'Panik olmayalım, ama olalım'

Kadir Has Ãœniversitesi Uluslararası Ä°liÅŸkiler Bölümü’nden ve siber güvenlik üzerine araÅŸtırmalar yapan Doç. Salih Bıçakcı’ya göre, adres bilgilerimize kadar kiÅŸisel verilerimizin internete sızması ciddi bir milli güvenlik sorunu da oluÅŸturuyor ve bununla baÅŸ edebilmek için önce siber güvenlik politikası geliÅŸtirip, zihin deÄŸiÅŸikliÄŸine gitmek gerekiyor.

Bıçakcı’ya göre, bu bilgiler zaten çok gizli deÄŸildi ama ÅŸimdi bu kadar açıktan paylaşılması nedeniyle tek tek sorunlar yaÅŸayabiliriz; adımıza kredi alınabilir, her türlü dolandırıcılık kurbanı olabiliriz. Ama daha da vahim senaryolar gerçekleÅŸebilir mesela, hassas görevlerde bulunan birinin ailesine ulaşıp, onu tehdit altında bırakmak da artık daha kolay.

Åžu saatten sonra yapılacak çok fazla bir ÅŸey olmadığını söyleyen Bıçakcı’ya göre, bu bilgilerin zaman içinde unutulabileceÄŸini ummaktan baÅŸka yapacak bir ÅŸey yok ama siber güvenlik politikası geliÅŸtirilmeli, konunun ciddiyeti anlaşılmalı, çünkü, devletin can güvenliÄŸimizi korumak kadar kiÅŸisel bilgilerimizi de koruma yükümlülüğü var.

“Bu yalnızca bireyleri deÄŸil, milli güvenliÄŸi de ilgilendiriyor”

Kişisel verilerimizin ulaşılabiliyor olmasının ne gibi sakıncası var?

Birçok ÅŸeyde kiÅŸisel verilerimizi kullanıyoruz. Kargo alıp vermekten tutun da banka hesaplarındaki doÄŸrulamaya kadar. EÄŸer yüz yüze konuÅŸuyorsanız sorun yok ama telefon üzerinden yapıyorsanız sorun çıkar. Sizinle ilgili kamu iÅŸlerinin düzenlenmesi bu veriler üzerinden yapılıyor. Birinci sorun bu. Ä°kinci sorun, bu verilerle baÅŸka iliÅŸkiler kurmak mümkün olabilir. ÖrneÄŸin, adresinizi kimseye söylemiyorsunuzdur, çünkü bir düşmanınız vardır ama,  düşmanınız artık  adresinizi biliyor. Bu son mesele 2010 öncesi. Güncel olmayabilir ama bir çok kiÅŸi adresini deÄŸiÅŸtirmemiÅŸ olabilir. Anne baba bilgisinden, annenizin evlenmeden önceki soyadına kadar gitme ÅŸansı var artık. Bankalarda sorulan özel soruların yanıtlarını bilme ÅŸansı var. Bu iÅŸ uzar da uzar, saÄŸlık kayıtlarına ulaÅŸabilir, E-devletteki baÅŸka bilgilere ulaÅŸmak için imkan tanır.

Nasıl? Bu bilgiler sızdı diye e-devletteki bilgilerimizde mi açıkta artık?

Hayır, e -devlet ayrı bir ÅŸifre ile korunuyor. Ama sosyal mühendislik yapacak biri çıkabilir. Orada telefon numaran kayıtlıysa ve ne bileyim çaÄŸrı merkezlerini arayarak, sorularla karşılaÅŸtığında ‘ama ben kaç yaşındayım’ yanıtını vererek bazı bilgilere ulaÅŸabilir. Zaten çok önemli deÄŸil, Türkiye gibi bir ülkede diyebilirsin. Bazı Avrupa ülkelerinde mesela Ä°sveç’te bunu açık olarak kaydedip görebiliyorsunuz. Fakat orada adres bilgisi yok ve kimin sorguladığını izlemek çok kolay. Bizde devlet bunların güvenliÄŸini önemli olduÄŸunu düşünüp saklayacağını vaat ediyor bize, ama saklayamamış.

