Kurucusu olduğu AK Parti’den ayrılıp yeni parti hazırlıklarına girişen eski Ekonomi Bakanı Ali Babacan, uzun bir aranın ardından tekrar medyada boy göstermeye başladı.
Geçtiğimiz ay Habertürk ve T24’e röportajlar verene eski bakan, merak edilen konularda açıklamalar yaptı.
Fatih Altaylı’nın konuğu olarak canlı yayına katıldığı Habertürk’teki açıklamalarından küçük de olsa bir kısmı bilgi güvenliğini de ilgilendiriyordu. Babacan siyasi ve ekonomik gelişmeler hakkında görüşlerini paylaşırken tabi ki sıra Türkiye’nin siber güvenlik stratejisini neden 2019’da yayınlamadığı konusuna gelmedi.
Lakin, Babacan yeni parti kurma çalışmaları sırasında kurulan www.alibabacan.com.tr web sitesi hakkında bilgi verdi. Çok sayıda insanın buraya kişisel bilgilerini vererek harekete gönüllü olarak destek vermek istediğinden bahsetti. Muhtemelen yayını izleyen binlerce insan aynı şeyi yaparak tecrübeli siyasetçinin verdiği adrese girmeye çalıştı. Ama o da ne? Site kısa bir süre içerisinde çökmüştü:
Eski bakan Babacan, başlattığı siyasi hareketin bugünkü durumu ve gelecekte nasıl bir yapı haline geleceği ile ilgili soruları cevaplamaya çalışırken istemeden de olsa örgütsüz bir şekilde sitesine erişimin engellenmesine neden olmuştu. Diğer bir deyişle (biraz da medyacı olmanın mübalağasıyla) Babacan kendi sitesine Dağıtık Hizmet Servisi Reddi saldırısının (DDoS) yapılmasının da önünü açmış oldu.
Sitesine erişilmediğini Fatih Altaylı’dan öğrenen Babacan ekibine olan güvenini dile getirerek, ‘Bizim çocuklar şimdi halleder’ şeklinde bir açıklama yaptı ki gerçekten Babacan’ın IT ekibi kısa süre içerisinde sorunu çözdü site yeniden erişilebilir bir hale geldi.
BABACAN KVKK SINAVINDAN GEÇTİ
alibabacan.com.tr’den yeni kurulacak parti için gönüllü olmak istediğinizde kullanıcıdan ilk olarak telefon numarası isteniyor. Böyle olunca tabi ki bilinçli internet kullanıcılarının kaşları hafif kalkıyor. Bu verilerin nerede saklandığından veri sorumlusunun (bu durumda Ali Babacan) KVKK’ya uygun bir veri politikası izleyip izlemediğine dair bir çok sor akla geliyor.
Görünen o ki, Ali Babacan bu konudan gelecek eleştirilerin önünü almak için ayrıntılı bir veri güvenliği bilgilendirme dokümanı hazırlamış. Ayrı bir sayfa içerisinde sitenin çerez politikası da ayrıntılı bir şekilde ifade edilmiş.
Veri politikası konusunda gerekli adımların atılmış olması gerekli ve yeterli önlemlerin siber saldırılara karşı da alındığı izlenimini veriyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Ülkelerin vatandaşlarının verilerinin korunması ile ilgili yaptığı düzenlemelerin önemli maddelerinden bir tanesini verilerini hangi ülkede depolandığı oluşturuyor. ABD’nin diğer ülkelerin verileri üzerinde yaptığı istihbari çalışmaların 2012 yılında Edward Snowden’ın sızdırdığı gizli belgeler ile ortaya çıkmasının ardından ülkelerin verilerini kendi sınırları içerisinde tutma eğiliminin artması başta Google ve Microsoft gibi küresel teknoloji devleri olmak üzere birçok şirketi bu kurallara uymaya mecbur kılıyor.
