Parola Politikası ve KVKK

İle Av. Alper Atmaca Nisan 24, 2019

Parolalar, günümüzde veri sistemlerinin korunmasında tartışmasız yeri olan bir teknik. Tanımı gereği bir kişinin zihninde tuttuğu bir sır olmakla kişiyi tanımlayan ve bilişim sistemlerinde beşeri güvenliğin temel parçası olan parola, aynı zamanda sistemin en zayıf halkası olan insana dayalı hatalarla en büyük riski taşımakta.

Kişisel Verilerin Korunması Kanunu ile kişisel veriler işleyen veri sorumlularına 12-c maddesi uyarınca, verilerin korunması için gerekli idari ve teknik tedbirleri alma yükümlülüğü getirilmekte. Bu yükümlülük, idari olarak verilerin işlendiği yapının kontrolünü gerektirdiği kadar aynı zamanda verilerin işlendiği bilişim sistemlerininde günün gerekliliklerini karşılar şekilde güvenli kılınmasını gerektirmekte. Bu kapsamda bilişim sistemlerine ait güvenlik endişelerinin teknik tarafları daha detaylıca düşünülmekle insan faktörü genellikle ikincil kalmakta. Bir bilişim sisteminin kullanıcılarının yetki ve erişimleri için kullandıkları parolaların yeterliliklerinin Kanun kapsamında nasıl değerlendirileceği ise kıyasen gölgede kalan bir tartışma konusu.

Hesap Güvenliğinin İmkanları

Son kullanıcıların hesaplarının korunması için çeşitli imkanlar bulunsa da temelde çoğu yetkilendirme sistemleri; bilinen, sahip olunan veya her ikisini bir arada gerektiren tedbirlere dayanmaktadır. Bu kapsamda bilinen şey; parola, pin, kullanıcı adı veya ortak bir sır olabilmekte. Sahip olunan şey ise; sms gönderilebilecek bir telefon, OTP üretebilen özel bir donanım veya OTP yazılımı çalıştırabilecek akıllı telefon olabileceği gibi kriptografik güvenlik aygıtları da olabilmektedir. Aynı zamanda ses, iris, parmak izi veya yüz gibi biyometrik girdiler de yetkilendirme sistemlerinin parçası kılınabilmektedir.

Hesap güvenliğinin sağlanması için ne kadar aşama devreye sokulur ve bu aşamalar ne derece güvenilir olur ise, kullanıcıların hesaplarına ulaşması da o derece uzun zaman almakta ve hali ile “kullanıcı deneyimi” olarak adlandırılan zaman ekonomisi açısından engel ortaya çıkmaktadır. Aynı zamanda çok aşamalı yetkilendirme uygulamaları sistem masraflarını da arttırmakta ve bu sebeple sadece parola gibi bilinen bilgiye dayalı yetkilendirme hala en yaygın uygulamayı oluşturmaktadır.

Güvenli Parola Nitelikleri

Parolaların güvenli ve kullanılabilir sayılabilmesi için belirli bazı temel koşuların sağlanması gerekmekte. Bunlar;

  1. Hatırlanabilirlik, parolaların en temel gerekliği sayılabilir. Nihayetinde hatırlanması gereken bir bilginin, hatırlanabilir niteliklere sahip olması gerekiyor. Hatırlanması zor parolaların, güvenlik riski oluşturacak şekilde yazılarak saklanması ihtimali olduğundan parolaların insanlar için hatırlanabilir olması önemli bir güvenlik gerekliliği.

  2. Entropi veya belirsizlik, tüm kriptografik sistemlerde olduğu gibi bir parolanın belirlenirken tahmin edilebilirlikten uzak olmasının sağlanması için gereklidir. Bu bakımdan parola’nın kullanıcıya ilişkin bilinen bilgilere ilişkili olması, tekrar kullanılması veya belirgin yöntemlerle oluşturulması entropiyi düşürecek niteliklerdir ve bu anlamda tahmin edilebilirliği azaltacaktır.

