BTK kendi çalışanlarına Phishing yaptı

Yanıltıcı araçlar kullanarak kişilerin özel bilgilerini veya şifrelerini elde etme yöntemine phishing denir. Bu yöntem genellikle kötü niyetli kişiler tarafından kişilerin bankaların web sitelerine girmek için kullandıkları kullanıcı adı ve şifrelerini elde etmek için kullanılır.

Bilgi Teknolojileri ve İletişim Kurumu'nun (BTK) kendi çalışanlarının dikkatlerini ölçmek amacıyla phishing yöntemi kullandığı açıklandı. Açıklamayı BTK Başkanı Dr. Ömer Fatih Sayan, Kamu Bilişimcileri Derneği tarafından 6-7 Nisan tarihlerinde Ankara'da düzenlenen Kamu Siber Güvenlik Zirvesi'deki konuşmasında yaptı. Sayan phishing yönteminin tehlikelerine dikkat çektikten sonra, bir ay kadar önce kendisinin phishing yöntemi karşısında kurum çalışanlarının davranışının öğrenilmesi amacıyla tatbikat yapılmasını istediğini söyledi. Yapılan tatbikatta kurumdan mail gönderilmiş gibi sahte bir mail gönderilerek kurum sitesine girilmesinin istendiği aktardı. Bu durumu fark etmeyen çok az sayıda kişinin bilgi girişi yaptığını belirtti. Bu kadar az kişinin olmasından duyduğu memnuniyeti dile getirdi.

Şifreler kişilerin kişisel verisidir. Bir çok kişinin aynı şifreyi birden fazla sisteme girişte kullandığını düşünürsek şifrelerin kabul eden sistemlerde de şifrelenmiş haliyle saklanması ve hiç kimse tarafından okunamaması gerekir. Aksi takdirde bir kişinin elde edilen şifresi ile o kişinin kullandığı diğer web sitelerine giriş sağlanabilir. Ayrıca şifre tek başına da özel bir bilgi olabilir. Alışkanlık gereği unutmamak için şifreler önemli olan bilgilerden oluşur. Bu durumda şifrelerin elde edilmesi doğrudan kişisel verinin elde edilmesi olarak değerlendirilmelidir.

BTK'nın kendi çalışanları üzerinde yaptığı bu tatbikat için çalışanlarından izin alıp almadığı bilinmiyor. İzin alınmış olsa kişilerin dikkatli olacağını ve giriş yapmayacakları düşünüldüğünde izin alınmamış gibi görünüyor. Bu durumun hukuki bazı sorunları da beraberinde getireceği açıktır. Şirketler ve kurumlar çalışanları üzerinde kişisel verilerini riske atan tatbikatlar ya da çalışmalar yapamazlar. Kişisel Verilerin Korunması Kanunu veri sorumlularına kişisel verilerin güvenliği için sorumluluklar yüklemekte ve bu tür çalışmalara izin veren bir hüküm içermemektedir.

Şirket ve kurumların kendi çalışanlarının kişisel verilerini ortaya çıkartacak tatbikat ve benzeri tutum ve davranışları suç oluşturabilecek eylemlerdir. BTK gibi bir kurumun dahi çalışanların kişisel verilerinin korunmasına göstermesi gereken hassasiyetten uzak olması üzüntü vericidir.

Diğer Haberler

28 Şubat 2018

İstenmeyen Ekstre Gönderilmesine Kurul’dan 30.000 TL Ceza

Kişisel Verileri Koruma Kurulu, Türkiye’nin en büyük bankalarından birinin mahkemece istenmemesine rağmen müşterisine ait 6 aylık kredi kartı ekstresini mahkemeye göndermesine Kanun’un Md.12/1’in b bendine istinaden 30.000 TL idari para cezası verdi

2 Ekim 2017

Veri Sorumluları Sicili’ne Kayıt Ücretsiz Olacak

Kişisel Verileri Koruma Kurumu tarafından tutulacak Veri Sorumluları Sicili’ne kayıt ücretsiz olacak. Yıllık ödeme kaldırıldı.

2 Kasım 2017

KVKK Başkanı Bilir: “125 Bin Lira Ceza Kesildi”

Kişisel Verileri Koruma Kurumu’nun bütçe görüşmeleri TBMM Plan ve Bütçe Komisyonu’nda yapıldı. Bilir 2017’ye ilişkin bilgiler verdi.

2 Ekim 2017

Kanunda yapılması önerilen değişiklikler

TBMM’ye sunulan torba kanun tasarısı ile Kişisel Verilerin Korunması Kanunu’nun dört maddesinde de bazı değişiklikler öngörülmektedir.

12 Temmuz 2017

Kurum kitapçıklar yayınladı

Kişisel Verileri Koruma Kurumu, kişisel verilerin korunması konusunda farkındalık sağlamak ve kanunun uygulamasını anlatmak amacıyla kitapçıklar yayınladı.

5 Mayıs 2017

Veri Sorumuluları Sicili Hakkında Yönetmelik Taslağı Kamuoyuna Sunuldu

Kayıt olunması gereken Veri Sorumluları Sicili’ne (VERBİS) kayıdı düzenleyen Veri Sorumluları Sicili Hakkında Yönetmelik taslağı kamuoyu görüşüne sunuldu.

30 Nisan 2017

Bir Konferansın Ardından

Bilgi Üniversitesi’nce düzenlenen Kişisel Verileri Koruma Kurulu’nun da katıldığı konferans hakkında Av. Hasan Selçuk Turan’ın izlenimleri

26 Nisan 2017

Kişisel Verilerin Korunması Konferansı Yapıldı

Kişisel Verileri Koruma Kurulu’nun konunun paydaşları ile buluştuğu Kişisel Verilerin Korunması Konferansı Bilgi Üniversitesin’de gerçekleştirildi.

31 Ocak 2017

Kişisel Verileri Koruma Kurulu Başkanı Prof. Dr. Faruk Bilir seçildi

Kişisel Verileri Koruma Kurulu’nun yaptığı seçimde Kişisel Verileri Koruma Kurulu’nun ilk başkanı olarak Prof. Dr. Faruk Bilir seçildi.