Nisan ayında Rusya’da yapılan yasal düzenlemeye göre Twitter ve Facebook gibi sosyal medya şirketleri de dahil olmak üzere teknoloji şirketlerinin Rus vatandaşlarına ait verilerin depolandığı sunucuların Rus sınırları içerisinde olması gerekiyor. Şirketlerin yasaya uymaları için verilen süre kasım ayının sonunda bitiyor. Fakat Linkedin gibi bazı şirketler sunucularını Rusya’ya taşımayı reddettikleri için Rusya tarafından erişimi engelleniyor. & milyondan fazla kullanıcısı olan iş ağı sitesine Rusya’dan giriş yapılamıyor. Linkedin gibi Rusya’nın talebini reddeden şirketlerin bu tavırlarının arkasında maliyet ve Rusya’ya olan güven azlığı olduğu değerlendirmesi yapılıyor.
Kaspersky tercihini İsviçre’den yana kullandı
Bir yandan veri yerelleştirme ile yabancı teknoloji firmalarıyla ilişkilerini yeniden düzenleyen Rusya diğer taraftan 2012 sonrasında ABD’ye karşı yükselen güvensizlik kasırgasının benzeriyle karşı karşıya. 2016 Amerikan Başkanlık Seçimlerine siber yollarla müdahale edildiğinin birçok çevre tarafından kabul edilmesi ve ABD’nin bu konuda hukuki yollara başvurması özellikle Amerikan teknoloji şirketlerini Rusya’ya mesafe koymasına neden oluyor. Aynı şekilde Rusya çıkışlı şirketlere olan güveni de zedeliyor. Bu şirketlerin başında şüphesiz dünyanın önde gelen anti-virüs üreticisi Kaspersky geliyor.
2017’de ABD Ulusal Güvenlik Bakanlığı kamu kuruluşlarına gönderdiği bir tebligatla Rus şirketi Kaspersky Lab’a ait bütün güvenlik yazılımlarını sistemlerinden kaldırmalarını istedi. Bakanlık, şirket yetkilileriyle Rus istihbarat servisi arasındaki ilişkiden endişe duydukları ve virüs karşıtı yazılımın ulusal güvenliğe tehlike oluşturabileceği gerekçeleriyle bu kararı aldıklarını açıkladı.
Kaspersky, uluslararası güveni yeniden kazanma adına son iki yılda önemli adımlar attı. Şirket altyapısını İsviçre’nin Zürih şehrine taşıdı. Yine Zürih’te şeffaflık merkezi açan şirket bir başka şeffaflık merkezini Madrid’de açtı. Tüm bunlara rağmen şirket 2018 yılında özellikle Kuzey Amerika pazarında kâr kaybetti.
Veri depolama ve işleme altyapısını İsviçre’ye taşımaya devam eden Kaspersky, yeni bir karar alarak ABD ve Kanada’daki müşterilerinin verilerini de Zürih’e taşıyor. Ayrıca, şirket ilk Latin Amerika Şeffaflık Merkezi’ni Ocak 2020’de Sao Paulo, Brezilya’da açacağını da duyurdu.
Kaspersky’nin güvendiği Zürih, Türkiye için ‘güvenilir ülke’ olur mu?
Kişisel Verileri Koruma Kanunu’nun ‘verilerin yurt dışına aktarımı’ ile ilgili 9. Maddesinde, kişisel verilerin yabancı ülkelere aktarımı ile ilgili bazı şartlar aranıyor. Bu şartların başında ‘açık rıza’ bulunurken; verilerin aktarıldığı yabancı ülkede ‘yeterli korumanın bulunması’ veya ‘yabancı ülkedeki veri sorumlusunun yeterli korumayı yazılı olarak taahhüt etmesi’ ve ‘Kurum’un izninin bulunması’ şartlarıyla veri aktarımını mümkün kılıyor. Aynı maddede Kurum’un ‘yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir’ maddesi de bulunuyor. Diğer bir deyişle, Kurum’un e-posta hizmet altyapısı veren yabancı şirketler ile ilgili kararı vermeden önce veri koruma yöntemlerinin hangi ülkelerde yeterli olduğunu açıklaması gerekiyor.
