Dün internette sıkça rastladığım bir haber vardı. T24’den Tolga Şardan kaynaklı bir yazı. Başlığı: “BTK’daki e-imza şifrelerinin havuzunu patlattılar!”
Kısaca; “BTK’da ülke genelinde tüm e-imza kullanıcılarının şifrelerinin saklandığı veri havuzu patlatıldı. Kim ya da kimlerin yaptığı henüz belirlenemedi, idari incelemenin başladığı ifade ediliyor. Kurumda ciddi bir panik havası oluştuğu haberleri geliyor birkaç gündür. Veri havuzundaki bilgilerin başkaları tarafından ele geçilmesinin anlamı, tüm ülkede e-imza kullanarak işlem yapan elektronik imza sahiplerine ait şifrelerin çalınmış olması!” deniyor.
Bilgi Teknolojileri ve İletişim Kurumundan (BTK) yalanlama gecikmedi. Özetle “Böyle bir havuz da yok böyle bir olay da yok.” Tamamdır. Sıkıntı yok o halde.
Yine de insan merak ediyor. Tolga Şardan tecrübeli ve iyi bir gazeteci. Araştırmadan, incelemeden böyle bir yazı yazmaz. Hani derler ya, hiçbir şey olmamışsa da kesin bir şey olmuştur. “Ateş olmayan yerden duman çıkmaz.” atasözümüz de sık kullanılır.
Konunun uzmanı bazı kişilerle görüşüp olayın nasıl olabileceğini anlamaya çalıştım. Tabi ki, konu teknik detaylar barındıran zor bir konu. Çünkü kriptoloji, hash, private key, public key, veri sağlayıcı, hizmet sağlayıcı, kişisel veri, e-imza, mikroçip, sızma, içerideki adam, hırsızlık, casusluk, klonlama, hack gibi bir dizi teknik ve teknolojik terminoloji barındırıyor.
Bu yüzden bu yazımız biraz teknik bir yazı olacak ve ‘Yapay Zeka’dan da yardım alarak ilerleyeceğiz.
Konu çok önemli. Çünkü doğrudan devlet güvenliğini, birey güvenliğini, kişisel verileri ve mahremiyet alanını ihlal söz konusu. Bu benim için biraz ürpertici bir durum. Devletimizin en gizli bilgileri, insanlarımızın kişisel verileri (isim, adres, kimlik no, araç plakası, mal mülk durumları, akrabalar, alışkanlıklar, çocukların isimleri, okulları...) kimin elinde ve kimin cebinde belli değil. Yani tamamen açıkta ve ortalıktayız.
Ben bunu camdan bir evde yaşamaya benzetiyorum.
Evinizin her yeri dışarıdan görünüyor. Aileniz ve çocuklarınız... Tüm konuşmalarınız dışarıdan duyulup dinlenebiliyor. İzlediğiniz televizyon kanalları, internette gezdiğiniz sayfalar, sosyal medya hesaplarınız herkesin gözü önünde. İsteyen evinizin karşısına oturup tüm gün sizi izleyebiliyor. Kapı ve pencereler de açık. İsterse içeriye girip buzdolabınızdan meşrubat alıp içebiliyor ya da gece siz uyurken evinizin içinde gezinebiliyor. Odaları dolaşabiliyor. İsterse cüzdanınızı alıp gidebiliyor. Utanmasa yanınıza kıvrılıp uyuyabiliyor da.
Cep telefonunuzun ekranı duvarınıza devasa olarak yansıyor ve isteyen başını çevirip bakabiliyor. Bankacılık işlemi yaparken şifreleriniz de rahatça görünüyor. Evinizi ve yaşamınızı kameraya alıp video kanallarında paylaşıp canlı yayın yapabiliyorlar. Sizin camdan evinizden görünen ve bilinen her şeyi bir başka kişiye satabiliyorlar. Bazen de arayıp size satmayı deniyorlar. Bazıları da arayıp sen şu siteye girmişsin. Ailenden gizli şu işi yapmışsın diye şantaj yaparak sizden bir şeyler koparmaya çalışabiliyorlar. Deep Web’de her şeyin satışa çıkarılmış.