  3. Genişlik, parolanın oluşturulduğu birimlerin fazlalığı ve bu birimlerden kaç tanesinin parolanın oluşturulması için kullanıldığı ile ilişkilidir. Örneğin; İngilizce alfabesinde 26 harf bulunmakta, toplamda 10 tane rakam Dünyaca kullanılmakta. Bu bakımdan bir parolanın gerekli güvenliği sağlayabilmesi için sadece rakamlardan oluşması durumunda sadece harflerden oluşacak bir parolaya göre daha uzun olması gerekmekte.

  4. Gizlilik, parolanın doğal bir özelliği olarak parolanın bilmesi gereken kişilerce başkalarından saklanması anlamına gelmektedir. Bu parolaların açık olarak yazılı bulundurulmaması olabileceği gibi parolanın başkaları ile paylaşılmaması ve tekrar kullanılmaması şekilde de tezahür edebilir.

KVKK Kapsamında Teknik ve İdari Tedbir Sorumluğu

Veri sorumlusunun idari teknik tedbirler kapsamında yapması gerekenlerin kapsayıcı bir tanımı bulunmamakta. Kanunun lafzı ile “..uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak…” Kanunun gerekli tedbirlere ilişkin tek tanımını oluşturmaktadır. Bu tanıma göre güvenliğin sağlanabilmesi öncelikli olarak, “uygun” kabul edilecek görece bir güvenlik düzeyinin belirlenmesini ve bu düzeye ulaşabilmek için “her türlü teknik ve idari tedbiri” almayı gerektirmektedir. Bu tanım gereği “uygun güvenlik düzeyi” alınacak teknik ve idari tedbirlerin belirleyicisidir.

Uygun güvenlik düzeyinin nasıl tespit edileceği bir tehlike/risk incelemesinin konusu olduğu aşikardır. İşletilen sisteme yönelik tehlikelerin belirlenmesi, bu tehlikelerin gerçekleşme olasılıklarının yani riskin tespit edilmesi üzerine bu risklerin azaltılması veya ortadan kaldırılması için gün itibari ile bulunan “her türlü” teknik ve idari tedbirin belirlenmesi ve uygulanmaya alınması gereklidir.

Son kullanıcının sistemlere erişimini sağlayan hesap yetkilendirme sistemlerinin içerdiği tehlikeler sayılıdır. Bunlardan, brute force gibi bazı tehlikeler veri sorumlusu tarafından sunucu tarafında engellenebilecek iken, credential stuffing gibi tehlikeler ise kullanıcın dahil olması gereken çözümler gerektirmektedir.

Kişisel Verilerin Koruma Kurumunun yayınladığı rehberlerden olan “Kişisel Veri Güvenliği Rehberi” 17. sayfasında parolaların oluşturulmasına ilişkin şu ifadeleri kullanmaktadır;

“Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesi sağlanmalıdır.”_

Parolaların kullanıma ilişkin ise şu ifadeleri kullanmaktadır;

“Güçlü şifre ve parola kullanımının yanısıra, kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması…”

Bu kapsamda Kurumca parolaların; kişisel bilgilere dayanmamasını, kolay tahmin edilemeyecek ve karakter seçiminin mümkün olan en geniş havuzdan yapılması öngörülmektedir. İdari olarak; parola kabul eden sistemlerde denemelerin kısıtlanmasını, belirli aralıklarla parola değişimlerini önermektedir.

Kurumun belirttiği parola nitelikleri, kişisel veri sorumlusunun kendi sistemleri dahilinde alacağı tedbirlere yönelik hazırlanmış izlenimini vermektedir. Rehberin bir bilişim sisteminin ikinci tarafı olan ilgili kişilerin sistem erişimine dair parola veya diğer – çok aşamalı kimlik doğrulama – gibi tedbirler ve gerekli niteliklerinden bahsedilmemiştir. Bu durum kanımızca sistem güvenliğinin en yüksek risk içeren unsuru olan kullanıcılara yönelik tedbirlerin tanımsız ve görece serbest kalması ile sonuçlandığından tehlike doğmasına imkan bırakmaktadır.