Temmuz ayında KVKK’nın yayınladığı karar özetleri ile gündeme gelen ve henüz açıklanmayan ‘güvenli ülkeler’ listesi hazırlanırken, Kaspersky gibi şirketlerin tercihlerinin ne kadar etkili olacağı merak ediliyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Türkiye, Taylan Yıldız ismiyle geçen sene tanıştı. Stanford Üniversitesi’nde doktora yaptıktan sonra Google’da çalışmaya başlayan bir gencin yıllar sonra Türkiye’ye dönüp siyasete atılması toplumun her kesiminden ilgiyle karşılandı. O günden bugüne Yıldız, katıldığı programlarda fikirlerini paylaşarak gelecek için teknolojik bir vizyona sahip yeni nesil siyasetçi profili çiziyor.
Yerel seçimlerin ardından İBB Meclisine giren Yıldız, Siber Diplomat YouTube kanalına verdiği röportajda teknoloji ve siyaset ağırlıklı olmak üzere farklı birçok konuda görüşlerini paylaştı. Yazarımız Selin Çetin’e konuşan genç siyasetçi, beyin göçünden, akıllı şehirlere, yerli-milli ürün geliştirmeden kariyer tavsiyelerine kadar birçok farklı önemli konuda görüşlerini ortaya koydu.
Büyük teknoloji şirketlerinin demokrasi üzerindeki etkilerine, akıllı şehir uygulamalarında verinin ve veri güvenliğinin önemine ve İstanbul Büyükşehir Belediyesi özelinde uygulamada nelerin geliştirildiğine, ulusal siber güvenlik stratejilerine ve hükümetlerin bu konudaki farklı yaklaşımlarına; yerli ve milli teknoloji hamlelerimize değindiğimiz söyleşimizde Yıldız çalışma hayatına yeni başlamış veya başlayacak olan kişilere tavsiyelerde bulunuyor. Profesyonel hayata kendimizi nasıl hazırlamalıyız, kariyerimizde yeni yetkinlikleri nasıl kazanabileceğimizin cevaplarını veriyor.
BEYİN GÖÇÜNÜ AVANTAJA ÇEVİREBİLİRİZ
‘Tersine beyin göçü’ Türkiye’nin son yıllarda gündeminde olan bir konu. Tersine beyin göçünün bir örneği olan Taylan Yıldız, konuya bakış açısının değiştirilmesi gerektiğinin altını çiziyor. Yıldız’a göre Türkiye birçok olumlu özelliği ile dünyadaki beyin dolaşımını kendi lehine bir avantaja çevirebilir. Ama bunun için bazı şeylerin değişmesi gerektiğini vurgulayarak soruyor: “2000’li yıllarda yaşanan ülkeye dönüşlerin neden günümüzde devam etmedi?”
https://www.youtube.com/watch?v=vHTjLVa4CUA
GENÇLER SİYASETE GİRMEK İSTİYOR AMA ETİKETLENMEK İSTEMİYOR
Genç yaşında Türkiye’de siyasete giren Taylan Yıldız ile röportajda, değinilen konulardan bir tanesi de şüphesiz gençlerin politika ile olan ilişkisi. Yıldız, Türkiye’de siyasetin dört akım üzerinden yapıldığını fakat bu yapının artık ihtiyaçlara cevap vermekte yetersiz kaldığını savunuyor. Yıldız’ın yeni dönem siyaset anlayışının özeti proje odaklı siyaset: “Eğer siz proje odaklı bir siyasetle sorunlara çözüm bulmak isterseniz, Türkçü, Kürtçü, Atatürkçü ve İslamcı kim olursa olsun destek verir. Bugün Türkiye’de internet hızı yetersiz. Bu sorun herkesin sorunu. Gelin böyle sorunlar üzerine proje odaklı siyaset izleyelim.”
