Veri Sızmalarının Önlenmesi İçin Devlet Destekli Zorunlu Ödül Avcılığı Sistemi

Son bir yıldır kişisel veri sızmalarına fazlasıyla maruz kaldık. Veriler, büyük şirketlerin hacklenmesiyle sızabildiği gibi, irili ufaklı pek çok küçük e-ticaret sitesinin hacklenmesiyle de gerçekleşti. Bu sızıntıların sebepleri içerisinde farklı metodlar bulunsa da, bunların en yaygını ve en önlenebiliri web temelli güvenlik açıklarıdır. Burada saldırgan, SQL Injection ya da benzeri bir vektörle veritabanından kolay ve hızlı bir şekilde kişisel verileri çekebiliyor.

Web uygulama güvenliği için tarama, sızma testi gibi aksiyonlar gerekli olsa da her zaman için yeterli olmuyor. Günümüzdeki en direkt çözümlerden biri Bug Bounty, yani Ödül Avcılığı programlarıdır. Burada güvenlik araştırmacıları, hedef sistemde buldukları açıklar üzerinden para ödülü kazanır. Yani, karşılıklı bir kazanç söz konusu. Hem firma çok düşük ücretlerle güvenlik problemlerini çözebiliyor, hem de güvenlik araştırmacıları güzel paralar kazanabiliyor. HackerOne’da çalıştığım 1,5 sene boyunca, pek çok firmanın ciddi sızıntıya yol açabilecek zafiyetleri tespit edip çözdüğüne şahit oldum.

Fakat bug bounty konsepti Türkiye’de ne yazık ki benimsenmemiş durumda. Bug bounty programı olan çok az sayıda şirket var. Bu sayı artsa bile yine kişisel verilerimiz açısından yeterli olmayacak. Çünkü, küçük çaplı sitelerden de ciddi miktarda veri sızmakta. Hem büyük hem küçük firmaların güvenlik açıklarını, saldırganlardan önce tespit edip kapattırabilirsek, veri sızıntısı konusunda önemli bir yol kat ederiz. KVKK cezaları ne kadar gerekli olsa da, veri sızdıktan sonra iş işten geçmiş oluyor. Her zaman ilk amacımız, verinin sızmasını önlemek olmalı.

Peki bunu nasıl yapacağız? Öncelikle çevremden sayısız kez duyduğum şu örneği paylaşmak isterim:

  • X sitesinde SQL Injection buldum tüm veritabanını çekebiliyorum

Küçük çaplı firmalar ne yazık ki güvenlik açıklarına karşı çok duyarsız. Belki kullanıcıların özel hayatlarının ifşa olması onlar için ciddi bir konu değil, belki kendilerine iş yükü çıkartmak istemiyorlar, bilmiyorum. KVKK cezaları bir nebze de olsa veri sızıntısı konusunda farkındalık yarattı. Ne yazık ki biz ülke olarak bu tip konularda kafamıza sopa vurulmadan aksiyon alamıyoruz. Dolayısıyla güvenlik açıkları konusunda da bir sopaya ihtiyacımız var.

Zorunlu Ödül Avcılığı Sistemi

Gelelim önereceğim sisteme. Bu sistemin iki amacı var:

  • Firmaların güvenlik açıklarını zorunlu olarak çözmelerini sağlamak. Böylece veri sızıntısı yaşadıktan sonra büyük cezalar ödemek yerine çok daha düşük maliyetlerle güvenli hale gelebilirler. Hem vatandaş verisi sızmamış olur, hem firma itibarı korunur.

Genel olarak süreç şöyle işleyebilir:

  • Kişisel veri toplayan her platform nasıl ki KVKK ile iletişim halindeyse, USOM ile de iletişim bilgilerini paylaşmalıdır.

Gönül ister ki firmalar kendiliğinden ödül avcılığı programlarına yönelsin. Fakat onca veri sızıntısına rağmen hiçbir firmanın buna başvurmaması beni bu konuda umutsuzluğa sürüklüyor. Dolayısıyla bunun zorunlu tutulmadığı takdirde çözülemeyeceği düşüncesindeyim.

--

--

computer security, programming, music. Website: https://utkusen.com

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store