Bu yazımızda KVKK açısından Anahtar yönetimi teknik tedbirini ele aldık. Anahtar yönetiminden bahsedildiğinde; fiziksel kilitlerin anahtarı yada dijital ortamlarda kullanılan şifreler zannedilmektedir. Ne yazık ki danışmalık yapan kişi ve kurumlarda anahtar yönetimi üzerine GDPR’daki anlamını bilmeden benzer yorumlar yapmaktadır.  Anahtar yönetiminin KVKK açısından öneminden ve uygulama alanlarından bahsetmeden önce yanlış bilinen anahtar yönetimi tanımlayarak devam ediyoruz.

Anahtar Yönetimi Nedir?

Anahtar yönetimi; bilişim şifreleme sistemindeki şifreleme anahtarlarının yönetimini demektir. Kullanıcıların sistemeler erişiminde kullandığı anahtarların üretilmesi, değiştirilmesi, saklanması, kullanılması, değiştirilmesi ve imhası süreçlerini takip etmeye yarar. Anahtar yönetimi için uygulamalar kullanılır ve GDPR açısından bu uygulama ve kurallar dokümante edilen bir süreçtir.

Anahtar yönetimi; şifreleme protokollerinin dizayn edilmesi içerdiği gibi anahtar sunucuları kullanıcı prosedürleri ve protokelleride içerir.  Şifreleme sisteminin güvenli olması anahtar yönetimimin güvenli olmasında dayanmaktadır.  Genelde yaygın anahtar yönetimi public key infrastructure (PKI), Secure Sockets Layer (SSL) ve Transport Layer Security (TLS) örnek olabilir.

KVKK Anahtar Yönetimi Süreci

Anahtar Yönetim Süreci şifreleri ve meta verileri korumak için kullanılacak kuralları belirler. Bu süreç  şifrelerin ; Gizlilik, Bütünlük , Erişebilirlik açısından yaşam döngüsünün tamamını kapsar. Bu süreç diğer bilgi güvenliği süreçleri uyumlu olmalı ve kurumun politikalarını desteklemelidir. Kurumun kişisel veri işleme politikası yada parola politikasını desteklemeyen bir anahtar yönetimi uygulanamaz. Anahtar yönetimi süreci tasarlanırken, şirketin uymak ile yükümlü olduğu yasalar, regülasyon gereklilikleri, bilgi işlem donanım ve yazılımları ile bir bütün olarak değerlendirilip tasarlanmalıdır.

Anahtar Yönetimine Neden İhtiyaç Duyulmaktadır?

İşletmelerin bilişim sistemlerini kullanması dolayısıyla kişisel verilerim bilişim sistemlerinde işlenmesi günden güne artmaktadır. İşlenen veriler arttıkça zafiyetler ve siber tehditlerde artış göstermektedir. Kişisel verilerin işlendiği sistemlerde kriptografi kullandıkça şifreleme yöntemleri ve bu şifreleme yönetmelerinde kullanılan anahtarların yönetilmesinin önemi artmaktadır. Anahtar yönetimi yapılmayan şifre ile erişim olan sistemlerde, şifreler kötü niyetli şahısların eline geçtikten sonra zafiyet sömürülür ve veri kaybı yaşanmaya başlar. Anahtar yönetimi yapılmadığı için şifrelerde düzenli olarak değişmez ve kurumlar veri kayıplarının farkına varamadan uzun süreler boyunca verilerini kötü niyetli şahısların önüne sunarlar. Kişisel verileri işlendiği sistemlerde güçlü şifreler ile birlikte anahtar yönetimi uygulanması kişisel verilerin kaybını önlemek açısından önemlidir.