Camdan evde yaşam. Böyle bir evde yaşayabilir misiniz?
En son e-imza konusu gündeme gelse de geçmişte de ülkemizde büyük veri sızıntıları ve siber saldırılar ve büyük veri hırsızlıkları olduğunu küçük bir araştırmayla öğrenebiliriz. En önemlilerini kısaca hatırlatalım o halde.
2010 yılında Yüksek Seçim Kurulu (YSK) Seçmen Verileri yaklaşık 50 milyon kişinin kimlik bilgileri internete sızdırıldı. TC kimlik numarası, adres, anne-baba adı gibi bilgiler yer alıyordu. Bu sızıntı, yıllar sonra 2016’da tekrar gündeme geldi ve hala dolaşımda. Kaynağın MERNIS (Merkezi Nüfus İdaresi Sistemi) olduğu iddia edildi. Bu olay, Türkiye tarihindeki en büyük veri sızıntılarından biri olarak kabul ediliyor.
Sosyal Güvenlik Kurumu (SGK) ve bazı hastanelerdeki sağlık verilerinin sızdırıldığı iddia edildi. Belediyelere Yönelik Siber Saldırılar. Kamu Kurumlarına Yönelik Kimlik Avı ve Sosyal Mühendislik. Kamu çalışanlarına yönelik kimlik avı saldırıları arttı. E-İmza sahtekarlığı ile sahte diplomalar, sahte kamu görevlisi kimlikleri dağıtıldığını daha geçen haftalarda dehşet içinde izledik.
Çok daha fazlası var. Ancak hepsini burada yazmamız olanak dışı. Bu olayların bazıları en üst düzeyde doğrulandı. Dönemin Başbakanı, Ulaştırma Bakanı, Adalet Bakanı, Yüksek Seçim Kurulu Başkanı bazı olayları açıkça doğruladılar. Dün olduğu gibi bazıları da yalanlandı.
Bazı olaylarda polis operasyonları yapıldığını ve yakalanan bazı çeteler olduğunu biliyoruz. Ancak hiçbir olayda verilerimizi koruması gerektiği halde bunu yapamayan sorumlu ve yetkililerin görevden alındığını ve yargılandığını duymadık.
Hiçbir üst düzeyde istifa da gelmedi. Siyasetçiler ve üst yöneticiler kabul de etseler inkar da etseler istifa etmediler. Oysa tek bir olay bile birçok ülkede hükümeti düşürürdü. Halk yetkililere hesap sorardı.
Biz çok güçlü bir toplum olduğumuz için böyle şeylerden korkmayız. Yöneticilerimizi de harcatmayız. Bize bir şey olmaz...
Haydi, vatandaş olarak bizim çok önemimiz yok da; İsrail’in Hamas yöneticilerine ve İran komuta kademesine dijital destekli nokta atışı imha saldırılarını da mı görmüyoruz? Bugünlerde bu işler tamamen veriye ulaşmaktan ve veriyi etkili kullanabilmekten geçiyor. Öncelikle bunu anlamalıyız.
BÜYÜK VERİ İHLALLERİNDE TOPLUMSAL RİSKLER
Kötü niyetli kişilerin devlet kurumlarından ele geçirdiği kişisel veriler, yalnızca bireyleri değil, doğrudan devletin güvenliğini, itibarını ve işleyişini de tehdit eder. İşte bu tür veri ihlallerinin devlet açısından doğurabileceği başlıca olumsuz sonuçlar:
1. Ulusal Güvenlik Riski
Kritik kamu görevlilerinin kimlik, görev yeri ve iletişim bilgileri ele geçirildiğinde, hedefli saldırılar (siber veya fiziksel) düzenlenebilir. Askeri personel, istihbarat çalışanları veya stratejik projelerde görev alan kişilerin bilgileri, dış istihbarat servisleri için altın değerindedir.
2. Devletin İtibar Kaybı
Uluslararası arenada veri güvenliği zafiyeti yaşayan ülkeler, yatırımcılar ve müttefikler nezdinde güven kaybına uğrar. Özellikle AB gibi veri koruma konusunda hassas bölgelerle iş birliği zora girebilir.
3. Hukuki ve Diplomatik Sorunlar
Türkiye’de yaşayan yabancı uyruklu kişilerin verileri sızarsa, ilgili ülkeler diplomatik tepki gösterebilir. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) gibi uluslararası düzenlemelere aykırılık durumunda yaptırımlar gündeme gelebilir.
4. Siber Saldırılara Açıklık
Ele geçirilen veriler, daha sonra kimlik avı (phishing), fidye yazılımı (ransomware) veya sosyal mühendislik saldırıları için kullanılabilir. Bu saldırılar, kamu altyapısını felç edebilir (örneğin belediye hizmetleri, sağlık sistemleri, ulaşım ağları).
5. Toplumsal Güvenin Zedelenmesi
Vatandaşlar, devletin dijital hizmetlerine güven duymamaya başlar. e-Devlet, MERNIS, SGK gibi sistemlere olan güvenin sarsılması, dijital dönüşüm sürecini sekteye uğratır.
6. Ekonomik Maliyetler
Veri ihlallerinin ardından sistemlerin yeniden yapılandırılması, güvenlik yatırımları ve hukuki süreçler ciddi maliyetler doğurur. Ayrıca, KVKK kapsamında devlet kurumları da idari para cezalarıyla karşılaşabilir.
BÜYÜK VERİ İHLALLERİNDE BİREYSEL RİSKLER
Bireyler için ise hem görünür hem de sinsi tehditler yaratabilir. Bu tür ihlaller yalnızca mahremiyetin ihlali değil, aynı zamanda maddi, psikolojik ve sosyal zararların kapısını aralayabilir.
1. Kimlik Hırsızlığı ve Dolandırıcılık
TC kimlik numarası, doğum tarihi, adres gibi bilgilerle sahte kimlik oluşturulabilir. Kredi çekme, banka hesabı açma, e-ticaret alışverişi gibi işlemler bireyin adına yapılabilir. Bu durum, bireyin kredi notunu düşürebilir ve uzun süreli hukuki mücadeleye yol açabilir.
2. Sosyal Mühendislik ve Manipülasyon
Ele geçirilen bilgilerle bireyler hedef alınarak sahte çağrılar, e-postalar veya mesajlar gönderilebilir. “Bankadan arıyoruz” tarzı dolandırıcılık senaryoları daha ikna edici hale gelir. Özellikle yaşlı bireyler ve dijital okuryazarlığı düşük kişiler daha savunmasızdır.
3. İtibar Zedelenmesi ve Mahremiyet İhlali
Sağlık bilgileri, özel hayat detayları veya sosyal medya geçmişi gibi hassas veriler ifşa edilirse bireyin itibarı zarar görebilir. Özellikle iş başvurularında veya kamuya açık pozisyonlarda bu tür bilgiler ciddi sorunlara yol açabilir.
4. Psikolojik Etkiler
Kişisel verilerin izinsiz şekilde ele geçirilmesi bireyde güvensizlik, kaygı ve stres yaratabilir. “Takip ediliyor muyum?” hissi, dijital paranoya ve sosyal izolasyona neden olabilir.
5. Hukuki ve Mali Yükler
Birey, dolandırıcılık mağduru olduğunda savcılığa suç duyurusunda bulunmak, dava açmak gibi süreçlerle uğraşmak zorunda kalabilir. Bu süreçler zaman alıcı, yorucu ve maliyetli olabilir.
