Siber uzayda kişisel verilerin korunmasının zorluğu

Organize, profesyonel veri ticareti

Çalıştayda konuşan Kamu Güvenliği Bakanlığı Siber Güvenlik ve Yüksek Teknoloji Suç Önleme Dairesi Müdürü (A05), NCA Başkan Yardımcısı Korgeneral Nguyen Minh Chinh, Kamu Güvenliği Bakanlığı'nın yakın zamanda kişisel verilerin alım satımına karışan yüzlerce kişi ve kuruluşu tespit ettiğini söyledi.

Vietnam'da birçok büyük ölçekli veri gaspı ve ticareti hattı keşfedildi, mücadele edildi ve ele geçirildi. Yasadışı olarak toplanan ve ticareti yapılan kişisel veri miktarı, birçok dahili ve hassas kişisel veri de dahil olmak üzere binlerce GB'a ulaştı. Veri güvenliği riskleri, koruma çalışmalarını zorlaştırmaya devam ediyor.

2023 yılında, kişisel ve hassas verilerin alım satımı birçok karmaşık yöntem ve hileyle karmaşıklaşmaya devam etti. Kamu Güvenliği Bakanlığı, siber uzayda bilgi, devlet sırları ve iç verilerin ifşası ve satışı ile ilgili 16 vakayı proaktif olarak tespit etti, soruşturdu ve doğruladı.

Veri güvenliği riskleri hakkında yorum yapan Korgeneral Nguyen Minh Chinh, siber alanda kişisel verilerin ifşa edilmesinin yaygın olduğunu söyledi. Kullanıcılar, kişisel verilerinin korunması konusunda bilinçli değiller, bunları kamuya açık olarak paylaşmıyorlar veya ticari faaliyetler için aktarım, saklama, takas etme sürecinde ifşa ediyorlar veya yetersiz koruma önlemleri nedeniyle verilerin kamuya açık olarak paylaşılmasına yol açıyorlar.

Kişisel verilerin alım satımı günümüzde yaygın ve kamuya açık bir durumdur; ham veriler ve işlenmiş kişisel veriler söz konusu olduğunda, yasal düzenlemelerin yetersizliği nedeniyle birçok işlem gerçekleştirilememektedir. Kişisel verilerin alım satımı yalnızca bireysel olarak, bireyler arasında gerçekleşmekle kalmayıp, aynı zamanda şirketlerin, kuruluşların ve işletmelerin de katılımını gerektirir.

Korgeneral Nguyen Minh Chinh, "Bazı yeni kurulan şirketler, ticari kazanç sağlamak amacıyla kişisel verileri yasa dışı yollarla toplamaya yönelik teknik sistemler kurmak ve işletmek için yatırım yapıyor; kişisel bilgileri toplamaya yönelik yazılımlar üretiyor, bunları web sitelerine gizleyerek otomatik olarak bilgi topluyor, bunları değerli kişisel veri dosyalarına dönüştürüyor; ağ ortamında kişisel verileri toplayan kötü amaçlı kodlar yayıyor; saldırılar düzenliyor ve kişisel verileri ele geçirmek için kurumların, kuruluşların ve işletmelerin bilgisayar sistemlerine sızıyor" dedi.

Viettel Cyber ​​​​Security Şirketi'nde teknolojiden sorumlu müdür yardımcısı Bay Le Quang Ha, 2024'ün ilk 6 ayında Viettel Cyber ​​​​Security Şirketi'nin sisteminde 46 veri sızıntısı ve satışı vakası kaydedildiğini, 13 milyon kayıt satıldığını, 12,3 GB kaynak kodunun sızdırıldığını, fidye talep eden 10 veri şifreleme saldırısı gerçekleştirildiğini ve 56 kuruluşun veri şifreleme saldırısı belirtileri gösterdiğini söyledi. Ayrıca 495.000 DDoS saldırısı, 2.364 kimlik avı alan adı, 7 hedefli siber saldırı grubu (ATP) keşfedildi, 17.648 yeni bilgi güvenliği açığı keşfedildi ve kimlik avı alan adlarına bağlı 2.139 IP adresi tespit edildi... Bay Le Quang Ha, "Şu anda profesyonel bir siber güvenlik şantaj sektörü oluştu" yorumunu yaptı.

