Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu, milyonlarca Türkiye vatandaşının Sağlık Bakanlığı bünyesindeki kişisel bilgilerinin koronavirüs salgını döneminde çalındığını doğruladı. Peki teknolojinin günlük hayatla iç içe geçtiği bu dönemde kişisel verileri korumak için hangi önlemler alınmalı?
Yaşlı bir kadının telefonu çalıyor. Arayan tanımadığı bir numara.
Telefonu açıyor. Hattın diğer tarafındaki kişi kendini torunu olarak tanıtıyor.
Telefonunu düşürüp kırdığını, kendisini bir arkadaşının telefonundan aradığını söylüyor.
Kadının şahsına ve yakınlarına ait kişisel bilgilere vakıf olan “torun” yolda olduğunu, adresine geleceğini söylüyor ve para istiyor. Ancak bir terslik sezen kadın, para vermeyi reddediyor ve telefonu kapatıyor.
Türkiye’de son yıllarda bu ve bunun gibi sonu dolandırıcılıkla biten çok sayıda hikaye yaşandı.
Özellikle kişisel verilerin en ince detayına kadar paylaşıldığı tarz dolandırıcılıkları ayırt etmek bir hayli zor.
Zira bu bilgiler, geçtiğimiz 10 yılda ülkedeki devlet kurumlarını ve özel kuruluşları hedef alan siber saldırılar neticesinde internete sızdırıldı.
Veri hırsızlığına dair haberlerle birlikte, kişisel veri güvenliği de yeniden gündeme geldi.
Bu konuda pratik ve hukuki olarak hangi önlemlerin alınması gerektiğini uzmanlara sorduk.
Veri güvenliğinin olmazsa olmazı: İki faktörlü koruma
Kıdemli Siber Güvenlik Uzmanı Eyüp Çelik’e göre kişisel verilerin korunmasında hem bireysel hem de kurumsal önlemler alınması gerekiyor.
BBC Türkçe‘ye konuşan Çelik, “Türkiye’deki tüm kurumlar [Kişisel Verilerin Korunması Kanunu] KVKK’ye tâbi. Kurumlar genelde KVKK çerçevesinde kişisel verilerimizi korumaya gayret gösteriyorlar” dedi.
Çelik, kişisel verilerin korunması için özellikle şahsi cihazlarda mümkün olduğunca “iki faktörlü doğrulama” kullanılması gerektiğini söyledi.
Bu yöntem ile bir kullanıcıdan hesabına giriş yapması için ikinci bir cihazdan onay vermesi isteniyor. Böylece uzaktan ve yasa dışı erişimler engellenebiliyor.
Çelik, “Çok faktörlü kimlik doğrulama mekanizmasının gerektiği her yerde çift kimlik doğrulaması kullanılmalı” diye konuştu.
Siber güvenlik uzmanı, bilgisayar korsanlarının yalnızca kurumları değil, kişisel cihazları ve hesapları da hedef aldığına dikkat çekti ve şöyle devam etti:
“Siber saldırganlar aslında bireysel verilerinizle size dolandırıcılık yapıyor. SMS’ler, sosyal medyada aldığınız mesajlar, telefonla aranmanız gibi şeyler siber tehdit aktörü adını verdiğimiz birinin ya da bir grubun elinde saldırı aracına dönüşüyor.”
‘Üçüncü taraf uygulamalara erişim vermek en büyük güvenlik açığı’
Kişisel cihazlar ve sosyal medya platformlarını kullanma biçimi de veri güvenliği açısından büyük önem taşıyor.
Yeditepe Üniversitesi Elektronik Ticaret Yönetimi Bölümü Öğretim Görevlisi Barış Yalçınkaya, farklı cihazlarda farklı uygulama ve araçlara erişim izni verirken kullanıcıların dikkatli olması gerektiğini söyledi.
Yalçınkaya, “Herhangi bir cihaza ya da programa oturum açma izni verdiğinizde adınıza eposta gönderme izni bile isteyebiliyor” dedi ve ekledi:
“En büyük [güvenlik] açığı, üçüncü taraf uygulamalara sürekli erişim vermemiz. Burada neye izin verdiğimizi asla okumamamız. Ne kadar farkında olsak da okuma tembelliğine gidiyoruz. Bu uygulamalar ya da tarayıcı eklentileri her türlü bilginizi gözetliyor.”
Yalçınkaya, bilgisayar tarayıcısından kullanmadığı eklentileri sildiğini ve cep telefonundaki uygulamalara fotoğraf galerisi ve mikrofon erişimi vermediğini söyledi.
Uygulamaların erişim izni alması durumunda “ortam dinlemesi” yapabildiğine dikkat çeken Yalçınkaya, sözlerine şöyle devam etti:
“Cep telefonu diş fırçası gibi olmalı. Başkalarıyla paylaşmamalısınız. Sıfırlanmış eski bir telefondan bile her türlü veri kurtarılabiliyor.”
