Berk Üstündağ Yazio: Cep Telefonlarında Kişisel Veri Avı
Gittiğiniz yerlerden alışkanlıklarınıza kadar çok özel verilerinizin kullanılmasına dayalı hizmetler hem de faturalı olarak, Türkiye’de satılık. Bunu yapanlar, biz kişilere veriyi dağıtmıyoruz, sadece hizmetlerde kullandırtıyoruz gibi savunma mekanizmaları oluşturdular. Kişisel verilerin korunması ve bilgi güvenliği bakımından konu endişe verici hale gelmekte. 2021 başından itibaren aylarca WhatsApp’ı silme kampanyasının gündemde kalması aslında bir algı yönetimi miydi? Trafik cezaları bile son 5 yılda %50’den fazla artarken kişisel verilerin ihlalinde parasal ceza sınırı neden arttırılamadı?
Türkiye’de GSM operatörleri artık cinsiyetinize, bekar ya da dul olmanıza, yaşınıza, hangi sıklıkta nerelere gittiğinize, bahis gibi alışkanlıklarınıza göre sorguya dayalı tanıtım ve pazarlama amaçlı iletişim hizmeti vermeye başladı.
Bu hizmete özel toplu SMS tarifeleri yayınlandı. Ülkemizde kişisel verilerin toplanması ve analizine dayalı ticari hizmetler konusunda deyim yerindeyse “aşmış” vaziyetteyiz.
Konuyu değerlendirirken, öncelikli olarak “Kişisel veriler” ile “Özel nitelikli kişisel veriler” arasındaki kavram farkına dikkat etmek gerekir. Örneğin Cinsiyetiniz bir kişisel veridir ama mezhebiniz ya da bağımlılıklarınız öz nitelikli (hassas) veridir. Farkında olmadan ya da bilerek işlenmesine izin verilen kişisel veriler, analitik değerlendirme ve yapay-zeka yöntemleri ile giderek artan doğrulukta özel nitelikli verilere dönüştürülebilmektedir. Siyasi düşünce ya da belirli bir sağlık sorunu gibi özel nitelikli verisi ortaklık gösteren grupların, ilgi ve ihtiyaçlarına yönelik mesajlar özel nitelikli olmayan kişisel verilerinin analizi ile aboneler seçilerek tanıtım ve pazarlama yapılabilmektedir.
Hizmeti verenler tarafından yasal sorun olmaması bakımından, tutulan veri öz nitelikli değil, satılan hizmet ise sorgu sonucu çıkarımla belirlenen masum bir iletişim yöntemidir. Bu masumiyetin bedeli, normal iletişim ücretlerine göre 5 kat daha fazla ödeme ile karşılanmaktadır. Yazının devamındaki hizmet örnekleri, biraz farkındalığı olan kişiler için “yok artık” dedirtecek gelişmelere gebedir.
Türkiye’de ziyaret ettiğiniz bir apartman görevlisi bile kimlik kartı sorup TC kimlik numaranızı kaydedebilmekte. Hatta aşağıdaki ekran resminde görüldüğü üzere TC Nüfus veri tabanının (MERNİS) satış ilanı ikinci el e-ticaret sitesinde bile yer alabilmekte. İlanda MERNİS’in 2015 sürümü olduğu iddia edilen veri, biraz eski olduğu için 40TL fiyat biçilmiş. İlanın yayınlandığı e-ticaret sitesinin işleticisi bu yazı ile durumun farkına varınca yasal bir sorun olacağını düşünüp kaldırması beklenir.
Bu tür ilanların bir kısmı sahte olabilecekse de e-ticaret siteleri ve sosyal medya platformlarına kadar yayılmaları bilgi güvenliği açısından oldukça düşündürücüdür.
ABD vatandaşlarının sosyal güvenlik verilerini ABD’de kayıtlı bir e-ticaret sitesinden (örneğin Ebay ya da Amazon) satış ilanını verebilir misiniz, ya da korsanlıkla bile verilse derhal FBI müdahale etmez mi? (Derin internet dışında). Zira ya ilan sahtedir ve dolandırıcılık girişimidir ya da veri gerçek ve kişisel veri ihlalidir.
