50 milyon kimlik partilerin elinde!

Cumhurbaşkanlığı Devlet Denetleme Kurulu (DDK), yaklaşan yerel seçimler öncesinde bir skandalı ortaya çıkardı. DDK raporuna göre seçmen niteliğindeki yaklaşık 50 milyon kişinin tüm adres ve kimlik bilgileri, “talep eden” siyasi partiye veriliyor. Paylaşılan elektronik ortamdaki verilerin çoğaltılmasını ve başkalarıyla paylaşılmasını engelleyecek hiçbir mekanizma yok. Aynı şekilde 9 yaşın üzerindeki 68 milyon kişinin kimlik fotokopileri de GSM şirketlerinin ellerinde. Kamu, yurttaşlardan aldığı kişisel bilgileri bunca teknolojik ilerlemeye karşın hâlâ “asma kilitle” koruyor. İnternet üzerinde gizli tutulması gereken bilgiler için verilen şifreler ise “1111, 0000, 1234” gibi herkesin ilk aklına gelecek türden şifreler.

Cumhurbaşkanı Abdullah Gül’üntalimatı ile Devlet Denetleme Kurulu (DDK) tarafından hazırlanan “Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları” raporu içler acısı tabloyu gözler önüne serdi. Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, Tapu ve Kadastro Genel Müdürlüğü, Gelir İdaresi Başkanlığı, Sosyal Güvenlik Kurumu, Sağlık Bakanlığı ve Adalet Bakanlığı bünyesinde gerçekleştirilen çalışmalar sonucu şu çarpıcı saptamalar yapıldı:

Kimlik fotokopisi almaktan vazgeçilmiyor: Basına ve adliyeye yansımış pek çok olaydan; kişilerin kimlik bilgileri ve kimlik fotokopileri kullanılmak suretiyle kişiler adına yüzlerce telefon hattı açıldığı, sahte kredi kartı çıkartıldığı, şirket kurulduğu, kişilerin dernek, kuruluş ve siyasi partilere üye olarak kaydedildiği, konusu suç teşkil eden adli soruşturmalara dahil edildiği ve çeşitli dolandırıcılık faaliyetlerinin icra edilebildiği bilinmesine rağmen kurum ve kuruluşların pek çok işlemde kişilerin kimlik fotokopisini alma uygulamaları devam etmektedir.

Çocukların kimlikleri GSM şirketlerinde: Türkiye’de Haziran 2013 itibarıyla mobil abone sayısının 68 milyon 25 bin 878 olduğu düşünüldüğünde, 9 yaş üzeri nüfusun önemli bir kısmının kimlik fotokopilerinin, değişik abonelikler nedeniyle GSM operatörlerinde bulunduğu anlaşılmaktadır.

50 milyon seçmen partilerin elinde: Seçimlerin Temel Hükümleri ve Seçmen Kütükleri Hakkında Kanun’da yer alan düzenleme kapsamında her seçim döneminde, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, seçmen niteliğine sahip olan 18 yaş ve üzerindeki kişilerin nüfus ve adres bilgilerini Yüksek Seçim Kurulu ile paylaşmakta, talep etmeleri halinde de Yüksek Seçim Kurulu söz konusu verileri siyasi partilerle toplu olarak elektronik ortamda paylaşmaktadır. Dolayısıyla seçmen niteliğine sahip 50 milyonun üzerindeki vatandaşın, adı, soyadı, ana ve baba adı, doğum yılı, doğum yeri, adres bilgisi seçimlere girme yeterliliğini taşıyan onlarca partiyle paylaşılmaktadır. Paylaşılan elektronik ortamdaki verilerin çoğaltılmasını ve başkalarıyla paylaşılmasını engelleyecek hiçbir mekanizma öngörülmemiştir. Bu verileri alan partilerin bu verileri koruma yeterlilikleri ve almaları gereken önlemler konusunda da herhangi bir belirleme yapılmamıştır.

