Kişisel Verileri Koruma Kurumu’na (“KVKK”) yapılan veri ihlali bildirimlerinin sayısı her geçen gün artmaya devam ediyor. Bu sefer ki başvuru ise ING Bankasından geldi. İhlale konu olayın ilk tespiti ise Türkiye Bankalar Birliği tarafından (“TBB”) yapılmış. Nitekim KVKK’nın internet sitesinde yapılan duyuruya göre TBB tarafından Risk merkezi nezdinde ING Bankası çalışanı tarafından yapılan sorguların şüpheli olduğu bildirilmiştir.
Bunun üzerine ING Bankası tarafından başlatılan incelemede, ilgili kişinin banka uygulaması olan Finsoft sisteminde üzerinde tanımlı yetkileri uyarınca Ticari Nitelikli Kredi Bildirimi ve Paylaşımı (“KRM”) sorgusu yapamadığı halde, yetkilendirme sistemini devre dışı bırakacak bir yöntem ile yetki aşımı yaparak TBB Risk Merkezi web sitesine Banka kullanıcı olarak doğrudan erişim sağlayabildiği tespit edildi. ING Bankası tarafından bu eyleme iştirak eden veya benzer şekilde hareket eden başka bir personelin bulunmadığı açıklamasına yer verildi.
Bununla birlikte 2018 yılı boyunca ihlale sebebiyet verin ING Bankası çalışanının pek çok TC kimlik numarası (“TCKN”) ve vergi kimlik numarası (“VKN”) bilgileriyle sorgular yaptığı ve söz konusu sorgular sonucu oluşan verilerin elektronik haberleşme yollarıyla Banka dışına sızdığı bildirildi.
ING Bank’ın yaptığı incelemeler sonucunda sistemde yapılan sorgularda şirketler dışında gerçek kişi tacirlerin bilgilerinin de yer aldığı ve bilgilerine ulaşılan hem tüzel kişi hem de gerçek kişi tacirlerin büyük çoğunluğunun ING Bank’ın müşterisi olmaması sebebiyle TCKN ve VKN verilerinin dışarıdan temin edildiği anlaşıldı. Bankanın müşterisi olan az sayıda şirketin VKN bilgilerinin ise dışarıdan gelen listelerden alındığı tahmin ediliyor.
Veri ihlalini gerçekleştiren şahsın ulaştığı kayıtların, bireysel nitelikli kredi kayıtları olmadığı, gerçek kişi ve tüzel kişi tacirlere sorgu yapabilen KRM kayıtları olduğu belirtildi. Ancak KRM kayıtlarında çek rapor sorgusunun da seçilmesi halinde raporlanan bilgiler arasında, ilgili firmanın Bankalar nezdindeki kredi limiti, risk ve teminat bilgileri, ibraz edilen çeklerin adedi, vadesi ve tutarı, geçmiş döneme ilişkin ciro bilgisi, ortaklık yapısı ve ortaklarının TCKN bilgilerine gibi oldukça detaylı bilgiler yer alıyor. Bu kapsamda, 1.172 adet gerçek kişi ticari işletmenin KRM raporlarının ve bu ticari işletmeler bünyesindeki toplam 19.055 gerçek kişinin TCKN ve isim bilgilerinin sızdırılmış olduğu raporlandı.
ING Bank Kurul’a sunduğu yazıda, veri ihlalini gerçekleştiren şahsın yetki denetimini devre dışında bırakmak için kullandığı yöntemin engellendiğini ve bu güvenlik açığını gidermek üzere değerlendirmeler gerçekleştirildiğini bilgilerine yer verdi. Veri güvenliği ihlalinden etkilenen gerçek kişi ticari işletmelere mevzuat gereği yapılacak bildirimlerin usul ve içeriğine ilişkin olarak ING Bank ile TBB Risk Merkezi arasındaki çalışma sürüyor.