Geçtiğimiz hafta, bir telefon dolandırıcısının kurbanı olan arkadaşımın annesinin, evdeki bilezikleri ve bankadaki 250 bin TL'si maalesef yok oldu. Üstelik bir bankacı olan kızının defalarca uyarmasına, Canan Karatay gibi ünlü insanların bu yolla dolandırıldıklarını bilmesine ve nasıl dolandırıldıklarına şaşmasına rağmen.
Bu "telefon dolandırıcılığı" olayları maalesef internetle birlikte gelişti. Nedeni de, bir yandan telekom teknolojilerindeki gelişmeler, diğer yandan da çeşitli yollara çalınan kişisel veriler. Dolandırıcılar bu verileri tabiri caiz ise "düşman hakkında istihbarat" toplar gibi topluyorlar. Temel veri tabanı meydana getirip, yeni yeni sızıntılarla verileri güncelliyor ya da zenginleştiriyorlar. Sonra da dolandıracakları kişileri seçme yöntemlerinde ve o kişileri ikna etmekte bu veriler birer silah gibi kullanılıyor.
Ülkemizde çoğu kişinin önemsiz sandığı ve ne işlere yarayabileceğini anlayamadığı "kişisel verilerin" ne kadar kıymetli olduğunu, iPhone'ların değişen kişisel veri politikası yüzünden reklam alamaz hale gelen Facebook'un değerinin 1 yıl içinde 500 milyar dolara yakın düşmesi ile de örneklemiştik.
Facebook'un değerini yarıya düşüren bu "kişisel veriler" nasıl çalınıyor diye sorarsanız, iki yol var. Birincisi bizzat kişinin kendisinden çalınması, ikincisi bu verileri hizmet almak için verdiği bir şirketten çalınması.
Karanlık webde satılan kişisel verilerin bir kısmı kişilerin kendi bilgisizliği sonucunda yani yabancı biri tarafından -cazip bir mesajla- gönderilmiş kötücül kod taşıyan bir linke tıklaması gibi bir nedenle bilgisayarına truva atı indirmesi sonucunda meydana geliyor. Buna çözümü hemen her siber güvenlik firması sürekli söylüyor; internetten gelen herkese ya da her bilgiye inanmayın, her şeyi tıklamayın, antivirüs yazılımı kullanın ve de yazılımlarınızı güncel tutun.
FBI'ın Mart 2023 sonunda yayımladığı ve ABD'de şikayet edilen 2022 online dolandırıcılıkları raporuna bakarsanız, toplam 801 bin şikayetin 379 bini (oltalama, kimlik avı ve bireysel sızma) yani yüzde 50'ye yakını kişisel hata/kandırılma sonucu meydana geliyor. Yani sadece şikayet edilen dolandırıcılıklara bakarsak bile bu kadar insanın kişisel verilerini almaya çalışanlar olmuş. Bu veriler bahsettiğimiz telefon dolandırıcılığına kadar giden sonuçlar yaratıyor.
Ancak hepsi bu değil, bazen de verileriniz hizmet almak için verdiğiniz bir firmadan -e-ticaret firması ya da otel, seyahat firması, fiziksel otomobil kiralama firması, sadakat kartı aldığınız fiziksel mağaza vs- çalınabiliyor. Bu ikinci yol olan firmalardan sızma olayı da maalesef yaygın. Ülkemizdeki bazı portalların güvenlik koşullarını yerine tam getirmediğini görüyoruz. Bu konuda neler yapılmalı şeklinde bir söyleşimiz olmuştu. Ona bakabilirsiniz.
Bahsettiğimiz eksiklikler ya da siber saldırganların becerileri sayesinde olsa gerek, bu aralar, sosyal medyada da bazı Türk siber güvenlik uzmanları çeşitli firmalardan kişisel verilerin sızdığına dair bilgiler içeren mesajlar yayımlıyorlar. Adları geçen firmaların birkaç tanesi arka arkaya ihlal bildirimi yaptılar. Sosyal medyadaki listelerde daha fazla sayıda firma ismi de geçiyor. Henüz onlardan ses çıkmadı. Ama FBI'ın geçen hafta çöktürdüğü "Genesis Market" isimli yasa dışı online pazarda da, başka ülkelerin vatandaşlarının yanında bazı Türk kimlik bilgilerinin de satıldığı görüldü.
Avrupa Birliği bu "kişisel veri" olayının önemini en erken farkeden ülkeler durumunda.
