KVKK Sızma Testi Zorunlu Mu?

KVKK Sızma Testi
KVKK Sızma Testi
5
(1)

KVVK sızma testi diğer bir ifade ile KVKK penetrasyon testi “Kişisel Verilerin Korunması Kanunu” kapsamındaki kişisel verileri güvende tutmak amacı ile yapılan bir siber güvenlik uygulamasıdır.

Bilindiği üzere işletme, kuruluş ve kurumlar sağlamış oldukları dijital hizmetlerde ilgililerin kişisel verilerini güvende tutmak zorundadırlar. Bu nedenle bazı durumlarda KVKK sızma testi yapılması zorunlu kılınmıştır. Diğer penetrasyon testi ile KVKK sızma testi genel olarak aynı amaç ve tekniklerle yapılır. Bu konuda en önemli husus testin konusunda yetkin kişiler tarafından yapılmasıdır.

Sızma Testi Nedir?

Sızma testi ve penetrasyon testi bilişim sistemlerindeki güvenlik açıklıklarını tespit etmek amacı ile yapılan bir çeşit siber saldırıdır. Ancak kötü amaçlı siber saldırılardan farklı amaçlar ile yapılır. Daha çok kullanılan sistemin güvenlik açıklıklarının kötü niyetli kişiler tarafından nasıl kullanılabileceğini tespit etmek amacı ile yapılır.

Asıl amaç sisteme hacker gözü ile bakarak siber zafiyetleri tespit etmektedir. Son yıllarda siber güvenlik alanında en etkili uygulamalar arasında yer alır. Bu nedenle KVKK sızma testinde olduğu gibi zorunlu olduğu durumlar vardır. Bu konuda daha detaylı bilgi sahibi olmak için “Penetrasyon Testi Nedir?” aşlıklı yazımızı inceleyebilirsiniz.

Sızma Testinin Zorunlu Olduğu Haller

Daha önce de belirttiğimiz gibi siber güvenliğin sağlanmasında penetrasyon testleri önemli bir yere sahiptir. Bir çeşit siber saldırı simülasyonu olan bu testler bazı durumlarda yasa gereği zorunla hale getirilmiştir.

Bu zorunluluklarla siber güvenlik standartlarının yakalanması amaçlanmıştır. Sızma testinin zorunlu haller “yasal zorunluluklar” ve “sektörel zorunluluklar” olarak iki farklı başlık altında incelenir.

Sızma Testinde Yasal Zorunluluklar

Her ülkede kişisel veriler yasal düzenlemeler ile desteklenerek koruma altına alınmıştır. Ülkemizde de “Kişisel Verilerin Korunması Kanunu” bu konuda referans alınan bir yasal düzenlemedir.

KVKK Sızma Testi

Fiziksel veya dijital ortamlarda kişisel verilerin depolanması, gizliliği veya imha edilmesi gibi usul ve esaslar 6698 sayılı yasa ile belirlenmiştir.

Belirtilen usul ve esaslar aykırılık nedeniyle meydana gelebilecek ihlaller; TCK ile cezai yaptırıma bağlanmıştır. Ayrıca yine 6698 sayılı yasanın 189 ve devamı maddelerinde ihlalin nitelik ve derecesine göre ciddi idari cezalar düzenlenmiştir. Bu nedenle kişisel verilerin güvenliği yasa gereği korunma altına alınması sebebiyle KVKK sızma testi yapılmamasına bağlı olarak idari yönden para cezaları öngörülmüştür.

Genel Veri Koruma Yönetmeliği (GDPR)

Genellikle Avrupa Birliği ülkelerinde geçerlidir. Ancak son yıllarda evrensel boyuta ulaşan bir başka kişisel verilerin korunması uygulaması da GDPR’dir. Tıpkı ülkemizde olduğu gibi Avrupa Birliği ülkelerinde kişisel verilerin korunmasında; Genel Veri Koruma Yönetmeliğinde belirtilen usul ve esaslara uymak zorundadırlar. Ülkemizde KVKK sızma testi olarak bilinen uygulama Avrupa Birliği ülkelerinde ise GDPR sızma testi olarak uygulanmaktadır.

Sızma Testinin Zorunlu Olduğu Sektörler

Dünya genelinde olduğu gibi ülkemizdede bir takım sektörler bilgi güvenliği açısından daha fazla öneme sahiptir. Bu sektörlerde belirli aralıklarla sızma testi ve KVKK sızma testi yapılması zorunlu hale getirilmiştir. Sızma testlerinin zorunlu olduğu sektörler ve kurumlar aşağıdaki gibidir.

