PTT’ye bağlı Posta ve Telgraf Teşkilatı Biriktirme ve Yardım Sandığı sunucularına sızıldığı ve kişisel veri ihlali meydana geldiği konusundaki çeşitli sorular, CHP İstanbul milletvekili Onursal Adıgüzel tarafından,Ulaştırma ve Altyapı Bakanı Adil Karaismailoğlu tarafından cevaplaması için soruldu.
Onursal Adıgüzel’in Soru Önergesi şu şekilde;
Posta ve Telgraf Teşkilatına bağlı Posta ve Telgraf Teşkilatı Biriktirme ve Yardım Sandığı tarafından Kişisel Verileri Koruma Kuruluna iletilen veri ihlal bildiriminde özetle;
- Zararlı yazılımlar vasıtasıyla üyelerin bilgilerinin bulunduğu sisteme yetkisiz erişim sağlandığı,
- Yetkisiz kişiler tarafından, anne kızlık soyadı, cilt seri no gibi PTT çalışanlarının kişisel verilerinin, 3.2 gb veri tabanı yedeğinin ve sitenin tüm dosyalarının ele geçirildiğinin iddia edildiği,
- İhlalin 29.08.2022 ile 30.08.2022 tarihleri arasında gerçekleştiği ve 30.08.2022 tarihinde tespit edildiği,
- İhlalden etkilenen kişisel verilerin kimlik ve üyelik işlemlerine ait bilgiler olduğu,
- İhlalden yaklaşık 38.000 kaydın etkilendiği,
- İhlal ile ilgili çalışmaların devam etmekte olduğu
bilgilerine yer verilmiştir. Kişisel Verileri Koruma Kurulu kamuoyuna yaptığı duyuruda 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmüne atıfta bulunmuştur. Bu doğrultuda Kişisel Verileri Koruma Kurulunun 01.09.2022 tarih ve 2022/891 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
PTT’nin dijital alanda verdiği bankacılık, lojistik, sanal pazar yeri vb. hizmetleri göz önünde tutulduğunda benzer bir ihlalin Bakanlığınıza bağlı diğer kritik veri altyapılarında da meydana gelebilecek olması kamuoyunda endişe yaratmıştır. Öte yandan 02.09.2022 tarihinden itibaren PTT Biriktirme ve Yardım Sandığı internet sitesi olan http://www.ptt-bys.gov.tr erişim sağlanamamadığı tespit edilmiştir.
Bu çerçevede;
Bakanlığınız, ilgili olduğu kurum ve kurullarda kişisel verilerin korunumu için ne gibi önlemler almaktadır?
Veri ihlalinin sebebinin araştırılmasına yönelik Bakanlığınızın başlattığı/yürüttüğü herhangi bir idari soruşturma var mıdır?
Cezai suç şüphesinin araştırılmasına yönelik herhangi bir suç duyurusunda bulunulmuş mudur?
Veri ihlalinin sebebine dair elinizdeki belge ve bulgular nelerdir?
İhlal bildiriminde beyan edilen “PTT çalışanlarının kişisel verilerinin, 3.2 gb veri tabanı yedeğinin ve sitenin tüm dosyalarının” gibi genel bir ifade kullanılmıştır. Söz konusu tüm dosyalar ifadesi ile kastedilen nedir?
Çalışanların kişisel verileri haricinde hangi kritik bilgiler yetkisiz kişilerin eline geçmiş vaziyettedir?
PTT Biriktirme ve Yardım Sandığının internet sitesine erişim sağlanamamasının gerekçesi nedir? Veri ihlaline sebep olan olay ile bir bağlantısı bulunmakta mıdır?
Kamuya ait kritik veri altyapılarının korunmasına dair Bakanlığınız tarafından yürütülen herhangi bir çalışma var mıdır? Varsa nelerdir?
Gelecekte buna benzer veri ihlallerinin yaşanmaması için ne gibi önlemler alıyorsunuz?
Veri altyapısına dair benzer riskler Bakanlığınıza bağlı olan diğer birimlerde de mevcut mudur? Bu konu hakkında herhangi bir denetimde bulundunuz mu?
PTT’ye bağlı diğer hizmet altyapılarında herhangi bir risk mevcut mudur?
PTT’nin lojistik, bankacılık, online pazar yeri gibi hizmetleri sağladığı dijital mecralarda daha önce yaşanmış ve tespit edilmiş herhangi bir veri ihlali ya da siber saldırı mevcut mudur?