Piramit Haber

Kişisel veriler devletin elinde!

Manşet

50 milyon kişinin bilgileri siyasi partilerin ve şirketlerin elinde

 Kişisel verilerin korunmasına yönelik rapor şoke etti. DDK devletin 'kişisel verileri' nasıl koruduğunu inceledi ve 50 milyondan fazla kişinin bilgilerinin partiler ve özel şirketlere verildiği saptandı.
Cumhurbaşkanlığı Devlet Denetleme Kurulu’nun (DDK) hazırladığı ‘kişisel verilerin korunmasına yönelik’ rapor, Türkiye ’de kişisel verilerin korunmamasının değil ‘korunmasının’ mucize olduğunu ortaya koydu.

Kamuda en kritik bilgilerin toplandığı 6 kurumun incelendiği rapora göre, 50 milyondan fazla kişinin kimlik bilgileri onlarca siyasi partiyle paylaşıldı. Kamunun siber güvenlikteki trajik durumunun da anlatıldığı rapora göre, birçok kurumda güvenlik şifreleri, “000,1234,1111.” Çeşitli kuruluşların yaptıkları güvenlik denetimlerinde saldırı denemeleri yapıldığı ve yeterli güvenliği olmayan bu sistemlerin 5 dakika içinde ele geçirildiği belirtilen raporda, “Bünyesinde hassas kişisel veriler bulunan bir kamu kurumundaki güvenlik testi sonucunda, 500 sunucunun bir saat gibi kısa bir sürede ele geçirilebildiği görüldü” denildi.

Cumhurbaşkanlığı Devlet Denetleme Kurulu’nun yaptığı inceleme, ‘Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, Tapu ve Kadastro Genel Müdürlüğü, Gelir İdaresi Başkanlığı, Sosyal Güvenlik Kurumu, Sağlık Bakanlığı ve Adalet Bakanlığı’nı kapsıyor. Sadece sonuç bölümü yayımlanan raporda yer alan çarpıcı bulgular ise şöyle sıralanıyor:

68 MİLYONUN BİLGİLERİ GSM OPERATÖRLERİNDE
Türkiye’de Haziran 2013 itibariyle mobil abone sayısının 68 milyon 25 bin 878 olduğu düşünüldüğünde, 9 yaş üzeri nüfusun önemli bir kısmının kimlik fotokopilerinin, değişik abonelikler nedeniyle GSM operatörlerinde bulunduğu görülüyor.Halen pek çok işlemde kişilerin kimlik fotokopisinin alınması uygulamasına devam ediliyor.
Türkiye’de seçmen niteliğine sahip 50 milyonun üzerindeki vatandaşın bilgileri onlarca partiyle paylaşılıyor. Paylaşılan elektronik ortamdaki verilerin çoğaltılmasını ve başkalarıyla paylaşılmasını engelleyecek hiçbir mekanizma da öngörülmüyor. 

ŞİFRELER DE SIKINTILI
Kamu kurumlarındaki en kritik bilgilere dahi ulaşabilen bilişim hizmeti sunan firmalarla, bunların çalışanları ile herhangi bir gizlilik sözleşmesi yapılmaması ve firma personelinin herhangi bir güvenlik araştırmasından geçirilmediği görülüyor.

Şifre konusu da sıkıntılı. Hassas veri içeren sistemlere erişimde kullanıcıların iki haneli sayısal şifre verebilmesi, 1111, 0000, 1234 gibi kolay tahmin edilebilir şifreler kullanıldığı görülüyor.

Özel kesim ve kamu kesiminden kimlik bilgilerine ulaşabilecek kullanıcı sayısının bir milyonun üzerinde olduğu tahmin edilmesine rağmen, bu konuda da temel güvenlik önlemleri alınmamış durumda.

Kişisel veri içeren bilgilerin çeşitli taşınabilir kayıt ortamları aracılığı ile paylaşıldığı da görülüyor. Bir örnekte CD ortamında 13,8 milyon kişinin kimlik ve adres bilgisinin herhangi bir güvenlik önlemi alınmadan paylaşıldığı tespit edildi.

KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK KANUN YOK
Türkiye’de pek çok kurumun bilgi sistemlerinin gerçek anlamda sahibi olmadığı, tüm vatandaşların verilerini tutan bilgi sistemleri üzerinde en üst kontrol yetkisinin bilişim hizmeti alınan yüklenici firma personelinde olduğu görülüyor. Bazı kurumlarda, hizmet alınan firmaların adeta sistemin sahibi gibi hareket edebildikleri ve herhangi bir sorgu kaydı olmaksızın sistemden veri çekebildikleri bizzat gözlemlendi.

Türkiye’de kişisel verilerin korunmasına yönelik çerçeve bir kanun yok. Oysa veri koruma kanunu bulunan 99 ülkeden 85’inde veri koruma otoritesi oluşturulmuş durumda.
Denetimlerde, iş sürekliliği ve felaket kurtarma konusundaki farkındalığın yetersiz olduğu, çoğu kurumun iş sürekliliği ve felaket kurtarma politika ve senaryolarına sahip olmadığı, omurga veri tabanına sahip bazı kurumların felaket kurtarma merkezinin dahi bulunmadığı tespit edildi. 

BEŞ DAKİKADA ELE GEÇİRİLİYOR

Çeşitli kuruluşların yaptıkları güvenlik denetimlerinde fiziksel olarak güvenliği sağlanmamış sistemlere saldırı denemeleri yapıldığında, bu sistemlerin beş dakika gibi kısa bir sürede ele geçirilebildiği ve içindeki verilere ulaşılabildiği görüldü.Bilgi sistemlerinde kullanılan yazılımlarda ortaya çıkan hata ve açıklıkların giderilmesi amacıyla, düzenli olarak yama programları yayımlanıyor.

Bünyesinde hassas kişisel veriler bulunan bir kamu kurumundaki güvenlik testi sonucunda, yama eksiğinden dolayı kuruma ait 500 sunucu bir saat gibi kısa bir sürede ele geçirilebiliyor.

Sıradaki Haber
Mobil Sayfaya Dön
Sitemizden en iyi şekilde faydalanmanız için çerezler kullanılmaktadır.