İsrail istihbarat kurumlarından birinde 9 sene çalıştıktan sonra özel sektöre geçen ve Cybereason firmasında çalışan eski ajan Amit Serper meslekteki önemli bir prensibin “hiçbir şeye güvenmemek” olduğunu söyledi.
helpnetsecurity.com’a verdiği röportajda konuşan Cybereason’ın güvenlik araştırma birimi lideri Serper, “Son 15 yıldır güvenlik araştırmacısı olarak çeşitli görevlerde bulundum. İşletim sistemlerinin zafiyetlerini araştırmadan, istismar kodu geliştirmeye kadar birçok iş yaptım. Bu kadar yıl içerisinde öğrendiğim en büyük ders herşeye şüpheyle yaklaşmak gerektiği oldu” ifadelerini kullandı.
Eski İsrailli ajanın tüm cihazların hacklenebilir olduğuna dair yaptığı açıklama da dikkat çekiyor:
“Herşey gayret meselesi ve hiçbir şey imkânsız değil. İster ‘hacklenemez’ bir cihaz olsun, isterse çok karışık bir kötücül yazılım olsun yeterince çalıştıkça her şeyin üstesinden gelinir.”
Son dönemde IoT cihazları üzerine araştırmalarını yoğunlarştırdığını söyleyen Serper, geliştiricilerin güvenliğe çok az önem verdiklerini görünce ‘şoke olduğunu’ aktardı:
“Tek düşündükleri şey ürünü bir an önce geliştirip, ellerinden çıkartmak. Bunu gördükten sonra kendi şirketimdeki herkesi, finansçısından mühendisine kadar herkesin, güvenlik farkındalığına sahip olmasını kendime misyon edindim.”
Siber güvenlik sektörüne girmek isteyenlere tavsiyeler
Serper, siber güvenlik sektörüne girmeyi planlayanlara öncelikli olarak güvenliğin bir bütün olmadığını farklı alt disiplinlerden oluştuğunu hatırlatarak, mutlaka bir disiplin seçerek işe başlayın diyor. “Hangi disiplini seçerseniz seçin bunun hakkındaki tüm teknik bilgiyi silip süpürmeniz gerekli kabiliyetleri kazanmanız gerekiyor.”
“Güvenlik, başkalarına güvenlik hakkında yaptıklarının yanlış olduğunu söylemektir. Güvenlik uzmanları genelde şöyle düşünür: ‘Eğer bu benim anlayabileceğim kadar kolaysa, başkaları da bunu anlayabilir.’ Hayır, bu yanlış bir düşünce. Dolayısıyla mesajımızı doğru bir şekilde iletmek başkalarıyla başarılı bir şekilde çalışmanın anahtarı.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Microsoft’un bir hizmet sağlayıcısının bünyesinde çalışan çağrı destek yöneticisine ait kimlik bilgilerinin ele geçirilmesinden 1820 kişinin etkilendiği ortaya çıktı.
Kişisel Verileri Koruma Kurumu (KVKK) yaptığı yazılı açıklamada, veri sorumlusu sıfatını haiz olan Microsoft’un kuruma gönderdiği yazı ile ihlal bildirimi yaptığını belirtti. Bu yazıda, Microsoft’un bir hizmet sağlayıcısının bünyesinde çalışan çağrı destek yöneticisine ait kimlik bilgilerinin ele geçirildiği, bu yüzdenden de Microsoft ile bağı olmayan kişilerin Microsoft kullanıcılarının e-posta hesaplarındaki bilgilere erişebildiği belirtildi.
YÖNETİCİNİN BİLGİLERİNİ PAYLAŞMASI İHLALE YOL AÇTI
Yazıda, ilgili yöneticinin hesap bilgilerini kendisine bağlı 13 destek temsilcisiyle paylaştığının tespit edildiği, ihlalin de bu yöneticiye bağlı bu kişilerden birinin, e-dolandırıcılık saldırısına maruz kalması sonucu olabileceği gibi doğrudan bu kişilerden birisinin fiili sonucunda gerçekleşmiş olabileceği kaydedildi.
