Dijital Biz Dergisi | Özel Haber

Smart Future World Expo’da KVKK’ya Uyum için Somut Öneriler Paylaşıldı

 

Smart Future World Expo’da Future Factories etkinliğinde “KVKK ve Verinin Geleceği” oturumunda geleceğin dünyasını şekillendirecek konu başlıklarına değinildi. 80 dakikalık panelde KVKK derinlemesine tartışıldı. İdari ve teknik tedbirler kapsamında somut ve pratik çözüm önerileri paylaşıldı.

 

Dijital Biz Dergisi, BİLİŞİM GRUBU ve Bilişimciler‘in destekleyenler arasında yer aldığı Türkiye’nin en kapsamlı akıllı teknolojiler ve dijital dönüşüm etkinliği Smart Future World Expo, 30-31 Ekim tarihlerinde İstanbul Kongre Merkezi’nde “Dijital Kobi Hareketi” ana teması ile gerçekleşti!

Gelişen yapay zekâ, bulut bilişim, büyük veri, nesnelerin interneti, siber güvenlik, blockchain gibi geleceğin dünyasını şekillendirecek teknolojilere değinerek hem sergi alanında hem de eş zamanlı düzenlenen konferanslarla alanının en büyük etkinliği olan Smart Future World Expo, 7’den 70’e teknoloji takipçilerinin katılımı ile geleceğin dijital Türkiye’sine ışık tuttu.

Oturum Başkanlığını Teknoloji Editörü ve Sunucusu Cem Sünbül’ün yaptığı “KVKK ve Verinin Geleceği” panelinde Bilişimciler ve Bilişim Grubu Başkanı Şenol Vatansever, İstanbul Tahkim Merkezi (İSTAÇ) Genel Kurul Üyesi Av. Arb. Murat Keçeciler, İstanbul Büyükşehir Belediyesi (İBB) Bilgi İşlem Daire Başkanı Dr. Erol Özgüner ve TOFAŞ Türk Otomobil Fabrikası Veri Yönetişimi Proje Lideri Fatma Öner görüşlerini aktardı.

“KVKK ve Verinin Geleceği” Paneli Özet Videosu

“KVKK ve Verinin Geleceği” Paneli Videosu

Keçeciler: “Dijitalleşmiş kişisel veri elde eden tüm gerçek, özel ve kamu hukuku tüzel kişileri KVKK ile uyumlu olmak zorundalar”

Kişisel Verilen Korunması Kanunu (KVKK) kapsamının ne olduğu; şirketlerin, kurumların ve bizlerin hayatında neleri değiştirdiği sorusu üzerine konuyu detaylandırmaya başlayan İstanbul Tahkim Merkezi (İSTAÇ) Genel Kurul Üyesi Av. Arb. Murat Keçeciler, “KVKK, 2016 yılı Nisan ayından bu yana hayatımızda. Kanun yürürlüğe girmesi ile kendisi ile tam bir uyumu zorunlu kılmakta, 2016 yılından önce elde edilen verilerin 2018 yılı Nisan ayına kadar uyumlaştırılmasını arzulamıştır.

Kanunun yürürlüğe girmesi ile hayatımızda önemli değişikliklerin olması gerekiyor. Özellikle de veri sorumlusu konumunda olan gerçek ve tüzel kişiler açısından. Verinin elde edilmesinden, muhafazasına ve imhasına kadar olan süreçlerde uçtan uca bir denetim öngören kanun ile kişilik hakkı kapsamında yer alan özel hayatın gizliliği başta olmak üzere, daha önce de anayasa ve diğer kanunlar ile koruma altında olan kişilik hakkının korunması ek teminatlar ve düzenlemeler ile desteklenmiştir.

Dijitalleşmenin artması ile gün içinde birçok işlemde kişisel verilerimizi birçok kişi ve kurumla paylaşıyoruz. Kanunun temelde sağlamak istediği bir farkındalık yaratılmasıdır. Bireylerin kişisel verilerinin öneminin farkında olmaları ve bu bilince ulaşmaları kanunun temel amaçlarından biridir.” sözleriyle Kurumun birçok farkındalık faaliyeti yürütmekte olduğunu aktardı.

Keçeciler sözlerine şöyle devam etti: “Veriyi elde eden ve onu korumakla yükümlü kılınan kurumlar için de kanun önemli yaptırımlar öngörmüştür. Hapis cezalarının yanı sıra hatırı sayılır nitelikte para cezaları da kanunda öngörülmüştür.

Veri sorumluları açısından VERBİS kayıt yükümlülüğü kurum tarafından 31.12.2019 tarihine ertelenmiştir. Bu ertelemenin temel sebebi 55.000 civarında kayıt yükümlüsünün ilk deadline tarihinde sadece 10.000 civarında kayıt işlemini gerçekleştirmesinden kaynaklanmıştır. Bu durumda esasında veri sorumlularının süreçten çok da haberdar olmadıklarını ortaya koymaktadır. VERBİS kaydı esasında veri sorumlularının kanuni sorumluluklarının farkına varmaları ve veri güvenliği politikalarını oluşturmalarını sağlamaktır. İkinci amaç ise ilgili kişi konumunda olan verinin sahibi gerçek kişilerin, veri sorumlusu konumunda olan kişi ve kurumları denetlemelerini kolaylaştırmaktır.

VERBİS kayıtları sonucunda, ilgili kişi verisinin bir veri sorumlusu tarafından hangi amaç ve sınırlar ile ve ne süre ile işleneceğini kontrol etme imkânına kavuşacaktır. Buna ek olarak VERBİS sisteminde yer alan bilgiler veri sorumlularına yapılacak başvuruların sağlıklı bir şekilde yapılması konusunda da ilgili kişilere yol gösterici olacaktır.

VERBİS kayıt yükümlülüğü altında olmayan yani 50 kişiden az personel istihdam eden veya bütçe büyüklüğü 25 milyondan az olan veri sorumluları açısından KVKK’ya uyum zorunluluğu devam etmektedir. Bu anlamda kamuoyunda ciddi bir eksiklik var. VERBİS kaydı KVKK’ya uyum açısından bazı veri sorumluları için ek yükümlülüktür. Yoksa yaptığı işin hacmi, büyüklüğü veya niteliğine bakılmaksızın herhangi bir şekilde dijitalleşmiş kişisel veri elde eden tüm gerçek, özel ve kamu hukuku tüzel kişileri kanun açısından veri sorumlusu olarak kabul edilmiştir ve KVKK ile uyumlu olmak zorundalar.

Sahada yaptığımız çalışmalarda gözlemlediğimiz bir diğer eksiklik de aydınlatılmış rıza konusunun KVKK açısından yeter şart olarak anlaşılması. Kanun uçtan uca bir denetim istiyor. Yani veriyi elde ederken benim koyduğum kurallara uygun olarak elde et, benim belirlediğim ve verinin niteliğine göre önerdiğim asgari önlemler ile koruma altında tut ve talep veya süre sonunda benim belirlediğim usulde sil veya anonim hale getir diyor.

