Geçtiğimiz günlerde KVK Kurulu, bir sağlık sektöründe yaşanan veri ihlaline herhangi bir ceza verilmeyeceğine ilişkin bir örnek karar yayınladı. Bu karar ile beraber kurumların ISO 27001 BGYS ile uyumunun önemi bir kere daha anlaşılmış oldu.
Bilgi Güvenliği yönetimi günümüzde tüm sektörler için önemli olmakla birlikte bazı sektörler için daha kritik olduğunu söyleyebiliriz. Finans, Sağlık, Kamu Bilgi Teknolojileri, Havacılık ve Savunma Sanayii gibi kritiklik seviyesinin yüksek olduğu sektörlerde bilgi güvenliği gereksinimleri daha çok ön plana çıkmaktadır.
Ayrıca bu sektörlerde faaliyet gösteren firmaların iş birliği yaptığı taşeronları, tedarikçileri gibi 3. taraflar için de bilgi güvenliği kontrolleri gereklidir. Veri işleyen veya Alt veri işleyen statüsündeki bu firmalar müşterilerine bilgilerin koruma altında olduğunun güvencesini vermek zorundadır.
Uluslararası kabul görmüş olan ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı, tüm sektörlerde uygulanabilecek bilgi güvenliği kontrollerini sağlamaktadır. Bu kontroller Kişisel Verilerin Korunması mevzuatlarına uyum konusunda da kuruluşlara destek olmaktadır.
Kişisel Veri ve hatta Özel Nitelikli kişisel verinin yoğun bir şekilde işlendiği sağlık sektöründe bilgi güvenliğinin sağlanması kritik önem taşımaktadır. Bu bilgilerin dijital ortamlarda hiçbir güvenlik açığına mahal vermeyecek şekilde korunması gerekir. Aksi takdirde hayatın devamlılığı gereği en önemli sektörler arasında gelen sağlık sektöründe ciddi aksamalar yaşanabilir. Siber saldırı kaynaklı can kaybının tarihte ilk kez Almanya’da bir hastanede görülmesini de göz önünde bulundurursak Sağlık Sektöründe bilgi güvenliğin ne denli kritik olduğunu açıklayabiliriz.
Geçtiğimiz aylarda Türkiye’ de sağlık sektöründe faaliyet gösteren bir kurum, Dünya genelinde yaygın olan ve kurum tarafından da kullanılan bir uygulamadaki güvenlik açığından faydalanan saldırganlar, uygulamanın bulunduğu sunucu üzerinden veri sızdırmıştır. Bu ihlalden etkilenen kişisel veriler ise Kimlik Verisi , İletişim Verisi ve Müşteri İşlem Verisi olarak açıklanmıştır.
Yaşanan ihlale yönelik KVK Kurulunun ilgili kararında sağlık kuruluşunun ISO 27001 ile uyumu, çalışanların BGYS farkındalıkları ve alınan idari teknik tedbirlerden ötürü, kurumun yaşanan ihlal karşısında bilinçli olduğu kurumdan kaynaklı olmadığı sonucuna varıldığını belirtmiştir. İdari para cezasının uygulanmadığı bu ihlalde, kurumun ISO 27001 Bilgi Güvenliği Yönetim Sistemi kontrolleri ile gerekli tedbirleri yerine getirdiği kanaatine varıldığı görülmektedir.(*)
Özetle, ISO 27001 Bilgi Güvenliği Yönetim Sistemi şartları ile uyumlu olmak, olası ihlal risklerini en düşük seviyeye taşır, kurumunuza olan güveni artırır, yasal uyumu sağlar, maddi zararlardan korunmanıza ve iş sürekliliğini sağlamanıza yardımcı olur.
———————————————————————————————————————————————————————————————————————(*) https://kvkk.gov.tr/Icerik/6860/2020-787