Data dolandırıcılığına karşı nasıl korunabiliriz?

Reuters

Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu, milyonlarca Türkiye vatandaşının Sağlık Bakanlığı bünyesindeki kişisel bilgilerinin koronavirüs salgını periyodunda çalındığını doğruladı. Pekala teknolojinin günlük hayatla iç içe geçtiği bu devirde şahsî dataları korumak için hangi tedbirler alınmalı?

Yaşlı bir bayanın telefonu çalıyor. Arayan tanımadığı bir numara.

Telefonu açıyor. Sınırın başka tarafındaki kişi kendini torunu olarak tanıtıyor.

Telefonunu düşürüp kırdığını, kendisini bir arkadaşının telefonundan aradığını söylüyor.

Kadının şahsına ve yakınlarına ilişkin şahsî bilgilere vakıf olan “torun” yolda olduğunu, adresine geleceğini söylüyor ve para istiyor. Lakin bir aksilik sezen bayan, para vermeyi reddediyor ve telefonu kapatıyor.

Türkiye’de son yıllarda bu ve bunun üzere sonu dolandırıcılıkla biten çok sayıda kıssa yaşandı.

Özellikle ferdî bilgilerin en ince ayrıntısına kadar paylaşıldığı şekil dolandırıcılıkları ayırt etmek bir oldukça güç.

Zira bu bilgiler, geçtiğimiz 10 yılda ülkedeki devlet kurumlarını ve özel kuruluşları maksat alan siber hücumlar sonucunda internete sızdırıldı.

Veri hırsızlığına dair haberlerle birlikte, şahsî bilgi güvenliği de yine gündeme geldi.

Bu mevzuda pratik ve tüzel olarak hangi tedbirlerin alınması gerektiğini uzmanlara sorduk.

Veri güvenliğinin olmazsa olmazı: İki faktörlü koruma

Getty Images Birçok uygulama ve platform artık iki faktörlü muhafaza prosedürleri kullanıyor.

Kıdemli Siber Güvenlik Uzmanı Eyüp Çelik’e nazaran şahsî bilgilerin korunmasında hem ferdî hem de kurumsal tedbirler alınması gerekiyor.

BBC Türkçe‘ye konuşan Çelik, “Türkiye’deki tüm kurumlar [Kişisel Dataların Korunması Kanunu] KVKK’ye tâbi. Kurumlar genelde KVKK çerçevesinde şahsî bilgilerimizi muhafazaya çaba gösteriyorlar” dedi.

Çelik, ferdî dataların korunması için bilhassa şahsi aygıtlarda mümkün olduğunca “iki faktörlü doğrulama” kullanılması gerektiğini söyledi.

Bu metot ile bir kullanıcıdan hesabına giriş yapması için ikinci bir aygıttan onay vermesi isteniyor. Böylelikle uzaktan ve yasa dışı erişimler engellenebiliyor.

Çelik, “Çok faktörlü kimlik doğrulama düzeneğinin gerektiği her yerde çift kimlik doğrulaması kullanılmalı” diye konuştu.

Siber güvenlik uzmanı, bilgisayar korsanlarının sırf kurumları değil, şahsî aygıtları ve hesapları da amaç aldığına dikkat çekti ve şöyle devam etti:

“Siber saldırganlar aslında ferdi bilgilerinizle size dolandırıcılık yapıyor. SMS’ler, toplumsal medyada aldığınız bildiriler, telefonla aranmanız üzere şeyler siber tehdit aktörü ismini verdiğimiz birinin ya da bir kümenin elinde akın aracına dönüşüyor.”

‘Üçüncü taraf uygulamalara erişim vermek en büyük güvenlik açığı’

Kişisel aygıtlar ve toplumsal medya platformlarını kullanma biçimi de bilgi güvenliği açısından büyük kıymet taşıyor.

Yeditepe Üniversitesi Elektronik Ticaret İdaresi Kısmı Öğretim Vazifelisi Barış Yalçınkaya, farklı aygıtlarda farklı uygulama ve araçlara erişim müsaadesi verirken kullanıcıların dikkatli olması gerektiğini söyledi.

BBC Türkçe‘ye konuşan Yalçınkaya, “Herhangi bir aygıta ya da programa oturum açma müsaadesi verdiğinizde isminize eposta gönderme müsaadesi bile isteyebiliyor” dedi ve ekledi:

“En büyük [güvenlik] açığı, üçüncü taraf uygulamalara daima erişim vermemiz. Burada neye müsaade verdiğimizi asla okumamamız. Ne kadar farkında olsak da okuma tembelliğine gidiyoruz. Bu uygulamalar ya da tarayıcı eklentileri her türlü bilginizi gözetliyor.”

Yalçınkaya, bilgisayar tarayıcısından kullanmadığı eklentileri sildiğini ve cep telefonundaki uygulamalara fotoğraf galerisi ve mikrofon erişimi vermediğini söyledi.

Uygulamaların erişim müsaadesi alması durumunda “ortam dinlemesi” yapabildiğine dikkat çeken Yalçınkaya, kelamlarına şöyle devam etti:

“Cep telefonu diş fırçası üzere olmalı. Diğerleriyle paylaşmamalısınız. Sıfırlanmış eski bir telefondan bile her türlü data kurtarılabiliyor.”