Microsoft, ihlalin tespitinin ardından hesap login bilgilerinin derhal sonlandırdığını ancak ihlalden etkilenen Türkiye’de yerleşik kişi sayısının tahmini 1.820 olduğu ifade etti.
Microsoft, “Bu yetkilendirilmemiş erişim neticesinde 01.01.2019 ve 28.03.2019 tarihleri arasında e-postaların veya eklerin içeriği hariç e-posta adresi, klasör adları, e-postaların konu satırları, iletişim kurulan diğer e-posta adreslerinin adına erişilmiş veya bu bilgilerin görüntülenmiş olabileceği” belirtildi. Ayrıca e-posta hesaplarının ekler de dahil içeriklerine yetkisiz kişiler tarafından erişilmiş olabileceği ifade edildi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Facebook, Google ve diğer mobil uygulamalar kullanıcıların verilerini toplarken bunlara karşı nasıl koyabileceğinizi merak ediyor musunuz? Şu 5 adımı takip ederek internetin hem keyfini sürebilir hem de veri güvenliğinizi korumuş olursunuz.
Facebook’un kendisi kullanıcıları hakkında hemen her şeyi biliyor. Sosyal ağ, coğrafi konumdan eğitim seviyesine, gelirden, kredi kartı bilgileri ve kıyafet tercihlerinize kadar 98 çeşit bilgi topluyor. Facebook, Google ve diğer birçok sosyal ağ için temel bilgi kaynağının cep telefonları olduğuna şüphe yok. Her zaman yanımızda taşıdığımız ve internete erişmek için kullandığımız akıllı telefonlar bu özellikleri itibariyle 21. yüzyılın en iyi izleme cihazı haline geldi ve kullanıcılar bilinçli bir şekilde attıkları her adımı 3. tarafların izlemesine izin vermiş oldu.
Peki neden bu şirketler veri topluyor?
Alışveriş merkezine adımınızı atar atmaz büyük indirimlerle ilgili SMS aldığınız oldu mu? Ya da yakınlarından geçtiğiniz restoranla ilgili reklamların aniden telefonunuzda belirdiği oldu mu? Bunlar asla birer tesadüf değil. Telefonlar hareketleriniz hakkında veriler iletiyor ve bu şekilde reklamlar tam zamanında ekranınıza düşüyor.
Telefonunuz coğrafi konumunuzu, internetteki gezinti geçmişinizi, alışveriş geçmişinizi, izlediğiniz filmleri aktarır ve tüm bunlar belirli zaman damgalarına bağlıdır. Kişi, bu bilgilere sahip olmakla bütün hareketlerinizi ayrıntılı olarak izleyebilir ve öğle yemeği için ne kadar zaman harcadığınızı, o öğle yemeğini nerede yediğinizi ve ne sipariş verdiğiniz gibi bilgilere sahip olabilir.
Kişisel bilgileri ele geçiren işletmeler, reklam aracını daha etkili bir şekilde kullanabilir. Yakın gelecekte neye ihtiyacınız olacağını tahmin edebilir, kullanıcıların davranışlarını analiz edebilir ve hizmetlerini iyileştirebilirler. Bir yandan, bu tür şeyler hayatı kolaylaştırırken, diğer yandan korunmasız hissetmemize yol açar.
Bu uygulamalar neden ücretsiz?
En popüler uygulamaların neden ücretsiz olduğunu hiç düşündünüz mü? Reklamlardan para kazanıyor olmaları bir gerçek. Ancak, reklam göstermeyen birçok ücretsiz uygulama da var ve pratikte çok daha popülerler. İşte bu tür uygulamaları kullanırken dikkatli olmakta fayda var.
