Makale

Elektronik ticaret hacminin artmasıyla birlikte, tüketicilere ait kimlik, iletişim, konum ve ödeme verileri dijital platformlara yoğun bir şekilde aktarılmaktadır. İşletmelerin sahip olduğu bu geniş müşteri veri tabanları, günümüzde siber saldırganların en temel hedefi konumundadır. Bir bilişim hukuku uzmanı perspektifiyle değerlendirildiğinde, kişisel veri güvenliğinin sağlanması yalnızca teknik bir gereklilik değil, Kişisel Verilerin Korunması Kanunu'nun on ikinci maddesi uyarınca veri sorumlusuna yüklenen mutlak bir hukuki yükümlülüktür. Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, bu verilere yetkisiz erişimleri engellemek ve verilerin muhafazasını sağlamak amacıyla her türlü uygun güvenlik düzeyini temin etmekle mükelleftir. Gerekli önlemlerin alınmaması, şirketler açısından devasa boyutta veri ihlalleri ve ağır idari yaptırımlarla sonuçlanmaktadır.

E-Ticaret Sektörünü Hedef Alan Siber Saldırı Yöntemleri

E-ticaret platformları, internet üzerinden kesintisiz faaliyet göstermeleri sebebiyle her gün çok çeşitli siber tehditlere maruz kalmaktadır. Hukuki uygulamalarda ve Kişisel Verileri Koruma Kurulu kararlarında sıkça karşılaşılan saldırıların başında, kullanıcıları sahte bir içerikle kandırarak verileri ele geçirmeyi amaçlayan oltalama (phishing) saldırıları gelmektedir. Bunun yanı sıra, bilgisayar ağlarına gizlice sızarak veri çalan veya şifreleyen zararlı yazılımlar (malware), fidye yazılımları ve Truva atları e-ticaret sitelerinin altyapılarını tehdit eden başlıca unsurlardandır. Kötü niyetli kişilerin, sistemin ağ kapasitesinin üzerinde istek göndererek platformun hizmet vermesini engellediği DDoS saldırıları ve veri tabanlarına sızarak bilgileri doğrudan ifşa etmeyi amaçlayan SQL enjeksiyonu saldırıları da sıklıkla görülmektedir. Bu saldırılarla genellikle kredi kartı bilgileri, parolalar ve müşteri işlem geçmişleri ele geçirilerek hukuka aykırı menfaatler elde edilmektedir.

Ödeme Sistemleri ve Ağ Güvenliğine Yönelik Teknik Tedbirler

Siber saldırılara karşı koruma sağlamak için veri sorumlularının mevzuata ve güncel teknolojik standartlara uygun teknik güvenlik tedbirleri alması zorunludur. Web uygulaması güvenlik duvarı (WAF) kullanımı, zararlı yazılımlara karşı güncel antivirüs sistemlerinin bulundurulması ve saldırı tespit ile önleme sistemlerinin ağlara entegre edilmesi gerekmektedir. Özellikle e-ticarette en hassas veri sayılan ödeme bilgileri güçlü bir şekilde koruma altına alınmalıdır. Finansal verilerin aktarımı sırasında SSL sertifikalarının kullanılması, ödeme işlemlerinde 3D Secure gibi ek kimlik doğrulama adımlarının zorunlu tutulması ve PCI DSS standartlarına mutlak suretle uyulması hayati önem taşır. Ayrıca, içerideki hassas verilerin yetkisiz kişilerce ağ dışına çıkarılmasını engellemek üzere veri kaybı önleme (DLP) yazılımlarının kullanılması, veri sorumlusunun teknik özen yükümlülüğünü yerine getirdiğinin bir göstergesi olarak kabul edilir.

Veri İhlallerini Önlemede İdari Tedbirlerin Rolü

Kişisel veri güvenliğinin sağlanması, teknik önlemlerin yanı sıra kurum içi disiplini ve organizasyonu kapsayan idari tedbirler ile mutlaka desteklenmelidir. Bilişim sistemlerindeki en zayıf halkanın genellikle insan faktörü olduğu unutulmamalıdır. Bu nedenle, şirket çalışanlarının siber güvenlik, sosyal mühendislik saldırıları ve oltalama e-postaları hakkında düzenli olarak eğitilmesi hukuki bir zorunluluktur. Kurum içerisinde yetki matrislerinin oluşturulması, mevcut risk ve tehditlerin önceden belirlenerek kişisel veri güvenliği politikaları ve prosedürlerinin hazırlanması gereklidir. E-ticaret işletmelerinin siber güvenliği sağlamak amacıyla alması gereken temel idari önlemler şunlardır:

• Sistemlere erişimde, kullanıcılar ve çalışanlar için çift faktörlü kimlik doğrulama mekanizmalarının entegre edilmesi.
• Siber saldırılara karşı zafiyetleri tespit etmek amacıyla düzenli olarak sızma testleri yaptırılması.
• Hizmet alınan bulut veya altyapı sağlayıcısı şirketlerin, veri güvenliği açısından belirli aralıklarla denetlenmesi.