"Zafiyet her yeri sarabilir"

Ä°sveç’te sorun deÄŸilken niye bizde sorun?

Burada baÅŸka bir sorun var. Mesela kargo firmaları sizin kimlik numaranızı, cep telefonunuzu siz vermeseniz bile biliyor. Yani saklı olması gereken bir bilgi aslında saklı deÄŸil. Mernis  ilk açıldığında herkesin her ÅŸeyine basit tıklamalarla ulaÅŸabiliyordunuz. Anne baba adını biliyorsanız, hemen ulaÅŸabiliyordunuz ama ÅŸimdi biraz daha zorlaÅŸtırdılar bunu çünkü istismarlar oldu. Fakat bir kısmı da gün yüzüne çıkmadığı için bilemiyoruz. Bu kadar kimlik bilgisi var.  Ä°yi sahtekarlık yapabilen birisi, bir kimlik kartı üretir mavi bir kartona, bütün bilgileri doldurur ve be ÅŸekilde kredi alabilir. Çünkü baktıkları bilgiler, o kartta yazan bilgiler, yoksa belgenin sahte olup olmadığı deÄŸil. SoÄŸuk damga var mı yok mu ile ilgilenmiyor kimse. Son on yılda benimkine bakan olmadı meselâ.

Bizde adres bilgisi de var, Ä°sveç’te yok bu. Çünkü Mernis insanların taşındıkları yerlere belli bir süre sonra kayıt edilmesini istiyor çünkü tebligat sistemi olarak da kullanıyor. Bütün sistemleri bunun üzerinden konuÅŸlandırdıkları için buradaki bir zafiyetin , diÄŸerlerine yansıyabilecek bir zafiyet haline gelmesi ihtimal dahilinde. Ama olduÄŸunu sanmıyorum çünkü bu çalınan bilgi eski bir bilgi anladığım kadarıyla. Seçim kayıtları çalınmıştı o kayıtların üzerine devam eden bir ÅŸey.

Panik olmayalım mı?

Panik olalım, çünkü herkesin  bilmesini istemediÄŸimiz bilgilerimiz adresimize kadar ortalıkta. Ama panik olmayalım zaten Türkiye gibi her ÅŸeyin ortada olduÄŸu bir ülkede bu çok gayri tabii bir durum deÄŸil. Yetkililer de bilgiler eski dedi ama kiÅŸisel verilerimiz ortalığa saçılmış oldu. Yine panik olalım çünkü bu bilgiler hâlâ bir ülkede bir IP adresinden yayılmaya devam ediyor ve bunun için yapılmış bir ÅŸey yok. Dünyada herkes takır takır bunu birbiriyle paylaşıyor. Şöyle düşünün en basitinden. Diyelim ki, kontör sahtekarlığı. Bu bilgiyi ele geçirdin bir kere. Arayacağımız kiÅŸinin bilgilerini de buldun. Telefon edip diyorlar ki mesela “çocuÄŸunu emniyete götürüyoruz, ÅŸu ÅŸu suçtan dolayı” panik olup düşünememeye baÅŸlıyorsun. Bütün bunlar için zemin hazırlıyor bu bilgilerin ortada olması. Hırsızın araÅŸtırması gereken her ÅŸeye zemin hazırlıyor. Çok araÅŸtıracak bulacağı ÅŸeyleri artık çok hızlı bir biçimde elde etmiÅŸ oldu hırsızlar ve dolandırıcılar.