Zira ücretsiz olmaları karşılığında kişisel bilgilerinizi topluyor olmaları muhtemel. Bu şu demek oluyor: Facebook, Google Mail, Google Fotoğraflar gibi “ücretsiz” hizmetler aslında ücretsiz değil. Bu tür hizmetlerin oluşumu ve desteklenmesi için büyük bir bedel ödemekteyiz: Kişisel verilerimiz. Dolayısıyla insanlar Google’ın müşterisi değil, Google’ın birer ürünü olduğunu anlamak durumunda.
Kullanıcılar çoğu zaman telefonlarına uygulama yüklerken, kullanım şartlarını bile okumazlar. Böylece uygulamalar tüm kişisel bilgilere erişebilir.
VPN: Girdiğiniz siteleri kayıt eder
Son zamanlarda, çok popüler hale gelen birçok ücretsiz VPN servisine ne demeli? Kısaca özetlemek gerekirse VPN, sizin ve ziyaret etmek istediğiniz web sitesi arasında bir katman, bir proxydir. Bir Netflix dizisi izlemek istediğinizi ancak uygulamanın ülkenizde yasaklı olduğunu varsayalım. Bir VPN servisinin yardımıyla, isteğiniz Netflix sunucularından veri isteyeceği Kaliforniya’da bir yere gider ve ardından size geri döner. Oldukça güvenli görünen bu durumun bazı tuzakları olduğuna şüphe yok. Bir VPN servisi bütün bunları bedavaya yapmaz. Tüm günlükleri tutarlar ve hangi siteleri ziyaret ettiğinizi bilirler.
Hackread.com’daki haberi kaleme alan David Balaban adlı kişi bu noktada harika diye bahsettiği bir uygulamadan örnek veriyor. Getcontact adlı uygulama isminizin arkadaşlarınızın rehberlerine nasıl yazıldığını bilmenizi sağlıyor. Çok özel bir bilgi içermeyen bu uygulama bir eğlenceden ibaret ancak uygulamayı geliştiren kişi, sizden aldığı tam yetki ile ‘kişiler’iniz hakkında bilgi toplama konusunda iyi bir iş çıkarmış durumda. Öyle ki, dilerse daha sonra bu cep telefonu numarası veri tabanını üçüncü taraflara satabilir. Bu şekilde, hiç kullanmadığınız taksi hizmetleri, indirimler hakkında size SMS uyarıları göndermiş olur.
Facebook seçimlerinizi etkiliyor
Facebook’ta ne kadar zaman geçirirseniz hakkınızda o kadar bilgi toplandığını unutmayın. Ve Google bu bilgileri 3. taraflara satar. Facebook hakkınızda çok şey bilir. Post okumaya ve gönderi paylaşmaya ne kadar zaman ayırdığınızı, linklere nasıl tıkladığınız ve nasıl iletişime geçtiğinizi bilir.
Facebook’un adının karıştığı skandaldan haberiniz vardır mutlaka. Şirketin tarihindeki en büyük veri sızıntısına ilişkin skandalda yaklaşık 50 milyon kullanıcıya ait bilgiler, ABD başkanlık seçimleri sırasında bir şirket tarafından siyasi propaganda için kullanılmıştı. Facebook, hakkınızda bilgi toplayıp bunları işlemek suretiyle gerekli haberleri okumanıza, ülkeyi yönetecek kişiyi seçmenize, değerler oluşturmanıza ve paranızı harcamanıza yardımcı olur. Veri analizi ve psikoloji insanlara çok şey yaptırabilir. Örneğin gereksiz ürünleri size sunmak suretiyle her yıl akıllı telefonunuzu değiştirmenize yol açabilir.
Google daha da kötü
Google’ın dünyadaki en geniş bilgi dizisini toplayan kuruluş olduğu kesin. Hatta muhtemelen CIA’dan daha fazlasını biliyor. Google’ın birçok uygun hizmeti ve kendine ait işletim sistemi bulunmakta: Android. Ayrıca Chrome, Takvim, Posta, Google Foto, Google Pay, vb. uygulamalarla hakkınızda büyük ve karmaşık veri dizileri topluyor.
