Kadir Has Üniversitesi Uluslararası İlişkiler Bölümü’nden ve siber güvenlik üzerine araştırmalar yapan Doç. Salih Bıçakcı’ya göre, adres bilgilerimize kadar kişisel verilerimizin internete sızması ciddi bir milli güvenlik sorunu da oluşturuyor ve bununla baş edebilmek için önce siber güvenlik politikası geliştirip, zihin değişikliğine gitmek gerekiyor.
Bıçakcı’ya göre, bu bilgiler zaten çok gizli değildi ama şimdi bu kadar açıktan paylaşılması nedeniyle tek tek sorunlar yaşayabiliriz; adımıza kredi alınabilir, her türlü dolandırıcılık kurbanı olabiliriz. Ama daha da vahim senaryolar gerçekleşebilir mesela, hassas görevlerde bulunan birinin ailesine ulaşıp, onu tehdit altında bırakmak da artık daha kolay.
Şu saatten sonra yapılacak çok fazla bir şey olmadığını söyleyen Bıçakcı’ya göre, bu bilgilerin zaman içinde unutulabileceğini ummaktan başka yapacak bir şey yok ama siber güvenlik politikası geliştirilmeli, konunun ciddiyeti anlaşılmalı, çünkü, devletin can güvenliğimizi korumak kadar kişisel bilgilerimizi de koruma yükümlülüğü var.
“Bu yalnızca bireyleri değil, milli güvenliği de ilgilendiriyor”
Kişisel verilerimizin ulaşılabiliyor olmasının ne gibi sakıncası var?
Birçok şeyde kişisel verilerimizi kullanıyoruz. Kargo alıp vermekten tutun da banka hesaplarındaki doğrulamaya kadar. Eğer yüz yüze konuşuyorsanız sorun yok ama telefon üzerinden yapıyorsanız sorun çıkar. Sizinle ilgili kamu işlerinin düzenlenmesi bu veriler üzerinden yapılıyor. Birinci sorun bu. İkinci sorun, bu verilerle başka ilişkiler kurmak mümkün olabilir. Örneğin, adresinizi kimseye söylemiyorsunuzdur, çünkü bir düşmanınız vardır ama, düşmanınız artık adresinizi biliyor. Bu son mesele 2010 öncesi. Güncel olmayabilir ama bir çok kişi adresini değiştirmemiş olabilir. Anne baba bilgisinden, annenizin evlenmeden önceki soyadına kadar gitme şansı var artık. Bankalarda sorulan özel soruların yanıtlarını bilme şansı var. Bu iş uzar da uzar, sağlık kayıtlarına ulaşabilir, E-devletteki başka bilgilere ulaşmak için imkan tanır.
Nasıl? Bu bilgiler sızdı diye e-devletteki bilgilerimizde mi açıkta artık?
Hayır, e -devlet ayrı bir şifre ile korunuyor. Ama sosyal mühendislik yapacak biri çıkabilir. Orada telefon numaran kayıtlıysa ve ne bileyim çağrı merkezlerini arayarak, sorularla karşılaştığında ‘ama ben kaç yaşındayım’ yanıtını vererek bazı bilgilere ulaşabilir. Zaten çok önemli değil, Türkiye gibi bir ülkede diyebilirsin. Bazı Avrupa ülkelerinde mesela İsveç’te bunu açık olarak kaydedip görebiliyorsunuz. Fakat orada adres bilgisi yok ve kimin sorguladığını izlemek çok kolay. Bizde devlet bunların güvenliğini önemli olduğunu düşünüp saklayacağını vaat ediyor bize, ama saklayamamış.
“Zafiyet her yeri sarabilir”
İsveç’te sorun değilken niye bizde sorun?
Burada başka bir sorun var. Mesela kargo firmaları sizin kimlik numaranızı, cep telefonunuzu siz vermeseniz bile biliyor. Yani saklı olması gereken bir bilgi aslında saklı değil. Mernis ilk açıldığında herkesin her şeyine basit tıklamalarla ulaşabiliyordunuz. Anne baba adını biliyorsanız, hemen ulaşabiliyordunuz ama şimdi biraz daha zorlaştırdılar bunu çünkü istismarlar oldu. Fakat bir kısmı da gün yüzüne çıkmadığı için bilemiyoruz. Bu kadar kimlik bilgisi var. İyi sahtekarlık yapabilen birisi, bir kimlik kartı üretir mavi bir kartona, bütün bilgileri doldurur ve be şekilde kredi alabilir. Çünkü baktıkları bilgiler, o kartta yazan bilgiler, yoksa belgenin sahte olup olmadığı değil. Soğuk damga var mı yok mu ile ilgilenmiyor kimse. Son on yılda benimkine bakan olmadı meselâ.
