DDK raporunda 'asma kilit' şoku

Kamuda ve vatandaş arasında dijital bilgi koruma farkındalığı oluşturulmadığı için özel bilgiler ortalıkta dolaşıyor, parola bilinci bulunmadığından kamu kurumlarında 1111, 0000, 1234 ya da iki haneli rakamlardan oluşan parolalar görülüyor.

Cumhurbaşkanlığı Devlet Denetleme Kurulu kişisel verilerin korunmasına yönelik uygulama ve mevzuat eksikliklerinin giderilmesini istedi. Cumhurbaşkanlığı DDK "Çeşitli kuruluşların yaptıkları güvenlik denetimlerinde fiziksel olarak güvenliği sağlanmamış sistemlere saldırı denemeleri yapıldığında, bu sistemlerin beş dakika gibi kısa bir sürede ele geçirilebildiği ve içindeki verilere ulaşılabildiği görülmüştür" saptaması yaptı.

Cumhurbaşkanlığı Devlet Denetleme Kurulu (DDK) "Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları" Raporu'nu tamamladı. Cumhurbaşkanı Abdullah Gül'ün tamilatıyla hazırlanan rapor, 818 sayfadan oluştu. Gizli damgalı raporun, sadece sonuç bölümü açıklandı.

Kritik uyarı

Mart ayında yerel seçim takvimi, 1 Ocak'tan itibaren başlayacak. Raporda, seçim öncesi daha da anlam kazanan şu tespitler dikkat çekti:"Seçimlerin Temel Hükümleri ve Seçmen Kütükleri Hakkında Kanunda yer alan düzenleme kapsamında her seçim döneminde Nüfus ve Vatandaşlık İşleri Genel Müdürülğü seçmen niteliğine sahip olan 18 yaş ve uzerindeki kişilerin nüfus ve adres bilgilerini YSK ile paylaşmakta, talep etmeleri halinde de YSK söz konusu verileri siyasi partilerle toplu olarak elektronik ortamda paylaşmaktadır. Dolayısıyla seçmen nitleğine sahip sahip 50 milyonun uzerindeki vatandaşın, ad, soyadı, ana ve baba adı, doğum yeri, adres bilgisi seçimlere girme yeterliliğini taşıyan onlarca partiyle paylaşılmaktadır.

Paylaşılan elektronik ortamdaki verilerin çoğaltılmasını ve başkalarıyla paylaşılmasınıengelleyecek hicbir mekanizma öngörülmemiştir. Bu verileri alan partilerin bu verileri korumayeterlilikleri ve almaları gereken onlemler konusunda da herhangi bir belirleme yapılmamıştır.

Adli makamlara da intikal etmiş olan bazı olaylarda 18 yaş ve uzerindeki kişilerin T.C. kimlik numaraları ile kimlik ve adres bilgilerinin sorgulanmasına imkan veren yazılımların üretilidği ve satıldığı bilgisi, bu tur uygulamaların doğurabileceği sonuçlar açısından dikkat çekicidir.

Bir siyasi partinin sitesinde sorgulama yapılıyor

Seçmen listesi bilgilerinin bir siyasi partinin internet sitesi uzerinden ve mobil uygulamalarla sorgulanabildiğine ilişkin bir örnekle de karşılaşılmıştır. Söz konusu sorgulamalar T.C. kimlik numarası ve bir adet dğrulama kriteri (baba adı) ile yapılmakta, kişilerin il, ilçe ve mahalle bilgisi ile bulunduğu binadaki seçmen niteliğine sahip kişilerin listesine ulaşılabilmektedir."

Şifre komedisi

DDK, kişisel verileri toplayan Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, Adalet Bakanlığı gibi 6 kuruma kişisel verilerin güvenliğinin sağlayamamam konusunda ağır eleştirilerde bulundu. Şifre komedisine yerv erilen raporda, şu çarpıcı tespitler dikkat çekti: "Denetim çalışmaları sırasında da farkındalık eksikliğinden kaynaklı pek çok eksiklik ve açıklık tespit edilmiş olup bunlardan sadece bir kaçına aşağıda yer verilmektedir:

Kurumdaki en kritik bilgilere dahi ulaşabilen bilişim hizmeti sunan firmalarla ve bunların çalışanları ile herhangi bir gizlilik sözleşmesi yapılmaması ve firma personelinin herhangi bir güvenlik araştırmasından geçirilmemesi.

