Dünyada Neler Oluyor?

Veri Koruma alanı ülkemizde ivme kazanan bir hızla gelişirken, dünya çapındaki yenilikler Kişisel Verileri Koruma Kurumu’nun (“Kurum“) radarında kalmaya devam ediyor.

Daha önce defaten karşılaştığımız örneklerden Kurum’un Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation, “GDPR”) düzenlemeleri başta olmak üzere dünya gündemine ayak uydurduğuna ve hızlı hareket eden veri gizliliği dünyasının gereklerini yakalamaya çalıştığına şahit oluyoruz.

Dünya gündemini GRC Legal Hukuk Bürosu olarak yakından takip ediyor ve güncelden seçkileri bu içeriğimizle bilgilerinize sunuyoruz.

Aşağıda yer alan haberler 2023 Mart ayına aittir.

Çevrimiçi İzleme x Opt-Out 

İnternet siteleri genellikle ziyaretçilerine veri toplama işleminden vazgeçme (opt-out) fırsatı sunar. Bu sunum, gizliliğiniz için duydukları büyük endişeden değil, yasalar doğrultusunda bu uygulamayı gerçekleştirmek zorunda olmalarından kaynaklanıyor. Gizlilik araştırmacılarına göre, bu veri toplama işlemlerinden vazgeçme (opt-out) yöntemi her zaman işe yaramıyor ve ziyaretçi verileri aksi seçilmesine rağmen yine de toplanıyor.

GDPR ve ePrivacy Direktifi gibi yasal metinler, internet sitelerinin ve ilgili üçüncü tarafların kişisel verileri toplamadan ve işlemeden önce onay alınması gerektirdiğini belirtiyor. İnternet sitesi operatörlerinin bu gerekliliğe uymasına yardımcı olmak için Didomi, Quantcast, OneTrust ve Usercentrics gibi firmalar Rıza Yönetim Platformu (Consent Management Platform, “CMP”) olarak bilinen bir çözüm sunuyor.

CMP: İnternet sitelerinin, kullanıcıların kişisel verilerini işlemek için genellikle etki alanında çalışan çerezler ve izleyiciler aracılığıyla yasal izinlerini almak için kullandıkları bir teknolojidir.

Bu firmalar, internet sitelerinin kişisel bilgilerin nasıl işleneceğini kontrol etmek amacıyla ziyaretçilerden çerezleri kabul etmelerini veya reddetmelerini istemek için kullandıkları yazılımları sağlıyor. Şirketlerin ABD, AB, İngiltere, Brezilya, Güney Afrika, Singapur ve diğer yerlerdeki gizlilik yasalarına uymalarını sağladığını da iddia ediyorlar.

Ancak bilgisayar bilimcileri CMP tabanlı devre dışı bırakma kontrollerinin etkinliğini test etmek için bir denetim mekanizması tasarladılar ve bu platformların GDPR ve Kaliforniya Tüketici Gizliliği Yasası (California Consumer Privacy Act “CCPA”) gerekliliklerine uyum sağlamadığı tespit edildi.

Araştırmacılar makalelerinde “Sonuçlarımız, ne yazık ki kullanıcılar vazgeçse bile kullanıcıların kişisel verilerinin birçok durumda toplanmaya, işlenmeye ve paylaşılmaya devam ettiğini gösteriyor” dedi ve “Bulgularımız, önde gelen bazı reklam verenlerin GDPR ve CCPA’yı potansiyel olarak ihlal ediyor olabileceğini gösteriyor.” şeklinde ekledi.

Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/173 Sayılı Karar Özeti’nde “veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında opt-out yani bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerinin kabul edildiği ve kişilere bu onayı kaldırmaları yönünde imkân veren bir sistemin değil, opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılması gerekmektedir.” denmektedir.

Yasa kapsamındaki opt-out, tarayıcı kullanıcılarının izlenmeme isteklerini beyan etmelerine izin veren ve bu tercihin göz ardı edilmesinin herhangi bir sonucu olmayan bir web spesifikasyonu olan “Do Not Track” seçeneğinden çok da farklı değil.