Bugün Google, fotoğraflarınızı tarihe, yere ve hatta fotoğraftaki kişilere göre albümlere ayırabiliyor. Youtube ilginç videolar önerebiliyor. Gmail otomatik olarak diş hekimi randevunuz için hatırlatıcı oluşturabiliyor. Google Haritalar size yakınlarda iyi bir Tayland restoranı olduğunu söyleyebiliyor. Google Pay, sizi ödeme kartı bilgilerinizi tekrar tekrar girme zahmetinden kurtarıyor. Ve işin ilginç tarafı Google bunu tamamen sizin izninizle ve gizliliğe yer bırakmadan yapıyor.
Ayrıca Google her ne kadar bunu yapmaktan vazgeçeceğini iddia etse de her bir e-postayı analiz ediyor. Aksi halde, bir mesajı izlemeniz veya yanıtlamanız veya bununla ilgili bir hatırlatıcı oluşturmanızı önermesi nasıl mümkün olabilir?
Peki bütün bunlar arasında kendinizi nasıl korursunuz?
Modern teknolojilerin hakkınızda veri toplamasına izin vermemek için yapmanız gerekenler:
Asla ücretsiz ve doğrulanmamış hizmetlerden yararlanmayın.
Uçtan uca şifreleme kullanın. Bu özellik, bazı uygulamalarda, varsayılan ayar olarak devre dışıdır ve ayrı bir sohbet oluşturulması gerekir. Örneğin, Telegram’daki gizli sohbet.
Mümkün olduğunca az bilgi paylaşmak istiyorsanız, Google Chrome’u DuckDuckGo gibi diğer tarayıcılarla değiştirmeli ve asla Google hizmetlerine giriş yapmamalısınız.
Uygulamanın neye erişmek istediğini okumak önemlidir. Bazı uygulamalar sizi gerekli olduğuna ikna etmeye çalışabilir. Facebook Messenger, henüz arkadaşlarına eklemediğin kişileri bulmak için kişilere erişmeni isteyecek.
Günlük bazda ve özellkle halka açık Wi-Fi ağları ile VPN servislerini kullanmayın.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Avrupa Genel Veri Koruma Yönetmeliği (GDPR) 25 Mayıs 2018’dan bu yana yürürlükte.
8 aylık süreçte Avrupa çapında 95 binden fazla şikayet bildirildi. En büyük şikayet konusu ise telefon üzerinden yapılan pazarlama faaliyetleri oldu. En dikkat çekici ceza ise 50 milyon Euro ile Google’a kesildi.
Avrupa Genel Veri Koruma Yönetmeliği (General Data Protection Regulation – GDPR), Avrupa’da gizlilik yasalarında son 20 yıldır yapılan en önemli reform olarak öne çıkıyor. Yönetmelik ve ilgili uygulamalar, sadece Türkiye’de değil; ABD, Japonya ve Çin gibi ülkeler tarafından da dikkatle takip ediliyor.
GDPR Yönetmeliği, veri güvenliği ve şeffaflığın sağlanabilmesi için uç nokta güvenliği (antivirüs), yedekleme, iş sürekliliği (replikasyon), veri sınıflandırma, veri sızıntısı önleme (DLP), ağ güvenliği, şifreleme (encryption) gibi güvenlik ürünlerinin kullanılması öngörüyor. Bu nedenle GDPR ile ilgili gelişmeler, bilgi güvenliği kuruluşu ESET ve Avrupa’da bu yönde hizmet sağlayan tüm kuruluşlar tarafından da dikkatle izleniyor.
Şüpheli GDPR ihlalleri 95.000’den fazla şikayete neden oldu
Avrupa Komisyonu üyeleri, Mayıs 2018’de yürürlüğe giren yönetmelikle ilgili 8 aylık güncel verileri paylaştı. Buna göre, Avrupa Birliği vatandaşlarından, kişisel verilerin yanlış kullanıldığını bildiren 95 bin 180 şikayet alındığı duyuruldu.