VERİLERİMİZİN TÜRKİYE’DE KALMASI ÖNEMLİ AMA YETERLİ DEĞİL
Cumhurbaşkanlığının geçtiğimiz aylarda yayınlanan Bilgi ve İletişim Güvenliği Tedbirlerine dair genelgesinde Türkiye’de işlenen verilerin Türkiye’de kalması gerektiğinin üzerinden durulmuştu. Yıldız genelgeyi genel hatları ile değerlendirdiğinden ‘olumlu bir adım’ yorumunu yapıyor fakat bazı konularda daha ileri gidilmesinden yana. Örneğin sınırlarımız içerisinde tuttuğumuz veriye kimlerin, hangi kurumların erişimi olduğunu sorgulayan Yıldız, güven verici politikalar için erkler arasındaki güç dengesinin önemine dikkat çekiyor.
İNTERNET VE DEMOKRASİ İLİŞKİSİ, TÜRKİYE NEREDE DURUYOR?
https://www.youtube.com/watch?v=4nVDcsm-2TQ
BELEDİYELER VE VERİ: TAYLAN YILDIZ’DAN KISA BİR EKONOMETRİ DERSİ
ÇAYCI VE SEKRETER DE AR-GE EKİBİNDEN SAYILIR MI?
KÜRESEL EKONOMİDE YERLİ-MİLLİ ÜRÜN GELİŞTİRMEK NE KADAR MÜMKÜN?
https://www.youtube.com/watch?v=bcvCq0uY9dY
TAYLAN YILDIZ’DAN KARİYER TAVSİYELERİ
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Kişisel Verileri Koruma Kurumu, 17 Temmuz Çarşamba günü yayınladığı bazı karar özetleri arasında yer alan e-posta kullanımı ile ilgili karar özeti bilişim sektörü ve hukukçular tarafından tartışılmaya devam ediyor.
Kuruma gelen ve e-posta sunucularının kullanımıyla ilgili görüş talep eden yazıda, kurumsal e-posta adreslerinin Google servisleri üzerinden kullanılıp kullanılmayacağı sorulması üzerine Kurumun açıkladığı karar özetinde, her ne kadar Google üzerinde durulmuş olsa da Microsoft, Amazon gibi yabancı diğer bulut hizmeti sağlayıcılarını da etkileyen maddelerin yanı sıra kurumsal e-posta hizmeti kullanan şirketleri de ilgilendiren maddeler var.
İşte KVK Kurumunun ilgili karar özeti hakkında bilmeniz gerekenler:
1. E-posta hizmet altyapısının yabancılardan alınması yurtdışına veri aktarımına girer
Karar özetinde ‘Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına’ ifadesi yer aldı.
Konuyla ilgili görüşlerine başvurduğumuz KP Veri Danışmanlığı kurucusu Mehmet Ali Köksal, KVK Kurumu’nun yabancı bulut hizmeti sağlayıcılarından e-posta sunucusu hizmeti alınmasını ‘Kişisel verilerin yurt dışına aktarılması’ olarak değerlendirmesinin isabetli olduğunu söyledi. Tecrübeli hukukçu, karar özetinde yer alan isabetli değerlendirmenin yanında hem KVK Kurumunun hem de bulut hizmeti sağlayan yabancı şirketlerin atması gereken adımlar olduğuna dikkat çekti.
2. Veri koruma kanunlarıyla verilerin korunduğu yerler belirli hale geldi
Bahse konu karar özetinde, e-posta hizmeti altyapısı kullanılan yabancı şirketin (bu karar özeti için Google) gönderilen ve alınan e-postaları dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutacağı için veri sorumlularının KVKK’nın ‘kişisel verilerin yurt dışına aktarılması’ başlıklı 9. Maddesine göre hareket etmesi gerektiğine dikkat çekildi.
Karar özetinde yer alan ‘dünyanın çeşitli yerlerinde’ ifadesini ‘konuyu basitleştirici’ bulan Mehmet Ali Köksal, veri koruma düzenlemeleriyle birlikte dünyanın önde gelen şirketlerinin artık verileri sakladığı merkezlerinin yerlerinin genel olarak belirli olduğuna dikkat çekerek “Bu nedenle henüz yeni olgunlaşmaya başlayan veri koruma kültürümüzde KVK Kurumu’nun daha özenli olması yol göstericilik açısından çok daha kritik diye düşünüyorum.” ifadelerini kullandı.
