Siber Güvenlik konusu gündemimize adamakıllı girdi. Önce siber saldırılar ve sonra evvelki günden itibaren konuşulmaya başlanan “Anonymous EGM’yi Hackledi” haberi.
Peki neler oluyor? Bu yazının sonucunu baştan söyleyelim; vatandaş yani siber güvenliği olması gereken bizler, bu konunun farkında bile değiliz. Devlet ise bilişimden-teknolojiden anlamıyor. Neler olduğunun farkında bile değil.
EGM Hacklenme olayına bakmadan önce bir kısa notum var.
Şalteri kim kapattı?
Dün İstanbul’da IDC’nin Siber Güvenlik ile ilgili bir konferansı vardı. Toplantının son oturumunda “gözler kapalıyken görebilir misiniz?”, “soldan soldan geliyorlar” ya da “şalteri kim kapattı” ya da “para para para” fikirlerini ortaya koyan 14 kadar uzmanı dinledim.
Sorun o kadar ortada ki!! Bizler yani halk umarsız, devlet daha da umarsız. Bir avuç insan anlatmaya çalışıyor ama nefesleri yetmiyor. Büyük tehlike altındayız.
Mesela 31 Mart 2015’de Türkiye’nin elektrikleri kesildi. Peki neden? Bilen var mı? Daha açık soralım; bu bir siber saldırı mıydı? Genç mühendislerimizden birisi bunu sordu. Hatırlarsanız, daha elektrik kesintisinin 3’ncü saatinde biz de bunu soran bir yazı yayınlamıştık [1]. Peki o günden bugüne açıklama oldu mu?
Ama çuvaldızı da batıralım; bizler peşine düştük mü? Demokrasi sadece devletin yapacağı bir şey midir? Halkın bunda görevi yok mudur?
Tekrar yukarıdaki sonuca bakarsak, bizler, siber güvenlik için yeterli bilince ve sorgulamaya sahip değiliz. Devlet ise bu konunun farkında bile değil.
Gelin siber güvenlik konusunda içinde olduğumuz faciayı anlamak için son olayı gözden geçirelim..
Anonymous EGM’yi mi Hackledi? Yoksa zaten bu veriler orada, burada dolaşıyor mu? Ya trojan tehlikesi?
Hacker grubu Anonymous evvelki gün Emniyet Genel Müdürlüğünü (EGM) hacklediği şeklinde bir açıklama yaptı. Hackleme yapanlar iddialarını ispatlamak için internetin üzerindeki bir yerlerde hackledikleri verileri yayınlarlar. Anonymous da bu verileri yayınlamış durumda.
Asıl acaiplik şu; bu veriler yeni değil. Dosyalar eski tarihli. 2009 ya da 2013.
Nedenini aşağıda anlatmadan önce hatırlatalım; ismi üstünde, Anonymous’un kim olduğunu bilmiyoruz [2]. ABD’de aktivist olaylarda ortaya çıkan bir hacker grubu. Scientology ya da Tecavüzcü Rahiplerle ilgili olaylarda gösterdikleri tepki ile ünlü oldular. Bütün dünyada da bir nevi “sempati” ile karşılanan olaylar gerçekleştiriyorlar.
Dolayısıyla Anonymous’un ABD’deki asıl merkezi ya da kurucuları, bu olayı farkındalar mı? Bilemiyoruz. Belki de dil farkından olayı anlayamamış durumdalar. Çünkü bu olay yani bir ülke vatandaşlarının tüm kimlik verilerini yayınlamak Anonymous’un genel çizgisine yakışan türden bir olay değil.
Ayrıca, milyonlarca T.C. vatandaşının kişisel verilerini kapsadığı görülen dosyaları indirenler, sorgu ekranının kod hatası verdiğini söyleyerek sistemin çalışmadığı ve trojan yüklediği iddiasını da paylaştılar.
SGK verileri 65 milyon TL’ye Datamed’e nasıl sattı?