Benzer bir durum, geçenlerde SaÄŸlık Bakanlığı’nın kiÅŸisel saÄŸlık verilerimizi bir firma ile paylaÅŸtığı haberleri vardı. Benim saÄŸlık verim önemli bir ÅŸey. Belki iÅŸverenim diyecek ki bana ‘sen bilmem ne hastasıymışsın seni iÅŸe almak istemiyorum’. Ayrımcılığa yol açar. Benim için bir fark oluÅŸturmaması gereken ÅŸeyler benim için bir fark oluÅŸturmaya baÅŸlıyor artık. O açıdan çok büyük tehlike. Devlet kendisine teslim edilmiÅŸ bütün verileri milli güvenlik verisi gibi korumak zorunluluÄŸuna sahip.

Yapılabilecek bir şey var mı?

Hiçbir şey yok. Anne babanı, doğum tarihinizi, yerinizi değiştiremeyeceğinize göre. En fazla adresini değiştirebilirsiniz.

Gazeteci İsmet Berkan vatandaşlık numaralarımızın değiştirilmesini önerdi.

Kimlik numaran deÄŸiÅŸse ne olur? Onu da hacklerler. Kimlik numarası yalnızca yaÅŸayanlara deÄŸil, ölmüş olanlara da verildi. Dolayısıyla kimlik numaraları deÄŸiÅŸse de bir ÅŸey ifade etmez.  Yine çaldırma riski var. Bakın, kargo verirken TC kimlik numaranızı istiyorlar. Niye? Nereden biliyor doÄŸru olup olmadığını, nasıl karşılaÅŸtırıyorlar? Birileri bu dataya zaten ulaÅŸmış. Bunun ulaÅŸmasına izin veren de devletten baÅŸkası olamaz. Devlet bunu kargo hareketliÄŸinin görmek için yapmış. Ben sizinle ilgili bir bilgiye ulaÅŸmak için kargocuya giderim, “ÅŸu kiÅŸiye kargo göndermek istiyorum,” derim.  O çıkan bilgi de her ÅŸeyiniz var zaten. Oradan da ulaÅŸabilirim. Niyet ulaÅŸmaksa bir çok yerden ulaÅŸabilirim. Ama buradaki sorun devletin kendi oluÅŸturduÄŸu ve kritik olduÄŸunu düşündüğü bir bilgiyi saklamaması. Düşünsene senaryo yapalım. BaÅŸbakanın bir g -mail hesabı olsun ve ÅŸifre olarak annesinin ismini ya da onun artık kiÅŸisel olarak açıkta olan bilgilerini kullanarak ulaÅŸabileceÄŸim bir güvenlik ÅŸifresi olsun. Ben onun hesabına girmiÅŸ olayım. Onun hesabından bütün jandarma komutanlarına bir mesaj göndereyim. Dikkate almamaları mümkün mü? Bu kadar küçük zafiyetler zamanla kullanılıyor. Ya da telefon ediyorum diyorum ki, ben bilmem kim. Karşıdaki benim bilgilerimi teyit etmek için sorular soracak. Her ÅŸeyi de söylerim. Bankacılıkta arandığınızda ne soruyorlar? Anne baba adını, doÄŸum yeri tarihi.. Bütün bilgiler ellerinde. Bu bir güven eksikliÄŸi. Silsile halinde giden bir güvenliÄŸi devlet tehlikeye atıyor.

Ya da diyelim ki birini arıyorsunuz. Milli güvenlikle ilgili olsun bu kiÅŸi. Çok basit soy adından, anne babasına gider onu tehdit edecek ÅŸeyler bulabilirim. Sadece vatandaÅŸ açısından düşünmemek lazım. Milli güvenlik unsuru olarak da düşünün.  Meselâ, TÃœBÄ°TAK’ta hassas projelerde çalışan birisi.  Anne babasını merak ediyorum. Bilgisayar başına oturur biraz çalışmayla üç dört adımda ulaşırım.

"Zihniyet deÄŸiÅŸikliÄŸi gerek"

Ama kişisel verilerin korunması kanunu var artık, güvence altında değil miyiz, bundan sonrası için?

