Kasım sonunda açıklanan, dünyanın en büyük otel gruplarından Marriot -Starwood kapsamında 4 yıl süreyle yaşanan veri hırsızlığı konusunda gelişmeler sürüyor. Gerçi bu gelişmelerin çok detay verdiği söylenemez [1][2]. Ama bizi ilgilendiren yönü 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanunu kapsamındaki gelişmeler. Bu kanunla kurulan Kişisel Veriler Kurumu bir açıklama yayınladı ama bu açıklama daha çok bilgilendirme yapıyordu. İçeriğinde KVK’nın inceleme ya da soruşturma yaptığına dair bir bilgi yoktu. Bu konuyu bir hukukçuya sorduk.
turk-internet.com : Marriott Otel açıklamasında hassas bilgilerin şifreli saklandığı ama hackerların şifreleme anahtarlarını da çalmış olabilceğini söylüyor. siz buna nasıl bakıyorsunuz?
Av.Gökhan Candoğan : Tüm dünyada 500 milyon kişiyi etkileyen bir veri ihlali. 327 kişi açısından son derece önemli kişisel verilerin çalınmış olması söz konusu. Üstelik, 2014 yılından bu yana devam eden bir süreç. Anlık, günlük ve istisnai bir durum değil söz konusu olan, yıllara yayılan bir ihlal söz konusu. Bu açıdan bakıldığında, gerçekten çok büyük bir olayla karşı karşıyayız.
turk-internet.com haberinde, açıklanmayan kaynaklara dayalı olarak, bu ihlalin/hırsızlığın parasal olmaktan öte bilgi sızdırmaya yönelik olduğu yazılı. Doğru da olabilir. Bir yerden sonra, hangisi daha değerli, kestirmek güç. 500 milyon otel kullanıcısını verileri, iyi analiz edilip işlendiğinde tek tek bu kişilerin kredi kartları veya banka hesaplarını boşaltmaktan daha fazla parasal değer anlamına gelebilir. “Big data” söz konusu.
Bunu belirtmekle beraber, grubun açıklamasındaki “belirsizlik” dikkat çekici; bilgiler şifreliydi ama şifreleme anahtarları da çalınmış olabilir? 4 yıllık bir hırsızlık sürecinde bu verilerle her şey yapılmış olabilir ama bildiğim kadarıyla log kayıtları gibi veri tabanlarında yapılacak çalışma ile daha net ve kesin sonuçlara ulaşmak mümkün. İnternette her dokunuş bir iz bırakıyor.
turk-internet.com : Yaptığı satın almalarla dünyanın en büyük otel grubu haline gelmiş bir grubun 4 yıl boyunca süren hacking işlemini farketmemesini nasıl değerlendiriyorsunuz.
Av.Gökhan Candoğan : Burada grup açısından büyük bir güvenlik açığı olduğundan bahsetmek mümkün. Marriott grubu, sahip olduğu bu veri tabanının korunması konusunda tüm teknik tedbirleri almak zorunda/ydı. Otel veri tabanına dikkat etmek gerekir, çünkü buradaki bilgiler, bir bütün olarak özel hayatın gizliliği kapsamında en iyi şekilde korunması gereken, hassas bilgiler. Bu bilgilerle pek çok kişinin, şirketin ve topluluğun yaşamını yönlendirebilirsiniz… Geleceğin “petrolü” söz konusuysa, geleceğin savaşları siber savaşlar olacaksa, bunları öngörmek gerekiyor.
AB tarafından yürürlüğe konulan GDPR bu farkındalığın eseri. Ama çoğu kişi ve kurumda böyle bir farkındalık söz konusu değil. Belki de Trump’ın seçilmesi sürecindeki “dış” etki tartışması teknolojinin geldiği nokta konusunda insanları afallattı. Evet, artık insanlar hakkında pek çok veri elde edebilirsiniz, evet, bunun önemli bir kısmını yasa dışı yollarla bulabilirsiniz ve yine evet, bu veriyle yapacağınız analizler kişisel tercihleri öngörme ve etkileme gücünü verebilir size.
turk-internet.com : Tek bir veri tabanında saklanan veriler ya da en azından tüm veri tabanına ulaşılabildiği görülüyor. Türkiye’de kimi sektörler icin verilerin yurtdışına çıkarılmasının yasaklandığı durumlar var. Bu açıdan nasıl değerlendiriyorsunuz.
