Gelen yasalar, tehdit ortamındaki daha geniş kapsamlı gelişmelerle birleştiğinde güvenlik ve veri gizliliği için daha fazla karmaşıklık ve aciliyet yaratacaktır
Veri Gizliliği Haftası (27-31 Ocak) ve Veri Koruma Günü (28 Ocak) ‘nü geride bırakmışken veri korumanın modern kuruluşların başarısında oynadığı kritik role dikkat çekmek için mükemmel bir zaman
Aslında gizlilik ve veri koruma siber güvenlikle el ele gider. GDPR gibi önemli yasalar yalnızca müşterilerinizin gizlilik haklarını korumanın değil, aynı zamanda şifreleme gibi en son teknolojiler aracılığıyla en hassas kişisel bilgilerini (PII) korumanın gerekliliğini vurgulamaktadır. Veri Gizliliği Haftası gibi kampanyalar yıllık etkinliklerden daha fazlasıdır. Sürekli gelişen dijital ortamda verilerin güvenliğine ve gizliliğine öncelik vermek için harekete geçme çağrıları olarak düşünülmelidir.
Geçtiğimiz 12 ay; yeni yasalar, önemli hukuki kararlar ve ortaya çıkan teknoloji ve tehdit trendleri sayesinde küresel gizlilik için önemli bir dönem oldu. Şimdi 2025 yılında da aynı şeylerin yaşanmasına hazırlanma zamanı.
2024’te ne oldu?
Geçtiğimiz yıl boyunca tanık olduklarımız:
Bazı şaşırtıcı para cezaları ve uzlaşmalar
- Üçüncü taraf verilerini işlemek için kullanıcılardan resmi onay talep etmediği gerekçesiyle LinkedIn’e 310 milyon € (318 milyon $) GDPR cezası,
- ABD’de depolanan sürücü verilerini yeterince koruyamadığı için Uber’e 294 milyon € (332 milyon $) GDPR cezası,
- Kullanıcıların şifrelerini düz metin olarak sakladığı için Meta’ya 91 milyon € (93 milyon $) GDPR cezası,
- Vatandaşların biyometrik verilerinin hukuka aykırı olarak ele geçirilmesi ve kullanılması nedeniyle Meta ile Teksas eyaleti arasında 1,4 milyar dolarlık bir anlaşma.
Önemli mahkeme kararları
Avrupa Birliği Adalet Divanı’ndan (ABAD) çıkan önemli kararlar, blokta faaliyet gösteren kuruluşlar için önemli sonuçlar doğuracaktır. Bunlar arasında şunlar yer almaktadır:
- ABAD’ın, işletmelerin haksız rekabet yasaları kapsamında GDPR ihlalleri nedeniyle rakiplerine dava açabileceğine hükmettiği Lindenpotheke davası. Aynı karar sağlık verilerinin tanımını da genişletmiştir.
- ABAD’ın, kuruluşların sıkı gizlilik önlemlerine uyması koşuluyla kişisel verilerin işlenmesinin yasal dayanağı olarak “meşru menfaatleri” açıklığa kavuşturduğu C-621/22 sayılı karar.
Siber güvenlikle ilgili daha fazla yasa
2024’te gerçekleşen veya devam edenler arasında şunlar vardı:
- Daha fazla kuruluşu kapsama alan ve sıkı siber güvenlik kontrolleri uygulamalarını gerektiren NIS2,
- Bölgede satılan donanım ve yazılımlar için sıkı bir dizi güvenlik gereksinimini zorunlu kılan Siber Dayanıklılık Yasası (CRA),
- Üye devletlerin büyük ölçekli siber güvenlik tehditlerini daha iyi tespit etmelerine, bunlara hazırlanmalarına ve yanıt vermelerine yardımcı olmak üzere tasarlanan Siber Dayanışma Yasası (CSA).
Küresel yapay zekâ yönetişim çabaları
Bunlar:
- AB Yapay Zekâ Yasası
- Avrupa Konseyi Yapay Zekâ Çerçeve Sözleşmesi‘ne daha fazla imza (Birleşik Krallık, AB ve ABD dahil)
- Çin Yapay Zekâ Güvenliği Yönetişim Çerçevesi
Kuruluşunuzun belirli düzenlemelerle nasıl uyumlu olabileceği hakkında daha fazla bilgi edinmek için ESET’in İşletmeler için Siber Güvenlik Uyumluluğu sayfasına göz atın.
2025’te sizi neler bekliyor?
Bu olayların birçoğunun etkisi 2025 ve sonrasında hissedilirken yeni çıkan yasalar ve uzun vadeli tehdit ortamı eğilimleri güvenlik ve uyum ekipleri için daha fazla karmaşıklık ve aciliyet yaratacaktır. Şunlar için hazırlıklı olun:
Veri gizliliği için daha fazla koruma
Bunlar arasında Kanada’nın C-27 Yasası, Birleşik Krallık’ın Veri (Kullanım ve Erişim) Yasası ve Delaware, Iowa, Nebraska, New Hampshire, New Jersey, Tennessee, Minnesota ve Maryland’de en az sekiz eyalet düzeyinde gizlilik yasası bulunmaktadır. Bunlar kümülatif olarak gizlilik hakları konusunda farkındalık yaratmaya ve bu hakları yasalara dahil etmeye yardımcı olmanın yanı sıra düzenleyici yaptırımlara da kapı açacaktır. Sonuç büyük olasılıkla uyum ekipleri ve iş liderleri üzerindeki veri koruma önlemlerini geliştirme baskısını artırmak olacaktır.
