85 milyonun kimlik-tapu gibi tüm mahrem bilgilerinin yer aldığı e-Devlet’teki sızıntı iddiası kamuoyunu ayağa kaldırdı. ‘Türkiye’nin kozmik odası’ndan internete sızan, satışa çıkarılan verilere nasıl ulaşıldığı meçhulken KARAR’a konuşan uzmanlar atılması gereken acil adımları anlattı.
MERVE ŞİŞMAN
VERİ SKANDALINDA YANIT BEKLEYEN BEŞ SORU
- Veriler nasıl elde edildi, içerikler nerede?
- Hangi amaçla, kimler tarafından çalındı?
- Devlet ne yaptı, gerekli önlem alınmadı mı?
- Neden hayati konuda açıklama yapılmadı?
- Tüm bilgileri ifşa olan vatandaş ne yapacak?
SİTEYE SADECE TÜRKİYE’DEN ERİŞİM KISITLANDI VERİLER HÂLÂ İNTERNETTE
Avukat Faruk Çayır: Bilgilerin İçişleri’nden sızdığını düşünüyorum. Siber güvenlik önlemlerinin alındığı ve sorumluluğun olduğu yeni bir yapılanma gerekiyor. Açıklama, istifa beklemiyorum. Veriler zaten dolaşımda. Yetkililer bunu biliyor.
Avukat Şebnem Kartal: Hakkı ihlal olanların tazminat davası açma hakkı var. Verilere hâlâ herkes ulaşabilir. Kişiler, bilgilerinin kötü niyetli kullanılmadığından emin olmak için çift koruma faktörlü şifre güvenlik önlemleri kullanabilir.
Siber güvenlik uzmanı Nafiz Ünlü: İşi çok iyi bilmedikleri için açıklama yapmıyorlar. Bu sistemlerde boşluk ve hatalar var. Kimlik bilgilerinin yetkisiz ellere geçmesi finans sistemini tehlikeye atabileceği gibi kişisel güvenliği de tehlikeye atar.
Hukukçu Gülşah Deniz Atalar: Vatandaşın devletine güvenmekten başka yapabileceği bir şey yok. Suç duyurusunda bulunulmalı. Kolluk görevlilerimiz failleri bulabilir. Kurumların acilen kriz yönetimi yapması gerekiyor.
E-DEVLET’TEKİ SIZINTIYA İLİŞKİN KURUMLARI SESİZLİĞİ SÜRÜYOR! VERİLER NASIL ELDE EDİLDİ BİLGİLER ŞİMDİ NEREDE?
e-Devlet’ sisteminde 85 milyonun verisinin sızdırıldığına ilişkin belirsizlik sürüyor. Yaşananlara dönük vahim iddialar sürerken ilgili devlet kurumlarının sessizliği ise dikkat çekiyor. Kamuoyu da “Veriler nasıl elde edildi, içerikler nerede? Hangi amaçla, kimler tarafından çalındı? Gerekli önlem alınmadı mı? Vatandaş ne yapacak?” sorularının cevaplarını bekliyor. Verilerin hala dolaşımda olmasına dikkat çeken uzmanlar “Siber güvenlik önlemlerinin alındığı yeni bir yapılanma gerek” dedi. Nafiz Ünlü ise “Kimlik bilgilerinin yetkisiz ellere geçmesi finans sistemini tehlikeye atabileceği gibi kişisel güvenliği de tehlikeye atar” uyarısı yaptı.
Türkiye’deki 85 milyon vatandaşın tüm bilgilerinin bulunduğu e-Devlet’te verilerin çalındığı belirtildi. 85 milyon vatandaşın, TC kimlik no, telefon, adres ve tapu bilgileri ‘S**Paneli.Org’ isimli bir internet sitesi tarafından ele geçirildi ve yayınlandı. Sorgulama yapılarak kişilerin anne, baba isimlerine, TC kimlik numaralarına, telefon numarasına, akrabalarının bilgilerine ve hatta şahsın annesinin TC kimlik numarasını dahi ulaşılabiliyor. Bu bilgilere ücretsiz üyelik karşılığı ulaşılırken tapu ve diğer özel bilgiler için ise site ücretli üyelik isteniyor. Sitede pek çok siyasinin bilgisi de yer alıyor.