‘Güçlü şifreler önemli’

Yalçınkaya, kullanıcıların platform ve uygulamalardaki tüm güvenlik seçeneklerini kullanması gerektiğini tabir etti ve her hesap için farklı ve güçlü şifreler kullanmanın kıymetine dikkat çekti:

“İçerisinde büyük harf ya da özel karakter olmayan, bilhassa altı harf ve daha az şifrelerin işlemciler tarafından çözülme müddeti saatlere indi. Bundan 10 yıl evvel yüzlerce saat sürüyordu. Bir alt çizgi ve özel karakter eklendiğinde ise bu müddet yüz yıllara çıkabiliyor. Bu yüzden güçlü şifreler çok değerli.”

Yasa ne diyor?

Veri Müdafaa Hukuku Uzmanı Avukat Umut Zorer, 2016’da yürürlüğe giren KVKK ile birlikte kamu ve özel kuruşlara bilgi toplanması, koruma edilmesi, işlenmesi ve ihlallerin bildirilmesi konusunda hukuksal yükümlülükler getirildiğine dikkat çekti.

Yasanın ilgili unsuruna nazaran dataların “kanuni olmayan yollarla diğerleri tarafından elde edilmesi hâlinde” data sorumlusu en kısa müddette ilgili kurumlara ve Şahsî Bilgileri Muhafaza Konseyi’ne bunu bildirmeli.

Yasa ayrıyeten “Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği öteki bir formülle ilan edebilir” diyor.

Zorer, BBC Türkçe‘ye verdiği demeçte kamu kurumlarının bu bildirimleri tertipli yapmadığını, yapılan bildirimlerin de kamuoyu ile faal biçimde paylaşılmadığını söyledi ve şunları kaydetti:

“Türkiye Cumhuriyeti’nde kamu kurumları KVKK’ya tâbi olmakla birlikte yeteri kadar ağır soruşturma ve yaptırım yükü altında değiller.”

Zorer, bilgi güvenliği ihlali durumunda özel şirketlere para cezası uygulanırken, kamu kuruluşlarına sadece disiplin cezası uygulandığını söyledi ve kelamlarına şöyle devam etti:

“Kanunda bunun için disiplin cezası var, bu da kurumların insiyatifinde yürütüldüğü için işten çıkarma ya da memuriyete son verme üzere cezalar verildiğini ben görmedim. Bu yüzden kamu kurumları KVKK’yı daha çok ihlal ediyor.”

Zorer’e nazaran özel şirketlere uygulanan cezai yaptırımlar küçük işletmeler için hayli caydırıcıyken, büyük şirketler için “çerez denecek kadar az” durumda.

Veri müdafaa hukuku uzmanına nazaran mevcut mevzuat, çok büyük ölçekli işletmeler ve sorumlu kamu vazifelileri için kâfi caydırıcı tedbirler sunmuyor.

Getty Images

Veriniz çalınırsa ne yapmalısınız?

Eyüp Çelik’e nazaran kurumlara ya da şirketlere yönelik büyük çaplı siber hücumlarda şahsî tedbirler yetersiz kalıyor:

“Toplu sızıntılar durumunda bilgi bir kez yayılmaya başladığında yeraltı dünyasında bir anda herkesin eline ulaşıyor. Onu herkesin elinden alıp temizlemek mümkün değil.”

Çelik, bu noktada ulusal siber güvenlik siyasetlerinin devreye girdiğini söyledi ve ekledi:

“Bir taraftan da kamu-özel bölüm iş birlikleri var. [Cumhurbaşkanlığı] Dijital Dönüşüm Ofisi ve özel kesim temsilcileri bir ortaya geliyor. Hem kamuda hem özel bölümde bu çerçevede tedbirler alınmaya çalışılıyor.”

Umut Zorer ise bu üzere durumlarda şahısların KVKK kapsamında ferdi müracaat hakkı olduğunu hatırlattı.

Veri müdafaa hukuku uzmanı, “Verisinin rastgele bir bilgi sorumlusu tarafından hukuka alışılmamış olarak kullanıldığını, üçüncü bireylerin erişimine açıldığını, çalındığını düşünen herkes KVKK’dan doğan haklarını kullanmak isteyebilir” dedi ve ekledi:

“Bu hak ne kadar kullanılırsa, data sorumlularının kanuna ahenk ve bilgi müdafaa konusundaki motivasyonu da o kadar artacaktır.”

Ancak Zorer, bu müracaatların 60 gün içerisinde karara bağlanması gerekmesine rağmen sürecin iş yükü ve kurum bütçesinin hudutlu olmasından ötürü iki yıla kadar çıkabildiğini söyledi.

Zorer’e nazaran, bu durum halkın KVKK hakkını faal kullanmasını sonlandırıyor ve “Hakkın daha tesirli kullanılması için inceleme müddetlerinin de kısalmasına gereksinimimiz var”.

İlgili haberler

• ‘108 milyon kişinin bilgileri çalındı’ argümanı: Bakanlık ne açıkladı, yansılar ne oldu?