Kişisel verilerimiz ortalığa saçılmış!

AKP hükümeti, kişisel verilerin korunmasına ilişkin yasayı çıkarmamakta ısrar ederken, Cumhurbaşkanlığı Devlet Denetleme Kurulu’nun raporu, vatandaşın kimlik, adalet, sağlık, vergi, sosyal güvenlik ve tapu alanındaki kişisel verilerini korumada son derece özensiz olduğunu ortaya koydu.

Abone ol

Cumhurbaşkanı Abdullah Gül’ün talimatıyla hazırlanan raporun sadece sonuç bölümü açıklandı. Raporda çarpıcı saptamalar yer alırken, hassas veri içeren sistemlere erişimde kolay tahmin edilen şifrelerin kullanıldığına dikkat çekildi. Raporda, kişisel verilerin bulunduğu bazı sistem odalarının ahşap ve asma kilit takılı kapılara sahip olduğu, hassas veri içeren sistemlerin 1111 gibi 4 haneli olarak şifrelendirildiği belirtildi.

68 milyon GSM abonesinin bilgileri ortada

Raporda hizmet veren özel şirketlerin kişisel verileri kolayca elde edebildiği tehlikesine işaret edilirken, seçmenler ile 68 milyon GSM abonesinin kişisel verilerinin de ortalıkta dolaştığı saptaması yapıldı.

Raporda, DDK’nın denetimde bulunduğu Adalet Bakanlığı, Sağlık Bakanlığı, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, Gelir İdaresi Başkanlığı, Sosyal Güvenlik Kurumu ile Tapu ve Kadastro Genel Müdürlüğü, vatandaşların kişisel verilerini koruma konusunda özensiz olmakla eleştirildi. Raporda kişisel verilerin korunması hakkının, temel insan hak ve özgürlükleri arasında yer aldığı ve insanın şahsiyetinin korunması, hukuk devleti ilkesi ve demokrasinin derinlik kazanması açısından hayati öneme sahip olduğu vurgulandı.

'İstedikleri gibi kullanabiliyorlar'

Raporda, “Denetimlerde, Türkiye’de pek çok kurumun bilgi sistemlerinin gerçek anlamda sahibi olmadığı, tüm vatandaşların verilerini tutan bazı omurga veri tabanlarında dahi bilgi sistemleri üzerinde en üst kontrol yetkisinin bilişim hizmeti alınan yüklenici firma personelinde olduğu görülmüştür. Bazı kurumlarda, hizmet alınan firmaların, bilgi sisteminin işletilmesi ve verilerin kullanımı, sorgu kayıtlarının tutulması ve benzeri konularda adeta sistemin sahibi gibi hareket edebildikleri ve herhangi bir sorgu kaydı olmaksızın sistemden veri çekebildikleri bizzat gözlemlenmiştir” değerlendirmesine de yer verildi.

CD ortamında muhafaza ediliyor

Raporda; denetim çalışmaları sırasında kamu kurumlarının sahip oldukları pek çok kişisel ve hassas veriyi CD, DVD, taşınabilir bellek gibi taşınabilir elektronik ortamlar kullanarak çevrimdışı paylaştıklarına dikkat çekilerek, “Çevrimiçi veri paylaşımında sorgu kayıtları aracılığı ile kontrol imkanı bulunmasına rağmen, çevrimdışı paylaşılan veriler üzerinde herhangi bir kontrol imkanı da kalmadığından, bu verilerin paylaşımına ilişkin gerekli güvenlik önlemlerinin alınması büyük önem taşımaktadır. Buna rağmen, bazı örneklerde milyonlarca kişinin kimlik ve adres bilgisinin bulunduğu bilgilerin şifrelenmeden, kopyalanmaya karşı herhangi bir güvenlik önlemi alınmadan CD ortamında iletildiği; söz konusu verilerin ilgili kurumda hangi güvenlik önlemleri alınarak muhafaza edileceği, bilgilere olan ihtiyacın ortadan kalkması durumunda taşınabilir elektronik ortamın ne şekilde imha edileceği gibi güvenlik hususunun belirlenmediği tespit edilmiştir” değerlendirmesi yapıldı.

'Sistem odalarının kapıları ahşaptan!'

Raporda öne çıkan saptamalar ve değerlendirmeler ise şöyle:

- Kurumdaki en kritik bilgilere dahi ulaşabilen bilişim hizmeti sunan firmalarla ve bunların çalışanları ile herhangi bir gizlilik sözleşmesi yapılmaması ve firma personelinin herhangi bir güvenlik araştırmasından geçirilmemesi.

- Kaynak kodu dâhil, bilgi sistemleri üzerindeki işlemlerin kayıtlarının (log) tutulmasında ciddi eksiklikler bulunması.

- Fiziki güvenlik konusunda ciddi eksikliklerin mevcudiyeti.

- Hassas veri içeren sistemlere erişimde kullanıcıların iki haneli sayısal şifre verebilmesi, 1111, 0000, 1234 gibi kolay tahmin edilebilir şifrelerin kullanılması.

- Bazı kurumların çağrı merkezinden sadece ad, soyad ve T.C. kimlik numarası beyan etmek suretiyle; maaş tutarları, kesintiye esas brüt ücret, gidilen sağlık kurumu, muayene olunan doktor, ilaç alınan eczane, alınan ilacın adı, ödenen katılım payı miktarı gibi birçok kişisel bilgiye ulaşılabilmesi.

- Kimlik Paylaşım Sistemi aracılığıyla özel ve kamu kesiminden kimlik bilgilerine ulaşabilecek kullanıcı sayısının bir milyonun üzerinde olduğu tahmin edilmesine rağmen, bu erişimlerin güvenliği konusunda verileri alan kurumların bir kısmında güçlü parola kullanılması gibi güvenlik önlemlerinin alınmamış olması.

- Çeşitli kuruluşların yaptıkları güvenlik denetimlerinde fiziksel olarak güvenliği sağlanmamış sistemlere saldırı denemeleri yapıldığında, bu sistemlerin beş dakika gibi kısa bir sürede ele geçirilebildiği ve içindeki verilere ulaşılabildiği görülmüştür.

- Bazı kurumların sistem odalarının giriş kapılarının ahşap gibi zayıf bir malzemeden yapıldığı ve kısa surede kırılabilecek asma kilit ile korunduğu, kurumun internet erişimini sağlayan kabloların bina dışından fiziksel müdahaleye açık olduğu.

Aydınlık

ABD her gün 5 milyar telefonu dinliyor Bilim ve Teknoloji Sosyal medyanın Türk toplumuna etkisi Bilim ve Teknoloji İşte Google'dan beklenen hareket... Bilim ve Teknoloji