İstanbul Senin’in Casusluğu Nedir? Kobil Neresinde?

Bu sabah yine bir soruşturma ile uyandık ama nasıl değerlendireceğimize şaştık. Çünkü Siber Güvenlik konusunu yıllardır eleştiriyoruz. Yıllar içinde pek çok kurumun verileri sızdı. Ama herhangi bir “görev ihmali” veya burada olduğu gibi casusluk soruşturması görmedik. Çünkü veri sızması, veri sızmasıdır, casusluk böyle olmaz. Yani teknik olarak orantısız bir suçlama gibi gözüküyor.

Ama bu olayda İBB’ye yönelik soruşturma kapsamında, “İstanbul Senin” uygulamasını kullanan 4,7 milyon kişinin verilerinin iki yabancı ülkeye sızdırıldığı gerekçesiyle 15 şüpheli gözaltına alındı. Gözaltına alınan ve BDDK’nın Türkiye’de yetkilendirdiği 2 firmadan olan bazı kişiler şöyle sıralandı :

Kobil Teknoloji AŞ Yönetim Kurulu Başkanı İsmet Koyun, Kobil Mycity Platform Teknoloji AŞ’de yazılım geliştirme uzmanı Abdullah Uygun, Kobil Teknoloji AŞ’de yazılım müdürü Ayhan Güvenli, Adem Ok, Iraz Bayrak, İdris Yıldırım, Mehmet Çağlar Kuru, Emrah Yüksel, Hüsnücan Şen, Elif Yıldız Kızılca, Esra Huri Bulduk, Nuri Cem Ceylan, Şehide Zehra Keleş Yüksel.

Şimdi buradaki olayın casusluk olduğu iddiası var. Nedeni de 2 farklı ülkeye 4,7 milyon kişinin verisi sızdırıldı deniliyor. Ama bu suçlama bir çok soru doğuruyor;

1. Olayda adı geçen Kobil firması, BDDK tarafından ülkemizdeki bankaların login sistemini yapması için yetkilendirilmiş olan 2 firmadan birisidir. Dolayısıyla sabahtan beri bankalar da “ne oluyor?” şeklinde şaşkın. KOBİL BDDK’nın yetkilendirilmesinde, uyum denetimi için uluslararası ISAE3000 Güvence Raporu almış bir firma. Böyle itibarlı olan bu firmanın bilgi sızdırması mümkün mü? Bu suçlamayı yapmak için bağımsız bir denetim raporu var mıdır?
2. Veri sızıntısı demek bir güvenlik hatası nedeniyle verilerin sızmasıdır. 4,7 milyon “İstanbul Senin” kullanıcısının, metro, İBB merkezleri, İspark vsvs gibi kullanım verileri acaba hangi ülke tarafından, hangi casusluk amacına yönelik olarak kullanılabilir?
3. Hangi veriler sızdı, kimin eliyle, hangi teknik zafiyet kullanıldı ve veriler gerçekten dış ülkelere mi gitti sorularının cevaplarının herkesin bilgisine sunulması lazım.
4. Buna rağmen soruşturmanın çok hızlı biçimde “casusluk” başlığı altında yürümesi — teknik rapor olmadan böyle bir suçlamanın yapılması — dikkat çekici. Çünkü bilişim sistemlerindeki veri sızıntılarında Türkiye’de genellikle TCK 243–244 (bilişim sistemine girme / verileri bozma) maddeleri uygulanır, TCK 328 (siyasal veya askerî casusluk) değil.
5. Tam da Siber Güvenlik Başkanının atandığı bir günde verilerin yurt dışına sızdırıldığı yönünde casusluk suçlaması ile Siber Güvenlik alanında çözümler sunan ve kamu dahil bir çok kurum tarafından köklü bir firmanın adının böyle bir suçlamaya karışması ilginç değil mi?
6. Yıllardır e-devlet, e-nabız, seçim sistemi gibi pek çok yerden veri sızıntıları oldu bitti. Hatta SGK 2013’de verileri kendi eliyle sattı. Bunların hangisinde, kurum yöneticileri için görev ihmali ve hatta burada olduğu gibi casusluk suçlaması yapıldı? (Not : Bu dosyalar genellikle “bilgi güvenliği zafiyeti”, “personel hatası” ya da “bilişim sistemine izinsiz erişim” başlıklarıyla kapandı.)
7. En son sahte e-imzalı diploma sahtekarlığı olayında, 400 sahte diploma sahibi araştırıldı mı? Hatay’da vefat eden avukatların yerine sahte kimlik verilmesi konusunda kim, hangi kurum soruşturuldu?
8. 2 ülkeye veriler sızdı denildiğinde anlaşılan yurtdışına verilerin çıkmasına neden olan “Bulut Servisleri” ve muhtemelen AWS’den bahsediliyor. Ancak 2016’daki Garanti Bankası saldırısında, ülkemizin ISS’lerinin Ddos temizleme servisleri yetmediği için, o zamandan bu yana finans şirketleri ddos saldırıların önlenmesinde yurtdışı firmaları (mesela CloudFlare) kullanıyor. Bankalar, ddos saldırısı dışında trafiklerini yurtdışında döndürdüklerine göre acaba finans verilerini yurtdışına sızdırmaktan ötürü dava açılmış banka var mıdır?
9. İnternet servis sağlayıcılarından bazılarının trafiğini 10 küsur yıldır Frankfurt üzerinden döndürdüğü yani müşteri verilerinin yurtdışına çıkıp, geri döndüğü biliniyor. Bu konuda herhangi bir soruşturma yapıldı mı?
10. Bugün finans dünyasından e-ticarete, enerji dağıtım firmalarından perakendeye bir çok firma ve uygulama gerek veri barındırma gerek yedekleme gerek analiz/inceleme veya haberleşme için Amazon, Google, Microsoft vb yaygın bulut çözümü kullanıyor ve burada veriler yurt dışında depolama alanı kullanıyor ya da veriler yurtdışından dolaşıyor. Bunlar da casusluğa giriyor mu?
11. Eğer bahse değer konu Google Analytics ise (ki kullanım ölçümü için kullanılan bir yazılım), ülkemizde bunu kullanmayan web sitesi yok. Çünkü yerli yazılım bir tane. Onu da kullanmak istesek, sunucusu da AWS. O zaman bu veri sızması aslında devletin bu alanda yatırımları planlaması gerekirken, planlamadığı anlamına gelmez mi?

