Sızan/sızmayan veri ve sonrası

Haftayı iki büyük veri sızıntısı haberi ile kapattık. Free Web Turkey’den Ali Safa Korkut, pazartesi günü 108 milyon kişinin kimlik numaraları, 82 milyon kişinin ikamet adresi ve 134 milyon GSM numarasını da içeren 42 gigabytelık bir veri setinin Google Drive üzerinden yayımlandığını haberleştirdi. Kabine toplantısının ardından gazetecilerin bu konudaki sorusunu yanıtlayan Ulaştırma Bakanı Abdulkadir Uraloğlu ise pandemi döneminde sağlık sisteminden yaşanan sızıntıyı hatırlatarak güncel bir sızıntı olmadığını ifade ederken pandemi dönemindeki sızıntıyı doğruladı. İletişim Başkanlığına bağlı Dezenformasyonla Mücadele Merkezi ise X/Twitter hesabı üzerinden yaptığı açıklamada güncel bir veri sızıntısı olmadığını belirtip “85 milyonun verilerinin çalındığı” iddiasını yalanlarken bazı vatandaşların verilerinin şifreleri ele geçirilmek suretiyle çalındığını ifade edip konuya dair hukuki işlemlerin başlatıldığını duyurdu. Kişisel Verileri Koruma Kurulu (KVKK) ise bir açıklama yayımlayarak Kuruma “Konuya ilişkin olarak intikal etmiş herhangi bir veri ihlali bildirimi bulunmadığını” belirterek “Pandemi sürecinde meydana geldiği iddia edilen veri ihlali haberleri ile ilgili halihazırda Kişisel Verileri Koruma Kurulu tarafından alınmış resen inceleme kararı bulunmakta olup, ilgili kamu kurumları ile koordineli bir şekilde çalışmalara devam edilmekte” olduğunu duyurdu. Daha verilerimiz çalındı mı çalınmadı mı anlayamadan perşembe günü, Emrullah Akdemir’in bu yılın mayıs ayındaki “SGK bilgilerinin bir forumda satışta olduğu” iddiasını güçlendiren yeni ekran görüntüleri geldi

Veri kümelerinin doğruluğu ya da yanlışlığı ya da kimlerin iddialarının doğru kimlerin iddialarının yanlış olduğu bu yazının konusu değil. Yine verilerin nasıl çalındığı ve ne kadar verinin çalındığı da bu yazının konusu değil. Geriye doğru baktığımızda pek çok veri sızıntısı iddiasının yanı sıra verilere ücret karşılığı erişilebilen çeşitli sitelerin haberlerine uzanan geniş bir skala mevcut. KVKK tarafından doğrulanmış özel sektör veri sızıntılarının da ne listesi kısa ne de etkilediği vatandaş sayısı az. Neredeyse herkesin sıklıkla aldığı istenmeyen mesajlar ve dolandırıcı aramaları verilerimizin epeydir çeşitli şekillerde elden ele de gezdiğinin sağlaması zaten.

Soru da sorun da burada başlıyor. Kişisel verilerin korunması konusunda iktidarın iddialarına rağmen pratikte verilerimiz alınıp satılan birer meta haline getirilmiş durumda. Ne bu süreçlerde ihmali ya da sorumluluğu olanlara dair bilgimiz var ne de ne gibi tedbirler alındığına. Veri setlerinin doğruluğu ya da yanlışlığına emin olmak bile orijinal veri setlerine sahip değilseniz mümkün değil. Elinde orijinal veriler olmayan biri en iyi ihtimalde rastgele örneklerle yayındaki veri setini test edebilir. Ancak bu yasal sınırları zorlayan bir eylem olduğu gibi kesin ve net bir sonuç verecek bir yöntem de değil. Eski sızıntıları birbiriyle harmanlamak, rastgele oluşturulmuş uydurma veriler ekleyerek şişirmek ve güncelmiş gibi satmak karanlık veri pazarlarında sık görülen bir yöntem sonuçta. Oysaki elinde orijinal veri setleri olan iktidar için orijinal veri seti ile yayındaki verileri karşılaştırmak, buradan bir sonuca varmak, yanlış ise kanıtları ile sunarak iddiaları yalanlamak, doğru ise -tüm erişim günlüklerinin tutulduğu varsayımı ile- verinin nereden ne şekilde sızdığını tespit edip hem gerekli tedbirleri almak hem de duyurmak zor değil.

Kırılmaz sistem yoktur. Veriler en güvenli olduğu düşünülen sistemlerden dahi çalınabilir. Ancak bir veri sızıntısı vakasının öncesinde ne gibi tedbirler alındığı ve vaka sonrasında ne yapıldığı belirleyici olandır. Vaka öncesi açısından basitçe örnekleyeyim. Daha hassas ya da riskli pek çok sistem iki faktörlü doğrulamayı zorunlu tutar. Bankacılık uygulamaları uygulamanın doğru telefonda çalıştığını teyit edip şifre ile kullanıcıyı doğrular. Pek çok kapalı sistem şifrenin yanı sıra IP ya da benzeri doğrulama sistemi kullanmaktadır. Yazılımların güncel tutulmasından güvenlik yazılımlarına, personelin eğitiminden her riskli işlemin teknik denetim altında tutulmasına uzanan epeyce uzun bir yapılması gerekenler listesi ile risk en aza indirilebilir.

Varsayalım bir sızma yaşandı, sızmanın yolu yordamını bilmek en azından daha yetkin kullanıcıları eğer sızmanın kaynağında kullanıcı hatası varsa benzer tipteki kullanıcı hatalarına karşı bilinçlendirir. Teknik bir açıktan sızma varsa açığın nedenini duyurmak, ihmalleri soruşturmak kamunun güvenini arttırır. Burada sayılan ve çok daha fazlasının eklenebileceği tedbir ve yöntemlere dair şeffaflık yerine önümüze konulan “Sızıntı yok, varsa da eski, eski vakaları da araştırıyoruz zaten, bize güvenin” şeklinde özetlenebilecek açıklamalar. Öte yanda ise -ister yeni sızmış olsun isterse de eskiden kalma- verilerimiz elden ele geziyor. Dolaşımdaki veriler nedeni ile ortaya çıkan dolandırıcılık, kimlik hırsızlığı gibi olası tehlikeler ile risk altındaki kişilerin adreslerinin sızması nedeni ile ortaya çıkacak tehlikelerin nasıl bertaraf edileceği ise meçhul.