Türkiye’de Kişisel Veri Güvenliği Tehditleri ve Alınması Gereken Önlemler
Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu, koronavirüs salgını döneminde milyonlarca Türkiye vatandaşının Sağlık Bakanlığı bünyesindeki kişisel bilgilerinin çalındığını doğruladı. Bu durum, teknolojinin günlük yaşamla iç içe geçtiği bir dönemde kişisel verilerin korunmasının ne kadar önemli olduğunu gözler önüne seriyor. Peki, bireyler ve kurumlar bu verileri korumak için hangi önlemleri almalı?
Bir yaşlı kadın, tanımadığı bir numaradan gelen bir telefonla karşılaşır. Arayan kişi, kendisini torunu olarak tanıtır ve telefonunu düşürüp kırdığını, bu nedenle bir arkadaşının telefonundan aradığını söyler. Torun, kadının kişisel bilgilerini bilmekte ve yolda olduğunu, para istemektedir. Ancak kadın, durumu sezer ve para vermeyi reddederek telefonu kapatır. Türkiye’de son yıllarda bu tür dolandırıcılık hikayeleri artmış durumda. Özellikle kişisel verilerin detaylarının sızdırılması, dolandırıcıların işini kolaylaştırıyor. 10 yıl içinde birçok devlet kurumu ve özel sektörü hedef alan siber saldırılar sonucunda pek çok bilgi internete sızdırıldı. Bu bağlamda, kişisel veri güvenliği yeniden gündeme geldi. Uzmanlara göre, bu konuda alınması gereken pratik ve hukuki önlemler mevcut.
Veri Güvenliğinin Temeli: İki Faktörlü Koruma
Günümüzde birçok uygulama ve platform, kullanıcı güvenliğini artırmak amacıyla iki faktörlü koruma yöntemleri kullanmaktadır. Kıdemli Siber Güvenlik Uzmanı Eyüp Çelik, kişisel verilerin korunmasında hem bireysel hem de kurumsal önlemlerin alınması gerektiğini vurguladı. Çelik, “Türkiye’deki tüm kurumlar Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde kişisel verilerimizi korumaya çalışıyorlar” dedi. Kişisel verilerin korunması açısından, şahsi cihazlarda mümkün olduğunca “iki faktörlü doğrulama” yönteminin kullanılması gerektiğini belirtti. Bu yöntem, kullanıcıdan hesabına giriş yaparken ikinci bir cihazdan onay almayı gerektiriyor, böylece uzaktan ve yasa dışı erişimlerin önüne geçiliyor. Çelik, “Çok faktörlü kimlik doğrulama mekanizmasının gerektiği her yerde kullanılmalıdır” ifadesini kullandı. Siber saldırganların sadece kurumları değil, bireysel cihazları ve hesapları da hedef aldığını belirten Çelik, dolandırıcılık girişimlerinin SMS, sosyal medya mesajları ve telefon aramaları gibi yollarla gerçekleştiğini ekledi.
Üçüncü Taraf Uygulamalara Dikkat
Kişisel cihazlar ve sosyal medya platformlarının kullanımı da veri güvenliği açısından büyük önem taşımaktadır. Yeditepe Üniversitesi Elektronik Ticaret Yönetimi Bölümü Öğretim Görevlisi Barış Yalçınkaya, farklı cihazlarda farklı uygulama ve araçlara erişim izni verirken dikkatli olunması gerektiğini belirtti. Yalçınkaya, “Herhangi bir cihaza ya da programa oturum açma izni verdiğinizde adınıza e-posta gönderme izni bile isteyebiliyor” diyerek uyarıda bulundu. “En büyük güvenlik açığı, üçüncü taraf uygulamalara sürekli erişim vermemizdir. Ne kadar farkında olsak da okuma tembelliğine gidiyoruz. Bu uygulamalar ya da tarayıcı eklentileri, her türlü bilginizi gözetliyor.” Yalçınkaya, kullanmadığı tarayıcı eklentilerini sildiğini ve cep telefonundaki uygulamalara fotoğraf galerisi ve mikrofon erişimi vermediğini de sözlerine ekledi. Uygulamaların erişim izni alması durumunda ortam dinlemesi yapabileceğini belirterek, “Cep telefonu diş fırçası gibi olmalı. Başkalarıyla paylaşmamalısınız. Sıfırlanmış eski bir telefondan bile her türlü veri kurtarılabiliyor.” dedi.