İstanbul Senin uygulaması nedir, ne işe yarıyor?

“İstanbul Senin”, İstanbul Büyükşehir Belediyesi tarafından 18 Kasım 2021 tarihinde kamuoyuna tanıtılan dijital bir şehir platformudur. Uygulamanın amacı, vatandaşların belediye hizmetlerine tek noktadan erişimini sağlamak ve günlük yaşamı kolaylaştırmaktır.

Uygulama, ulaşım, kültür-sanat, spor, sosyal yardımlar ve belediye işlemleri gibi çok sayıda hizmeti dijital ortamda bir araya getiriyor. Kullanıcılar İstanbulkart bakiyelerini sorgulayabiliyor, otobüs ve metro saatlerini öğrenebiliyor, İBB etkinliklerine katılabiliyor ve fatura ödemelerini kolayca gerçekleştirebiliyor. Uygulama ayrıca kişiselleştirilmiş bildirimler sunarak trafik, hava durumu ve acil durum uyarılarını anlık olarak iletebiliyor. Özetle İstanbulluların hayatını kolaylaştırmayı hedefleyen platform olarak tanıtılmıştı.

İstanbul Senin’de öne çıkan hizmetler şöyle:

• İş Ara İş Bul 120 binin üzerinde kişiye özel sektörde iş imkânı sağladı.
• Enstitü İstanbul İSMEK ile 500 binden fazla İstanbullu ücretsiz kurs ve eğitimlere kayıt oldu.
• 10 bin üzerindeki İBB WİFİ noktasına her gün 100 binden fazla kez İstanbul Senin üzerinden tek tıkla bağlanılıyor. Üstelik bu servisle aylık 60GB internet erişim hakkı kazanılıyor.
• Her gün on binlerce otobüs kullanıcısı “Otobüsüm Nerede” mini uygulaması ile otobüsünün durağa ne zaman geleceğini görebiliyor. “Nasıl Giderim” mini uygulamasında toplu ulaşım ile kendilerine en hızlı rotayı oluşturabiliyor.
• Binlerce İstanbullu ücretsiz olarak konser ve etkinliklere ücretsiz davetiye hakkı elde etti.
• Dijital Çözüm Merkezi hizmeti veren “Canlı Destek” mini uygulaması ile 150 binin üzerinde İstanbullu sorularına hızlı yanıt aldı.
• Ayda 600 binden fazla haneye giren Hamidiye Su, online sipariş kanalını bu platformda hizmete sundu.
• İGDAŞ ve İSKİ gibi önemli kurumlar fatura ödemelerini İstanbul Senin uygulaması ile hızlı ödemeye açtı. Farklı birçok hizmeti bu kanaldan vermeye başladı.