4. Siber Güvenlik Ekosisteminin Geliştirilmesi Zirvesi Gerçekleştirildi

4. Siber Güvenlik Ekosisteminin Geliştirilmesi Zirvesi Gerçekleştirildi

Özel sektör, kamu kurum ve kuruluşları başta olmak üzere; toplumun bütün kesimlerini ilgilendiren ‘siber güvenlik’ konusuna odaklanan Siber Güvenlik Ekosisteminin Geliştirilmesi Zirvesi hibrit (fiziksel ve çevrimiçi katılım) olarak gerçekleştirildi.

Bu yıl dördüncüsü düzenlenen Siber Güvenlik Ekosisteminin Geliştirilmesi Zirvesi’nin ilk günkü oturumlarında; “İnsan Odaklı Siber Güvenlik Stratejileri”, “Yeni Normalde Siber Güvenlik Riskleri” ve “Yapay Zeka Destekli Siber Dayanıklılık” başlıkları ele alındı.

Zirvenin ikinci günü ise “Kuantum Sonrası Dijital Güvenlik”, “Sosyal Medya ve Dijital Oyunlar Siber Güvenlikte Bir Açık Mıdır?” şeklinde iki oturum olarak tamamlandı.

Oturumlara ek olarak Zirve Programı kapsamında “Bilgi Güvenliği Farkındalığı”, “Bulut Bilişim ve İşletim Sistemi Güvenliği” ile “Kişisel Verileri Koruma” konularında çevrimiçi eğitimler düzenlendi.

Zirvenin ikinci gününe davetli konuşmacı olarak katılan Kurum Başkanımız Prof. Dr. Sayın Faruk BİLİR yaptığı konuşmada, siber güvenliğin kişisel verilerin korunması ile olan ilişkisinden bahsederek kişisel verilerin korunmasının, 'dijital çağda insan kalabilme' idealine hizmet eden önemli araçlardan biri olduğunu ifade etti. “Dijital tekelleşmenin kişisel veri güvenliği üzerinde meydana getirdiği risk ve tehditlere karşı veri mahremiyetini savunmalıyız” diyen BİLİR, ülkemizin bu konuda önemli adımlar attığını belirtti.

Kurum Başkanımız Prof. Dr. Faruk BİLİR, konuşmasında şunları söyledi:

“İnsan hakları düşüncesinin merkezinde, insanın sadece insan olmasından ötürü değerli olduğu ve insan onurunun korunması fikri yer almaktadır. Kişisel verilerin korunması temel bir insan hakkıdır. Temelinde insan onurunun korunması vardır. Kişisel verilerin korunmasını isteme hakkı, ülkemizde Anayasal güvence altındadır. 

Bu bağlamda 2010 Anayasa değişikliği, ülkemizde kişisel verilerin korunması bakımından dönüm noktası olmuştur. 

Elbette bu değişikliğin öncesinde de ülkemizde kişisel veriler çeşitli mevzuatlar kapsamında koruma altındaydı. Fakat Anayasa değişikliği, kişisel verilerin korunması noktasında bireylere; bilgilendirilme, kişisel verilere erişim ve silme gibi doğrudan ve dolaylı olarak birtakım haklar getirmiştir. 

Yine Anayasa değişikliği ile eklenen ilgili hüküm gereği, kişisel veri işlemede uyulacak usul ve esasların Kanunla düzenleneceği öngörülmüştür. Bu açıdan bizzat kişisel verilerin korunması alanına özgü bir düzenlemenin önünü açılarak ülkemizde kişisel verilerin korunmasının temeli atılmıştır. Bunun bir sonucu olarak Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde yürürlüğe girmiştir.

Dijital ayak izlerimizin geleceğimizi şekillendirebildiği bir dünyada, kişisel verilerin korunmasını ''dijital çağda insan kalabilme'' idealine hizmet eden önemli araçlardan biri olarak görüyorum.

Bu çerçevede bizler, teknolojinin iyi ve güzel amaçlarla kullanılması, insan odaklı bir anlayışla kullanılması gerektiğine inanan insanlar olarak; dijital faşizmin, dijital sömürünün karşısında olmalıyız. Dijital tekelleşmenin kişisel veri güvenliği üzerinde meydana getirdiği risk ve tehditlere karşı veri mahremiyetini savunmalıyız diye düşünüyorum.”

BİLİR, sözlerine şöyle devam etti:

“İçinde bulunduğumuz çağda hem gerçek hem de siber ortamlarda kişisel verilerin korunmasını temin edebilmek için Kişisel Verilerin Korunması Kanununa uyum göstermek gerekmektedir.

Kanun, kişisel veri işlemeyi yasaklamamakta, hukuka uygun veri işlemeyi öngörmektedir.

Kanunun getirdiği denetim mekanizmaları, bireylere verileri üzerinde kontrol ve söz sahibi olma ve kişisel verilerinin akıbetini belirleme hakkını getirmiştir.  

Ülkemizde doğrudan kişisel verilerin korunmasına yönelik olarak ilk ve temel düzenleme olarak kabul edilen 6698 sayılı Kanun, 95/46 sayılı AB Veri Koruma Direktif'i mehaz alınarak hazırlanmıştır. Bundan dolayı amaç, kapsam ve diğer hükümleriyle birlikte değerlendirildiğinde 95/46 sayılı Direktif ile büyük ölçüde uyumluluk arz etmektedir. Bununla birlikte bizim Kanunumuzdan 2 yıl sonra yürürlüğe giren Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), Avrupa ülkeleri arasında bu alandaki çok başlılığı ve uygulama farklılığını gidermeyi amaçlamış, bireylere üst düzey bir koruma getirmiştir.

