Hassas Veri Türleri Nelerdir? Nasıl Korunabilirler?

Hassas Veri Türleri Nelerdir? Nasıl Korunabilirler?

Mar 27, 2022 / Kron

Hassas veriler, çeşitli siber güvenlik önlemleriyle korunması gereken ve ayrıcalıklı erişim izni tanımlanmadıkça yetkisiz kişilerin ve üçüncü parti bileşenlerin erişemeyeceği sınıflandırılmış veriler olarak tanımlanabilir. Hassas veri yığınlarının elektronik ya da fiziksel ortamda muhafaza edilmesi veri niteliğini değiştirmiyor. Her iki durumda da söz konusu hassas verilerin siber tehdit unsurları karşısında dikkatli şekilde korunması gerekiyor.

Veri güvenliği tesis ederken dikkat edilmesi gereken temel konuların başında gelen hassas veri erişiminin, veri ihlali vakalarının engellenmesi amacıyla, sadece ayrıcalıklı hesaplara erişim izni verilecek bir siber güvenlik ağı aracılığıyla sağlanması oldukça önemli. Öte yandan hassas verilere erişimi denetleyen gelişmiş bir yapının da etik veya yasal bir nedenden kaynaklı sorun yaşayabileceğini unutmamalısınız. Bu nedenle kuruluşların kişisel veri erişimine sahip kişileri ve uygulamaları yasal bağlamda da daha sıkı şekilde kontrol etmesi KVKK ve GDPR uyumluluğu açısından büyük önem taşıyor.

Hassas Veri Türleri Nelerdir?

Hassas verileri farklı türler ve güvenlik seviyeleri açısından incelemek mümkün. Hassas veri türleri dört farklı başlık altında, veri hassasiyeti seviyeleri ise üç farklı başlık altında ele alınıyor. Önce hassas veri türlerini, daha sonra veri hassasiyeti seviyelerini detaylı bir şekilde inceleyelim.

Hassas veri türleri

  • Düşük veri duyarlılığı: Bu sınıfta yer alan verilerin açığa çıkması kişiler, özel kuruluşlar ve devlet kurumları için düşük seviyede sorun teşkil ediyor. İlgili veri grubu üzerinde erişim sınırlaması genelde yoktur ya da çok az vardır. Çoğunlukla kamuoyuna ait enformasyon parçaları olarak ifade edilen bu türdeki verilere herkes erişebilir.
  • Orta düzeyde veri duyarlılığı: Veriler, orta düzeyde veri duyarlılığı türünde iki ya da daha fazla tarafın dahil olduğu sözleşmelere tabidir. Söz konusu türdeki verilerin açığa çıkması kuruluşlara minimum düzeyde zarar verebilir. Bu gruptaki verilere öğrenci kayıtları, BT hizmet bilgileri, bina planları ve seyahat bilgileri örnek olarak gösterilebilir.
  • Yüksek veri duyarlılığı: Gizli veriler şeklinde ifade edilen söz konusu gruptaki verilerin ihlali kuruluşların farklı siber saldırı türlerine maruz kalmalarına ve hem KVKK hem de GDPR kapsamında cezai yaptırımlara uğramalarına sebep olabilir. Korunan sağlık verileri, BT güvenlik bilgileri, sosyal güvenlik numaraları ve kontrollü sınıflandırılmamış bilgiler bu grupta yer alıyor.
  • Kısıtlanmış hassas veriler: Bu veriler yasal sorumluluğu minimuma indirmek amacıyla Non-Disclosure Agreement (NDA), Türkçe ismiyle Gizlilik Sözleşmesi kapsamında koruma altına alınıyor. Ticari sırlar, kredi kartı ayrıntıları, fikri mülkiyet verileri, müşteri bilgileri ve eğitim kayıtları kısıtlanmış hassas veriler grubunda bulunuyor.

Hassas veri seviyeleri

  • Yüksek hassasiyetli veriler: Özel nitelikli kişisel veri yığınları bu sınıfa giriyor. Yüksek hassasiyetli verilerin ihlali durumunda çok ciddi olumsuz sonuçlarla karşılaşılabilir. Örneğin bu verilerin ihlal edilmesi kuruluşların büyük maddi kayıpları yaşamalarına sebep olabileceği gibi, önemli hukuki yaptırımlarla karşılaşılmasına da neden olabilir.
  • Orta hassasiyetli veriler: Dahili kullanım amaçlı bu verilerin gizliliğinin ihlal edilmesi kuruluşlar açısından ciddi sorunlar yaratmaz.
  • Düşük hassasiyetli veriler: Hassas veri seviyeleri içinde en alt basamakta yer alan bu gruptaki veriler kamuya açık bilgilerdir.

KVKK ve GDPR’a Göre Hassas Verinin Tanımı

GDPR duyarlılığı yüksek veriler, kişisel veriler anlamına geliyor. Hassas kişisel veriler ise GDPR duyarlılığı daha yüksek olan ve isim, IP adresi, konum gibi bilgilere atıfta bulunan veriler olarak tanımlanıyor. GDPR, bir kişiyi direkt olarak tanımlayan enformasyonlar yerine takma adlı enformasyonların kullanılması gerektiği konusunda ısrarcı. Fakat takma adlı veri kullanımı da hassas kişisel verilerin ihlal edilmesinin önüne geçmeyebilir. Zira genetik ve biyometrik verilerin de yer aldığı hassas kişisel veriler, tanımlayıcı doğaları gereği kökenlerine kadar izlenebilir ve şifreleri çözülebilir. Bu nedenle takma adlı veriler kullanmak tek başına yeterli bir çözüm olmayabilir. Uçtan uca veri ve erişim güvenliği sunan bir BT altyapısı oluşturmak en mantıklı yöntem olarak dikkat çekiyor.

