Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz Yıldızlar Yatırım Holding AŞ, Yıldız Demir Çelik Sanayi AŞ, Yıldız Entegre Ağaç Sanayi AŞ ve İstanbul Gübre Sanayi AŞ (İGSAŞ) tarafından Kurula iletilen veri ihlal bildirimlerinde özetle;
- Kimliği belirsiz siber saldırganların, henüz tespit edilemeyen bir yöntem ile veri sorumlularına ait sunucuları şifrelediği; fiziksel sunucuyu yönetmekte kullanılan yönetici parolasını değiştirerek sunucuya erişimi imkansız hale getirdiği; dosya sunucusunun olduğu alana fidye talep etmek için not bıraktığı,
- İhlalin 03.04.2022 tarihinde başladığı ve aynı gün tespit edildiği,
- Veri sorumlularına ait e-fatura, e-defter, muhasebe, lojistik, stok, personel, insan kaynakları, üretim, yönetim ve benzeri sistemlerin tamamına ilişkin verilerin şifrelendiği; şifrelenen tüm dosyaların kullanılamaz ve erişilemez halde olduğu,
- Olay müdahale ve analiz çalışmalarına devam edildiği
beyan edilmiş olup, ihlalden etkilenen kişisel veri kategorilerine, ilgili kişi gruplarına ve kişi sayısına ise bildirimde yer verilmemiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 07.04.2022 tarih ve 2022/334, 335,336 ve 337 sayılı Kararları ile söz konusu veri ihlal bildirimlerinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
Kaynak: kvkk.gov.tr