Türkiye, üç kafadarın bir GSM şirketinin kurumsal şifresini ele geçirerek 50 milyon vatandaşın kimlik bilgilerini ele geçirdiğinin ortaya çıkması ile sarsılmıştı.

Türkiye tarihinin en büyük veri hırsızlığını ilk olarak ortaya çıkaran ve kolluk kuvvetleri ile şirketi uyaran İnvictus’un Yönetici Ortağı Koryak Uzan, Siber Bülten’e yaptığı özel açıklamada, bu veri hırsızlığını nasıl ortaya çıkardıklarını ve sonrasında yaşananları anlattı.

Haziran ayı ortasında haber ajansları, Türk polisinin Ankara’da yaptığı operasyonun ayrıntılarını paylaşması ile bu veri hırsızlığını halk da öğrenmiş oldu. Ancak bu veri hırsızlığını ilk olarak fark eden ve yetkili kurumları haberdar eden İnvictus’un bu veri hırsızlığından 11 Haziran’da zaten haberi olmuştu.

Siber Bülten’e konuşan Koryak Uzan, bu veri hırsızlığını Ulusal Siber Tehdit Ağı bünyesinde yürüttükleri faaliyetler ile fark ettiklerini söyledi.

“Temelde ‘haber alma’ üzerine sistemler geliştiriyoruz. Siber tehdit verilerinin el değiştirdiği – ki bu veriler siber saldırı araçları, teknikleri, ele geçirilmiş bilgi ve belgeler olabilir – tüm ortamları ya doğrudan takip ediyor ya da takip eden sistemler geliştiriyoruz. Çalıntı kredi kartları, banka hesapları,  kritik kurumlara ait kullanıcı adı ve parolalar gibi doğrudan birer siber meta haline gelen öğelerin takibinde daha otomatikleştirilmiş araçlar geliştirebilir iken, bu röportaja konu olan vaka gibi özel durumları günlük İGK (İstihbari Gözetmele ve Keşif) faaliyetleri ile tespit ediyoruz” diyen Koryak Uzan, “Basit bir ifade ile siber saldırganların arasına sızıyor, durumu tespit ediyor, doğruluyor, analiz ediyor ve raporluyoruz” dedi.

VERİ SIZINTISININ BU KADAR KOLAY KABUL EDİLMESİNE ŞAŞIRDIM

Veri hırsızlığını ilk olarak şirkette keşif faaliyetlerini yürüten bir çalışanın fark ettiğini belirten Uzan, bunu öğrendiklerinde özel bir heyecan hissetmediğini söylemekle beraber, “Bu vaka özelinde temelde hissettiğim duygu şaşkınlık oldu. Şaşkınlığımın sebebi halen 2009 yılında sızan MERNİS veri tabanı sebebiyle 45 milyon vatandaşımız bin bir türlü data simsarı tarafından taciz edilmekte iken en az onun kadar önemli olan yeni bir sızıntının bu kadar kolay kabul ediliyor oluşu” dedi.

Bu veri hırsızlığını fark etmelerinin ardından gerekli yerleri bilgilendirdiklerini ancak sonrasına karışmadıklarını anlattı. Uzan, temel sorumluluklarının “USTA bünyesinde yer alan 40 farklı kritik altyapı üyesi kurum özelinde analiz yapmak” olduğunu kaydetti.

VERİLERİN HEPSİ GÜNCEL

İnvictus’un Yönetici Ortağı Koryak Uzan, üç kafadarın çaldığı bilgilerin hepsinin güncel olduğunu da sözlerine ekledi. Uzan, “Söz konusu veriler, tamamen güncel nüfus ve vatandaşlık verileridir. Her şey var desem, yanlış olmaz” dedi.

Polisin haziran ayı ortasındaki operasyonunda içerisinde yaklaşık 50 milyon vatandaşın kimlik bilgilerinin bulunduğu çok sayıda hard disk, laptop, flash bellek ve materyal ele geçirilmişti. Çalışmalar kapsamında, Mehmet Ali Sert adlı şüphelinin ele geçirdiği kimlik bilgilerini, para karşılığında sahte kimlik üreten, aynı zamanda banka ve kredi kartı dolandırıcılığı yapan kişilere sattığı tespit edilmişti.

Ayrıca, Sert’in tüm bankalar, TÜVTÜRK ve E-Devlet gibi kurumlara ait sahte siteler oluşturduğu ve ‘phishing’ yöntemiyle çok sayıda vatandaşı dolandırdığı belirlenmişti.

Siber Bülten’e konuşan Koryak Uzan, bu güncel verilerin nasıl kullanılacağının kişinin hayal gücüne bağlı olduğunu vurguladı.

“Buradaki kullanımı doğrudan kullanım ve dolaylı kullanım olarak ayırmak gerekir. Halen 2009’daki benzer sızıntı sebebi ile yaşanan sosyal mühendislik saldırıları ile her yıl, vatandaşlarımız milyonlarca lira zarara uğruyor. Hayatları kararıyor, isimlerine şirketler kuruluyor, krediler alınıyor, GSM hatlar çıkarılarak suç işleniyor. Bunlar, vatandaşlarımız adına veya aleyhine işlenen finansal suçlar ve adi dolandırıcılık vakaları.