Do Not Track (“DNT”), kullanıcıların internet siteleri tarafından izlemeyi devre dışı bırakmalarına izin vermek için tasarlanmış resmi bir HTTP başlık alanıdır; bir kullanıcının birden fazla farklı bağlamdaki etkinliğine ilişkin verilerin toplanmasını ve söz konusu etkinlikten türetilen verilerin, gerçekleştiği bağlam dışında tutulmasını, kullanılmasını veya paylaşılmasını içerir.

Araştırmacılar, opt-out uyumluluğunu denetlemek için; kullanıcıların ilgi alanlarına göre sınıflandırılmış kişiliklerini simüle etmek amacıyla, 16 farklı ilgi alanı kategorisinde en iyi 50 web sitesini ziyaret etmeyi içeren bir süreç kurguladılar. Hem header bidding’i destekleyen hem de GDPR ve CCPA uyumluluğu için ayarlanmış CMP’leri kullanarak devre dışı bırakmayı destekleyen en iyi internet sitelerine odaklandılar.

Opt-out seçimlerine saygı gösterilip gösterilmediğini kontrol etmek için, araştırmacılar kullanıcı ilgi alanlarına sahip ve boş bir tarayıcı profili olan bir kontrol kişisine sahip internet sitelerini ziyaret ettiler. Hem opt-in hem de opt-out ayarları için reklam verenlerden gelen teklifleri ve ağ taleplerini topladılar ve ardından sonuçları analiz ettiler.

Teorik olarak, opt-out seçeneğinin reklam tekliflerini; veri kullanımı, istemci tarafı veri paylaşımı ve sunucu tarafı veri paylaşımı açısından boş kontrol kişiliğiyle karşılaştırılabilir bir düzeye indirmesi gerekiyordu ancak bu böyle olmadı.

Sızdırılan kullanıcı ilgi alanları, kullanıcıların düzenlemelerin bir parçası olarak opt-out seçeneğini tercih etmesine rağmen, kullanıcılara yönelik olarak hedefli reklamcılık uygulamalarında kullanıldı.

Uzmanlar ayrıca opt-out sonuçlarının opt-in’den istatistiksel olarak farklı olmadığını gözlemliyor ve bunu kullanıcı içeriğinin verilerin işlenmesi ve satılması üzerinde büyük ölçüde bir etkisi olmadığı şeklinde yorumluyor. Kullanıcılar CMP’ler aracılığıyla izlemeyi devre dışı bıraktıktan sonra bile, verileri reklam amacıyla kullanılmaya ve paylaşılmaya devam edebilir.

Ne yazık ki, gizlilik otoriteleri yaptırımları arttırana ve yasa ihlallerini geniş ölçekte tespit etmek için daha fazla çalışma gerçekleştirene kadar; kullanıcıların gizliliği tam olarak korumak için reklam/izleyici engelleme tarayıcı uzantıları ve gizlilik odaklı tarayıcılar gibi gizliliği artıran araçlara güvenmeye şimdilik devam etmeleri gerekiyor.

VERİ KORUMA VE DİJİTAL BİLGİ KANUN TASARISI

Birleşik Krallık Hükümeti tarafından Parlamento’ya sunulan “Veri Koruma ve Dijital Bilgi Kanun Tasarısı” (Data Protection and Digital Information Bill “DPDIB”) 8 Mart 2023 tarihinde Avam Kamarası’na sunulmuş ve ilk okuması yapılmıştır. İkinci okuma tarihi henüz açıklanmayan DPDIB’nin öngördüğü hususlar şu şekildedir:

  • Kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgilerin düzenlenmesine ilişkin hükümler getirmek,
  • Bireyler hakkındaki gerçekleri tespit etmek ve doğrulamak için bilgi kullanımından oluşan hizmetler hakkında hükümler getirmek,
  • Müşteri verilerine ve ticari verilere erişim hakkında hükümler getirmek,
  • Gizlilik ve elektronik iletişim hakkında hükümler getirmek,
  • Elektronik imza, elektronik mühür ve diğer güven hizmetlerinin sağlanmasına yönelik hizmetler hakkında hükümler getirmek,
  • Kamu hizmetlerinin sunumunu iyileştirmek için bilgilerin açıklanmasına ilişkin hükümler getirmek,
  • Kanun yaptırımlarının uygulanması amacıyla yapılan bilgi paylaşımına ilişkin anlaşmaların uygulanmasına yönelik hükümler getirmek,
  • Doğum ve ölüm kayıtlarının tutulması ve muhafaza edilmesine ilişkin hükümler getirmek,
  • Sağlık ve sosyal bakım için bilgi standartlarına ilişkin hükümler getirmek,
  • Bilgi Komisyonu’nu kurmak,
  • Biyometrik verilerin gözetimine ilişkin hükümler getirmek,

ve bu hususlarla bağlantılı amaçlara ilişkin hükümler getirmek.

Bilgi Köşesi

Birleşik Krallık Avam Kamarası’nın yasama faaliyetleri kapsamında kamusal tasarılar ikiye ayrılmaktadır. Bunlardan ilki milletvekilleri tarafından önerilen kanun teklifleri (Private Member’s Bills), diğeri ise hükümet tarafından önerilen kanun tasarılarıdır (Government Bills). Yasama süreci beş aşamadan oluşur. Bunlar ilk okuma (first reading), ikinci okuma (second reading), komisyon aşaması (committee stage), rapor aşaması (report stage) ve üçüncü okumadır (third reading).

DPDIB, işletmelere kişisel verileri nasıl kullandıkları konusunda daha fazla hareket alanı sağlayabilecekse de gizlilik uzmanları bu tasarının kişisel verilerin yanlış ellere geçebileceği anlamına geldiğinden endişe duyuyor.

Teknoloji Bakanı Michelle Donelan 2021 yılında Birleşik Krallık’ın toplam hizmet ihracatının %85’nin veriye dayalı ticaretten oluşmasına dayanarak “Daha iyi veri erişimi ve kullanımı, ekonomiyi büyütme ve Birleşik Krallık’taki herkesin hayatını iyileştirme misyonumuzun merkezinde yer almaktadır. Veri; ekonomik büyüme, bilimsel araştırma, inovasyon ve üretkenliğin artırılması için temel önemdedir.” dedi.

Open Rights Group politika yöneticisi Abigail Burke, DPDIB’ın gizlilik haklarımız için büyük bir tehdit oluşturacağını ve hükümetin verilerimiz üzerinde kontrol sahibi olma becerimizi zayıflatmaya ve işletmelerin ve devlet dairelerinin verilerimizi yeni yollarla toplama, işleme ve yeniden kullanma gücünü büyük ölçüde artırmaya niyetli olduğunu belirtmekten geri kalmadı.

Birleşik Krallık X WhatsApp

İstatistiklere göre WhatsApp Birleşik Krallık’taki en popüler mesajlaşma platformu. Buna rağmen Şirket başkanı Will Cathcart uçtan uca şifrelenmiş mesajların gizliliğini zayıflatmaları istenirse buna uymayı reddedeceklerini söyledi.  WhatsApp, Çevrimiçi Güvenlik Kanun Tasarısı (Online Safety Bill, “OSB) kapsamında uçtan uça şifreleme yöntemi ile mesajlaşma sistemini zayıflatmaktansa, Birleşik Krallık’ta kullanımın bloke edilmesinin tercih edileceğini belirtti.

Ne olmuştu?

