Tümay TUĞYAN
YENİDÜZEN’in, ‘Tarihi skandal’ başlığıyla manşetten duyurduğu ve Sağlık Bakanlığı sistemindeki sızıntı nedeniyle, 364 bin 36 kişinin kimlik verilerinin hacker forumlarında paylaşıldığı yönündeki haberin, resmi açıklamaların aksine “gerçeği yansıttığı”, Bilgi Teknolojileri ve Haberleşme Kurumu Başkanı Kadri Bürüncük tarafından doğrulandı.
Bürüncük, haberde paylaşılan bilgilerin araştırılması yönünde Sağlık Bakanlığı’ndan kendilerine herhangi bir talep gelmediğini, ancak görev sorumluluk alanları dahilinde olmamasına rağmen BTHK’nın konuyla ilgili çalışma başlattığını anlatarak, yapılan çalışma sonucunda eline ulaşan rapora göre, söz konusu özel verilerin Dark Web’e sızdırıldığının tespit edildiğini kaydetti.
“Bazı kişisel verilerin ele geçirildiği tespit edilmiştir” diyen Bürüncük, sızıntının COVID-19 döneminde kullanılan ADAPASS uygulaması üzerinden olduğunun tahmin edildiğini söyledi.
Pandemi sonrası uygulamanın kullanılmadığını ancak buna rağmen sunucunun açık bırakıldığını, bu yılın başında ‘uygulama açık olduğundan erişilebilir durumda’ şeklindeki uyarı üzerine duruma müdahale edip sunucuyu kapattıklarını kaydeden Bürüncük, sızıntının bu aralıkta gerçekleşmiş olma ihtimalinin yüksek olduğunu ifade etti.
Bürüncük, bakanlığın sisteminden elde edilen verilerin tam olarak hangi dönemde sızdığının belirlenmesinin kolay olmadığının altını çizdi.
Bu tür sistemler kurulurken, ilgili şirketlerle bakım anlaşmalarının da yapılması gerektiğini ve bu anlaşmalar kapsamında belirli aralıklarla güncellemelerin yapılmasının önemli olduğunu anlatan Bürüncük, sızıntının illâ yazılım kaynaklı olmayabileceğine, güncelleme yapılmamasından dolayı donanımsal bir açık da olabileceğine dikkat çekti.
2021 yılından itibaren başlattıkları USOM (Ulusal Siber Olaylara Müdahale) faaliyetleri kapsamında, zaman zaman çeşitli kurum ve kuruluşların sistemlerinde tespit edilen açıkların o kurum ve kuruluşlara bildirildiğini anlatan Bürüncük, Sağlık Bakanlığı’na da son olarak Şubat 2025’te böyle bir uyarı yazısı yazıldığını aktardı..
Konuya ilişkin raporu henüz devlet yetkililerine sunmadıklarını kaydeden Bürüncük, ancak Türkiye’deki ilgili kurumlarla iletişime geçerek içeğin kaldırılmasıyla ilgili girişim başlattıklarını da açıkladı.
Veri güvenliğine ilişkin yasal mevzuat
Kişisel Verilerin Korunması Yasası, 2007 yılında yürürlüğe girdi. Ancak 89/2007 sayılı yasa, üzerinden 19 yıl geçmiş olmasına rağmen, hiç güncellenmedi, günümüz ihtiyaçlarına cevap verecek şekilde tadil edilmedi.
Yasa 2007 yılında yürürlüğe girmesine rağmen, 20’nci madde uyarınca kurulması gereken Kişisel Verileri Koruma Kurulu (KVKK), 2019 yılında aktif hale getirildi.
Temel hak ve özgürlüklerin korunması bağlamında, kişisel verinin işlenmesine yönelik kuralların uygulanmasını denetlemek ve izlemekten sorumlu olan kurul, yasa gereği işlevlerinde bağımsız, tüzel kişiliği olan, idari ve mali özerkliğe sahip bir yapı.
Başkan dahil olmak üzere toplam 11 üyeden oluşan kurulun tek tam zamanlı çalışanı ise, başkanı.
Yasa, başkan ve kurula verilen yetki ve görevlerin gerektirdiği hizmetleri yürütmek üzere maksimum on personelden oluşacak bir büro kurulmasını emretse de, kurul bünyesinde çalışmak üzere kimse istihdam edilmedi.
KVKK Başkanı Kutlay: Kamu verileri tek yerde toplanmalı
YENİDÜZEN’e konuşan KVKK Başkanı Kaan Kutlay, işlevsel hale gelebilmesi ve amacına layıkıyla hizmet edebilmesi için, kurulun kadro, bütçe ve altyapı anlamında güçlendirilmesi gerektiğinin altını çizdi.
Kutlay, benzer bir yasanın Türkiye’de 2016 yılında, yani bizden çok sonra yürürlüğe girdiğini ve kurulun da hemen akabinde kurularak, geniş bir kadroyla aktif bir şekilde hizmete başladığını anlattı.
Verilerin korunması konusunda özellikle son yıllarda bir bilinç geliştiğini ve bürokratların bu bağlamda kendilerine sıkça danıştıklarını ve verdikleri geri bildirimleri dikkate aldıklarını belirten Kutlay, ancak siber güvenlik konusunda ülkenin çok da iyi hizmet verebilir duruma gelebilmesi için, ilgili mevzuatın birleştirilmesinin ve E-Devlet’in etkin hale getirilmesinin önemine işaret etti.
