yaşanan zafiyetlerkasten ya da sehven yapılan hatalar sebebiyle veya sürekli değişen saldırı teknikleri kullanılarakmeydana gelmektedir. Kontrol Listesi, herhangi bir zafiyetin önlenmesi veya zafiyetin tam olarak tespitedilmesi gibi bir amaç taşımamaktadır.
2. Kontrol Listesi
1. Vaka yaşandı mı veya vaka yaşandığından şüpheleniliyor mu?
2. Vaka devam ediyor mu?
3. Vakanın kişisel verilere bir etkisi oldu mu?
4. Vakayla ilgili aksiyonları alacak bir kriz masası kuruldu mu?
5. Etkilenen sistemler kurum ağından izole edildi mi?
6. Etkilenen sistemlerin tutulduğu sunucu/pclerin kapanması engellendi mi?
7. Aşağıdaki bilgiler kayıt altına alındı mı?
7.1. Vakayı tespit eden kişi veya alarmın kaynağı,
7.2. Vakaya ait ilk tespitin tarih ve saati,
7.3. Vaka hakkında temel bilgiler,
7.4. Hangi kişilerin veya sistemlerin etkilendiği,
7.5. Dâhil olan kişilerin veya sistemlerin konumu,
7.6. Vakanın nasıl tespit edildiği.
8. Etkilenen sistemin önem derecesi kritik mi?
9. Hedef olan sistem(ler)in:
9.1. Adı,
9.2. İşletim sistemi,
9.3. IP adresi,
9.4. Ağ üzerindeki konumu,
9.5. Fiziksel konumu,
9.6. Kullanım amacı.
10. Hangi sistemler veya veriler tehlike altında?
11. Tehlike altındaki sistemlerin veya verilerin kategorisi nedir?
12. Saldırının kaynağı kurum içi mi, kurum dışı mı?
13. Vakanın soruşturulması sırasında aşağıdaki çalışmalar yapıldı mı?
13.1. Sistem loglarının incelenmesi,
13.2. Uygulama loglarının incelenmesi,
13.3. Loglardaki boşlukların denetlenmesi,
13.4. Varsa firewall loglarının incelenmesi,
13.5. Varsa VPN erişim loglarının incelenmesi,
13.6. Varsa routerloglarının incelenmesi,
13.7. Uygulama loglarının kontrol edilmesi,
13.8. Etkilenen sistemlerin memorydump dosyalarının alınması ve incelenmesi,
13.9. Vakayı tespit eden ve vakadan etkilenen çalışanlarla mülakatların yapılması ve vakayla ilgilimümkün olduğunca detaylı bilgi alınması,
13.10. Elde edilen deliller için delil zinciri (“Chain of Custody”) dokümanı hazırlanması,
13.11. Elde edilen verilerin sadece erişim yetkisi olan kişilerin ulaşabildiği, giriş-çıkışları kontrol altında olan bir alanda tutulması.
14. Vakanın kuruma finansal etkisi tespit edildi mi?
15. Kişisel veriler etkilendiyse verileri etkilenen kişiler ve etkilenen veriler tespit edildi mi? Tespitler doğrultusunda veri öznelerine bilgilendirme yapıldı mı?
16. Vakanın tekrarlanmaması için alınacak önlemler belirlendi mi?
17. Etkilenen sistemler vaka öncesindeki sağlıklı yapıya döndürüldü mü?
18. Şirket bilgi sistemleri politikaları / prosedürleri yaşanan zafiyetebağlı olarak vakanın tekrar yaşanmasını engelleyecek şekilde güncellendi mi?
19. Vaka ek bir politika / prosedürle engellenebilir miydi?
20. Vakaya bir politika veya prosedürün izlenmemesi mi sebep oldu?
21. Vakanın en az zararla atlatılması için ortaya konan eylemler yeterli miydi,sistemlerdeherhangi bir iyileştirme yapılabilir mi?
22. Bütün sorumlular sürece zamanında dahil oldu mu?
23. Başka bir vakanın yaşanmasını engellemek için iyileştirme yapıldı mı?
23.1. Sistem güncellemeleri,
23.2. Yazılımların güncellemeleri,
23.3. Şifrelerin değiştirilmesi,
23.4. Anti-virüs yazılımının güncellenmesi,
23.5. Vakanın türüne göre alınması gereken diğer önlemler.
24. Bu vakadan neler öğrenildi?
25. Kişisel veri, kanuni olmayan yollarla başkaları tarafından elde edildi mi? (Cevabın “Evet” olmasıdurumunda Abalıoğlu Boru Profil ve Tekstil San. ve Tic. A.Ş.bu durumu en kısa sürede kişisel veri sahibi ilgiliye ve KişiselVerilerin Korunması Kurulu’na bildirir.)
26. (Varsa) Kişisel veri ihlaline yönelik Kişisel Verilerin Korunması Kurulu’na bildirim yapıldı mı?