İngiliz Veri Koruma Otoritesi (ICO), müşteri ve çalışanlarının kişisel verilerinin korunması hususunda yeterli ve gerekli önlemleri almadığı gerekçesiyle, Avrupa’nın en büyük telekomünikasyon/telefon perakende şirketlerinden The Carphone Warehouse Limited (Carphone) hakkında 400.000 pound para cezası uygulamıştır. Söz konusu ceza bugüne kadarki en yüksek cezalardan biri olma özelliğini taşımaktadır.
Cezaya konu olan veri ihlali, Carphone tarafından kullanılan belirli bir bilgisayar sistemindeki güvenlik açığından kaynaklanan siber saldırı neticesinde çok sayıda çalışan ve müşterilere ait kişisel verinin ele geçirilmesi neticesinde meydana gelmiştir. 2015 yılı Temmuz – Ağustos tarihleri arasında gerçekleşen siber saldırıda hem kişisel verilerin yer aldığı veri tabanına erişilmiş hem de söz konusu veriler dışarıya aktarılmak üzere kopyalanmıştır.
Carphone tarafından ICO’ya bildirimde bulunulması üzerine ICO ve ICO’nun çalıştığı iki bağımsız şirket tarafından incelemeler gerçekleştirilmiş olup, siber saldırının sonucunda 3 milyondan fazla müşterinin ve yaklaşık 1000 çalışanın verilerine erişim sağlandığı tespit edilmiştir. Bu veriler arasında müşterilerin ad, soyad, doğum tarihi, medeni hali, adres, telefon ve e-posta adresi, 20 bine yakın banka kartının işlem detayları yer almıştır.
Güvenlik açığının sebepleri olarak da aşağıdaki hususlara dikkat çekilmiştir:
1. Saldırıya maruz kalan sistemin önemli bir parçasını oluşturan yazılımın güncel sürümlerinin mevcut olmasına rağmen eski sürümünün (2010) kullanılması,
2. Yazılım yamaları konusundaki politikanın yetersiz olması ve mevcut politikaya uyumluluk konusunda düzenli denetimlerin yapılmaması,
3. Sisteme girişin geçerli bir login kimlik bilgisi ile yapılması ve bu bilgilerin nasıl ele geçirildiğinin bilinmemesinin başka saldırıların da kolaylıkla gerçekleştirilebileceğini göstermesi,
4. Güvenlik zaafiyeti taraması ve sızma deneylerinin yetersiz olması, denetimlerin düzenli olarak gerçekleştirilmemesi ve saldırıdan önceki son 12 ayda herhangi bir denetimin yapılmamış olması,
5. Web uygulamalarının giriş-çıkış trafiğinin kontrol edilmesi için gerekli olan ve yüksek ihtimalle söz konusu saldırıyı engelleyebilecek nitelikteki güvenlik duvarının bulunmaması,
6. Sistemi oluşturan sunucularda en basit güvenlik önlemlerinden olan anti-virüs programlarının mevcut olmaması,
7. Carphone’un güvenlik sistemlerinin saldırıyı tespit hususunda yetersiz olması ve somut olayda saldırı gerçekleştikten 15 gün sonra saldırının tespit edilmesi,
8. Sistemi oluşturan sunucuların işletim sistemi parolalarının aynı tarzda olması ve bundan haberdar olan 30-40 personel tarafından kullanılması,
9. Saldırının gerçekleştiği sistemde çok sayıda kişisel verinin bulunması ve bu verilerin büyük bir çoğunluğunun herhangi bir işlevi olmadığı halde sistemde tutulması,
10. Carphone’un tarihi geçmiş ve gerekli olmayan söz konusu verilerin sisteminde olduğunun bilincinde olmamasının, IT sistemlerinin kişisel verilerin güvenliği için yeterli ve uygun bir anlayışta tasarlanmadığını göstermesi,
11. Geçmişe ait banka işlem detaylarının şifreli olmasına rağmen, şifreleme anahtarlarının uygulamanın kaynak kodundaki açık metinlerde (plain text) yer alması
Bu kapsamda, yukarıda sayılan sebeplerle Veri Koruma Kanunu’nda belirtilen veri güvenliği prensiplerine aykırılık sebebiyle para cezası verilmesine karar verilmiştir.
İhlal incelemesinin detaylı şekilde yapılması ve uyumluluk standartlarının dikkatle kontrol edilmesi, bunun yanında yüksek meblağlarda para cezası verilmesi, kişisel verilerin korunması hususunda ICO’nun katı bir tutum izlediğini göstermektedir. Bu anlamda, veri güvenliğine ilişkin standartların detaylı incelemesinin yapıldığı söz konusu karar, şirketlerin kendi iç denetimleri açısından yol gösterici nitelikte olması nedeniyle de önem taşımaktadır.