Devlet Denetleme Kurulu Cumhurbaşkanı Abdullah Gül'ün talimatıyla devlet kurulmarındaki verilerin saklanmasında daha özenli olunmasını istedi. Kurum 1111 gibi tahmin edilmesi kolay şifrelerin altında korunan bilgiler için uyarıda bulundu.
Hürriyet'in haberine göre Cumhurbaşkanı Abdullah Gül’ün talimatıyla Devlet Denetleme Kurulu, kişisel verilerin korunmasına ilişkin hazırladığı raporda kamu kuruluşlarında bulunan verilerin güvenliğinin, tehlikede olduğunu, bu bilgilerin, “1111” gibi şifrelerle ya da asma kilit takılmış odalarda muhafaza edildiğini belirleyerek, acil önlem alınması gerektiğini, önlem alınmadığı taktirde bu durumun hizmetlerin hiç sunulamaması sonucunu doğuracağı uyarısında bulunuldu. DDK, devletin temelini oluşturan altı kamu kuruluşu, “Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, Tapu ve Kadastro Genel Müdürlüğü, Gelir İdaresi Başkanlığı, Sosyal Güvenlik Kurumu, sağlık bakanlığıve Adalet Bakanlığı’nda” inceleme yaptı. Raporda, şu çarpıcı ifadeler yer aldı:
KEY ÖDEMELERİNDE YANLIŞ YAPILDI
“Önceki yıllarda, KEY ödemeleri ve benzeri nedenlerle kişilerin adı, soyadı, T.C. kimlik numaraları, sosyal güvenlik numaraları ve benzeri bilgilerin yayımlanması da bilgi güvenliği ve kişisel veri farkındalığı konusundaki eksikliğe örnek teşkil etmektedir. Denetimlerde tespit edilen pek çok güvenlik açığı ve eksiklikle teyit edilmiştir. Sorgu kaydı tutma mekanizmalarının güvenilirliği konusunda ciddi şüphe uyandırmıştır.
14 MİLYON KİŞİNİN BİLGİLERİ PAYLAŞILDI
1111, 0000, 1234 gibi kolay tahmin edilebilir şifrelerin kullanılması, kurumlar arasında CD ortamında 13.8 milyon kişinin kimlik ve adres bilgisinin herhangi bir güvenlik önlemi alınmadan paylaşıldığı tespit edilmiştir. Pek çok kişisel ve hassas veriyi CD, DVD, taşınabilir bellek gibi taşınabilir elektronik ortamlar kullanarak çevrimdışı paylaştıkları görülmüştür.
NÜFUS BİLGİLERİ KORUMASI YETERSİZ
Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünde en temel kişisel veri niteliğinde olan kimlik ve adres bilgileri tutulmakta olup, özellikle TC kimlik numarası diğer veri tabanları ve bilgi sistemleri acısından da anahtar vazifesini görmektedir. Bu nedenle Genel Müdürlük bünyesinde tutulan kişisel verilerin güvenliğinin sağlanması büyük önem taşımaktadır. Ancak, Güvenlik sertifikasının kapsamının kurumun küçük bir birimini kapsadığı; buna rağmen kurum üst yönetiminde tüm kurumu kapsayan güvenlik sertifikasına sahip oldukları yönünde bir algının hakim olduğu, bu durumun kamuoyuna da aynı şekilde yansıtıldığı görülmüştür. Bu durum güvenlik riski oluşturmaktadır.
9 YAŞ ÜSTÜ HERKESİN BİLGİSİ GSM OPERATÖRLERİNDE
Çeşitli dolandırıcılık faaliyetlerinin icra edilebildiği bilinmesine rağmen kurum ve kuruluşların pek çok işlemde kişilerin kimlik fotokopisini alma uygulamaları devam etmektedir. Haziran 2013 itibariyle mobil abone sayısının 68 milyon 25 bin 878 olduğu düşünüldüğünde, 9 yaş üzeri nüfusun önemli bir kısmının kimlik fotokopilerinin, değişik abonelikler nedeniyle GSM operatörlerinde bulunduğu anlaşılmaktadır.
50 MİLYON SEÇMEN BİLGİSİ PARTİLERİN ELİNDE
Seçmen niteliğine sahip olan 18 yaş ve üzerindeki kişilerin nüfus ve adres bilgilerini YSK ile paylaşmakta, talep etmeleri halinde de YSK söz konusu verileri siyasi partilerle toplu olarak elektronik ortamda paylaşmaktadır. Dolayısıyla seçmen niteliğine sahip 50 milyonun üzerindeki vatandaşın bilgisi onlarca partiyle paylaşılmaktadır. Verilerin çoğaltılmasını ve paylaşılmasını engelleyecek hiçbir mekanizma öngörülmemiştir.
BİLGİLER ASMA KİLİTLE KORUNUYOR
Çeşitli kuruluşların yaptıkları güvenlik denetimlerinde fiziksel olarak güvenliği sağlanmamış sistemlere saldırı denemeleri yapıldığında, bu sistemlerin beş dakika gibi kısa bir sürede ele geçirilebildiği ve içindeki verilere ulaşılabildiği görülmüştür. Bazı kurumların sistem odalarının fiziksel güvenliğinin zayıf olduğu, giriş kapılarının ahşap gibi zayıf bir malzemeden yapıldığı ve kısa surede kırılabilecek asma kilit ile korunduğu, kişisel veri paylaşımlarında mümkün olduğunca verinin elden yetkili kişilere imza karşılığı teslimi yöntemi tercih edilmelidir. E-posta, posta, kargo ve benzeri vasıtaların kullanımından mümkün olduğunca kaçınılmalıdır.”
TASLAK METİNE ELEŞTRİLER
Hazırlanan raporda kişisel bilgilerin korunması ile ilgili hazırlanan, ancak henüz yasalaşmayan düzenleme de eleştirilerek, “STK’ların Kişisel Verileri Koruma Kurumuna şikayet hakkı verilmeli” denildi.