E-Posta Kaynaklı Veri İhlalleri ve Çözüm Önerileri

Giriş 

E-posta bilgi iletmenin hızlı ve verimli bir yoludur. Ancak e-posta gönderirken verilerin ifşa edilmesine neden olan hatalar Veri Koruma Otoritelerine bildirilen veri ihlali olaylarının başlıca nedenlerinden biridir. (Victoria Veri Koruma Komisyonu) 

.

Hem özel hem de kamu sektöründeki veri sorumluları her gün büyük hacimli e-posta yazışmaları almaktadırlar. E-posta değerli ve etkili bir iletişim aracı olsa da bir dizi yaygın veri ihlalinin kaynağı da olabilmektedir. (İrlanda Veri Koruma Komisyonu “DPC)

.

E-posta yoluyla gerçekleşen çoğu veri ihlali insan hatasının bir sonucu olma eğilimindedir. İstenmeden, içeriğe ilişkin bilgi sahibi olmayı sağlayacak email açıklamaları veri konusu kişilerin haklarını ihlal edebilmektedir. (İrlanda Veri Koruma Komisyonu “DPC”)

E-Posta Kaynaklı Veri İhlalleri ve Çözüm Önerileri

Aşağıda İrlanda Veri Koruma Komisyonu tarafından karşılaşılan yaygın hatalardan bazı örnekler verilmiştir:

• E-postanın insan hatası nedeniyle yanlış alıcıya gönderilmesi
• Mesaj servisinin girilen ilk karakterlere göre alıcıların e-posta adresini tahmin etmesi nedeniyle e-posta yanlış alıcıya gönderilmesi
• Bir e-postaya yanlış bir belge veya köprü eklenmesi
• Bir e-posta zincirini istenmeyen/yetkisiz bir alıcıya yönlendirme
• ‘Gizli’ alanı yerine ‘Kime’ veya ‘Bilgi’ alanları kullanılarak birden fazla alıcıya gönderilen e-posta

.

Öneriler 

• Bir e-posta göndermeden önce uygun alıcının seçildiğinden emin olunmalıdır. (İrlanda Veri Koruma Komisyonu)
• AutoResolve (Otomatik çözümleme  işlevi, ‘Kime’, ‘Bilgi’ ve ‘Gizli’ alanlarına yazdığınız harflere göre, daha önce e-posta gönderdiğiniz alıcılar listesinde arama yaparak alıcıları önerir)  bir alıcının e-posta adresinin tamamını değil sadece adını yazarak zaman kazandırabilirken, aynı zamanda bir e-postanın yanlış alıcıya gönderilmesine neden olabilir. 

E-Posta Kaynaklı Veri İhlalleri ve Çözüm Önerileri

Bu hataların oluşma olasılığını azaltmak için Otomatik çözümleme işlevini devre dışı bırakmak düşünülebilir. Otomatik çözümlemeyi devre dışı bırakmak bir seçenek değilse, e-posta alıcılarını iki kez kontrol etmek ve alıcının adını ve soyadını yazmak da seçeneklerden birisidir. (Victoria Veri Koruma Komisyonu)

E-Posta Kaynaklı Veri İhlalleri ve Çözüm Önerileri

• Bir e-posta göndermeden önce uygun eklerin seçildiğinden emin olunmalıdır. (İrlanda Veri Koruma Komisyonu)
• Gecikme işlevi aktive edilebilir: Outlook kullanılıyorsa ‘gönder’i tıkladıktan sonra Outlook’un e-posta göndermesini iki ila beş dakika arasında geciktiren bir kural oluşturmayı düşünülebilir. Bu, ‘gönder’e tıkladıktan sonra bir hata fark edildiği takdirde Giden Kutusuna gitmeye ve e-postayı değiştirmeye veya silmeye olanak tanır. (Victoria Veri Koruma Komisyonu)
• ‘E-posta dizileri’ olarak da bilinen birden fazla konuşma içeren e-postaları yönlendirirken dikkatli olunmalıdır. Tüm e-posta ileti dizisini ilettiğiniz bir alıcıya gereğinden fazla bilginin ifşa edilmesi riski vardır. Bir e-posta dizisi çok uzunsa veya gönderenin bilmesi gerekmeyen bilgiler içeriyorsa yeni bir e-posta taslağı hazırlamak gibi alternatifleri değerlendirilmelidir. (Victoria Veri Koruma Komisyonu)
• Posta ipuçları: Outlook kullanıyorsa, kullanışlı bir işlev de Posta İpuçları’dır. Posta İpuçları, bir e-posta oluşturulurken Outlook olası bir hata algılarsa görünen “uyarı” olarak da bilinen bilgilendirici mesajlardır. Uyarı göründüğünde olası hatanın ne olduğunu söyler ve e-postayı göndermeden önce düzeltilmesi için bir fırsat sunar.

.

