Kişisel Verilerin Güvenliği: Ulaştırma Bakanı’nın Açıkladığı Veri İhlali Sonrası Alınması Gereken Önlemler

Ulaştırma Ve Altyapı Bakanı Abdulkadir Uraloğlu, milyonlarca Türkiye vatandaşının Sağlık Bakanlığı bünyesindeki kişisel bilgilerinin koronavirüs salgını periyodunda çalındığını doğruladı. Pekala teknolojinin günlük hayatla iç içe geçtiği bu devirde şahsî bilgileri korumak için hangi tedbirler alınmalı?

Yaşlı bir bayanın telefonu çalıyor. Arayan tanımadığı bir numara.

Telefonu açıyor. Çizginin öteki tarafındaki kişi kendini torunu olarak tanıtıyor.

Telefonunu düşürüp kırdığını, kendisini bir arkadaşının telefonundan aradığını söylüyor.

Kadının şahsına ve yakınlarına ilişkin ferdî bilgilere vakıf olan “torun” yolda olduğunu, adresine geleceğini söylüyor ve para istiyor. Lakin bir aksilik sezen bayan, para vermeyi reddediyor ve telefonu kapatıyor.

Türkiye’de son yıllarda bu ve bunun üzere sonu dolandırıcılıkla biten çok sayıda öykü yaşandı.

Özellikle ferdî dataların en ince ayrıntısına kadar paylaşıldığı biçim dolandırıcılıkları ayırt etmek bir epey güç.

Zira bu bilgiler, geçtiğimiz 10 yılda ülkedeki devlet kurumlarını ve özel kuruluşları gaye alan siber hücumlar sonucunda internete sızdırıldı.

Veri hırsızlığına dair haberlerle birlikte, şahsî data güvenliği de tekrar gündeme geldi.

Bu bahiste pratik ve tüzel olarak hangi tedbirlerin alınması gerektiğini uzmanlara sorduk.

Veri güvenliğinin olmazsa olmazı: İki faktörlü koruma

Kıdemli Siber Güvenlik Uzmanı Eyüp Çelik’e nazaran şahsî bilgilerin korunmasında hem ferdî hem de kurumsal tedbirler alınması gerekiyor.

BBC Türkçe‘ye konuşan Çelik, “Türkiye’deki tüm kurumlar [Kişisel Dataların Korunması Kanunu] KVKK’ye tâbi. Kurumlar genelde KVKK çerçevesinde şahsî bilgilerimizi muhafazaya çaba gösteriyorlar” dedi.

Çelik, şahsî dataların korunması için bilhassa şahsi aygıtlarda mümkün olduğunca “iki faktörlü doğrulama” kullanılması gerektiğini söyledi.

Bu prosedür ile bir kullanıcıdan hesabına giriş yapması için ikinci bir aygıttan onay vermesi isteniyor. Böylelikle uzaktan ve yasa dışı erişimler engellenebiliyor.

Çelik, “Çok faktörlü kimlik doğrulama sisteminin gerektiği her yerde çift kimlik doğrulaması kullanılmalı” diye konuştu.

Siber güvenlik uzmanı, bilgisayar korsanlarının sadece kurumları değil, şahsî aygıtları ve hesapları da gaye aldığına dikkat çekti ve şöyle devam etti:

“Siber saldırganlar aslında ferdî bilgilerinizle size dolandırıcılık yapıyor. SMS’ler, toplumsal medyada aldığınız bildiriler, telefonla aranmanız üzere şeyler siber tehdit aktörü ismini verdiğimiz birinin ya da bir kümenin elinde akın aracına dönüşüyor.”

‘Üçüncü taraf uygulamalara erişim vermek en büyük güvenlik açığı’

Kişisel aygıtlar ve toplumsal medya platformlarını kullanma biçimi de bilgi güvenliği açısından büyük kıymet taşıyor.

Yeditepe Üniversitesi Elektronik Ticaret İdaresi Kısmı Öğretim Vazifelisi Barış Yalçınkaya, farklı aygıtlarda farklı uygulama ve araçlara erişim müsaadesi verirken kullanıcıların dikkatli olması gerektiğini söyledi.

BBC Türkçe‘ye konuşan Yalçınkaya, “Herhangi bir aygıta ya da programa oturum açma müsaadesi verdiğinizde isminize eposta gönderme müsaadesi bile isteyebiliyor” dedi ve ekledi:

“En büyük [güvenlik] açığı, üçüncü taraf uygulamalara daima erişim vermemiz. Burada neye müsaade verdiğimizi asla okumamamız. Ne kadar farkında olsak da okuma tembelliğine gidiyoruz. Bu uygulamalar ya da tarayıcı eklentileri her türlü bilginizi gözetliyor.”

Yalçınkaya, bilgisayar tarayıcısından kullanmadığı eklentileri sildiğini ve cep telefonundaki uygulamalara fotoğraf galerisi ve mikrofon erişimi vermediğini söyledi.

