Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü, Bölüm Başkanı Prof. Dr. Şeref Sağıroğlu ile Söyleşi
Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü,
Bölüm Başkanı Prof. Dr. Şeref Sağıroğlu ile Söyleşi
Kişisel Verilerin Korunması Kanunu’nun yayımlanmasıyla birlikte, 50 milyona yakın Türk vatandaşının kimlik bilgilerinin çalınması ve herkesin erişimine açılması olayıyla ilgili, bu olayın arkasında kimlerin olabileceği, bu bilgilerin nasıl ve ne amaçla kullanılabileceği, vatandaşlarımızın bu konuda alması gereken tedbirler, kurum ve kuruluşların yapması gerekenler ve yayımlanan kanun kapsamında devletimizin uygulaması gereken çözüm önerileri hakkında bilinmesi gerekenleri; aynı zamanda Bilgi Güvenliği Derneği(BGD)’nin kurucu üyesi ve ilk başkanlarından olan değerli hocamız Prof. Dr. Şeref Sağıroğlu ile konuştuk.
CyberMag: Öncelikle, böylesine önemli bir konuda bizleri ve kamuoyunu aydınlattığınız için teşekkür ederiz. Malumunuz, bir internet sitesinde 50 milyona yakın Türk vatandaşının kimlik bilgileri herkesin erişimine açıldı. Bu konudaki düşünceniz nedir?
Prof. Dr. Şeref Sağıroğlu: Ciddi ve hayati tüm işlemlerin T.C. kimlik numarası ile ilişkilendirilmesi veya bağlantılı olması sebebiyle tabii ki bu konu herkesi rahatsız edebilecek bir konudur. Farklı tehdit ve tehlikeleri beraberinde getirebilecek bir konudur. Daha dikkatli ve ciddiyetle ele alınması, dersler çıkarılması ve gerekli önlemlerin alınarak kamuoyu ile paylaşılması gereklidir.
Bilgi güvenliği ile ilgilenenler bu tür ihlallerin her zaman olabileceğini bilirler. Önemli olan bunların sayısının azaltılması, karşılaşılan risklerin minimize edilmesidir. Onun için üstün çaba ve gayretin yanında izleme, denetim ve iyileştirme adımlarının her zaman işletilmesi gereklidir. İşin en kötüsü ise verileri başkaları tarafından ele geçirilen fakat yayımlanmamış olan ve bugün için verilerinin güvende olduğu düşünülen durumlardır. Kurum ve kuruluşların bu tür durumları izliyor ve bu tür ihlalleri tespit ediyor ve önceden önlüyor olmalarıdır. Bu vesile ile mevcut kurumların sistemlerinin güvenliğini bir kez daha sorgulamaları, sistemlerini ve politikalarını gözden geçirmeleri, bir uyarı niteliğinde olan bu olaydan her kurumun dersler çıkarması gereklidir.
Bugün için sorulacak sorular; bu işlemin nasıl yapıldığı, ihlalin nereden olduğu, bunu kimlerin yaptığının belirlenmesidir ki bu belirlenmiş ve hükümetimiz bu alanda somut adımları atmaya başlamıştır.
CyberMag: 50 milyon kişinin kimlik ve açık adres bilgileri nasıl ve hangi yöntemle çalınmış olabilir?
Prof. Dr. Şeref Sağıroğlu: Bu soru çok önemli bir sorudur, bu tür sistemler korunurken gerekli önlemler alınmamıştır. Kimlik bilgilerinin nasıl ve hangi yöntemler kullanılarak yapıldığı veya yapılabileceği araştırılmalıdır. Demek ki daha önceki süreçte bu tür bir ihlalin parti yetkilileri tarafından yapılabileceği öngörülmediğinden, bu önlem alınmamıştır. YSK'nın açıklamalarına göre verilerin teslim edildiği partilerin bu sızdırmayı yapabilecekleri belirtilmiş ve sonuçta dedikleri gibi bunu bir parti yetkilisinin sızdırdığı belirlenmiştir. Burada zaten bu bilinen bir husus olduğu için de üzerine fazlaca gidilmemiştir.