Posta İpuçlarında ayarlanabilecek bazı uyarılar aşağıdaki gibidir:

• kuruluş dışındaki harici alıcıya bir e-posta gönderiliyorsa bunun harici bir alıcı olduğuna dair bir uyarı
• bir e-posta ek içeriyorsa, doğru ekin eklendiğini kontrol etmek için bir uyarı
• ‘Kime/To’ veya ‘Cc’ alanına dahil olan birden fazla harici alıcıya e-posta gönderiliyorsa bunun yerine ‘Bcc’ alanını kullanılmasını hatırlatan bir istem. (Victoria Veri Koruma Komisyonu)

.

Kör Karbon Kopya (BCC) kullanmak ne zaman uygundur?

• Bcc – Alıcı listesinde bulunan diğer kişilerin e-posta adreslerini açıklamadan birden fazla alıcıya e-posta göndermeyi sağlar.
• Cc – E-postayı alan herkesin diğer tüm alıcıların e-posta adreslerini görmesini sağlar.

.

Bir veri sorumlusuysanız ve tüm alıcıların e-posta adreslerini gizli tutarak birden fazla alıcıya bir e-posta göndermeniz gerekiyorsa, ‘Bcc’ alanı kullanılmalıdır.

E-Posta Kaynaklı Veri İhlalleri ve Çözüm Önerileri

Yukarıdakilere ek olarak, ‘Bcc’ işlevi kullanılsaydı maruz kalınmayacak birtakım riskler vardır. Örneğin, ‘Kime/To’ kısmının veya ‘Cc’nin kullanılması, alıcıların kendileri tarafından muhtemelen hassas, kişisel bilgileri ifşa etmek için daha fazla risk oluşturan ‘Tümünü Yanıtla’ yaparak e-posta göndermelerine olanak tanıyacaktır.

.

Eğer yanlış veya yetkisiz bir alıcıya e-posta gönderilmiş ise veri sorumlusunun bundan etkilenen veri sahiplerinden özür dileyerek, yetkisiz alıcılara e-postanın silmeleri gerektiğini ve kendilerine tanımlanan e-posta adreslerini daha fazla kullanmak için hakları olmadığını bildiren bir takip e-postasını Bcc yapması gerekmektedir. (İrlanda Veri Koruma Komisyonu)

.

Veri sorumlusunun, bu tür durumların bir sonucu olarak bir veri sahibi için önem derecesi ne olursa olsun (Düşük, Orta, Yüksek, Şiddetli) bir risk olacağını belirlediği takdirde, DPC’nin çevrimiçi ihlal bildirimi web formunu kullanarak Madde 33(1) hükümleri uyarınca DPC’ya bildirimde bulunması gerekmektedir. Daha fazla bilgi için GDPR Kapsamında Kişisel Veri İhlal Bildirimlerine İlişkin Pratik Kılavuz’una bakılabilir. (İrlanda Veri Koruma Komisyonu)

.

KVKK Kapsamında E-Posta’dan Kaynaklı Veri İhlalleri

.

Kişisel verilerin hukuka aykırı olarak açıklanması ya da paylaşılması gibi konular başlıca kişisel veri güvenliği ihlallerindendir. Bu ihlaller, kullanıcıların dikkatsizlik, dalgınlık veya tecrübesizlik gibi zayıf yönlerinin kullanılması suretiyle kötü amaçlı yazılım içeren elektronik posta ekinin açılması veya elektronik postanın yanlış alıcıya gönderilerek kişisel verilerin üçüncü kişilerin erişimine açılması şeklinde de ortaya çıkabilmektedir. (Kişisel Veri Güvenliği Rehberi: Teknik Ve İdari Tedbirler)

..

Kişisel veri güvenliği ihlalleri sıklıkla kişisel veri içeren cihazların (dizüstü bilgisayar, cep telefonu, flash disk vb.) çalınması ve kaybolması gibi nedenlerle ortaya çıksa da elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmesi gerekmektedir. (Kişisel Veri Güvenliği Rehberi: Teknik Ve İdari Tedbirler)

E-Posta Kaynaklı Veri İhlalleri ve Çözüm Önerileri

Öneriler 

Bu nedenle;

• Çalışanların kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları
• Çalışanlara yönelik farkındalık çalışmaları yapılması
• Güvenlik risklerinin belirlenebildiği bir ortam oluşturulması
• Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve
• Çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır
• Çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik anlaşmalarını imzalamaları istenebilir. 
• Çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci de mutlaka olmalıdır.

kişisel veri güvenliğinin sağlanması bakımından çok önemlidir. (Kişisel Veri Güvenliği Rehberi: Teknik Ve İdari Tedbirler)

.

.“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararında e-posta yoluyla aktarılacak özel nitelikli kişisel verilerin şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması gerektiği belirtilmiştir.