Ben kişisel veri güvenliği politikasının, genel veri güvenliği politikasının bir alt başlığı olarak anlatıldığında şirketlerimizin daha fazla ilgisini çektiği kanısındayım. Çünkü günün sonunda şirketlerin kendi verilerinin korunmasında ticari çıkarları da var. Bu çıkarın farkında olan şirketler açısından kişisel verilerin korunmasına ilişkin teknik tedbirlere yatırım yapmaları daha kolay oluyor.

Veri güvenlik politikasında dikkat edilmesi gereken önemli hususlardan bir diğeri de kişisel veriyi elde etmekteki amacın ne olduğunun net belirlenmesi. Veri envanteri çalışmalarında birçok kurumun işlerinin yürütümü açısından hiçbir şekilde ihtiyaç duymadıkları verileri gereksiz bir şekilde elde ettikleri gözlemlenmiştir. Veri politikasının en temel prensiplerinden birinin bu açıdan ‘gereksiz veriyi almayın’ şeklinde belirlenmesi faydalıdır.”

Vatansever: “VERBİS’e kayıt olmayanlara verilecek idari para cezasının tutarı 20.000 TL ile 1.000.000 TL arası olacak”

KVKK hakkında vatandaşların ne kadar bilgi sahibi olduğu sorusuna, vatandaşlarımızın KVKK hakkında henüz yeterince bilgi sahibi olmadığını söyleyerek sözlerine başlayan Bilişimciler ve BİLİŞİM GRUBU Başkanı Şenol Vatansever, “Vatandaşlarımız, kişisel verilerine sahip çıkmak ve ihlallerle ilgili haklarını aramak istiyor, ama bunu nasıl yapacağını bilmiyor. Örneğin, bilindiği üzere birçoğumuza firmalardan kampanya, reklam içerikli mesajlar geliyor. Peki, bu durumda nasıl bir yol izlememiz gerekiyor? Aslında konuyla alakalı Kurulun almış olduğu bir ilke kararı var. İlgili kişilerin rızalarını almadan veya diğer işleme şartlarını sağlamadan SMS göndermek, arama yapmak veya e-posta göndermek suretiyle reklam ve pazarlama yapanlar hakkında idari yaptırımlar uygulanabiliyor. Söz konusu ticari elektronik iletilerin gelmesini istemeyen kişilerin öncelikle veri sorumlusuna başvuru yapması gerekiyor. 30 günlük bekleme süresi sonunda eğer veri sorumlusu olan şirket veya kurumlardan cevap alamazsa Kurula şikâyet yolunu tercih edebiliyor. Aynı zamanda mahkemeye de verme hakkı var.

Ayrıca yine her zaman aklımızda olması gereken bir detayı paylaşmak istiyorum. Kişisel Verileri Koruma Kurumu bünyesinde ALO 198 Veri Koruma Hattı da hizmet veriyor. Kanunla ilgili her türlü soru ve bilgi için ücretsiz olarak aranabilir.

Vatandaşlar kişisel verileri ile ilgili şirketlere/kurumlara başvuru hakkını kullanmadan direkt olarak sonuç almak üzere Kuruma şikâyet hakkını kullanmak istiyor. Bu mümkün olmadığı için büyük bir çoğunluğu sonuç alamayacağını düşündüğünden başvuru hakkını kullanma aşamasında vazgeçiyor. Kuruma web sitesine örnek dilekçeler vb. yönlendirmelerle süreci vatandaşlar açısından kolaylaştırmaya çalışmasını önerebiliriz. Ya da başvuruların Kurum web sitesi üzerinden direkt olarak şirkete/kuruma iletilmesi de sağlanabilir. Dolayısıyla bu süreç daha etkin biçimde takip edilebilir ve caydırıcılığı da yüksek olur. Benzer şekilde belki para ödülü de koyarak ihbarların gelmesi sağlanabilir.” açıklamalarında bulundu. Kurumun resen denetim hakkını daha fazla kullanmasının da uyumluluk konusunda şirketleri ve kurumları hızlandıracağını belirtti.

Vatansever, şirketlerin ve kurumların KVKK’ya uyumluluk noktasında ne durumda olduğu sorusuna ise şöyle cevap verdi: “Şirketler ve kurumlar genelde KVKK’ya uyumlu olduklarını ifade ediyorlar. Ama gerçekten durum böyle mi? Yine benzer şekilde kapsamda olanlar için VERBİS’e kayıt tarihinin 31 Aralık 2019 tarihine ertelenmesini uyumluluk için 31 Aralık 2019 tarihine kadar süremiz var gibi algılayanlar da yok değil. Halbuki VERBİS, tüm sürecin sadece ufak bir adımı. İdari ve teknik tedbirler açısından kanunun yürürlüğe girdiği 7 Nisan 2016 tarihinden bu yana uyumlu olmak gerekiyor. 7 Nisan 2016 tarihinden önce elde edilen verilerin uyumlu hale getirilmesi için iki yıllık ek süre verilmişti, o da doldu. Özetle; 7 Nisan 2018 tarihinden itibaren hiçbir bahane ve özür kalmadı. Cezaların da önü açılmış oldu.”

VERBİS’e kayıt kapsamında olan 50.000 firma için son kayıt tarihinin 31 Aralık 2019 olduğunun altını çizerek sözlerine devam eden KVKK Uzmanı Şenol Vatansever, “VERBİS’e 2 ay önce sadece 11.000 firma kayıt yaptırmış durumdaydı. Kayıt olmayanlara verilecek idari para cezasının tutarı 20.000 TL ile 1.000.000 TL arası olacak. Bu tutarın firmadan firmaya nasıl uygulanacağının kriterlerinin açıklanmasında fayda görüyoruz.

İsterseniz çok kritik bir bilgi vererek konuyu detaylandırmaya başlayalım. Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk Bilir ile Dijital Biz Dergisi olarak Ağustos ayında yaptığımız özel röportajda bulut hizmet sağlayıcıları ile ilgili kendisine bir soru yönelttik. Sektörün %99’u bu konuyu kendi mantığı ile yorumlamaya çalışıyor ve yanlış biliyor. Halbuki geçerli olan kanun, yönetmelikler, kararlar… Başkana, Türkiye’de faaliyet gösteren bulut hizmet sağlayıcısı olan bir firmaya aktarılan veriler 6698 Sayılı Kanun kapsamında nasıl değerlendirilir diye sorduk. Başkan, ‘Burada önemli olan bulut teknolojileri firmalarında depolanan verilerin nerede olduğu değil, bulut teknolojilerine ait firmalara aktarım yapılırken firmanın merkezinin nerede olduğudur. Bulut firmalarında depolanan veriler sürekli yer değiştirerek farklı ülkelerde dolaşmaktadır. Dolayısıyla dikkat çekmek istenen bulut firmasının merkezinin hangi ülke sınırları içerisinde bulunduğudur. Türkiye’de faaliyet gösteren bulut hizmet sağlayıcısı olan firmaya aktarılan veriler, 6698 Sayılı Kanun kapsamında yurt içi aktarım olarak değerlendirilecek ve Kanundaki yurt içi aktarım hükümleri uygulanacaktır.’ açıklamalarında bulundu. Bu durumda tüm global bulut sağlayıcıları KVKK’ya uyumsuz oluyor. Bu durum global bulut hizmeti sağlayıcıları, hizmet alan müşteriler açısından çözülmesi gereken bir problem olarak görünüyor. Diğer taraftan yerli bulut sağlayıcıları için de bir fırsat olarak değerlendirilebilir. Bu cevabın sektörde ciddi anlamda bir hareketlilik yaratması da söz konusu olabilir.