İnternette dolaşan çok sayıdaki MERNİS nüfus veri satış ilanlarından en az biri kısmen bile doğru ise sızıntının kaynağı İçişleri Bakanlığı’nda da soruşturulmuş olmalıdır. Nitekim 2016 yılı Nisan ayında MERNİS sızıntısı konusunda Adalet Bakanı Bekir Bozdağ Cumhuriyet Savcılığının olayı soruşturduğu beyanını vermiştir. KVKK, 2016 yılında aynı hafta resmi gazetede yayınlanmıştı. Soruşturma sonucuna göre Savcılık ya da Kişisel Verileri Koruma Kurumu işlem yapmış mıdır? E-devlet sisteminde, vatandaşın kayıtlı başvurusu ya da tescilli bir resmi hizmetle ilişkili aktif iş süreci yok iken, farklı kurum sistemlerin birbirlerinin verilerini sorgulayamıyor olması gerekir.
GSM Operatörlerinin günlük rekabeti içinde, ilgili kurullar ve BTK’nın gözü önünde kişisel verilerin çevrimiçi analizine dayalı iletişim hizmetleri gelişmeye ve normalleştirilmeye başlandı. “Yapay zeka” ya da “büyük veri analitiği” gibi teknolojilere atıfta bulunmak işin özünü masumlaştırmamalı. Bir operatörümüz insaflı davranıp kişisel veri sorgusunu 4 değişkenle sınırlarken diğerinin internet sitesi ilanına göre şunlara benzer örnek sorguları yaparak hedef odaklı iletişim hizmeti almak (SMS göndertmek) mümkün:
“25-30 yaşlarında, akşam 21:00’den sonra ayda en az iki defa Nispetiye’ye giden, Bebek’te ikamet eden, bekar bayanlar”,
“Ankara’da, Yenimahalle’de çalışıp, Akçakale’den (Suriye sınır kapısı) yılda en az iki defa geçen memurlar”,
“Yer ve zaman aralığı seçimi ile bir partinin miting (parti ve miting yazmadan) alanında bir yılda iki defadan fazla bulunan işçiler”,
“Beştepe ile Üsküdar-Kısıklı arasında haftada en az bir sıklıkta gidip gelip yaşı 65’in üzerinde olanlar”…
Ya şirketin ilanı doğru değil (Bakınız: yukarıdaki ve alttaki ekran görüntüleri) ya da hizmette sınır yok…
Muhatabı kim olursa olsun çok rahatsız edici değil mi? Savunma olarak, “biz sorgu sonuçlarının kim olduğunu sorguyu yaptıranla paylaşmıyoruz, hizmeti sağlıyor ve analiz sonucu çıkanlara mesajı iletiyoruz” demektedirler (Bilgi edinme yasası çerçevesinde yazılı yanıtlarına dayanarak ifade ettim). Muhatapların kim oldukları açıklanmasa bile giden mesajın sayısını bildirmek bile bir güvenlik sorunu haline gelebilir. Ayrıca GSM operatörünün tanıtım ilanındaki kriterler kullanılarak belirli bir cemaatin üyelerini belirleyen (SMS için!), polisin, askerin görev yerlerine göre seçilmesini sağlayan, belirli bir siyasi görüşteki kişileri belirleyen türde sorguları oluşturmak için bilim insanı olamaya gerek yok. Örneğin bir partinin son yıllardaki miting alan ve zamanlarını girerek birden fazlasına denk gelenler seçildiğinde kişinin tesadüfen ilişkilendirilme ihtimali azalacaktır. Bu sorguları kişi bazına kadar indirmek de mümkündür. Bunun teknik olarak mümkün olmasını, hizmet için buna şirket tarafından izin verilmemesi niyetinde olunmasından farklı değerlendirmek gerekir.
