KİŞİSEL VERİLERİN GÜVENLİĞİ

Kurumlar ile olan resmi ilişkilerimizde başta TC kimlik numarası olmak üzere bir çok kişisel bilgimizi veriyoruz. Bu bilgiler bilgisayar ortamında saklanıyor. Ne zaman, hangi doktora muayene olduk, hangi teşhis kondu, hangi ilaçları aldık gibi sağlık bilgileri, telefon görüşmelerimiz, kısa mesajlarımız gibi bilgiler kayıt altında tutuluyor. Kişisel bilgilerin korunması ve kötü amaçlı kullanımının engellenmesi tamamıyla kayıtları tutan kurumların sorumluluğundadır. 

Ancak 27 Kasım 2013 tarihinde Cumhurbaşkanlığı Devlet Denetleme Kurumu tarafından özeti yayınlanan rapordan* anladığımız kadarıyla bu verilerin güvenliği konusunda ciddi zaafiyet bulunmaktadır. Bunları şöyle sıralayabiliriz:

• Kimlik fotokopileri : Aksi yönde genelge bulunmasına rağmen kimliklerin fotokopileri kurumlarca isteniyor. Bu fotokopilerin güvenliği yeterince sağlanmadığı için kötü amaçlı kişilerce yeni telefon hattı açmak, kredi kartı almak vb. amaçlarla kullanılıyor.
• TC kimlik numarasının kullandırılması: Ana omurga olan TC kimlik numarası Nüfüs ve Vatandaşlık İşleri tarafından diğer kurumlara kullandırılıyor. Ancak kimlik numarası veritabanına erişim sağlayan diğer kurumların aldığı verilerin güvenliğini nasıl sağladığına yönelik yeterli bir kontrol bulunmuyor.
• Farkındalık: Sistemleri kullanan ve verilere erişimi bulunan personel, kişisel bilgilerin güvenliği konusunda yeterince bilgi sahibi değil.
• Verilerin tekrarlanması: Aynı veriler farklı kurumlarda farklı biçimlerde saklanıyor. Bu da veri güvenliğini zayıflatıyor.
• Fiziksel güvenlik önlemleri: Verilerin saklandığı bilgisayar ortamlarının fiziksel güvenliği yeterince sağlanmıyor. Bilgi işlem odasının kapısı otoparka açılan kurum var.
• Yazılımsal güvenlik: İnternet üzerinden erişimin yeterince güvenli olmadığı durumlarda siber saldırılar ile veriler elde edilebiliyor.
• Taşeron personel çalıştırılması: Kurumlarda kullanılan yazılımların satın alındığı firma personeli yeterince güvenlik soruşturması yapılmadan çalıştırılıyor ve sistemlere kontrolsüz eriştiriliyor.
• Veri taşınması : Kurumlar arasında veriler çeşitli ortamlarda (CD, DVD, USB disk vb.) kontrolsüz bir şekilde taşınıyor. Taşıma sonrası ortamların imha edilip edilmediği belli değil.
• İş sürekliliğini sağlayacak risk yönetimi, felaket durumlarında geri dönüş vb. konularda yeterince çalışma yapılmıyor.

http://www.turkiye.gov.tr adresinde adınıza kayıtlı telefonlar, borçlarınız, adli kayıtlar vb. bir çok kişisel bilgiyi görebilirsiniz. Arada sırada burayı kontrol etmekte yarar var. Bunların dışında aşağıdaki önlemler kişisel bilgilerinizin çalınmasını azaltabilir:

• İnternet sitelerine kişisel bilgilerinizi tam olarak girmeyin
• Sosyal ağlarda akrabalık ilişkilerini tanımlamayın, tanımadığınız veya şüphelendiğiniz şahıslarla arkadaş olmayın
• Daha çok nakit ile alışveriş yapın
• İnternet üzerinden alışverişlerinizde sanal kredi kartı kullanın
• Akıllı telefonunuzun konum kullanan hizmetlerini uygulamaya göre mümkün olduğunca kısıtlayın

* Kaynak : "Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları" hakkında hazırlanan 27/11/2013 tarih ve 2013/3 sayılı Denetleme Raporu Özeti

Metin Turan