Avrupa Birliği (“AB”), çocukların cinsel istismarı ile mücadele etmesini amaçlayan ve bu doğrultuda çocukların cinsel istismar görüntülerini “tespit etmelerini, bildirmelerini ve kaldırmalarını” sağlayabilmek adına “istemli taraf taraması” (client-side scanning) adı verilen bir sürecin yürütülmesini sağlayan yeni bir düzenleme çıkarmıştı. Ancak bu süreç, şifrelemenin zayıflatılması ve internetin daha az güvenli hale gelmesine neden olacağından hareketle eleştiri yağmuruna tutulmuştu.

Her ne kadar hükümet hem gizlilik hem de çocuk güvenliğinin mümkün olduğu kanısındaysa da WhatsApp gibi uçtan uca şifreleme yöntemini kullanan bir diğer mesajlaşma uygulaması Signal de OSB’nin mesajları taramasını gerektirmesi halinde Birleşik Krallık’ta hizmet vermeyi durdurabileceğini söylemişti. (Haberin detaylarına sayfamızdan erişebileceğiniz Dünyada Neler Oluyor Bülteni’nin 7. sayısında ulaşabilirsiniz.)

National Society for the Prevention of Cruelty araştırmalarına göre Birleşik Krallık’ta meydana gelen grooming* ve çocuk istismarı suçlarının giderek artması ile bugün önde gelen çocuk koruma yardım kuruluşları ve hükümet, şifrelemenin giderek büyüyen çevrimiçi çocuk istismarı sorunuyla mücadele çabalarını engellediğini savunuyor.

*Grooming: Cinsel ilişkiye girme amacıyla reşit olmayan birinin güvenini kazanmaya çalışma.

İçişleri Bakanlığı “Teknoloji şirketleri, platformlarının pedofillerin “üreme alanı” haline gelmemesini sağlamak için her türlü çabayı göstermelidir” dedi.

Yardım kuruluşu yetkilisi, OSB’nin teknoloji şirketleri platformlarının kendi bünyelerinde gerçekleşen çocuk istismarını tespit etmesi ve engellemesini yasal bir gereklilik haline getireceğini ve böylelikle şirketlerin başta çocuk istismarı mağduru olmak üzere, tüm kullanıcıların güvenliğini ve gizliliğini koruyan teknolojik çözümler geliştirmede hazırlıklara başlayabileceğini ifade ederek uçtan uca şifrelenmiş ortamlarda çocuk istismarı ve grooming ile mücadele etmenin mümkün olduğunun altını çizdi.

Hükümet OSB’nin uçtan uca şifrelemenin yasaklanması anlamına gelmediğini belirtse de aksi görüşteki eleştirmenler şifrelenmiş mesajların içeriğinde çocukların cinsel istismarına yönelik materyalin mevcudiyetini kontrol etmenin tek yolunun “istemli taraf taraması” (client side scanning) olduğunu ve yöntemin şifrelemenin sağladığı gizliliğe zarar verdiğini belirtiyor.

Will Cathcart, kullanıcıların özel iletişimini ‘yasadışı içerik’ denetimi için taramanın meşrulaşması ve şirketlerin kullanıcıların telefonlarına ve bilgisayarlarına bir yazılım yükleyerek iletişimlerinin içeriğini bu ‘yasadışı içerik’ listesine göre taraması durumunda; farklı ‘yasadışı içerik’ tanımlarına sahip ülkeler nezdindeki kullanıcılar için neticenin ne olacağı hakkında soru işaretleri olduğunu belirtti.

Open Rights Group’tan Dr. Monica Horten Birleşik Krallık’ta uçtan uca şifreli iletişim hizmetlerinin çok fazla kullanıcının gizliliği ve ifade özgürlüğü açısından zarar verici sonuçlar doğurabilecek bir kitlesel gözetim aracına dönüşmekte olduğunu belirtirken, The Information Commissioner’s Office şifrelemeyi zayıflatabilecek her türlü müdahalenin “gerekli ve ölçülü” olması ve gizlilik korumalarını zayıflatmadan yasadışı içeriğin tespitini kolaylaştıran teknolojik çözümlerin teşvik edilmesi gerektiğini belirtti.  

Biden x Bulut Sağlayıcıları

Biden yönetimi, bulut sağlayıcılarının güvenlik uygulamalarını düzenlemek için ülkenin ilk kapsamlı planını başlatıyor. Beyaz Saray bulut sağlayıcılarının büyük bir güvenlik açığı haline gelmesinden endişe duyuyor.

Hükümetler ve işletmeler yirmi yıldır en hassas verilerinin bir kısmını neredeyse sınırsız depolama, güçlü yazılım ve bunları güvende tutacak bilgi birikimi vaat eden teknoloji devlerine emanet ediyor.

Sunucuları küçük işletmelerden Pentagon ve CIA’e kadar çeşitli müşterilere veri depolama ve bilgi işlem gücü sağlayan Amazon, Microsoft, Google ve Oracle gibi bulut sağlayıcılarının güvenlik uygulamalarını düzenlemek için ülkenin ilk kapsamlı planı başlatıldı.

Bulutun “günlük hayatımızın vazgeçilmezi haline geldiği” ve “eğer kesintiye uğrarsa, ekonomi ve hükümet için büyük potansiyel felaketlere yol açabileceği” açıklamalarıyla başarısız olmak için artık çok büyük hale geldiği belirtiliyor.

“Tek bir bulut sağlayıcısının çökmesi interneti domino taşları gibi yıkabilir”

Tüm güvenlik uzmanlıklarına rağmen, bulut devleri, bilgisayar korsanlarının aynı anda çok kalabalık bir hedef grubunu mağdur edebilme potansiyeli sebebiyle büyük korku sebebi teşkil ediyor. Büyük bir bulut sağlayıcısının çökmesi; hastanelerin tıbbi kayıtlara erişimini kesebilir, limanları ve demiryollarını felç edebilir, finansal piyasaların devinimine yardımcı olan yazılımı bozabilir ve küçük işletmelerden devlet kurumlarına kadar geniş bir etki alanında veri tabanlarını yok edebilir.

Bulut sunucularının hükümet yetkililerinin umduğu kadar güvenli olduğu da kanıtlanmış değil. Farklı ülkelerden bilgisayar korsanları Amazon ve Microsoft gibi şirketlerin bulut sunucularını başka hedeflere saldırı düzenlemek için sıçrama tahtası olarak kullandılar. Siber suç grupları da veri çalmak ya da şirketlerden haraç almak için düzenli olarak ABD’li bulut sağlayıcılarından altyapı kiralıyor.

Diğer adımların yanı sıra Biden yönetimi kısa süre önce, yabancı bilgisayar korsanlarının Amerika Birleşik Devletleri (“ABD”) bulut sunucularında yer kiralamasını önlemek için bulut sağlayıcılarının kullanıcılarının kimliğini doğrulamasını isteyeceğini söyledi. Yönetim, ulusal siber güvenlik stratejisinde daha fazla bulut düzenlemesinin geleceği konusunda uyarıda bulunarak, sektör üzerindeki yasal boşlukları tespit edip bu boşlukları kapatmayı planladığını söyledi.

Bu yeni ve daha sert yaklaşım hakkında yapılan röportajlarda, yönetim yetkilileri buluttan vazgeçmediklerini vurguladılar. Bunun yerine, hızlı büyümenin yeni güvenlik risklerine yol açmamasını sağlamaya çalışıyorlar.

Yetkililer, özellikle Rus casusların Amazon ve GoDaddy’den sunucu kiralayarak kısmen tespit edilmekten kaçındıkları 2020 SolarWinds casusluk kampanyasına işaret ederek, bulut sağlayıcılarının şu ana kadar suçluların ve ulus devlet bilgisayar korsanlarının ABD içinde saldırılar düzenlemek için hizmetlerini kötüye kullanmalarını önlemek adına yeterince çaba göstermediğini savundu. Aylarca bu sunucuları kullanarak en az dokuz federal kuruma ve 100 şirkete fark edilmeden sızdılar.