Diyelim ki bu gerçekten de masum bir pazarlama hizmeti ve kişiler de bilerek ya da farkında olmadan rıza gösterdiler; Her tür iletişiminizdeki hassas veriyi toplama ve işleme hakkını vermiş iseniz WhatsApp mı daha güvenli Telegram ya da BİP mi tartışması nereden çıktı? Ulusal güvenlik mi önceliğiniz oldu birden… Yoksa WhatsApp içeriğini GSM operatörünün de izleyemiyor olması sorguya dayalı hizmet içeriğini mi fakirleştiriyor? Peki bu verileri işleme hakkını verdiğiniz GSM operatörlerinin içinde çok uluslu şirket yok mu? Ya da diğer GSM operatörleri ilelebet TMSF ya da kamu ortaklığı olarak mı kalacak; bir gün BAE ya da başka bir ülke şirketi ya da fonu satın alırsa, varlık değerlemesinde izin verdiğiniz veriler, yetkiler ve lisansları önemli bir değer (Digital asset) olarak yer almayacak mı?
Vatandaşların konum değiştirme sıklığının anlık sorgulanabildiği, mesleği ve alışveriş alışkanlıkları gibi verilerle birlikte analiz edilebildiği bir çevrimi içi hizmet sistemi istihbarat teşkilatlarında bile yoktur.
6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanuna göre “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik kapsamında, hizmet sağlayıcılar tarafından alıcılara gönderilecek ticari iletiler, yönetmelik ile belirlenen istisnalar dışında alıcının onayı olmadan gönderilemez, izin dâhilinde gönderilen iletilerde ise alıcılara ret imkânı sağlanır”. Örneğin malum bir cep telefonu operatörü üzerinden Sultanbeyli ilçe sınırlarına ilk defa girdiği belirlenen abonesine “Belediye adına atılan SMS”e verilen yanıtta nasıl iptal edileceği belirtilmiş midir… Belediyenin bütçesi geniş olmalı ki 5 katı fiyatla sorgu ve koşula dayalı anlık SMS gönderme hizmeti almaktadır. İleti Yönetim Sistemi (İYS) ile istenmeyen mesajların reddi hakkı bu amaçla hizmet veriyor. İleti Yönetim Sistemi’nin bir özel şirket olarak kurulmasından sonraki bir tarihte şirket ile aynı adı içeren mevzuat oluşturulması ve devamında şirket hisselerinin TOBB’a satılmış olması ayrıca değerlendirilmesi gereken bir süreç.
Kişisel verilere dayalı ticari hizmetleri bu seviyeye getirenlerin ve izin verenlerin atladığı önemli yasal ve ahlaki sorunlar söz konusu olabilir.
Büyük kişisel veri üzerinden sorguya dayalı çevrim içi hizmetlerin gelişiminin, kişisel hak ve özgürlüklere verebileceği zararların yanı sıra ileride ulusal bir güvenlik problemine dönüşebilecek derinlikte olması kanaatiyle burada yazma gereği duydum. Dayanaklarımıza biraz açıklık getirelim:
Reklam amaçlı kısa mesaj (SMS) iletileri gönderilmesi kişisel verilerin işlenmesi faaliyetinin bir örneğidir. GSM Operatörü abonesinin yaşını ve cinsiyetini abonelik kaydından bilebilir. İzin vermişseniz istatistiki değerlendirme ve belki de pazarlamada kullanabilir. Fakat GSM operatörünün tanıtım sayfasında görüldüğü üzere, abonelerinin bahis oynamaya ya da eğlence türlerine ilgisini, abonelik kaydından çıkarmadığı açıktır. Bu tür verileri, ziyaret ettiğiniz internet siteleri, gittiğiniz yerlerin coğrafi koordinatları, alışveriş yaptığınız sitelerin türleri gibi iletişiminizin içerik takibi ile aldıkları iyi bir ihtimaldir. Kötü ihtimaller de var ama belirtmeyeceğim. Bu durumda iletişim içeriği uçtan uca iletişim kripto ile korunmuş bir uygulama olan WhatsApp’i haftalarca güvenlik problemi ilan edenler nerede? Diğer yandan, WhatsApp dahil tüm kriptolu iletişim uygulamalarını cep telefonu ile kullanmak, işletmek ve yaymak TC yasalarına göre “suç” olarak tarif edilmekte… (Bakınız: https://onedio.com/haber/berk-ustundag-yazio-kanun-whatsapp-ya-da-telegram-kullananlara-100-000tl-idari-para-cezasi-mi-ongoruyor-967305 ). Suç olmaması gerekliyse Elektronik haberleşme yasası ya da ilgili yönetmelik neden yıllardır düzeltilmiyor? Suç ise neden savcılar işlem yapmıyor?
