KVKK raporlarına göre 2018-2023 arasında 176 veri ihlali meydana geldi

Geçtiğimiz hafta, bir telefon dolandırıcısının kurbanı olan arkadaşımın annesinin, evdeki bilezikleri ve bankadaki 250 bin TL'si maalesef yok oldu. Üstelik bir bankacı olan kızının defalarca uyarmasına, Canan Karatay gibi ünlü insanların bu yolla dolandırıldıklarını bilmesine ve nasıl dolandırıldıklarına şaşmasına rağmen.

Bu "telefon dolandırıcılığı" olayları maalesef internetle birlikte gelişti. Nedeni de, bir yandan telekom teknolojilerindeki gelişmeler, diğer yandan da çeşitli yollara çalınan kişisel veriler. Dolandırıcılar bu verileri tabiri caiz ise "düşman hakkında istihbarat" toplar gibi topluyorlar. Temel veri tabanı meydana getirip, yeni yeni sızıntılarla verileri güncelliyor ya da zenginleştiriyorlar. Sonra da dolandıracakları kişileri seçme yöntemlerinde ve o kişileri ikna etmekte bu veriler birer silah gibi kullanılıyor.

Ülkemizde çoğu kişinin önemsiz sandığı ve ne işlere yarayabileceğini anlayamadığı "kişisel verilerin" ne kadar kıymetli olduğunu, iPhone'ların değişen kişisel veri politikası yüzünden reklam alamaz hale gelen Facebook'un değerinin 1 yıl içinde 500 milyar dolara yakın düşmesi ile de örneklemiştik.

Kişisel veriler nasıl çalınıyor?

Facebook'un değerini yarıya düşüren bu "kişisel veriler" nasıl çalınıyor diye sorarsanız, iki yol var. Birincisi bizzat kişinin kendisinden çalınması, ikincisi bu verileri hizmet almak için verdiği bir şirketten çalınması.

Karanlık webde satılan kişisel verilerin bir kısmı kişilerin kendi bilgisizliği sonucunda yani yabancı biri tarafından -cazip bir mesajla- gönderilmiş kötücül kod taşıyan bir linke tıklaması gibi bir nedenle bilgisayarına truva atı indirmesi sonucunda meydana geliyor. Buna çözümü hemen her siber güvenlik firması sürekli söylüyor; internetten gelen herkese ya da her bilgiye inanmayın, her şeyi tıklamayın, antivirüs yazılımı kullanın ve de yazılımlarınızı güncel tutun.

FBI'ın Mart 2023 sonunda yayımladığı ve ABD'de şikayet edilen 2022 online dolandırıcılıkları raporuna bakarsanız, toplam 801 bin şikayetin 379 bini (oltalama, kimlik avı ve bireysel sızma) yani yüzde 50'ye yakını kişisel hata/kandırılma sonucu meydana geliyor. Yani sadece şikayet edilen dolandırıcılıklara bakarsak bile bu kadar insanın kişisel verilerini almaya çalışanlar olmuş. Bu veriler bahsettiğimiz telefon dolandırıcılığına kadar giden sonuçlar yaratıyor.

Ancak hepsi bu değil, bazen de verileriniz hizmet almak için verdiğiniz bir firmadan -e-ticaret firması ya da otel, seyahat firması, fiziksel otomobil kiralama firması, sadakat kartı aldığınız fiziksel mağaza vs- çalınabiliyor. Bu ikinci yol olan firmalardan sızma olayı da maalesef yaygın. Ülkemizdeki bazı portalların güvenlik koşullarını yerine tam getirmediğini görüyoruz. Bu konuda neler yapılmalı şeklinde bir söyleşimiz olmuştu. Ona bakabilirsiniz.

Bahsettiğimiz eksiklikler ya da siber saldırganların becerileri sayesinde olsa gerek, bu aralar, sosyal medyada da bazı Türk siber güvenlik uzmanları çeşitli firmalardan kişisel verilerin sızdığına dair bilgiler içeren  mesajlar yayımlıyorlar. Adları geçen firmaların birkaç tanesi arka arkaya ihlal bildirimi yaptılar.  Sosyal medyadaki listelerde daha fazla sayıda firma ismi de geçiyor. Henüz onlardan ses çıkmadı. Ama FBI'ın geçen hafta çöktürdüğü "Genesis Market" isimli yasa dışı online pazarda da, başka ülkelerin vatandaşlarının yanında bazı Türk kimlik bilgilerinin de satıldığı görüldü.

6698 Sayılı Kişisel Verileri Koruma Kanunu 2016'da yayımlandı

Avrupa Birliği bu "kişisel veri" olayının önemini en erken farkeden ülkeler durumunda.

