Bankalara yapılan siber saldırılarla kişisel verilerin sızdırılması sadece dışarıdan yapılan saldırılarla gerçekleşmiyor. Bankalarda çalışanlar tarafından sızıntılar gerçekleşiyor ve kişisel verilerin paylaşımları yapılıyor. Bankaların kendi çalışanları tarafından sızdırılan veri sayısında oldukça artış bulunmakta. Kimlik, iletişim bilgileri, müşteri işlem ve finans verileri gibi önemli bilgiler üçüncü kişilere aktarılıyor. Böylece yüzlerce kişinin verileri satılıyor.
KİŞİSEL VERİLER, ÇALIŞANLAR TARAFINDAN SIZDIRILIYOR
Garanti BBVA'da bir şube çalışanının, yüzde 85'i şube müşterisi olmayan ve yüzde 90'ı farklı müşteri özelliklerinden 3 bin 277 farklı kişiye ait Kredi Kayıt Bürosu kaydını görüntülediği, bir diğer şubedeki çalışanın ise yüzde 70'i farklı şehirde ikamet eden müşterilerden 5 bin 79 kişiye ait bilgiyi sızdırdığı meydana çıktı.
Birçok bankada benzer durumlar gerçekleşiyor. Nisan ayında ise bir Yapı Kredi Bankası çalışanın, görevi nedeniyle tanımlanan Bankalar Birliği Risk Merkezi kayıtlarını yetkisini dışında kullanarak, sorgulamalar yaptığı ve bilgileri üçüncü kişilere aktardığı belirlendi.
Gerçekleştirilen bu ihlalden 2 bin 484 kişinin etkilendiği, TC kimlik numarası, ad, soyad, iletişim bilgileri, kredi risk ve teminat durumu, ödeme performans bilgileri, karşılıksız çek ve protestolu senet bilgilerinin sızdırıldığı ortaya çıktı. Mart 2021'de ise Fibabanka'da benzer bir şekilde personelin 13 bin 500 kişiye ait kimlik ve finans verilerinin dışarıya e-mail, telefon gibi yollarla aktardığı tespit edildi.
CEZALAR 100 BİN İLE 250 BİN DÜZEYİNDE
Bu gibi ihlal durumlarına sigortacılık ve teknoloji alanında birçok örnek var. Bu konuya ilişkin cezalar ise sadece 100 bin ile 250 bin TL düzeyinde seyrediyor.
DLP YAZILIMI ÖNERİLİYOR
Uzmanlar gerçekleştirilen bu veri ihlallerine karşı önlemleri, çalışanlarının kişisel verilerinin toplanmasını, işlenmesini ve paylaşılmasını gerektiren girişimlerine yönelik bir gizlilik yaklaşımı geliştirmekte buluyor. Ve verilerin kim tarafından kullanıldığını ve taşındığını izlemeyi sağlayanprofesyonel veri kaybı önleme yazılımı (DLP) olarak adlandırılan çözümü öneriliyor. DLP, şirketlerin hassas verilerinin, şirket içinde nasıl yer değiştirdiğini gözleyen ve kontrollü bir şekilde dışarı sızmalarını engelleyen bir teknoloji. Bu tür çözümler son dönemde KVKK ile birlikte zorunlu hale de geldi.
Kaspersky Türkiye Pazarlama Müdürü Ünsal Yurdakonar, veri sızıntılarında çalışanların sorumluluk üstlenmemesini ifade ederken ''Kontrol edilemez olduğu için insan faktörü kilit bir rol oynar. En ciddi olayların ikinci nedeni, bilgi güvenliği ve BT personelinin eylemlerini veya eylemsizliklerini de kapsayan etkisiz iş süreci yönetimine odaklanmadır.'' söyledi. Yurdakonar, şirkette açık bilgi güvenliği kuralları oluşturulması gerektiğini ve bunları çalışırken izlemek için önlemler alınmasının da zorunlu olduğunu da ifadelerine ekledi.