Kurum Başkanına yaklaşık iki ay önce bir basın toplantısında güvenli ülkeler listesi ile ilgili son durumu sormuştum. Sadece Kosova ve Japonya ismini geçirerek çalışmaların devam ettiğini ifade etmişti. Kurumdan güvenli ülkeler listesini açıklaması beklentisi var.

Son dönemde Kurum tarafından global firmalara, bankalara, şirketlere cezalar yağdı. Bu cezaların hepsi veri ihlalleri sebebiyle verildi. Şirketler/kurumlar sistemlerindeki kişisel veriler kanuni olmayan yollarla başkaları tarafından ele geçirilirse hangi yolu izlemeli? 6698 sayılı Kanun ve ilgili Kurul kararına göre işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumluları bu durumu en geç 72 saat içerisinde Kişisel Verileri Koruma Kurulu’na bildirmek zorunda. Kişisel Verileri Koruma Kurulu’na yapılan veri ihlal bildirimleri, gerekli görülmesi durumunda Kurumun web sitesinden veya başka bir yöntemle kamuoyuna duyuruluyor.

Kişisel veri ihlal bildirimleri, ihlalden etkilenen kişiler hakkında ortaya çıkabilecek olumsuz sonuçların önüne geçilmesini sağlıyor. Kişisel Verileri Koruma Kurumuna bu zamana kadar 129 ‘veri ihlal bildirimi’ yapıldı. Kuruma bildirimi yapılan veri ihlallerinden yaklaşık 3 milyon kişi etkilendi. Bu ihlal bildirimlerinin 36 tanesi Kurumun internet sitesinde yayınlandı. 10 milyon TL’nin üzerinde idari para cezası verildi.

Veri sorumluları, veri ihlalini öğrendikleri andan itibaren en geç 72 saatte Kuruma bildirmenin yanı sıra, ihlalden etkilenen kişileri belirleyerek en kısa süre içerisinde onlara ulaşmak ve bilgi vermek zorundalar. 72 saat içinde bildirim yapılamaması halinde ise, yapılacak bildirimle birlikte gecikmenin nedenlerinin de açıklanması gerekiyor.

Kurula yapılacak bildirimde Kişisel Verileri Koruma Kurumu’nun web sitesinde yer alan ‘Kişisel Veri İhlal Bildirim Formu’ kullanılıyor. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanması şartı var.

Kişisel Verileri Koruma Kurulu, veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin Kararında veri sorumlusunun ihlale ilişkin ilgili kişilere yapacağı bildirimlerde hangi unsurların bulunması gerektiğini açıkladı.

Söz konusu Karara göre, veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılmasının yanı sıra; ihlalin ne zaman gerçekleştiği, kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği, kişisel veri ihlalinin olası sonuçları, veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler hakkındaki bilgileri içermesi gerektiği belirtildi. Ayrıca ilgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yollarının da yine ilgili kişiye yapılacak ihlal bildiriminde yer alması gerekiyor.” şeklinde gündeme ilişkin önemli detaylar içeren bilgi paylaşımında bulundu.

Öner: “KVKK’nın öneminin tüm çalışanlar açısından kavranması hepimizin ana hedeflerinden biri”

Büyük bir şirket olarak Tofaş’ın, çalışan ve müşteri verilerinin güvenliğini nasıl sağladığı ve KVKK uyumluluk çalışmalarında hangi aşamada olduğu sorusu üzerine bu konuda iki ayrı grup çalışmadan bahsedilebileceğini belirten Tofaş Türk Otomobil Fabrikası Veri Yönetişimi Proje Lideri Fatma Öner, “Birincisi Tofaş olarak KVKK çalışmalarımız diğeri ise Tofaş IT altında faaliyet gösteren Veri Güvenliği ekibimizin yaptığı çalışmalar.

Öncelikli olarak Tofaş’ın KVK çalışmaları 2016 yılından beri süregeliyor. Bununla ilgili en önemli aksiyonun çalışanlarda farkındalık oluşturmak olduğunu söylememiz gerekir. Tofaş Hukuk birimi ve IT olarak biz mümkün oldukça omuz omuza bir yaklaşım sergilemekteyiz. Çalışmalarımızı iki gruba ayırıyoruz, birincisi karar alma ve kararların diğer departmanlara indirgenmesi için çalışmalar. Karar alma konusunda Direktörler, Avukatlar ve bizler Proje Yöneticileri’nin katıldığı bir ‘Yönetim Komitesi’ çalıştayı ve yine bu kararların diğer departmanlar ve Tofaş bünyesinde yaygınlaştırılması için çalışan bir ‘Yürürlülük Komitesi’ bulunmakta. Bu iki komitenin kararlarının veri sorumluları ile birlikte Tofaş’ta yaygınlaştırılması bizlerin görevi. Öncelikle bu yapıyı sağlamak ve KVKK’nın öneminin tüm çalışanlar açısından kavranması hepimizin ana hedeflerinden biriydi.

Aldığımız kararlara ve bu kararların uygulanmasına gelirsek; bu konuda projenin ana sponsorunun Hukuk Birimleri olduğunu söylememiz gerekir. Fakat her ne kadar proje Hukuk Birimi sorumluluğunda olsa da tüm sistemler, Tofaş içinde adım attığınız her noktada sizi başka bir uygulama karşıladığı için IT’nin de ana sorumluluklarından biri haline geliyor.

