Siber Güvenlik konusu gündemimize adamakıllı girdi. Ama bir yandan kafa karışıklığı da had seviyede. Bunu en son, Hacker grubu Anonymous’un Emniyet Genel Müdürlüğünü (EGM) hacklediği haberleri konusunda yaşıyoruz. “Anonymous EGM’yi Hackledi mi? ”
Alınan bilgiye göre, Anonymous 20 GB’lık EGM veri tabanını hacklemiş ve bunu internet üzerinden yayınlamış durumda ama uzmanlar verileri incelediğinde, bu verilerin aslında SGK verileri ve 2013 tarihli olduğu bilgisini veriyorlar.
Milyonlarca T.C. vatandaşının kişisel verilerini kapsadığı görülen dosyaları indirenler, sorgu ekranının kod hatası verdiğini söyleyerek sistemin çalışmadığı ve trojan yüklediği iddiasını da paylaştılar.
Her zaman olduğu gibi, “tam” bilgiyi turk-internet.com’da okuyorsunuz. Bu hackleme hikayesini Anonymous duyuruyor deseler de doğruyu göstermiyor***. En altta yazdığımız Devlet Denetleme Kurulu soruşturmasına bakarsanız, bu veri tabanının devlet kurumlarına iş yapan 3.parti firmaların yetkisiz elemanlarının erişimine açık olduğunu göreceksiniz. Ya da aşağıda yazdığımız SGK olayı var. Zaten verileri inceleyenler görecekler, bunlar eskiden alınmış ama çoğu da halen geçerli veriler. Asıl soru şu; bu verileri acaba kim, neden piyasaya sürdü? Mesela içinde olan trojan’ı yüklemek için mi?
SGK BU Verileri 65 Milyon TL’ye Satmış mı?
TBMM’de “Kişisel Verilerin Korunması Kanunu Tasarısı”nın görüşüldüğü (hatta bugün geçmesinin beklendiği bir dönemde) CHP Grup Başkan Vekili Özgür Özel’in SGK’nin halkın kişisel verilerini 65 milyon TL’ye özel bir firmaya sattığı iddiası da mahkeme kararıyla kesinleşti.
CHP Grup Başkan Vekili Özgür Özel bir süre önce, SGK’nin hastaların mahrem bilgilerini sattığına dair görüşmeler sırasında
“SGK bu bilgileri eski ANAP milletvekili Burhan İsen’in Datamed adlı firmasına sattı. İlaç Takip Sistemi’ne bir doktor, ajan olarak yerleştirildi ve sistemdeki bilgiler çalındı. Dataları alan firma ilaç vurgununa yöneldi”
demiş ve bu sözler üzerine Burhan İsen karalandığı iddiası ile, Ankara 11. Asliye Hukuk Mahkemesi’ne Özgür Özel aleyhine başvurmuş ve 50 bin TL manevi tazminat talep etmişti.
Özel, Burhan İsen’i değil SGK nezdinde yaşanan usulsüzlüğü dile getirdiğini belirtirken, mahkemeye sağlık Bakanı Mehmet Müezzinoğlu’nun ve dönemin Çalışma Bakanı Faruk Çelik’in ifadelerini, Sağlık Komisyonu tutanağını, bazı soru önergelerinin yanıtlarını ve İDM firmasından Türkiye’deki tüm eczacıların cep telefonlarına gönderilen SMS örneğini delil anlamında sundu.
İsen’in itirazı üzerine Özel, mahkemeye SGK Sayıştay Denetim Raporu’nu da sundu. Raporda,
“Genel Sağlık Sigortası (GSS) verilerinin yasal dayanağı olmadan, ücret karşılığı üçüncü kişilerle paylaşıldığı, firmanın İsen’e ait Datamed olduğu”
belirtiliyordu. Bu veriler sonrasında, mahkeme davanın reddi yönünde karar verdi.
Danıştay SGK Verileri Satamaz Kararı Vermişti, DDK Kişisel Veriler Uyarısı Yapmıştı
Aynı konuda bir başka haber de, Türk Tabibler Birliği’nin (TTB) Danıştay’da ve Anayasa Mahkemesinde açtıkları dava idi[1]. Dernek ve Türkiye Psikiyatri Derneği, Çalışma ve Sosyal Güvenlik Bakanlığı tarafından 11.07.2012 tarih ve 28350 sayılı Resmi Gazete’de yayımlanarak yürürlüğe konulan ‘Genel Sağlık Sigortası Verilerinin Güvenliği ve Paylaşımına ilişkin Yönetmelik’in bazı maddelerinin yürütmesinin durdurulması ve iptali istemiyle dava açmışlardı. Danıştay 15. Dairesi de, Yönetmelik’in dayanak hükmünü oluşturan 5510 sayılı Sosyal Güvenlik ve Genel Sağlık Sigortası Kanunu’nun 78. maddesinin 1. ve 2. fıkralarının iptali istemiyle Anayasa Mahkemesi’ne başvurmuştu.
