Duyuru

Bu bilgilendirmenin amacı şirketimizin şeffaflık ilkesinden kaynaklanmakta olup doğrudan kişisel verilerinizin ihlal edildiği anlamına gelmemekte olup yalnızca sürece ilişkin aydınlatma yükümlülüğümüzün ifasıdır.

 

Değerli çalışanlarımız, müşterilerimiz, iş ortaklarımız;

3 Şubat 2025 tarihinde birtakım yetkisiz kişi/kişilerin sistem kullanıcılarımızın kullanıcı adı ve parola bilgilerini ele geçirerek üçüncü parti hizmet aldığımız terminal sunucularına uzak bağlantı yoluyla eriştiği tespit edilmiştir. Erişimin tespiti ile sistemlerimiz derhal formatlanmış, antivirüs programları da güncellenerek erişime son verilmiştir. İhlalin tespiti ile ilgili mercilere gerekli bildirimler yapılmış, yetkili savcılığa suç duyurusunda bulunulmuştur.

Erişim yalnız terminal sunucuyla sınırlıdır. Şöyle ki şirketimiz üçüncü parti hizmet sağlayıcıdan 4 adet terminal sunucu hizmeti almaktadır. Bir terminal sunucusu, merkezi bir sunucuda depolanan uygulamalara ve verilere uzaktan erişimi kolaylaştıran donanım veya yazılım tabanlı bir çözümdür. Uygulamada, bilgisayarlar, dizüstü bilgisayarlar veya istemciler gibi son kullanıcı cihazları ile gerçek sunucu altyapısı arasında bir aracı olarak hareket eder. Terminal sunucular veri depolama ve uygulama erişimini merkezileştirir, böylece güçlü güvenlik önlemlerinin sunucu düzeyinde uygulanmasına olanak tanır. Kullanıcılar veri kaybı veya hırsızlığı riski olmadan uzaktan hassas bilgilere erişebilir. Bu sebeple Kargo Otomasyonumuz için terminal sunucu hizmeti kullanılmaktadır. Çalışanlarımızın terminal sunucuya bağlandıktan sonra Kargo Otomasyonuna erişebilmeleri için ayrıca oluşturulmuş kullanıcı şifre bilgilerini girmeleri gerekmektedir. Bu noktada saldırganlar uzaktan erişim ile sadece aracı faaliyet gören terminal sunuculara bağlandığından ve Kargo Otomasyonu’na farklı kullanıcı adı ve parola ile erişilebildiğinden saldırganların verilerimize erişimi yalnızca dosya adlarıyla sınırlı kalmıştır.

 

Şirketimizin bu tür ihlalleri engellemek için ihlal gerçekleşmeden önce aldığı teknik ve idari tedbirler aşağıdaki gibidir:

  • Ağ güvenliği Fortigate ürünleri ile sağlanmaktadır.
  • Uygulama güvenliği Eset Endpoint Security ile sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımında veri merkezi üzerinden güvenlik duvarı ve şifreleme algoritmaları ile kişisel veriler içeri alınmaktadır.
  • Anahtar yönetimi güvenlik duvarı üzerinde yürütülmekte ve yalnızca yetkili personel erişebilmektedir.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. Yetkili erişim, yedekleme gibi güvenlik önlemleri alınmaktadır. Sonrasında çeşitli testlerden geçmektedir.
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır. Kargo Otomasyonu güvenlik duvarı ile korunmakta verilere erişim ara katmandaki terminal sunucularına eriştikten sonra yetkiye göre program üzerinden erişilmektedir.
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belirli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur. Her çalışan, görev tanımına uygun yalnızca gerekli veriye erişim sağlamaktadır.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlamıştır.
  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır. Özellikle GSM numaralarının korunması açısından veri maskeleme kullanılmaktadır.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. İnsan kaynakları departmanı ile iş birliği içinde hem zimmetler alınmakta hem derhal yetkilendirmeler sonlandırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb) karşı güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır. Veri minimizasyonu ilkesi benimsenmiştir.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. Şirket veri merkezinde güvenli şekilde yedekleme yapılmaktadır. Kargo Otomasyonunda backup alınmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. Yetki seviyeleri rol bazlı tanımlanmış olup, manuel olarak kontrollü şekilde açılıp, görev değişikliği ve işten ayrılma gibi durumlarda kapatılmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. Bilgi işlem departmanı çalışanları rastgele şekilde kullanıcı bilgisayarlarına bağlanıp gerekli denetimleri yapmaktadır. Gerekli iyileştirmeler için kullanıcılar bilgilendirilmektedir.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. 5651 sayılı Kanun’a uygun loglama yapılmaktadır.
  • Özel nitelikli kişisel veri güvenliğine yönelik politika ve prosedürler belirlenmiş ve uygulanmaktadır. Özel nitelikli kişisel veriler e-posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir. Özel nitelikli kişisel veriler için güvenli şifreleme/kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır. Fortinet Fortigate IPS kullanılmaktadır. Bu sistem, ağ trafiğini sürekli olarak izleyerek olası siber tehditleri tespit etmekte ve saldırılara karşı otomatik önlemler almaktadır. Ayrıca, güvenlik olayları düzenli olarak izlenmekte ve analiz edilmektedir.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir. Siber güvenlik önlemlerinin etkinliği düzenli olarak izlenmekte olup, saldırı tespit ve önleme sistemleri (IDS/IPS) sürekli olarak ağ trafiğini analiz etmektedir.
  • Şifreleme yapılmaktadır. Veri aktarımı sırasında TLS/SSL protokolleri uygulanarak yetkisiz erişim riskleri en aza indirilmektedir. Ayrıca, hassas veriler veri tabanlarında şifrelenerek saklanmaktadır.