Projenin biraz daha IT derinliğine inersek, biz çalışmalarımızı birkaç ana kısımda devam ettiriyoruz:

  • İlk kısım; kişisel veri envanterimizi oluşturmak ve bu envanteri işler hale getirmek; ayrıca envanterle bağlantılı olarak başvuru sürecini işler hale getirmek.
  • İkinci olarak müşteriye ya da çalışana dokunduğumuz her ekran, her bir form esnasında çalışanın iznini almak ve bu izni sistemde tekilleştirip müşterinin izni doğrultusunda onunla iletişime geçmek. ‘İzinlerin toplanması ve bu sürecin yapılandırılması’ diyebiliriz.
  • Üçüncü olarak, yapısal verinin keşfi ve silme ve anonimleştirme çalışmalarımız devam ediyor. Bu kısım oldukça önemli ve emek yoğun çalışma gerektiriyor aslında. Genel olarak Tofaş’ın birçok altyapının olduğu ve bu altyapıların farklı farklı domainler, farklı veritabanları olduğu düşünülürse projenin büyüklüğü ve zorluğu da görünebilir. Veri keşfi dediğimiz kısım, benim hangi veritabanlarında ve detay olarak nerede, kişisel veri ve hassas veri ve kritik verilerim bulunuyor çalışması. Bu ne demek; aslında envanterin her bir sürecinin içinde bulundurduğu verinin detayında bu verinin bulunduğu tam yeri adreslemek. Bu kısım için gerekli tool araştırma çalışmalarımız devam ederken paralelde de manuel olarak bu çalışmaları yaptık aslında. Ardından da Tofaş’ın bahsettiğimiz kurullarda aldığımız anonimleştirme kurallarına göre verinin anonimleştirme kurallarının işletilmesi.
  • Dördüncü olarak, yerini belirlediğimiz veriye erişimi yetkilendirmek diyebiliriz. Burada da çalışmayı, yapısal veri yapısal olmayan veri olarak iki kısma ayırmalıyız, her ikisi ile ilgili çalışmalarımız da devam ediyor.
    • Yapısal olmayan veriye erişim yetkilendirme için Data Loss Prevention (DLP) sisteminden bahsedebiliriz. Biz bu proje kapsamında Hukuk Birimi’ne bağlı bir ekip tarafından yönetilen bir DLP sistemi kurduk. Sistemlerimizden istenmeyen verinin çıkışını önleme kapsamında belirlediğimiz kurallar çerçevesinde yaptığımız değerlendirmelerle, kişinin bu veriyi gerçekten Tofaş dışına göndermesi ya da bilgisayarından başka bir ortama upload etmesi gerekiyorsa bunu bir izin yetkisiyle yapabilmesi için gerekli çalışmalar diyebiliriz. Şu anda tüm sistemlerimizde düzenli olarak bu incident’ları izliyoruz ve değerlendiriyoruz.
  • Bunun dışında KVK teknik tedbirlerine uyum çalışmalarımızı bir proje olarak izliyor ve gerekenleri IT olarak yapıyor ve değerlendiriyoruz. Bu kısım burada detaylı tartışamayacağımız kadar detaylı biliyorsunuz.
  • En son olarak ve diğer tüm süreçlerle paralel olarak, dokümantasyon, politika ve prosedürlerimizi netleştirmek diyebiliriz. Ayrıca bu maddenin içinde düzenli değişen yasalara, politika ve prosedürlere uyumu da göz önünde bulundurmalıyız.
  • Çok önemli bir kısım olarak da unutmamak gerekir ki; verinin üretildiği yerde mümkün olan en az ve yeterli kişisel veri ile üretilmesi kuralını tüm çalışanların içselleştirmesi gerekir. Örnek olarak yemekhanede yemek yiyecek kişi listesinde T.C. kimlik numarası ya da mümkünse ad soyad değil Tofaş sicil numarası bulunması yeterli ise bu listenin bu şekilde hazırlanması. Bunu da motto olarak Tofaş bünyesinde yaygınlaştırmak bir diğer hedefimiz.

Ayrıca Tofaş Veri Güvenliği ekibimizin yaptığı çalışmalardan da başlıklar halinde bahsedebilirim: Veri güvenliği ekibi olarak ISO 27001 Veri Güvenliği framework’ü kapsamında bir yaklaşımımız var. Bu aslında ekip olarak içselleştirdiğimiz bir yaşam döngüsü. Yine bu kapsamda biraz önce anlattığım teknik rehberdeki maddeler analiz edilerek aksiyon almamız gereken noktaları çıkarttık, her bir gereksinim noktasını elimizde bulunan teknoloji ve yazılımlarla eşleştirdik, boşluk olan noktalar üzerinde de çalışmaya devam ediyoruz.

DLP’den bahsetmiştim, bu kısmın denetimi IT’den bağımsız olarak devam ediyor, burada yeri geldiğinde kullanıcıya uyarı vererek yeri geldiğinde de işlemi engelleyerek farkındalık arttırmaya ve veriyi korumaya çalışıyoruz. Kullanıcılar bir süre sonra sistem dışına bir grup çalışan verisi göndermesi gerektiğinde bunun yetkiye bağlı bir işlem olduğunun bilincine varmış oluyor. Aynı sistem içinde gündelik yazışmaların da otomatik olarak etiketlenmesi ya da kişinin kendisinin etiketlemesini sağlıyoruz.

Teknik rehber kapsamında yaptığımız çalışmalar ve hedeflerimiz içinde; yapısal ve yapısal olmayan kişisel veri ya da kritik verilerin bulunduğu yerde sınıflandırılması ve şifrelenmesi için gerekli çalışmalar için ilgili yazılımları devreye almak da var.

Bunun dışında kimlik yönetim sistemimiz yani yalnızca yetkisi olan kişilerin ilgili veri grubuna erişmesi çalışmalarından bahsetmek gerekir. Bu kısım çok önemli, Tofaş’ta talep edilmedikçe tüm çalışanlar en base yetki seviyesinden başlatılır ve ilgili yetkilendirme talep ile ve bir onay silsilesi ile verilir. Ayrıca birçok sistemde sistem analistleri, key user’ların düzenli olarak yetkileri kontrol etmeleri istenir. Dışarıdan sistemlerimize özellikle kritik veri barındıran sistemlere tüm bağlantılar 2 faktör authentication (2 adımlı kimlik doğrulama) ile sağlanır.

Ve sistemlerimize giriş-çıkışları merkezi bir log sistemi ile izliyoruz, ayrıca detay loglama olarak bahsedebileceğimiz kişisel veri-hassas veri-kritik veri içeren sistemlere yapılan tüm hareketleri loglama çalışmalarımız da devam etmekte.” diyerek Tofaş bünyesinde yapılmış olan, devam eden ve planlanmış olan çalışmalarla ilgili detayları aktardı.