Türkiye ise yıllardır geciktirdiği Kişisel Verileri Koruma Kanununu 2016'da çıkardı. Bu kanun 1995/46 sayılı AB KVK Direktifi esas alınarak hazırlanmış bir yasa. Halbuki 95/46 adından da anlaşılacağı üzere direktif. Tavsiye niteliğinde. AB o dönemde internet ve mobil iletişim, özellikle de akıllı telefon ve tabletlerin yaygınlaşması ile gündeme gelen sosyal medya vb değerlendirip GDPR hazırlıklarına başlamıştı. Yani eksik yönleri var.
Kanun çerçevesinde kurulan Kişisel Verileri Koruma Kurulu (KVKK) üyeleri 2017 başında atandı ve bir süre mevzuatı oluşturmakla uğraştılar. Ama birazdan verilerden de göreceğiniz üzere bu konuda bazı eksiklikleri gözüküyor. Ama yine de, yazıya başlarken bahsettiğim telefon dolandırıcıların kurbanı olan anne gibi olayları anlamak açısından elimizdeki tek veri kaynağı bu.
O yüzden Kişisel Verileri Koruma Kurulu'nun raporlarına "Acaba Türkiye'de ne tür veri ihlalleri raporlanmış" ve "ne kadar kişisel veri çalınmış" gözüküyor diye yakından bakalım istedik. Bu neler olduğuna dair tam olmasa da en azından bir fikir sağlıyor.
Kişisel Verileri Koruma Kurulu (KVKK), yine vatandaşı (tüketicileri) korumaya yönelik bir kurulmuş bir yapıdır. Ana görevi, kişisel veri işleyen firmaların, kişisel verileri iyi korumaları için gerekli önlemleri almalarını sağlamaktır. Çalınmış kişisel veriler olması durumunda ise, bunu vatandaşlara/tüketicilere duyurarak bireylerin önlem alınmasını sağlamaya çalışır.
Facebook, Google gibi kişisel veri işleyen çok uluslu firmaların günümüzde "kişisel verilerin aşırı kullanımı" konusunda sabıkaları olduğunu biliyorsunuz. KVKK'nın bu tür olaylarda da proaktif davranması lazım. AB'de genç bir hukuk öğrencisi bu konuda büyük bir başarı kazandı.
Ülkemizde yıllık çalışan sayısı 50'nin üzerinde ya da yıllık bilançosu 25 milyon TL'den çok olan ya da bunların altında olduğu halde özel nitelikli kişisel veri işleyen firmalar "Kişisel Verileri Koruma Kanunu" çerçevesinde, Veri Sorumluları atamak ve bu veri sorumluları da KVKK'nın Verbis adını taşıyan veri tabanına kayıt olmak zorundalar.
Bu veri tabanındaki sorumlular, çalıştıkları firmada meydana gelen veri ihlallerini de zaman geçirmeden -belli süreler içinde- KVKK'ya raporlamak zorundalar. Bu, kişisel verilerin korunması kadar, kişisel verilerinin çalındığı anlaşılan ya da ihtimali olan insanların kendilerini koruma tedbirlerini alması açısından önemli.
Şifrelerini değiştirmeleri, belki daha ileri önlemlere başvurmaları, bankalarında önlem almaları gibi çeşitli tedbirlerden bahsediyoruz.
Ayrıca kendisi ile ilgili verilerin çalındığını düşünenler de KVKK'ya şikayette bulunabilir.
Şimdi gelelim verilere, KVKK'nın veri ihlali bildirim sayfasındaki tüm olayları inceledik. 2018'de incelemeler başlayan kurulun -4 yıl gibi sayacağımız- bugüne kadar 176 olayda 40,7 milyon kişinin verisinin ihlal edildiğini raporladığı görülüyor. Bu 176 olayın 10 kadarı yabancı ülkelerde meydana gelip, etkileri Türk vatandaşlarına uzanan (otel, havayolu, e-ticaret sitesi) türden veri ihlalleri
Verilere bakıldığında, 2023 ilk 3 ayda 8 ihlal yaşamış. Yine 30-40-50 civarı ihlal olabileceği anlaşılıyor. Kişi sayısı olarak bakıldığında ise YemekSepeti.com ihlali (ki 21,5 milyon kişi etkilenmişti) nedeniyle en yüksek yıl 2021. Ama dikkat ederseniz, 2023'ün başında olduğumuz halde, ilk 3 ayda sızan veri sayısı, 2022'nin tamamına eşdeğer gözüküyor. Bu senenin daha kötü bir rakamla bitmesi olası.