Parolalara Yönelik KVKK Kapsamında Uygun Güvenlik Düzeyi

Parolaların ve dolayısı ile korudukları sistemlerin gerektirdiği güvenlik düzeyi yetkisiz kişilerin erişiminin engellenmesini gerektirmekte. Bu kapsamda şayet çok aşamalı yetkilendirme kullanılmıyor ise parolaların günün koşullarına göre güvenli sayılacak şekilde oluşturulması için veri sorumlusunun ilgili kişiyi yönlendirme yükümlülüğünden bahsedilmesi gereklidir.

Pek çok hizmet sağlayıcısı, sistemlerini kullanacak son kullanıcılar için kısmen de olsa bir parola politikası benimsemektedir. Bu kapsamda çok kısa parolalar seçilmesine engel olunabildiği gibi parolaların rakam ve özel karakter içermesi gibi genişliğini arttıracak önlemlere de yer verilmektedir. Parolaların gizliliğinin veya oluşturuluşundaki gerekli nitelikler ile oltalama gibi yaygın ve kolay saldırılar hakkında kullanıcılarını yeterince bilinçlendiren hizmet sağlayıcı pek bulunmamaktadır. Bu tedbirin günümüzün İnternet yaşantısının tehlikelerine karşı yeterli olup olmadığı ve hizmet sağlayanların bu konudaki hukuki sorumluluklarının kapsamı tartışmalıdır.

Uygulamada, hizmetlerden faydalanan son kullanıcılar için hazırlanan hizmet sözleşmelerinde, sunulan hizmetlere erişim için sahip olunan parolaların da dahil olduğu hesap bilgilerinin korunması ve kullanılan cihazların güvenliğinin sorumluluğunun kullanıcıya ait olacağına ilişkin hükümlere rastlanmaktadır. Bu şekilde ilgili kişinin kişisel verilerini işleyen sistemlerin güvenliğinin önemli bir halkasının çoğunlukla konuya ilişkin bilgisi yeterli olmayan ilgili kişiye bırakıldığı söylenebilir.

Kanımızca, ilgili kişilerin hesaplarının korunması için parola tek yetkilendirme yöntemi olarak seçilecek ise aşağıdaki tedbirlerin Kanun kapsamında uygun güvenlik düzeyini karşılamak için alınması gereklidir;

  1. Parolaların günün işlem gücüne uygun genişlikte seçilmesinin zorunlu kılınması
  2. Parolaların gerekli entropiyi içerdiğinden emin olunması, hatırlanmasının kolay kılınması için Zarola gibi parola yöntemlerinin kullanıma alınması
  3. Parolaların tekrar kullanılmasının ve daha önce ifşa olup olmadığının denetlenmesi için Have I Been Pwned API’ı aracılığı ile karşılaştırma yapılması
  4. İlgili kişilerin, parola güvenliğine ilişkin esasların kişilere hesap oluşturulması sırasında aydınlatılması

Sonuç

Güvenlik ve kullanım kolaylığı, birbirine zıt kavramlar olarak günümüz bilişim sistemlerinin tasarımında düşünülmesi gereken nitelikler. Kullanılabilir güvenlik seviyesi, günümüzdeki tehlikelerin ve risklerinin artışı ile giderek yükselmekte ise de kullanıcıların bu konudaki yeterlilikleri veya istekleri görece geride kalmaktadır. Bu durum hukukun, kişisel veri korumasının veya kullanıcıların anayasal haklarının korunmasına bir bahane olamayacağından bu konudaki sorumluluğu üstlenen her veri sorumlusunun söz konusu veri işleme sistemlerini tasarlarken özenle davranması gerekmekte. Bu kullanıcıların kolaylık özlemlerine aykırı bile olsa nihayetinde veri sorumlusunun hukuki gerekliliklerini yerine getirirken kendisi kadar ilgili kişiyi de koruduğu unutulmamalıdır.