Kaynak kodu dâhil, bilgi sistemleri üzerindeki işlemlerin kayıtlarının (log) tutulmasında ciddi eksiklikler bulunması.

Bilgi sistem odasından otoparka açılan kapı bulunması veya sistem odasına giden fiber kablolarının açıktan geçmesi örnekleri dâhil, fiziki güvenlik konusunda ciddi eksikliklerin mevcudiyeti.

Veriler bu komik şifrelerle korunuyor

Hassas veri içeren sistemlere erişimde kullanıcıların iki haneli sayısal şifre verebilmesi,1111, 0000, 1234 gibi kolay tahmin edilebilir şifrelerin kullanılması.

Bazı kurumların çağrı merkezinden sadece ad, soyad ve T.C. kimlik numarası beyan etmek suretiyle; maaş tutarları, kesintiye esas brüt ücret, gidilen sağlık kurumu, muayene olunan doktor, ilaç alınan eczane, alınan ilacın adı,ödenen katılım payı miktarı gibi birçok kişisel bilgiye ulaşılabilmesi...

Kimlik Paylaşım Sistemi aracılığı ile özel kesim ve kamu kesiminden kimlik bilgilerine ulaşabilecek kullanıcı sayısının bir milyonun üzerinde olduğu tahmin edilmesine rağmen, bu erişimlerin güvenliği konusunda verileri alan kurumların bir kısmında; IP adresi bazında kısıtlama getirilmesi, kullanıcıların ad, soyad ve T.C. kimlik numaralarının kayıt altında tutulması, kullanıcıların yapmış oldukları sorguların kayıtlarının (log) tutulması, bilgisayarlar ile internet arasında güvenlik duvarı (firewall) bulunması, imzaları devamlı güncellenen anti-virüs programının kullanılması, güçlü parola kullanılmasıgibi temel güvenlik önlemlerinin alınmamış olması.

Kişisel veri içeren bilgilerin çeşitli taşınabilir kayıt ortamları aracılığı ile bu ortamlar şifrelenmeden ve başkaca herhangi bir güvenlik önlemi alınmadan paylaşılması, bir örnekte CD ortamında 13.8 milyon kişinin kimlik ve adres bilgisinin herhangi bir güvenlik önlemi alınmadan paylaşıldığının tespit edilmesi.

Başbakanlık'a uyarı

Dosyayı şifrelemeden gönderme

DDK Raporu'nun son bölümünde, raporda yer alan tespit ve önerilerin gereğinin yapılması için raporun Başbakanlığa gönderileceği hususu yer aldı. Devlet Denetleme Kurulu; Başbakanlık'tan da; denetim yapılan 6 devlet kuruluşuna sadece ilgili bölümlerini göndermesini istedi.

Buna göre; Başbakanlık raporun 7. bölümünü Nüfus ve Vatandaşlık İşleri Genel Müdürülğü'ne, 8. bölümünü Tapu ve Kadastro Genel müdürülğü'ne, 9. bölümünü Gelir İdaresi Başkanlığı'na, 10. bölümünü Sosyal Güvenlik Kurumu'na, 11. bölümünü Sağlık Bakanlığı'na, 12. bölümünü ise Adalet Bakanlığı'na gönderecek. DDK raporunda, Başbakanlık'a elektronik ortamdaki paylaşımlarda dosyanın şifrelenmesi ve benzeri güvenlik tedbirlerinin alınması uyarısı yapılması da dikkat çekti. DDK diğer paylaşım durumların da raporun bilgi güvenliği açısından gizlilik taşıyan bölümlerinin rapordan çıkartılmasını istedi.