Free Web Turkey tarafından yayımlanan haberde, Sorgu Paneli isimli bir web sitesinde Türkiye’de yaşayan bireylerin kimlik bilgileri, adresleri, telefon numaraları ve banka hesap bilgileri gibi kritik kişisel verilerin paylaşıldığı iddia edildi. Bu olay, kişisel verilerin yasadışı yollarla elde edilip satıldığına dair endişeleri artırdı ve hem bireyler hem de devlet kurumları için büyük bir güvenlik ihlali olarak değerlendirildi.
Bu tür veri sızıntıları, genellikle yasadışı yollarla elde edilen veri tabanlarının kötü amaçlı web sitelerinde paylaşılmasıyla gerçekleşiyor. Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) yürürlükte olmasına rağmen, bu tarz olaylar kişisel verilerin korunması konusunda daha fazla önlem alınması gerektiğini gösteriyor.
Bilgisayar korsanlarının ele geçirdiği bu verilerin; ‘Yenilenmiş TC,’ ‘Adres,’ ‘GSM,’ ‘101m’ ve ‘GSM’ isimli beş farklı Google Drive dosyasında toplandığı söylenilmişti. Bu bilgiler sadece Google Drive dosyasında yok. Bu verilere erişmiş olan kişiler, Discord adı verilen Amerikan anlık mesajlaşma ve dijital dağıtım platformunda BTK tarafından takip edilemez sunuculara yükledikleri Türkiye Cumhuriyeti Vatandaşlarına ait kimlik bilgilerini sorgulamaları için özel bağlantı linkleriyle haftalık 100 TL gibi ücretler karşılığında size bir kullanıcı ve şifre vererek satışa çıkarıyor. Discord platformu, genellikle bilgisayar oyuncularının buluştuğu oyuncu gruplarının sohbet gruplarını kurdukları bir platform. Discord, dünya genelinde kullanıcı sayısı 150 milyon aktif kullanıcıyla mesajlaşma platformları arasında 7. sırada yer almaktadır. Discord’un Türkiye’den bağlantı yapan 2023 verilerine göre yaklaşık 15 milyon kullanıcısı bulunmaktadır.
BBC’nin haberine göre; Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu, 85 milyon kişinin kimlik verilerinin çalınıp çalınmadığı sorusuna, sızıntının pandemi döneminde yaşandığını söyleyerek yanıt verdi. Bakan Uraloğlu; “İnsanların güncel verilerinin çalındığıyla ilgili bir veri yok” diye ekledi.
Olayın ciddiyeti göz önünde bulundurulduğunda, alınması gereken başlıca önlemler şunlar olabilir:
- Veri Güvenliği Politikalarının Güçlendirilmesi
- Kişisel Verileri Koruma Kurumu (KVKK), veri güvenliği politikalarını gözden geçirmeli ve yeni düzenlemeler getirmelidir.
- Hassas verilerin işlenmesi, saklanması ve aktarılması süreçlerine dair daha sıkı denetimler yapılmalıdır.
- Şirketlerin veri güvenliği konusunda zorunlu eğitimler alması sağlanmalıdır.
- Siber Güvenlik Altyapısının Güçlendirilmesi
- Ulusal Siber Olaylara Müdahale Merkezi (USOM), veri sızıntısı durumlarında daha hızlı ve etkin bir müdahale sistemi kurmalıdır.
- Kamu ve özel sektörde, siber saldırılara karşı koruma sağlamak için daha güçlü şifreleme, iki faktörlü doğrulama (2FA) ve düzenli güvenlik denetimleri gibi güvenlik protokolleri zorunlu hale getirilmelidir.
- Veri tabanlarının güvenliği için sürekli siber güvenlik testleri yapılmalı ve güvenlik açıkları proaktif olarak kapatılmalıdır.
- Denetim ve Yaptırımların Arttırılması
- KVKK tarafından yürütülen denetimler sıklaştırılmalı ve veri ihlalleri durumunda şirketlere ve kurumlara daha ağır cezalar verilmelidir.
- Emniyet Genel Müdürlüğüne bağlı Siber Polislerin devriyelerini daha çok Discord gibi platformlar üzerine yoğunlaştırmaları gerekmektedir.
- Veri güvenliği standartlarına uymayan işletmelere karşı uygulanacak yaptırımlar caydırıcı olmalıdır.
- Yasadışı veri paylaşımında bulunan kişi ve kurumlara karşı cezai işlemler hızlandırılmalı ve kamuoyuna duyurulmalıdır.
- Türkiye Cumhuriyeti’ne hizmetler veren platformlara yönelik gerekli yasal düzenlemelerin yapılması, Bu platformların Türkiye Cumhuriyeti’nin yasalarına göre uygulamalarını ayarlayamıyorlarsa gerekli yaptırımların uygulanması.
- Kamu Kurumları dışında en çok Kişisel verileri elinde bulunan GSM şirketleri gibi kuruluşlarında Veri Güvenliği politikaları denetlenmeli SOME (Siber olaylar Müdahale Merkezi) ile Koordineli çalışmalar yapmalıdırlar.
- Farkındalık Kampanyaları
- Vatandaşların kişisel verilerinin nasıl korunacağı konusunda bilinçlendirilmesi gerekmektedir. Resmi kurumlar tarafından geniş çaplı farkındalık kampanyaları düzenlenmelidir.
- Kamu Spotları ve sosyal medya kampanyaları ile bireylerin kişisel bilgilerini nasıl güvende tutabileceklerine dair bilgilendirilmeleri sağlanabilir.
- Uluslararası İşbirliği
- Veri sızıntıları ve siber suçlarla mücadele uluslararası işbirliği gerektirir. Türkiye, siber suçlarla mücadele için INTERPOL gibi uluslararası kuruluşlarla işbirliğini artırabilir.
- Diğer ülkelerin başarılı veri koruma ve siber güvenlik uygulamaları incelenmeli ve Türkiye’ye uyarlanmalıdır.
- Veri Sızıntılarına Anında Müdahale ve Duyuru Zorunluluğu
- Kişisel veri sızıntısı olduğunda, sızan verilerin hangi düzeyde olduğunu belirleyen sistemlerin daha hızlı çalışması sağlanmalıdır.
- Veri ihlali durumunda mağdur olan kişilere zamanında bilgi verilmesi için yasal zorunluluk getirilmelidir.
Bu önlemler, kişisel verilerin yasadışı yollarla ele geçirilmesinin önüne geçmek ve gelecekte olası sızıntıları önlemek için hayati önem taşır. Resmi kurumların bu konuda daha aktif ve hızlı hareket etmesi, toplumsal güvenliği sağlamak açısından kritiktir.
Mesut UYAR
SASAM Başkan Yardımcısı