Bizde adres bilgisi de var, İsveç’te yok bu. Çünkü Mernis insanların taşındıkları yerlere belli bir süre sonra kayıt edilmesini istiyor çünkü tebligat sistemi olarak da kullanıyor. Bütün sistemleri bunun üzerinden konuşlandırdıkları için buradaki bir zafiyetin , diğerlerine yansıyabilecek bir zafiyet haline gelmesi ihtimal dahilinde. Ama olduğunu sanmıyorum çünkü bu çalınan bilgi eski bir bilgi anladığım kadarıyla. Seçim kayıtları çalınmıştı o kayıtların üzerine devam eden bir şey.
Panik olmayalım mı?
Panik olalım, çünkü herkesin bilmesini istemediğimiz bilgilerimiz adresimize kadar ortalıkta. Ama panik olmayalım zaten Türkiye gibi her şeyin ortada olduğu bir ülkede bu çok gayri tabii bir durum değil. Yetkililer de bilgiler eski dedi ama kişisel verilerimiz ortalığa saçılmış oldu. Yine panik olalım çünkü bu bilgiler hâlâ bir ülkede bir IP adresinden yayılmaya devam ediyor ve bunun için yapılmış bir şey yok. Dünyada herkes takır takır bunu birbiriyle paylaşıyor. Şöyle düşünün en basitinden. Diyelim ki, kontör sahtekarlığı. Bu bilgiyi ele geçirdin bir kere. Arayacağımız kişinin bilgilerini de buldun. Telefon edip diyorlar ki mesela “çocuğunu emniyete götürüyoruz, şu şu suçtan dolayı” panik olup düşünememeye başlıyorsun. Bütün bunlar için zemin hazırlıyor bu bilgilerin ortada olması. Hırsızın araştırması gereken her şeye zemin hazırlıyor. Çok araştıracak bulacağı şeyleri artık çok hızlı bir biçimde elde etmiş oldu hırsızlar ve dolandırıcılar.
Benzer bir durum, geçenlerde Sağlık Bakanlığı’nın kişisel sağlık verilerimizi bir firma ile paylaştığı haberleri vardı. Benim sağlık verim önemli bir şey. Belki işverenim diyecek ki bana ‘sen bilmem ne hastasıymışsın seni işe almak istemiyorum’. Ayrımcılığa yol açar. Benim için bir fark oluşturmaması gereken şeyler benim için bir fark oluşturmaya başlıyor artık. O açıdan çok büyük tehlike. Devlet kendisine teslim edilmiş bütün verileri milli güvenlik verisi gibi korumak zorunluluğuna sahip.
Yapılabilecek bir şey var mı?
Hiçbir şey yok. Anne babanı, doğum tarihinizi, yerinizi değiştiremeyeceğinize göre. En fazla adresini değiştirebilirsiniz.
Gazeteci İsmet Berkan vatandaşlık numaralarımızın değiştirilmesini önerdi.
Kimlik numaran değişse ne olur? Onu da hacklerler. Kimlik numarası yalnızca yaşayanlara değil, ölmüş olanlara da verildi. Dolayısıyla kimlik numaraları değişse de bir şey ifade etmez. Yine çaldırma riski var. Bakın, kargo verirken TC kimlik numaranızı istiyorlar. Niye? Nereden biliyor doğru olup olmadığını, nasıl karşılaştırıyorlar? Birileri bu dataya zaten ulaşmış. Bunun ulaşmasına izin veren de devletten başkası olamaz. Devlet bunu kargo hareketliğinin görmek için yapmış. Ben sizinle ilgili bir bilgiye ulaşmak için kargocuya giderim, “şu kişiye kargo göndermek istiyorum,” derim. O çıkan bilgi de her şeyiniz var zaten. Oradan da ulaşabilirim. Niyet ulaşmaksa bir çok yerden ulaşabilirim. Ama buradaki sorun devletin kendi oluşturduğu ve kritik olduğunu düşündüğü bir bilgiyi saklamaması. Düşünsene senaryo yapalım. Başbakanın bir g -mail hesabı olsun ve şifre olarak annesinin ismini ya da onun artık kişisel olarak açıkta olan bilgilerini kullanarak ulaşabileceğim bir güvenlik şifresi olsun. Ben onun hesabına girmiş olayım. Onun hesabından bütün jandarma komutanlarına bir mesaj göndereyim. Dikkate almamaları mümkün mü? Bu kadar küçük zafiyetler zamanla kullanılıyor. Ya da telefon ediyorum diyorum ki, ben bilmem kim. Karşıdaki benim bilgilerimi teyit etmek için sorular soracak. Her şeyi de söylerim. Bankacılıkta arandığınızda ne soruyorlar? Anne baba adını, doğum yeri tarihi.. Bütün bilgiler ellerinde. Bu bir güven eksikliği. Silsile halinde giden bir güvenliği devlet tehlikeye atıyor.