3. Kurum güvenli ülkeler listesi yayınlamalı
Kanunun ‘verilerin yurt dışına aktarımı’ ile ilgili 9. Maddesinde, kişisel verilerin yabancı ülkelere aktaraımı ile ilgili bazı şartlar aranmaktadır. Bu şartların başında ‘açık rıza’ bulunurken; verilerin aktarıldığı yabancı ülkede ‘yeterli korumanın bulunması’ veya ‘yabancı ülkedeki veri sorumlusunun yeterli korumayı yazılı olarak taahhüt etmesi’ ve ‘Kurum’un izninin bulunması’ şartlarıyla veri aktarımını mümkün kılıyor. Aynı maddede Kurum’un ‘yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir’ maddesi de bulunuyor. Diğer bir deyişle, Kurum’un e-posta hizmet altyapısı veren yabancı şirketler ile ilgili kararı vermeden önce veri koruma yöntemlerinin hangi ülkelerde yeterli olduğunu açıklaması gerekiyor.
‘Kurum bu konuda sessiz kalarak bulut servislerinden yararlanan birçok firmayı ciddi bir sorunla karşı karşıya bırakmıştır.’ diyen Mehmet Ali Köksal, sözlerine şöyle devam etti: “Kurul’un bu karar özetini yayınlamadan önce yapması gereken şey, güvenli ülkeler listesini yayınlamaktır ya da ne zamana kadar yayınlamayacağına ilişkin bilgiyi kamuoyu ile paylaşmaktır. Hukukta edimini ifa etmeyen kişinin karşı taraftan edimini ifa etmesini beklemesi çoğu durumda mümkün değildir. Burada şirketler 6698 sayılı Kanun’dan önce aldıkları konumu değiştirip, sonra Kurul tarafından yeniden karar alındığında yeniden değiştirebilecek durumda değillerdir. Kurul’un firmaları daha fazla sıkıntıya sokmadan ve sorunu daha fazla derinleştirmeden güvenli ülkeler listesini yayınlaması gerekmektedir.”
4. Kararın özetinin ardından şirketlerin ne yapması gerekiyor?
Karar özeti her ne kadar onu yayınlayan KVK Kurumu’na yönelik güvenli ülkeler listesi yayınlama beklentisi doğursa da, bulut hizmeti veren yabancı hizmet sağlayıcıların da yapması gerekenler bulunuyor. Köksal’a göre, bulut hizmet sağlayıcıların sağlayıcılarının Türkiye pazarında kalmaya devam etmeleri için öncelikle 6698 sy. KVKK’ya uygun şekilde bir sözleşme ve dolayısıyla kuralları sunabiliyor olmaları gerekir. Böylece hizmeti alan kurum ya da şirkete KVKK’ya uygun gizlilik hukukuna göre hizmet alma imkanı doğmuş olacak. Üstelik bu şirketler GDPR’a uyum sağladıkları için KVKK’ya da uyum sağlayabilecek standartlara sahipler. Fakat ilgili yabancı şirketler ilginç bir şekilde 2016 nisan ayından bu yana konuyla ilgil ibir hazırlık yapmamışlardır.
KVK Kurumu ve bulut hizmeti sağlayıcıları arasında kalan şirketler ise karar özetinden sonra ne yapacakları konusunda uygun bir yol bulmak için çalışmaya başlamış durumdalar. Sektör, KVK kararının ekonomik krizde ayakta kalma savaşı veren firmalar için ciddi bir alt yapı değişikliği yapma zorunluluğu olarak dönmesinden korkuyor. Şirketlere önerisini sorduğumuz Mehmet Ali Köksal “Şirketlerimizin yapması gereken şey bir taraftan hizmet aldıkları servis sağlayıcıya başvuru yaparak Kurul’un talep ettiği taahhütnameyi imzalamasını talep etmek, diğer taraftan da Kurul’a başvurarak güvenli ülkeler listesini yayınlamasını talep etmek ve Kurum’un bu görevini ihlal etmeye devam etmesi durumunda konuyu basın veya diğer kanallar üzerinden gündeme getirmektir.” dedi.