Av.Gökhan Candoğan : Burası önemli. Veri tabanının güvenliğini nasıl sağlarsınız? Örneğin, verileri nerede saklarsınız? Bulutta saklamak güvenli mi? Bu sorun, ulusal bir sorun mudur yoksa küresel mi? Bizim Kişisel Verileri Koruma Kurumu, yayımladığı rehberlerde, kişisel verilerin “bulutta” depolanmasını öneriyor ama bulut deyince, bu veriler nerede saklanıyor? Seçtiğiniz şirketin sunucularının bulunduğu ülkelerde. Amerikan bazlı bir şirket ise, ki genellikle piyasaya hakim olan şirketler bunlar, o zaman prensip olarak ABD ve/veya belli başlı Avrupa ülkelerinde saklanıyor veriler. Bir Türk şirketinin sahip olduğu verileri bulutta saklaması, bu anlamda kişisel verilerin yurt dışına aktarılması anlamına geliyor. 6698 sayılı yasaya kadar bu yasaktı. Her ne kadar bu yasağın hiçbir anlam ve manası olmasa da yasal durum buydu. Şimdiyse, yasak değil ama bir prosedüre tabi. Marriott açısından şöyle bir durum var; bu veri tabanı, tek olduğunu anlıyoruz, neredeydi? Şirketin kendi sorumluluğu altında olan sunucularda mı yoksa, örneğin bir bulut şirketi sunucularında mı? Açıklamalarda bu yönde bir açıklık yok. Ama durumu değiştirebilir bu sorunun cevabı.
Bu ardı ardına gelen veri hırsızlıkları bence konuya daha farklı yaklaşmamızı da gerektiriyor. Ortada çok ciddi bir cezayı gerektirir kural ihlali var ama bugüne kadar ortaya çıkan vakıaların ardından, somut olarak getirilen bir açıklama olmadı, neredeyse. Olay ilk duyulduğunda bir gürültü kopuyor ama ardından olayın detayları, sorumluları, yöntemleri kamuoyu ile paylaşılmıyor. Bu suçlama ile ceza alan kimse var mı? Özellikle bu tür büyük veri hırsızlıklarından sonra ve bunlarla ilgili olarak? Bu da bu veri hırsızlıklarının failleri ve amaçları konusunda büyük bir soru işareti doğuruyor. Bir hırsızlık söz konusu, çalınan bir “ürün” var. Bu nerede kullanılıyor? 500 milyon kişinin bilgilerinden bahsediyoruz. Bu kullanılmayacak mı? Kim, nasıl ve ne amaçla kullanacak?
Bu, yeni bir takım hukuki tartışmaları beraberinde getiriyor. Bu hırsızlığın mağduru kimdir? Marriott grubu mu, yoksa 500 milyon müşterisi mi? Bu verilerin mülkiyeti kime aittir; Marriott grubuna mı yoksa 500 milyon müşteriye mi? Gelişen teknolojinin hukuku kökünden değiştirdiği alan burası.
turk-internet.com : Bu konuya sizce regülatörler nasıl bakar? bakmalı? Bilgisi çalınan 500 milyon kişi arasında Türk müşteriler olduğu duyumu var. Türk Veri Koruma Kurulu bir açıklama yayınladı ama daha ileri çalışma yapmadıkları görülüyor. Bunu nasıl değerlendiriyorsunuz?