Keçeciler: “İdari tedbirlerin, teknik tedbirler ile desteklenmesi ve bir bütünlük içinde 360 derece kapsayıcılık esasına uygun şekilde tasarlanması gerekmektedir”

Kamu hizmeti gören belediyenin cezalandırılması durumunda, o belediyeden hizmet alan yurttaşların da cezalandırılmış olması konusunda görüşlerini açıklayan İSTAÇ Genel Kurul Üyesi Av. Arb. Murat Keçeciler, “KVKK’nın uygulanmasında hapis cezaları kadar para cezaları da öngörülmüştür. Kanun veri sorumlusu olunması anlamında özel hukuk tüzel kişileri ile kamu tüzel kişileri arasında bir ayrım görmemiştir. Bu anlamda İBB işlemleri esnasında meydana gelecek ve KVKK’nın ihlali olarak düzenlenecek bir ihlal durumunda İBB’nin veya herhangi bir belediye veya kamu kurumunun para cezalarına muhatap olması mümkündür. Kanun yapma tekniği açsından bu şekilde bir sınırlamaya gitmeniz Anayasanın eşitlik ilkesi açısından pek mümkün olmuyor. Buna ek olarak KVKK’nın getirdiği birçok istisnalar ile kamu hizmetleri, kanunların verdiği yetkinin kullanılması, kamu menfaati ve güvenliği gibi kavramlar istisna olarak değerlendirilmiştir. Bu anlamda kamu kurumu konumundaki veri sorumluları birçok yükümlülükten istisna tutulmuştur. Temelde yapmaları gereken en önemli yükümlülük verinin sağlıklı bir şekilde korunmasını sağlamaktır. Bu durum ise milli savunma politikası anlamında siber güvenlik başlığının zorunlu bir unsurudur. Esasında KVKK kamu kurumlarını veri sorumlusu olarak kabul etmese dahi, bu kurumlar açısından vatandaşların verilerini korumaları idarenin asli yükümlülükleri kapsamında yer almaktadır. Bir belediyede yaşanacak veri sızıntısının önlenmesi açısından gerekli önlemlerin alınmasını temin etmek için yaptırım uygulanmasına yol açan kişilere belediyelerin rücu imkanları da söz konusu olacaktır.” dedi.

Keçeciler, idari tedbirler ile teknik tedbirlerin uyumunun önemini ve teknik tedbirler olmadan idari tedbirlerin yeterli olmayacağını açıklayarak, “İdari tedbirlerin, teknik tedbirler ile desteklenmediği bir veri güvenliği politikası mutlaka eksik kalacaktır. Öncelikle veri envanteri sağlıklı bir şekilde çıkarılmalıdır. Bu anlamda da kanunun verinin dijitalleşmiş her halini kapsamına aldığı göz ardı edilmemelidir. Bu nedenle, veri sorumlularının çalışanlarının client bilgisayarlarında tuttukları ve hiçbir şekilde işletme ile ilgili olmayan veriler ile sorumlu olacaklarını göz ardı etmemeleri gerekmektedir. Bu anlamda, envanterin birimler ile yapılan ortak çalışmalar ile yapılan sorgulamalar ile yapılmasında ciddi loophole’ların yaşanabileceği dikkate alınmalıdır.

Bunun yanı sıra idari tedbirlerin oluşturulmasında teknik tedbirlerde özdeş ve birbiri ile uyumlu şekilde belirlenmesine dikkat edilmelidir. Bütünleşik bir yapı arandığı göz ardı edilmemelidir. KVKK’nın ana amaçlarından biridir.

KVKK ile uyumlu bir veri politikası açısından olmazsa olmazların başında idari tedbirlerin, teknik tedbirler ile desteklenmesi ve bir bütünlük içinde 360 derece kapsayıcılık esasına uygun şekilde tasarlanması gerekmektedir. Hali hazırda KVKK uyum konusunda birçok veri sorumlusunun sadece idari tedbirler kapsamında yer alan belgeleri ve prosedürleri hazırladıkları ancak teknik tedbirleri eksik bıraktıkları görülmektedir.” dedi ve bu durumun şirketler ve kurumlar açısından ciddi riskler barındırdığına dikkat çekti.

Vatansever: “Kişisel Veri Yönetimi Çözümleri, Güvenlik Bilgi ve Olay Yönetimi (SIEM) Çözümleri ile %80’lik kısma uyumlu olma durumunuz olabilir”

Vatansever Bilişim Yönetim Kurulu Başkanı Şenol Vatansever, teknik tedbirlerin idari tedbirlere göre daha can alıcı noktada olması ve bu sebeple şirketlere ve kurumlara teknik tedbirler tarafında bulunacağı tavsiyeler ile ilgili soruya verdiği cevaba idari tedbirlerin ve teknik tedbirlerin birbirini tamamladığını belirterek başladı: “KVKK’ya uyum sürecinin başarısı için bir tarafta derin bilgiye sahip olsak da diğer tarafı da biliyor olmamız gerekiyor. Peki nedir bu tedbirler? Çok özet biçimde bazı kısımlarına da vurgu yaparak anlatmaya çalışacağım. KVKK’nın ucuz bir çözümü yok. 50 bin TL’ye danışmanlık aldım, rapor çıkardılar, uyumluyuz demek konuyu çözmüyor. Ya da bizim IT’ye verdik, VERBİS’e kaydımızı yaptılar demek de konuyu çözmüyor. Daha önce yapılan teknoloji yatırımları sebebiyle şirketlerin ve kurumların bazı maddelerde KVKK’ya uyumlu olduğunu söyleyebiliriz. Geçmiş tecrübelerimizden hareketle 2 çözüm ile geri kalan belki de %80’lik kısma uyumlu olma durumunuz olabilir: ‘Kişisel Veri Yönetimi Çözümleri, Güvenlik Bilgi ve Olay Yönetimi (SIEM) Çözümleri

Peki nedir bu idari ve teknik tedbirler?

KVKK – İdari Tedbirler

  • Kişisel Veri İşleme Envanteri Hazırlanması | Bkz. Kişisel Veri Yönetimi Çözümleri
  • Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
  • Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında)
  • Gizlilik Taahhütnameleri
  • Kurum İçi Periyodik ve/veya Rastgele Denetimler
  • Risk Analizleri
  • İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
  • Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
  • Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

KVKK – Teknik Tedbirler

Kişisel Veri Yönetimi Yazılımında olması önerilen özellikleri şu şekilde ifade edebilirim:

  • Ürün hem Microsoft Windows hem de Linux işletim sistemine sanallaştırmaya gerek duymadan kurulabilmelidir (İşletim sistemi bağımsızlığını sağlamak için).
  • Ürün PDF, Şifrelenmiş PDF, Microsoft Word, Microsoft Excel, CSV, TXT, TIFF dahil olmak üzere çeşitli resim dosyaları vb. dosyalar içerisinde işletim sisteminden bağımsız olarak T.C. Kimlik Numarası, cep telefonu numarası, kredi kartı bilgileri gibi Kişisel Verileri -gerektiğinde OCR yaparak- tarayıp bulabilmeli ve raporlayabilmelidir. Bulduğu dosyaları KVKK’ya uygun olarak silebilmelidir (istenirse öncelikle başka bir dizine taşıyabilmelidir). Yapılan tüm bu işlemlerin imzalı olarak zaman damgasıyla saklanması sağlanmalıdır.
  • Ürün Microsoft SQL, Oracle, MySQL, PostgreSQL veri tabanları ve bunları kullanan uygulamalarda işletim sisteminden bağımsız olarak T.C. Kimlik Numarası, cep telefonu numarası, kredi kartı bilgileri gibi Kişisel Verileri tarayıp bulabilmeli ve raporlayabilmelidir. Bulduğu veri tabanı alanlarında içinde kişisel veri olanları KVKK’ya uygun olarak anonim hale getirebilmelidir.
  • PST/OST dosyalarında bulduğu e-mailleri raporlayabilmelidir.
  • Kelime bazlı, regex bazlı tarama yapabilmelidir. Aynı anda birden fazla kelime, aynı anda birden fazla regex tarama yapabilmelidir.
  • C. Kimlik Numarası keşfini algoritmik olarak yapabilmelidir.
  • Kolay kullanıcı arayüzüne sahip olmalıdır.
  • Kullanıcı bazlı yetkilendirmeye sahip olmalıdır.
  • Admin paylaşımları ile uzaktan tarama (Administrative Shares) yapabilmelidir.
  • Komut satırından çalışabilmelidir.
  • Microsoft Task Scheduler ile çalıştırılabilmelidir.

Güvenlik Bilgi ve Olay Yönetimi (SIEM) Yazılımında olması önerilen özellikleri şu şekilde ifade edebilirim:

  • Ürün hem Microsoft Windows hem de Linux işletim sistemine sanallaştırmaya gerek duymadan kurulabilmelidir (İşletim sistemi bağımsızlığını sağlamak için).
  • Ürün, ileri seviye tehdit tespiti için makine öğrenmesi modülüne sahip olmalıdır.
  • Ürün, tehditlerin anında yakalanabilmesi için in-memory korelasyon yapabilmelidir.
  • Ürün aşağıdaki tarzda tespit yapılarını desteklemelidir:
    • Ürün, firewall tarafından bloklanan bir port ve IP ile bu olaydan önceki 20 dakika içerisindeki aynı IP ve port ile haberleşen (bloklanmayan) başka aktiviteleri tespit edebilmeli ve uyarabilmelidir.
    • Ürün, aynı anda aynı kullanıcı hem başarılı hem de başarısız oturum açarsa uyarmalıdır (Bir insan o kadar hızlı login ve logout yapamaz).
  • Ürünün KVKK desteği olmalıdır:
    • SIEM ürünü veri keşfi ürünleri ile entegre olmalıdır.
    • SIEM ürünü log’ların içerisinde T.C. Kimlik Numarası, cep telefonu veya kredi kartı bilgisi geçerse haber vermelidir.
    • Enterasys Dragon IDS, Cisco Nexus, Citrix NetScaler, SonicWall SSL-VPN cihazları ile entegre olarak kredi kartı bilgisi tespit edebilmelidir.

Danışmanlık firmalarının büyük bir kısmının hazırladığı, şirketlere ve kurumlara teknik tavsiyeler içeren raporların büyük bir kısmı size sizin bildiklerinizi yazılı olarak vermekten öte geçmiyor. Hatta bazı müşterilerimiz bu raporlar için danışmanlık firması ekiplerinden daha fazla emek verdiğini ifade ediyor. Kişisel Veri İşleme Envanteri diye bölümlerle haftalar hatta aylar süren görüşmeler sonucunda oluşturdukları Excel dokümanları maalesef sadece kenarda duruyor. Çünkü ne mevcut durumu sağlıklı olarak gösteriyor ne de gelecek için bir anlam ifade ediyor. Yüzbinlerce liraya hazırlanan bu dokümanlar sadece müşteri beyanlarını baz alarak oluşturuluyor. Müşterinin bilinçli ya da bilinçsiz olarak söylemediği, çalışan bilgisayarlarındaki kişisel verilerin yansıtılmadığı raporlar KVKK açısından hiçbir anlam ifade etmiyor.

Peki kişisel veri işleme envanterini siz nasıl hazırlıyorsunuz dediğinizi duyar gibiyim. Biz tüm sunuculardaki, veri tabanlarındaki, kullanıcı bilgisayarlarındaki kişisel verileri tek tuşla tarayıp, raporlayıp, kişisel veri içeren dokümanları sınıflandırıyoruz. Bu bölümlerle haftalar hatta aylar boyunca yapılan verilerinizi nerelerde tutuyorsunuz gündemi olan toplantıları ortadan kaldırıyor. Yazılım ile insan hatasını ortadan kaldırıyor. Kişisel verilerin tahmin edilebilen ve hiç tahmin edilemeyen kısımlardan nasıl çıktığını hep beraber görüyoruz. Devamında bu verilen hangilerinin tutulacağına, hangilerinin silineceğine ve anonim hale getirileceğine karar veriliyor. Yazılım bunların tamamını otomatik olarak yapıyor. Size zamandan ve paradan kazandırıyor. Veri envanterinin yaşayan bir süreç olarak kurgulanması ve güncellemelerin VERBİS’e yansıtılması kritik öneme sahip.

Kişisel Verilerin Korunması Kanunu, 5651 ve diğer kanun, yönetmelik ve uyum ihtiyaçları için 2 yıl önceki log’lara hızlıca ve sorunsuz erişmek gerekiyor. 2 yılda ne kadar log birikebilir sorusunun cevabına göre planlarınızı yapmakta fayda var. 100 bilgisayar, 1 dosya sunucusu, 4–5 sunucu, firewall, Active Directory, DHCP, DNS, mail ve WEB sunucudan oluşan bir ortamda ortalama en az 500 EPS (saniyede oluşan olan sayısı) log oluşur. Bu günlük yaklaşık 50 milyon log ve 50 GB alan ihtiyacı anlamına gelir. Bu da 2 yıllık süreçte yaklaşık 35 milyar log ve 35 TB log anlamına gelir. Satın alacağınız SIEM yazılımının bunu kaldırabilecek özellikte olduğundan ve log’ları ciddi oranda sıkıştırarak tutma özelliği olduğundan emin olmanızı tavsiye ederiz. Yaygın olmasına rağmen log saklama kısıtları olan ve log kaçıran SIEM yazılımları da vardır. Örnek olarak sadece 200 milyon log tutabilen ve 1.000 EPS üzerine çıkamayan SIEM yazılımını verebiliriz. Bu durumda 1 hafta bile geçmeden sınıra ulaşabilirsiniz.