TBMM’de "Kişisel Verilerin Korunması Kanunu Tasarısı"nın görüşüldüğü bir dönemde ilginç bir olay yaşandı. CHP Grup Başkan Vekili Özgür Özel’in SGK’nin halkın kişisel verilerini 65 milyon TL’ye özel bir firmaya sattığı iddiası mahkeme kararıyla kesinleşti.
CHP Grup Başkan Vekili Özgür Özel bir süre önce, SGK’nin hastaların mahrem bilgilerini sattığına dair görüşmeler sırasında “SGK bu bilgileri eski ANAP milletvekili Burhan İsen’in Datamed adlı firmasına sattı. İlaç Takip Sistemi’ne bir doktor, ajan olarak yerleştirildi ve sistemdeki bilgiler çalındı. Dataları alan firma ilaç vurgununa yöneldi” demiş ve bu sözler üzerine Burhan İsen karalandığı iddiası ile, Ankara 11. Asliye Hukuk Mahkemesi’ne Özgür Özel aleyhine başvurmuş ve 50 bin TL manevi tazminat talep etmişti.
Özel, Burhan İsen’i değil SGK nezdinde yaşanan usulsüzlüğü dile getirdiğini belirtirken, mahkemeye sağlık Bakanı Mehmet Müezzinoğlu’nun ve dönemin Çalışma Bakanı Faruk Çelik’in ifadelerini, Sağlık Komisyonu tutanağını, bazı soru önergelerinin yanıtlarını ve İDM firmasından Türkiye’deki tüm eczacıların cep telefonlarına gönderilen SMS örneğini delil anlamında sundu.
İsen’in itirazı üzerine Özel, mahkemeye SGK Sayıştay Denetim Raporu’nu da sundu. Raporda, “Genel Sağlık Sigortası (GSS) verilerinin yasal dayanağı olmadan, ücret karşılığı üçüncü kişilerle paylaşıldığı, firmanın İsen’e ait Datamed olduğu” belirtiliyordu. Bu veriler sonrasında, mahkeme davanın reddi yönünde karar verdi.
Burada soru şu; bir devlet kurumu, vatandaşların kimlik verileri üzerinden nasıl para kazanabilir? Üstelik asıl yapması gereken bu verilerin korunması iken !!!
Anayasa Mahkemesi Türk Tabibler Birliği’nin başvurusunu haklı bulmuştu.
Aynı konuda bir başka haber de, Türk Tabibler Birliği'nin (TTB) Danıştay'da ve Anayasa Mahkemesinde açtıkları dava idi [3].
Dernek ve Türkiye Psikiyatri Derneği, Çalışma ve Sosyal Güvenlik Bakanlığı tarafından 11.07.2012 tarih ve 28350 sayılı Resmi Gazete'de yayımlanarak yürürlüğe konulan 'Genel Sağlık Sigortası Verilerinin Güvenliği ve Paylaşımına ilişkin Yönetmelik'in bazı maddelerinin yürütmesinin durdurulması ve iptali istemiyle dava açmışlardı. Danıştay 15. Dairesi de, Yönetmelik'in dayanak hükmünü oluşturan 5510 sayılı Sosyal Güvenlik ve Genel Sağlık Sigortası Kanunu'nun 78. maddesinin 1. ve 2. fıkralarının iptali istemiyle Anayasa Mahkemesi'ne başvurmuştu.
Anayasa Mahkemesi ise 23.5.2015 tarihli Resmi Gazete'de yayımlanan kararıyla, 5510 sayılı Yasa'nın 78. maddesinde geçen 'Sağlık bilgilerinin ne şekilde korunacağı, ulusal güvenlik nedeniyle sağlık bilgisi paylaşıma açılmayacak kişilerin tespiti ilgili bakanlıkların önerisi üzerine Bakanlıkça tespit edilir. (Ek cümle: 17/4/2008-5754/66 md.) Bu kişi ve grupların sağlık bilgilerinin nasıl tutulacağı ilgili kuruluşların görüşleri alınarak hazırlanacak yönetmelik ile düzenlenir.' ibaresini Anayasa'nın 20. maddesine aykırı bularak iptal etmişti.
