Veri ihlali nedir ve nasıl gerçekleşir?

Veri ihlali nedir?

Veri ihlali, kullanıcıların kişisel bilgilerinin onlara erişimi olmaması gereken bir kişi tarafından ele geçirilmesi, ifşa edilmesi veya çalınmasıyla ortaya çıkan bir güvenlik olayıdır. Bu bilgiler, e-posta adresiniz ve oturum açma kimlik bilgileriniz gibi kişisel veya finansal raporlar gibi kurumsal veriler olabilir. Veri ihlali, ayrıca veri sızıntısı, veri kaçağı, veri hırsızlığı veya bilgi ifşası olarak da bilinir.

Siber suçlular, kullanıcı adları ve parolalardan banka hesap numaralarına, sağlık bilgilerinden biyometrik verilere kadar her şeyi içerebilen bu çalıntı verileri satarak para kazanır. İşletmelerden çalınan ve satılan veriler, müşteri bilgileri veya ticari sırlar olabilir. Tüm bunlar, gerçek ve tüzel kişileri mali kayıplara, kimlik hırsızlığına, para cezalarına ve itibar kaybına karşı savunmasız bırakır.

“Veri ihlali” terimi, genellikle “siber saldırı” ile karıştırılır. Ancak tüm siber saldırılar veri ihlali değildir. Yalnızca birinin izinsiz olarak gizli kalması gereken verilere eriştiği güvenlik ihlalleri veri ihlali olarak nitelendirilir.

Örneğin, bir siteyi çevrimdışı hale getiren dağıtılmış hizmet reddi (distributed denial of service - DDoS) saldırısı, hizmete erişimde kesintiye neden olur ve bir siber saldırıdır, ancak veri ihlali değildir. Bilgileri şifreleyip fidye talep eden bir fidye yazılımı saldırısı ise veri ihlalidir. Şifrelenmemiş hassas kişisel veriler içeren bir dizüstü bilgisayarı veya USB sürücüsünü çalmak da, hırsız bir bilgisayar korsanı olmasa bile veri ihlali sayılır.

Veri ihlallerinin maliyeti

IBM'in 2024 Veri İhlali Maliyet Raporuna (Cost of a Data Breach Report 2024) göre, küresel olarak bir veri ihlalinin ortalama maliyeti 4,88 milyon dolardır. İhlaller her büyüklükteki işletmeyi etkiler ve gerçek maliyet, kaç veri kaydının açığa çıktığına ve şirketin ne kadar hızlı tepki verdiğine bağlı olarak değişir.

Bazı bölgeler diğerlerinden daha fazla etkilenmektedir. Örneğin, ABD'de tipik bir ihlalin maliyeti 9,36 milyon dolardır ve bu, Hindistan'daki benzer bir olayın maliyetinin (2,35 milyon dolar) neredeyse dört katıdır. Veriler ne kadar hassas veya düzenlemelere tabi ise, risk o kadar yüksek ve fatura da o kadar büyük olur.

Sağlık verilerindeki ihlaller, olay başına ortalama 9,77 milyon dolarlık maliyetle en pahalıya mal olan veri ihlali türü olmaya devam etmektedir. Finans, sigorta ve kamu sektörü kuruluşları da hemen ardından gelir. Bu alanlarda, yasal cezalar ve düzenleyici kurumların uyguladığı para cezaları, veri ihlalinin neden olduğu zararı kolaylıkla ikiye katlayabilir.

Peki, maliyet neden bu kadar yüksek olur? Diğer bir deyişle, tüm bu para nereye gider? Büyük bir kısmı, veri kaybıyla ilgili davalar, kimlik koruma hizmetleri ve müşteri desteğini karşılamak için harcanmaktadır. Geri kalanı ise adli incelemelere, sistem onarımları gibi teknik çalışmalara ve hem düzenleyici kurumlara hem de etkilenen kişilere bildirimde bulunmaya harcanır.