E-posta Güvenlik İhlali Raporları

E-Posta Kaynaklı Veri İhlalleri ve Çözüm Önerileri

E-posta güvenliği herhangi bir BT departmanının ana endişe konularından biridir. Güvenlik ihlalleri genellikle hassas verilerin kaybolmasına, operasyonların kapalı kalmasına ve gelir kaybına yol açmaktadır. (kaynak)

E-Posta Kaynaklı Veri İhlalleri ve Çözüm Önerileri

Hornetsecurity, 2021 yılında 420’den fazla işletmeyle e-posta güvenlik anketi gerçekleştirmiştir. Hornetsecurity bunların %23’ünün veya 4’te 1’inin e-postayla ilgili bir güvenlik ihlali bildirdiğini tespit etmiştir. Bu güvenlik ihlallerinin ise %36’sı, herhangi bir güvenlik sisteminin tartışmasız en zayıf noktasını hedefleyen oltalama saldırılarından kaynaklandığını tespit etmiştir.

Posta Kaynaklı Veri İhlalleri ve Çözüm Önerileri

Bildirilen tüm e-posta güvenlik ihlallerinin %62’sinin , kullanıcılar tarafından tehlikeye atılan parolalar ve başarılı oltalama saldırıları nedeniyle meydana gelmiştir.

.

Resim1 Hornetsecurity 2021 yılı anketi

E-Posta Kaynaklı Veri İhlalleri ve Çözüm Önerileri

ProtonVPN’nin yaptığı ankette  ortalama bir ABD vatandaşının çevrimiçi verilerini güvence altına almak için neler yaptığına ilişkin 16 yaşın üzerinde rastgele seçilen 1.000 kişiye çevrimiçi alışkanlıkları hakkında sorular sorulmuştur. 

Ankette öne çıkan bulgular şöyledir;

• Yahoo ve Outlook gibi bazı e-posta sağlayıcıları büyük veri ihlallerine maruz kalmıştır.
• Gmail gibi diğer e-posta sağlayıcılarının iyi bir güvenlik kaydı vardır ancak e-postaları tarar, satın alma alışkanlıklarını takip eder ve mesajlara erişimi üçüncü taraflarla paylaşır. 
• Ve ne yazık ki, Apple’ın e-posta hizmeti de dahil olmak üzere popüler sağlayıcıların hiçbiri uçtan uca şifreleme veya sıfır erişimli şifreleme sunmamaktadır.
• Anket, gizliliğe yönelik risklere rağmen insanların %72’sinden fazlasının genel WiFi ağlarını kullandığını ortaya koymuştur. (Bu WiFi ağları genellikle, izlemeleri gözlemler ve bu verileri reklam verenlere satabilmeleri için e-postaya bağlantı vermelerine olanak tanıyan hüküm ve koşulları kabul etmenizi sağlar)
• Anketin bir parçası olarak katılımcılardan e-posta adreslerini haveibeenpwnd.com (e-posta adresinin çevrimiçi bir ihlalde açığa çıkıp çıkmadığını kontrol eder)  adlı bir web sitesine girmelerini istenmiş, katılanların %25,8’inin verilerini en az bir kez çevrimiçi bir ihlalde açığa çıkardığı gözlemlenmiştir.

Katılımcılardan en çok maruz kaldıkları bilgi türünü belirtmeleri istenmiş, üç tür veri öne çıkmıştır;

1. E-posta Adresleri (%57,19)
2. Şifreler (%38,36)
3. Kullanıcı adları (%33.22)

.

İnsanlar bir şirketin veya web sitesinin çevrimiçi verilerini güvende tutmak için mümkün olduğunca fazla güvenliğe sahip olduğuna güvenmektedirler Ancak bu her zaman böyle değildir ve yüksek güvenlik düzeyine sahip şirketler bile büyük veri ihlallerine maruz kalmıştır. Bunu önlemek için çeşitli tedbirler alınabilir. Örneğin, hesapların olabildiğince güvenli olmasını sağlamak için iki faktörlü kimlik doğrulama (2FA) kullanılabilir veya oturum açmak için ek adımlar sağlanabilir. (ProtonVPN Anketi)

E-Posta Kaynaklı Veri İhlalleri ve Çözüm Önerileri

Sonuç 

E-Posta Kaynaklı Veri İhlalleri ve Çözüm Önerileri

E-posta bilgi iletmenin hızlı ve verimli bir yolu olsa da e-posta gönderirken verilerin ifşa edilmesine neden olan bazı hatalar veri ihlal olaylarının başlıca nedenlerinden biridir. Veri ihlallerini önlemeye yönelik kişilerin/kurumların alabileceği birtakım önlemler bulunmaktadır. Bu önlemlere başvurulması veri ihlallerini tamamen çözmese de en aza indirdiği açıktır. Bu sebeple kapsamlı şirketlerin veyahut bireylerin üçüncü parti önlemleri veya kişisel önlemlerini almaları gerekmektedir. Bu anlamda veri ihlallerinin büyük çapta önlenebileceği söylenebilir.

.https://www.eralp.av.tr/veri-sorumlusu-veri-isleyen-ve-ulusal-uluslararasi-hukukta-kisisel-veri-isleme-sozlesmeleri/

Daha fazla okuma için;

https://www.eralp.av.tr/irlanda-veri-koruma-otoritesi-vaka-ozetleri-2/