Bilgi Güvenliği ve Hukuk
İnternet teknolojilerinin gelişmesi ve sosyal paylaşımların artması sebebiyle bilgi güvenliği çok önemli bir ihtiyaç haline gelmiş durumda. Peki internet ne kadar güvenilir? Bu konu hep tartışmalı oldu. Sistemlerin devamlı surette güncellenmesine karşın internetteki sistemlerin yüzde yüz güvenilir olmayacağı uzmanlar tarafından devamlı belirtiliyor. Hatta bilişim sistemleri konusunda uzman kişiler arasında “Unutmayın En Güvenli Sistem Fişi Çekilmiş Sistemdir” diye bir deyim oluşmuş durumda. Bu durumda Bilgi Güvenliğinin hukuki olarak da sağlanması ve ihlalleri durumunda ciddi yaptırımların yapılması gerekiyor. Ülkemizdeki kanunlar her ne kadar yeterli olmasa da bazı kurumların uygulamaları Bilgi Güvenliğinin belirli platformlarda da olsa önemsendiğini gösteriyor.
Bilgi Güvenliği kavramı hukukumuza çok geç girse de telekomünikasyon firmalarının işlemlerindeki eksikliklere karşı oldukça güzel yaptırımlar mevcut. Bilgi Teknolojileri ve İletişim Kurulu (BTK) bu konuda yüksek miktarlı para cezaları ile iletişim firmalarının güvenlik önlemini almasını sağlamaya çalışıyor. Özellikle internet kullanımının yaygınlaşmasından sonra birçok kullanıcıya ait bilgiler iletişim şirketlerinin internet siteleri aracılığı ile net ortamında bulunuyor. Bu bilgilerin güvenliğinin sağlanamaması ise hem şirket hem de kişiler adına büyük bir handikap olabilir. İnternet sitelerindeki sistemlerdeki en basit ve önemsenmeyen bir açık bile çok ciddi sorunlara yol açabilecek seviyelere gelebiliyor. Kullanıcılara ait özel bilgilerin 3.kişilerin eline geçmesi düşüncesi bile inanılmaz bir kaosa yol açabilecek durumda. Bu konuda son zamanlarda ortaya çıkan bir hack olayı tüm dünya gündemine damga vurdu. İcloud hacklenmesi ile birlikte yayınlanan birçok ünlüye ait özel fotoğraflar son bir haftadır dünya gündeminde yer alıyor. Elbette ki internet ortamında tamamıyla güvenli diyebileceğimiz bir ortam henüz bulunmuyor. Birçok hacker’ın elinde ünlü sitelerin database bilgileri bulunuyor ve bunlar elden ele dolaşıyor. Özellikle Bankacılık sektöründe, İletişim sektöründe ve Medya’da bilgi güvenliği konuları çok hassas olması gerekiyor. Bu konu hakkında görüştüğümüz Güvenlik Uzmanı Eyüp Çelik Bilişim Sistemlerinin birçok açık barındırabileceğini güncellenen sistemlerin devamlı surette takip edilmesi gerektiğini belirtiyor. Ayrıca Güvenlik Uzmanı Eyüp Çelik İletişim, Bankacılık, Devlet Siteleri, Özel Şirketlere ait Sistemler, Derneklere ait siteler gibi bir çok farklı sektördeki internet sitelerinde ve siteler üzerinde kurulu sistemlerde ciddi açıklar olduğunu bu açıklar düzenli şekilde kontrol edilmemesi ve bu konuda uzman olmayan kişilerle çalışılması durumunda çok ciddi sorunların çıkabileceğini bilgi güvenliğinin olmadığı bir ortamda bu karışıklıktan bir çok vatandaşın da etkileneceği belirtiyor. Özellikle geleceğin siber savaşlar ile şekilleneceği gerçeğini düşünürsek internet üzerinden erişilebilen UYAP, MERNİS, TAKBİS gibi devlet sistemlerinin ele geçirilmesi ülke olarak büyük bir kaosa düşebileceğimizi gösteriyor. Global anlamda ise birçok ülkede ki hacker grupları bu tarzda saldırılar ile ekonomik ve sistemsel anlamda çok yüksek ekonomik zararlar veriyor.
Türkiye’de geçmişte yaşanan birçok güvenlik zaafiyeti olayı mevcut. Örneğin bir bankanın müşteri bilgilerinin hacklenmesi milyonlarca TL zarara yol açabilecek durumda. Bundan dört beş yıl önce yaşanan bir olayda Türkiye’nin önde gelen bir bankasının sistemlerine girilerek çalınan 65.000 kullanıcı bilgisi yurtdışına satıldı. Bu bilgiler ile çeşitli siteler üzerinden yapılan alışverişler ile verilen zararın boyutu 50.000.000 TL civarına ulaşmıştı. Bu gibi durumlarda Bilgi Güvenliğini sağlayamayan kurumlar hakkında ise ciddi yaptırımlar olması gerekiyor. Nüfus sistemindeki veriler çekilerek tüm vatandaşlara ait T.C numaraları ve adres bilgilerinin çeşitli programlar ile avukatlara pazarlamaya çalışan grupların yakalanması hackerların istediklerinde ne kadar zarar verebileceğini de gözler önüne seriyor. Yine 2010 senesinin sonlarında yaşanan bir olayda Vodafone sitesindeki sistemsel bir açıktan dolayı kullanıcılara ait kişisel bilgilerinin, görüşme ve mesajlaşma kayıtlarının şifresi bir şekilde kolayca görülebileceği ortaya çıkarılmıştı. Bu konu da aşağıda yazdığımız BTK kararı ise bu tür bir açık karşısında iletişim şirketlerine verilecek cezaların boyutunu gözler önüne seriyor.
Bir sonraki yazımızda Bilgi Güvenliğine Dair Mevzuattaki Hukuksal prosedürleri anlatacağız.
BİLGİ TEKNOLOJİLERİ VE İLETİŞİM KURULU KARARI
Karar Tarihi :22.02.2011
Karar No :2011/DK-10/83
Gündem Konusu : MY Vodafone Servisindeki Güvenlik Açığına İlişkin Denetim.
KARAR :
My Vodafone servisinde abonelere ait fatura detaylarının başkaları tarafından görüntülenebilmesine imkân tanıyan bir güvenlik açığının oluştuğu, söz konusu güvenlik açığının 2009 Mart–2010 Ekim tarihleri arasında hizmeti etkilediği ve bahse konu güvenlik açığının Vodafone tarafından gerekli güvenlik tedbirlerinin alınmaması sonucu ortaya çıktığı hususları göz önüne alındığında, My Vodafone servisindeki güvenlik açığı dolayısıyla Vodafone’un Elektronik Haberleşme Güvenliği Yönetmeliği’nin 6 ve 10’uncu maddeleri ile Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği’nin 19’uncu maddesinde yer alan yükümlülüklerini yerine getirmekte ihmalde bulunması sebebiyle Yönetmelik hükümlerini ihlal ettiği, bu nedenle 5/9/2004 tarihli ve 25574 sayılı Resmî Gazete’de yayımlanan Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmelik’in 34’üncü maddesi ve 32’nci maddesiyle ilgili diğer mevzuat hükümleri uyarınca söz konusu işletmeci hakkında 2009 yılı net satışları olan 2.539.717.435,56 TL’nin %0,05’ine (onbinde beş)i oranına isabet eden tutarda idari para cezası uygulanması hususuna karar verilmiştir.
Avukat Arif BALTACI