Devlet Denetleme Kurulu tespitleri
Ayrıca, 2013 yılında Abdullah Gül'ün Cumhurbaşkanlığı döneminde, Devlet Denetleme Kurulu (DDK), bu konuya özel dikkat çeken bir tespit raporu yayınlamıştı [4] ki bu raporun işaret ettiği sorunların sonuçlarını görüyoruz.
DDK raporunda belirtilen çok husus var. Merak eden dipnottan linkine baksın ama konumuzla ilgili olan husus şu; DDK diyor ki, devlet kurumlarına yazılım kuran 3cü parti firmaların (mesela Microsoft’un temsilcisi olan firmanın) yetkisiz elemanları bile veri tabanlarına ulaşabiliyor.
Ya da Siyasi Partiler 50 milyon seçmenin tüm bilgilerine ulaşabiliyor. Rapordaki bilgiye göre, paylaşılan elektronik ortamdaki verilerin çoğaltılmasını ve başkalarıyla paylaşılmasını engelleyecek hiçbir mekanizma öngörülmemiş. Bu verileri alan partilerin bu verileri koruma yeterlilikleri ve almaları gereken önlemler konusunda da herhangi bir belirleme yapılmamış.
Kişisel Verilerin Gizliliği ile ilgili olarak, ikaz edici mahiyette 800+ sayfa ve 39 tespit ve öneri sunan 13 bölümlük raporda, 6 devlet kurumunda yani Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, Tapu ve Kadastro Genel Müdürlüğü, Gelir İdaresi başkanlığı, Sosyal Güvenlik Kurumu, Sağlık Bakanlığı, Adalet Bakanlığında yapılan denetimler sonucunda, tespit ve öneriler sunulmuş.
Veriler 3. parti yazılım firmalarından mı, SGK’dan mı?
Buradan hareketle, Anonymous’un yayınladığı veri tabanının eski tarihli olması, bize ya bir devlet kurumuna yazılım kuran 3cü partiden birilerinin, ya SGK’nın sattığı verilerin ya da benzer bir şekilde ulaşılan bilgiler olduğunu gösteriyor.
Zaten güvenlik sektöründeki insanları dinlerseniz onlar bu hacking olayı konusunda şöyle yorum yapıyor; “Düne kadar bu veriler DeepWeb’de el altından satılıyordu. Asıl sorulması gereken soru şu; şimdi birden ortaya çıkmasının anlamı nedir?“ Anlaşılan deepweb’de satılacağı kadar satıldı. Pazar kalmayınca bilmediğimiz bir amaçla ortaya sürüldü.
Bir başka husus; bu linkte trojan olma olasılığı. Uzmanlar çok net bir şey olmasa da bundan şüpheleniyor. Şirketlerin dikkatli olması lazım. Malum cryptolocker’cılar*** her yolu deniyor.
Kişisel veriler neden ortada? Nerede bu devlet?
Bu olayda asıl sorulması gereken soru şu; Kişisel veriler neden ortada geziyor. Devletin görevi, bizden aldığı bu verileri saklamak, güvende tutmak değil midir?
Ama başta yazdığımız gibi, devlet “siber güvenlik” olayının ve “verileri koruması” gerektiğinin farkında değil. Hatta bundan para kazanmayı normal görüyor.
Bilgi Teknolojileri ve İletişim Kurumu (BTK) diye bir kurumumuz var ama kendilerinin telekom firmalarından % alarak yarattıkları ciroyu hazineye devretmeleri dışında bir şey yaptıklarını, hele “bilgi” ve “veri” yani bilişim teknolojileri konusunda işlem yaptıklarını görebilmiş değiliz.
Devletin bu konunun önemini biran önce anlaması lazım. Ama belki de geç kaldı bile.
Şimdiye kadar bu veriler ortada dolaştı, alındı, satıldı ve de... ne bundan korkması gereken bizler, ne de bunu korumak zorunda olan devlet farkında olmadı.
“Kime satıldı?” diyorsanız, genellikle bize bir şeyler satmaya çalışan firmalara satıldı. Bu nedenle belki önemli bir sıkıntı yaşamadık. Ama şimdi internete açıkca konulması, örneğin hesabınıza kredi kartı çıkarılmasına sebeb olabilir.
