Gündem

"Çalınan kimlik bilgilerinin 2010 yılından beri satıldığını biliyorduk"

EDAM Başkanı Sinan Ülgen: Siber güvenlik konularında adım atmak zorunda kalacağımız çok açık

11 Nisan 2016 11:17

50 milyona yakın Türkiye Cumhuriyeti vatandaşının kişisel bilgilerinin yer aldığı bir veri tabanının, bilgisayar korsanları tarafından internete yüklenmesine ilişkin Türkiye'nin siber güvenlik zafiyetine dikkat çeken düşünce kuruluşu EDAM'ın başkanı Sinan Ülgen, Türkiye'nin kişisel verilerin korunmasındaki açıklara dair 'devekuşu polikisı' izlediğini söyleyerek, "Bence çok iyi oldu. Daha eski tarihli seçmen kütüklerinden çekilen bu bilgilerin aslında en azından 2010 yılından bu yana el altından satıldığını biliyorduk." dedi.

Ülgen'e göre kişisel verilen korunmasındaki açıkların olması ve bilgilerin internete yüklenmesi "Hayırlı oldu". Nedeni de  devletin belki sonunda tedbir almak zorunda kalacak olması. Ülgen’e göre hepimiz mahremiyetimizin kalmadığı varsayımıyla yaşamak durumundayız. Ülgen'in dikkat çektiği en önemli konu da hiçbirimizin mahremiyetimiyetinin kalmadığı ve bu durum ile yaşamak zorunda olduğumuz.

Hürriyet'ten Cansu Çamlıbel'in sorularını yanıtlayan Sinan Ülgen'in cevapları şöyle:

Siber güvenlik üzerine çok kafa yoran ve teknik detaylara vakıf olan biri olarak Türkiye’deki 48 milyon kişinin kimlik bilgilerinin internette yayınlanmasını nasıl karşıladınız?

Bence çok iyi oldu. Daha eski tarihli seçmen kütüklerinden çekilen bu bilgilerin aslında en azından 2010 yılından bu yana el altından satıldığını biliyorduk. Dolayısıyla zaten kötü niyetli kişiler arzu ettikleri takdirde bu bilgilere erişebiliyordu. Ama devlet sanki böyle bir risk oluşmamış gibi davranıyordu. Şimdi bu bilgilerin internete yüklenmesi ile artık devekuşu politikasını sürdürme olanağı kalmadı. Nihayet bu meseleyi açıkça konuşabilir hale geldik. Konunun kamuoyunun gündemine bu şekilde girmesi siyaseti de zorladı. Yapılan ilk açıklamalardan kamu içinde dahi veri mahremiyeti ve siber güvenlik konularının yeterince olgunlaşmadığını görmek mümkün. Önce bu veriler eski dendi, ardından bu verilerin bu şekilde herkesin erişimine açık olmasının bir risk oluşturmayacağı söylendi. Ama sonrasında savcılar harekete geçerek bir soruşturma başlattılar. Kişisel verilerin korunması ve daha genel anlamda siber güvenlik konularında adım atmak zorunda kalacağımız açık. Ancak bunun olabilmesi için bu alandaki zafiyetimiz konusunda bir bilincin oluşması gerekiyordu. Son olay bunu sağladı. Bu yüzden çok iyi oldu diyorum.

Tam olarak netleştirmek için soruyorum; bu bilgiler aslında eski tarihli mi? Bir de ‘el atından satıldığını biliyorduk’ ne demek? Kim kime satıyordu?

Bilgiler eski tarihli. Çok muhtemelen 2008 yılına ait seçmen kayıtlarından alınmış. Zaten o yüzden o zaman 18 yaşında ve dolayısıyla bugün 26 yaşından küçüklerin bilgileri bu kayıtlarda yok. Ama bu meselenin vahametini ortadan kaldırmıyor. Sonuçta TC kimlik numaranız aynı. Anne-baba adınızın da doğumdan sonra değişmesi pek kolay değil takdir edersiniz ki. Bu kayıtların DVD’ye çekilmiş nüshalarının bedel karşılığı satıldığını biliyoruz. Geçmişte aracıların bu bilgileri özellikle adres bilgilerinin de bulunması nedeniyle icra takip işlemlerini kolaylaştıracağı düşüncesiyle avukatlık ofislerine satmak istedikleri haberleri yer almıştı.

Veri tabanının ele geçiren bilgisayar korsanlarının kullandığı bilgisayar sunucularının Romanya’da göründüğü, verilerin yüklendiği internet sitesinin web alanının ise İzlanda’dan alındığı belirlenmiş. Bunlar kimin yaptığını tespit etmek açısından önemli izler mi? Korsanlar hedef şaşırtmaya çalışmış olamaz mı?

Bunlar yalnızca incelemenin ilk adımında erişilecek olan adresler. Çok amatör değillerse korsanların gerçek konumlarını saklayabilecek önlemleri aldıklarını düşünmek gerekir. Zaten siber suçlarla ilgili mücadelenin en zor halkasını da bu sanal takip süreci oluşturuyor. Bağlantıyı sonuna kadar takip edebilmek hiç de kolay değil. Üstelik zaman alıcı bir işlem.

Hükümete yakın bazı yazarlar Panama Belgeleri’nin bazı ülkelerde siyaseti dizayn için sızdırıldığını iddia ederken Türkiye’deki kimlik bilgilerinin de benzer saiklerle devletin içindeki birtakım odaklar tarafından sızdırılmış olabileceğini ima ettiler. Olabilir mi? Sizde bu olayın yabancı bir istihbarat kurumuyla bağlantılı olabileceği şüphesi var mı?

Hayır, çünkü ifade ettiğim üzere bu bilgiler daha 2010 yılında sızmıştı. Yalnızca bu bilgilerin internete yüklenmesi yeni bir işlem. Aslında bunu söylemek bile kolay değil. Zira bu bilgilerin “dark web” olarak adlandırılan ve arama motorlarıyla ulaşılamayan internetin saklı köşelerinde ticaretinin zaten yapılmakta olduğunu söyleyenler var. Belki sızıntının kaynağını öğrenemeyeceğiz ama internete yüklemeyi kim yaptı, ne için yaptı, bunu ancak sanal dünyadaki iz takibi başarılı olursa öğrenebileceğiz. Tabi önümüzdeki günlerde Türkiye’de de aktif olduğunu bildiğimiz Anonymous veya RedHack gibi gruplar bu sorumluluğu üstlenmezlerse.

Bu sızıntının tam da Türkiye’de ‘Kişisel Verilerin Korunması Yasası’nın kabulü sırasında olması tesadüf mü?

Bence tesadüf. Evet ilgili yasa daha geçtiğimiz perşembe günü Resmi Gazete’de yayınlanarak yürürlüğe girdi. Ama zamanlaması daha ziyade AB ile üzerinde anlaşmaya varılan mülteci paketinin en önemli unsurlarından biri olan vize muafiyeti ile ilgili. AB standardında bir ‘Kişisel Verilerin Korunması’ mevzuatının çıkarılması bu vize muafiyeti için Türkiye’nin yerine getirmesi gereken 72 önşarttan biriydi. Haziran ayında vize muafiyetinin karara bağlanması öngörüldüğünden, bu önşartı şimdiden yerine getirmek gerekiyordu.

Yasanın yürürlüğe girmesi ile bu önemli önşart yerine geldi mi yani?

Açıkçası belli değil. Nedeni de yasanın hâlâ AB mevzuatı ile uyumlu olmayan veçhelerinin bulunması. Taslak kanuna AB’nin en önemli itirazı, kişisel verilerin korunmasında ortaya çıkacak ihlalleri denetleyecek Veri Koruma Kurulu’nun hükümetten bağımsızlığıyla ilgiliydi. Zira ilk taslakta kurul üyelerinin Bakanlar Kurulu ve Cumhurbaşkanlığı tarafından atanacağı belirtiliyordu. Ama genel kurulda yapılan bir değişiklikle Veri Koruma Kurulu için RTÜK’e benzer bir model benimsendi. 9 üyesinin 5’i parti kontenjanlarına göre Meclis tarafından, 2’si Bakanlar Kurulu, 2’si de Cumhurbaşkanı tarafından atanacak. Bu haliyle biraz daha bağımsız bir nitelik kazandı diyebiliriz Veri Koruma Kurulu için.

AB’nin yasanın içeriği ile ilgili olarak bir diğer itirazı daha vardı. O da emniyet ve istihbarat kuruluşlarına tanınan istisnalarla ilgili. Yasa, ulusal güvenlik, kamu düzeni ve hatta ekonomik güvenlik gibi gerekçelerle ilgili kamu kurumlarına kişisel verilere erişim hakkı veriyor. Şimdi bu istisna aslında birçok Avrupa ülkesinde var. Ama aradaki fark orada bu tür kurumların kişisel verilere erişimlerine bir sınırlama getirilmiş olması. Yani bu kurumların ulusal güvenliği gerekçe göstererek kişisel verilere istedikleri zaman ve istedikleri ölçüde erişimleri mümkün değil. Zaten ABD ile AB arasında bu alanda son dönemde yaşanan gerilimin temel kaynağı da bu. AB, ABD istihbaratının AB vatandaşlarının kişisel bilgilerine izinsiz erişim elde ettiğini gerekçe göstererek AB vatandaşlarının kişisel bilgilerinin ABD’ye aktarılmasını yasakladı. Snowden’ın başta NSA olmak üzere Amerikan istihbarat teşkilatlarının yürüttüğü geniş çaplı elektronik dinleme ve veri toplama düzeneğini ifşa etmiş olması AB ülkelerinde bu tepkinin oluşmasına neden oldu. En sonunda geçtiğimiz aralık ayında AB ile ABD adına Güvenlik Kalkanı (Privacy Shield) denilen yeni bir anlaşma üzerinde mutabakat sağladılar.

Ne anlama geliyor ‘Güvenlik Kalkanı’?

ABD, istihbarat teşkilatlarının kişisel verilere erişimini sınırlama ve daha şeffaf bir denetime tabi tutma yükümlüğünü üstlendi. ABD’den bunu talep eden AB’nin Türkiye’den de benzer bir taahhüt istemesi sürpriz olmaz. Tabi aslında bu konu özünde demokratik toplumlarda istihbarat ve güvenlik kurumlarının faaliyetlerinin ne şekilde denetleneceği ile ilgili. Türkiye’deki mevcut durumun şu anda AB standartlarından oldukça uzak olduğunu ifade etmek lazım. Güvenlik ve istihbarat kuruluşlarının elektronik dinleme ve veri toplama faaliyetlerinin bu şekilde kurallarla bağlı ve şeffaf bir denetime tabi tutulduğunu söylemek zor. Bu nedenle de AB’nin çıkan yasayı kendi kriterlerine uygun bulup bulmayacağı hâlâ belirsiz kanaatimce.

 

Kişisel Verilerin Korunması Yasası hayatımızı nasıl etkileyecek?

Yasada bazı istisnalar olmakla birlikte, bundan böyle kişisel verileri toplayan ve işleyen kurumlara bu verileri üçüncü taraflarla paylaşmama yükümlüğü getirildi. Bu yükümlülüklerini ihlal etmeleri durumunda ağır cezalarla da karşı karşıya kalacaklar. Kişisel verisinin korunmadığını düşünen vatandaşlarımız da öncelikle ilgili şirkete ardından da Veri Koruma Kuruluna şikâyette bulunabilecek, itirazı haklı görülürse tazminat da elde edebilecek. Öte yandan bu yasanın ulusal ekonomiyi de etkileyen bir boyutu var. Bu kurallardan bugüne kadar Türkiye’de topladıkları kişisel verileri yurtdışındaki veri merkezlerine gönderen çokuluslu şirketler de yakından etkilenecek. Ki bu şirketlerin bazıları bütün iş modellerini bu tip kişisel verilerin bir araya getirildiği bulut teknolojilerine dayandırmış durumdalar. Bundan böyle bu verilerin yurtdışına transferi de bazı kurallara bağlı olarak gerçekleşebilecek. Ama Türkiye’nin bu nitelikte bir yasa çıkarmış olması, Türk şirketlerinin Avrupa’daki faaliyetlerinden topladıkları müşteri bilgilerini Türkiye’ye taşımalarına da izin verecek. Bugüne kadar bu mümkün değildi zira AB Türkiye’yi kişisel veriler bakımından güvenli bir ülke olarak görmüyordu. 

Sonuçta bu yasanın çıkması ile kişisel verilerimiz yeterince korunmuş oluyor mu?


Hayır. Bu bir ilk adım. Ama hiçbir şekilde yeterli değil. Meseleyi aslında daha geniş bir perspektiften ele almak lazım. Konu daha ziyade siber güvenlik ile ilgili. Yani ülkemizin siber güvenlik ile ilgili yasal, idari ve kurumsal altyapısını çok daha güçlendirmesi lazım. Yoksa bu tip sızıntılarla daha çok karşılaşabiliriz.

Siber güvenlik derken ne anlamamız gerekiyor?

Siber güvenlik çağımızın belki de artık ortadan kaldırılması imkânsız hale gelmiş bir teknolojik riskine işaret ediyor. Elektronik iletişime ve internete bu derece bağımlı hale gelmiş toplumlarda siber güvenlik açıkları da ister istemez oluşmakta. Üstelik sayısallaşmanın artması ile bu kırılganlıklar da kaçınılmaz olarak artacak. Genel kural olarak sayısallaştırılan veya elektronik iletişime konu olan her türlü verinin üçüncü tarafların eline geçebileceği varsayımıyla hareket etmek lazım. Yani yazdığınız bir e-postanın veya bilgisayarınızda sakladığınız bir dosyanın mahremiyetinin kalmadığını bilmemiz gerekiyor. Bugün birçok devletin istedikleri takdirde bu bilgilere erişebilecek siber casusluk veya elektronik dinleme kapasitesi var. Ama çoğu zaman bu ihlaller bizim anlamadığımız, bilmediğimiz şekilde oluyor. Dolayısıyla pek de dert etmiyoruz. Ama gerçekler öyle değil. Aslında siber güvenliği tam olarak sağlamak mümkün değil. Düşünün ki bu alanda en ileride olan ABD bile birçok gizli bilgiyi internet üzerinden Çin’e kaptırmış durumda. Bunların içinde çok gizli tuttukları F-35 yeni nesil avcı uçağının tasarım bilgisinden, ABD kamu çalışanlarının bütün kişisel verilerine kadar birçok sanal hırsızlık olayı var.

Türkiye’de durum ne?

Tabi bazı ilerlemeler sağlandı ama yeterli değil. Belki de en önemli gelişme 2013 yılında bir Bakanlar Kurulu kararı ile Siber Güvenlik Kurulu’nun kurulmuş olması. Kurul, Türkiye için bir ‘Ulusal Güvenlik Stratejisi’ oluşturdu ve 2013-2014 yılına dair bir ‘Eylem Planı’ açıkladı. Buna göre siber saldırılara karşı daha dayanıklı kılınması gereken elektrik şebekesi gibi kritik altyapılar belirlendi ve bunun için ulusal düzeyde bir Siber Olaylara Müdahale Merkezi (SOME) oluşturuldu. Ama ‘Eylem Planı’nda açıklanan sektörel SOME’ler gibi birçok hedef hâlâ yerine gelmiş değil. Üstelik 2016 yılına geldik ama Eylem Planı hâlâ yenilenmedi. Öte yandan benim gördüğüm en büyük eksiklik siber güvenlik ile ilgili gerekli kamu-özel sektör ortaklığının henüz kurulamamış olması. Oysa ki daha güvenli bir siber dünya için özel sektörün kamu ile beraber hareket edebiliyor olması lazım. Siber saldırılara en etkin biçimde karşı koyabilmek ve saldırı kaynağını zamanında tanımlayabilmek için bu işbirliği şart.