Ya da diyelim ki birini arıyorsunuz. Milli güvenlikle ilgili olsun bu kişi. Çok basit soy adından, anne babasına gider onu tehdit edecek şeyler bulabilirim. Sadece vatandaş açısından düşünmemek lazım. Milli güvenlik unsuru olarak da düşünün. Meselâ, TÜBİTAK’ta hassas projelerde çalışan birisi. Anne babasını merak ediyorum. Bilgisayar başına oturur biraz çalışmayla üç dört adımda ulaşırım.
“Zihniyet değişikliği gerek”
Ama kişisel verilerin korunması kanunu var artık, güvence altında değil miyiz, bundan sonrası için?
Böyle işler olursa, bunu yapanların hesap vermesini gerektiriyor kanun. Ama istediğiniz kanunu çıkarın, kişisel verilerin korunmasının ne kadar önemli olduğunun şuurunda olmanızla ilgili bir durum bu. Kanun kişisel verilerimin benim haberim olmadan ele geçirilmesinden beni koruma sözü veriyor ama zaten illegal olan hacklemelere karşı bir güvenlik değil. Yeni kimlik kartımız geliyor. Orada ne çıkacak çok merak ediyorum. Çünkü orada biyo-metrik data da var. Parmak izi mesela. Zamanla sağlık bilgisi de kayıt edilecek. Kimliğinizi kaybettiğinde yalnızca kimliğini değil bir sürü kişisel ve özel bilgiyi de kaybetmiş olacaksınız. Hemen verilecek cevap, ama onlar şifreli. Bunu hackleyen bilgisayar hackerı da şifrelemenin ‘bit kaydırma’ denilen bir yöntemle yapıldığını yazmış. Yani bu şu; A dan Z’ ye alfabe düşünün. Diyelim ki A yerine Z’ yi koyuyorsunuz her şey değişmeye başlıyor. Buna bit kaydırma deniliyor. Türkiye sanmasın ki, bit kaydırmayla güvenlik ve şifreleme oluyor. Çok basit.
Bunu yapmak için ne gerek? Teknolojik altyapı mı?
Bu bir dizayn meselesi. Sorduğunuzda bütün güvenlik önlemleri var. Bizdeki sorun en baştan beri teknolojik eksiklik, eleman eksikliği değil. Bunun ötesinde bir şey. Zihniyet devrimine ihtiyaç var. Belli bir yaş üzerindeki insanlar hâlâ durumun ne kadar vahim olduğunu anlayamadı. Burada ciddi bir sorun var. Data artık her şey. Datadan herkesi ve her şeyi tanıyabilecek hale geldik. Telefonunuzun sizin hakkınızda neler topladığını bilseniz şaşırırsınız. Aradaki boşlukları doldurmak da hiç de o zor değil. Devletin ya da bilgi toplayanların topladıkları o bilgileri rıza içinde bile olsa saklamak için çok fazla önem göstermeleri lazım. Çünkü bir yere saklayıp bir kasanın içine koymuyoruz. Data artık kullanımda. Kullanımdayken güvenliğini sağlayabilmek siber güvenliğin esası. Türkiye’de bunu sağlayacak her türlü ekipman ve elaman var. Mesele o değil. Mesele zihniyet meselesi. Mesele bunun güvenlik meselesi olduğunun farkında olmak. Bunu dokuz beş mesaisi içinde koruyamazsınız. Bu bir politika istiyor, bizim politikaya ve zihniyet değişimine ihtiyacımız var. Siber güvenlik politikanız yoksa en süper ekipmanı koysanız bir işe yaramaz.
Yani hepimiz çıplak mıyız? Yapacak bir şey yok mu?
Yayılmasını engellemeye çalışmak bir yöntem olabilir ama ilgilenenler çoktan kopyasını almıştır. Devlet vatandaşını siber anlamda da korumakla yükümlü. Data marketing firmaları bunu indirmiştir. Hepimize telefon sms gelecek bunu pazarlama aracı olarak kullanacak. Alışveriş yaptın senin datanı saklıyor sonra da başkasına satıyor. Şu an piyasadaki en büyük pazarlardan biri data satmak. Çok uyanık olmak zorundayız.
Kaynak: Al Jazeera