Uygulamaların erişim müsaadesi alması durumunda “ortam dinlemesi” yapabildiğine dikkat çeken Yalçınkaya, kelamlarına şöyle devam etti:

“Cep telefonu diş fırçası üzere olmalı. Diğerleriyle paylaşmamalısınız. Sıfırlanmış eski bir telefondan bile her türlü bilgi kurtarılabiliyor.”

‘Güçlü şifreler önemli’

Yalçınkaya, kullanıcıların platform ve uygulamalardaki tüm güvenlik seçeneklerini kullanması gerektiğini söz etti ve her hesap için farklı ve güçlü şifreler kullanmanın kıymetine dikkat çekti:

“İçerisinde büyük harf ya da özel karakter olmayan, bilhassa altı harf ve daha az şifrelerin işlemciler tarafından çözülme müddeti saatlere indi. Bundan 10 yıl evvel yüzlerce saat sürüyordu. Bir alt çizgi ve özel karakter eklendiğinde ise bu müddet yüz yıllara çıkabiliyor. Bu yüzden güçlü şifreler çok kıymetli.”

Yasa ne diyor?

Veri Muhafaza Hukuku Uzmanı Avukat Umut Zorer, 2016’da yürürlüğe giren KVKK ile birlikte kamu ve özel kuruşlara bilgi toplanması, koruma edilmesi, işlenmesi ve ihlallerin bildirilmesi konusunda türel yükümlülükler getirildiğine dikkat çekti.

ilgili unsuruna nazaran bilgilerin “kanuni olmayan yollarla diğerleri tarafından elde edilmesi hâlinde” bilgi sorumlusu en kısa müddette ilgili kurumlara ve Ferdî Dataları Muhafaza Konseyi’ne bunu bildirmeli.

Yasa ayrıyeten “Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği diğer bir sistemle ilan edebilir” diyor.

Zorer, BBC Türkçe‘ye verdiği demeçte kamu kurumlarının bu bildirimleri sistemli yapmadığını, yapılan bildirimlerin de kamuoyu ile faal biçimde paylaşılmadığını söyledi ve şunları kaydetti:

“Türkiye Cumhuriyeti’nde kamu kurumları KVKK’ya tâbi olmakla birlikte yeteri kadar ağır soruşturma ve yaptırım yükü altında değiller.”

Zorer, bilgi güvenliği ihlali durumunda özel şirketlere para cezası uygulanırken, kamu kuruluşlarına sırf disiplin cezası uygulandığını söyledi ve kelamlarına şöyle devam etti:

“Kanunda bunun için disiplin cezası var, bu da kurumların insiyatifinde yürütüldüğü için işten çıkarma ya da memuriyete son verme üzere cezalar verildiğini ben görmedim. Bu yüzden kamu kurumları KVKK’yı daha çok ihlal ediyor.”

Zorer’e nazaran özel şirketlere uygulanan cezai yaptırımlar küçük işletmeler için epey caydırıcıyken, büyük şirketler için “çerez denecek kadar az” durumda.

Veri müdafaa hukuku uzmanına nazaran mevcut mevzuat, çok büyük ölçekli işletmeler ve sorumlu kamu vazifelileri için kâfi caydırıcı tedbirler sunmuyor.

Veriniz çalınırsa ne yapmalısınız?

Eyüp Çelik’e nazaran kurumlara ya da şirketlere yönelik büyük çaplı siber taarruzlarda şahsî tedbirler yetersiz kalıyor:

“Toplu sızıntılar durumunda bilgi bir defa yayılmaya başladığında yeraltı dünyasında bir anda herkesin eline ulaşıyor. Onu herkesin elinden alıp temizlemek mümkün değil.”

Çelik, bu noktada ulusal siber güvenlik siyasetlerinin devreye girdiğini söyledi ve ekledi:

“Bir taraftan da kamu-özel dal iş birlikleri var. [Cumhurbaşkanlığı] Dijital Dönüşüm Ofisi ve özel kesim temsilcileri bir ortaya geliyor. Hem kamuda hem özel bölümde bu çerçevede tedbirler alınmaya çalışılıyor.”

Umut Zorer ise bu üzere durumlarda şahısların KVKK kapsamında ferdi müracaat hakkı olduğunu hatırlattı.

Veri muhafaza hukuku uzmanı, “Verisinin rastgele bir data sorumlusu tarafından hukuka ters olarak kullanıldığını, üçüncü bireylerin erişimine açıldığını, çalındığını düşünen herkes KVKK’dan doğan haklarını kullanmak isteyebilir” dedi ve ekledi:

“Bu hak ne kadar kullanılırsa, bilgi sorumlularının kanuna ahenk ve bilgi müdafaa konusundaki motivasyonu da o kadar artacaktır.”

Ancak Zorer, bu müracaatların 60 gün içerisinde karara bağlanması gerekmesine rağmen sürecin iş yükü ve kurum bütçesinin hudutlu olmasından ötürü iki yıla kadar çıkabildiğini söyledi.

Zorer’e nazaran, bu durum halkın KVKK hakkını faal kullanmasını sonlandırıyor ve “Hakkın daha tesirli kullanılması için inceleme müddetlerinin de kısalmasına gereksinimimiz var”.

İlgili haberler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir