Devlet Denetleme Kurulu, Cumhurbaşkanı Gül'ün talimatıyla kamu ve özel kurumların "bilgi güvenliği" önlemlerini inceledi. Raporun sonucu gerçeği gözler önün serdi.
- Gizli bilgiler "1111", "0000" ve "1234" gibi basit şifrelerle korunuyor.
- Çok ciddi güvenlik riski oluşturacak kritik güvenlik açıkları tespit edildi.
- Seçmen listesi bilgilerinin bir siyasi partinin internet sitesi üzerinden ve mobil uygulamalarla sorgulanabildiğine karşılaşıldı.
Durum, iki tarafta da endişe verici. Kamuda, milyonlarca vatandaşın bilgilerini, kapısında "asma kilit" olan odalarda koruyan kurumlar var. Bir milyondan fazla kişinin erişim imkanı olan bilgiler, "1111", "0000" ve "1234" gibi basit şifrelerle korunuyor. Cep telefonu abonesi olan, bankada hesabı bulunan, kargoyla paket yollayan hatta seçmen olan herkesin kimlik bilgileri "tehlike" altında...
Cumhurbaşkanlığı Devlet Denetleme Kurulu'nun "bilgi güvenliği ve kişisel verilerin korunması" kapsamında yapılan araştırma raporundan çarpıcı sonuçlar çıktı. Cumhurbaşkanlığı Basın Merkezinden yapılan açıklamaya göre, DDK söz konusu raporları Cumhurbaşkanı Abdullah Gül'ün talimatı doğrultusunda hazırladı. Rapora göre, kimlik bilgileri çalınarak telefon hattı açıp kredi kartı çıkarıldığı, şirket kurulup kişilerin çeşitli örgütlere üye yapıldığı bilinmesine rağmen halen birçok işlemde kimlik fotokopisi alınıyor. Sayısı 68 milyonu geçen abonelikle 9 yaş üstü nüfusun kimlik bilgileri, cep telefonu şirketlerinin elinde.
Seçmen niteliğindeki 50 milyondan fazla vatandaşın adı, soyadı, anne-baba adı, doğum yeri-doğum yılı ve adres bilgileri, seçimlere girme yeterliliği bulunan partilerle paylaşılıyor. Bilgi güvenliği eksikliğine bir diğer örnek de yine kamudan. Konut edindirme yardımı ve benzeri ödemeler sırasında kişilerin tüm kimlik bilgileri ve sosyal güvenlik nuramaları, yayımlanıyor.
Kamu ve özel kurumlar, kullanıcı bilgilerinin kayıt altına alınması, bilgisayarlarla internet arasında güven duvarı bulunması, antivirüs programı kullanılması gibi temel güvenlik önlemleri dahi almamış. Denetimlerde, 14 milyon kişinin kimlik bilgilerinin bir cd'de hiçbir güvenlik önlemi alınmadan paylaşıldığı da tespit edildi. Kurul, başbakanlık ve bakanlıklara gönderdiği raporda, veri güvenliğinin sağlanması için yasal ve idari değişiklikler önerdi.
KOLAY TAHMİN EDİLEBİLİR PAROLALAR
Pek çok kurumda güçlü parola oluşturulması, parolaların belli periyotlarla değiştirilmesi, parolaların gizliliğine ilişkin personelin yükümlülükleri gibi hususları içeren yazılı parola politikasının bulunmadığının tespit edildiği aktarılan raporda, şunlara yer verildi:
"Parola politikasının bulunmaması veya etkin bir şekilde uygulanmaması sonucunda, kurumlarda iki haneli veya '1111', '0000', '1234' gibi kolayca tahmin edilebilir parolalar ile ilk kez verilen parolaların değiştirilmeden kullanılması, parolanın e-posta ile iletilmesi, diğer personelle sıklıkla paylaşılması gibi bilgi güvenliği açısından önemli risk oluşturabilecek pek çok uygulamanın ortaya çıktığı görülmüştür. Politikanın oluşturulmasında kurumun sahip olduğu bilgi sistemlerinin ve bilgi varlıklarının niteliği, yaygınlığı, karşı karşıya bulunduğu risk ve tehditler gibi unsurların analizi yapılmalı ve bu analizler sonucunda kurum ihtiyaçlarına uygun bir parola politikası oluşturulmalıdır.
Özellikle saldırı ihtimali daha yüksek olan internete açık kurumsal uygulamalar ile hassas veri bulunduran sunuculara girişler için SMS, e-imza, akıllı kart ve biyometrik yöntemler gibi güçlü yetkilendirme mekanizmaları kullanılmalıdır. Güvenlik testleri ile parola politikaları ve yetkilendirme mekanizmalarının etkinliği düzenli olarak denetlenmeli, yeni risk ve tehditlere yönelik önlemler geliştirilmelidir."
Kurumlara ait bilgi sistemlerinin çeşitlenmesi ve büyümesine paralel olarak birbirinden farklı ve bağımsız kayıt tutma mekanizmalarının uygulandığı, bu kayıtların kendine özgü formatlarda olabildiği ve birbirleriyle ilişkilendirilemediği ifade edildi. Bu kayıtların çeşitli nedenlerle silinip zarar görebildiği ifade edilen raporda, hangi kayıtların tutulacağını, tutulacak kayıtların nasıl ve ne kadar süre ile saklanacağını, farklı sistemlerden toplanan kayıtların nasıl ilişkilendirileceğini ve hangi yöntem ve tekniklerle analize tabi tutulacağını belirleyen süreç dokümanı oluşturulması gerektiği belirtildi.
Bilgi güvenliği politikası konusunda yapılması gerekenler
Raporda, bilgi güvenliği açısından temel teşkil eden bilgi güvenliği politikası konusunda yapılması gerekenler şöyle sıralandı: "Kurumlar tarafından, sahip oldukları bilgi sistemlerinin ve bilgi varlıklarının niteliği, yaygınlığı, karşı karşıya bulunduğu risk ve tehditler gibi unsurlar analiz edilmek suretiyle kurum ihtiyaçlarına uygun yazılı bilgi güvenliği politikası oluşturulmalıdır. Güvenliğin ancak bir bütün halinde sağlanabileceği hususu dikkate alınarak, bilgi güvenliği politikası kurumun tüm birimlerini kapsamalıdır. Oluşturulan politika belirli aralıklarla gözden geçirilmeli, değişen yapı ve ihtiyaçlar çerçevesinde güncellenmelidir. Bilgi güvenliği politikaları ve politikalarda gerçekleştirilen güncellemeler kullanıcılara ulaştırılmalı ve kullanıcıların ilgili dokümanları okuduğunu ve kabul ettiğini kayıt altına almaya yönelik uygun mekanizmalar oluşturulmalıdır."
Güvenlik testleri
Kurumlarda yapılan güvenlik tetstlerinin kalitesinde ciddi farklılıklar bulunduğu, hiçbir kurumun testleri düzenli aralıklarla yaptırmadığı, yapılan bazı test sonuçlarında bilgi sistemleri açısından çok ciddi güvenlik riski oluşturacak kritik güvenlik açıkları tespit edildiği belirtilen raporda, belirli standarda bağlı olmadan, genel olarak kurumun tercihleri veya testi yapan birim ya da firmanın önerileri doğrultusunda gerçekleştirilen güvenlik testlerinin güvenilir olmadığı ifade edildi. Raporda, bu nedenle kamu kurumlarında belirli aralıklarla güvenlik testleri yapılmasını da sağlayacak şekilde ulusal düzeyde "Kamu Kurumları Güvenlik Testleri Standardı" dokümanı oluşturulması ve uygulanmasının sağlanması istendi.
Seçmen bilgileri internette
"Her seçim döneminde, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, seçmen niteliğine sahip olan 18 yaş ve üzerindeki kişilerin nüfus ve adres bilgilerini Yüksek Seçim Kurulu ile paylaşmakta, talep etmeleri halinde de Yüksek Seçim Kurulu söz konusu verileri siyasi partilerle toplu olarak elektronik ortamda paylaşmaktadır. Dolayısıyla seçmen niteliğine sahip 50 milyonun üzerindeki vatandaşın, adı, soyadı, ana ve baba adı, doğum yılı, doğum yeri, adres bilgisi seçimlere girme yeterliliğini taşıyan onlarca partiyle paylaşılmaktadır. Seçmen listesi bilgilerinin bir siyasi partinin internet sitesi üzerinden ve mobil uygulamalarla sorgulanabildiğine ilişkin bir örnekle de karşılaşılmıştır. Söz konusu sorgulamalar T.C. kimlik numarası ve bir adet doğrulama kriteri (baba adı) ile yapılmakta, kişilerin il, ilçe ve mahalle bilgisi ile bulunduğu binadaki seçmen niteliğine sahip kişilerin listesine ulaşılabilmektedir."
Bir kanun yok
Kişisel verilerin korunmasına ilişkin olarak Türkiye'de son dönemde bazı temel düzenlemeler yapıldığı anımsatılan raporda, kişisel verilerin korunmasına yönelik çerçeve bir kanun bulunmadığı belirtildi. Pek çok kanunda kişisel verilerin toplanması konusunda kurumların yetkili olduğunu belirten hükümlerin bulunduğu, bu yetki çerçevesinde kişisel verilerin hangi ilkeler kapsamında toplanacağı, ne şekilde korunacağı, kimlerle ve ne şekilde paylaşılabileceği, nasıl silineceği, kişilerin Anayasa ile getirilen haklarını kullanabilmeleri için kurumların ne tür önlemler alması gerektiği gibi pek çok hususa genellikle yer verilmediği bildirildi.
-Özel sektörün barındırdığı kişisel veriler
Raporda, bankacılık, sigortacılık, telekomünikasyon, kargo, sağlık, turizm, eğitim, çağrı merkezi ve pazarlama hizmetleri gibi pek çok alanda faaliyet gösteren işletmelerin bilgi sistemlerinin büyük hacimde kişisel veriyi bünyelerinde barındırdıklarına dikkat çekilerek, şunlara yer verildi:
"Bu şirketlerin, hangi tür kişisel verileri ne şekilde toplayabilecekleri, bunları hangi amaçlarla kullanabilecekleri, kimlerle paylaşabilecekleri, ne kadar süre tutabilecekleri, hangi süre sonunda silecekleri, almaları gereken güvenlik tedbirleri ile kişisel verisi bulunan kişilerin bu verilere erişim, sildirme, düzelttirme gibi haklarını nasıl kullanabileceklerine ilişkin olarak sektör bazlı düzenlemelerin bazı istisnalar dışında yapılmadığı; buna bağlı olarak kişisel veri ihlallerine yönelik denetimlerin gerçekleştirilemediği, ihlallerin tespit edilemediği ve yaptırıma bağlanamadığı, bu nedenlerle özel kesim açısından kişisel verilerin korunmasındaki boşluk ve risklerin önemli boyutlara ulaştığı ve acil önlem alınması gerektiği değerlendirilmeli."