Bilfen Eğitim Kurumları’nda Veri İhlali!
Sebep yine basit bir hata!
Kişisel verilere yönelik siber saldırıların sayısı artmakta ve özellikle eğitim, sağlık, finans gibi sektörlerin hedef haline geldiği gözlemlenmektedir. Bunlardan bir tanesi daha Bilfen Eğitim Kurumları A.Ş.’ye ait olup, Kişisel Verileri Koruma Kurumu (Kurum) tarafından 20.03.2025 tarihinde kamuoyuna duyuruldu.
Anılan bildirime göre, Bilfen Eğitim Kurumları A.Ş.’nin sisteminde URL üzerinden sehven erişime açık bırakılan XML dosyalarının kötü niyetli kişilerce ele geçirilmesi sonucunda; öğrenciler, veliler ve çalışanlardan oluşan toplam 24.061 kişinin kimlik, iletişim, işlem güvenliği, mesleki deneyim, görsel/işitsel kayıtlar ve sağlık verileri dahil kişisel verileri ifşa olmuştur. Saldırganlar söz konusu yetkisiz erişimi veri sorumlusu Bilfen Eğitim Kurumlarına WhatsApp mesaj göndererek haberdar etmişlerdir.
Siber Güvenlik ihlallerinin büyük bölümü kullanıcı hatası, ihmali ve gerekli tedbirlerin alınmamasından kaynaklanmaktadır. Görüldüğü üzere sehven bir URL’nin açık bırakılması dahi 24.061 kişinin kişisel verilerinin ihlal edilmesi sonucuna yol açabilmektedir.
Çalınan kişisel verilerinin kötü niyetli kişilerin eline geçmesi halinde bireylerin mahremiyeti, güvenliği ve dijital kimlik bütünlüğü ciddi tehditler ile karşı karşıya kalmaktadır.
Bu veri ihlali, kişisel verilerin korunmasına yönelik yükümlülüklerin yalnızca teorik bir zorunluluk değil, aynı zamanda pratikte etkin şekilde uygulanması gereken bir hukuki ve operasyonel sorumluluk olduğunu göstermektedir.
KVKK’nın 12. maddesi uyarınca veri sorumluları;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Veri güvenliğine ilişkin bu yükümlülüklere riayet edilmemesi halinde, Kurul tarafından Kanun’un 18. maddesi uyarınca idari yaptırımlar uygulanmaktadır. Bu kapsamda:
- Veri güvenliğine ilişkin yükümlülüklerin ihlali (KVKK m.12) halinde 2025 yılı itibarıyla 204.285 TL’den 13.620.402 TL’ye kadar idari para cezası uygulanabilmektedir.
- Tespit edilen bir veri ihlali Kurul tarafından kamuoyuna duyurulabilir ve bu durum, ciddi bir itibar kaybına yol açabilir.
Dolayısıyla, veri ihlallerini önlemek, idari yaptırımlara maruz kalmamak ve kurumsal itibarı korumak amacıyla gerekli tüm tedbirlerin alınması, siber güvenlik adımların atılması büyük önem arz etmektedir.