Bugün Türkiye’de yaşayan bir yurttaş geçmişte devlet içindeki farklı birimlerim yasadışı toplu telefon dinleme örnekleri mevcutken ya da son olayda olduğu gibi kimlik bilgileri ortaya dökülmüşken mahreminin korunduğuna nasıl güvenebilir? Yoksa artık hepimiz her gün izleniyormuş gibi şeffaf yaşamaya alışmalı mıyız?

Bugünkü şartlarda güvenemeyiz. Bu yalnızca Türk devleti açısından geçerli değil, internet üzerinden geniş ölçekli izleme faaliyetleri sürdüren yabancı devletler açısından da öyle. İnternet küresel ölçekte bir şebeke. Bilgi paketleri, internet üzerinde seyahat ederken birçok ülkede bulunan server’lardan atlaya zıplaya adresine erişiyor. Yani İstanbul’da otururken yan mahalledeki bir arkadaşınıza mail attığınızda bu mesajın içeriği çok muhtemelen birkaç farklı ülkeye uğrayarak arkadaşınızın postakutusuna düşüyor. Bu nedenle de sizin mesajınızın içeriği farklı istihbarat örgütleri tarafından erişilebilir hale geliyor. Zaten biraz da bu nedenle son zamanlarda iletişimin şifrelenmesi ile ilgili bir tartışma başladı. Uçtan uca şifreleme sayesinde mahremiyetin daha iyi korunacağı düşünülüyor. Ama bu uygulamaya da terörle mücadeleyi zaafa uğratacağı endişesiyle devletler itiraz ediyor. Daha birkaç hafta önce Amerika’da, FBI ile Apple arasında bütün kamuoyuna yansıyan böyle bir tartışma başladı. FBI bir terör suçlusunun iPhone’undaki şifrelemenin kaldırılmasını istedi Apple’dan. Apple ise bunu bütün kullanıcılarının güvenliğini ve mahremiyetini tehlikeye atacak bir adım olarak gördüğü için itiraz etti. Anladığımız kadarıyla nihayetinde FBI meseleyi başka yollarla çözüme kavuşturdu.

 

Geçtiğimiz yıl haziran ayında ABD’nin kamu çalışanlarının bilgilerini tutan ‘Office of Personnel Management’ (OPM) 14 milyondan fazla kişinin verilerinin çalındığını açıkladı. Açıklama sonrasında sorumluluğu üstlenen OPM direktörü istifa etti. Ama ABD yönetimi işin ucunu bırakmadı. Yapılan incelemeler sonunda Çin devleti ile bağlantılı gördükleri bir hacker grubunu suçladılar. İş o kadar büyüdü ki kasım ayında ABD’yi ziyaret eden Çin lideri Şi Cinping’in Obama ile görüşmesinde temel konu siber güvenlik oldu. Görüşme sonrasında iki ülke birbirlerine karşı siber casusluk yapmayacaklarına dair bir anlaşma imzaladılar.

Kimdir?

1987 yılında ABD Virginia Üniversitesi’nden bilgisayar mühendisliği ve ekonomi dallarından mezun oldu. Brugge Avrupa Koleji’nde AB ekonomisi yüksek lisansından sonra girdiği Dışişleri Bakanlığı’nda 7 yıl çalıştı. 1992-1996 yılları arasında Brüksel’de AB nezdindeki Türkiye Daimi Temsilciliği’ndeki görevi sırasında ‘Gümrük Birliği’ni müzakere eden ekip içinde yer aldı. İstanbul Ekonomi Danışmanlık ortağı ve Ekonomi ve Dış Politika Araştırmalar Merkezi–EDAM başkanıdır. Ayrıca Carnegie Uluslararası Barış Vakfı Türkiye uzmanıdır. Başta International New York Times, Financial Times, Wall Street Journal, Project Syndicate, Le Figaro olmak üzere yabancı basında düzenli olarak yazıları yer almaktadır. NATO Savunma Koleji Akademik danışmanı olarak görev yapmış ayrıca NATO Genel Sekreteri Rasmussen’in 2015 Galler Zirvesi öncesi oluşturduğu uluslararası güvenlik uzmanları grubu içinde yer almıştır. “Siber Dünyayı Yönetmek” başlıklı kitabı ocak ayında Carnegie tarafından yayınlanmıştır.