KURUMLARIN SESSİZLİĞİ SÜRÜYOR
Ancak aradan iki gün geçmesine rağmen ilgili resmi kurumlardan herhangi bir açıklama olmaması ise dikkat çekiyor. Kurumların sesizliği sürerken kamuoyunda cevap bekleyen sorular artıyor. Veri skandalına ilişkin acil cevap bekleyen sorular ise şöyle sıralanıyor: “Veriler nasıl elde edildi, içerikler nerede? Hangi amaçla, kimler tarafından çalındı? Devlet ne yaptı, gerekli önlem alınmadı mı? Neden hayati konuda resmi açıklama yapılmadı? Tüm bilgileri ifşa olan vatandaş ne yapacak?
CAN VE MAL GÜVENLİĞİ TEHLİKEDE
Kurumların sessizliği muhalefetin tepkisine neden olurken konu Meclis gündemine de taşıdı. CHP Kahramanmaraş Milletvekili Ali Öztunç, Cumhurbaşkanı Yardımcısı Cevlet Yılmaz’ın cevaplaması istemiyle verdiği önergesinde “Yakın zaman önce YSK ve bazı kamu kurumlarında hacklendiği basına yansımıştır. Yurttaşlarımızın e-Devlet bilgilerinin internet sitelerinde dolaşması, T.C. Kimlik no, telefon, adres, tapu bilgileri gibi kişisel verilerinin kolaylıkla art niyetli kişilerin eline geçmesine yurttaşlarımızın can ve mal güvenliğini tehlikeye atılmasına neden olacaktır” dedi. Öztunç Yılmaz’a “Verilerinin ele geçirildiği doğru mudur? Doğru ise ne gibi tedbirler alınmıştır? e-Devlet bilgilerinin nereden ve nasıl sızdırıldığı konusunda bir soruşturma açılmış mıdır? Bilgi Teknolojileri ve İletişim Kurumu Başkanlığının ihmali olduğunun bir göstergesi değil midir?” sorularını yöneltti.
VATANDAŞ TUZAĞA DÜŞMEMELİ
CHP Genel Başkan yardımcısı Devrim Barış Çelik ise “e-devlet’ten veri sızıntısı ile ilgili gelen bilgiler sonrası teknik ekiplerimiz ile detaylı inceleme yaptık ve yapmaya da devam ediyoruz. Veri sızıntısının büyüklüğünü ve verilerin güncelliğini tespit etmeye çalışıyoruz. Vatandaşlarımıza tavsiyemiz, merak edip kendi verilerini sorgulamak için bile bu tarz sitelere giriş yapmamaları ve kişisel verilerini paylaşmamalarıdır” ifadesini kullandı. Gelecek Partisi Sözcüsü Serkan Özcan ise “Vatandaşının kendisine emanet ettiği kişisel bilgileri çaldıran bir yönetim, dünyanın herhangi bir yerinde 1 dakika bile geçirmeden özür dileyip istifa eder. İnsanların kişisel bilgileri, tıpkı vergileri gibi milletin devlete emanetidir. Bu emanetlere sahip çıkamıyorsan gereğini yapacaksın” açıklaması yaptı.
UZMANLAR KARAR’A DEĞERLENDİRDİ
85 milyonun kimlik-tapu gibi tüm mahrem bilgilerinin yer aldığı e-Devlet’teki sızıntı olayını, güvenlik açıklarına ilişkin iddiaları Uzamnlar KARAR’a anlattı. Verilerin hala dolaşımda olmasına dikkat çeken uzmanlar “Siber güvenlik önlemlerinin alındığı yeni bir yapılanma gerekiyor” dedi. Nafiz Ünlü ise “Kimlik bilgilerinin yetkisiz ellere geçmesi finans sistemini tehlikeye atabileceği gibi kişisel güvenliği de tehlikeye atar” uyarısı yaptı.
