Çağın en kıymetli bilgi kaynağı olarak ferdî datalar görülüyor. Bu mevzuda hudut tanımayan hackerler de ferdî dataları saklayan, ellerinde bulunduran her şirkete, tertibe dal ayırt etmeksizin taarruzlar gerçekleştiriyor. Bunların ortasında son örneğin Manchester United futbol kulübü özelinde gerçekleştiğine dikkat çeken Siberasist Genel Müdürü Serap Günal, bir yerlerde erişime açık ferdî bilgiler varsa ve buna sahip bilgi sorumluları bu bilgileri korumak için bir şey yapmıyorsa bu atakların kaçınılmaz olduğunun altını çiziyor.
Taraftar Datalarına Siber Taarruz
Geçtiğimiz haftalarda Manchester United futbol kulübüne siber akın gerçekleştirildi. Gerçekleşen hücumun art planında ise taraftarların ferdî bilgilerine ve kulübün finansal bilgilerine ulaşmak yer alıyordu. Kulüp üyeleri başta olmak üzere, taraftarların kulüp ve tertiplerinde gerçekleştirdiği her aksiyonda yer alan şahsî bilgilerinin inançta olmamasının önemli tehditlere yol açabileceğini aktaran Günal, gelişmiş atak ataklarını gerçekleştiren hackerlere karşı spor kulüplerinin gerekli teknik ve idari önlemleri almasının kaide olduğunu belirtiyor. Siber ataklara karşı ferdî dataları inançta tutmak için başta dataların saklandığı alanlar olmak üzere, genel sistemlerinde rastgele bir açığın yer almaması gerektiğine de dikkat çeken Günal, ülkemizdeki spor kulüplerine şahsî datayı müdafaaya dair kıymetli tekliflerde bulunuyor.
1. Spor kulüpleri kapalılığa dikkat etmeli. Taraftarların ya da kulüp üyelerinin, şahsî bilgilerini uygunsuz ve yetkisiz erişimden korumak için makul güvenlik tedbirlerini kulüplerin alması gerekiyor. KVKK ve GDPR özelinde karşılaşacakları yaptırımlar dışında, bu mevzuda şuurlu davranışlar sergilenmesi, kulüplerin prestijine da artılar katacaktır.
2. Şeffaflığın inanç yaratacağı unutulmamalı. Taraftarların ve üyelerin ferdî bilgilerinin nasıl toplandığı, kullanıldığı ve paylaşıldığı konusunda açık ve dürüst olmalılar. Taraftarların ve üyelerin datalarının nasıl kullanıldığını bilmek isteyecekleri düşünülmeli ve bilgilerini korumak için gerekli adımlar atılmalı.
3. İş ortaklarına ve alınan üçüncü taraf hizmetlere dikkat edilmeli. Kulüp ismine hizmet veren herkesin, taraftarların şahsî bilgilerini nasıl topladığı ve kullandığından da kulübün sorumlu olduğunu unutmamalı.
4. Bilgi sorumlusu tayin edilmeli. KVKK kanun kuralları gereği olarak tertibe ilişkin bir data sorumlusu belirlenmeli. KVKK’nın getirdiği gerekliliklerden kıymetli bir adım olan VERBİS kayıt ve bildirim yükümlülüğü gerçekleştirilmeli.
5. KVKK uyumluluğu tamamlanmalı. Kişisel bilgileri saklamak, korumak ve işleyebilmek için gerekli olan tüm hukuksal ve teknik önlemleri spor kulüplerinin de alması gerekiyor. Gereksinim duyulan gerekli adımların atılmaması karşılığında gerçekleşecek yaptırımlar konusunda geç kalmamak ismine profesyonel takviye almaktan kaçınmamalıdır.