Kamu Kurumları

Kamu kurumlarına ait sistemler içermiş oldukları bilgiler nedeniyle kritik öneme sahiptir. Bu sistemlerin güvenliğinin sağlanması aynı zamanda ulusal güvenliğin sağlanması anlamına gelir. Diğer özel sektör ve kuruluşlarda öncülük yapması adın kamu kurumlarının kullanmış oldukları bilişim sistemlerine belirli aralıklarla penetrasyon testi ile beraber KVKK sızma testi uygulanır.

Finans Sektörü

Yüksek güvenlik veriler arasında kişi ve kurumlara ait finansal bilgiler de yer alır. Özellikle “Bankacılık Kanununa” tabi olarak faaliyet göstermekte olan kuruluşlarda zorunludur. Genel amaç mali kayıpların önüne geçmektir. Ayrıca müşterilerine ait kişisel verileri güvende tutmak zorundadırlar. Bunun için belirli standartlara uygun bir şekilde düzenli olarak KVKK sızma testi ve diğer penetrasyon testlerini yaptırmak zorundadırlar.

Sağlık Sektörü

Sağlık sektörlerinde de kişilere ait bir çok önemli veriler yer alır. Yine bu verilerinde güvende tutulması ilgili kuruma aittir. Sağlık kuruluşlarının kullanmış oldukları sistemlere konusunda uzman kişi kurumlarca düzenli olarak penetrasyon testi yapılması zorunludur. KVKK sızma testi de bu zorunluluklar arasında yer alır.

KVKK Sızma Testi Nedir?

Uygulama teknik ve amaçları dikkate alındığında genel olarak yapılan penetrasyon testlerinden bir farkı yoktur. Ancak daha çok kişisel verilerin güvenliğine yönelik bir penetrasyon testi olması nedeniyle daha çok KVKK sızma testi olarak adlandırılır.

Özel veya kamu sektörleri fark etmeksizin kurumlar işlemiş oldukları verilerin güvenliğinden 1. Derecede sorumludurlar. Bu verilerin kötü amaçlı kişilerin eline geçmesini önlemek zorundadırlar. Bu nedenle sızma testleri kritik öneme sahip kurum ve kuruluşlarda yasa gereği zorunlu hale getirilmiştir.

KVKK Sızma Testi Nasıl Yapılır?

Bu testlerin yapılmasında için ayrı bir teknik geliştirilmemiştir. Diğer sızma testlerinde kullanılan teknikler KVKK sızma testlerinde de kullanılır. Genel olarak aşağıdaki aşamalardan oluşur.

  1. Bilgi toplama
  2. Zafiyetlerin tespit edilmesi
  3. Saldırı Simülasyonu oluşturulması
  4. Raporları

Penetrasyon testi aşamaları konusunda daha detaylı bilgileri “Penetrasyon Testi Aşamaları” başlıklı yazımızdan ulaşabilirsiniz.

KVKK Sızma Testinin Önemi

Herhangi bir bilişim sistemine başarılı şekilde gerçekleştirilecek olan sızma işlemi nedeniyle çeşitli zararlarla karşılaşmamız olasıdır. Bunlardan en önemlisi “itibar ve güven kaybıdır” bunun dışında özellikle kişisel verilerin ihlal edilmesinde ihmali bulunan yetkililer hakkında kabahatler kanunu uyarınca idari para cezaları uygulanır. Her iki durumda ilgili kişi ve kurumlara maddi açıdan zararlara uğratabilecektir.

KVKK Sızma Testini Kimler Yapar?

Genel olarak siber güvenlik alanında gerekli eğitimleri almış kişi/firmalar penetrasyon testi yapmaya yetkili kişilerdir. Ancak sadece bu eğitimleri almak bu konuda yetkili olunduğu sonucunu doğurmaz. Ayrıca penetrasyon testi veya KVKK sızma testi yapacak kişi ve firmaların bu konuda gerekli sertifikalara sahip olmaları gerekir.

Herhangi bir sızma testi veya KVKK sızma testlerinin yapılmasından önce ilgili kişi ve firmaların aşağıda belirmiş olduğumuz sertifikalara sahip olup olmadıkları mutlaka sorgulanmalıdır.

  1. Offensive Security Certified Professional (OSCP)
  2. Certified Information Systems Security Professional (CISSP)
  3. Certified Ethical Hacker (CEH)

Bu yazıyı beğendin mi?

Oylamak için yıldıza dokunun!

Ortalama Puan 5 / 5. Oylama puanı: 1

Daha oylayan olmadı, ilk oylamak ister misin?

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Author Profile

hesap2

You may also like...

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir