İlaç sektöründe faaliyet gösteren şirket, uğradığı siber saldırı sonucunda kişisel veri ihlaline sebep oldu. Veri Sorumlusu olan ilaç şirketi Kişisel Verileri Koruma Kurulu’na veri ihlal bildiriminde bulundu. 

İhlale Si̇ber Güvenli̇k Şi̇rketi̇ Çalışanı Sebep Oldu

Bildirimde siber saldırının zararlı yazılımlardan ve fidye yazılımlarından kaynaklı olduğu açıklaması yapıldı. İlaç şirketi, şüpheliler aleyhine İstanbul Cumhuriyet Başsavcılığına şikâyette bulundu. Söz konusu saldırının şirketin bizzat siber güvenlik hizmeti almış olduğu şirket çalışanı tarafından şirket IP adresi üzerinden gerçekleştirildiği bildirildi. Siber saldırıda bulunan bu kişinin aynı zamanda ilaç şirketinin de eski bir personeli olduğu bilgisi veri ihlal bildiriminde yer aldı. İlaç şirketi, saldırıyı çalışanlarının sistemlere erişememesi sonucu 12.01.2021 tarihinde tespit ettiğini yaptığı bildirimde kurula iletti.

Veri sorumlusu ilaç şirketi, faaliyetlerini sürdürmesi için gerekli verilerinin ve yedek dosyalarının depolandığı Data Domain Sunucusu verilerinin silindiğini ihlalden etkilenmiş 297’si şirket çalışanı yaklaşık 1000 kişi olduğunu bildirdi.

Kurul Şirket’in Gerekli Tedbirleri Almadığını Tespit Etti

Kişisel Verileri Koruma Kurulu kararında saldırının ancak şirket çalışanlarının sisteme erişememesi ile tespit edilmesini dikkate aldı. Kişisel Verileri Koruma Kurulu özel nitelikli kişisel veriler üzerinde çalışan çok uluslu bir şirketin, bu tip saldırılar için veri güvenliğini sağlayacak önlemler alması gerektiği belirtti. Sızma testi ve risk analizi ile tehditleri belirlemesi, güvenlik açıklarını kapatması ve log kaydı takibi gibi gerekli tedbirlerin şirketler tarafından alınması gerektiği karada yer buldu. Kurul bu teknik tedbirlerin alınmamasının Kişisel Veri Güvenliği Rehberi 3.2. maddesi “Kişisel Veri Güvenliğinin Takibi” başlığına aykırılık teşkil ettiğini tespit etti. 

Veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 125.000 TL idari para cezası uygulanmasına karar verildi.

Veri ihlali 24 saat içinde tespit edildi. İhlalden etkilenenlere e-posta ve internet sitesi üzerinden duyuru yapıldı. Bunun yanı sıra şirket Kurul’a iki gün içinde veri ihlal bildiriminde bildirimde buldu. 72 saat içinde bildirim yükümlülüğünü yerine getiren veri sorumlusuna ayrıca bir cezaya hükmedilmedi.

Aşağıdaki bağlantıdan kurul tarafından yayınlanan karar özetinin tamamına ulaşabilirsiniz.

“İlaç sektöründe faaliyet yürüten bir veri sorumlusunun veri ihlali bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 16/06/2020 tarih ve 2020/463 sayılı Karar Özeti