ZATEN ELDEN ELE DOLAŞIYORDU
Bilişim Hukuku Uzmanı Av. Faruk Çayır: “Söz konusu bilgilerin devlet kurumlarından sızdığı çok açık. Özellikle İçişleri Bakanlığından sızdığını düşünüyorum. Belki başka bir kurumdan da çalınmış olabilir. Ama bu kadar büyük kapsamda tüm bilgilere ulaşılabilecek tek kurum diyebileceğimiz İç işleri Bakanlığı var. Nüfus ve Vatandaşlık İşleri Müdürlüğünden kimlik bilgileri, adres bilgileri, köken bilgileri ele geçirilebilir. Yine bakanlığa bağlı kolluk kuvvetleri bunların yanında tapu bilgileri, telefon bilgileri, araç bilgileri gibi bilgilere erişebilir. Bu sebeple İçişleri Bakanlığından sızdığını düşünüyorum. Veriler bir açık bulunarak dışarıdan da hacklanmiş olabilir, içeriden bir personel aracılığı, taşeron firmaların çalışanları tarafından da sızdırılmış olabilir. Ama şunu söylemek gerekir. Zaten bu veriler yıllardır elden ele dolaşıyor. Fark artık yayınlanmasından da korkulmayacak aşamaya gelmesi. Bir çok şirket yıllardır özellikle Avukatlar gibi meslek gruplarına kişisel verileri özel yazılımlar vasıtası ile satıyor. Belki son bir iki yılın verileri olamayabilir, eksik olabilir, güncel olmayabilir ama bu veriler uzun zamandır zaten dolaşımda ve kullanılıyor. Güçlü bir altyapıya sahip, siber güvenlik önlemlerinin alındığı, çok çok sınırlı sayıda kişinin erişim izninin ve sorumluluğunun olduğu yeni bir yapılanma gerekiyor.”
SADECE TÜRKİYEDE KISITLANDI BİLGİLERE VPN İLE ERİŞİM SÜRÜYOR
İstanbul Barosu Bilişim Hukuku Komisyonu eski Başkanı Av. Şebnem Kartal: “Böyle bir sızdırma eylemi, kişisel verilerin hukuka aykırı olarak ele geçirilmesi ve yayılması bakımından suçtur. Ayrıca KVKK’nın da ihlali söz konusudur. Elbette site derhal erişime engellendi, ancak aslında sadece Türkiye’den erişim kısıtlandı, yani içeriğin kaldırılması sağlanamazsa VPN ile erişilmeye devam edilecek, bu da verileri hala herkesçe ulaşılabilir kıldığından riski büyütüyor. Biz ne yapabiliriz dersek, sızdırmaların önüne bireylerin geçemeyeceği bir gerçek. En azından kişiler kimlik bilgilerinin bankalarda, kamu kurumlarında adlarına kötü niyetli kişilerce kullanılmadığından emin olmak için ilgili sistemlerde kontrollerini düzenli olarak yapabilir ve çift koruma faktörlü şifre güvenlik önlemleri kullanabilirler. Söz konusu olay sebebiyle zarar görenlerin suç duyurusunda bulunma ve tazminat davası açma hakkı vardır.”