Önemli veri ihlalleri

Aşağıda listelediğimiz yüksek profilli olaylar, milyonlarca insanı riske atmış ve şirketlerin istemedikleri bir nedenle gündeme taşınmasına neden olmuştur:

• MOVEit (2023). Bilgisayar korsanları, hükümetler ve şirketler tarafından dünya çapında kullanılan bu dosya aktarım yazılımındaki bir güvenlik açığını istismar etti. Cl0p fidye yazılımı çetesi bu açığı kullanarak 2.000'den fazla kuruluşa saldırdı ve 60 milyondan fazla kişinin verilerini ifşa etti.
• Latitude Financial (2023). Bu Avustralyalı kredi kuruluşunda meydana gelen bir ihlal, sürücü belgeleri, pasaport numaraları ve finansal bilgiler dahil olmak üzere 14 milyon kaydın açığa çıkmasına neden oldu.
• Optus (2022). Avustralya'nın en büyük telekom şirketlerinden biri olan Optus, 10 milyon müşterinin kişisel verilerini sızdırdı ve bu durum, ulusal veri güvenliği düzenlemelerinde yeni reformlara yol açtı.
• T-Mobile (2023 ve öncesi). Yaşanan birkaç olaydan sadece birinde, API'nin kötüye kullanılmasıyla 37 milyon müşteri hesabı ifşa edildi. T-Mobile, 2018'den bu yana pek çok ihlale maruz kaldı.
• Equifax (2017). Tarihin en büyük veri ihlallerinden biriydi, bilgisayar korsanları sosyal güvenlik, kredi kartı ve ehliyet numaraları dahil olmak üzere 143 milyon Amerikalının kişisel verilerine erişti.

PRO İPUCU: Bu ihlallerin nasıl gerçekleştiğini ve suçluların çalınan verilerden nasıl kâr elde ettiğini merak ediyorsanız, NordVPN'in dark web vaka çalışmasına göz atabilirsiniz. Bu çalışma, banka kartı bilgileri, cep telefonu numaraları, çevrimiçi hesap bilgileri, kişisel belgeler ve e-posta adresleri dahil olmak üzere dark web pazarlarında satılan hassas verilerin fiyatlarını da içeriyor.

Veriler neden ihlal edilir?

Kişisel bilgiler, oturum açma bilgileri, mali kayıtlar ve ticari sırlar gibi verilerin hepsi satılabilir, sızdırılabilir veya baskı aracı olarak kullanılabilir. Diğer bir deyişle, veriler değerlidir. Ve çalınmaya değer bir şey varsa, mutlaka onu ele geçirmek isteyen birileri de vardır.

Bildirilen veri ihlallerinin çoğu, yüksek teknolojinin kullanıldığı saldırılar değildir. Çoğu zaman çok daha sıradan bir şeyden, yani insan hatasından kaynaklanır. Verilerin ihlal edilmesinin başlıca nedenleri, hatalı yapılandırılmış sunucular, zayıf parolalar veya yanlış bağlantıya tıklamaktır.

Veri ihlalleri nasıl gerçekleşir?

Öncelikle, sıkça sorulan bir soruyu hızlıca cevaplayalım: Siber saldırı nedir? Siber saldırı, bir sisteme izinsiz girmeye, sistemi bozmaya veya sistemden bilgi çalmaya yönelik kasıtlı bir girişimdir. Veri ihlalleri de genellikle başarılı siber saldırıların sonucudur, ancak insan hataları ve zayıf güvenlik protokolleri de veri ihlallerine en az siber saldırılar kadar neden olur. En yaygın ihlal yöntemlerinden bazıları şunlardır:

Kötü amaçlı yazılım

• Fidye yazılımı (ransomware). Bu kötü amaçlı yazılım, bir şirketin dosyalarını kilitler ve kilidi açmak için ödeme talep eder. İşletmelerin tüm faaliyetlerini durdurduğu için, maliyeti fidye bedelinden çok daha yüksek olabilir.
• Casus yazılımlar ve tuş kaydediciler. Bunlar kullanıcının faaliyetlerini gizlice takip eder, tuş vuruşlarını kaydeder ve oturum açma bilgilerini fark ettirmeden çalar.
• Truva atları ve solucanlar. Kendilerini meşru bir yazılım gibi göstererek zararlı içeriklerini iletmek üzere ağlara yayılır veya arka kapılar (backdoor) kurarak diğer saldırganlara erişim sağlarlar.
• Kötü amaçlı indirmeler. Sahte bir yazılım güncellemesine veya güvenliği ihlal edilmiş bir bağlantıya tıklamak, kötü amaçlı bir dosyanın sisteme anında yüklenmesine neden olabilir.

Oltalama (Phishing)

• Aldatıcı mesajlar. Siber suçlular; bankalar, iş arkadaşlarınız veya kullandığınız hizmetler gibi davranır. Sosyal mühendislik teknikleri kullanarak, düşünmeden tıklamanızı sağlayacak şekilde tasarlanmış e-postalar, metin mesajları veya DM'ler gönderirler.
• Sahte web siteleri ve formlar. Bu siteler gerçek olanlarla tamamen aynı görünür, ancak oturum açtığınız anda kimlik bilgilerinizi ele geçirmek için oluşturulmuştur.

İnsan hatası

• Yanlış yapılandırmalar. Birisi bir veri tabanını parolayla korumayı unutur veya bir bulut klasörünü tamamen açık bırakır. Bu durum sandığınızdan daha sık gerçekleşir ve veri ihlallerinin en önemli nedenlerinden biridir.
• Hata sonucu ifşalar. Bu hatalar, hassas verilerin yanlış kişiye gönderilmesi, dosyaların yanlış konuma yüklenmesi veya güvenli olmayan iletişim kanallarının kullanılması gibi durumları içerebilir.
• Oltalama tıklamaları. Baskı altındaki çalışanlar, düşünmeden şüpheli bağlantılara tıklayabilir. Bu sadece dikkatsizlikten dolayı gerçekleşmez, siber suçlular insanları hazırlıksız yakalayacak türden mesajlar tasarlar.

Zayıf parolalar

• Yeniden kullanılan veya tahmin edilebilir kimlik bilgileri. Her yerde aynı parolayı veya “qwerty” gibi tahmin edilmesi kolay bir parola kullanmak, saldırganların bir sisteme girmesini inanılmaz derecede kolaylaştırır.
• Güvenli olmayan depolama. Parolaları şifrelemeden bir not uygulamasına, elektronik tabloya veya tarayıcıya kaydetmek, açığa çıkmalarına neden olur.

İçeriden kaynaklanan tehditler

• Kötü niyetli çalışanlar. Çalışanlar veya yükleniciler; kâr, intikam veya baskı amacıyla erişim haklarını kötüye kullanarak verileri suistimal edebilir. Bu tehdit, elektronik sağlık kayıtlarına (electronic health records - EHR) erişimin hassas tıbbi verilerin satılması veya dolandırıcılık yapılması ile sonuçlanabileceği sağlık gibi sektörlerde özellikle tehlikelidir.
• Ayrıcalığın kötüye kullanımı. Aşırı ayrıcalıklı (çok yüksek yetkili) kullanıcılar, kasıtlı veya kazara, erişmemeleri gereken verilere erişebilir.

Teknik hatalar

• Yama uygulanmamış yazılımlar. Güvenlik güncellemelerinin yüklenmemesi, bilinen güvenlik açıklarının istismar edilmesine neden olur.
• Zayıf altyapı. Güncelliğini yitirmiş güvenlik duvarları (firewall), eksik şifreleme, kötü yapılandırılmış API'ler veya saldırı tespit sistemlerinin eksikliği, sistemlerin ihlal edilmesini kolaylaştırır.

