Kişisel Verileri Koruma Kurulu 24 Ocak’ta aldığı karar ile siber saldırıya uğrayan şirketlere bu durumu 72 saat içerisine Kişisel Verileri Koruma Kurumu (KVKK) bildirme zorunluluğu getirdi. Ancak bunu bir gurur meselesi yapan ve itibar kaybı yaşayacağını düşünen şirketler siber saldırı bildiriminde bulunmuyorlar.
2016 yılından bu yana çalışmalarını sürdüren Kişisel Verileri Koruma Kurulu, 24 Ocak’ta aldığı karar ile siber saldırıya uğrayan şirketlere 72 saat içerisinde Kişisel Verileri Koruma Kurumu’na (KVKK) bildirim yapma zorunluluğu getirdi. Ancak şirketler hakkında ortaya çıkabilecek olumsuz sonuçların önüne geçilmesini amaçlayan kanun, ne yazık ki, şirketlerin bunu bir gurur meselesi yapması ve itibar kaybı endişesi yaşaması nedeniyle sağlıklı işlemiyor.
Hackerlar buzdolabı ve klimayı bile kullanıyorlar
Konuya ilişkin değerlendirmelerde bulunan IBS Sigorta ve Reasürans Brokerliği A.Ş. Genel Müdürü Murat Çiftçi, “Siber saldırı, siber suçlar kapsamına giriyor. Eğer siz bir saldırıya uğradıysanız, kanun açık ve net bir şekilde, bu durumu bildirmenizi zorunlu kılıyor. Bildirimi yapmanız şart. Çünkü o an itibariyle artık ortada bir suç var. Kaldı ki; siz bir siber saldırıya uğradığınızda bunun sonuçlarını o an itibariyle bilemezsiniz” dedi. Artık teknolojinin çok farklı bir noktaya geldiğini belirten Murat Çiftçi, “Siber saldırılara o kadar açık bir hale geldi ki; hackerlar her biri akıllı birer cihaz haline dönüşen buzdolabı, çamaşır makinası, televizyonlar ve klimaları bile kullanmaya başladılar. Bu cihazların hepsi wifi’a bağlı çalışıyor ve cep telefonunuzdan istediğiniz yerden kontrol edebiliyorsunuz. Artık şirketlerin ‘siber saldırı riskim yok’ deme lüksü kalmadı” dedi.
‘Ben yapmadım’ deseniz de açıklayamazsınız
Kanunun Ocak ayında yürürlüğe girmesine rağmen yeteri kadar etkili olamadığına dikkat çeken Murat Çiftçi, “Şirketler maalesef siber saldırı bildirimini bir gurur meselesi olarak görüyorlar. KVKK’ya ‘siber saldırıya uğradım’ bildirimi yapmakla itibarlarının zedeleneceğini düşünüyorlar” dedi. Siber saldırı bildiriminin yapılmaması durumunda, saldırının türü ve kimler tarafından yapıldığı gibi bilgilerin öğrenilememesine neden olunduğunu ifade eden Murat Çiftçi, “Eğer şirket bildirim yapmadığından dolayı hacklenme kaynaklı bir suça dâhil olursa, bu sefer siber güvenlik birimlerine durumu kendileri anlatmak zorunda kalırlar. Her ne kadar siz, o an ‘ben yapmadım’ deseniz de, bunu açıklamanız neredeyse imkânsız hale gelecektir” dedi.
