Geçtiğimiz hafta 2 olay üstüste geldi. Önce Siber Güvenlik Kanunu’nun TBMM’den geçtiğini gördük. Arkasından Turk.net kendisinin hacklendiğini doğruladı. Öncesinde bu olaya dair bazı bilgiler ortalıkta zaten dolaşıyordu.
21.yüzyılın hayatımıza getirdiği yenilik, hayatımızı kolaylaştıran “internet” oldu. Ama her güzel şeyin kötü yönleri de vardır. Burada da başımızın derdi “Siber Güvenlik”. Fiziksel hayatın suçluları, dolandırıcıları, kendilerine yeni bir ortam buldu. Üstelik bu ortamda, neyin ne olduğunu tam anlayamamış bir büyük kitle mevcut. Buna karşılık daha önce defalarca yazdık, çizdik devletin önlemleri, özellikle kurumlar arasındaki koordinasyon (banka – ISS – Kolluk – Hukuk) eksik.
Kanuna baktığımızda, süber suçluların (hırsızların) yakalanmasının hedeflenmesinden çok, kurumların verilerini çalınmasının ya da sızıntı haberi verenlerin cezalandırılmasına yönelik maddelerin ağırlıklı olduğu görülüyor.
Bu koordinasyon eksikliğinin giderilmemesi ve suçluların hedeflenmemesi sayesinde, çok katmanlı siber suçlular ortamı işlerini yıllardır gayet rahat yönetiyor. Çünkü para ya da özel verileri çalanların (hırsızın) izlerinin takip edilmediklerini, siber istihbarata yönelik çalışmalar yapılmadığı ve kalıcı önlemler alınmadığını görüyoruz. Bu nedenle de, en fazla bu verileri derin webde, telegramda vsvs satmaya çalışan daha acemi olanlar yakalanıyor ya da daha kötüsü kurbanlar sıkıntıları ile başbaşa kalıyor. (Ortamı şöyle basitçe sınıflandırabiliriz : Hackleyen ya da bilgileri alanlar (çalanlar), bu verileri satılabilir hale getirenler, derin ağda, telegramda vsvs satanlar).
Bu takibe yönelik önlemler alınmadığı ve koordinasyon için çabalanmadığı için, ilk kez 2012’de oluşturulan USOM – SOME – Siber Güvenlik Kurulu gibi kuruluşlara ve de arada sırada da olsa toplanmalarına rağmen, aradan geçen 13 yılda devlet kurularından kişisel veriler çalındı, çok sayıda telefon, SMS ya da banka dolandırıcılıkları yaşandı, bir çok kurumun verileri sızdı.
Kanundaki Eksiklikler
Kanunu bu nedenle dikkatle inceledim. Eksiklikleri daha anlaşılabilir yapmak için tablo halinde sunalım;
TBMM’den geçen siber güvenlik kanunu, dijital dönüşüm ve siber tehditlere karşı önemli bir adım olmakla birlikte, kişisel verilerin korunması, şeffaflık, ifade özgürlüğü, özel sektör üzerindeki yük ve uluslararası standartlarla uyum gibi konularda eksiklikler içeriyor. Bu eksikliklerin giderilmesi, kanunun daha etkili ve kapsayıcı olmasını sağlayabilir.
Gelelim Turk.net Hacklenmesine
Turknet bir süredir, duopolleşmesi iyice ağırlaşan telekom ortamında rekabet tarafından bakıldığında tek kalan bağımsız firma gibi. Uyguladıkları çeşitli pazarlama taktikleri (limiti olmayan bağlantı gibi) ve hız konusuna ağırlık verdikleri için kazandıkları abone sayısı ile şu anda ortamdaki 3 büyük operatörün dışındaki kalan nadir operatörlerden biri durumunda. Bu nedenle de telekom sektöründe durumunun hassas olduğunu belirtiyorlar.
Turk.net geçen yıl mayıs ayında BTK’nın yaptığı denetim sonucunda 13 ayrı konuda hatalı bulunarak 6,1 milyon TL cezaya tabi olmuştu. Maddelerin içinde “kullanıcı adının hatalı gelmesi nedeniyle hatalı kullanıcıya ulaşılması” gibi olanlar da var. Ama ağırlıklı devletin vatandaşı izlemek için kurdurduğu sistemde bazı oturumların gözükmemesine yönelik cezalar olduğu görülüyor.
Şimdi siber güvenlikçilerle konuşuyorum. Tam da siber güvenlik kanunu TBMM’den geçmişken, bu saldırının zamanlamasını ilginç bulduklarını söylüyorlar.
Kaynak : 