Yetkililer genel olarak yeni gizlilik kurallarının olumlu etkilerine övgüde bulunarak, AB vatandaşlarının veri koruma ve diğer haklarının önemi konusunda daha bilinçli hale gelmelerinin yanı sıra, aynı zamanda bu haklarını kullandıklarını da belirttiler. Açıklamada “küresel bir standart haline gelen dünyadaki en güçlü ve en modern veri koruma kuralları” vurgusu yapıldı.
Telemarketing ve tanıtım amaçlı e-posta
Avrupa genelinde GDPR uygulamalarını denetleyen Avrupa Veri Koruma Kurulu (EDPB) tarafından hazırlanan verilere göre şikayetler çoğunlukla telefon üzerinden yapılan pazarlama faaliyetlerinden (tele pazarlama) geldi. Bunu, tanıtım amaçlı e-posta gönderimleri ve video kayıt gibi faaliyetler izledi.
Kurumlardan 41 bin şikayet
Sekiz aylık sürede kurumlar da veri sızıntılarıyla ilgili 41 bin 502 adet bildirimde bulundu. GDPR, kuruluşların herhangi bir sızıntı meydana geldikten sonra 72 saat içinde denetleyici kuruma (DPA) bu ihlali bildirmelerini zorunlu kılıyor.
255 soruşturma açıldı
Bununla birlikte, denetleyici kurumlar tarafından şüpheli GDPR ihlalleri hakkında 255 soruşturma açıldı. Üç davada cezaların verildiği bildirildi. En dikkat çekici ceza ise Fransız veri koruma kurumu CNIL’in, GDPR ihlalleri nedeniyle Google’a 50 milyon Euro para cezası vermesi oldu. Teknoloji devi, bu karara itiraz edeceğini duyurdu.
Bazı ülkelerde yerel kanunlar henüz uyumlu değil
Bunun dışında, Avrupa Birliği’nin yönetim kanadı tarafından aralarında Bulgaristan, Çek Cumhuriyeti, Portekiz, Slovenya ve Yunanistan’ın yer aldığı beş AB üyesi ülkenin henüz yerel kanunlarını GDPR gereksinimleriyle uyumlu hale getiremediklerine dikkat çekildi.
Konu Türk şirketlerini de ilgilendiriyor
GDPR, Avrupa Birliği içerisinde ya da dışında, AB vatandaşlarının verilerini toplayan veya bulunduran tüm firmaları, dolayısıyla Avrupa ile iş yapan Türk firmalarını da yakından ilgilendiriyor. Bu noktada GDPR ile ilgili önlemler konusunda ESET’in Türkçe olarak hazırladığı bir özel bilgilendirme sayfası da bulunuyor: https://www.eset.com/tr/business/kvkk/
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Teknolojik inovasyon hayatımızı hızlı şekilde değiştirmeye başladı. Özellikle robotik teknolojide yaşanan gelişme yakın bir gelecekte sosyal hayatımızda da hissedilecek. Endüstriyel alanda yoğun şekilde kullanılan robotlar artık hizmet sektörüne de destek sunmaya başladı. Örneğin, humanoid robot üretiminde önemli bir şirket olan Pal Robotics geceleri ürünleri kontrol etmek amacıyla mağazaların içinde gezen Stockbot’u fuarlarda görücüye çıkardı.
Yine önemli teknoloji şirketlerinden Oppent’in otonom araçları, hastanelerde çamaşırları ya da atık malzemeleri taşıyor, 100 yıllık geçmişi olan Yaskawa şirketinin Motoman robotu laboratuvar örnekleri hazırlıyor, Bristol merkezli OC Robotics nükleer santraller ya da uçak kanatlarının içi gibi tehlikeli noktalarda denetim yapması için yılan kollu robotlar üretiyor.
Fonksiyonlarının genişlemesi ve hizmet robotlarının çalışma ortamları nedeniyle güvenlik gereksinimleri de değişiyor ve karmaşıklaşıyor. Örneğin evin içinde internete bağlanabilen bir robotun kullanılması evin iç mekanının görüntülenebilmesinin yolunu açıyor. Bunlar saat kaçta eve gelip gittiğinizden kimlerle görüştüğünüze kadar hayatınıza dair tüm bilgileri kaydedebiliyor. Bu sayede kullanıcıların kişisel verilerine erişmenin de yolu açılmış oluyor.