‘Güçlü şifreler önemli’
Yalçınkaya, kullanıcıların platform ve uygulamalardaki tüm güvenlik seçeneklerini kullanması gerektiğini ifade etti ve her hesap için farklı ve güçlü şifreler kullanmanın önemine dikkat çekti:
“İçerisinde büyük harf ya da özel karakter olmayan, özellikle altı harf ve daha az şifrelerin işlemciler tarafından çözülme süresi saatlere indi. Bundan 10 yıl önce yüzlerce saat sürüyordu. Bir alt çizgi ve özel karakter eklendiğinde ise bu süre yüz yıllara çıkabiliyor. Bu yüzden güçlü şifreler çok önemli.”
Yasa ne diyor?
Veri Koruma Hukuku Uzmanı Avukat Umut Zorer, 2016’da yürürlüğe giren KVKK ile birlikte kamu ve özel kuruşlara veri toplanması, muhafaza edilmesi, işlenmesi ve ihlallerin bildirilmesi konusunda hukuki yükümlülükler getirildiğine dikkat çekti.
Yasanın ilgili maddesine göre verilerin “kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde” veri sorumlusu en kısa sürede ilgili kurumlara ve Kişisel Verileri Koruma Kurulu’na bunu bildirmeli.
Yasa ayrıca “Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir” diyor.
Zorer, BBC Türkçe’ye verdiği demeçte kamu kurumlarının bu bildirimleri düzenli yapmadığını, yapılan bildirimlerin de kamuoyu ile etkin biçimde paylaşılmadığını söyledi ve şunları kaydetti:
“Türkiye Cumhuriyeti’nde kamu kurumları KVKK’ya tâbi olmakla birlikte yeteri kadar ağır soruşturma ve yaptırım yükü altında değiller.”
Zorer, veri güvenliği ihlali durumunda özel şirketlere para cezası uygulanırken, kamu kuruluşlarına yalnızca disiplin cezası uygulandığını söyledi ve sözlerine şöyle devam etti:
“Kanunda bunun için disiplin cezası var, bu da kurumların insiyatifinde yürütüldüğü için işten çıkarma ya da memuriyete son verme gibi cezalar verildiğini ben görmedim. Bu yüzden kamu kurumları KVKK’yı daha çok ihlal ediyor.”
Zorer’e göre özel şirketlere uygulanan cezai yaptırımlar küçük işletmeler için oldukça caydırıcıyken, büyük şirketler için “çerez denecek kadar az” durumda.
Veri koruma hukuku uzmanına göre mevcut mevzuat, çok büyük ölçekli işletmeler ve sorumlu kamu görevlileri için yeterli caydırıcı önlemler sunmuyor.
Eyüp Çelik’e göre kurumlara ya da şirketlere yönelik büyük çaplı siber saldırılarda kişisel önlemler yetersiz kalıyor:
“Toplu sızıntılar durumunda veri bir kere yayılmaya başladığında yeraltı dünyasında bir anda herkesin eline ulaşıyor. Onu herkesin elinden alıp temizlemek mümkün değil.”
Çelik, bu noktada ulusal siber güvenlik politikalarının devreye girdiğini söyledi ve ekledi:
“Bir taraftan da kamu-özel sektör iş birlikleri var. [Cumhurbaşkanlığı] Dijital Dönüşüm Ofisi ve özel sektör temsilcileri bir araya geliyor. Hem kamuda hem özel sektörde bu çerçevede önlemler alınmaya çalışılıyor.”
Umut Zorer ise bu gibi durumlarda kişilerin KVKK kapsamında bireysel başvuru hakkı olduğunu hatırlattı.
Veri koruma hukuku uzmanı, “Verisinin herhangi bir veri sorumlusu tarafından hukuka aykırı olarak kullanıldığını, üçüncü kişilerin erişimine açıldığını, çalındığını düşünen herkes KVKK’dan doğan haklarını kullanmak isteyebilir” dedi ve ekledi:
“Bu hak ne kadar kullanılırsa, veri sorumlularının kanuna uyum ve veri koruma konusundaki motivasyonu da o kadar artacaktır.”
Ancak Zorer, bu başvuruların 60 gün içerisinde karara bağlanması gerekmesine karşın sürecin iş yükü ve kurum bütçesinin sınırlı olmasından dolayı iki yıla kadar çıkabildiğini söyledi.
Zorer’e göre, bu durum halkın KVKK hakkını etkin kullanmasını sınırlandırıyor ve “Hakkın daha etkili kullanılması için inceleme sürelerinin de kısalmasına ihtiyacımız var”.