DDK hazırladığı rapor kişisel verilerin herkesin erişebileceği güvenliksiz ortamlarda tutulduğunu, kurumlarda güvenlik şifrelerinin kolayca kırılabildiğini,kamu kurumlarına verilen bilgilerin özel şirketlerin denetiminde olduğunu gösterdi
Devlet Denetleme Kurulu “Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları” raporu AKP iktidarında toplanan kişisel verilerin güvende olmadığını gösterdi
Cumhurbaşkanlığı Devlet Denetleme Kurulu (DDK) ‘kişisel verilerin korunması kapsamında gerçekleştirilen denetimlere ilişkin" bir rapor hazırladı. Raporda kamuda en kritik bilgilerin toplandığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, Tapu ve Kadastro Genel Müdürlüğü, Gelir İdaresi Başkanlığı, Sosyal Güvenlik Kurumu, Sağlık Bakanlığı ve Adalet Bakanlığı’nda yapılan incelemelerin sonuçları toplandı.
Herkesin kimlik bilgilerine kolayca erişilebilir
Rapora göre herkesten kimlik fotokopisi alınıyor. Bu bilgiler kişiler adına sahte telefon hattı açmakta, kredi kartı çıkarmakta, şirket kurmakta, kişileri dernek, kuruluş ve siyasi partilere üye olarak kaydetmekte kullanılabiliyor. GSM operatörleri, Türkiye’de 9 yaş üzerindeki vatandaşların neredeyse tümünün (yaklaşık 68 milyon) kimlik bilgilerine sahip.Bu veriler tamamen güvenliksiz ortamlarda saklanıyor, hatta paylaşılıyor.
Şifreleri çözmek için hacker olmaya gerek yok
Kamunun siber güvenlikteki durumunun da anlatıldığı rapora göre, birçok kurumda güvenlik şifreleri, “000,1234,1111.” Çeşitli kuruluşların yaptıkları güvenlik denetimlerinde saldırı denemeleri yapıldığı ve yeterli güvenliği olmayan bu sistemlerin 5 dakika içinde ele geçirildiği belirtilen raporda, “Bünyesinde hassas kişisel veriler bulunan bir kamu kurumundaki güvenlik testi sonucunda, 500 sunucunun bir saat gibi kısa bir sürede ele geçirilebildiği görüldü” denildi.
Bilgilerimiz kamuda değil özel firmaların elinde
Rapordan çıkan sonuçlar şöyle; Kamu kurumlarındaki en kritik bilgilere dahi ulaşabilen bilişim hizmeti sunan firmalarla, bunların çalışanları ile herhangi bir gizlilik sözleşmesi yapılmıyor, firma personeli güvenlik araştırmasından geçirilmiyor. Özel kesim ve kamu kesiminden kimlik bilgilerine ulaşabilecek kullanıcı sayısının bir milyonun üzerinde olduğu tahmin edilmesine rağmen, bu konuda da temel güvenlik önlemleri alınmamış durumda.
Kişisel veri içeren bilgilerin çeşitli taşınabilir kayıt ortamları aracılığı ile paylaşıldığı da görülüyor. Bir örnekte CD ortamında 13,8 milyon kişinin kimlik ve adres bilgisinin herhangi bir güvenlik önlemi alınmadan paylaşıldığı tespit edildi.
Türkiye’de pek çok kurumun bilgi sistemlerinin gerçek anlamda sahibi olmadığı, tüm vatandaşların verilerini tutan bilgi sistemleri üzerinde en üst kontrol yetkisinin bilişim hizmeti alınan yüklenici firma personelinde olduğu görülüyor. Raporda bazı kurumlarda, hizmet alınan firmaların adeta sistemin sahibi gibi hareket edebildikleri ve herhangi bir sorgu kaydı olmaksızın sistemden veri çekebildiklerinin gözlemlendiği ifade ediliyor.
Türkiye’de kişisel verilerin korunmasına yönelik çerçeve bir kanun yok. Oysa veri koruma kanunu bulunan 99 ülkeden 85’inde veri koruma otoritesi oluşturulmuş durumda.
Denetimlerde, iş sürekliliği ve felaket kurtarma konusundaki farkındalığın yetersiz olduğu, çoğu kurumun iş sürekliliği ve felaket kurtarma politika ve senaryolarına sahip olmadığı, omurga veri tabanına sahip bazı kurumların felaket kurtarma merkezinin dahi bulunmadığı tespit edildi.
Sendika.Org