Veri ihlalleri nasıl önlenir

Dürüst olmak gerekirse, veri ihlallerinin tümünü engellemek mümkün değildir. Ancak aşağıdaki ipuçlarını takip ederek, birinin verilerinize izinsiz erişmesini çok daha zor hale getirebilirsiniz:

Belgeleri imha edin

Mektupları, faturaları, belgeleri veya kimliğinizle ilgili bilgiler içeren diğer her şeyi imha etme alışkanlığı edinin. Kimlik hırsızları basit belgelerle bile ciddi hasara yol açabilir.

Güvenli web sitelerini kullanın

Çevrimiçi olarak herhangi bir kişisel bilginizi girmeden önce URL'yi kontrol edin ve “https” ile başladığından emin olun. Sondaki “s”, bağlantınızın şifrelendiği anlamına gelir. Bunu göremiyorsanız, o siteden uzak durun.

Güçlü parolalar oluşturun

Parolalarınızda evcil hayvan isimlerini ve doğum tarihlerini kullanmayın. Büyük ve küçük harfleri, sayıları ve sembolleri karıştırarak kullanın. İyi bir parola yöneticisi, bunu sizin yerinize halleder ve tüm parolalarınızı güvende tutar.

Her hesabınız için farklı bir parola kullanın

Her hesapta aynı parolaları kullanmak, saldırganların işini çok kolaylaştırır çünkü bir hesabı ele geçirdiklerinde diğer tüm hesaplara da erişebilirler. Hesaplarınızı korumak için her birinde güçlü ve benzersiz parolalar kullanın. Parolalarınızın şifrelenerek güvenli bir şekilde saklandığından da emin olun. Ayrıca, mümkün olduğu sürece çok faktörlü kimlik doğrulamayı veya iki faktörlü kimlik doğrulamayı etkinleştirerek, parolanın ötesinde ekstra bir güvenlik katmanı ekleyin.

Bilgisayarınızı ve mobil cihazlarınızı güncelleyin

Yamalar, güvenlik açıklarını giderir. Mümkün olduğu sürece güncellemeleri otomatik olarak yapılacak şekilde ayarlayın; özellikle de işletim sistemleri, web tarayıcıları ve antivirüs programları için.

Herkese açık USB şarj istasyonlarından uzak durun

Herkese açık sıradan bir USB şarj istasyonunun kötü amaçlı yazılım taşıyabileceğini biliyor muydunuz? Artık biliyorsunuz. Kötü amaçlı yazılım yaymak ve veri çalmak için herkese açık USB şarj istasyonlarını kullanmaya “juice jacking” (şarj korsanlığı) denir. Bundan kaçınmak için, havaalanlarında gördüğünüz herkese açık USB şarj istasyonlarından uzak durun veya cihazınızı bu istasyona bağlamak ve kötü amaçlı kodlardan korumak için tasarlanmış bir USB veri engelleyici edinin.

Ekstrelerinize göz atmayı ihmal etmeyin

Dolandırıcılık için uyarı gelmesini beklemeyin. Ekstrelerinizi düzenli olarak kontrol edin ve küçük harcamalara bile dikkat edin. Bilgisayar korsanları genellikle büyük harcamalar yapmadan önce çalıntı kartları küçük alışverişlerle test eder. 1 liralık harcamaları erkenden fark etmek, binlerce liralık zarardan korunmanızı sağlayabilir.

Kredi skorunuzu düzenli olarak kontrol edin

Kredi skorunuz, adınıza herhangi bir hesap açılıp açılmadığını veya kredi kullanılıp kullanılmadığını gösterir. Şu anda şüpheli bir faaliyet görmeseniz bile skorunuzu düzenli olarak kontrol edin. Kimlik hırsızlığını hızlı bir şekilde fark ederseniz, onu durdurmak daha kolay olacaktır. 

