Çok tatsız günler yaşıyoruz. Ülkeyi yönetmeyi beceremediği için bugünlerde adeta bir şikâyet duvarına dönen interneti susturmaya çalışan AKP, bir başka koldan da FETÖ tarzı uygulamaları kendisi sürdürüyor.
Nasıl derseniz, burayı tıklarsanız göreceğiniz gibi, BTK internet servis sağlayıcıların sunucularına girip, internet kullanan herkesin ne yaptığını anlamaya çalışıyor. Buradan aldığı bilgileri ise, geçen hafta CHP milletvekili Onursal Adıgüzel, duyurduğu bilgilerle birleştiriyor. Yani AKP ilk adımda nereye gittiğini, hangi siteye girdiğini tespit ettiği IP'lerin, ikinci adımda kime ait olduğunu, anne kızlık soyadından, eski telefonuna kadar her adımını ve bilgiyi bilmek istediğini gösterdi.
Boğaziçi Üniversitesi'ndeki olay, bunun daha ufak ölçekte bir örneği. Yani bu sefer meydana gelen olaya bakılınca, birileri Boğaziçili öğrenci, öğretmen, idari personelin ne yaptığını, kime mail attığını vs anlamaya çalışıyor gibi gözüküyor.
Olayın geçmişinden başlayalım;
2021 Ocak ayında Melih Bulu'nun nasıl yapıldığı anlaşılamayan rektörlük ataması yapıldı. Cumhurbaşkanlığı kararnamesiyle yapılan atamaya karşı, akademisyenler ve öğrenciler "#KayyımRektörİstemiyoruz" protestoları başladı. 500'ün üzerinde öğrenci gözaltına alındı. Arkasından işinden çıkarılan akademisyenler nedeniyle başlayan protestolar, 7 ay kadar sonra yerine o günlerdeki yardımcısı Naci İnci'nin atanması sonrasında da devam etti. Yılların akademisyenlerinin işten çıkarılmaları sürdürüldü. Seçilmiş dekanlar görevden alındı. Üniversite senatosunda yönetimi ele geçirmek için, yılların üniversitesi içine 2 tane yeni fakülte açıldı.
Ama rektör atamasını ve arkasından gelen hareketleri onaylamayan akademisyenler, kar-buz, yağmur demeden 1 buçuk yıldır rektörlüğün önünde, binaya arkalarını dönerek sessiz-barışçıl bir protesto sürdürüyorlar.
İleride bir gün “Şanlı Boğaziçi direnişi” diye hatırlayacağımız bu protestoyu okul yönetimi durduramıyor. Geniş bir katılım var ve protestocular vazgeçmiyor.
Bunun üzerine acaba yeni bir yol mu düşündüler? Çünkü birden tuhaf bir şey oldu. Gizli bir ihale ile ve “6698 sayılı Kişisel Verilerin Korunması Kanunu'”na rağmen, bir özel firmaya Boğaziçi Üniversitesi'nin akademik ve idari personelin, öğrencilerin ve gelmiş geçmiş tüm mezunların kişisel bilgilerinin bulunduğu dört önemli veritabanına bu kişilerin bilgisi ve onayı olmaksızın erişim verdiler.
Bunun öncesinde, üniversitede bilişim alanında tecrübeli bu kadar çok profesör olmasına rağmen, kimseye sormadan bilgi işlem daire başkanı ataması yapılmış. Atanan kişinin eğitiminin ne olduğunu aradık, bulamadık. Gelen kişi acilen 2 kişiyi daha işe alıyor. Yukarıdaki hizmet alımından sonra yapılan gizli bir ihale sonucunda sadece danışman düzeyinde kalması ve bilgi işlem merkezine, güvenlik konusunda neler yapacağını bilgi olarak sağlaması gereken firma, tüm bilgi işlem sunucularına yönetici (root/admin) seviyesinde erişim talep ederek, herkesin verileri ötesinde Boğaziçi Üniversitesi'ndeki tüm iletişimi izleme, müdahale etme, daha doğrusu canı ne isterse yapma hakkı istiyor.
Neler olduğunu daha detaylı anlatalım;
Boğaziçi Üniversitesi Bilgi Teknoloji Kurulu'ndan habersiz ve herkesten gizli bilgi güvenliği ihalesi yapılmış
AKP'li siyasetçi ve bürokratların manevraları ileride çok incelenecek. Örneğin hukuku kullanarak, hukuka ya da en azından etik değerlere aykırı işler yapabiliyorlar. Boğaziçi Üniversitesi'ndeki olay şöyle;
- Boğaziçi Üniversitesinde bir bilgi işlem merkezi var
- Merkezin üstünde ve onu denetleyen ve yönlendiren "Boğaziçi Üniversitesi Bilgi Teknolojileri Kurulu (BTK)" ya da "BT üst kurulu" gibi 8 üyeden kurulu bir kurul var (aslında artık vardı dememiz lazım).
- Kişisel verilerin işlendiği, kamudaki tüm sunucular için --Cumhurbaşkanlığı Dijital Dönüşüm Ofisi talimatı nedeniyle-- 2022 sonuna kadar bilgi işlem merkezleri tarafından "Bilgi ve İletişim Güvenliği" sağlanmalı.
- Bilgi ve İletişim Güvenliği rastgele olmuyor. Dijital Dönüşüm Ofisi'nin "Bilgi ve İletişim Güvenliği Rehberi (BİGR)" mevcut.
- Bunu kendi başına yapan kurumlar yerine getirebilir. Ama kolaylık açısından danışman iyi bir şey olabilir. Boğaziçi Üniversitesi’nde de bu rehbere uyumluluk çalışması için bir danışman firma ihalesi yapılıyor. Ancak Boğaziçi Üniversitesi’nde bu danışman firma ihalesi "Açık ve rekabete uygun" bir şekilde yapılmıyor. Boğaziçi Üniversitesi’nin hizmet alımının 21(f) maddesiyle gizli ve davet usulü yapılıyor. Neden ki? Boğaziçi sunucularında askeri, gizli filan bir şey mi var?
İhaleyi nisan ayında işe giren daire başkanı yapmış
Bu arada ilginç olan şu; ihaleyi nisan başında işe alınan ve eğitiminin bilgisayar mühendisliği ile ilgili olduğunu --açık kaynaklardaki bilgilerden-- tespit edemediğimiz bir kişi olan Faruk Yakaryılmaz yapıyor. Yakaryılmaz Üsküdar Belediyesi’nden gelmiş. Basına yansıdığı kadarıyla, geçmişinde bir yargılama da mevcut [1].
15 Temmuz’da FETÖ’cülerin ilk gittikleri yerlerin bilişim-telekom şirketleri olduğunu tecrübe eden bir ülkede, "Boğaziçi Üniversitesi Rektörü Naci İnci, bilişim sektöründe adını sanını duymadığımız, eğitiminin ne olduğu belirsiz ve yargılaması olan bir kişiyi neden daire başkanı yapmış acaba?" diye düşünmeden edemedik.
Zaten gelir gelmez de, birisi Üsküdar Belediyesi'nden, diğeri daha önce Boğaziçi Üniversitesi'ne bir danışmanlık projesinde hizmet satan, iki kişiyi aynı haftalar içinde acilen işe alması, arkasından da ihaleyi acilen AKP'ye yakın olduğu kaydedilen Beyaz.net firmasına 700 bin TL bedelle vermesi ne kadar da ilginç.
Daha önce böyle ihaleler için hazırlanan teknik şartnameler, bilgi işlem müdürü ve idari personel tarafından ve ortak fikir paylaşımı ile yazılırken, bu ihaledeki şartname, merkezin yıllardır çalışan insanlarının dışında yazılmış ve nasıl yazıldığı belli değil. Üstelik bu şartnamenin üniversitenin bilgi teknolojileri kurulu üyeleri tarafından görülmesi bile sakıncalı görülüyor. Neden ki? Saklanan şey nedir?