1. 1981 yılında, kişisel bilgisayarlar (PC'ler) henüz yaygınlaşmaya bile başlamamışken, "Elektronik Ortamda İşlenen Kişisel Veriler" diye bir sözleşme hazırladılar ve ülkelere imzalattılar. Türkiye de imzalayanlar arasındaydı.
2. İnternetin yaygınlaşmaya başlamasıyla bu sefer AB, 1995 yılında kişisel veriler için bir çerçeve yayımladı.
3. Sosyal medya yükselirken ise, 2012'de çalışmalara başlayıp 2016 yılında bir kanun çıkardılar. 2018 itibariyle yürürlüğe girdi. GDPR yani Genel Veri Koruması adı verilen bu kanun epeyce sert ve zaman geliyor Facebook, Google gibi firmaları titretiyor. Cezalar çok milyon dolarlı düzeyde.

Türkiye ise yıllardır geciktirdiği Kişisel Verileri Koruma Kanununu 2016'da çıkardı. Bu kanun 1995/46 sayılı AB KVK Direktifi esas alınarak hazırlanmış bir yasa. Halbuki 95/46 adından da anlaşılacağı üzere direktif. Tavsiye niteliğinde. AB o dönemde internet ve mobil iletişim, özellikle de akıllı telefon ve tabletlerin yaygınlaşması ile gündeme gelen sosyal medya vb değerlendirip GDPR hazırlıklarına başlamıştı. Yani eksik yönleri var.

Kanun çerçevesinde kurulan Kişisel Verileri Koruma Kurulu (KVKK) üyeleri 2017 başında atandı ve bir süre mevzuatı oluşturmakla uğraştılar. Ama birazdan verilerden de göreceğiniz üzere bu konuda bazı eksiklikleri gözüküyor. Ama yine de, yazıya başlarken bahsettiğim telefon dolandırıcıların kurbanı olan anne gibi olayları anlamak açısından elimizdeki tek veri kaynağı bu.

O yüzden Kişisel Verileri Koruma Kurulu'nun raporlarına "Acaba Türkiye'de ne tür veri ihlalleri raporlanmış" ve "ne kadar kişisel veri çalınmış" gözüküyor diye yakından bakalım istedik. Bu neler olduğuna dair tam olmasa da en azından bir fikir sağlıyor.

Kişisel Verileri Koruma Kurulu ne işe yarıyor?

Kişisel Verileri Koruma Kurulu (KVKK), yine vatandaşı (tüketicileri) korumaya yönelik bir kurulmuş bir yapıdır. Ana görevi, kişisel veri işleyen firmaların, kişisel verileri iyi korumaları için gerekli önlemleri almalarını sağlamaktır. Çalınmış kişisel veriler olması durumunda ise, bunu vatandaşlara/tüketicilere duyurarak bireylerin önlem alınmasını sağlamaya çalışır.

Facebook, Google gibi kişisel veri işleyen çok uluslu firmaların günümüzde "kişisel verilerin aşırı kullanımı" konusunda sabıkaları olduğunu biliyorsunuz. KVKK'nın bu tür olaylarda da proaktif davranması lazım. AB'de genç bir hukuk öğrencisi bu konuda büyük bir başarı kazandı.

Ülkemizde yıllık çalışan sayısı 50'nin üzerinde ya da yıllık bilançosu 25 milyon TL'den çok olan ya da bunların altında olduğu halde özel nitelikli kişisel veri işleyen firmalar "Kişisel Verileri Koruma Kanunu" çerçevesinde, Veri Sorumluları atamak ve bu veri sorumluları da KVKK'nın Verbis adını taşıyan veri tabanına kayıt olmak zorundalar.

Bu veri tabanındaki sorumlular, çalıştıkları firmada meydana gelen veri ihlallerini de zaman geçirmeden -belli süreler içinde- KVKK'ya raporlamak zorundalar. Bu, kişisel verilerin korunması kadar, kişisel verilerinin çalındığı anlaşılan ya da ihtimali olan insanların kendilerini koruma tedbirlerini alması açısından önemli.

Şifrelerini değiştirmeleri, belki daha ileri önlemlere başvurmaları, bankalarında önlem almaları gibi çeşitli tedbirlerden bahsediyoruz.

Ayrıca kendisi ile ilgili verilerin çalındığını düşünenler de KVKK'ya şikayette bulunabilir.