Siber güvenlik bilgi paylaşım platformu oluşturma

Çalıştayda, uzmanların tamamı Vietnam'daki veri yönetiminin hâlâ birçok eksiklik ve sınırlamaya sahip olduğunu belirtti. Buna göre, bazı kuruluş ve işletmeler veri toplama ve yönetimi için temel bilgi teknolojisi sistemlerini devreye alacak altyapıya sahip değil veya yeterli altyapıya sahip değil.

Birçok veritabanı, paylaşılan veri kategorileri açısından tutarsız, çakışan ve kopyalanmış olarak toplanıp depolanmakta ve bu da verilerin birbirine bağlanmasını, paylaşılmasını ve kullanılmasını zorlaştırmaktadır. Veri merkezlerine yapılan yatırımlar eş zamanlı olmayıp, standartlar ve teknik düzenlemeler açısından tutarsız olup, düzenli olarak kontrol edilmemekte, bakımı yapılmamakta veya güncellenmemektedir. Bu da sistem güvenliğinin ve emniyetinin sağlanamama riskine yol açmaktadır. Bilgi teknolojisi altyapı hizmetleri kiralayan bazı kuruluşlar ve işletmeler, kurumsal altyapılarındaki verileri gerçekten yönetip kontrol etmedikleri için bilgi güvenliği ve emniyeti açısından birçok potansiyel risk oluşturmaktadır.

NCA Araştırma, Danışmanlık, Teknoloji Geliştirme ve Uluslararası İşbirliği Departmanı Başkanı Bay Vu Ngoc Son, siber güvenlik verilerinin işbirliği ve paylaşımı eğiliminin dünyanın birçok yerinde çok etkili bir şekilde uygulandığını ve uygulanmaya devam ettiğini söyledi.

Bay Vu Ngoc Son, "Bilgi paylaşımı, Dernek üyelerinin genel bir bakış açısı edinmelerine ve en son siber güvenlik istihbaratını güncellemelerine yardımcı olmanın en iyi yoludur. Bu, kuruluşların yeni riskleri belirlemelerine ve güvenliği proaktif olarak güçlendirip sağlamalarına yardımcı olacaktır," dedi.

Bu nedenle NCA, Kamu Güvenliği Bakanlığı, Enformasyon ve İletişim Bakanlığı, Devlet Bankası'ndan paylaşılan verileri birbirine bağlayıp alacak ve ayrıca Vietnam siber güvenlik şirketleri, uluslararası siber güvenlik kuruluşları ve bağımsız siber güvenlik uzmanlarıyla bağlantı kuracak platformun oluşturulmasına öncülük edecektir. Platform, kötü amaçlı yazılım tanımlama bilgileri, kontrol sunucusu adresleri, ağ özellikleri veya saldırıya uğradığında sunucu belleği gibi araştırılan vakalar aracılığıyla toplanan en son saldırı işaretlerini paylaşabilir. Bu bilgiler, yöneticilerin tüm sistem genelinde saldırıları tespit etmek ve önlemek için siber güvenlik kurallarını hızla uygulamaya koymalarına ve aynı zamanda sunucuları ve iş istasyonlarını inceleyip temizleyerek bunların tehlikeye atılıp atılmadığını tespit etmelerine yardımcı olur.

Bay Vu Ngoc Son'a göre, bu platform veri sızıntılarını tespit eden kuruluşlara erken uyarı verecek. Sızıntılar konusunda uyarılan veriler arasında şirket içi veriler, müşteri bilgileri, yazılım kaynak kodları, hesaplar, parolalar vb. yer alıyor.

Bay Vu Ngoc Son, "Gerçek istatistikler, bir kuruluşun veri ihlalini tespit etmesinin ortalama süresinin 200 günden fazla olduğunu gösteriyor. Erken tespit, kuruluşların hasarı en aza indirmek ve kurtarma süresini kısaltmak için müdahale senaryolarını hızla etkinleştirmesine yardımcı olmakla kalmıyor, aynı zamanda daha fazla veri ihlali riskini de önlemeye yardımcı oluyor," dedi.

TRAN LUU