DEVLET '1234' ŞİFRESİ KULLANIYOR

ANKARA- Cumhurbaşkanlığı Devlet Denetleme Kurulu, 818 sayfalık ‘kişisel veri’ raporunu tamamladı. Raporda, hassas veri içeren sistemlere erişimde kolay tahmin edilen şifrelerin kullanıldığına dikkat çekildi
Cumhurbaşkanlığı Devlet Denetleme Kurulu'nun (DDK) raporu devletin vatandaşın kimlik, adalet, sağlık, vergi, sosyal güvenlik ve tapu alanındaki kişisel verilerini korumada son derece özensiz olduğunu ortaya koydu. DDK raporunda, kişisel verilerin bulunduğu bazı sistem odalarının ahşap ve asma kilit takılı kapılara sahip olduğu, hassas veri içeren sistemlerin 1111 gibi 4 haneli olarak şifrelendirildiği tespitinde bulunuldu.
Raporda hizmet veren özel şirketlerin kişisel verileri kolayca elde edebildiği tehlikesine işaret edilirken, seçmenler ile 68 milyon GSM abonesinin kişisel verilerinin de ortalıkta dolaştığı saptaması yapıldı.
Cumhurbaşkanlığı Devlet Denetleme Kurulu (DDK)'Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları” raporunu tamamladı. Cumhurbaşkanı Abdullah Gül'ün talimatıyla hazırlanan rapor, 818 sayfadan oluştu. Gizli damgalı raporun, sadece sonuç bölümü açıklandı.

6 KURULUŞ DENETLENDİ
Raporda, DDK'nın denetimde bulunduğu Adalet Bakanlığı, Sağlık Bakanlığı, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, Gelir İdaresi Başkanlığı, Sosyal Güvenlik Kurumu ile Tapu ve Kadastro Genel Müdürlüğü, vatandaşların kişisel verilerini koruma konusunda özensiz olmakla eleştirildi. Raporda kişisel verilerin korunması hakkının, temel insan hak ve özgürlükleri arasında yer aldığı ve insanın şahsiyetinin korunması, hukuk devleti ilkesi ve demokrasinin derinlik kazanması açısından hayati öneme sahip olduğu vurgulandı.
Raporda, “Denetimlerde, Türkiye'de pek çok kurumun bilgi sistemlerinin gerçek anlamda sahibi olmadığı, tüm vatandaşların verilerini tutan bazı omurga veri tabanlarında dahi bilgi sistemleri üzerinde en üst kontrol yetkisinin bilişim hizmeti alınan yüklenici firma personelinde olduğu görülmüştür. Bazı kurumlarda, hizmet alınan firmaların, bilgi sisteminin işletilmesi ve verilerin kullanımı, sorgu kayıtlarının tutulması ve benzeri konularda adeta sistemin sahibi gibi hareket edebildikleri ve herhangi bir sorgu kaydı olmaksızın sistemden veri çekebildikleri bizzat gözlemlenmiştir” değerlendirmesine de yer verildi.

ŞİFRELENMEDEN CD'YE!
Raporda; denetim çalışmaları sırasında kamu kurumlarının sahip oldukları pek çok kişisel ve hassas veriyi CD, DVD, taşınabilir bellek gibi taşınabilir elektronik ortamlar kullanarak çevrimdışı paylaştıklarına dikkat çekilerek, şu değerlendirmelerde bulunuldu: “Çevrimiçi veri paylaşımında sorgu kayıtları aracılığı ile kontrol imkanı bulunmasına rağmen, çevrimdışı paylaşılan veriler üzerinde herhangi bir kontrol imkanı da kalmadığından, bu verilerin paylaşımına ilişkin gerekli güvenlik önlemlerinin alınması büyük önem taşımaktadır. Buna rağmen, bazı örneklerde milyonlarca kişinin kimlik ve adres bilgisinin bulunduğu bilgilerin şifrelenmeden, kopyalanmaya karşı herhangi bir güvenlik önlemi alınmadan CD ortamında iletildiği; söz konusu verilerin ilgili kurumda hangi güvenlik önlemleri alınarak muhafaza edileceği, bilgilere olan ihtiyacın ortadan kalkması durumunda taşınabilir elektronik ortamın ne şekilde imha edileceği gibi güvenlik hususunun belirlenmediği tespit edilmiştir.