Veri biriktirmekten kaçının

Ne kadar çok veriniz varsa, o kadar çok veri kaybedebilirsiniz. Büyük miktarda dijital varlık biriktirmekten kaçının, verilerinizi düzenli olarak denetleyin ve güvenli bir şekilde saklandıklarından emin olun. Veri biriktirme, veri sızıntılarının etkisinin daha da artmasına neden olabilir

Veri ihlaline maruz kalırsam ne yapmalıyım?

Veri ihlallerinin tümünü önleyemezsiniz. Başınıza böyle bir durum gelirse, kontrolü yeniden ele geçirmek için şu adımları izleyin:

1. Adım: İhlali doğrulayın

Şirketlerden gelen ve bir ihlal meydana geldiğini bildiren e-postalara tıklamayın. Dolandırıcılar kişisel bilgilerinizi çalmak için bu tür e-postalar gönderebilir. Bunun yerine, şirketi doğrudan arayın veya şirketin resmî web sitesinde ihlalle ilgili bir duyuru yayınlamasını bekleyin.

Bildirim e-postalarından bahsetmişken, bir işletmeyseniz, veri gizliliği yasası uyarınca etkilenen kişileri ve düzenleyici kurumları bilgilendirmek zorundasınız. Örneğin, AB'nin Genel Veri Koruma Yönetmeliği (General Data Protection Regulation - GDPR) uyarınca, kişisel veri ihlallerini keşfedildikten sonra 72 saat içinde bildirmelisiniz. ABD'deki 50 eyaletin hepsinin kendi veri ihlali bildirim yasaları vardır ve hızlı hareket etmemek para cezalarına, davalara ve kalıcı hasara yol açabilir.

Türkiye’de de veri ihlalleri 72 saat içinde veri sorumlusu tarafından Kişisel Verileri Koruma Kurulu'na (KVKK) ve ilgili kişilere bildirilmelidir, aksi takdirde idari para cezaları uygulanır.

2. Adım: İhlalin türünü belirleyin

Hassas bilgileriniz açığa çıktıysa, hangilerinin ifşa olduğuna bağlı olarak uygulayabileceğiniz bazı hızlı çözümler kontrolü yeniden ele geçirmenize yardımcı olabilir.

Kimlik numaranız ele geçirilmişse

e-Devlet üzerinden T.C. kimlik numaranızı kısıtlayarak adınıza şirket kurulmasını veya bir şirkete ortak olarak kaydedilmenizi engelleyin. Hesabınız olmasa bile tüm bankalara durumu bildirin ve size en yakın savcılığa suç duyurusunda bulunun.

Parolanız açığa çıkmışsa

Parolanız ile güvenlik sorularınızı derhal değiştirin ve güçlendirin. Yedi karakterden uzun, anlamsız bir parola seçin ve onu unutmamak için bir parola yöneticisi kullanın.

Hesabınızın bulunduğu bir şirketin verileri ihlal edilmişse

Kullanıcı adınız ile parolanızı derhal değiştirin ve aynı bilgileri başka bir yerde kullanmadığınızı iki kez kontrol edin. Bankacılık, sağlık hizmetleri veya okul kayıtları gibi kritik hizmetler için ayrı bir e-posta adresi ve farklı parolalar kullanın. Tek bir giriş bilgisinin ele geçirilmesi, sahip olduğunuz diğer tüm hesapları tehlikeye atmamalıdır.

3. Adım: Sunulan korumayı kabul edin

Bilgilerinizin açığa çıkmasına neden olan şirket ücretsiz kredi skoru takibi veya kimlik hırsızlığı koruması teklif etmişse, bunu kabul edin. Bu hizmetler, şüpheli faaliyetleri sizden önce tespit edebilir ve verileriniz bu hizmetin gözetimindeyken ele geçirilmişse, masrafları şirketin karşılaması gerekir.