Eset, GDPR yönetmeliğinin başta şifreleme (encryption) olmak üzere çeşitli dijital güvenlik önlemleri almayı öngördüğüne dikkat çekti.
Avrupa Genel Veri Koruma Yönetmeliği (GDPR) 25 Mayıs 2018’de yürürlüğe giriyor. GDPR, Avrupa Birliği (AB) içerisinde ya da dışında, AB vatandaşlarının verilerini toplayan veya bulunduran tüm firmaları, dolayısıyla Avrupa ile iş yapan Türk firmalarını da yakından ilgilendiriyor.
Genel Veri Koruma Yönetmeliği (General Data Protection Regulation – GDPR), Avrupa’da gizlilik yasalarında son 20 yıldır yapılan en önemli reform olarak öne çıkıyor. 25 Mayıs 2018 itibarıyla yürürlükte olan yönetmelik, AB vatandaşlarının verilerini toplayan veya bulunduran tüm firmaların bu düzenlemeyle uyumlu olmasını gerektiriyor. Yönetmelik aksi takdirde firmaların yasal sonuçlara katlanmak durumunda olduklarını ifade ediyor.
Uyumsuzluk durumunda 20 milyon Euro ve üzerine ulaşabilen karışık kuralları ve cezalarıyla birlikte GDPR, tüm küçük ve orta ölçekli firmalar için karşılanması hiç de kolay olmayacak maddi yükümlülükleri de beraberinde getiriyor. Çalışan sayısı 10 ila 250 arası olan ve yıllık cirosu 2 ila 50 milyon Euro arasında değişen firmalar için bunun gelir anlamında felakete varan sonuçları olabilir.
KOBİ’lerin sindirebileceğinden ağır yük var
Global bilgi güvenliği kuruluşu ESET, son iki yıldır bu konuyu zaman zaman mercek altına alıyor, yönetmeliğin öngördüklerini ve alınması gereken dijital önlemlere dikkat çekiyor. Küçük ve orta ölçekli şirketlerde GDPR etkilerini analiz eden ESET Endpoint Encryption Yöneticisi David Tomlinson, bu firmaların karşılaşabileceği sorunları ortaya koydu. Tomlinson, “Bu yönetmelik, küçük ve orta ölçekli firmalar için büyük bir yük teşkil ediyor. Gereksinimler listesi, sindirebileceklerinden çok daha fazla ve bir noktada tüm bunları görmezden gelerek sorunların zamanla ortadan kaybolmasını bekliyorlar” diye konuştu.
Tomlinson, “İdeal olarak firmalar; belge oluşturma, prosedürler, GDPR kapsamında tüm iş süreçlerinin yönetimi ve bunları çalışanların günlük hayatlarına adapte edecek kişileri, yalnızca bu işlere odaklanacak şekilde görevlendirmelidir. Bu, küçük şirketlerin yapılarına kolayca adapte edemeyecekleri bir konu” tespitini yaptı.
Avrupa’daki işletmeler bile henüz hazır değil
Yakın zamanda IDC tarafından gerçekleştirilen bir araştırmaya göre, Avrupalı küçük işletmelerin yalnızca %29’u ve orta ölçekli işletmelerinse %41’i GDPR ile uyumlu hale gelmek üzere bazı adımlar atmış durumda. Avrupa’da olmayan küçük ve orta ölçekli işletmeler arasındaysa bu oran, küçük işletmeler için %9, orta ölçekli işletmeler için ise %20 olarak görünüyor.
Anahtar, her iş kapsamında kişisel verinin rolünü ve GDPR gerekliliklerini karşılayabilmek için ne gibi koruyucu önlemler alınması gerektiğini anlayabilmek. Kişisel veriyi tanımlayalım. Direktif, bunu “Kimliği belirli veya belirlenebilir kişilerle ilgili her türlü bilgi” olarak tanımlıyor. Örneğin: ad, soyad, ev adresi, e-posta adresi, konum bilgisi”.
Firmalar hangi önlemleri almalı?
Avrupa’nın yeni veri koruma yasası, uygun gördüğü önlemleri de tanımlıyor. Firmalar tam anlamıyla veri güvenliği ve şeffaflığı sağlayabilmeli. Bu doğrultuda uç nokta güvenliği (antivirüs), yedekleme, iş sürekliliği (replikasyon), veri sınıflandırma, veri sızıntısı önleme (DLP), ağ güvenliği, şifreleme (encryption)ve benzeri güvenlik ürünlerinin kullanılması öngörülüyor.
Avrupa Birliği, özellikle şifrelemenin altını çiziyor. Şifreleme teknolojisinin başlıca faydaları; karmaşık algoritmalar sayesinde şifrelemenin çok güçlü olması, dolaşım halindeki verilerin ele geçirilmesi durumunda kullanılamayacak olması, geniş erişilebilirlik ve yönetim imkânı ile birlikte nispeten düşük uygulama maliyeti olarak karşımıza çıkıyor.
David Tomlinson, “İşletmeniz için kişisel verileri korumak ve onlarla çalışabilmek amacıyla kullanımı kolay bir şifreleme yazılımına yatırım yaparsanız, kazanmaya yakınsınız” diyerek şifrelemenin önemine dikkat çekiyor.