Zaten çıkmış olan veriler sayesinde, aylardır “telefon hırsızlığı” denen olayla başetmeye çalışıyoruz. Telefon hırsızlarının başarılı olmasının temelinde, bu verilerin çalınmış olmasının ve telefonda gayet inandırıcı bir şekilde sizinle ilgili verilerin verilmesinin büyük payı var.
Kişisel verilerin ortalığa saçılmış olmasından neden korkmamız gerektiğini, Amerika’lıların “kimlik hırsızlığı” ile ilgili kurgu ya da yaşanmış olayları anlatan filmlerine bakarak anlayabilirsiniz ama aşağıda biraz daha açıklayalım.
Kişisel verilerin çalınması neye yol açar?
Kişisel verilerin çalınması pek çok soruna yolaçabilir. Bunlar arasında banka işlemleri, sahte pasaport çıkartmak, üstüne olan ev tapularının vs el değiştirmesi gibi pek çok sıkıntı eskiden de yaşandı. Bugün toplu çalınmaların yolaçabileceği başka sorunlar da olabiliyor.
Konuyla ilgili görüşlerini sorduğumuz Avukat Gökhan Ahi şunları söyledi:
“Görüştüğüm bir çok kişi, Emniyet’ten hacklendiği iddia edilen verilerin eski olduğunu doğruluyor. Bu verilerin eski veya yeni olması konunun ciddiyetini ve önemini ortadan kaldırmaz. Veri yine benim verim, yine benim kimlik bilgilerim. Ancak bizler, verilerin eski mi yeni mi, emniyetten mi yoksa SGK’dan mı ele geçirildiği yönünde magazinel tartışmalar yaparak vakit geçiriyoruz. Esas sorulması gereken, bu kadar kişisel verinin devlet kurumlarında nasıl tutulduğu, ne kadar süreyle tutulduğu ve ne amaçla tutulduğudur.
Eski yeni farketmez, bu bilgilerle kredi kartı çıkarılabilir, e-devlet şifreleri alınabilir, vekalet çıkarılabilir, şirket bile kurulabilir. Bırakın devlette tutulan verileri, plaza güvenliklerine bırakılan kimlikler, telefon bayilerine veya kurslara verilen kimlik fotokopileri bile çok ciddi riskler içeriyor, ama kimse bunun farkında değil. Kişisel veriler konusunu sadece kimlik bilgilerine indirgememek lazım, hakkımızda bir çok kişisel veri bizden habersiz işleniyor ve karşımıza nasıl çıkacağı bilinemiyor.
Halen kişisel veriler kanunumuz yok, her yıl çıkacak diye bekliyoruz ama çıkmadı. Ayrıca sosyal ağlar çok gelişti, akıllı kartlar ve ödeme sistemleri çeşitleri çoğalıyor, beacon’lar yayılıyor ve kişiselleştirilmiş reklam araçları nerdeyse hayatımızı biliyor, sağlık hizmetleri tamamen elektronik ortamda, esas en mahrem kişisel veriler bu alanlarda. Kişisel veriler kanunu çıksa bile, teknoloji karşısında çoktan eskidi bile. Kişisel veriler kanunu ne yazık ki, yeni teknolojileri kapsayacak güçte ve yeterlilikte değil.”
Gördüğünüz gibi, bütün dünya "kimlik hırsızlığı" konusunda çalkalanırken, bizim ülkemizde, bu kimliklerin bizzat devlet tarafından korunamaması ve hatta daha kötüsü satılması gibi sorunlarla karşı karşıyayız. Anonymous muhtemelen bir yerlerden ele geçirdiği bu veri tabanı ile adeta bizimle alay ediyor. Yani itibarımızla oynuyor.
*** Cryptolocker, şirketlerin başına bela olan “Şifre Trojanı” olarak bilinen trojan. Özellikle muhasebe verilerinin tutulduğu bilgisayarlara sızarak verileri kilitleyen ve açmak için fidye istenilmesine yol açan trojan.