Verinin türü kadar büyüklüğü ve niteliği de (korelasyon, diklik gibi özellikler) önemlidir. Zira, kayıt edilmiş verinin miktarı ve niteliği yeterli ise sadece GSM abonesinin coğrafi konum değişimini analiz ederek bile 6698 sayılı Kişisel Verileri Koruma Kanunu’nda belirtilen özel nitelikli verilerin çıkartımı mümkündür (manifold veri ilişkisi). Bu çıkartımın mümkün olduğu veri tabanında sorgu yapılabilir olması ve buna dayalı hizmetler sunulması ile doğrudan özel nitelikli veri kaydının tutulması arasında uygulamada bir fark yoktur. Burada muhtemel kelime oyunlarına dikkat edilmelidir. Sorgu sonucu da bilgisayar ortamında bir veridir. Dolayısı ile doğrudan kişisel hassas veriyi kaydetmek ile bu hassas veriyi çıkartan sorgu cümlesini yeterli miktarda ve özellikteki veri beraberinde tutmak uygulama hedefi açısından pek de farklı değildir. KVKK’nın 6. Maddesinde özel nitelikli veri şu şekilde tanımlanmıştır:
“MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.”
KVKK’nın Avrupa Birliği’ndeki karşılığı olan yasal düzenlemenin adı GDPR’dır. GDPR’ın 4. bendi KVKK’daki kişisel veri tanımı ile ilişkili hükümlere yer vermektedir (https://gdpr-info.eu/art-4-gdpr/ ). GDPR’ın bu tanımları içinde KVKK’dakinden farklı olarak, analiz edilerek diğer verilerin de edilebildiği konum ve hareket (movement) verisi dahil daha geniş bir kapsam söz konusudur.
CİMER üzerinden GSM operatörlerine veri kullanımı konusunda sorular gelmektedir. Örneğin, “ilk defa bir belediye sınırına girdiğinizde, telefonunuza otomatik ve size özel olarak gelen mesajda abonenin anlık konum verisini gönderen nasıl elde etti” diye sorulduğunda, GSM operatörü yanıt olarak, mesajı atana kim olduğunuzun bildirilmediği, gönderenin yalnızca mesaj gönderilme koşullarını belirlediği ve anlık olarak takip edilen verileriniz bu sorguya uyduğu anda size mesajın ulaştırıldığı belirtilmektedir. Bu durum biraz “Elinle tutamazsın ama eldivenle istediğini yap, dokunmamış olursun” gibi de algılanabilir.
Peki siz buna izin vermiş miydiniz? Ya da “Farkında olmadan da olsa izin vermiş olduğunuzu sorgulayıp, kolayca iptal edebileceğiniz bir yol var mıdır?”. Yasal olarak en önemli gereklerden bir bu son sorudur. Dini inanç, siyasi düşünce gibi konularda yüksek doğrulukla çıkartım yapılabilen bir veri tabanı ve sorgu sisteminin özel şirket personelinin parmakları ucunda olması, bunları denetleyen ve düzenleyenlere de çok büyük bir sorumluluk getirir.
Bazı operatörlerin iddiası abonelik sözleşmelerindeki paket indirimlerinin genellikle bununla ilgili olduğu yönünde olabilir. Fakat bunu tespit edip kolaylıkla iptal edebiliyor olma hakkınızın korunması gerekir. İptal halinde hakkınızda toplanmış ve makine öğrenmesi teknikleri ile çeşitlendirilmiş olabilecek verinin nasıl imha edildiği de ilgili makamlarca denetlenebilmelidir.
e-posta veya SMS gönderimi için alıcı hedeflemede kullanılan kişisel verilerin elde edilmesi ile ilgili olarak Kişisel Verileri Koruma Kurulunun 16/10/2018 Tarihli ve 2018/119 sayılı ilke kararı bulunmaktadır. Kurulun bu kararı, 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136’ncı maddesi çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemlerin tesisi için, konunun 5271 sayılı Ceza Muhakemesi Kanununun 158’inci maddesi uyarınca ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği” hükmünü içermektedir.