Av.Gökhan Candoğan : Bu konu ilk gündeme geldiğinde, açıklamanın tüm dünya ile aynı zamanda türkçe olarak da yapılması gerekir ve beklenirdi. Zira, anlaşıldığı kadarıyla Marriott grubunun Türkiye’deki otellerine ait veri tabanı da hırsızlığın kapsamında. Yani ABD, Avrupa, Japonya’da nasıl ilgili düzenleyici otorite ve kurumlara bildirim yapılarak işbirliği gösterilmişse Türkiye’de de KVKK’ya bildirim yapılmalı ve KVKK’de yasal bir inceleme başlatmalıydı. Grubun Türkiye’deki otelleri veri tabanlarını nasıl oluşturuyor, veriler yurt dışındaki ana veri tabanına mı bağlı, veri transferi nasıl yapılıyor, kaç türk müşterinin kişisel verileri çalındı? Çalınmanın boyut ve kapsamı nedir? Türk vatandaşları ne yapmalı? Bütün bu soruları cevaplayan bir inceleme. İnsanları grubun hazırladığı web sayfasına yönlendirmek, bu inceleme görevinin sadece küçük bir parçası olabilir. Bakın, yazıldıktan sonra, 4 aralıkta bir bildirim yapıldı ama örneğin grubun ihlale yönelik kurduğu web sayfasında (answers.kroll.com/#collapse-Seven) 8 aralıkta yapılan güncellemede, dünyanın pek çok ülkesinde bilgi amaçlı call center kurulduğu bilgisi varken, bu ülkeler arasında Türkiye yok. Birleşik Arap Emirlikleri, Güney Kore, Singapur, Rusya, Meksika, Çin, Brezilya, ABD, AB ülkeleri var ama Türkiye yok. Türkiye’de bilgi verilmesine ihtiyaç yok mu? Yoksa Türkiye’de bu olay ciddiye mi alınmıyor? Yoksa Türkiye mi ciddiye alınmıyor?
turk-internet.com : Bilgilerinin çalındığını bilen ya da düşünen Marriott Otel müşterisi Türk vatandaşları neler yapabilir?
Av.Gökhan Candoğan : Tarih aralığı belli. 2014-2018 yılları arasında Marriott grubu otellerinde kalan, rezervasyon yaptıran, üyelik kartları bulunan kişiler, doğrudan grupla (web sayfası üzerinden) bağlantıya geçerek verilerinin çalınıp çalınmadığı, grubun veri tabanında kendileriyle ilgili hangi verilerin bulunduğunu öğrenebilirler. Bu talep KVKK’ya da yapılabilir. Bu konuda teknik takip yapan bir takım yazılım/programlar var. Hatta Grup tarafından yapılan açıklamada, etkilenen müşteriler için bir yıllık ücretsiz üyelik yaptırılacağı da söyleniyor. Burada gerçekleşen hırsızlık ile elde edilen verilerin ne zaman kullanılacağı bilinmiyor. Zaman aşan bir etki söz konusu olabilir. Veri hırsızlığı nedeniyle uğranılan bir zarar söz konusu ise elbette bu genel hukuk teorisi içerisinde dava konusu da yapılabilir.
Burada, kişilerden daha çok kurumların, özellikle de KVKK’nın çalışmaları önem kazanıyor. Pek çok yazar, siber güvenliğin, tıpkı küresel ısınma gibi, ancak küresel mücadele ile anlamlı olacağını belirtiyor. Gerçekten de, tek başına Türkiye’nin yapabileceği bir şey neredeyse yok, siber güvenlik konusunda. Sınırları en rahat aşan şey teknoloji ve teknolojiye dayalı suçlar. Öyleyse, mücadelesinin de küresel olması gerekiyor. Marriott grubu olayı da tam da bunun güzel bir örneği, Tüm dünyada otelleri olan bir grup, etkilenen tüm dünya vatandaşları. O yüzden, KVKK, özellikle AB otoriteleri ile işbirliği içerisinde bu olayın aydınlatılması konusunda çalışma yapmalı.