Devlet siber güvenlik yetkilileri, riskin giderek arttığını, yabancı bilgisayar korsanlarının yeni sunucuları “döndürme ve hızla kapatma” konusunda daha becerikli hale geldiklerini, bir diğer deyişle, bir kiralık hizmetten diğerine hızla geçtiklerini ve ABD kolluk kuvvetleri için ipuçlarının izlerini sürebileceklerinden çok daha hızlı şekilde kaybolduğunu söyledi.

ABD’li yetkililer bulut sağlayıcılarının güvenlik korumaları eklemek için müşterilerden genellikle daha fazla ücret talep etmelerinden büyük hayal kırıklığı duyduklarını ifade ediyorlar. Hem bu tür önlemlere duyulan ihtiyaçtan faydalanıyor hem de şirketler fazladan para harcamamaya karar verdiklerinde bir güvenlik açığı bırakıyorlar.

SolarWinds saldırısıyla ilgili federal soruşturmalarda Rus hack kampanyasının kurbanı olan kurumların Microsoft’un gelişmiş veri kaydı özellikleri için ekstra ödeme yapmadığı ortaya çıktı.

Ne hükümet ne de bulut sağlayıcıları kullanan şirketler, bulut sağlayıcılarının hangi güvenlik korumalarına sahip olduğunu tam olarak bilmiyor. ABD finans sektörünün bulut hizmetleri kullanımına ilişkin bir çalışmada Hazine Bakanlığı, bulut şirketlerinin “durum tespiti ve izlemeyi desteklemek için yetersiz şeffaflık” sağladığını ve ABD bankalarının “bulut hizmetleriyle ilişkili riskleri tam olarak anlayamadığını” tespit etti.

Ancak hükümet yetkilileri, özellikle şirketlerin kamu sektörünü giderek daha fazla yeni gelir kaynağı olarak görmeleri nedeniyle, bulut sağlayıcılarının tutumunun değiştiğine dair işaretler gördüklerini söylediler.

Büyük bulut sağlayıcıları artık istedikleri büyümeyi gerçekleştirmek ve kritik sektörlerde yer almak istiyorlarsa, sadece engel olmamakla kalmayıp, uyumluluk düzenlemelerini kanıtlamayı kolaylaştıracak araçlar ve mekanizmalar sağlamaları gerektiğini fark ettiler.

Beyaz Saray yeni siber stratejisinde daha agresif bir düzenleyici rejimin ana hatlarını çizdi. Yazılım üreticilerinin güvensiz kodlardan sorumlu tutulmasını ve bulut sağlayıcıları gibi kritik altyapı şirketlerine daha güçlü güvenlik zorunlulukları getirilmesini önerdi.

Üyeleri arasında bulut devleri Palo Alto Networks, VMWare, Google Cloud ve Amazon’un bulut bilişim kolu AWS’nin de bulunduğu bir teknoloji ticaret grubu olan Alliance for Digital Innovation‘ın icra direktörü Ross Nodurft, bulut bilişim şirketlerinin Beyaz Saray ile “sektörler arasında güvenlik gereksinimlerine yönelik uyumlu bir yaklaşım” üzerinde çalışmak için “istekli” olduklarını söyledi. Ayrıca şirketlerin zaten belirli sektörler için “kapsamlı güvenlik gerekliliklerine” uyduğunu söyledi.

Hükümet bulutun dayanıklılığını sağlamanın bir yolunu bulamazsa, bunun sonuçlarının yıkıcı olabileceğinden korkuyor.

Sigorta devi Lloyds’un 2017 yılında yaptığı bir araştırmaya göre, en büyük üç bulut sağlayıcısından birinde üç ila altı gün arasında süren bir kesinti 15 milyar dolar zarara yol açabilir.