Anayasa Mahkemesi ise 23.5.2015 tarihli Resmi Gazete’de yayımlanan kararıyla, 5510 sayılı Yasa’nın 78. maddesinde geçen
‘Sağlık bilgilerinin ne şekilde korunacağı, ulusal güvenlik nedeniyle sağlık bilgisi paylaşıma açılmayacak kişilerin tespiti ilgili bakanlıkların önerisi üzerine Bakanlıkça tespit edilir. (Ek cümle: 17/4/2008-5754/66 md.) Bu kişi ve grupların sağlık bilgilerinin nasıl tutulacağı ilgili kuruluşların görüşleri alınarak hazırlanacak yönetmelik ile düzenlenir.’
ibaresini Anayasa’nın 20. maddesine aykırı bularak iptal etmişti.
Ayrıca, 2013 yılında Abdullah Gül’ün Cumhurbaşkanlığı döneminde, Devlet Denetleme Kurulu (DDK), bu konuya özel dikkat çeken bir soruşturma raporu yayınlamıştı[2].
Kişisel Verilerin Çalınması Neye Yol Açar?
Kişisel verilerin çalınması pek çok soruna yolaçabilir. Bunlar arasında banka işlemleri, sahte pasaport çıkartmak, üstüne olan ev tapularının vs el değiştirmesi gibi pek çok sıkıntı eskiden de yaşandı. Bugün toplu çalınmaların yolaçabileceği başka sorunlar da olabiliyor.
Konuyla ilgili görüşlerini sorduğumuz Avukat Gökhan Ahi şunları söyledi :
Görüştüğüm bir çok kişi, Emniyet’ten hacklendiği iddia edilen verilerin eski olduğunu doğruluyor. Bu verilerin eski veya yeni olması konunun ciddiyetini ve önemini ortadan kaldırmaz. Veri yine benim verim, yine benim kimlik bilgilerim. Ancak bizler, verilerin eski mi yeni mi, emniyetten mi yoksa SGK’dan mı ele geçirildiği yönünde magazinel tartışmalar yaparak vakit geçiriyoruz. Esas sorulması gereken, bu kadar kişisel verinin devlet kurumlarında nasıl tutulduğu, ne kadar süreyle tutulduğu ve ne amaçla tutulduğudur.”
Eski yeni farketmez, bu bilgilerle kredi kartı çıkarılabilir, e-devlet şifreleri alınabilir, vekalet çıkarılabilir, şirket bile kurulabilir. Bırakın devlette tutulan verileri, plaza güvenliklerine bırakılan kimlikler, telefon bayilerine veya kurslara verilen kimlik fotokopileri bile çok ciddi riskler içeriyor, ama kimse bunun farkında değil. Kişisel veriler konusunu sadece kimlik bilgilerine indirgememek lazım, hakkımızda bir çok kişisel veri bizden habersiz işleniyor ve karşımıza nasıl çıkacağı bilinemiyor.
Halen kişisel veriler kanunumuz yok, her yıl çıkacak diye bekliyoruz ama çıkmadı. Ayrıca sosyal ağlar çok gelişti, akıllı kartlar ve ödeme sistemleri çeşitleri çoğalıyor, beacon’lar yayılıyor ve kişiselleştirilmiş reklam araçları nerdeyse hayatımızı biliyor, sağlık hizmetleri tamamen elektronik ortamda, esas en mahrem kişisel veriler bu alanlarda. Kişisel veriler kanunu çıksa bile, teknoloji karşısında çoktan eskidi bile. Kişisel veriler kanunu ne yazık ki, yeni teknolojileri kapsayacak güçte ve yeterlilikte değil.
Gördüğünüz gibi, bütün dünya “kimlik hırsızlığı” konusunda çalkalanırken, bizim ülkemizde, bu kimliklerin bizzat devlet tarafından satılması ya da korunamaması gibi sorunlarla karşı karşıyayız. Anonymous muhtemelen bir yerlerden ele geçirdiği bu veri tabanı ile adeta bizimle alay ediyor. Yani itibarımızla oynuyor.
Ama aslında onların da yaptıklarına dikkat etmesi ve eski verilerin ortaya sunulmasının onların itibarına da etki edeceğini düşünmesi gerekirdi.
[1] AYM İptal Etti, Danıştay Karar Verdi; ‘SGK Sağlık Bilgilerini İşleyemez, Paylaşamaz, Satamaz’
*** Zaten Anonymous kim o bile bilinmiyor. İsmi üzerinde. İsteyen ben Anonymous’um diye ortaya fırlayabiliyor.