Veri Sızmalarının Önlenmesi İçin Devlet Destekli Zorunlu Ödül Avcılığı Sistemi

Son bir yıldır kişisel veri sızmalarına fazlasıyla maruz kaldık. Veriler, büyük şirketlerin hacklenmesiyle sızabildiği gibi, irili ufaklı pek çok küçük e-ticaret sitesinin hacklenmesiyle de gerçekleşti. Bu sızıntıların sebepleri içerisinde farklı metodlar bulunsa da, bunların en yaygını ve en önlenebiliri web temelli güvenlik açıklarıdır. Burada saldırgan, SQL Injection ya da benzeri bir vektörle veritabanından kolay ve hızlı bir şekilde kişisel verileri çekebiliyor.

Web uygulama güvenliği için tarama, sızma testi gibi aksiyonlar gerekli olsa da her zaman için yeterli olmuyor. Günümüzdeki en direkt çözümlerden biri Bug Bounty, yani Ödül Avcılığı programlarıdır. Burada güvenlik araştırmacıları, hedef sistemde buldukları açıklar üzerinden para ödülü kazanır. Yani, karşılıklı bir kazanç söz konusu. Hem firma çok düşük ücretlerle güvenlik problemlerini çözebiliyor, hem de güvenlik araştırmacıları güzel paralar kazanabiliyor. HackerOne’da çalıştığım 1,5 sene boyunca, pek çok firmanın ciddi sızıntıya yol açabilecek zafiyetleri tespit edip çözdüğüne şahit oldum.

Fakat bug bounty konsepti Türkiye’de ne yazık ki benimsenmemiş durumda. Bug bounty programı olan çok az sayıda şirket var. Bu sayı artsa bile yine kişisel verilerimiz açısından yeterli olmayacak. Çünkü, küçük çaplı sitelerden de ciddi miktarda veri sızmakta. Hem büyük hem küçük firmaların güvenlik açıklarını, saldırganlardan önce tespit edip kapattırabilirsek, veri sızıntısı konusunda önemli bir yol kat ederiz. KVKK cezaları ne kadar gerekli olsa da, veri sızdıktan sonra iş işten geçmiş oluyor. Her zaman ilk amacımız, verinin sızmasını önlemek olmalı.

Peki bunu nasıl yapacağız? Öncelikle çevremden sayısız kez duyduğum şu örneği paylaşmak isterim:

• X sitesinde SQL Injection buldum tüm veritabanını çekebiliyorum
• Mail attın mı?
• Attım ama cevap vermediler
• Linkedin’den çalışanları ekleyip tek tek mesaj atmayı denedin mi?
• Evet, hatta bazılarına Instagram’dan bile yazdım cevap yok.

Küçük çaplı firmalar ne yazık ki güvenlik açıklarına karşı çok duyarsız. Belki kullanıcıların özel hayatlarının ifşa olması onlar için ciddi bir konu değil, belki kendilerine iş yükü çıkartmak istemiyorlar, bilmiyorum. KVKK cezaları bir nebze de olsa veri sızıntısı konusunda farkındalık yarattı. Ne yazık ki biz ülke olarak bu tip konularda kafamıza sopa vurulmadan aksiyon alamıyoruz. Dolayısıyla güvenlik açıkları konusunda da bir sopaya ihtiyacımız var.

Zorunlu Ödül Avcılığı Sistemi

Gelelim önereceğim sisteme. Bu sistemin iki amacı var:

• Firmaların güvenlik açıklarını zorunlu olarak çözmelerini sağlamak. Böylece veri sızıntısı yaşadıktan sonra büyük cezalar ödemek yerine çok daha düşük maliyetlerle güvenli hale gelebilirler. Hem vatandaş verisi sızmamış olur, hem firma itibarı korunur.
• Güvenlik araştırmacılarının emeklerinin karşılığını alarak daha çok yerli platformlara odaklanmaları.

Genel olarak süreç şöyle işleyebilir:

• Kişisel veri toplayan her platform nasıl ki KVKK ile iletişim halindeyse, USOM ile de iletişim bilgilerini paylaşmalıdır.
• Yerli bir platformda güvenlik açığı bulan kişi raporunu firmayla değil, doğrudan USOM ile paylaşır.
• USOM raporu inceler, zafiyet gerçekten var mı diye kontrol sağlar. Gerçekten varsa, veri sızıntısına yol açabilir mi diye analiz sağlar. Düşük ve orta seviyeli güvenlik açıkları bu aşamada görmezden gelinebilir.
• USOM firmayla iletişime geçer.
• Firmanın USOM’a cevap dönmesi için önceden belirlenmiş limitli bir süresi vardır.
• Güvenlik açığının önem derecesine göre firma, bu açığı önceden belirlenen bir sürede çözmek zorundadır.
• Şirket, USOM’a önceden belirlenen miktarda bir para ödemesini yapar.
• USOM ödülü güvenlik araştırmacısına gönderir.

Gönül ister ki firmalar kendiliğinden ödül avcılığı programlarına yönelsin. Fakat onca veri sızıntısına rağmen hiçbir firmanın buna başvurmaması beni bu konuda umutsuzluğa sürüklüyor. Dolayısıyla bunun zorunlu tutulmadığı takdirde çözülemeyeceği düşüncesindeyim.