Cathay Pasific Airway Limited hakkında Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/144 sayılı Karar Özeti
Cathay Pasific Airway Limited’in (Cathay Pasific) 25.10.2018 ve 08.03.2019 tarihlerinde Kurumuza intikal eden yazılarında özetle;
- 13.03.2018 tarihinde bilgisayar ağları üzerinden yolcu bilgilerini içeren bilgi sistemlerine yetkisiz erişim gerçekleştiği,
- Şirket tarafından yapılan inceleme sonucunda yetkisiz erişimin 07.05.2018 tarihinde tespit edildiği,
- Saldırganın Cathay Pasific’in ortamına uzaktan eriştiği ve Müşteri Sadakat Sisteminin kısmi veri tabanı yedeği olarak hitap edilebilecek belgeleri ele geçirdiği,
- Saldırgan tarafından, müşteri ödemesi ile işlem verisini görmek ve veri tabanının yedeğini dışarı almak amacıyla web sitesi yönetici konsoluna ulaşıldığı,
- Cathay Pasific tarafından yapılan inceleme sonucunda ihlalin yetkisiz erişim nedeniyle olduğu ve kullanılan araç, taktik ve prosedürlere dayanarak iki farklı grubun saldırısı olabileceğinden şüphelenildiği,
- Birinci Grup’un BRIO sunucusunu Müşteri Bilgi Sistemine ulaşmak için kullandığı,
- Cathay Pasific’in Birinci Grup’un Cathay ağına zorla girişini belirleyemediği,
- Birinci Grup’un ağ içerisinde yanlamasına hareket ettiklerinden şüphelenildiği,
- İkinci Grup’un Müşteri Sadakat Sistemi ve Online İş Hizmeti Platformunun yedek belgelerine ve web sitesi yönetici konsoluna erişim sağlandığı,
- Bahse konu veri ihlalinden Cathay Pacific yolcularının kişisel verilerinin yanı sıra bağlı kuruluşu Hong Kong Dragon Airlines Limited yolcuları ile Asia Miles ve Marco Polo Club üyelerinin kişisel verilerinin de etkilendiği,
- Şirket tarafından yapılan incelemede Türkiye’de toplam 1.286 kişinin söz konusu ihlalden etkilendiği, diğer taraftan Türkiye’de toplam 155 kişinin pasaport numarasına erişildiği,
- Yetkisiz erişim sağlanmış olan kişisel veriler arasında yolcu ismi, uyruğu, doğum tarihi, telefon numarası, elektronik posta adresi, pasaport numarası, kimlik kartı numarası, “frequent flyer” üyelik numarası, müşteri hizmetleri notları ve geçmiş seyahat bilgileri bulunduğu, öte yandan erişilen kişisel veri türü ve sayısının etkilenen her yolcu özelinde değişiklik gösterdiği,
- Veri ihlalinden etkilenen ilgili kişilere doğrudan (e-posta vb.) ve web sitesi (“https://infosecurity.cathaypacific.com” adresi üzerinden) üzerinden ulaşmakta oldukları,
- Türkiye’ye özel 1 (bir) aylığına müşteri hizmetleri merkezi ve ücretsiz müşteri hattı ile ilgili kişilere özel “ infosecurity@cathaypacific.com” e-posta adresi tahsis edildiği,
ifadelerine yer verilmiştir.
Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/144 sayılı Kararı ile;
- 13.03.2018 tarihinde gerçekleşen ihlale ilişkin, şüpheli hareketlerden Cathay’ın Mart 2018 tarihinde haberdar olmasına rağmen ihlalin yaklaşık 2 ay sonra 07.05.2018 tarihinde tespit edildiği, bu durumun bir güvenlik açığı olduğu, öte yandan Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığı,
- Şirket tarafından ihlalden önce alındığı belirtilen güvenlik önlemleri ve bildirim ekinde gönderilen kötücül yazılımların listesi incelendiğinde; saldırganların sistemler üzerinde yatay bir şekilde hareket ederek Müşteri Sadakat Sistemi (CLS), Online İş Hizmeti Platformu (EBSP), web sitesi yönetici konsolu (iRedeem), Müşteri Bilgi Sistemi’ni (CIS) etkilenmesinin Şirket bünyesinde bulunan donanım ve yazılımların yapılandırmalarının doğru bir şekilde yapılmadığının ve alınan güvenlik önlemlerinin yetersiz olduğunun göstergesi olduğu
hususları dikkate alınarak
– 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL,
– Öte yandan Şirket tarafından 07.05.2018 tarihinde gerçekleşen siber saldırıya ilişkin Kurula 25.10.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen ilgili kişilere ise 25.10.2018 tarihinden itibaren bildirim yapmaya başlanmasının, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle, Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 100.000 TL,
olmak üzere toplam 550.000 TL idari para cezası uygulanmasına,
karar verilmiştir.
Yorumumuz:
Hong Kong havayolu şirketine yapılan siber saldırıda CLS, EBSP, iRedeem, CIS sistemlerinin etkilenmesinin Şirket bünyesinde bulunan donanım ve yazılımların yapılandırmalarının doğru bir şekilde yapılmadığı ve alınan güvenlik önlemlerinin yetersiz olduğundan bahisle teknik tedbir eksikliği tespit edilmiştir. Ayrıca saldırı şüphesinin iki ay öncesine dayanmasına rağmen gerekli kontrol ve denetimlerin yapılmaması ise idari tedbir eksikliği olarak değerlendirilmiştir.