Şifreleme nedir ve neyi korur?
Şifreleme, bilgileri yetkisiz kişiler tarafından erişilemeyecek şekilde kodlama işlemidir. Şirketinizin şifrelenmiş verileri sızdırılırsa, uygun şifre çözme anahtarı olmadan anlaşılamayacağı için, verileri çalan veya bulan herkes bu bilgileri okuyamaz
Birçok kişi, birçok bilginin zaten şifreleme teknolojisi ile korunduğunun farkında değildir. Örneğin, çevrimiçi alışveriş ve internet bankacılığı iyi şifreleme olmadan işe yarayamazdı. Şifreleme para ve kişisel bilgileri korumak için tasarlanmıştır. İş ortamına gelince, şirketinizin fikri mülkiyetini, teknik bilgileri ve şirketinizde işlediğiniz kişisel verileri korumak için şifreleme kullanılmalıdır.
Devamını okuyun
Fikri mülkiyet ve teknik bilgiler, şirketiniz tarafından oluşturulan ürün veya hizmetleri içerebilir. Ayrıca, bu ürünleri başarılı bir şekilde satmak için kullandığınız yöntemler veya yaşam döngüsü boyunca etkili bir şekilde çalışmasını sağlamak için kullanılan işlemler de olabilir. Benzer şekilde, bir sonraki takvim yılı için iş ve pazarlama planlarını da içerebilirler. Tüm bu bilgiler bir siber saldırgan veya hırsız tarafından maddi kazanca çevrilebilir veya kötüye kullanılabilir.
Şirketinizin topladığı ve işlediği kişisel bilgiler, müşterileriniz ve çalışanlarınız hakkında bilgiler içerebilir. Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) tarafından öngörüldüğü gibi, bu tür verilere erişimi korumak, yasalarca gereklidir.
GDPR ve şifreleme
GDPR kişisel verileri tanımlar. Bunlara isimler ve soyadlar, fotoğraflar, e-posta adresleri, telefon numaraları, hesap numaraları, parmak izleri ve sesler dahildir. 25 Mayıs 2018 tarihinden beri tüm AB üye ülkelerinde yürürlükte olan bu düzenleme, şifrelemeyi itibar kaybı riskine karşı bir koruma olarak tanımlamaktadır..
Çalışanlarınızdan birinin müşterilerinizin listesini içeren bir USB anahtarını kaybettiğini düşünün. GDPR'a göre, listedeki tüm insanları olayla ilgili bilgilendirmelisiniz. Veri ihlalini tedarikçiyi değiştirmek için bir neden olarak algılayabilirler. Ancak, bu kişileri bilgilendirme yükümlülüğü kişisel verileri şifrelenmişse geçerli değildir.
Şirketiniz kişisel bilgileri sızdırdıysa ne yapacağınızı biliyor musunuz?
Düzenleyiciye bildirme yükümlülüğü:
Herhangi bir kişisel veri ihlalini ilgili veri koruma yetkilisine bildirmeniz gerekir. Bu yükümlülük sadece büyük veri tabanı sızıntıları gibi büyük olaylar için değil, aynı zamanda küçük hatalar için de geçerlidir. Örneğin, iki farklı alıcıya yönelik zarfların içeriğini yanlışlıkla karıştırırsanız, bunu bildirmeniz gerekir.
72 saat
Olayın meydana geldiği andan itibaren değil, farkında olduğunuz andan itibaren 72 saat içinde olayla ilgili denetim otoritesine olayı bildirmeniz gerekir. Bununla birlikte, bu zaman sınırına uyulmazsa, bildirimin neden 72 saat içinde yapılmadığına dair haklı sebepler olmalıdır.
Etkilenen bireyleri bilgilendirme yükümlülüğü
Daha ciddi durumlarda, olayı veri koruma yetkilisine bildirmenin yanı sıra, verileri olaydan etkilenen kişileri de bilgilendirmelisiniz. Bununla birlikte, şirketiniz özellikle de kişisel verileri yetkisiz herhangi bir kişi için anlaşılmaz hale getiren uygun teknik ve organizasyonel güvenlik önlemlerini uyguladıktan sonra bu olay meydana gelirse, bu adım gerekli değildir. Oldukça karmaşık görünen “teknik önlemler” yasal terimi, şifrelemeyi ifade eder.
GDPR ile ilgili olası para cezaları
Bir veri ihlalini ilgili denetim makamına bildirme yükümlülüğünün yerine getirilmemesi 10 milyon Euro'ya kadar para cezası ile veya söz konusu şirketin durumuna göre, bir önceki mali yıla ait dünya çapındaki yıllık gelirinin en fazla %2'sine kadar para cezası ile cezalandırılır.. Yüksek bir mali cezaya ek olarak, veri koruma otoritesi aşağıdakileri de yürürlüğe koyabilir:
- kişisel verilerin işlenmesi yasağı da dahil olmak üzere geçici veya kesin bir sınırlama
- kişisel verilerin silinmesi
Bu, mevcut müşterilerinizin tüm iletişim bilgilerini kaybedebileceğiniz veya şirketinizin bu tür verileri depolamasının geçici olarak yasaklanabileceği anlamına gelir.
Veri ihlalleri her ölçekteki işletmeyi etkiler
Birçok işletme, küçük boyutları ve sınırlı varlıkları nedeniyle siber saldırılara veya veri ihlallerine karşı savunmasız olmadıklarına inanmaktadır. Ne yazık ki, durum böyle değil: IDC analistlerine göre, küçük ve orta ölçekli işletmeler, güvenlik ihlallerinin yüzde 70'inden fazlasının kurbanlarıdır. Ancak iyi haber şu ki, kişisel veriler tehlikeye girmediği veya sızdırılmadığı sürece şirketlerin siber saldırıları bildirmesi gerekmiyor.
Diğer işletmelerin siber saldırıya uğramadığına dair yanlış bir izlenim nedeniyle, şirketler bir saldırıya uğradıklarını bildirmekten utanabilir veya kötü anılmaktan korkabilirler.
ESET, GDPR'nin yürürlüğe girmesinden sonraki ilk yıl boyunca, Avrupa'daki denetim otoritelerinin hâlâ yeni kurallara aşina olmaya çalıştıklarını gözlemledi. Şimdi daha fazla para cezası vermeleri muhtemeldir.
Ancak, deneyimler gösteriyor ki etkilenen şirketler işbirliği yaparsa, daha düşük cezalar alma eğilimindedirler. Ayrıca, şirketiniz bir internet devi değilse, maksimum düzeyde para cezası almanız pek olası değildir.
Bu nedenle, kuruluşların her zaman bildirim yükümlülüğüne uymalarını, denetim otoriteleriyle işbirliği yapmalarını ve çalışanlarını kişisel verilerin ne olduğu ve nasıl korunması gerektiği konusunda eğitmelerini öneririz.
ESET şifreleme çözümleri
ESET Endpoint
Şifreleme
ESET Endpoint Encryption şifreleme yoluyla kurumsal cihazlardaki hassas verileri korur. Dosya ve klasörlerin, e-postaların ve eklerin, çıkarılabilir medyanın, sanal disklerin ve tüm diskin şifrelenmesini sağlar. Kullanımı kolaydır, şifreleme anahtarlarının uzaktan tam kontrolünü sunar ve dağıtım için sunucu gerektirmez. 30 günlük ücretsiz deneme sürümü edinerek ESET Endpoint Encryption'ı şirketinizde deneyin.