Daha fazla uygulama
Ayrıca 2024’te kabul edilen yasalar yürürlüğe girmeye başladıkça ve çeşitli gereklilikler yürürlüğe girdikçe düzenleyicilerin kaslarını esnetmeye başladığını görmeyi bekleyebiliriz. Örneğin, AB Yapay Zekâ Yasası:
- Kabul edilemez riskler oluşturan yapay zekâ sistemlerinin (sosyal puanlama ve hedeflenmemiş yüz verileri kazıma dahil) 2 Şubat’tan itibaren yasaklanması,
- Genel amaçlı yapay zekâ modelleri için 2 Ağustos’ta yürürlüğe girecek olan gereklilikler, üretken yapay zekâ (GenAI) geliştiricilerinin sistemik riskleri değerlendirip azaltmaları ve siber güvenlik önlemlerini belgelemeleri için bir zorunluluk içerecek.
Daha fazla tehdit ve daha fazla veri gizliliği
Geçtiğimiz yıl ABD‘de kamuya açık olarak bildirilen veri ihlalleri rekor seviyelere ulaştı ve bunun sonucunda 353 milyondan fazla son kullanıcı kimlik dolandırıcılığına maruz kaldı. Yapay zekâ araçları, çalınan kimlik bilgileri ve hizmet tabanlı teklifler siber suç yeraltında çoğalmaya devam ettikçe hazırlıksız güvenlik ekiplerini yakalayabilecek nispeten sofistike siber saldırıların bir tufanını bekleyin. Özellikle GenAI sosyal mühendislik kampanyalarının kalitesini artıracak ve savunmasız ve açıkta kalan BT varlıklarının keşfini kolaylaştıracaktır.
Güvenlik duruşlarını en iyi uygulamalar doğrultusunda geliştirmeyen kuruluşlar, küresel gizlilik düzenleyicilerinin incelemesini davet etme riskiyle karşı karşıyadır.
Yeni yasaları silah olarak kullanan tehdit aktörleri
Tıpkı GDPR’nin yürürlüğe girmesinin ardından yaptıkları gibi, siber suçlular düzenleyici eylem tehdidini kullanarak mağdurları şantaj saldırılarında ödeme yapmaya zorlayabilir. Örneğin NIS2 cezaları 10 milyon Euro’ya ya da küresel yıllık gelirin %2’sine ulaşabilir. Yeni yasanın düzenlemeye tabi kuruluşlar arasında iyileştirmeler yapılmasına yardımcı olması halinde, tehdit aktörlerinin dikkatlerini daha küçük firmalar gibi yönergeye tabi olmayan kuruluşlara çevirmesi de mümkündür.
Yapay zekâ veri gizliliği uyumluluğunda zorluklar yaratıyor
Yapay zekâ sistemlerinin büyük hacimli veriler üzerinde eğitilmesi gerekir. Bazen bu veriler web’den kazınır ve bazen de mevcut müşteri hesaplarından gelir. Bu durum, onay açıkça alınmamışsa potansiyel gizlilik sorunları yaratır (LinkedIn’in Birleşik Krallık’ta keşfettiği gibi). Opak yapay zekâ sistemleri, kullanıcılar tarafından talep edildiğinde kuruluşların kişisel bilgileri kaldırmasını veya düzeltmesini de zorlaştırabilir. Colorado’nun öncülüğünde birkaç ABD eyaleti yapay zekâ yasaları planlamaktadır.
Veri gizliliği için ne yapmalı?
Bu çerçevede, 2025 yılı güvenlik ve uyum ekipleri için kritik bir yıl olabilir. Oyunda bir adım önde olduğunuzdan emin olun:
- İlgili düzenleyici ve yasal değişiklikleri takip etmek ve kuruluşunuz için geçerli olan uyumluluk gerekliliklerini anlamak,
- Sektördeki en iyi uygulamalar doğrultusunda veri güvenliğinin artırılması,
- Kurumsal veri sahiplerinin net bir şekilde belirlenmesini sağlamak ve ilgili herkesin rol ve sorumluluklarını tanımlayan sağlam bir raporlama sistemi oluşturmak,
- Herhangi bir yeni ürün veya hizmeti (örneğin, yeni bir yapay zekâ aracı) sunmadan önce veri koruma etki değerlendirmelerinin (DPIA’lar) gerçekleştirilmesi ve DPIA’ya dayalı olarak uygun önlemlerin alınması,
- Performansın izlenmesi, güvenlik protokollerinin gözden geçirilmesi ve dikkat gerektiren alanların ele alınması.
Veri koruma genellikle bir yük gibi görünebilir ancak aslında bir fırsat olarak görülmelidir. Kuruluşunuza müşteri sadakatini ve güvenini artırma şansı sunarken finansal ve itibar açısından zarar verici ihlal riskini azaltmaktan bahsetmeye bile gerek yok. 2025’e bu gözle bakarsanız önümüzdeki 12 ay yeni iş olanaklarına kapı açabilir.
Bilgi hırsızı hızla büyüyor: Lumma Stealer
