Eğitim-Sen İstanbul 2 No’lu Şube: Personel bilgileri kimlere verildi?

Eğitim-Sen İstanbul 2 No’lu Şube Yönetim Kurulu, Üsküdar'da çalışan eğitim emekçilerinin kişisel bilgilerinin stratejiuskudar.com adlı sitede neden yayınlandığının açıklığa kavuşturulmasını istedi. Öğretmenler, stratejiuskudar.com sitesine girdiklerinde TC kimlik numaraları ve kurum kodu şifresini yazdıklarını ancak başka bir işlem yapmadıkları halde (siteye giriş yapıldıktan sonra telefon ve e-mail bilgilerini isteyen bir ekran çıkmadığı halde) telefonlarına ve maillerine onay mesajı geldiğini belirtti. Eğitim-Sen İstanbul 2 No’lu Şube Yönetim Kurulu, "MEB’in kullandığı yazılımla, şirketin kullandığı yazılım arasında bir uyum var mıdır? Uyum yoksa yazılım şirketine öğretmenlerin kişisel bilgileri daha öncesinden verilmiş midir? Verildiyse kişisel verilerin korunması kanunu ihlal edilerek suç işlenmemiş midir?​” soruları yöneltildi. 

Açıklamada, Milli Eğitim Bakanlığı veri tabanında olan personel bilgilerinin bu veri tabanı ile ilgisi olmayan bir sitede yer almasının kabul edilemez olduğu vurgulandı.

"YÜKÜMLÜLÜKLER AÇIKÇA İHLAL EDİLDİ"

Eğitim-Sen İstanbul 2 No’lu Şube Yönetim Kurulu, Üsküdar İlçe Milli Eğitim Müdürlüğü'nün Kişisel Verilerin Korunması Kanununun 12. Maddesinde belirtilen veri güvenliğine ilişkin yükümlüklerini açıkça ihlal ettiğine dikkat çekti.

Yapılan açıklamada “Üsküdar İlçe Milli Eğitim Müdürlüğü (Üsküdar MEM) adı geçen sitenin siber saldırıya uğradığını belirterek suç duyurusunda bulunulduğunu ifade etmektedir. Bizim açımızdan sorun ve sorulacak soru ise şudur: Öğretmen bilgilerinin o sitede yer almasını sağlayan ve güvenlik açığı oluşmasına neden olanlar hakkında bir soruşturma açılacak mıdır?​” ifadeleri kullanıldı.

"PERSONEL BİLGİLERİ KİMLERE VERİLDİ?"

Açıklamada ayrıca “Üsküdar MEM “Kendini Geliştir Geleceği Değiştir“ projesi kapsamında yürütülen çalışmalarda işbirliği yapılacak kurum ve kuruluşlar bölümünde “Üsküdar Kaymakamlığı, Üsküdar Belediye Başkanlığı, Üsküdar İlçe Milli Eğitim Müdürlüğü, STK (hangi STK’ler olduğu belirtilmemiş), özel kurum ve kuruluşlar ve özel ve devlet üniversitelerine yer verilmiştir” sözleri hatırlatılarak şu sorular soruldu:

• “İşbirliği yapılacak STK ve özel kurum ve kuruluşların hangileri olduğu genel bir ifadeyle neden geçiştirilmiştir? 
• Özel kurum ve kuruluşlar diye ifade edilen kurum ve kuruluşlar hangileridir?
• Öğretmen bilgileri iş birliği yapılması düşünülen herhangi bir kuruluşa verilmiş midir?
• Hizmet alım yöntemiyle yazılım şirketiyle bir anlaşmaya neden ihtiyaç duyulmuştur?
• Bu şirkete Üsküdar ilçesinde çalışan personel bilgileri (telefon, e-mail, branş bilgileri v.s) verilmiş midir? 
• Verildiyse bu bilgilere kimlerin erişim izni vardır? 
• Üsküdar MEM‘in yazılım üzerinde nasıl bir kontrolü vardır? 
• Yeni bir yazılım kullanımı konusunda MEB’den izin alınmış mıdır?
• Bu projeye Üsküdar Belediyesi ve Üsküdar MEM’in kaynak aktarımı nasıl olmuştur?
• Ne kadar kaynak aktarılmıştır ve bu kaynak kimlere verilmiştir?"

"MAİL VE TELEFONLARA MESAJ NASIL GELDİ?"

Açıklamanın devamında şu ifadeler yer aldı: “Öğretmenler stratejiuskudar.com sitesine giriş yaparken kullanıcı adına TC kimlik numarasını, şifre kısmına da kurum kodu kullandıklarını, (her okulun bir kodu vardır ve aynı okulda çalışan öğretmenler aynı kodu kullanırlar) başkaca bir işlem yapmadıklarını belirtmektedir. Öğretmenler, siteye giriş yaptıktan sonra telefon ve e-mail bilgilerini isteyen bir ekranla karşılaşmadıklarını, giriş yaptıktan sonra telefona ve maile onay mesajı geldiğini ifade etmektedir. Öğretmeler bilgileri girmediklerine göre öğretmenlerin telefon ve e-maillerine onay mesajı gitmesi nasıl sağlanmıştır? MEB’in kullandığı yazılımla, şirketin kullandığı yazılım arasında bir uyum var mıdır? Uyum yoksa yazılım şirketine öğretmenlerin kişisel bilgileri daha öncesinden verilmiş midir? Verildiyse kişisel verilerin korunması kanunu ihlal edilerek suç işlenmemiş midir?​”

SENDİKADAN SORUŞTURMA ENDİŞESİ

Olayın basına yansımasının ardından Üsküdar Milli Eğitim Müdürü’nün “Bu tarihe kadar sistemdeki verilerin güvenliğinde herhangi bir zafiyet yaşanmamıştır. Maalesef bu ay içerisinde stratejiuskudar.com sayfamızın siber saldırıya maruz kalmış olduğunu öğrenmiş bulunuyoruz” açıklamasına değinen Eğitim-Sen İstanbul 2 No’lu Şube Yönetim Kurulu, “Sendika olarak yaptığımız araştırmada ücretli olarak çalışan öğretmenlerin, şubat ayında emekli olmuş, mart ayında kurum değişikliği yapmış olanların da deşifre edilen listede yer aldığını tespit etmiş durumdayız. Bu durum iddia edildiği gibi nisan ayında hacklenmiş olduğu varsayıldığında hizmet satın alınmış olan yazılım şirketinde bilgilerin güncellenmediğini ya da daha öncesinden elde edilmiş olabilme şüphesini doğurmaktadır. Bilgileri paylaşan Üsküdar MEM olduğuna göre soruşturma sadece hacklendiği varsayımıyla mı yapılacak yoksa; öğretmenlerin kişisel bilgilerini korumakla görevli olanlar da Üsküdar Kaymakamlığı dahil olmak üzere soruşturmaya dahil edilecek midir?​” sözleriyle tepki gösterildi.

SUÇ DUYURUSU HAZIRLIĞI

Olayın takipçisi olmaya devam edileceğinin belirtildiği açıklamada, sendika avukatlarıyla beraber hazırlıkların tamamlanmasının ardından ilgili kişi ve kurumlar hakkında suç duyurusunda bulunulacağı kaydedildi. (İstanbul/MA)