Son günlerde gündeme düşen 70 milyon vatandaşın nüfus bilgilerinin çalındığı ve satıldığı haberleri bilişim sistemleri ve büyük bilişim projelerinin güvenliği ve güvenilirliği konusunda yeni bir tartışma başlatmış görünüyor. Biz bilişimcilerin en hassas olduğu konulardan birisi güvenlik diğeri de güvenilirlik. Türkiye Bilişim Derneği olarak bu konuları yıllardır çok çeşitli platformlarda ve değişik açılardan kamuoyunun gündemine sunduk. Çok etkili bir atasözümüz ne diyor : “Bir musibet bin nasihatten daha etkilidir”. Siz ne kadar anlatırsanız anlatın, kişinin başına gelmedikçe bu olaylar uzaklardaki bir masal gibi algılanıyor, başına gelince de paranoyaya dönüşüyor.
E-devlet projelerinin yaygınlaştırılmasının önündeki en büyük engellerden birisi de bu güvenlik ve güvenilirlik sorunudur. Büyük projeler için bu iki kavram birbirini tamamlayan roller üstlenmektedir. Güvenlik zafiyeti olan bir proje, paydaşları, özellikle de kullanıcıları tarafından güvenilirliğini yitirmektedir. Güvenlik açığı hemen kapatılsa bile yeniden güven kazanması oldukça uzun bir zaman almaktadır.
Bizim ülkemizde devlet kurumları tarafından yapılan her bilişim projesi, ülke çapındaki yaygınlığı, kullanıcı kitlesinin fazlalığı, topladığı veri miktarının büyüklüğü ve işletim için kullanılan kaynaklar göz önüne alındığında oldukça büyük ölçekli projelerdir. Bu projeleri gerçekleştirme öncesinde yapılan çalışmalarda ne yazık ki bazı alınması gereken tedbirler yetersiz kalmıştır. En önemli bacağı hukuk olan proje öncesi çalışmalarda, hukuksal alanda gerekli bir çok düzenleme yapılamamıştır. Projeler hayata geçtikten sonra bu düzenlemeler peşinden gelmeye çalışmaktadır. Projelerdeki işleyiş ve güvenlik zafiyetleri de buradan çıkmaktadır.
Son günlerde tartışılan nüfus verilerinin çalınması konusu da buna canlı örnektir. Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, yasa gereği, diğer kurumlara istedikleri nüfus kayıtlarını vermek zorundadır. Bu kurumlar, kendi işlerini sürdürebilmek için aldıkları verileri kendi veri tabanlarına işlemekte, belirli zaman dilimi içinde yeniden NVİGM’den güncellenmiş verileri alarak kendi veri tabanlarını güncel tutmaya çalışmaktadır. Bu arada, bu kurumlar da yasa gereği kendilerinde bulunan bu verileri diğer paydaşlarına dağıtmak zorundadır. Örneğin Yüksek Seçim Kurulu seçmen verilerini siyasi partiler ile paylaşmak zorundadır. Böylece, aslında bir yasa ile koruma altında olan verilerimiz bir başka yasa ile de bir anlamda genel dağıtıma tabi tutulmaktadır.
Bu noktadan bakıldığında, aslında verileri üreten ve işleyen birimler kendi sistemlerinde gerekli güvenlik önlemlerini almış olmalarına rağmen, yasal düzenleme eksikliğinden dolayı bu veriler kurumların isteği ve denetimi dışında yayılabilmektedir. Yani bir anlamda, binalarımızın girişi oldukça güvenli ve girebilmek çok zor, ancak arka tarafta duvarları yok, her yer açık. Büyük miktarda verinin rant kaynağı olduğunu anlayan bazı uyanıklar da bu ortamı kendi çıkarları için kullanabilmektedir. Bizim örneğimizdeki en ilginç ve ironik nokta yasal olmayan bu ticari veri dağıtım işinin muhataplarının avukatlar olmasıdır.
Bu son örnekte görüldüğü gibi, yasal düzenleme eksikliğinden, verileri çıkar amaçlı kullanan kişileri suçlamak bile mümkün olamamaktadır. Geçen iki üç yıl içinde NVİ yetkilileri bu kişileri daha önceden savcılığa bildirmişlerdi, ancak gelinen noktaya bakılırsa yasal yaptırımlar anlamında pek bir şey yapılamadığı anlaşılmakta.