Kimlik bilgileri sahte yazılımlarla satılıyor: Adli makamlara da intikal etmiş olan bazı olaylarda 18 yaş ve üzerindeki kişilerin T.C. kimlik numaraları ile kimlik ve adres bilgilerinin sorgulanmasına imkân veren yazılımların üretildiği ve satıldığı bilgisi, bu tür uygulamaların doğurabileceği sonuçlar açısından dikkat çekicidir. Seçmen listesi bilgilerinin bir siyasi partinin internet sitesi üzerinden ve mobil uygulamalarla sorgulanabildiğine ilişkin bir örnekle de karşılaşılmıştır. Söz konusu sorgulamalar T.C. kimlik numarası ve bir adet doğrulama kriteri (baba adı) ile yapılmakta, kişilerin il, ilçe ve mahalle bilgisi ile bulunduğu binadaki seçmen niteliğine sahip kişilerin listesine ulaşılabilmektedir.

KEY ödemeleri fırsat oldu: Önceki yıllarda, KEY ödemeleri ve benzeri nedenlerle kişilerin adı, soyadı, T.C. kimlik numaraları, sosyal güvenlik numaraları ve benzeri bilgilerin yayımlanması da bilgi güvenliği ve kişisel veri farkındalığı konusundaki eksikliğe örnek teşkil etmektedir.

Böyle parola mı olur!

DDK raporunda denetim çalışmaları sırasında farkındalık eksikliğinden kaynaklı eksiklikler de sıralandı. Bu çerçevede kurumların bazılarında güvenlik, yedekleme, yama, parola politikalarının bulunmadığı, uygulamaların çoğu kurumda kişilere bağımlı olarak yürütüldüğü saptandı. Yine rapora göre kurumdaki en kritik bilgilere bile ulaşabilen bilişim hizmeti sunan firmalarla ve bunların çalışanlarıyla herhangi bir gizlilik sözleşmesi yapılmıyor. Personel güvenlik soruşturmasından geçirilmiyor.

Hassas veri içeren sistemlere erişimde kullanıcılar iki haneli sayısal şifre veriyor. Ortaokul seviyesindeki bir öğrencinin bile çözebileceği “1111, 0000, 1234” gibi kolay tahmin edilebilecek şifreler kurumlarda hâlâ kullanılıyor.

13.8 milyon kişi bir CD’de!

Kişisel veri içeren bilgilerin çeşitli taşınabilir kayıt ortamları aracılığı ile bu ortamlar şifrelenmeden ve başkaca herhangi bir güvenlik önlemi alınmadan paylaşılıyor. DDK, bir örnekte CD ortamında 13.8 milyon kişinin kimlik ve adres bilgisinin herhangi bir güvenlik önlemi alınmadan paylaşıldığını saptadı.

Bazı kurumların çağrı merkezinden sadece ad, soyad ve T.C. kimlik numarası beyan etmek suretiyle; maaş tutarları, kesintiye esas brüt ücret, gidilen sağlık kurumu, muayene olunan doktor, ilaç alınan eczane, alınan ilacın adı, ödenen katılım payı miktarı gibi birçok kişisel bilgiye ulaşılabiliyor. Kimi kurumlar sistem güvenliklerini olması gereken standartlarda sağlarken, kimileri sistem odalarını hâlâ “asma kilitle” koruyor.

‘Yasal düzenlemenin çok iyi yapılması lazım’

Türkiye Bilişim Derneği Hukuk Müşaviri Mehmet Ali Köksal, DDK raporunda belirtildiği gibi kimlik bilgilerinin çeşitli dolandırıcılık faaliyetlerinde kullanılabileceğini anımsatırken “Burada asıl sorun kişisel verilerin korunmasına ilişkin yasanın henüz çıkartılmaması. Her ne kadar TCK’de verilerin kaydedilmesi suç sayılsa da bu düzenlemeler yeterli değildir” dedi. YSK’nin adrese dayalı nüfus kayıt sistemi öncesinde de bu bilgileri yayımladığını ancak elektronik ortamdan bu kadar kolay ulaşmanın söz konusu olmadığını belirten Köksal, siyasi partilerden aldıkları bilgileri, borçlu takibi için avukatlara satan kişilerin bile olduğunu söyledi. Siyasi partilerin bu konudaki sorumluluklarının net bir şekilde belirlenmesi gerektiğini vurgulayan Köksal, hem AB hem de Türkiye koşullarına uygun bir düzenleme yapılmasını söyledi. Köksal, kişisel bilgilerin gereksiz yere çok fazla kurum tarafından toplanmasının önünün de kesilmesi gerektiğine işaret etti.