Bu arada not edelim; KVKK'nın bir eksiği bu; veri ihlallerinin bir çoğunda firmalar "muhtemel" gibi müphem cevaplar verebiliyor ve bu nedenle de ihlal edilen hesap sayısı olmayabilir. Nitekim olayların ancak 77'sinde (yani yüzde 43'ünde) "Evet veriler sızdı" notu var. Yani bu gördüğünüz 40,7 milyon rakamı toplamın yarısı olmuş olabilir. Tabii ki, bu rakamın içinde birden fazla kere verileri sızan insanlar da olabilir yani 40,7 milyon verileri sızan insan sayısı değil, sızan veri sayısı.
Olaya bir de bu veri ihlallerinin yöntemi açısından baktık (burada da tam yılları aldık yani 2018 ve 2023 yok):
Bu tabloya bakıldığında ise en fazla fidye saldırı ve siber saldırı (dışarıdan yetkisiz erişim) görülüyor. İkisi de dışarıdan firmaya yapılmış siber saldırı olarak düşünülürse, yüzde 73,6 olarak değerlendirilebilir. Bunun yanında kullanılan dış yazılım nedeniyle, hatalı sistem ya da kullanıcı hatası nedeniyle de veri ihlalleri yüzde 16,5. Ama en korkutucu olan çalışan ya da eski çalışanın verileri sızdırması durumu. Bu daha çok bankalarda meydana geliyor ve yüzde 11 düzeyinde raporlanmış. Bunu ayrı bir yazıda 3 farklı örnek ile anlatacağız çünkü meydana gelen bir kaç olaya baktığımızda, bankaların bu konuda çok hassas davranmayabildiğine dair bir düşüncemiz oluştu. Buna dair beklediğimiz bir dava sonucu (Google Play ile ilgili) ve bir görüşme var.
Bu noktada KVKK raporunun, önlem alma yolunda elimizdeki tek bilgi olduğunu düşünürsek, yukarıdaki tabloda gösterilen nedenlerin ve ihlal raporlarının biraz daha spesifik olması gerektiği düşüncesindeyiz. Bazı raporların çok kapalı ("rapor verdik işte" tarzı), kişisel verilerin sızması olup olmadığı konusunda havada bırakan ve sayıları tam vermeyen ve bazılarının da "ne olup bittiğini anlamamış" şeklinde olduğunu gördük. Bu raporların daha detaylı ve şeffaf olmasının, ülkenin siber güvenlik açısından güçlenmesi ve farkındalığın artması anlamına da geleceğini unutmamak lazım.
Kişisel Verileri Koruma Kurulu'nun var olması bir açıdan rahatlatıcı olmakla birlikte, yasa gereği özel-kamu ayrımı yapmadan işlem yapması gerekiyor. Kanunda da kamu yetkililerinin sorumlu olduğu durumlara yönelik maddeler mevcut. Aşağıdaki örnekler ise bunun tersini gösteriyor:
2010 yılında sızdığı raporlanan 50 milyon vatandaşın verisi, 2016 yılında tekrar satışa çıkartılmış ve zamanın Başbakanı Binali Yıldırım, "o eskiden sızdı" diyerek geçiştirmişti. Oysa gördüğünüz gibi 6 yıl sonra bile aynı veriler satılıyordu. Günümüzde de bu verilerin üzerlerine yenilerinin eklendiğini, güncelleme ve zenginleştirme (olmayan veri cinslerinin eklenmesi gibi) yapıldığını duyuyor ve görüyoruz. Yani kamu "kişisel veriler" konusunda hata yapmışsa, onun da ayrılmadan, hatasının değerlendirilmesi gerekiyor. Kamu diye hatasını görmemek ya da ne yapsa vatan, millet, Sakarya kapsamına sokmak bizi nereye götürüyor, hep birlikte gördük, görüyoruz.
KVKK'nın aradan geçen 5 yılda yapmadıklarına da değinelim:
Son olarak, yukarıda da yazdık, Kişisel Verileri Koruma Kanunu çıkalı 7 yıl oldu. KVKK 95/46 sayılı AB KVK Direktifi esas alınarak hazırlanmış bir yasa. Halbuki 95/46 adından da anlaşılacağı üzere direktif. Tavsiye niteliğinde. KVKK'nın işlevinin artması için 2016 GDPR yasasına uyumlu hale getirilmesi lazım. Bu ticari olarak da Türkiye'nin elini rahatlatacaktır.
Başa dönersek, kişisel verilerimiz çalınıyor ve bunları kullanan kötü niyetli insanlar var. Bunların bir kısmı maalesef telefon dolandırıcıları. Bu konuda bireyler, bankalar, hukuk, kolluk, telefon hizmeti sağlayıcıları ve KVKK el birliği ve yüksek farkındalık ile çalışmak zorunda. Aksi durumda, mağdur insanlar çoğalıyor.