Sürekli veri ihlalleri bildirimlerinden bahsediyoruz. Veri ihlallerinin neye benzediğine ilişkin bazı örnekler paylaşmak isterim. Öncelikle 2 Ekim 2019 tarihinde yayınlanan şu duyuruyu beraber okuyalım: “Bir turizm şirketi hakkında Kişisel Verileri Koruma Kurulunun 27.08.2019 tarih ve 2019/255 sayılı Karar Özeti”

Karar özeti içerisinde neler ifade edilmiş:

  • Genel alanlarda bulunan, sunuculara erişimi olan çalışan network bağlantılarının ihlal gerçekleştikten sonra kapatıldığı ve bu hususun da sunucu güvenliği noktasında bir aksaklık teşkil ettiği,
  • Güvenlik duvarının ihlal gerçekleştikten sonra yenilenmesinin sağlandığı ve güvenlik duvarının güncel durumda bulunmamasının teknik bir eksiklik olduğu,
  • Çalışanların ihlal gerçekleştikten sonra güvenlik eğitiminin sağlandığı ve daha önce böyle bir eğitim almadıkları anlaşılmış olup bu durumun da kişisel veri güvenliği sağlanması ve farkındalığı noktasında idari bir eksikliğin göstergesi olduğu,
  • İhlali gerçekleştiren kişinin önce Şirket içindeki sunuculara erişim sağladığı, daha sonra dikkat çekmemek için Şirketten ayrıldığı ve bir sunucuya yüklediği uzaktan erişim yazılımı ile işlemlerini gerçekleştirdiği,
  • Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının Şirket IT sistemleri tarafından fark edilmemesinin teknik bir eksiklik olduğu, – Sunucu üzerindeki verilerin geri getirilemez şekilde ihlali gerçekleştiren kişi tarafından yok edildiği,
  • Söz konusu olayın Bilgi İşlem Birimine Şirketin diğer birimlerinde çalışanlar tarafından bildirilmesinin Şirketin Bilgi İşlem Biriminin ve Bilgi Sistemlerinin düzgün olarak çalışmadığı ve işlemediğinin bir göstergesi olduğu

Ve devamında; ihlal sebebiyle 400.000 TL idari para cezası ve ihlalin 72 saat içerisinde bildirilmemesi sebebiyle 100.000 TL idari para cezası uygulanmasına karar verildiği belirtiliyor.

Aşağıda belli yeteneklere sahip bir SIEM ve kaliteli bir danışmanlık ile tespit edilmesi muhtemel kurum bildirimlerinden örnekler mevcuttur:

  • Şirket sunucularına girilerek dosyaların şifrelendiği ve sistemin kullanım dışı bırakıldığı
  • Şirket yetkilileri ve bilgi işlem uzmanlarının incelemeleri neticesinde Şirketin Local Area Network (LAN-Yerel Alan Ağı) üzerinden, ilgili şifrelerin ele geçirilmesi yoluyla yetkisiz şifre girişi ile siber saldırı yapıldığı ve söz konusu olayın Şirketin Genel alanlarda bulunan bir çalışan bilgisayarı üzerinden çalışan ağına sızılarak gerçekleştirilmesi şeklinde olduğu
  • İhlalin Şirket kütüklerine girilmesi suretiyle gerçekleştirilen bir siber saldırı olduğu
  • Bir Bankanın Teftiş Kurulu Başkanlığı tarafından düzenli gerçekleştirilen kontroller kapsamında, Bankanın Beylerbeyi Şubesinde Müşteri İşlem ve Satış Sorumlusu olarak görev yapan Banka çalışanı tarafından, bireysel nitelikli kredi bilgilerini içeren sorgu ekranlarından, işin gereğinden fazla adette sorgulama yapıldığının tespit edildiği ve gerekli incelemelerin başlatıldığı
  • Bankanın Teftiş Kurulu soruşturması sonucunda; Bireysel Müşteri ilişkileri Yöneticisi, Bireysel Müşteri İlişkileri Yönetici Yardımcısı, İşletme Müşteri İlişkileri Yönetici Yardımcısı unvanlarında çalışan ve olaya sebep olan 3 personelin görev ve iş tanımları gereği KKB sorgulama ekranına yetkileri bulunduğu, ancak söz konusu 3 personelin kendilerine tanımlanan KKB sorgulama yetkilerini Bankanın erişim ve bilgi güvenliği politikalarına aykırı şekilde amacı dışında kullandığı
  • Bir Firmanın sisteminde üzerinde tanımlı yetkileri uyarınca Ticari Nitelikli Kredi Bildirimi ve Paylaşımı (KRM) sorgusu yapamadığı halde, yetkilendirme sistemini devre dışı bırakacak bir yöntem ile yetki aşımı yaparak TBB Risk Merkezi web sitesine Banka kullanıcı olarak doğrudan erişim sağlayabildiği
  • Bankanın Uyum ve İç Kontrol Grubu tarafından düzenli gerçekleştirilen iç kontrol faaliyetleri kapsamında, 2 ayrı şubesinde (Alanya ve Gebze Akse Sapağı Şubesi) toplam 3 personel tarafından, Türkiye Bankalar Birliği Risk Merkezince Bankaya sağlanan bireysel nitelikteki kredi bilgilerini içeren Kredi Kayıt Bürosu (KKB) sorgu ekranlarından şüpheli sorgulamaların yapıldığının gözlemlendiği
  • Söz konusu yetkisiz kişi veya kişilerin ayrıca Şirketin kaynak koduna (source code) ulaşarak değişiklik yapmasının ciddi bir güvenlik açığı olduğu
  • Yapılan detaylı teknik inceleme neticesinde 5225 adet müşteriye ait kullanıcı adı ve şifreye deneme yoluyla (brute-force attack) üçüncü kişiler tarafından hukuka aykırı olarak erişildiği ve internet ortamında paylaşıldığının tespit edildiği
  • Yetkisiz web arayüzü kullanıcısı ile sisteme erişildiği, müşterilere ait resim dosyalarının ve kişisel verilerin sızdırıldığı
  • Bir İnşaat Firmasının hasar onarım destek hizmeti alınan başka bir Firmanın nezaretinde yetkisiz web arayüz kullanımı ile sistemlerine erişerek müşterilere ait resim dosyalarının sızdırıldığı
  • Türkiye Bankalar Birliği (TBB) tarafından Risk Merkezi nezdinde bilgi güvenliğine yönelik yapılan çalışmalarda, bir Bankanın çalışanının yapmış olduğu sorguların şüpheli olduğunun tespit edildiği ve bu işlemlerin olası bir veri sızıntısına yol açıp açmadığının belirlenmesi amacıyla ilgili Banka nezdinde denetim ekiplerince soruşturma yapılması gerektiğinin 19.10.2018 tarihinde Banka Genel Müdürlüğüne tebliğ edildiği
  • Bir firmanın sunucularına yetkisiz şifre girişi ile siber saldırı yapıldığı

Öner: “Veriden değer yaratma, yapay zekâ, makine öğrenmesi, çok daha akıllı makineler ve insan-makine etkileşiminin çok önemli olduğu bir dünya bizi bekliyor”

TOFAŞ’ta veriden değer yaratmayla ilgili çalışmalar, veri analizinde kullanılan yöntemler, yapay zekâ ve otonom araçlar alanlarında yapılan çalışmalar, otomotiv sektöründe bizleri bekleyen yenilikler hakkında yöneltilen soruya cevap veren Tofaş Türk Otomobil Fabrikası Veri Yönetişimi Proje Lideri Fatma Öner, “Tofaş büyük bir kurum, veriden değer yaratma dediğimizde elimizde hali hazırda kolay analiz edebileceğimiz büyüklükte veri ve büyük veriyi iki ayrı grupta değerlendirmemiz gerekir diye düşünüyorum. Veriden değer yaratma dediğinizde öncelikle bunu yine farkındalık çalışmaları ve analizler ve bu analizleri çalışan ve müşteri kısacası insan hayatına ve dünyaya değer yaratacak bir hale getirmek bizim için önemli.