6. Hedefli Reklam ve Veri Ticareti
Veriler reklam şirketlerine veya veri simsarlarına satıldığında, birey farkında olmadan manipülatif reklam kampanyalarına maruz kalabilir. Bu durum, tüketim alışkanlıklarını etkileyebilir ve bireyin dijital profilinin ticari amaçlarla sömürülmesine neden olur.
BİREYLERİN ALMASI GEREKEN KORUYUCU VE TEPKİSEL ÖNLEMLER
Dijital dünyada kişisel verileri korumak artık bir refleks haline gelmeli. Kötü niyetli kişilerin eline geçen bilgiler, bireyler için ciddi sonuçlar doğurabilir; ama doğru alışkanlıklar ve araçlarla bu riskler büyük ölçüde azaltılabilir.
1. Kimlik ve Hesap Güvenliğini Güçlendirme
Tüm dijital hesaplarda şifreler değiştirilip iki faktörlü doğrulama aktif edilmeli. Banka, e-Devlet, sosyal medya gibi kritik platformlarda güvenlik ayarları gözden geçirilmeli.
2. Şantaj ve Tehdit Durumunda Hukuki Destek Arama
Emniyet Siber Suçlarla Mücadele birimine başvuru yapılmalı. KVKK ve savcılık üzerinden resmi şikâyet süreci başlatılmalı.
3. Kişisel Bilgi Paylaşımını Minimuma İndirme
Sosyal medya ve diğer dijital platformlarda kişisel veri paylaşımı sınırlandırılmalı. Özellikle adres, telefon, aile bilgileri gibi veriler gizli tutulmalı.
4. Psikolojik Destek ve Toplumsal Dayanışma
Mağdur bireyler için psikolojik destek alınmalı. Toplumda mağdur suçlaması yerine dayanışma kültürü teşvik edilmeli.
5. Dijital Okuryazarlık ve Farkındalık Artırımı
Siber güvenlik konusunda bireysel eğitimler alınmalı. Bilinçli dijital davranışlar yaygınlaştırılmalı (örneğin sahte linklere tıklamama, bilinmeyen dosyaları açmama).
DEVLET VE KURUMLAR İÇİN VERİ GÜVENLİĞİ ÖNLEMLERİ
Teknik Önlemler
Veri Şifreleme (Kriptolama): Gizlilik dereceli veriler yazılımsal ve donanımsal olarak şifrelenmeli.
Güvenli Ağlar: Kritik veriler internete kapalı, fiziksel güvenliği sağlanmış ağlarda tutulmalı.
Log Kayıtları: Sistem erişim kayıtları değiştirilemez şekilde saklanmalı ve düzenli olarak denetlenmeli.
Sızma Testleri: Periyodik olarak etik hacker’lar tarafından sistemlere sızma testleri yapılmalı.
Yerli Yazılım ve Donanım Kullanımı: Özellikle mobil uygulamalarda yerli çözümler tercih edilmeli.
Bulut Depolama Kısıtlaması: Kamu verileri, yalnızca kurum kontrolündeki yerli hizmet sağlayıcılarda saklanmalı.
İdari ve Organizasyonel Önlemler
Veri Sınıflandırması: Hangi verinin ne kadar kritik olduğu belirlenmeli ve buna göre koruma düzeyi uygulanmalı.
Eğitim ve Farkındalık: Kamu çalışanlarına düzenli olarak siber güvenlik ve veri koruma eğitimi verilmeli.
Yetki Matrisi: Her çalışanın yalnızca görev alanıyla ilgili verilere erişimi olmalı.
Veri Paylaşım Protokolleri: Kurumlar arası veri paylaşımı sıkı protokollere bağlanmalı.
Mobil Cihaz Kısıtlaması: Gizlilik dereceli verilerin işlendiği ortamlarda mobil cihaz bulundurulmamalı.