Teknoloji bizlere sadece belli yere kadar bir güvenlik kalkanı oluşturabilir. Asıl olan insandır. Kişi kendi kültüründe ve yetişme biçiminde, almış olduğu eğitimde, toplumsal yaşamın kurallarına göre eğitilirse, bireye saygı duymayı, onun sırtından para kazanmanın ahlak dışı bir şey olduğunu temel yaşam ilkesi olarak algılarsa bu gün yaşadığımız sorunların çok büyük bölümü kendiliğinden ortadan kalkar. Ama içinde yaşadığımız sistem, bize bir “fırsatlar dünyası” sunduğunu iddia ediyor, bu dünyada da fırsatı hedefe dönüştüren, hedefe varmak için de her yolu mübah sayan anlayışlarla gençlerimiz eğitiliyor. Tüm değerler artık neredeyse sadece para ile ölçülüyor, diğer değerler onun arkasından geliyor.
Uzun yıllardır edevlet projelerinde çalışan bir arkadaşımın dediği gibi, aslında herhangi bir veriyi saklamayacaksın, her şey ortada olacak, böylece, az insanın erişebildiği ve değer oluşturan bir veri kümesi de olmayacak. Her şeye rağmen, bu veri kümelerini kendi kişisel çıkarları için kullanan bireylere de çok sert yaptırımlar uygulayacaksın. Böylece, en baştan toplumun tamamını potansiyel suçlu gibi görmekten vazgeçip herkese güveneceksin, bu güveni kötüye kullanan kişilere de bir daha bu işe cesaret etmeye kalkanları da caydıracak yasal altyapıyı kuracaksın. Belki bu daha iyi bir yöntem olabilir, yasa yapıcıların dikkatine sunarım.
Bu ve benzeri sorunların üstesinden gelebilmek için alınması gereken tedbirler üzerinde düşündüğümüzde aşağıdaki konular öne çıkmaktadır.
Halen mecliste bekleyen kişisel verilerin korunmasına ilişkin yasa acilen çıkarılmalıdır
Ülkemizin e-dönüşüm çalışmalarını düzenleyecek ve koordine edecek “e-dönüşüm üstyapısı” bir an önce hazırlanmalı ve gerekli yasal düzenlemeler yapılarak hayata geçirilmelidir. Üstyapı oluşturma çalışmalarına bilişim dünyasının her kesiminden (STK, üniversiteler, Kamu Bilgi İşlem Birimleri, Özel sektör temsilcileri vb.) temsilciler de alınmalıdır.
Kurumların veri kullanım ve dağıtımları yeni iş süreçleri ve çalışma yöntemlerine göre yeniden belirlenmeli, verilerin elektronik ortamda değişimi sırasında oluşan bu olumsuz durumların analizleri yapılmalı ve halen yürüyen büyük projeleri de kapsayan gerekli yasal düzenlemeler acilen yapılmalıdır,
Sanal ortamda işlenen suçlara ilişkin yaptırımlar için yasalarımızdaki eksiklikler giderilmeli, yeni gereksinimler için gerekli yasal altyapı çalışmaları yapılmalıdır.
Tüm bunların yanı sıra bilişim basını ve bilişim STK’ları da kendi alanlarında “Bilişim Etiği” konusunu ön plana çıkarmalı, etkinliklerinde bu konuya daha çok yer ayırmalıdır. Bilişim konusunda eğitim veren üniversitelerde Bilişim Etiği özel bir ders olarak okutulmalıdır. Artık Lise ve dengi okullarda bilişim dersleri olduğu göz önüne alınırsa, etik değerlerin o derslerde de işlenmesi gerekmektedir.
Bilişim projelerini yapan ve yaptıran taraflara gelince ;
Bilgi İşlem merkezleri kendi personeline düzenli eğitim ve bilgilendirmeler yapacak periyodik toplantılar yapmalıdır. Bu eğitim ve bilgilendirmelerde teknolojik gelişmeler ve proje sorunları gibi konuların yanı sıra özellikle “iş ahlakı” ve “bilişim etiği” konular sistematik olarak işlenmelidir. Gerekirse bu konularda eğitim kurumlarından destek alınmalıdır.
Proje sahibi kurum veya kuruluş ile çalışan personeli arasında bağlayıcı gizlilik ve güvenlik sözleşmeleri yapılmalıdır. Bu sözleşmelere uymayan taraflar için yasal takibat yapılmalıdır.
Ayrıca, Kurumlar ve onlara iş yapan özel Firmalar arasında yapılan sözleşmelere yazılan gizlilik ve güvenlik maddeleri projelerin koşullarına göre yeniden düzenlenmelidir. Kurumun verilerine çok kolay erişebilen Firma proje elemanlarını da bağlayıcı yeni kurallar getirilmelidir.
Firma ile çalışanı arasında da iş akitlerinin yanı sıra, proje özelinde gizlilik ve güvenlik sözleşmeleri yapılmalıdır. Olumsuz durumlarda bu sözleşmelerdeki yaptırımlar işletilmelidir.
Değer olan her şeyin paraya dönüşebileceği algılamasının olmadığı bir dünya özlemiyle …
Kaynak : 