Ayrıca yine internet bağlantısı sayesinde robota erişebilen kötü niyetli kişilerin ev sahibinin diğer birçok kişisel bilgisine ulaşması da söz konusu olabiliyor. Bu açıdan, tüketicilere yönelik makinelerde veri güvenliğinin de ön planda olması gerekiyor. Toplanan verilerin kime ait olacağı, hangi biometrik verilerin veya hangi verilerin sensör tarafından toplandığı, ne kadar veri toplandığı, bu verilerin nasıl kullanılacağı konularında şu an tam bir açıklık bulunmamaktadır. (S. Peppet, Regulating the Internet of Things: First Steps Toward Managing Discrimination, Privacy, Security, and Consent, sf.95)
Robotlar açısından hukuksal anlamda bu konuya uygulanabilecek doğrudan bir düzenleme bulunmuyor. Avrupa Birliği’nin düzenlemelerine ve Türkiye’deki uygulamalara bakıldığında bunlar söz konusu problemlere çözüm için fikir verebilir. AB’nin 2002/58/EC Direktifi’ne göre , genel olarak kötü amaçlı yazılım saldırısı gibi belirli riskler söz konusu olduğunda, hizmet sağlayıcı tarafından kişiler bilgilendirilmeli ve bilgilerinin gizliliği sağlanmalıdır. (kısım 4, md.1) Burada kişilerin temel hak ve özgürlüklerini koruma adına hizmet sağlayıcının da yükümlülüklerinin belirlenmesi gerekir.
Türkiye’de KVKK açısından bir değerlendirme yapıldığında veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri bulunmaktadır. Ancak söz konusu yapay zekaya sahip bir robot tarafından kaydedilen veriler olduğunda veri sorumlusu ve veri işleyenin belirlenmesi önemli sorun teşkil etmektedir. KVKK açısından veri sorumlusu, her hangi bir temsilci, sorumlu kişi anlamında değil, doğrudan ilgili gerçek kişi veya tüzel kişi olarak tanımlanmış durumdadır. Örneğin, bir anonim şirketin kendisi bu kanun anlamında tüzel kişi olarak veri sorumlusudur. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Her ne kadar kanunda gerçek kişi veya tüzel kişi olarak belirlenmişse de kendi başına karar alıp uygulayabilen yapay zekalı bir robotça işlenmiş kişisel veriler bakımından veri sorumlusu ve veriyi işleyen kavramlarının yeniden belirlenmesi gerekecektir.
Bu konuya dair düzenlenmiş kanunlar istisnalar getirse de kişisel veriler ilgili kişinin rızası olmaksızın işlenemez. Sosyal hayatta hizmet sektöründe kullanılan veya evimizde bulunan robotların kameralar ve internet bağlantısı yoluyla tam olarak hangi bilgilerimize eriştiğini fark edemeyebiliriz. Bu robotlarca toplanan kişisel verinin amacının dışında kullanılmaması gerekir. Yine AB’nin 2009/136/EC Direktifi’nde, kişisel veri ihlali durumunda hizmet sağlayıcının, kişilere gerekli önlemleri almaları için bildirimde bulunması, bu bildirimin ihlali gidermek için alınan önlemlerin yanı sıra ilgili kişiye tavsiyeler de içermesi gerektiği belirtilmektedir. ( md.61)
KVKK düzenlemesinde de veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve bunlara erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Yukarıda belirtilmiş olduğu gibi burada da kullanılan robotik teknoloji açısından yazılımcı ve üretici bakımından veri sorumlusu kavramının aydınlatılması gerekir.