Bilgi veya belgelerin sızdırılmasında, sistemlerden daha çok kişilerin veya çalışanların buna sebebiyet verdiği ve bunun oranlarının ise %70 seviyelerinde olduğu bilindiğinden bu konulara daha çok önem verilmelidir. Hangi açıklıkların kullanıldığı veya ne tür zafiyetlerin bulunduğu bilinirse, gelecekte oluşabilecek tehdit ve tehlikeleri tespit etmek, ihmal gerekçelerini belirlemek ve gidermek, ihlali oluşturan unsurları ortadan kaldırmak, ihlali oluşturanları cezalandırmak açısından da önem arz etmektedir.
CyberMag: Kimlik bilgilerinin kötü amaçlı kullanımı kişiler ve kurumları nasıl zarara uğratabilir?
Prof. Dr. Şeref Sağıroğlu: Bunun için pek çok senaryo basın ortamında paylaşıldı. Ben de sizlere yeni senaryolar anlatabilirim. Bence bunları anlatıp kötü niyetli kişilere yeni çözümler sunmayalım. Basında yer alan hususlardan daha fazla tehdit ve tehlikelerin oluşabileceğini burada belirtmekte fayda var. Mesela, büyük veri analitiği ile verilerden pek çok yeni tehdit çıkarılabilir.
CyberMag: TC kimlik numaralarının yenilenmesi gerekir mi?
Prof. Dr. Şeref Sağıroğlu: Bu sistemi değiştirmek gerekebilir fakat yeni geliştirilecek sistemin başına bir iş gelmeyeceğinin de garantisi yok. Bunun için bu konular detaylı tartışılmalı, daha önceki sorunuzda da belirttiğim gibi ihlalin nereden oluştuğu tespit edilmeli, verilerin nasıl ihlal edilebileceği daha kapsamlı olarak değerlendirilmeli ve buna göre önlemler gözden geçirilerek, artıları ve eksileri iyi hesaplanarak, en önemlisi büyük resim görüldükten sonra buna karar verilmelidir diye düşünüyorum.
Bundan iyi ders çıkarırsak gelecekte oluşabilecek pek çok olumsuzlukların da önüne geçebiliriz. Mesela, Amerika'da ENRON Skandalını eminim herkes biliyordur. Bu olay ABD'de Sarbanes-Oxley Yasası’nın çıkmasına ve muhasebe sistemlerinin denetlenmesi ve şeffaflaştırılmasında sadece ABD'ye değil tüm dünyaya örnek olacak yeni standartların belirlenmesinin önünü açmıştır. Kimlik hırsızlığı ENRON gibi bir konu olmasa da burada takip edilen yol çok önemlidir. Konu ciddiye alınmıştır. Detaylı olarak incelenmiş ve araştırılmıştır. Ve bu gibi olaylarla bir kez daha karşılaşılmaması için gerekli önlemler alınmıştır. Bizimde burada böyle bir yol izlememizde fayda vardır. Bu olay detaylı olarak, oluşturulacak tarafsız kurullarda araştırılmalı, incelenmeli ve sonuçları kamuoyu ile paylaşılmalıdır. Bundan bir ders çıkarılmalı ve sistemlerde bundan sonra oluşabilecek tehdit ve tehlikelerin önüne geçilmelidir. Eğer kamuoyunu büyük çapta rahatsız edecek hususlar tespit edilirse de T.C. kimlik numaralarımız yenilenebilir, yeni bir sisteme geçilebilir veya yeni önlemler alınabilir.
CyberMag: Kimlik bilgileri çalınanlar ne yapmalı?
Prof. Dr. Şeref Sağıroğlu: Müsaade ederseniz bazı hususları açıklayayım ve sorunuza cevap vereyim.
