KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme

Yayınlayan
Ferhat Uçar
Yayınlanma tarihi
26-02-2022
Okuma süresi
7 DK

KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme

 

Veri Keşfi

Kurum içerisinde dokümanlar ve veri tabanları günden güne artmaktadır. Bu veriler arttıkça başa çıkmak da zor bir hal almaktadır. Bunun için periyodik olarak kurum içerisindeki verilerin keşfi ve sınıflandırılması gerekir. Söz konusu kişisel verilerin hangi veri tabanlarında veya arşivde hangi ofis dokümanında yer aldığı tespit edilmelidir. Daha sonrasında ise bu verilere ihtiyaç yoksa silinmeli, silinmesi mümkün değilse anonimleştirme çalışması yapılmalı. Bu çalışma, kurum içerisinde de kişisel verilere dair farkındalık kazanılmasını sağlar.

Bu çalışmalarda kişisel verilerin tespit edilmesi ve sınıflandırılması, ilerleyen zamanlarda veri sızıntılarının da önlenmesi için ilk aşamadır. Verinin keşfi aşamasında veri tabanları monitör edilerek hangi kolonun hangi tablosunda, hangi verinin bulunduğunun tespit edilmesi gerekmektedir. Tespit edilen kişisel verilere göre gerekli güvenlik adımlarının uygulanması maskeleme ya da şifreleme adımların gerçekleştirilmesi gerekmektedir. Gerçekleştirilen bu adımlardan sonra verilere DB adminlerinin dahi erişememesi sağlanmalıdır. Firmaların, veri tabanlarının tek DB adminine bırakılmaması ve veri tabanı tarafında gerçekleştirilen tüm sorguların izlenmesi bir veri ihlali sonrasında kimin nereye, ne zaman, hangi username, hangi ip ve hangi bilgisayar üzerinden eriştiği bilgilerinin tutulması, vaka sonrasında nokta atışı kişi tespiti yapılması sağlanmalıdır.

Veri Şifreleme
Açık Veri ve Şifrelenmiş Veri

Açık veri, veri aktarımı sırasında şifrelenmeden (clear text) aktarılan verilere denir. Bu tür veriler, konfigürasyonu düzgün yapılmamış bir network üzerinden gönderiliyorsa, arp poisoning atağı ile ağı dinleyip trafiği kendi üzerinden geçiren bir saldırgan bu verileri kolayca elde edebilir. Diğer yandan bu verilerin bulunduğu sunucu, veri tabanındaki veriler şifrelenmemiş halde bırakıldığından saldırganın eline geçtiğinde büyük riskler doğurur.

Bu verilerin, belirli şifreleme algoritmaları (AES, RSA, DES vb.) ile güvenliği sağlanabilir. Bu durumda bir saldırganın eline geçse dahi açık veriden daha güvenli olacaktır.

Simetrik ve Asimetrik Şifreleme

Simetrik şifrelemede, şifrelenmiş veriyi tek bir anahtar ile açık veri haline getirmek mümkündür. Ancak asimetrik şifrelemede iki anahtar bulunur. Birinci anahtar herkese açıktır ve bu anahtarla şifreleme yapılır. Ancak şifrelenmiş veri, ikinci anahtarla açık veri haline gelir. İkinci anahtara sahip olmayan kişiler şifrelenmiş verileri çözemez.

Anahtarı Şifreden Ayrı Yönetmek

Şifrelenen verileri, açık veri haline getirecek anahtar, verilerle aynı veri tabanında tutulmamalıdır. Bunun yanı sıra anahtar üçüncü kişilerle paylaşılmamalı ve korunmalıdır. Simetrik şifreleme yöntemlerinde deneme yanılma ile bu verileri açık veri olarak elde etmek mümkün olacağından, bu veriler hala kişisel veri olarak sayılmaktadır. Ancak asimetrik şifreleme ile şifrelenen veriler, anahtara sahip olmadıkça geri getirilemediği için kişisel veri olmaktan çıkar.

Veri Maskeleme

Kişisel verilerin, gerçek kişilerle ilişkilendirilmeyecek biçimde kısmen veya tamamen silinmesi, yıldızlanması veya çizilmesi gibi işlemler yapılarak anonimleştirilmesi işlemidir. Bu sayede veri tabanları ve dokümanlarda kişisel veri yer almadığı için veri sızıntısı da olmayacaktır.

Veri maskelemek için birçok yöntem uygulanabilir. Baskılama yöntemi ile kişisel verilerin yer aldığı karakterler sabit bir karakter veya metin ile değiştirilerek saklanılabilir.

Genelleme yöntemi ile ise bir veri belirli aralıklara alınarak kaydedilebilir. Örneğin “23 yaş” değerini veri tabanında kaydetmek için 20>Yaş>25 yazılabilir.