5. Yanlış bilinen doğrular
Bulut hizmeti artık mümkün değil: Bu tür yorumlar doğru değil. Hem KVK Kurumu hem de bulut hizmet sağlayan şirketler gereklilikleri yerine getirmesi durumunda bulut hizmeti yasalara uygun şekilde devam eder.
Çalışanların açık rızası yeterli: Çalışanlarınızdan açık rıza almanız sadece çalışanların kişisel verilerinin yurtdışına aktarımı için geçerli olabilir. Oysa şirket operasyonlarıyla ilgili neredeyse bütün bilgiler, e-postadan geçmektedir.
Sadece e-posta hizmeti etkilenecek: Kurum’un kararı sadece e-posta ile sınırlı değil. Her türlü veri saklama, depolama ve yedekleme servisleri de yurtdışında alınıyorsa ve bu servisler içerisinde kişisel veri bulunuyorsa veriyi yurt dışına aktarmış kabul ediliyorsunuz.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Türkiye, üç kafadarın bir GSM şirketinin kurumsal şifresini ele geçirerek 50 milyon vatandaşın kimlik bilgilerini ele geçirdiğinin ortaya çıkması ile sarsılmıştı.
Türkiye tarihinin en büyük veri hırsızlığını ilk olarak ortaya çıkaran ve kolluk kuvvetleri ile şirketi uyaran İnvictus’un Yönetici Ortağı Koryak Uzan, Siber Bülten’e yaptığı özel açıklamada, bu veri hırsızlığını nasıl ortaya çıkardıklarını ve sonrasında yaşananları anlattı.
Haziran ayı ortasında haber ajansları, Türk polisinin Ankara’da yaptığı operasyonun ayrıntılarını paylaşması ile bu veri hırsızlığını halk da öğrenmiş oldu. Ancak bu veri hırsızlığını ilk olarak fark eden ve yetkili kurumları haberdar eden İnvictus’un bu veri hırsızlığından 11 Haziran’da zaten haberi olmuştu.
Siber Bülten’e konuşan Koryak Uzan, bu veri hırsızlığını Ulusal Siber Tehdit Ağı bünyesinde yürüttükleri faaliyetler ile fark ettiklerini söyledi.
“Temelde ‘haber alma’ üzerine sistemler geliştiriyoruz. Siber tehdit verilerinin el değiştirdiği – ki bu veriler siber saldırı araçları, teknikleri, ele geçirilmiş bilgi ve belgeler olabilir – tüm ortamları ya doğrudan takip ediyor ya da takip eden sistemler geliştiriyoruz. Çalıntı kredi kartları, banka hesapları, kritik kurumlara ait kullanıcı adı ve parolalar gibi doğrudan birer siber meta haline gelen öğelerin takibinde daha otomatikleştirilmiş araçlar geliştirebilir iken, bu röportaja konu olan vaka gibi özel durumları günlük İGK (İstihbari Gözetmele ve Keşif) faaliyetleri ile tespit ediyoruz” diyen Koryak Uzan, “Basit bir ifade ile siber saldırganların arasına sızıyor, durumu tespit ediyor, doğruluyor, analiz ediyor ve raporluyoruz” dedi.
VERİ SIZINTISININ BU KADAR KOLAY KABUL EDİLMESİNE ŞAŞIRDIM
Veri hırsızlığını ilk olarak şirkette keşif faaliyetlerini yürüten bir çalışanın fark ettiğini belirten Uzan, bunu öğrendiklerinde özel bir heyecan hissetmediğini söylemekle beraber, “Bu vaka özelinde temelde hissettiğim duygu şaşkınlık oldu. Şaşkınlığımın sebebi halen 2009 yılında sızan MERNİS veri tabanı sebebiyle 45 milyon vatandaşımız bin bir türlü data simsarı tarafından taciz edilmekte iken en az onun kadar önemli olan yeni bir sızıntının bu kadar kolay kabul ediliyor oluşu” dedi.