4 yılda 40,6 milyon veri sızmış

Şimdi gelelim verilere, KVKK'nın veri ihlali bildirim sayfasındaki tüm olayları inceledik. 2018'de incelemeler başlayan kurulun -4 yıl gibi sayacağımız- bugüne kadar 176 olayda 40,7 milyon kişinin verisinin ihlal edildiğini raporladığı görülüyor. Bu 176 olayın 10 kadarı yabancı ülkelerde meydana gelip, etkileri Türk vatandaşlarına uzanan (otel, havayolu, e-ticaret sitesi) türden veri ihlalleri

Verilere bakıldığında, 2023 ilk 3 ayda 8 ihlal yaşamış. Yine 30-40-50 civarı ihlal olabileceği anlaşılıyor. Kişi sayısı olarak bakıldığında ise YemekSepeti.com ihlali (ki 21,5 milyon kişi etkilenmişti) nedeniyle en yüksek yıl 2021. Ama dikkat ederseniz, 2023'ün başında olduğumuz halde, ilk 3 ayda sızan veri sayısı, 2022'nin tamamına eşdeğer gözüküyor. Bu senenin daha kötü bir rakamla bitmesi olası.

Bu arada not edelim; KVKK'nın bir eksiği bu; veri ihlallerinin bir çoğunda firmalar "muhtemel" gibi müphem cevaplar verebiliyor ve bu nedenle de ihlal edilen hesap sayısı olmayabilir. Nitekim olayların ancak 77'sinde (yani yüzde 43'ünde) "Evet veriler sızdı" notu var. Yani bu gördüğünüz 40,7 milyon rakamı toplamın yarısı olmuş olabilir. Tabii ki, bu rakamın içinde birden fazla kere verileri sızan insanlar da olabilir yani 40,7 milyon verileri sızan insan sayısı değil, sızan veri sayısı.

Olaya bir de bu veri ihlallerinin yöntemi açısından baktık (burada da tam yılları aldık yani 2018 ve 2023 yok):

Bu tabloya bakıldığında ise en fazla fidye saldırı ve siber saldırı (dışarıdan yetkisiz erişim) görülüyor. İkisi de dışarıdan firmaya yapılmış siber saldırı olarak düşünülürse, yüzde 73,6 olarak değerlendirilebilir. Bunun yanında kullanılan dış yazılım nedeniyle, hatalı sistem ya da kullanıcı hatası nedeniyle de veri ihlalleri yüzde 16,5. Ama en korkutucu olan çalışan ya da eski çalışanın verileri sızdırması durumu. Bu daha çok bankalarda meydana geliyor ve yüzde 11 düzeyinde raporlanmış. Bunu ayrı bir yazıda 3 farklı örnek ile anlatacağız çünkü meydana gelen bir kaç olaya baktığımızda, bankaların bu konuda çok hassas davranmayabildiğine dair bir düşüncemiz oluştu. Buna dair beklediğimiz bir dava sonucu (Google Play ile ilgili) ve bir görüşme var.

Bu noktada KVKK raporunun, önlem alma yolunda elimizdeki tek bilgi olduğunu düşünürsek, yukarıdaki tabloda gösterilen nedenlerin ve ihlal raporlarının biraz daha spesifik olması gerektiği düşüncesindeyiz. Bazı raporların çok kapalı ("rapor verdik işte" tarzı), kişisel verilerin sızması olup olmadığı konusunda havada bırakan ve sayıları tam vermeyen ve bazılarının da "ne olup bittiğini anlamamış" şeklinde olduğunu gördük. Bu raporların daha detaylı ve şeffaf olmasının, ülkenin siber güvenlik açısından güçlenmesi ve farkındalığın artması anlamına da geleceğini unutmamak lazım.

KVKK neleri yapmıyor ya da eksik yapıyor?

Kişisel Verileri Koruma Kurulu'nun var olması bir açıdan rahatlatıcı olmakla birlikte, yasa gereği özel-kamu ayrımı yapmadan işlem yapması gerekiyor. Kanunda da kamu yetkililerinin sorumlu olduğu durumlara yönelik maddeler mevcut. Aşağıdaki örnekler ise bunun tersini gösteriyor:

1. Boğaziçi Üniversitesi'ndeki veri ihlali olabilecek konuda harekete geçtiklerini ben duymadım.
2. Ya da Onursal Adıgüzel BTK'nın yapmış olduğu Cumhuriyet Tarihinin en büyük fişlemesini duyurdu ama bu konuda da KVKK'nın harekete geçtiğini gö BTK'nın "Abone Deseni" ve arkasından "Log Deseni" talep etmesi konusunda KVKK'nın söyleyeceği söz yok mu? Telkoder tarafından bu konuda dava açıldı. Bu dava sonucunda KVKK'ya BTK'nın işlemi soruldu. Hâlâ bir cevap verildiğini duymuş değiliz. Yoksa seçimin sonucunu mu bekliyorlar?
3. Geçen belediye seçimlerinde AKP her eve (ev reisine) kendi propoganda mektuplarını gönderdi. Kişisel veriler kanunu varken bunu nasıl yaptı? Bu seçimlerde de 18 yaşına yeni basan seçmenlere yine mektup gönderdi. Bunlar hiç soruşturuldu mu?
4. KVKK bir kamu kurumu ve orada çalışanlar memur. Görevleri gereği bir suça vakıf olduklarında bu suçu Cumhuriyet Savcılığına bildirmek Devlet Memurunun görevi. Bildirmezse suç işlemiş olur. Bu açıdan KVKK'nın özellikle yukarıda yazdığımız gibi BTK'nın veya AKP'nin işlediği kişisel verilerile ilgili suçlar açısından başını deve kuşu misali kuma gömmesi kabul edilebilir bir durum değil. Bildiğimiz bu güne kadar bu konuda veya benzeri ciddi kişisel verilerin veya özel nitelikli kişisel verilerin hukuka aykırı olarak işlenmesi ile ilgili konularda bir işlem yapılmadı. Mesala en son yerel seçimlerde seçime itiraz konularından birisi özürlü seçmen bilgisi ile ilgiliydi. Özür seçmen bilgisi partilerde var mı? Varsa hangi nedenle var? Hangi partilerde var. Eğer diğer partilerde yok, AKP'de varsa, bu durumda AKP bunu kimden aldı? Kişisel verilerin verilmesi veya ele geçirilmesi Türk Ceza Kanunu'na göre suç değil mi?

2010 yılında sızdığı raporlanan 50 milyon vatandaşın verisi, 2016 yılında tekrar satışa çıkartılmış ve zamanın Başbakanı Binali Yıldırım, "o eskiden sızdı" diyerek geçiştirmişti. Oysa gördüğünüz gibi 6 yıl sonra bile aynı veriler satılıyordu. Günümüzde de bu verilerin üzerlerine yenilerinin eklendiğini, güncelleme ve zenginleştirme (olmayan veri cinslerinin eklenmesi gibi) yapıldığını duyuyor ve görüyoruz. Yani kamu "kişisel veriler" konusunda hata yapmışsa, onun da ayrılmadan, hatasının değerlendirilmesi gerekiyor. Kamu diye hatasını görmemek ya da ne yapsa vatan, millet, Sakarya kapsamına sokmak bizi nereye götürüyor, hep birlikte gördük, görüyoruz.

KVKK'nın aradan geçen 5 yılda yapmadıklarına da değinelim:

1. Güvenli ülkelerin belirlenmesi gerekiyor. Kurul'un bu ülkeleri halen belirlememiş olmasının bir nedeni var mı, merak ediyoruz. Kurul bugüne kadar hangi ülkeleri belirledi veya hadi karşılıklılık gözetildi, hangi ülkelerle karşılıklı veri koruma anlaşması son aşamaya getirilip, Bakanlığa bırakıldı?
2. Ayrıca KVKK 9. maddenin mevcut hali ile işlemediği ortada. Bu ortada iken, neden ve nasıl halen değişmez. Veri sorumlularına bu haliyle nasıl soruşturma yapılır anlamak mümkün değil. 9. maddenin acil şekilde değişmesi için acaba halen ne bekleniyor?
3. Asker ve polisin kişisel verilere hangi şartlar altında erişebileceği konusu, bu kanunda düzenlenmiyorsa, kendi kanunlarında düzenlenmeli (madde 6'da bir muafiyet söz konusu). Her iki tarafta da yok şu anda.
4. Yargıç ve savcı için tanınan kişisel verilere erişim hakkı, avukata tanınmıyor. Bu da hukukta eşitliği bozan, müdafaa tarafını zora düşüren bir durum olabilir. Bunun da düzeltilmesi lazım.
5. maddelerde değişiklik gerekiyor.

Son olarak, yukarıda da yazdık, Kişisel Verileri Koruma Kanunu çıkalı 7 yıl oldu. KVKK 95/46 sayılı AB KVK Direktifi esas alınarak hazırlanmış bir yasa. Halbuki 95/46 adından da anlaşılacağı üzere direktif. Tavsiye niteliğinde.  KVKK'nın işlevinin artması için 2016 GDPR yasasına uyumlu hale getirilmesi lazım. Bu ticari olarak da Türkiye'nin elini rahatlatacaktır.

Başa dönersek, kişisel verilerimiz çalınıyor ve bunları kullanan kötü niyetli insanlar var. Bunların bir kısmı maalesef telefon dolandırıcıları. Bu konuda bireyler, bankalar, hukuk, kolluk, telefon hizmeti sağlayıcıları ve KVKK el birliği ve yüksek farkındalık ile çalışmak zorunda. Aksi durumda, mağdur insanlar çoğalıyor.