VATANDAŞ SUÇ DUYURUSUNDA BULUNMALI
Bilişim Hukukçusu ve Bilgi Güvenliği Yönetim Sistemleri Uzmanı Gülşah Deniz Atalar: “Eylül 2022’de yurtdışı kaynaklı forum sitelerinde Türkiye Sağlık Sistemi üzerinden çekilen 101 milyon verinin satışına dair gönderiler bulunuyordu. Gündemdeki sızıntının büyük çoğunluğunun halk sağlığı yönetim sistemindeki bu verilerden elde edilen özel nitelikte ve hassas bilgiler içeren veriler olduğunu düşünüyorum. Ayrıca e-devlet sistemini anlık olarak API üzerinden sorgulayan veri hırsızları ya da bunu oyun haline getiren bilgi güvenliği sistemleri konusunda kendini geliştirmiş kişiler var. Buralardan sızan veriler de HSYS sistemiyle birleştirilince çok büyük bir verinin şuanda internette dolaştığını söyleyebiliriz. Bu durumda vatandaşlarımız konunun takipçisi olmalı, suç duyurusunda bulunmalı ve ilgili verilere dayalı ortaya çıkabilecek dolandırıcılık olaylarına karşı daha dikkatli olmalıdır. Siber güvenlik konusunda çalışan kolluk görevlilerimiz bu failleri bulabilir. Bu ana kadar yetkililerden bir açıklama gelmemesi ne yazık ki vatandaşla devlet arasında olan güven ilişkisini zedeleyebilir. Bu veriler halen internette dolaşıyor.
BÜTÜN FİNANS SİSTEMİ TEHLİKEYE GİREBİLİR
Siber Güvenlik Uzmanı Nafiz Ünlü: “İşi çok iyi bilmedikleri için açıklama yapmıyorlar. Kimse ayranım ekşidir demez. Herkes ‘benim sistemim çok iyidir’ der. Bu analiz edildiği zaman ortaya çıkar ki bu sistemlerde boşluk ve hatalar vardır. Bu işi yapan insanların da ekmeğine yağ sürerler. İnsanlar tedirgin olmakta haklı. Bu herkesi ilgilendiriyor. Bizim bilgilerimiz kötü niyetli insanların elinde. Bu sorumlu bakanlıklardaki insanların neden açıklama yapmadıkları konusunda da orada yeterli bilgiye sahip değiller. Bu yüzden açıklama yapamıyorlar. BTK olur ya da ona benzer ilgili kurumlar olur, hatanın nereden kaynaklandığını ortaya çıkarabilirler. Açıklama yaparlar mı bilemiyoruz tabii. Öncelikle kimlik bilgilerinin yetkisiz ellere geçmesi bunun üzerinden işlem yapılabilme olasılığı bütün finans sistemini tehlikeye atabileceği gibi kişisel güvenliği de tehlikeye atar. İnsanların kişisel verileri kullanılarak kamuda ve özel sektörde yapılacak işlemlerde bir güvensizlik yaratır.”
ÖRTBAS ETME ÇABASINA KARŞI TAKİPTE OLACAĞIZ
Yarın İçin Şimdi Derneği Başkanı Taylan Yıldız “Sınırları olmayan siber dünyada işlenen suçlarla baş etmek için yerel kurumlar ve yöntemlerin işe yaramadığını pek çok kere gördük. Çok farklı dönemde veri sızıntıları oldu, bu bilgiler bir araya getirilmiş olabilir. Tek bir kaynaktan sızmış olabilir. Ama bunun çok bir önemi yok. Çünkü e-devletteki bilgilere birçok kurum bağlanıyor, karşılıklı veri akışı oluyor. Binlerce paydaştan bahsediyoruz. Bunlardan herhangi birindeki güvenlik açığı veri sızıntısına yol açabilir. Vatandaşlık verilerini kullanan devlet kurumlarının liyakatli ve bütüncül yönetimi buradaki teknolojik riskleri azaltmak için önem arz ediyor. Verilere erişen her kurumun farklı siber güvenlik standartı olması kabul edilemez. Çok daha bütüncül bir çözüm gerekiyor. Bunu yapması gereken liderlerin çoğu da dijital dünyayı anlamaktan uzak. Zira eski kuşaklar. Bu olayın örtbas edilme çabası var ise onun karşısında olacağımızı ve konunun takipçisi olacağımızı bütün vatandaşlarımızın bilmesini isterim.”