Birinci husus: Vatandaşının verilerini tutan devlet ve devlet kurumları bu konuya gereken hassasiyeti göstermelidir. Bu konu ise, TBMM'den geçerek geçen haftalarda resmi gazetede yayımlanarak yürürlüğe giren "Kişisel Verilerin Korunması Kanunu" ile koruma altına alınmıştır. Burada şunu ifade etmek istiyorum. Devlet zaten hukuken vatandaşlarının T.C. kimlik bilgileri gibi kişisel verilerini korumak zorundadır. Bundan hiçbir vatandaşımızın şüphesi olmasın. Korunmaz ve korunamaz ise bununla ilgili yaptırımların ne olacağı da bu kanunda yer almaktadır.
İkinci husus: Şu anda kamuoyunda bir korku veya endişe vardır. Devletin bu endişeleri ortadan kaldıracak bir destek hattı kurması ve bunu devreye alarak vatandaşın devletine, sistemine ve hizmetlere olan güvenini arttırmalıdır. Bu destek hattı; bu konu ile ilgili bilgilendirmeleri, tehditleri ve alınabilecek önlemleri içermelidir. Bu hizmet; hem web tabanlı bilgilendirme ile olabileceği gibi hem de çağrı merkezi kurularak veya mobil uygulamalar geliştirilerek verilebilir. Bu sayede bu korku ve endişeler kısa sürede giderilebilir.
Üçüncü husus: Her vatandaşın, kendi kişisel verilerini dikkatle koruması gerektiğidir. Bunun için vatandaşın öncelikle buna dikkat etmesi, farkındalığını arttırması ve karşılaşabileceği tehlikeleri önceden ön görerek önlem alması gereklidir. T.C. kimlik bilgilerinin kısmen ifşa edilmesi sonucunda pek çok olumsuz durumlarla karşılaşılabileceğinin farkında olunmalıdır. Alınabilecek önlemlerin bazıları aşağıda verilmiştir. Bunlar:
- T.C. kimlik kartıyla ilişkili her kurum veya hizmeti (bankalar, e-devlet hizmetleri, telefon görüşmeleri, alınan e-postalar, SMS mesajları gibi) alırken karşılaşılabilecek olumsuz durumlara karşı daha uyanık olunmalıdır.
- Şüphelenilen her durum mutlaka detaylı sorgulanmalıdır. Çevrede bilen kişilerden destek alınmalı, şüphelenilen konu ile ilgili internette küçük bir araştırma yapılmalı, gerekirse kolluk kuvvetlerine durum bildirilerek destek istenilmelidir.
iii. Elektronik ortamlar kullanılarak veya bu ortamlardan destek alınarak yapılan saldırıların, kandırmaların, soygunların sayısı artmıştır. Bundan sonra, kimlik bilgilerinden faydalanılarak sosyal mühendislik saldırılarının sayısının artma tehlikesine karşı farkındalık arttırılmalıdır. 2004'te günde bir üretilen kötücül yazılım sayısının bugün için 500.000 civarında olduğu bilinerek önlemler alınmalıdır. Kimlik bilgilerinin kısmen de olsa ifşa edilmesinin kişilere yapılabilecek sosyal mühendislik saldırılarının da artışına neden olacağı unutulmamalıdır.
- Bu tehdidin ortadan kaldırılmasına yönelik ilgili birimlerden de çözüm beklemek, vatandaşın en doğal hakkıdır. Kamuoyu her zamankinden daha fazla bilgilendirilmeli ve kamu spotu ile uyarılar yapılmalıdır.
- Akıllı telefonların kullanımı hızla artmış olsa da bu cihazların kişilerin hayatına nasıl olumsuzluklar katabileceğinin de farkında olunmalıdır. Akıllı telefon okur-yazarı olmayan kişiler bu cihazları kullanmamalıdır. Bu cihazların nasıl kullanılması gerektiği, güvenlik ayarlarının nasıl kişiselleştirileceği, bazı hizmetlerin nasıl kısıtlanabileceği, indirilen uygulamaların hangi güvenlik açıklarını beraberinde getireceği, hangi hizmetleri otomatik olarak açtığı bilinerek bu cihazlarda önlem alınarak kullanılması gerekmektedir. Bunu bilmeyenlerin ise bu telefonları kullanmamaları gerekmektedir. Çünkü telefonlarda kişisel bilgilerin pek çoğu dünya ile paylaşılmaktadır. Bu hususun şu andaki kimlik ifşasından daha tehlikeli olduğunun farkında olunmalıdır.