GDPR’a ve KVKK’ye göre özel nitelikli kişisel veri, bir başka deyişle hassas kişisel veri, birçok farklı unsuru bünyesinde barındırıyor:

  • Irk
  • Siyasi düşünce, etnik köken, din, felsefi inanç, mezhep;
  • Giyim tarzı,
  • Dernek, vakıf ve sendika üyelikleri
  • Sağlık bilgisi, cinsel yaşam
  • Ceza mahkumiyeti, güvenlik
  • Genetik bilgileri, biyometrik bilgiler

GDPR ve KVKK kapsamında özel nitelikli kişisel veri sınıfında yer alıyor.

Verilerin Hassas Olup Olmadığı Nasıl Belirlenir?

Birkaç farklı sektör veri hassasiyetini ölçmek için belirli bir standart üzerinde anlaşmaya varmış durumda. Söz konusu standart, CIA üçlüsü ismi de verilen üç ana başlık altında oluşturuluyor. CIA üçlüsünde gizlilik, bütünlük ve kullanılabilirlik ilkeleri yer alıyor.

  • Gizlilik: Bu ilke hassas verilere yetkisiz erişimin, söz konusu erişim yetkisine sahip olmayan kullanıcılar için sınırlandırılmasını değil, doğrudan engellenmesini içeriyor.
  • Bütünlük: Belirli bir zaman dilimi içindeki veri tutarlılığı ve doğruluğu ile ilgilidir. BT altyapınızdaki veri akışının tutarlılığını denetim günlükleri, dosya izinleri, kullanıcı erişim kontrolleri, yedeklemeler ve kriptografi ile kontrol edebilirsiniz.
  • Kullanılabilirlik: Söz konusu ilke, gerektiğinde kullanılabilir olan hassas verilere odaklanıyor. Kullanılabilirliğe özgü önlemler arasında doğal afetler nedeniyle veri kayıplarına karşı koruma, donanım bakımı, bant genişliği sağlama gibi hususlar gösterilebilir.

CIA üçlüsünün ihlal edilmesinin önüne geçmenin yolu ise karşı önlemler almaktan geçiyor. Siber güvenlik yazılımları ve farkındalık eğitimleri de dahil olmak üzere, karşı önlemler şu şekilde sıralanabilir:

  • İki faktörlü kimlik doğrulama
  • Veri şifreleme
  • Anahtarlıklar
  • Yumuşak tokenler
  • Güvenlik belirteçleri
  • Biyometrik doğrulama
  • Sadece matbu halde kopyalama ve saklama
  • Bilginin göründüğü yeri ve iletim sayısını sınırlandırmak
  • Bağlantısı kesilmiş depolama cihazlarında depolama
  • Hava boşluğu bulunan bilgisayarlarda depolama

Hassas Verileri Koruma Altına Alın

Ayrıcalıklı Erişim Yönetimi uygulamaları, gelişmiş bir siber güvenlik ağı yarattıkları için hassas verileri koruma altına almanın en iyi yöntemlerinden biridir. Privileged Access Management (PAM) sistemleri hassas verilere erişimi ve bu hesaplara erişimi olan ayrıcalıklı hesapları koruyarak BT altyapınızda gelişmiş veri güvenliğine sahip olmanızı sağlıyor. Fidye yazılımı saldırısı, phishing, malware benzeri siber saldırılara ve iç tehditlere karşı erişim güvenliği sağlayan PAM uygulamaları veri ihlali vakalarının önüne geçip hassas verilerinizin güvende kalmasına yardımcı oluyor.

Kron olarak geliştirdiğimiz PAM çözümümüz Single Connect ise bünyesinde barındırdığı modüller sayesinde ileri seviye BT altyapısı güvenliği tahsis ediyor. Ağınızdaki ayrıcalıklı hesaplara erişimi sıfır güven (zero trust) ilkesi ile sınırlandıran Single Connect, sistemdeki parolaları ağdan izole şekilde şifre kasalarında muhafaza etmenizi de mümkün kılıyor. İki faktörlü kimlik doğrulama özelliğine de sahip olan Single Connect, ayrıcalıklı hesaplara erişim talep eden kullanıcılardan eş zamanlı olarak konum ve zaman bilgisi talep ediyor. Single Connect ayrıca ağdaki rutin görevleri otomatikleştiriyor ve sistemdeki tüm kullanıcı hareketlerini, veri tabanı yöneticileri de dahil olmak üzere, kaydediyor.

Uluslararası seviyede önemli PAM ürünlerinden biri olan Single Connect, farklı ölçeklerdeki şirketlerin veri güvenliği ihtiyacını karşılayabilir ve bu kuruluşların hassas verilerini koruyabilir. Siz de Single Connect ürünümüz hakkındaki tüm detayları öğrenmek için bizimle iletişim kurabilir ve ekip arkadaşlarımıza merak ettiklerinizi sorabilirsiniz.

Diğer Bloglar