Tabii verebilirim ama hangi birini vereyim?
Özellikle son altı ayda Türkiye veri koruması ve siber güvenlikle ilgili büyük skandallarla sarsıldı.
2015 Aralık ayının ortasında başlayarak iki hafta süren ve gov.tr ve com.tr uzantılı domainlerin merkez DNS sunucularına yapılan saldırılarla Türkiye’nin kamu kurumlarının ve şirketlerinin bilişim sistemleri, Internet erişimi ve iletişimi hedef alınarak bir çok kamu kurumunun ve şirketin bilişim sistemleri ve web siteleri devre dışı kaldı, ulaşılamaz oldular ve e-mail yazılması yapamaz hale geldiler. Resmi yetkililer bu saldırıların kasten Rusya kaynaklı hackerlar tarafından yapıldığını söylerken siber korsanlar diye tabir edebileceğimiz Anonymous grubu saldırıları üstlendi.
Teknik olarak basit bir saldırı ile riski dağıtamamış ve nisbeten temel önlemleri alamamış Türkiye’nin zaafiyeti açıkça ortaya çıkmış oldu.
Bilişim uzmanları ve bilişimle ilgili hukukçular olarak bizler Türkiye’deki veri koruması ve siber güvenlikle ilgili zaafiyetin, bilgi hırsızlıklarının farkındaydık. Çünkü üst düzey finans kurumları yöneticileri ile bu hırsızların işbirliği yaparak vatandaşların verilerini yıllardır çaldığını, bunların bazı facebook gruplarında dahi pazarlandığını, milyonlarca kişinin güncel verisine bir-iki bin TL gibi rakamlarla ulaşılabildiğini biliyorduk. Sadece bu değil, şirketlerin de bilişim sistemlerine girilip, elde edilen verilerin ve kilitlenen sistemlerin iadesi için yapılan şantajları da yakından biliyoruz.
Pazarlanan veriler doğrudan şirket çıkışlı olduğundan kişinin annesinin kızlık soyadı, borç durumu, harcama ekstresi, güvenlik kodu dahi pazarlanan veriler arasında.
Şubat 2016’da Kişisel Verilerin Korunması Hakkında Kanun tasarısının Meclis’teki görüşmeleri sırasında CHP Grup Başkan Vekili Özgür Özel, SGK’nın halkın verilerini bir özel firmaya 65 milyon TL’ye sattığını iddia etti. Özel’in iddiası mahkemeye de sunduğu Sayıştay’ın SGK Denetim Raporu’na dayanıyordu. Mahkemeye sunulan rapordaki açık ifaye göre SGK, Genel Sağlık Sigortası verilerini yasal dayanağı olmadan ücret karşılığı üçüncü kişilerle paylaşmıştı.
Görüşmeleri bu şekilde yapılan Kanun yürürlüğe girdiği 7 Nisan’da Türkiye daha da büyük bir skandalla sarsıldı. 49 milyondan fazla vatandaşa ait güncel kişisel verilerin sızdırıldığı, bu veriler yabancı kaynaklı web sitelerde yayınlanınca ortaya çıktı.
Bu skandala verilen ilk resmi tepki yine inkar oldu, daha sonra araştırılacak dendi, ikinci gün Yüksek Seçim Kurulu partilere vermiş dendi, son olarak ise CHP sızdırdı denerek suçlu gösterilmiş oldu.
Oysa öncelikle bu sızdırmanın nasıl yapıldığının araştırılması, buna göre zaafiyetleri gidermek için adımlar atılması gerekiyordu. 50 milyona yakın kişiye ait verinin özel bir kurumda bulunabilmesi hemen hemen imkansız olduğuna göre verinin Nüfus İdaresi ya da SGK gibi halkın tamamına ya da çok büyük bir kısmına ait veriye erişimi olan bir kurumdan sızıntı olabilme ihtimali hiç araştırılmadı ve YSK hukuka uygun olarak partilere seçmen verisi vermiştir, sızdırılan da bu veridir dendi.
Oysa “evet biz verdik” diyek YSK Başkanı Sadi Güven, seçmen sayısını daha bir yıl önce yani Nisan 2015’te 56,632,889 olarak yani sızdırılan veriden 8 milyon kişi daha fazla olarak açıklamıştı. Ayrıca YSK’nın hangi güvenlik taahhütleri ve denetimleri karşılığında ve mevzuatta hangi zorunluluğa dayanarak bu seçmen verilerini partilerle paylaştığı açıklanmadı.
Tüm bu zaafiyetler, başta kişilik hırsızlıkları ile oluşacak mali suçlar olmak üzere bir çok farklı suça zemin oluşmasına sebebiyet verdi.
Peki bu şartlar altında yapılabilecek bir şey var mı? Kurumlar ve bireyler nasıl kendilerini koruyabilir?
Kişisel veriler sadece bireylerin değil devletin de üzerinde menfaati bulunan çok önemli temel hak konularıdır. Bu verilerin istismara uğraması bireyler ve devlet için telafisi imkansız maddi ve manevi zararlar verir. Bu sebeple bilimsel yöntemler kullanarak geliştirilecek teknolojik ve hukuki araçlarlara azami korumaya layıktırlar.
Kamu kuruluşları ve özel kurumlar mutlaka yüksek güvenlikli bilişim sistemlerine yatırım yapmalı, gerek işleyişi, gerekse verileri yedeklemelidirler. Güvenilir ve kabiliyetli çözüm ortakları ile çalışmalı, kimlerin bu sistemlere erişimi olduğunu ve sorun olduğunda çözüm sözleşme ve süreçlerini belirlemelidirler.
Mevzuat objektif, uygulanabilir ve profesyonelce bilimsel ve teknik çalışmaları yapan çevreleri takip eden hukuk komisyonlarının raporlarına göre hazırlanmalıdır. Mevzuat yapıldıktan sonra takip komisyonları olmalı ve uygulamadaki aksaklıklar giderilmelidir.
Bireyler de mutlaka şifreli iletişim ve dosya saklama sistemi kullanmalı, yüksek güvenlikli şifreler ve sistemler kullanmalı, muteber kaynaklardan işlem ve kullanım yapmalı, haklarının farkında olarak ve örgütlenerek bunları korumalı ve kullanmalıdırlar.
Uluslararası Bilişim Hukuku Uzmanı Ünsal'dan Hukuki Haber'e önemli açıklamalar...HUKUKİ HABER - ÖZEL
