Birleşik Krallık Bilgi Komiserliği Ofisi (ICO), geçen yılki veri kaybı nedeniyle British Airways firmasına 183 milyon $ para cezası vereceğini bildirdi. Bazı açılardan, Facebook’un Cambridge Analytica için aldığı AB cezası durumunun yüzlerce katı. Bu yazıda nelerin yanlış gittiğini, cezalar arasında neden bu kadar yüksek bir fark olduğunu ve veri koruma hususunu önceden düşünmenin neden iyi bir fikir olduğunu masaya yatıracağız.
British Airways veri sızıntısı — neler yanlış gitti?
Geçtiğimiz sonbaharda British Airways, kuruluşun internet sitesi veya mobil uygulaması üzerinden bilet satın alan veya biletlerini değiştiren kişilere ait verilere 21 Ağustos ile 5 Eylül tarihleri arasında dışarıdan yasadışı bir şekilde erişildiğini bildirdi. Korsanlar, yaklaşık 500.000 müşterinin bilgilerini çalmıştı. Çalınan bilgiler arasında, mağdurların internet üzerinden doldurdukları formlara girdikleri kullanıcı adı ve parola, ad ve adres, CVC kodları dahil banka kartı bilgileri gibi her türlü bilgi yer alıyordu.
Yapılan incelemede, British Airways’in finansal verileri çalmak amacıyla e-ticaret sitelerine kötü amaçlı komut dosyaları yüklediği bilinen Magecart adlı bir siber suç grubunun saldırısına uğradığı sonucuna varıldı. British Airways’e yapılan saldırı da farklı değildi — korsanlar, şirketin internet sitesine kötü amaçlı yazılımlarını yüklemişti. Sadece mobil uygulama kullanıcıları etkilendi çünkü uygulama, bazı işlevleri doğrudan internet sitesinden yüklüyordu.
GDPR cezası
Her ne kadar British Airways durumu gecikmeksizin bildirmiş ve soruşturmaya yardımcı olmuş olsa da, şirket ceza ödemekten kurtulamayacaktı. GDPR düzenlemelerine göre, Avrupa vatandaşlarının kişisel verilerini işleyen kuruluşlar, veri güvenliğini sağlamak için mümkün olan her şeyi yapmalıdır. İncelemede tespit edildiği üzere şirketin internet sitesi yeterince korunmuyordu. Olayın ardından taşıma şirketi doğal olarak yeni savunma önlemlerini uygulamaya sokmuş olsa da, bu durum yaşanan olaydaki sorumluluğunu değiştirmedi.
87 milyon kadar kullanıcısının verilerini sızdıran Facebook ise Avrupa’da sadece 500.000 £ para cezası ile karşı karşıya kalmıştı. GDPR öncesi 1998 yılında çıkarılan Veri Koruma Kanunu gereğince bu rakam, izin verilen azami para cezası tutarıydı.
Güvenlik önlemleri uygulamanın maliyeti, alınabilecek para cihazından daha düşük
Geçen yılki sızıntı nedeniyle BA’nın ödemesi muhtemel olan para cihazının tutarı kesin değil: ICO, diğer Avrupa veri koruma kuruluşları ve British Airways tarafından yapılan başvuruları değerlendirecek. Yine de bu tutar gösterge niteliğindedir. Gereken güvenlik önlemlerinin uygulanması ve bu olayların önlenmesi, çok daha ucuza mal oluyor. Avrupalı kullanıcıların özellikle banka ödeme bilgileri gibi kişisel verilerini işliyorsanız, bir an önce hareket geçmenizi ve güvenilir güvenlik yöntemlerini uygulamada gecikmemenizi tavsiye ederiz.
İnternet sitelerini online bilgi kopyalama komutlarından korumaya özellikle dikkat edilmesini gerektiren e-ticaret ve online bankacılık hizmetlerinde önleyici güvenlik özellikle önem arz etmektedir. Kaspersky Dolandırıcılık Önleme platformumuz bünyesinde, bir kullanıcı oturumu sırasında internet sitesinde meydana gelen olayları analiz etmenize olanak veren Otomatik Dolandırıcılık Analizi adlı bir çözüm bulunmaktadır. Bu çözüm, kötü amaçlı komut dosyalarının yerleştirilmesi dahil olmak üzere çeşitli çevrimiçi tehditleri tespit edebilmektedir. Kurumsal internet sitemizin Dolandırıcılık Önleme bölümünde çözümle ilgili daha fazla bilgi bulabilirsiniz.