CyberMag: Şirketler, bankalar ve kullanıcılar neler yapmalı, dolandırıcılığa karşı nasıl tedbirler almalıdır?
Prof. Dr. Şeref Sağıroğlu: Bankalar ve şirketler aslında bu ortamlardaki tehdit ve tehlikeleri en yakından izleyen, önlemlerini alan ve bunları müşterilerine ileten kurumlardır. Çünkü zararı ilk başta kendileri görmekte ve bunun bedelini ağır ödemektedirler.
Burada önerilerim şunlardır:
- Şirketler ve kurumlar bundan sonra kimlik ihlaline yönelik olarak daha dikkatli olmalı ve bunun ihlal edilmesini önleme adına yeni çözüm önerileri geliştirmelidirler. Tamamen kimlik ve adres bazlı kimlik doğrulama yerine yeni kimlik doğrulama teknikleri geliştirebilirler. Burada şunu ifade edeyim, dünyanın pek çok yerinde bulundum ve ülkemiz bankacılığı kadar ileri düzeyde bir sistem görmediğimi ifade etmek isterim.
- Bu konular kapsamlı araştırılmalı ve kamuoyu detaylı olarak bilgilendirilmelidir. Yapılan araştırmalar sonucunda kamuoyunu tehdit eden unsurlar fazla ise gerekirse T.C. kimlik yerine yeni çözüm önerileri geliştirilmelidir. Kamuoyunu bilgilendirici ve kamuoyunun sorularına cevap verebilecek destek bilgilendirici birimler veya ortamlar kurulmalı veya vatandaşa yapılan bilgilendirme sayıları arttırılmalıdır.
iii. Güvenlik ihlalleri her zaman olacaktır. Önemli olan bunun farkında olup sürekli olarak bilgi güvenliği ve mahremiyetinin sağlanmasına yönelik olarak çalışmak, mevcut yapıları iyileştirmek, yeni çözümler geliştirmek ve uygulamaktır. Üniversiteler, kişilerin ve kurumların verilerinin mahremiyetinin sağlanmasına yönelik olarak yeni çözümler üzerinde daha odaklı çalışmalar yapmalıdır.
- Çoğu finans kurumunun web sitelerinde güncel tehditlerle ilgili uyarılarının bulunduğu, SMS ve e-postalar ile kullanıcıları bilgilendirdikleri bilinmektedir. Bunlardan bazıları "en yakınınızla dahi finansal bilgilerinizi paylaşmayınız", "şifrelerinizi kimseyle paylaşmayınız.", "şüpheli durumlarda bankanızı/kurumunuzu arayınız." gibi olsa da bundan sonraki süreçlerde "internet robotları vasıtasıyla seslerin kopyalanabileceğini veya taklit edilebileceğini unutmayınız.", "yapay zekâ destekli internet robotlarına dikkat ediniz, sizin adınıza e-posta gönderebilir, sizin adınıza tweet atabilir veya cevap verebilir.", "arkadaşınız veya dostunuzmuş gibi size tweet atabilir." gibi mesajların daha sıklıkla kullanıcılara gönderileceği bir dönemde yaşadığımızı unutmamak gerekiyor. Kimlik bilgileri kullanılarak yeni tehditler her zaman oluşturulabilir. Önemli olan bunları her zaman hatırlamak, bunlardan daha az etkilenecek yolları bilmek, mümkün olduğunca da bu gibi konulardaki bilgi birikimi ve farkındalığı arttırmak ve karşılaşılabilecek riskleri minimize etmektir.
- Kolluk kuvvetlerinin siber suçlarla mücadele konusunda daha etkin olmaları gerekmektedir. 2016-2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planında bulunan "Siber Suçlarla Mücadele" konusu yer alsa da bu konu daha detaylı olarak ele alınmalı ve bunun için bu tür suçlarla mücadelenin nasıl yapılacağına dair daha kapsamlı olarak "Siber Suçlarla Mücadele Eylem Planı" hazırlanmalı ve hükümet programında da olduğu gibi bir an önce yayımlanmalıdır.