Sosyal Medya Kısıtlaması: Gizli verilerin sosyal medya veya yabancı uygulamalar üzerinden paylaşımı yasaklanmalı.
Hukuki ve Denetimsel Önlemler
KVKK Uyum Süreci: Tüm kamu kurumları, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na tam uyum sağlamalı.
Veri İhlali Bildirim Sistemi: Olası ihlallerde hızlı bildirim ve müdahale mekanizmaları kurulmalı.
Bağımsız Denetim: Kurumlar, dış denetçiler tarafından düzenli olarak veri güvenliği açısından incelenmeli.
Bütün vatandaşların tüm verilerinin devlet kurumlarına sızılarak ele geçirildiğini, kişisel bilgilerin Deepweb'de satılmaya başlandığını, bazı kişilere tehdit ve şantaj yapıldığını düşünürsek o ülkede devlet ve vatandaş ne yapmalıdır?
Yapay Zeka’nın yanıtı önemli. Bu senaryo, dijital çağın en karanlık kabuslarından biri: tüm vatandaşların kişisel verilerinin devlet kurumlarından sızdırılması, deepweb'de satışa sunulması ve bazı kişilerin tehdit ve şantaja maruz kalması. Böyle bir durumda hem devletin hem de vatandaşların hızlı, koordineli ve çok katmanlı bir şekilde hareket etmesi gerekir. Aşağıda bu tür bir kriz anında yapılması gerekenleri stratejik düzeyde özetledim:
DEVLETİN ATMASI GEREKEN ACİL VE SİSTEMATİK ADIMLAR
1. Ulusal Kriz Yönetimi ve Acil Durum Bildirimi
Hükümet, olayın boyutunu kamuoyuna şeffaf şekilde açıklamalı.
Ulusal Siber Güvenlik Kriz Merkezi kurulmalı veya aktif hale getirilmeli.
Vatandaşlara yönelik rehberler, uyarılar ve destek hatları devreye sokulmalı.
2. Veri Sızıntısının Kaynağının Tespiti ve İzolasyonu
Hangi sistemden, hangi yöntemle sızıntı gerçekleştiği teknik olarak analiz edilmeli.
İlgili sunucular ve ağlar izole edilmeli, erişim kısıtlanmalı.
3. Yasal ve Hukuki Süreçlerin Başlatılması
KVKK ve Ceza Kanunu kapsamında soruşturmalar açılmalı.
Deepweb'de satış yapan kişi veya grupların tespiti için uluslararası iş birlikleri kurulmalı (Interpol, Europol vb.).
Şantaj mağdurlarına hukuki destek sağlanmalı.
4. Siber Güvenlik Altyapısının Yeniden Yapılandırılması
Tüm kamu kurumlarında sızma testleri, güvenlik denetimleri ve veri sınıflandırması yapılmalı.
Kritik veriler için çok katmanlı şifreleme ve erişim kontrol sistemleri kurulmalı.
5. Psikolojik ve Sosyal Destek Mekanizmaları
Tehdit ve şantaj mağdurlarına psikolojik danışmanlık hizmetleri sunulmalı.
Özellikle çocuklar, yaşlılar ve hassas gruplar için özel destek programları oluşturulmalı.
UZUN VADELİ STRATEJİ: DEVLET + VATANDAŞ İŞ BİRLİĞİ
Ulusal Dijital Güvenlik Seferberliği başlatılabilir.
Okullarda, kamu kurumlarında ve medya aracılığıyla siber farkındalık kampanyaları yürütülmeli.
Devlet, vatandaşların dijital haklarını koruyacak yeni yasal düzenlemeler yapmalı.
Akıllı ve akılcı olalım. Ülkemiz camdan ev olmasın. Bireyler de camdan evde yaşamak zorunda kalmasın.
Bu tür bir kriz, sadece teknik bir sorun değil; aynı zamanda toplumsal bir travma ve devletin dijital egemenliği açısından bir sınavdır.