Güçlü Şifre Kullanımının Önemi
Yalçınkaya, kullanıcıların platform ve uygulamalardaki tüm güvenlik seçeneklerini kullanması gerektiğini vurguladı ve her hesap için farklı ve güçlü şifreler kullanmanın önemine dikkat çekti: “İçerisinde büyük harf ya da özel karakter olmayan, özellikle altı harf ve daha az şifrelerin çözülme süresi artık saatlere iniyor. 10 yıl önce yüzlerce saat sürerken, bir alt çizgi ve özel karakter eklenmesi durumunda bu süre yüz yıllara çıkabiliyor. Bu nedenle güçlü şifreler kullanmak çok önemli.”
KVKK ve Yasal Yükümlülükler
Veri Koruma Hukuku Uzmanı Avukat Umut Zorer, 2016 yılında yürürlüğe giren KVKK ile birlikte kamu ve özel kuruluşlara veri toplama, muhafaza etme, işleme ve ihlallerin bildirilmesi konusunda hukuki yükümlülükler getirildiğini belirtti. Yasa gereği, verilerin “kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde” veri sorumlusunun en kısa sürede bu durumu ilgili kurumlara ve Kişisel Verileri Koruma Kurulu’na bildirmesi gerektiğini ifade etti. Zorer, “Kamu kurumları bu bildirimleri düzenli yapmamaktadır. Yapılan bildirimler de kamuoyuyla etkin bir şekilde paylaşılmamaktadır.” dedi. Kamu kurumları KVKK’ya tabi olmakla birlikte, yeterince ağır soruşturma ve yaptırım yükü altında olmadıklarını da vurguladı. Özel şirketlere veri güvenliği ihlali durumunda para cezası uygulanırken, kamu kuruluşlarına yalnızca disiplin cezası verildiğini belirten Zorer, “Bu durum, kamu kurumlarının KVKK’yı daha fazla ihlal etmesine neden oluyor.” dedi.
Veri Çalındığında Ne Yapmalısınız?
Eyüp Çelik, kurumlara ya da şirketlere yönelik büyük çaplı siber saldırılarda kişisel önlemlerin yetersiz kalabileceğini belirtti: “Toplu sızıntılar durumunda veri bir kere yayılmaya başladığında yeraltı dünyasında herkesin eline ulaşır. Onu geri alıp temizlemek mümkün değildir.” Bu noktada ulusal siber güvenlik politikalarının devreye girdiğini söyleyen Çelik, “Kamu-özel sektör iş birlikleri sayesinde çeşitli önlemler alınmaya çalışılıyor.” dedi. Umut Zorer ise, bireylerin KVKK kapsamında bireysel başvuru hakkına sahip olduğunu hatırlatarak, “Verisinin herhangi bir veri sorumlusunun hukuka aykırı olarak kullandığını düşünen herkes, KVKK’dan doğan haklarını kullanabilir.” diye ekledi. Ancak bu tür başvuruların 60 gün içerisinde karara bağlanması gerekirken, süreç iş yükü ve bütçe kısıtlamaları nedeniyle iki yıla kadar uzayabiliyor. Zorer, mevcut durumun halkın KVKK hakkını etkin bir şekilde kullanmasını sınırladığını belirtti ve “Hakkın daha etkili kullanılması için inceleme sürelerinin kısaltılmasına ihtiyaç var.” dedi.
İlgili Haberler
- ‘108 milyon kişinin verileri çalındı’ iddiası: Bakanlık ne açıkladı, tepkiler ne oldu?