Kişisel veriler ilgili kişinin açık rızası olmadan aktarılmamalıdır. Ancak özellikle bulut teknolojisinin robotlara uygulanmasıyla verilerin gizliliği ve güvenliği açısından daha büyük bir risk altına giriliyor. Robotların internet aracılığıyla aralarında veri transferi yapması kişisel verilerin aktarılması tehlikesini artırıyor. Bu noktada kişisel verilerin güvenliğinin sağlanması amacıyla örneğin, yetkisiz erişimi, kötücül kod dağıtımını önleme gibi tedbirler alınmalıdır. EU 2016/679 sayılı Tüzük’teki düzelemeye baktığımızda, veri güvenliği değerlendirilirken oluşabilecek maddi veya maddi olmayan zararlar nedeniyle kişisel veri işleme yoluyla oluşan risklere dikkat edilmesi vurgulanmaktadır. (md.49) KVKK’da da, kişisel verilerin üçüncü kişilere aktarılmasında ilgili kişinin açık rızası aranmaktadır. Ancak bir robotun hangi bilgileri kaydettiğini ve bu verileri hangi üçüncü kişilere, ne zaman aktardığını, sonrasında ise oluşabilecek zarardan sorumluluğu tespit şu an büyük bir belirsizlik yaratıyor.
Değinilmesi gereken başka bir nokta ise bireylerin kendilerine ait verilerin toplanmasına ve aktarılmasına önceden izin verip veremeyeceğidir. Robotta bulunan ve birtakım verileri kaydedeceğini bildiğimiz çipin aktif halde bulunmasını istemeyebiliriz. Burada karşımıza yeni bir hak çıkar “çipi etkisiz hale getirme hakkı”. Bu bir opt-out (vazgeçme/çekilme) usulüdür. Çip başlangıçta aktiftir, kullanıcı daha sonra çipi etkisiz hale getirebilmektedir. Bir başka usul ise opt-in(dahil olma)dir. Burada ise çip başta aktif değildir, kullanıcı aktif hale getirip getirmemeye karar verir.(Yrd. Doç. Dr. A. Ebru Bozkurt Yüksel, Nesnelerin İnternetinin Hukuki Yönden İncelenmesi, sf.123)
Kullanıcının bilgisi dahilinde olmadan, önceden yerleştirilmiş çiplerin veya eklentilerin kişilere ait özel nitelikli verileri, açık rıza olmaksızın işlemesi de bir yaptırımla düzenlenmelidir. Ayrıca kişiler, robot tarafından uygun olarak işlenmiş olan verilerin, unutulma hakkının bir karşılığı olarak, silinmesini isteme hakkına da sahip olmalıdır. İşlenmesini gerektiren veriler re’sen veya ilgili kişinin talebi üzerine anonim hale getirilebilir. Ancak evlerde kullanılan robotlar özel hayata dair en hassas bilgileri kaydedebildiğinden bu verilerin anonim hale getirilmesi de pek mümkün gözükmüyor.
Genel olarak, yapay zekalı robot teknolojisinin henüz gelişme aşamasında olduğunu söyleyebiliriz. Bu alanda bireylerin toplanan verilerinin nasıl kullanılacağı, gizliliğinin ve güvenliğinin nasıl sağlanacağı konusunda bir açıklık söz konu değil. KVKK ve ilgili yönetmeliğe bakıldığında, kişisel verilerin işlenmesinde uyulması gereken ilkeler, verilerin işlenme şartları, silinmesi, yok edilmesi ve anonim hale getirilmesi, aktarılması, kişilerin bilgilendirilmesi ve yükümlülükler gibi pek çok önemli nokta düzenlemiş olmakla birlikte kullanıcıların bilgilerinin gizliliği, genel veri korumasına dair AB ile uyumu sağlayan düzenlemelere ihtiyaç var. Şu aşamada robotik teknolojinin getirdiği sorunlara mevcut düzenlemelerin yorumlanması yoluyla çözüm üretilebilse de gelecekte yapay zekalı robotlara yönelik standartların belirlendiği özel düzenlemelerin yapılması gerekecektir.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
