KVKK ve Sızma testleri

Sızma testi (Pentest ), bir saldırganın saldırısını simüle ederek bilgisayar sistemlerinin veya ağlarının güvenliğini değerlendirmek için kullanılan bir yöntemdir. Süreç, hedef sistemin yanlış çalışmasına veya tam bir hizmet reddine neden olabilecek olası güvenlik açıkları için sistemin aktif bir analizini içerir. Analiz, potansiyel bir saldırganın bakış açısından yapılır ve sistem güvenlik açıklarının aktif kullanımını içerebilir. Çalışmanın sonucu, bulunan tüm güvenlik açıklarını içeren bir rapordur ve bunların ortadan kaldırılması için öneriler içerebilir. Sızma testlerinin amacı, uygulama olasılığını değerlendirmek ve başarılı bir saldırı sonucunda ekonomik kayıpları tahmin etmektir. Sızma testi bir güvenlik denetiminin parçasıdır. Sızma testini yapan uzmana pentester denir. Kural olarak, bir sızma testinin sonucu, analiz sırasında tanımlanan güvenlik açıklarını ve isteğe bağlı olarak ortadan kaldırılması için önerileri içeren bir rapordur.

Sızma / Penetrasyon Testi Kişisel Verilerin Korunması Kanununa (KVKK) Uyum sürecinde özellikle teknik tedbirler kısmında olmazsa olmazlardan biridir.

Sızma testlerinin kuruluşlara yararları nelerdir?

  • Saldırganların kullandığı çeşitli senaryoların olabilirliğinin belirlenmesi,
  • Bazı düşük riskli zafiyetlerin bileşiminden kaynaklanan yüksek riskli açıklıkların tespit edilmesi,
  • Otomatik ağ veya uygulama açıklık tarama yazılımları ile tespit edilmesi zor veya tespiti mümkün olmayan açıklıkların tespit edilmesi,
  • Başarılı gerçekleşen saldırıların, olası iş etkisinin ne olacağı ve işletmeye ne tür aksaklıklar yaşanacağının anlaşılması ve değerlendirilmesi,
  • Firewall ya da antivirüs gibi ağ koruma cihazlarının ve uygulamalarının saldırıları başarı ile tespit etme ve karşılık verme kabiliyetlerini ne durumda olduğunu test etme,
  • Çalışanların ve güvenlik personeli ile ilgili teknolojilere yönelik artan yatırımlara gerekçelendirme sağlanması

Hangi veriler korunmaya tabidir?

KVKK Kanununun 28. Maddesine göre Bilgilendirilmemiş veriler de dahil olmak üzere neredeyse tüm kullanıcı verileri korumaya tabidir.
Hedefleme için yaygın olarak kullanılan kullanıcılarla ilgili veriler / bilgiler şunları içerir:

  • Coğrafi Konum (GPS veya IP’ye dayalı);
  • Reklam veren kimliği (IDFA / Google Reklam Kimliği);
  • IP adresi
  • Diğer ağ tanımlayıcıları. Örneğin, cihaz tanımlayıcıları, kullanıcı adları ve daha fazlası.

Aşağıdaki veriler GDPR içindeki kişisel veriler için de geçerlidir:

  • Kullanıcıyı ilgi düzeyinde tanımlayan bir veya daha fazla faktör;
  • Ad;
  • Fiziksel veya posta adresi;

Türk Standartları Enstitüsü’nün (TSE) Sızma Testi Hizmeti Veren Personel Ve Firmalar İçin Yetkilendirme Programı dokümanını buradan indirebilirsiniz.