Bu veri hırsızlığını fark etmelerinin ardından gerekli yerleri bilgilendirdiklerini ancak sonrasına karışmadıklarını anlattı. Uzan, temel sorumluluklarının “USTA bünyesinde yer alan 40 farklı kritik altyapı üyesi kurum özelinde analiz yapmak” olduğunu kaydetti.
VERİLERİN HEPSİ GÜNCEL
İnvictus’un Yönetici Ortağı Koryak Uzan, üç kafadarın çaldığı bilgilerin hepsinin güncel olduğunu da sözlerine ekledi. Uzan, “Söz konusu veriler, tamamen güncel nüfus ve vatandaşlık verileridir. Her şey var desem, yanlış olmaz” dedi.
Polisin haziran ayı ortasındaki operasyonunda içerisinde yaklaşık 50 milyon vatandaşın kimlik bilgilerinin bulunduğu çok sayıda hard disk, laptop, flash bellek ve materyal ele geçirilmişti. Çalışmalar kapsamında, Mehmet Ali Sert adlı şüphelinin ele geçirdiği kimlik bilgilerini, para karşılığında sahte kimlik üreten, aynı zamanda banka ve kredi kartı dolandırıcılığı yapan kişilere sattığı tespit edilmişti.
Ayrıca, Sert’in tüm bankalar, TÜVTÜRK ve E-Devlet gibi kurumlara ait sahte siteler oluşturduğu ve ‘phishing’ yöntemiyle çok sayıda vatandaşı dolandırdığı belirlenmişti.
Siber Bülten’e konuşan Koryak Uzan, bu güncel verilerin nasıl kullanılacağının kişinin hayal gücüne bağlı olduğunu vurguladı.
“Buradaki kullanımı doğrudan kullanım ve dolaylı kullanım olarak ayırmak gerekir. Halen 2009’daki benzer sızıntı sebebi ile yaşanan sosyal mühendislik saldırıları ile her yıl, vatandaşlarımız milyonlarca lira zarara uğruyor. Hayatları kararıyor, isimlerine şirketler kuruluyor, krediler alınıyor, GSM hatlar çıkarılarak suç işleniyor. Bunlar, vatandaşlarımız adına veya aleyhine işlenen finansal suçlar ve adi dolandırıcılık vakaları.
Bir de, insanların güncel kimlik ve adreslerinin, asayişi ne ölçüde tehlikeye attığını düşündüğümüzde daha da tedirgin oluyoruz. Zira siyasi iklimi gergin bir ülkeyiz. Herkesin, her istediği kişinin her türlü kişisel ve iletişim verisine erişebildiğini hayal ettiğinizde durumu daha rahat anlayabiliyorsunuz. Şöyle ifade edeyim, bu durum, sosyal medyadaki bir paylaşımınızdan dolayı bilenen bir kimsenin kapınızda belirlemesinde de size karşı kullanılabilir, Allah’ın unuttuğu yerdeki termal otelin sizi 150 kere arayarak taciz etmesinde de. Sınırı yok.”
HERKESİN SAKİN OLMASI ÜLKEMİZE HAS
Koryak Uzan, dünyanın çeşitli yerlerinde bu tür sızıntılar yaşandığını, özel firmalar söz konusu olduğunda daha kötülerini de gördüklerini aktardı. Fakat ülkenin vatandaşlık idaresinin böylesine bir zafiyet içinde olduğunu ilk kez gördüklerini belirten Uzan, “Üstelik bu vakâ yaşandıktan sonra herkesin bu denli sakin kalması yalnızca ülkemizde gözlemlediğimiz bir husus.” diye konuştu.