Reklamlarda görmüşsünüzdür, aslında Tofaş’ın gözbebeği dediğimiz bir uygulamamız var, Fiat Yol Arkadaşım. Uygulama aslında kullanıcının hayatını kolaylaştırmayı sağlayan özellikler içermekte ve Tofaş bunu daha da iyileştirmek için çalışıyor. Uygulama kapsamında makine öğrenmesi ya da veri analitiğini hali hazırda kullandığımız çalışmalarımız var ve gelecekte asıl amacımız ürünü ve teknolojiyi elimizdeki veriyi kullanarak daha değerli hale getirmek.

Veri analitiği dediğimizde sadece büyük veri aklımıza gelmesin, Tofaş içinde çalışanların günlerce uğraşıp ürettiği birçok veriyi sistemden anlık alabileceğimiz raporlama çalışmalarımız var. Kişilere bağımlı birçok rapor ve değerlendirme ve almanız gereken raporlar sabah masanıza oturduğunuzda sistemden otomatik olarak size gönderilmiş oluyor. Bunlar çok güzel değişimler.

Veriden değer yaratma dediğinizde aslında en önemli nokta, o veriyi iyi tanıyan son kullanıcının bakış açısını zenginleştirmek. Tofaş bir nevi bir akademi. 2019 Tofaş’ta veri çalışmaları yılı ilan edildi. Bununla bağlantılı bizler de dahil olmak üzere birçok çalışanımız online eğitimler ve üniversite eğitimlerine yönlendirildi, her bir eğitim projelerle ve Tofaş’ın menfaatine olan projelerle zenginleştirildi. Bunun haricinde sadece IT değil diğer departmanların çalışanlarına da makine öğrenmesi, yapay zekâ, veri analitiği en azından bu konuların ne içerdiği ne demek olduğu, bir makine öğrenmesi problemine nasıl yaklaşılır ne tarz algoritmalar kullanılır gibi konularda eğitimler verildi. Bu eğitimlerde bize hizmet aldığımız kurumların değerli danışmanları ve hocaları destek oldular. Bunun ardından her bir ekip Tofaş’ta kendi departmanı ile ilgili belirlediği bir makine öğrenmesi problemini projelendirerek hayata geçirdi.

Burada asıl anlatmak istediğim şu, bazen problemi çözmek kadar problemi belirlemek ve “ben bu probleme daha sistematik yaklaşırsam ve daha analitik ele alırsam daha iyi sonuçlar elde ederim” diyebilmek de önemli. Tofaş veri analitiği ekibi güçlü bir ekip ve çalışanlara da bu yaklaşımı vermek ve problemin çözümünde bir de bu tarz yaklaşımlar olduğu farkındalığını sağlamayı amaç edindi. Bunun yanında bu konuya ilgi duyan ekipler, IT dışında departmanlarda çalışanları da aslında veri analitiği ekibinin yardımcı kaynakları olarak görmek gerekiyor.

Yapay zekâ, makine öğrenmesi ve otonom araçlarla ilgili çalışmalarımız var. Aslında bizim daha çok uğraştığımız konu insan-makine etkileşimi. Otonom araçlar ile ilgili olarak daha çok fabrika içinde ilerleyen başka arkadaşlarımın yönettiği başarılı projeler var.  Makine öğrenmesi konusunda ise gerçekten hayata geçirmek için çabaladığımız ve üzerinde çalıştığımız birçok projemiz var, bu projeler çok yetkin arkadaşlarımızın elinde diyebilirim.

Ve en son otomotiv sektöründe ne gibi yenilikler olacak demiştiniz, otomotiv sektörüyle ilgili geçen gün bir konferansta direktörümüz Özgür Çetinoğlu’nun bir cümlesi olmuştu. Dedi ki ‘otomobil artık mekanik bir araç değil, otomobil 4 tekerleği olan bir yazılım haline gelecek’ bu çok can alıcı bir cümle. Gelecekte belki de önümüzdeki 10 yılda otomotiv sektörü büyük değişiklikler yaşayacak, makineler çok daha akıllı olacak, fabrikalar da verinin daha verimli kullanıldığı daha çok akıllı makinelerin yer aldığı yerler olacak. Gelecekte kaçınılmaz olarak veriden değer yaratma, yapay zekâ, makine öğrenmesi, çok daha akıllı makineler ve insan-makine etkileşiminin çok önemli olduğu bir dünya bizi bekliyor.” Değerlendirmelerini yaparak Tofaş olarak bu dönemin öncülerinden biri olmak için çalıştıklarını ifade etti.

Sünbül: “KVKK konusu yakın zaman kurum ve kuruluşlar için ilgili Kurumun cezaları ve buna bağlı olarak medyada yer almalarıyla gündeme etki yapabilecek potansiyeli barındırıyor”

Teknoloji Editörü ve Sunucusu Cem Sünbül oturum başkanı olarak panelin özetini yaparak, “KVKK ve Verinin Geleceği panelinde tam da adını çok iyi yansıtacak şekilde, bize ayrılan sürede anlatılabilecek en iyi şekilde tamamlandı. KVKK konusu her ne kadar şu günlerde ismiyle gündemdeyse de yakın zaman içinde bu farkındalığın bilincinde olmayan kurum ve kuruluşlar için ilgili kurumun cezaları ve buna bağlı olarak medyada yer almalarıyla gündeme etki yapabilecek potansiyeli barındırıyor. Panelin değerli katılımcıları ayrı ayrı konunun her yönünü ele aldı. KVKK konusunda pratikte dikkat edilmesi gerekenler, soru işareti olan hukuki yönleri, devasa bir otomotiv şirketinde verinin nasıl ele alındığı ve büyük bir nüfus ve çalışan yoğunluğuna sahip bir belediyenin inşa ettiği yapıyı dinlediğimiz verimli bir panel oldu. Üstelik konferansın son gün ve saatlerinde olmasına karşın izleyiciler paneli sonuna dek takip etti.” şeklinde görüşlerini paylaştı, Smart Future Expo’ya ve gerçekleşmesinde emeği geçen Bilişimciler ve BİLİŞİM GRUBU‘na teşekkür etti.