Kurumumuz, hem KVKK-GDPR uyumu hem de 108 sayılı Sözleşme’nin modernizasyonu gibi konularda çalışmalarına aralıksız devam etmektedir.”

Konuşmasında, veri güvenliğini temin etmenin hukuka uygun veri işlemenin adımlarından biri olduğunu kaydeden BİLİR, önemli açıklamalarda bulundu:

“Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini, erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla gerekli olan her türlü teknik ve idari tedbirleri almak durumundadır. Bu ifadeden yola çıkarak, teknik ve idari tedbirlerin alınması da esasında hukuka uygun veri işlemenin bir parçasıdır diyebiliriz.

Güvenliği sağlamanın bir diğer ayağı da veri ihlal bildirimidir. Veri ihlali gerçekleşmesi halinde Kurula ve ilgili kişilere bildirimde bulunmak, veri güvenliğine ilişkin yükümlülükler arasındadır. Dolayısıyla işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmelidir. Kurula ve ilgili kişilere bildirim yapılmasındaki amaç; ihlal nedeniyle ortaya çıkan veya çıkması muhtemel olan olumsuz sonuçların ivedilikle önüne geçilmesi veya bu olumsuz sonuçların etkilerinin minimum seviyeye indirilmesidir.

Veri sorumluları bu tür durumlara hazırlıklı olmak amacıyla bir ''veri müdahale planı'' hazırlamalıdır. Veri müdahale planı, siber saldırıların siber felaketlere dönüşmesini önleyici nitelikte bir tedbirdir. Bu sebeple veri müdahale planı belli aralıklara gözden geçirilmeli, gelişmeler ve yenilikler doğrultusunda güncellenmelidir.

Tabii meydana gelen her veri ihlali, veri sorumlusu tarafından gerekli tedbirlerin alınmadığı anlamına gelmez. 

Teknolojinin gelişmesiyle doğru orantılı olarak siber saldırılar da gün geçtikçe nitelikli hale gelmekte ve karmaşık bir yapıya bürünmektedir. Bundan dolayı her ihlal bildirimi kendi özel şartları içerisinde incelenmektedir.

Gerekli bütün önlemlerin alınmasına rağmen yine de bir veri ihlali ile karşılaşılmış ise; veri sorumlusu proaktif bir yaklaşım sergilemiş mi, Kurum tarafından yayınlanan Kişisel Veri Güvenliği Rehberi’nde belirlenen tedbirleri uygulamış mı, özel nitelikli kişisel veri işlemiş ise bunlar için gerekli olan ek tedbirleri uygulamış mı, kişisel verilerin gizliliği ve bütünlüğü için yeterli aksiyonları almış mı, elbette bunlar göz önünde bulundurulmaktadır.

Örneğin geçtiğimiz günlerde Kurulun yayımladığı bir Karar Özetinde; meydana gelen ihlalin veri sorumlusunun tedbir eksikliğinden kaynaklanmadığı ve gerekli teknik ve idari tedbirlerin alındığı belirtilmiş, söz konusu veri ihlal bildirimi ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verildiği ifade edilmiştir.

Veri sorumlusu gerçekleşen ihlalin öncesinde ve sonrasında gerekli olan yükümlülükleri yerine getirmişse, burada idari yaptırım uygulanmayabilir. Buna rağmen bir yaptırım uygulansaydı, o zaman teknik ve idari tedbirleri almanın ve diğer yükümlülükleri yerine getirmenin bir anlamı kalmazdı.”

Kişisel verileri aktarmanın da bir veri işleme faaliyeti olduğunu hatırlatan BİLİR, Kişisel Verileri Koruma Kurulunun yurt dışına kişisel veri aktarımı ile ilgili bugüne kadar yaptığı çalışmaları özetleyerek, Kurulun geçtiğimiz günlerde ilk defa bir taahhütnameyi onayladığını, gerekli şartlar yerine getirildiği takdirde taahhütnamelerin onaylanabileceğini dile getirdi. Bununla birlikte güvenli ülke ilanı veya taahhütnamelere onay vermenin, Kurulun görev alanı içerisinde olduğunu belirten BİLİR, bu konuda Kanunda belirli kriterler sayıldığını ve Kurulun karar verirken Kanunda düzenlenen hükümlere uygun şekilde hareket etmek durumunda olduğunu vurguladı. BİLİR, Kanunun veriden değer üretebilen teknolojilerden faydalanılmasını engellemediğinin, Kurulun Türkiye’de yerleşik firmaların yurt dışında rekabet gücünün artmasından yana olduğunun altını çizdi. 

BİLİR sözlerini şu şekilde tamamladı:

“Mahremiyet, kişinin özgürlüğünün bir parçasıdır. Algoritmalar, kişiye geleceğini belirlemede yardımcı olabilir. Ancak kişinin geleceği üzerinde asıl söz sahibi algoritmalar değil, kişinin kendisi olmalıdır. Dijital çağda öncelik, güvenliktir. Güvenliğin anahtarı ise farkındalıktır.”

BİLİR konuşmasını tamamlarken Zirvenin ülkemiz için hayırlı ve faydalı olması dileklerinde bulunarak Zirveyi düzenleyen Türkiye Bilişim Derneği'nin 50. yılını kutladı.

Öte yandan Zirvenin ‘‘Sosyal Medya ve Dijital Oyunlar Siber Güvenlikte Bir Açık Mıdır?’’ konulu son oturumunu ise Kişisel Verileri Koruma Kurumu 2. Başkanı Cabir BİLİRGEN yönetti.

Aynı oturumda, Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanı Ersin CAN, konuyla ilgili sunum yaptı.

4. Siber Güvenlik Ekosisteminin Geliştirilmesi Zirvesi, kapanış töreninin ardından sona erdi.