Sizin hassas verilerinizin kullanılması karşılığında, GSM operatörü bazı müteşebbislere normal SMS’in 5 katı bedelle (7 kuruş yerine 35 kuruş) toplu SMS satabilmekte, alıcılar da piyasa da alternatifi olmayan şekilde size mesaj gönderebilmektedir. Yasal sorun oluşmaması için de gönderen numarası yerine operatör yazılmaktadır. Oysa “Sultanbeyli Belediyesi” ya da “ xxx kablo TV kampanyası” şeklinde mesajın içeriğinden gönderen açıkça anlaşılmaktadır. Sultanbeyli Belediyesi CİMER’de de kayıtlı bir bildirim dahilinde, ilçe sınırlarına girenlere sorguya dayalı anlık mesaj göndermiş olduğu için bir örnek olarak burada adını belirttim.
İletişim başta olmak üzere teknolojik hizmet sektörlerindeki abonelik koşulları konusunda tedarikçilerin ortak hareketleri ile yeni normalleri oluşturmasına karşı, 4054 sayılı “Rekabetin Korunması Hakkındaki Kanun”un 6. maddesinde “hakim durumun kötüye kullanılması”na bağlı hukuka aykırılık tanımındaki “birlikte davranışlar” ifadesi dikkate alınabilir. Bu kanunun bazı hükümleri, özel tarife karşılığı hassas kişisel verinizin üçüncü kişilerle başka ticaretlerinin ifasında kullanılmasının tek ekonomik alternatif haline getirilmesi ile örtüşmektedir. Örneğin aylık konuşma ücretleriniz 200TL civarında tutmaktadır ama iki senelik anlaşma taahhüdünde bulunursanız aylık 100TL’ye şu kadar dakika konuşma ve internet tarzında teklifler sunulmaktadır. Bu tür tekliflerin içinde, dolaylı açıklamalarla kişisel verilerinizin kullanımına izin veriliyor olabileceğine dikkat edilmelidir. Bu verilerin birikimi üzerine sorgu sonucu özel nitelikli (hassas) kişisel veri sınıfına dönüştürülerek başka ticari hizmetlerde kullanımı söz konusu ise, kanunda belirtilen açık onay şartının sağlanması gereklidir. Piyasa ve lisans haklarını düzenleyici makamlar, sektörün birlikte hareketi ile hassas verinin ticarileştirilmesi sonucunu yaratabilen abonelik koşullarının olağanlaştırılması konusuna dikkat etmelidir.
Kişisel verinin yaygın bir kötüye kullanım hali de bazı hizmet şirketlerinin kurumsal itibar ve yasal risklere karşı adeta “ben almadım ama cebime koymuşlar” yaklaşımıdır. Hizmeti veren şirket yerine, sizin hassas verinizi nasıl elde ettiğini açıklayamayan ya da oltalayan (Phishing) pazarlama şirketleri “xxx kablo TV aboneliği” ya da “yyy Telekom Şirketi” adını vererek aramakta ya da mesaj atmaktadırlar. Aslında kişisel verilerin kullanımı bakımından yasal zemini sorunlu pazarlama taktiklerini kendileri dışında yaptırmaktadırlar. Zira arayan eleman önce, “sayın xxx konuşmalarımız kayıt altındadır” tarzında sanki gerçek şirket temsilcisi gibi bir girişten sonra “yyy Telekom ya da TV Şirketi” adına arayıp başka bir şirket ile mevcut aboneliğinizin bittiği tarzında bir konuşma yapmaktadır. Bunun yasa dışı olduğunu söylediğinizde arayan elemanın ifadesi “biz aslında “yyy Telekom ya da TV Şirketi” değiliz, onların anlaşmalı pazarlama şirketiyiz vb türden açıklamalara dönüşmektedir. “yyy Telekom ya da TV Şirketi”ni arayıp veri kaynağı ya da yetki sorduğunuzda da “bizden habersiz bayilerimiz ya da işten ayrılan bayi çalışanları bu tür girişimlerde bulunmuş ya da veri paylaşmış olabilir” türünde yanıtlar vermektedirler.