İnsanların bu sakinliğine rağmen aslında Türklerin kişisel veri mahremiyet noktasında farkındalığının yüksek olduğunu da sözlerine ekleyen Koryak Uzan, İnsanların hassas olduğunu ancak bir şekilde bu verileri paylaşmaya “zorlandığını” da aktardı. Kimlik numarası vermeden kargo gönderilemediğini hatta bazı ofisler kimlik bırakarak içeri giremediğinize dikkat çekti. Uzan sözlerine şöyle devam etti:
“Vatandaş ne yapsın ki, kargo mu göndermesin, telefon mu kullanmasın? Yoksa vatandaşımız, bunların hepsini gönülsüz olarak yapıyor. Esasen, içten içe, buradaki tehditlerin farkındalar. Kaldı ki, her yıl, önümüzden, ‘on binlerce’ siber dolandırıcılık vâkası geçiyor. Bunların çoğu, vatandaşımızdan bilgi alan ancak bunu koruyamayan, çaldıran üçüncü partilerden sızıyor. Bu bilgiler ile desteklenen vâkalar olduğunda da, saldırganın başarı şansı çok artıyor.”
Koryak Uzan, Siber Bülten’e verdiği röportajda kamuda siber güvenliğe yaklaşımın farklılık gösterdiğine dikkat çekti. “Siber-miber diye birşeyler oluyor galiba?” diyenlerin de var olduğunu ancak bir yandan “kıyamet kadar kaynak ayrıldığını” da ifade etti. “Silahlı kuvvetlerimiz, kolluk kuvvetlerimiz veya Bankacılık Denetleme ve Düzenleme Kurumumuz (BDDK) gibi birçok mercinin de hakkını teslim etmeyi unutmayalım. Bu yapılarda da bu konuya verilen ehemmiyetten memnuniyet duyuyoruz” diye konuştu.
İNSAN KAYNAĞI HEBA OLUYOR
Uzan, devlet kademesindeki bu farklı yaklaşımlar varken insan kaynağının da çarçur edildiğini sözlerine ekledi:
“Kendini web uygulama güvenliğinde, ağ güvenliğinde, tersine mühendislikte geliştirmek için gece gündüz dolaşan, kamp-kamp gezen genç kardeşlerimizi KPSS’ye sokup soru çözdürüyoruz. İnsan kaynağımız müthiş. Lakin biz afili monitörler önünde poz-vereduralım, ecnebiler gelip, potansiyel sahibi genç dostlarımızı, asıl zenginliğimizi kapıp götürüyorlar.”
KVKK DÜZENLEMESİ DAHA AGRESİF UYGULANMALI
İnvictus’un Yönetici Ortağı Koryak Uzan, Kişisel Veri Koruma Kanunu’nun önemli bir adım olduğunu vurguladı. Yine de KVKK düzenlemesinin çağın biraz gerisinde kalmış olabileceğini de anlattı. “Zira artık doğrudan veri sorumlularını, işleyenleri, barındıranları doğrudan işaret etmek pek mümkün olmayabiliyor,” dedi.
Koryak Uzan bununla birlikte KVKK uygulamasının daha agresif olarak uygulanması taraftarı olduğunu kaydetti.
“Düşünsenize, adam size kaşla göz arası, 6 punto ile karınca duası gibi yazdığı metni imzalattığı için kendinde, size daha çok mal satıp zengin olacak, verinizi inanılmaz süreçlerde işleyecek ve işletecek hakkı buluyor; ancak bu esnada, kendi ihmalinden kaynaklanan sızıntılar da yanına kar kalabiliyor. Bu iş böyle olmaz, olmamalı. Sözgelimi, ‘GSM operatör ve bayiilerinden çalınan nüfus cüzdanlarına dikkat edin, BDDK bankacılıkta ne yapıyorsa, BTK’nın da GSM operatörleri için aynısını yapması lazım’ demekten dilimizde tüy bitti. Ancak bu tavsiyelerimiz pek karşılık bulmuyor.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