Bir de, insanların güncel kimlik ve adreslerinin, asayişi ne ölçüde tehlikeye attığını düşündüğümüzde daha da tedirgin oluyoruz. Zira siyasi iklimi gergin bir ülkeyiz. Herkesin, her istediği kişinin her türlü kişisel ve iletişim verisine erişebildiğini hayal ettiğinizde durumu daha rahat anlayabiliyorsunuz. Şöyle ifade edeyim, bu durum, sosyal medyadaki bir paylaşımınızdan dolayı bilenen bir kimsenin kapınızda belirlemesinde de size karşı kullanılabilir, Allah’ın unuttuğu yerdeki termal otelin sizi 150 kere arayarak taciz etmesinde de. Sınırı yok.”

HERKESİN SAKİN OLMASI ÜLKEMİZE HAS

Koryak Uzan, dünyanın çeşitli yerlerinde bu tür sızıntılar yaşandığını, özel firmalar söz konusu olduğunda daha kötülerini de gördüklerini aktardı. Fakat ülkenin vatandaşlık idaresinin böylesine bir zafiyet içinde olduğunu ilk kez gördüklerini belirten Uzan, “Üstelik bu vakâ yaşandıktan sonra herkesin bu denli sakin kalması yalnızca ülkemizde gözlemlediğimiz bir husus.” diye konuştu.

İnsanların bu sakinliğine rağmen aslında Türklerin kişisel veri mahremiyet noktasında farkındalığının yüksek olduğunu da sözlerine ekleyen Koryak Uzan, İnsanların hassas olduğunu ancak bir şekilde bu verileri paylaşmaya “zorlandığını” da aktardı. Kimlik numarası vermeden kargo gönderilemediğini hatta bazı ofisler kimlik bırakarak içeri giremediğinize dikkat çekti. Uzan sözlerine şöyle devam etti:

“Vatandaş ne yapsın ki, kargo mu göndermesin, telefon mu kullanmasın? Yoksa vatandaşımız, bunların hepsini gönülsüz olarak yapıyor. Esasen, içten içe, buradaki tehditlerin farkındalar. Kaldı ki, her yıl, önümüzden, ‘on binlerce’ siber dolandırıcılık vâkası geçiyor. Bunların çoğu, vatandaşımızdan bilgi alan ancak bunu koruyamayan, çaldıran üçüncü partilerden sızıyor. Bu bilgiler ile desteklenen vâkalar olduğunda da, saldırganın başarı şansı çok artıyor.”

Koryak Uzan, Siber Bülten’e verdiği röportajda kamuda siber güvenliğe yaklaşımın farklılık gösterdiğine dikkat çekti. “Siber-miber diye birşeyler oluyor galiba?” diyenlerin de var olduğunu ancak bir yandan “kıyamet kadar kaynak ayrıldığını” da ifade etti. “Silahlı kuvvetlerimiz, kolluk kuvvetlerimiz veya Bankacılık Denetleme ve Düzenleme Kurumumuz (BDDK) gibi birçok mercinin de hakkını teslim etmeyi unutmayalım. Bu yapılarda da bu konuya verilen ehemmiyetten memnuniyet duyuyoruz” diye konuştu.

İNSAN KAYNAĞI HEBA OLUYOR

Uzan, devlet kademesindeki bu farklı yaklaşımlar varken insan kaynağının da çarçur edildiğini sözlerine ekledi:

“Kendini web uygulama güvenliğinde, ağ güvenliğinde, tersine mühendislikte geliştirmek için gece gündüz dolaşan, kamp-kamp gezen genç kardeşlerimizi KPSS’ye sokup soru çözdürüyoruz. İnsan kaynağımız müthiş. Lakin biz afili monitörler önünde poz-vereduralım, ecnebiler gelip, potansiyel sahibi genç dostlarımızı, asıl zenginliğimizi kapıp götürüyorlar.”

KVKK DÜZENLEMESİ DAHA AGRESİF UYGULANMALI

İnvictus’un Yönetici Ortağı Koryak Uzan, Kişisel Veri Koruma Kanunu’nun önemli bir adım olduğunu vurguladı. Yine de KVKK düzenlemesinin çağın biraz gerisinde kalmış olabileceğini de anlattı. “Zira artık doğrudan veri sorumlularını, işleyenleri, barındıranları doğrudan işaret etmek pek mümkün olmayabiliyor,” dedi.

Koryak Uzan bununla birlikte KVKK uygulamasının daha agresif olarak uygulanması taraftarı olduğunu kaydetti.

“Düşünsenize, adam size kaşla göz arası, 6 punto ile karınca duası gibi yazdığı metni imzalattığı için kendinde, size daha çok mal satıp zengin olacak, verinizi inanılmaz süreçlerde işleyecek ve işletecek hakkı buluyor; ancak bu esnada, kendi ihmalinden kaynaklanan sızıntılar da yanına kar kalabiliyor. Bu iş böyle olmaz, olmamalı. Sözgelimi, ‘GSM operatör ve bayiilerinden çalınan nüfus cüzdanlarına dikkat edin, BDDK bankacılıkta ne yapıyorsa, BTK’nın da GSM operatörleri için aynısını yapması lazım’ demekten dilimizde tüy bitti. Ancak bu tavsiyelerimiz pek karşılık bulmuyor.”

 

Siber Bülten abone listesine kaydolmak için formu doldurunuz