Danışman firma veri alanlarına mı bakar, verinin kendisine mi?
Bu gizli ihale sonrası, sorumlu üst kurul olan üniversitenin Bilgi Teknolojileri Üst Kurulu, ne olup bittiğini anlamak için bilgi işlem merkezine geliyor ve bir firmaya kullanıcı onayı olmaksızın veritabanlarına erişim izni verildiğini, bir başka firmanın ise tüm sunucuların şifrelerini istediğini tespit ediyor.
Üstelik firma merkezden kendisinin verdiği SSL sertifikalarının yüklenmesini de istemiş. Şimdi buradaki olayları yeniden madde madde açalım;
- Kişisel Veriler 6698 sayılı kanun çerçevesinde gizlidir. İlgili kurum saklamakla yükümlüdür.
- Danışman firma, güvenliğin nasıl tesis edileceğini tanımlar. Verilere bakamaz. Veri tabanı şemalarını ister ama gerçek veriyi isteyemez.
- En azından o veri hangi kullanıcılara aitse her birinden teker teker açık rıza alınmalıdır. Bu noktada KİŞİSEL VERİLER KURULU'nu göreve davet etmek lazım.
- Üst kurul, "özel firmanın sunuculara erişim için şifre talep ettiğini" öğreniyor.
- Yanı sıra özel firmanın SSL sertifikalarla port replication yapılıp, sunuculardaki trafiğin başka sunuculara yönlendirilmesini istediği anlaşılıyor (bu herkesin ne yaptığını yani trafiği takip etmek ve kaydetmek anlamına geliyor)
Dışarıdan yeni gelmiş olan ve eğitiminin ne olduğu bile belirleyemediğimiz kişi yerine üniversitenin bilgili ve tecrübeli Bilgi Teknoloji Kurulu ile işbirliği yapıp, üniversitenin verilerini hep birlikte koruma yollarına bakması gereken rektör Naci İnci, bu noktadan sonra Bilgi Teknolojileri Kurulu'nu arayacağına, karşılıklı konuşacağına, sorun varsa anlatmak ya da neler olduğunu açıklamak yerine, kurulu lağvediyor. Neden ki?
Kurul üniversitenin bilgilerini korumak istemiş. Eğer hatalı işlemi varsa, hem üniversitenin üyelerinin, hem de ülkenin önemli bir üniversitesi konusunda endişe duyan bizlerin, kurulun yaptığı hatalı işlemin ne olduğunu öğrenme hakkı var. Bu hatalı işlem açıklanmaz ise soracağız; "Saklanacak bir şeyler mi var?"
Ya da diğer sorumuz şu; AKP'ye yakın olduğu bildirilen bir özel kurum ve Üsküdar Belediyesi'nden gelen kişiler, acaba Boğaziçi Üniversitesi'nin sunucularında "verilere bakmamaları gerekirken" erişim talep ederek, ne arıyorlar? Ne yapıyorlar?
Naci İnci'nin bu soruya da cevap vermesi gerekiyor; Boğaziçili akademisyen, öğrenci, idari personelin tek tek "açık rıza"sı alınmış mıdır?
Protestoları sona erdirmeyen, sürdüren akademisyenleri vazgeçirecek, durduracak bir şeyler mi arıyorlar?
Bu olayları Boğaziçi Üniversitesi’nden bir öğretim üyesi şöyle yorumluyor:
"Melih Bulu'nun yaptıkları bu kadar koymuyordu. Naci yıllardır tanıdığımız bir hoca. Yıllardır meğer yüzü bize gösterdiğinden çok farklıymış. Üniversiteye zarar vermek için saptıkları yolların hepsini anlatamıyoruz. Hele yapılan bir iş var ki duysanız inanmazsınız. Günün birinde ortaya çıkar, görürsünüz."
Bu konuyu takip ediyoruz. Öğrendikçe okuyucularımıza diğer gelişmeleri de anlatacağız.
[1] Boğaziçililerin bilgilerini erişime açan müdür rüşvet operasyonu şüphelisi çıktı