İhlal sonrası almış olduğumuz ve almayı planladığınız teknik ve idari tedbirlere ilişkin yaptığımız çalışma aşağıdaki gibidir:

  • İhlalin tespitiyle birlikte tüm bilgisayarlar formatlanmış ve antivirüs sistemleri güncellenmiştir.
  • Sunucular üzerinde zararlı yazılımlar için forensic çalışması yapılmıştır.
  • Siber istihbarat verileri analiz edilmiştir.
  • Gerçek zamanlı proses ve dosya hareketleri izlemeleri başlatılmıştır.
  • Yedeklemelerin güvenliği sağlanmıştır.
  • Zararlı aktivitelerin detaylarının elde edilmesi süreci devam etmektedir.
  • İstemci ve sunucular üzerinde tehdit ve güvenlik zafiyeti avcılığına yönelik çalışmalar devam etmektedir.
  • İlk tespitlerimizde rastlanmamışsa da sistemlerin ele geçirilmediğinin teyidine devam edilmektedir.
  • Zararlı IP ve domainlerin belirlenmesi, sistem üzerindeki kalıcılık mekanizmalarının belirlenmesi, arka kapıların tespit edilmesi ve zararlı proseslerin tespiti işlemleri devam etmektedir.
  • Olay Yönetim Prosedürü, ihlal olayı üzerinde derhal uygulamaya alınmıştır.
  • Saldırı bilgi işlem departmanı tarafından derhal üst yönetime ve şirket veri koruma grubuna bildirilmiştir.
  • Üst yönetim ve veri koruma grubu tarafından derhal veri güvenliği ekibi kurulmuştur.
  • İhlalden etkilenen ilgili kişilere bildirim yapılmıştır.
  • Veri ihlali 72 saat içerisinde Kurum’a bildirilmiştir.
  • Çalışanlar için Bilgi Güvenliği ve Farkındalığı eğitimi yinelenecektir.
  • Güçlü parola kullanımı ve parolaların belirli periyotlarla değiştirilmesi sağlanacaktır.

İhlale ilişkin çalışmalarımız devam etmektedir, tarafınızı ilgilendiren bir güvenlik riski tespitinde bulunulursa durum derhal tarafınıza bildirilecek ve alabileceğiniz önlemler de tarafınıza iletilecektir.

 

 

 

KVKK m.11’e göre aşağıdaki haklara sahipsiniz:

İlgili kişinin hakları

MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

  1. a) Kişisel veri işlenip işlenmediğini öğrenme,
  2. b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

  1. d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  2. e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  3. f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  4. g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

Kanun’da sayılan haklarınıza ilişkin taleplerinizi ve ihlale ilişkin detaylı sorularınızı aşağıdaki iletişim kanallarından tarafımıza ulaştırabilirsiniz.

Şahsen Başvuru, Noter Vasıtasıyla Tebligat: İkitelli Osb Mahallesi Giyim Sanatkarları 1A Blok Sokak No: 1 A Blok/420 Başakşehir İstanbul

Kayıtlı Elektronik Posta (KEP)                     : asilkarhizlikargo@hs01.kep.tr

Elektronik Posta Adresi                                 : kvkk@asilkargo.com

Çağrı Merkezi                                                : 0850 477 3474

 

Saygılarımızla

Asilkar Hızlı Kargo Taşımacılık Ticaret Anonim Şirketi