Böyle bir çöküş, büyük bir bulut sağlayıcısına yönelik bir siber saldırı, büyük bir veri merkezinin elektriğini kesen ya da kesintiye uğratan doğal ya da insan kaynaklı bir felaket ya da sadece temel bir bulut hizmetinin tasarım ve bakımındaki bir başarısızlıkla tetiklenebilir.

Beyaz Saray mevcut düzenlemeleri kullanarak ve şirketleri gönüllü olarak uygulamaları iyileştirmeye ikna ederek istediği sonuçları elde edemezse, Kongre’ye başvurmak zorunda kalacak.

AT&T x Kişisel Veri İhlali

Telekom devi AT&T, üçüncü taraf bir veri ihlaliyle 9 milyon müşteri kaydını ifşa etti. AT&T, ihlalin hat sayısı veya abone olunan kablosuz plan gibi Müşteriye Özel Ağ Bilgilerini (Customer Proprietary Network Information “CPNI”) açığa çıkardığını söyledi. Bu bilgiler ABD federal yasaları tarafından yüksek düzeyde düzenleniyor.

Telekomünikasyon şirketi, Federal İletişim Komisyonu’nun düzenlemelerine uymak için yetkisiz erişim hakkında federal kolluk kuvvetlerini bilgilendirdi. AT&T, topluluk forumunda “Kolluk kuvvetlerine gönderdiğimiz rapor, hesabınızla ilgili spesifik bilgiler içermiyor, sadece yetkisiz erişimin gerçekleştiğini gösteriyor.” açıklamasında bulundu.

AT&T, 3. taraf veri ihlalinin müşterilerin ilk isimlerini, kablosuz hesap numaralarını, kablosuz telefon numaralarını ve e-posta adreslerini açığa çıkardığını söyledi. Bazı kablosuz hesaplar ayrıca ücret planı adını, vadesi geçmiş tutarı, aylık ödeme tutarını, aylık ücretleri veya kullanılan dakikaları da sızdırdı. Veri ihlalinde kredi kartı bilgileri, sosyal güvenlik numarası, hesap şifreleri veya diğer hassas kişisel bilgiler açığa çıkmadı.

Olayı bir tedarik zinciri saldırısı olarak tanımlayan AT&T, sızdırılan müşteri verilerinin çoğunun cihaz yükseltme uygunluğuyla ilgili olduğunu ve birkaç yıllık olduğunu açıkladı. Güvenliği ihlal edilen üçüncü taraf tedarikçinin kimliğini saklı tutmasına rağmen, AT&T olayın Ocak ayında meydana geldiğini söyledi.

Operatör ayrıca olay sırasında sistemlerinin tehlikeye girmediğini ve ihlal edilen pazarlama tedarikçisinin daha fazla istismarı önlemek için açığı düzelttiğini açıkladı. AT&T, abonelerine hesaplarını korumak için ekstra şifre güvenlik önlemleri almalarını tavsiye etti.

Veri ihlali kredi kartlarını ya da sosyal güvenlik numaralarını sızdırmamış olsa da mağdurlar hala hassas kişisel ve finansal bilgileri açığa çıkarabilecek hedefli kimlik avı saldırıları riski altında. Telekomünikasyon şirketleri, finansal motivasyona sahip bilgisayar korsanları ve devlet destekli tehdit aktörleri için her zaman kazançlı bir hedef.

Haziran 2022’de Siber Güvenlik ve Altyapı Güvenliği Ajansı (Cybersecurity and Infrastructure Security Agency, CISA), Çin devlet destekli bilgisayar korsanlarının yaygın güvenlik açıkları ve ifşalar yoluyla telekomünikasyon şirketlerini hedef aldığı konusunda uyarıda bulundu.

Amerikan hükümeti, telekomünikasyon şirketlerini, kesintiye uğraması ekonomiyi ve ulusal güvenliği ciddi şekilde etkileyecek olan, ülkenin kritik altyapısının önemli unsurları olarak görüyor.