Böyle iÅŸler olursa, bunu yapanların hesap vermesini gerektiriyor kanun. Ama istediÄŸiniz kanunu çıkarın, kiÅŸisel verilerin korunmasının ne kadar önemli olduÄŸunun ÅŸuurunda olmanızla ilgili bir durum bu. Kanun kiÅŸisel verilerimin benim haberim olmadan ele geçirilmesinden beni koruma sözü veriyor ama zaten illegal olan hacklemelere karşı bir güvenlik deÄŸil. Yeni kimlik kartımız geliyor. Orada ne çıkacak çok merak ediyorum. Çünkü orada biyo-metrik data da var. Parmak izi mesela.  Zamanla saÄŸlık bilgisi de kayıt edilecek. KimliÄŸinizi kaybettiÄŸinde yalnızca kimliÄŸini deÄŸil bir sürü kiÅŸisel ve özel bilgiyi de kaybetmiÅŸ olacaksınız. Hemen verilecek cevap, ama onlar ÅŸifreli. Bunu hackleyen bilgisayar hackerı da ÅŸifrelemenin ‘bit kaydırma’ denilen bir yöntemle yapıldığını yazmış. Yani bu ÅŸu; A dan Z’ ye alfabe düşünün.  Diyelim ki A yerine Z’ yi koyuyorsunuz her ÅŸey deÄŸiÅŸmeye baÅŸlıyor. Buna bit kaydırma deniliyor. Türkiye sanmasın ki, bit kaydırmayla güvenlik ve ÅŸifreleme oluyor. Çok basit.   

Bunu yapmak için ne gerek? Teknolojik altyapı mı?

Bu bir dizayn meselesi. SorduÄŸunuzda bütün güvenlik önlemleri var. Bizdeki sorun en baÅŸtan beri teknolojik eksiklik, eleman eksikliÄŸi deÄŸil. Bunun ötesinde bir ÅŸey. Zihniyet devrimine ihtiyaç var. Belli bir yaÅŸ üzerindeki insanlar hâlâ durumun ne kadar vahim olduÄŸunu anlayamadı. Burada ciddi bir sorun var. Data artık  her ÅŸey. Datadan herkesi ve her ÅŸeyi tanıyabilecek hale geldik. Telefonunuzun sizin hakkınızda neler topladığını bilseniz ÅŸaşırırsınız. Aradaki boÅŸlukları doldurmak da hiç de o zor deÄŸil. Devletin ya da bilgi toplayanların topladıkları o bilgileri rıza içinde bile olsa saklamak için çok fazla önem göstermeleri lazım. Çünkü bir yere saklayıp bir kasanın içine koymuyoruz. Data artık kullanımda. Kullanımdayken güvenliÄŸini saÄŸlayabilmek siber güvenliÄŸin esası. Türkiye’de bunu saÄŸlayacak her türlü ekipman ve elaman var. Mesele o deÄŸil. Mesele zihniyet meselesi. Mesele bunun güvenlik meselesi olduÄŸunun farkında olmak. Bunu dokuz beÅŸ mesaisi içinde koruyamazsınız. Bu bir politika istiyor, bizim politikaya ve zihniyet deÄŸiÅŸimine ihtiyacımız var.  Siber güvenlik politikanız yoksa en süper ekipmanı koysanız bir iÅŸe yaramaz.

Yani hepimiz çıplak mıyız? Yapacak bir şey yok mu?

Yayılmasını engellemeye çalışmak bir yöntem olabilir ama ilgilenenler çoktan kopyasını almıştır. Devlet vatandaşını siber anlamda da korumakla yükümlü.  Data marketing firmaları bunu indirmiÅŸtir. Hepimize telefon sms gelecek bunu pazarlama aracı olarak kullanacak. AlışveriÅŸ yaptın senin datanı saklıyor sonra da baÅŸkasına satıyor. Åžu an piyasadaki en büyük pazarlardan biri data satmak. Çok uyanık olmak zorundayız.

Kaynak: Al Jazeera