“Şu anda kamu kurum ve kuruluşlarına ait veriler, kendi binalarında, ayrı ayrı sunucularda ve ne yazık ki çok da güvenli olmayan ortamlarda muhafaza ediliyor. Çok daha etkin bir güvenlik için, kamunun verileri tek yerde toplanmalı” diyen Kutlay, bunun aynı zamanda, vatandaşın bilgiye erişimini de kolaylaştıracak bir yapılanma olacağına dikkat çekti.
Tıpkı BTHK Başkanı Kadri Bürüncük gibi, KVKK Başkanı Kaan Kutlay da veri güvenliği için sızıntı testlerinin rutin olarak yapılmasının önemine değinirken, bu konuda bankaları örnek göstererek, Merkez Bankası’nın bankaları, belli aralıklarla bu testleri yapmakla yükümlü kıldığını hatırlattı.
YTL cinsinden kadük cezalar
Kişisel Verilerin Korunması Yasası’nın 35 ve 36’ncı maddeleri, suç ve cezaları düzenliyor.
İdari para cezalarını düzenleyen 35’inci maddeye göre, veri güvenliğine ilişkin işlenen suçlara KVKK’nın verebileceği en yüksek para cezası, 3 bin YTL (Yeni Türk Lirası).
Konunun mahkemeye taşınması ve mahkumiyet durumunda verilecek cezaları belirleyen 36’ncı maddeye göre ise en yüksek ceza, 15 bin YTL’ye kadar para cezası veya beş yıla kadar hapis cezası veya her ikisi.
Veri güvenliğinde idarenin sorumluluğu
Veri güvenliğini korumanın önemi, siber saldırıların global ölçekte yarattığı tehdidin boyutlarıyla doğru orantılı bir biçimde, her geçen gün artıyor. Ve hukuk, veri güvenliğinin korunması yönünde idareye ciddi sorumluluk yüklüyor.
Hele de sızıntının yaşandığı mecranın bir devlet kuruluşu olması durumunda…
YENİDÜZEN’in ortaya çıkardığı ‘Tarihi Skandal’ haberi örneğinden hareketle aldığımız hukuki görüşe göre, konu ile ilgili mevzuatın incelenmesine, KKTC Anayasası’nın, özel hayatın gizliliğini düzenleyen 19’uncu maddesinden başlamak gerek.
Kişinin özel hayatının gizliliği herşeyden önce Anayasal bir hak olarak düzenlenmiş ve ciddi istisnalar haricinde ihlal edilmemesi gerektiği hükme bağlanmış durumda. Dolayısı ile burada idarenin Anayasal sorumluluğu, kişilerin özel hayatının gizliliğinin korunması yönünde.
Konu ile ilgili ayrıca yürürlükte bulunan 32/2014 sayılı Özel Hayatın ve Hayatın Gizli Alanının Korunması Yasası ve Bilişim Suçları Yasası tahtında da devlete sorumluluk yükleniyor.
89/2007 sayılı Kişisel Verilerin Korunması Yasası da tıpkı Anayasa’da olduğu gibi kamuyu istisna tutmamakla birlikte, idarenin yasa tahtında söz konusu verileri mevzuatlara uygun şekilde işleme, saklama ve yok etme yükümlülüğü bulunmakta.
Küresel ekonomik maliyet
Verinin doğru ve erişilebilir kalmasını sağlamanın yanı sıra, kritik bilgilerin istenmeyen kişilerin eline geçmesinin engellenmesini sağlamak temel hedefini koyan veri güvenliğini koruma, sadece teknik anlamda bir önlem almanın ötesinde, aynı zamanda ekonomik istikrar bağlamında da son derece hayati bir mesele.
Küresel siber ekonomi konusunda dünyanın önde gelen araştırma ve izleme kuruluşu olan ve güvenilir ve yetkin bir kaynak olarak gösterilen Cybersecurity Ventures, 2020 yılında yayınladığı bir raporda, 2025 itibarıyla siber suçların dünya ekonomisine yıllık maliyetinin, 1,5 trilyon dolara ulaşacağını öngörmüştü.
“Siber suçlar bir ülke olarak değerlendirilseydi, ABD ve Çin'in ardından dünyanın en büyük üçüncü ekonomisi olurdu” diyen raporun yazarı Steve Morgan, “Bu durum, tarihteki en büyük ekonomik servet transferini temsil etmekte, inovasyon ve yatırıma yönelik teşvikleri riske atmakta, doğal afetlerin bir yılda yol açtığı zarardan katbekat daha büyük bir boyuta ulaşmakta ve yasa dışı uyuşturucuların küresel ticaretinin toplamından daha kârlı bir hale gelmekte” ifadelerini kullanıyor.
Raporun bir diğer öngörüsü ise, bu rakamın her yıl %15 oranında artarak katlanacağı yönünde.
Siber suç maliyetinin en yüksek olduğu Amerika Birleşik Devletleri’nde, 2017'den bu yana siber suçların yıllık maliyetinin neredeyse 33 katına çıktığı ifade ediliyor.
Statista’nın yayınladığı en son verilere göre ABD'de siber suçlar 2025 yılında tahminen 639,2 milyar dolara malolmuş. 2028 yılına gelindiğindeyse, toplam maliyetin 1,816 trilyon dolara ulaşması bekleniyor.
Birleşik Krallık Hükümeti'nin 2025/26 Siber Güvenlik İhlalleri Araştırması'na göreyse, ülkedeki kuruluşlar siber suçlar nedeniyle her yıl toplamda yaklaşık 14,7 milyar sterlinlik bir kayba uğruyor.