Endüstri Sektörü x Big Data

Avrupa Komisyonu tarafından 14 Mart günü kabul edilen Veri Yasası (Data Act, “DA”), özellikle algoritma eğitimi için büyük miktarda veriye ihtiyaç duyulan yapay zekâ alanında yeni hizmetlerin geliştirilmesine katkıda bulunacak. Satış sonrası hizmetler ve bağlı cihazların onarımı için daha iyi fiyatlara öncülük edebilecek.

İnsanlar ve makineler tarafından üretilen veri hacmi katlanarak artarken işletmeler ve kamu kurumları kapsamında inovasyon için mühim bir faktör haline geliyor (örneğin akıllı şehirlerin şekillendirilmesi). Bu tür verilerin adeta bir “yeni petrol” keşfi olduğu söyleniyor.

DA, veri paylaşımı sözleşmelerinde adilliği sağlamak için bağlı ürünlerin veya ilgili hizmetlerin (örneğin nesnelerin interneti, endüstriyel makineler vb.) kullanımıyla üretilen verilerin paylaşımını düzenleyen ortak kuralları belirliyor.

EC’ye göre toplanan endüstriyel verilerin %80’i hiç kullanılmadığından, Avrupa Parlamentosu (European Parliament, “EP”) üyeleri, kullanıcıların ürettikleri verilere erişimini sağlayacak önlemleri kabul etti. Ek olarak, sözleşmeye dayalı anlaşmaların işletmeler arası ilişkilerin merkezinde yer almasını sağlamak istiyorlar.

Şirketler hangi verilerin paylaşılabileceğine karar verebilecek ve üretici belirli verileri “tasarım gereği” kullanıma sunmamayı tercih edebilecek. Şirketler veri paylaşımı sözleşmelerini hazırlarken DA, Küçük ve Orta Büyüklükteki İşletmeler (KOBİ) lehine, pazarlık gücü kendisinden çok daha güçlü olan şirketler tarafından dayatılan haksız sözleşme şartlarından koruyarak pazarlık gücünü yeniden dengeleyecek.

DA, kamu kurumlarının sel ve orman yangınları gibi istisnai veya acil durumlarda gerekli olan ve özel sektör tarafından tutulan verilere nasıl erişilebileceği ve bunları nasıl kullanabileceğini de tanımlıyor.

EP üyeleri ticari sırların korunması ve verilere erişimin artmasıyla rakiplerin, hizmetleri ya da cihazları yeniden tasarlayıp kullanmalarının önüne geçilmesi adına hükümleri katılaştırdı. Buna ek olarak, işletmelerden devlete veri talepleri konusunda daha katı koşullar belirlediler.

Son olarak, DA bulut hizmet sağlayıcıları ve diğer veri işleme hizmetleri sağlayıcıları arasında geçişi kolaylaştıracak ve bulut hizmeti sağlayıcıları tarafından yasadışı uluslararası veri aktarımına karşı güvenceler getirecek.

AP üyesi Pilar del CASTILLO VERA, DA hakkındaki görüşlerini şu sözlerle dile getirdi: “Veri Yasası, neredeyse sonsuz miktarda, yüksek kaliteli endüstriyel veriye erişim sağlayan mutlak bir oyun değiştirici olacaktır. Rekabetçilik ve yenilikçilik, bu yasanın DNA’sının bir parçasıdır.”

GDPR madde 5/1-c uyarınca benimsenen veri minimizasyonu ilkesi, kişisel verilen işlendikleri amaçla ilgili olarak yeterli, yerinde ve gerekli olanla sınırlı bir şekilde işlenebileceğini ortaya koyar.

DA ile %80’i kullanılamayan endüstriyel veri, veri minimizasyonu ilkesi doğrultusunda sadeleştirilmek yerine; âtıl durumda olan, işlenemeyen ve paylaşılamayan veriler “ekonomik değere dönüştürülmek” için bir rejim değişikliğine uğruyor. EP üyeleri Konsey ile yasanın nihai şekli üzerinde müzakerelere başlamaya hazır.