- 4,5G'ye geçiş ile birlikte, artık bu ortamlarda hizmetlerde daha da artış olacaktır. İhlallerin daha da artacağı beklenmektedir. Telefon konuşmalarının IP bazlı yapılmaya başlanması ile de telefon üzerinden kişilerin kandırılması daha da kolaylaşmaktadır. Şu an için kullanılan onlarca uygulama ile bu işlerin yapılması çok kolaylaşmıştır. Bu tür uygulamalar kullanılarak başına iş gelmiş pek çok örnek vardır. Mesela; bir öğrenci sevmediği bir öğretmeninin cep telefonunu öğrenip onun telefonundan aranmış göstererek pizza siparişi vermiştir. Öğretmen pizzaları aldığında kendisinin aramadığını pizzacıya izah etmekte zorlanmıştır. Çünkü kullanılan bir mobil uygulama ile pizzacının telefonunda öğretmenin telefon numarası gösterilebilmektedir. Borcunu tahsil edemeyenlerin, borcunu almak için bu yöntemi kullandığı bilinmektedir. Bu konular savcılığa intikal etmiş olsa da bu gibi olaylar veya bundan daha vahim olaylarla her zaman karşılaşılabilir. Onun için telefonda bile sizi arayanlara güvenmemelisiniz. Son dönemde kandırılan pek çok kişinin bu yolla ikna edildiğini hatırlatmakta fayda görüyorum. Kurumlar kadar kişilerinde bu konulara dikkat etmesi elzemdir. Nüfus bilgilerinin ifşa edilmesi bu tür saldırıların sayısını arttırabilir.
vii. Sosyal medya kullanımının bundan sonra daha dikkatli yapılmasında fayda vardır. İsimlerden adreslerin elde edilebildiği bir dönemde, yazılanlara, çizilenlere ve paylaşımlara daha dikkat edilmelidir. Kişisel bilgiler daha dikkatli paylaşılmalı veya paylaşılmamalıdır.
viii. Kurum ve kuruluşların, bu kadar tehdide ve tehlikeye rağmen unutmayacakları en önemli husus ise güven duygusunun zedelenmesini önlemektir. Günümüzde yaşanan en büyük sıkıntının ise bu olduğu bilinmektedir. Kamuya veya kurumlara güvenin oluşturulması için dünyada bilinen ve uygulanan üç temel unsur vardır. Bunlardan birincisi şeffaflık, diğer ikisi de herkese yaptıklarının hesabının sorulduğu kurum kültürünü oluşturmak ve dürüst insanlarla çalışmaktır. Bu yapılar özenle oluşturulmalıdır. Toplumdaki güven duygusunun arttırılmasının konuyla direkt olarak ilgili ve güvenilir bilgi sağlanmasına, kısacası yeterli düzeyde şeffaflık sağlanmasına bağlı olduğu unutulmadan kamuoyu bilgilendirilmeli ve bu bilgilendirmenin teyit edilebileceği ortamlar kurulmalıdır.
CyberMag: Son olarak eklemek istediğiniz bir husus var mıdır?
Prof. Dr. Şeref Sağıroğlu: Veriler günümüzün en değerli varlıklarıdır. Bu varlıkları üretmek, analiz etmek, değer elde etmek önemli bir konudur. Bunları elde ederken de korumak, mahremiyetini sağlamak ise en aslı görevlerdendir. Bundan sonraki süreçlerde, riskleri belirlemek, gerekli önlemleri almak, açıklıklar var ise test etmek, tüm işlemleri belirlenen politikalara ve stratejilere göre yapmak ve standartlar çerçevesinde altyapıları kurmak ve denetlemek önemlidir.
Vatandaşın kişisel verilerinin güvende olduğunun tüm birimler tarafından deklere edilmesi, hangi güvenlik tedbirlerinin alındığı, hangi standartlara göre bunların sağlandığının kurumsal web sayfalarında yayımlanması faydalı olacaktır ve bu güven duygusunu arttıracaktır.
Böyle bir konuyu gündeme getirdiğiniz için teşekkür ederim.