Aslında körler ve sağırlar birbirlerini ağırlamaktadır. Piyasanın düzenlenmesi ve tüketicinin korunması için KVKK ve Rekabet konusunda farkındalık arttırılmalı, gerekirse yasalar güncellenmeli, ilgili Kurullar yasal yetkileri çerçevesinde yeni yönetmelikleri acilen çıkartmalı ya da mevcutları da güncellemelidir. Aksi halde, bireylerin hakları bir yana, hassas verinin kontrolsüz toplulaşması, veri işlemede artan yapay zeka yetenekleri beraberinde milli güvenlik açısından da risk oluşturabilecektir.
Son zamanlarda sıklaşarak karşılaşılan bir durum da “siber saldırıya uğradık verilerimiz çalındı, KVKK’ya bildirdik durumudur. Bu gerçekten böyle mi yoksa, eski bir bilgi işlem personelinin intikamı ya da aşırması mı veya başka bir sürecin aklanması mıdır tespiti gerçekten zor. Ancak “tedbir alınmış mıydı” veya “KVKK ihlali” belirlenirse caydırıcı bir cezası var mıydı, konusunu incelemek gerekir. Öncelikle Kişisel Verileri Koruma Kurumu’nun bu konuda yeterince şeffaf olmadığı ve aktif bir süreç işletmediğini iki örnekle belirtmek isterim. Örneğin CİMER üzerinden “xxx şirketine kesilen 900.000TL tutarındaki ceza hangi kritere göre belirlendi” ya da “ABD kurul tarafından güvenli ilan edilmemişken Amazon şirketi yurt dışına kişisel verilerin gönderilmesi için güvenli yer ilanında kurul hangi kriteri uyguladı” gibi yanıtı net sorulara bile “Bunlar Mütalaadır Bilgi Edinme Yasası Kapsamına Girmez” ya da bu konuda açıklama olmadığı halde “İnternet sitemizden takip edin” tarzında yanıtlar verilmiştir. (Elimizde CİMER yanıt örnekleri mevcut olduğu için bu kadar açıklıkla yazabiliyorum).
Trafik cezasının her yıl açıklanan tarifesi ve ilan edilmiş net kriterleri vardır. Kırmız ışıkta geçmenin cezası 2016 yılında 199 Lira iken 2021 yılında 314 TL’dir. Ancak Kişisel Verileri Koruma konusundaki yasaya aykırı durumda uygulanabilecek idari para cezasının üst sınırı 2016 yılında ne ise 2021 yılında da odur. Kurula cezanın tarifesi ya da kriterini sormak yasaların eşit uygulanmasına ilişkin Anayasal bir hakla ilişkilidir. Cezanın kriter ve tarifesi, bunu belirlemek ve uygulamakla yükümlü kurul tarafından mütalaa olarak değerlendirilirse, “900.000 TL ceza” tam olarak üst sınıra gelirse daha fazlasına yer kalmaz, aşağısı da caydırıcı olmaz tarzında, “olsa olsa” yöntemiyle belirlenmiş izlenimini uyandırabilmektedir. Bu durum yasal düzenleme ile kişi ve kamunun korunmasında yasa ihlaline karşı caydırıcılığı düşürebilmektedir.
Kişisel Verilerin Korunması Kanunu (KVKK) konusunda bir ihlalin para cezasının üst sınır 6698 sayılı yasanın 18. maddesi “ç” bendine göre 2016 yılında 1.000.000 TL’ idi, 2021 yılında da 1.000.000 TL’dir. Diğer bir deyişle verilerimizin değeri trafik cezalarına oranla bile düşmektedir. Oysa elektronik ortamda kayıt edilmiş kişisel veri miktarı ve ticari kullanım oranı ticaret bakanlığının e-ticaret verilerinden de görüleceği üzere üstel olarak artmaktadır.