Verilerin şifrelenmesi de en sık kullanılan yöntemlerden biridir. Bu yöntemde simetrik veya asimetrik şifrelemelerden birisi kullanılır. Şifrelenen veri, kişisel veri kapsamından çıkmaz ancak daha güvenli biçimde saklanır. Dışarıdan ya da içeriden kötü niyetli bir kişi tarafından veri tabanı üzerinden veriler çekildiğinde, çekilen verinin hiçbir önemi olmayacaktır.

Ferhat Uçar

Diğer Blog Yazıları_

Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Infraskope Server ve Özellikleri
Infraskope Server ve Özellikleri
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kurumlarda Ağ Güvenlik Stratejileri
Kurumlarda Ağ Güvenlik Stratejileri
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
Log Yönetiminde Ajanlı/Ajansız Çözümler
Log Yönetiminde Ajanlı/Ajansız Çözümler
Herkesin aklındaki soru: Yapay Zeka Nedir?
Herkesin aklındaki soru: Yapay Zeka Nedir?
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Web Cache Poisoning
Web Cache Poisoning
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
ARP Poisoning
ARP Poisoning
Cross-Site Request Forgery (CSRF) Zafiyeti
Cross-Site Request Forgery (CSRF) Zafiyeti
SSRF (Server Side Request Forgery)
SSRF (Server Side Request Forgery)
BlueBorne
BlueBorne
Server Side Template Injection Nedir?
Server Side Template Injection Nedir?
Linux Restricted Shell Atlatma Teknikleri
Linux Restricted Shell Atlatma Teknikleri
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
SDR-Sharp Kullanımı
SDR-Sharp Kullanımı
Log Yönetimi | Log Management | Veritabanı Log | Siem
Log Yönetimi | Log Management | Veritabanı Log | Siem
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Phishing Nedir?
Phishing Nedir?
“GOLD” Affix Phishing Attack
“GOLD” Affix Phishing Attack
Sızma Testi ve Ödül Avcılığı Hizmetleri
Sızma Testi ve Ödül Avcılığı Hizmetleri
Güvenilir Olarak CAPTCHA Yapılandırılması
Güvenilir Olarak CAPTCHA Yapılandırılması
Basit Kriptolojiden Günümüze Evrilişi
Basit Kriptolojiden Günümüze Evrilişi
Dosya Sistem Analizinin Önemi
Dosya Sistem Analizinin Önemi
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Sızma (Penetrasyon) Testi Nedir?
Sızma (Penetrasyon) Testi Nedir?
Start Up Kültürü
Start Up Kültürü
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Kritik Altyapılar ve SCADA Güvenliği
Kritik Altyapılar ve SCADA Güvenliği
Zararlı Yazılım Analiz Teknikleri
Zararlı Yazılım Analiz Teknikleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
PHISHING Hakkında Her şey
PHISHING Hakkında Her şey
Sosyal Mühendislik Nedir?
Sosyal Mühendislik Nedir?
Siber Hijyen
Siber Hijyen
Adli Bilişim (Digital Forensic) Nedir?
Adli Bilişim (Digital Forensic) Nedir?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
SolarWinds Vaka Analizi
SolarWinds Vaka Analizi
Frida ile SSL Pinning Bypass
Frida ile SSL Pinning Bypass
COOKİE Nedir? Nasıl Çalışır?
COOKİE Nedir? Nasıl Çalışır?
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Adwind Rat Technical Analysis Report (ENG)
Adwind Rat Technical Analysis Report (ENG)
SOC Nedir, Firmalar İçin Neden Önemlidir?
SOC Nedir, Firmalar İçin Neden Önemlidir?
Blockchain Nedir?
Blockchain Nedir?
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
Active Directory Güvenlik İpuçları
Active Directory Güvenlik İpuçları
Nisan 2022 Siber Güvenlik Bülteni
Nisan 2022 Siber Güvenlik Bülteni
Mavi Takım Üyeleri İçin Windows Core Process
Mavi Takım Üyeleri İçin Windows Core Process
Kişiler İçin Bilgi Güvenliği Rehberi
Kişiler İçin Bilgi Güvenliği Rehberi
DDoS Nedir?
DDoS Nedir?
C Dilinde Dosya Yönlendirmeleri (IO Redirection)
C Dilinde Dosya Yönlendirmeleri (IO Redirection)
Microsoft Teams — Cross Site Scripting (XSS) Bypass CSP Report
Microsoft Teams — Cross Site Scripting (XSS) Bypass CSP Report
Siber İstihbarat ve Siber Tehdit İstihbaratı
Siber İstihbarat ve Siber Tehdit İstihbaratı
JWT Saldırıları
JWT Saldırıları
CVE-2022–36446 — Webmin 1.996 — Remote Code Execution (RCE — Authenticated) During Install New Packages
CVE-2022–36446 — Webmin 1.996 — Remote Code Execution (RCE — Authenticated) During Install New Packages