KÖTÜ AMAÇLI KULLANILABİLİR
Basına ve adliyeye yansımış pek çok olaydan; kişilerin kimlik bilgileri ve kimlik fotokopileri kullanılmak suretiyle kişiler adına yüzlerce telefon hattı açıldığı, sahte kredi kartı çıkartıldığı, şirket kurulduğu, kişilerin dernek, kuruluş ve siyasi partilere üye olarak kaydedildiği, konusu suç teşkil eden adli soruşturmalara dâhil edildiği bilinmektedir. 5809 sayılı Elektronik Haberleşme Kanunu'nun 56. maddesi ve Elektronik Haberleşme Sektöründe Tüketici Hakları Yönetmeliği'nin 15. maddesi uyarınca, abonelik sözleşmesinin yanında T.C. kimlik numarası ile kimlik belgesinin bir suretinin abonelik sözleşmesi ile muhafaza edilmesi zorunludur. Türkiye'de Haziran 2013 itibariyle mobil abone sayısının 68 milyon 25 bin 878 olduğu düşünüldüğünde, 9 yaş üzeri nüfusun önemli birkısmının kimlik fotokopilerinin, değişik abonelikler nedeniyle GSM operatörlerinde bulunduğu anlaşılmaktadır.”

KİŞİSEL VERİYE DİKKAT
Raporda; bankacılık, sigortacılık, telekomünikasyon, kargo, sağlık, turizm, eğitim, çağrı merkezi ve pazarlama hizmetleri gibi pek çok alanda faaliyet gösteren işletmelerin bilgi sistemlerinin büyük hacimde kişisel veriyi bünyelerinde barındırdıklarına dikkat çekilerek, şu uyarı yapıldı:
“Bu şirketlerin, hangi tür kişisel verileri ne şekilde toplayabilecekleri, bunları hangi amaçlarla kullanabilecekleri, kimlerle paylaşabilecekleri, ne kadar süre tutabilecekleri, hangi süre sonunda silecekleri, almaları gereken güvenlik tedbirleri ile kişisel verisi bulunan kişilerin bu verilere erişim, sildirme, düzelttirme gibi haklarını nasıl kullanabileceklerine ilişkin olarak sektör bazlı düzenlemelerin bazı istisnalar dışında yapılmadığı, veri ihlallerine yönelik denetimlerin gerçekleştirilemediği, ihlallerin tespit edilemediği ve acil önlem alınması gerektiği değerlendirilmeli.”

BİLGİLER ORTALIKTA!
Raporda, şu tespitler yer aldı:
* Kurumdaki en kritik bilgilere dahi ulaşabilen bilişim hizmeti sunan firmalarla ve bunların çalışanları ile herhangi bir gizlilik sözleşmesi yapılmaması ve firma personelinin herhangi bir güvenlik araştırmasından geçirilmemesi.
* Kaynak kodu dâhil, bilgi sistemleri üzerindeki işlemlerin kayıtlarının (log) tutulmasında ciddi eksiklikler bulunması.
* Fiziki güvenlik konusunda ciddi eksikliklerin mevcudiyeti.
* Hassas veri içeren sistemlere erişimde kullanıcıların iki haneli sayısal şifre verebilmesi, 1111, 0000, 1234 gibi kolay tahmin edilebilir şifrelerin kullanılması.
* Bazı kurumların çağrı merkezinden sadece ad, soyad ve T.C. kimlik numarası beyan etmek suretiyle; maaş tutarları, kesintiye esas brüt ücret, gidilen sağlık kurumu, muayene olunan doktor, ilaç alınan eczane, alınan ilacın adı, ödenen katılım payı miktarı gibi birçok kişisel bilgiye ulaşılabilmesi.
* Kimlik Paylaşım Sistemi aracılığıyla özel ve kamu kesiminden kimlik bilgilerine ulaşabilecek kullanıcı sayısının bir milyonun üzerinde olduğu tahmin edilmesine rağmen, bu erişimlerin güvenliği konusunda verileri alan kurumların bir kısmında güçlü parola kullanılması gibi güvenlik önlemlerinin alınmamış olması.
* Çeşitli kuruluşların yaptıkları güvenlik denetimlerinde fiziksel olarak güvenliği sağlanmamış sistemlere saldırı denemeleri yapıldığında, bu sistemlerin beş dakika gibi kısa bir sürede ele geçirilebildiği ve içindeki verilere ulaşılabildiği görülmüştür.
* Bazı kurumların sistem odalarının giriş kapılarının ahşap gibi zayıf bir malzemeden yapıldığı ve kısa surede kırılabilecek asma kilit ile korunduğu, kurumun internet erişimini sağlayan kabloların bina dışından fiziksel müdahaleye açık olduğu. bildirildi.