Siber güvenlik için önlem maliyeti ortalama bir e-ticaret platformu için Türkiye’de son beş yılda %500’den fazla yükselmiştir. Bu yükselişte, artan kullanıcı sayısı, döviz kur değişimi ve yaygınlaşarak çeşitlenen siber güvenlik tehdit türleri etkili olmuştur. Nitekim siber güvenlik cihazlarının lisans bedelleri de ağ trafiği ve kullanıcı sayısı gibi değişkenlere bağlıdır. Hatta, sektör dışındaki okuyuculara tuhaf gelecek uygulamalar da var. Örneğin yabancı güvenlik duvarı tedarikçilerinden bazı önde gelenler, satın aldığınız ürünü kullanmadığınız bir yıl olursa, tekrar lisansı güncellemek istediğinizde, kullanmadığınız yılın da geriye dönük olarak ücretini istemektedirler (Markaları geçirmemek için vermedim). Kaldı ki siber güvenlikte çeşitlenen risklere bağlı olarak yeni yazılım ve donanım türleri de ihtiyaçlara eklenmektedir. ABD’de bir dava konusu olan Halkbank dahil pek çok bankamız ABD menşeili siber güvenlik firmalarının DDOS koruma, DNS yönlendirme türündeki internet üzerinden verilen hizmetlerine her yıl milyonlarca dolar ödemektedir.
Geçen haftalarda Tarım ve Orman Bakanlığı’nın verilerinin bir siber-korsan tarafından şifrelenerek fidye istendiği haberi basında yer aldı. Bu verilerin şifrelenmesi siber-korsanın sistem güvenliğini aşarak veriye ulaştığı anlamına da gelmektedir. Peki burada yeterli güvenlik önleminin alınıp alınmadığı, fidye yazılımına karşı koruyucu (anti-ransomware) kullanılmamış olması vb incelenip KVKK kapsamında bir ihlal belirlendi mi? Bu tür incelemelerde hangi tedbirlerin alınmış olmasının yeterli olabileceği ya da yükümlülük olduğu bile aslında tartışma konusudur ve güncellenen yönetmeliklerle kriterler netleştirilmez ise işletenlerin sorumlulukları da belirlenemez. Bunun sonucu olarak kamu zarar görür. Çok dikkat edilmesi gereken başka bir konu da sorumluluğun ölçeğidir. Örneğin 1000 müşterili ve küçük ölçekli bir çevrim içi ticari bir faaliyet ile 1 milyon müşterili bir e-ticaret faaliyetinde verilerin korunması için teknik yükümlülüklerin maliyet karşılığı, “siber güvenlik sigortası” risk primleri ile orantılı olarak artmalıdır ki işletenleri de veriyi gerçekten koruma yönünde basiretli ve dikkatli davranmaya motive etsin.
İhlalin karşısındaki yasal caydırıcılık yeterli olsaydı aşağıdaki ekran görüntüsündeki gibi “xxx şirketi ile sözleşmesi bitenlerin listesi “ tarzında ilanlar açık telefon numaraları beraberinde verilebilir miydi?
Cami avlusunda bırakılan bebeğin yanındaki mamanın seri numarasından hangi eczaneden satın alındığını bulup, satış görüntüleri ve MOBESE kayıtlarından bebeği bırakan anneye erişen kahraman Türk Polisi, Türkiye’de bir Telekom şirketinin aboneliği olan bir hattın kullanıcısını mı bulamayacaktır…. İlan sahteyse dolandırıcılık girişimidir, doğruysa da KVKK ihlalidir…
Belki burada yazdığımız için ilgili internet ilanı kaldırılıp ekran görüntüsündeki numara değiştirilebilir, ya da yayınlandığı site değişebilir. Bu tür ilanların yaygınlaşmasında mevcut yasal düzenlemelerin uygulanma etkinliğinin arttırılması kadar hukuki süreçlerdeki muhtemel bazı aksaklıkların başka sorunlu yöntemlerle giderilmeye çalışılması da etkilidir. Örneğin bu yazıyı okuyan avukatlar, bazı meslektaşlarının icra dosyalarının ilerletilmesinde bu tür verilerden hiç faydalanmadıklarını söyleyebilirler mi? 😊 Hassas kişisel verilerin istenmeyen şekilde yayılması ile artabilecek mağduriyetlerin önlenmesi dileği ile bu yazı hazırlanmış olup başka bir gizli ajandası yoktur.
Yorum Yazın