KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme

Veri Keşfi

Kurum içerisinde dokümanlar ve veri tabanları günden güne artmaktadır. Bu veriler arttıkça başa çıkmak da zor bir hal almaktadır. Bunun için periyodik olarak kurum içerisindeki verilerin keşfi ve sınıflandırılması gerekir. Söz konusu kişisel verilerin hangi veri tabanlarında veya arşivde hangi ofis dokümanında yer aldığı tespit edilmelidir. Daha sonrasında ise bu verilere ihtiyaç yoksa silinmeli, silinmesi mümkün değilse anonimleştirme çalışması yapılmalı. Bu çalışma, kurum içerisinde de kişisel verilere dair farkındalık kazanılmasını sağlar.

Bu çalışmalarda kişisel verilerin tespit edilmesi ve sınıflandırılması, ilerleyen zamanlarda veri sızıntılarının da önlenmesi için ilk aşamadır. Verinin keşfi aşamasında veri tabanları monitör edilerek hangi kolonun hangi tablosunda, hangi verinin bulunduğunun tespit edilmesi gerekmektedir. Tespit edilen kişisel verilere göre gerekli güvenlik adımlarının uygulanması maskeleme ya da şifreleme adımların gerçekleştirilmesi gerekmektedir. Gerçekleştirilen bu adımlardan sonra verilere DB adminlerinin dahi erişememesi sağlanmalıdır. Firmaların, veri tabanlarının tek DB adminine bırakılmaması ve veri tabanı tarafında gerçekleştirilen tüm sorguların izlenmesi bir veri ihlali sonrasında kimin nereye, ne zaman, hangi username, hangi ip ve hangi bilgisayar üzerinden eriştiği bilgilerinin tutulması, vaka sonrasında nokta atışı kişi tespiti yapılması sağlanmalıdır.

Veri Şifreleme

Açık Veri ve Şifrelenmiş Veri

Açık veri, veri aktarımı sırasında şifrelenmeden (clear text) aktarılan verilere denir. Bu tür veriler, konfigürasyonu düzgün yapılmamış bir network üzerinden gönderiliyorsa, arp poisoning atağı ile ağı dinleyip trafiği kendi üzerinden geçiren bir saldırgan bu verileri kolayca elde edebilir. Diğer yandan bu verilerin bulunduğu sunucu, veri tabanındaki veriler şifrelenmemiş halde bırakıldığından saldırganın eline geçtiğinde büyük riskler doğurur.

Bu verilerin, belirli şifreleme algoritmaları (AES, RSA, DES vb.) ile güvenliği sağlanabilir. Bu durumda bir saldırganın eline geçse dahi açık veriden daha güvenli olacaktır.

Simetrik ve Asimetrik Şifreleme

Simetrik şifrelemede, şifrelenmiş veriyi tek bir anahtar ile açık veri haline getirmek mümkündür. Ancak asimetrik şifrelemede iki anahtar bulunur. Birinci anahtar herkese açıktır ve bu anahtarla şifreleme yapılır. Ancak şifrelenmiş veri, ikinci anahtarla açık veri haline gelir. İkinci anahtara sahip olmayan kişiler şifrelenmiş verileri çözemez.

Anahtarı Şifreden Ayrı Yönetmek

Şifrelenen verileri, açık veri haline getirecek anahtar, verilerle aynı veri tabanında tutulmamalıdır. Bunun yanı sıra anahtar üçüncü kişilerle paylaşılmamalı ve korunmalıdır. Simetrik şifreleme yöntemlerinde deneme yanılma ile bu verileri açık veri olarak elde etmek mümkün olacağından, bu veriler hala kişisel veri olarak sayılmaktadır. Ancak asimetrik şifreleme ile şifrelenen veriler, anahtara sahip olmadıkça geri getirilemediği için kişisel veri olmaktan çıkar.

Veri Maskeleme

Kişisel verilerin, gerçek kişilerle ilişkilendirilmeyecek biçimde kısmen veya tamamen silinmesi, yıldızlanması veya çizilmesi gibi işlemler yapılarak anonimleştirilmesi işlemidir. Bu sayede veri tabanları ve dokümanlarda kişisel veri yer almadığı için veri sızıntısı da olmayacaktır.

Veri maskelemek için birçok yöntem uygulanabilir. Baskılama yöntemi ile kişisel verilerin yer aldığı karakterler sabit bir karakter veya metin ile değiştirilerek saklanılabilir.

Genelleme yöntemi ile ise bir veri belirli aralıklara alınarak kaydedilebilir. Örneğin “23 yaş” değerini veri tabanında kaydetmek için 20>Yaş>25 yazılabilir.

Verilerin şifrelenmesi de en sık kullanılan yöntemlerden biridir. Bu yöntemde simetrik veya asimetrik şifrelemelerden birisi kullanılır. Şifrelenen veri, kişisel veri kapsamından çıkmaz ancak daha güvenli biçimde saklanır. Dışarıdan ya da içeriden kötü niyetli bir kişi tarafından veri tabanı üzerinden veriler çekildiğinde, çekilen verinin hiçbir önemi olmayacaktır.