İçişleri Bakanlığı ve Sağlık Bakanlığı ile Çalışma Dairesi’nin veri tabanlarını kuran şirkette görevli iki İranlı yazılımcının yasadışı ikamet izni oluşturduğu ortaya çıktı. Kamuya ait son derece kritik verilerin büyük risk altında olduğunu belirten, Bilişim ve Siber Güvenlik Uzmanı Prof. Dr. Arif Sarı, skandal niteliğindeki gelişmeyi Kıbrıs Raporu için kaleme aldı.
Geçtiğimiz günlerde, Kuzey Kıbrıs Türk Cumhuriyeti’nde (KKTC) kritik altyapıya sahip üç önemli kurum olan İçişleri Bakanlığı, Sağlık Bakanlığı ve Çalışma Dairesi’nin veri tabanlarını kuran ve yöneten bir şirkette görevli iki İran vatandaşı, yasadışı şekilde 10 kişiye ikamet izni vermekten tutuklandı.
Bu şirketin çalışanları, belirtilen bakanlıkların ve dairelerin veri tabanına yalnızca teknik destek amacıyla erişim iznine sahip olduğu belirtiliyor. Ancak, bu izinlerin kapsamı, denetimi ve sınırları henüz belirsiz.
İlginç olan şu ki, bu yasadışı faaliyetler, teknolojik denetim yoluyla değil, bir polis memurunun ihbarı ile ortaya çıktı. Mali Suçlarla Mücadele Müdürlüğü’nden bir polis memuru, Muhaceret Dairesi’nden gelen bir bilgiye dayanarak, belirtilen 10 ikamet izninin ilgili daireye fiziksel olarak ulaşmadan sistem üzerinden onaylandığını belirtti.
Muhaceret Dairesi tarafından yapılmadığını tespit ettiği ilgili işlemlerin, veri tabanına doğrudan erişilerek yapıldığını tespit ettiğini belirtti.
Peki bu husus ne zaman fark ediliyor?
Mali Suçlarla Mücadele Müdürlüğü’nde görev yapan tanık polis memuru, 31 Ağustos 2023’te İçişleri Bakanlığı Muhaceret Dairesi’nden, toplamda 10 adet ikamet izninin onay işleminin evraklar daireye ulaşmadan yapıldığı yönündeki bilgi üzerine harekete geçtiklerini söylüyor. Başka bir deyişle, başvurusu yapılan ikamet iznine ilişkin evrakların Muhaceret Dairesi’ne fiziki olarak ulaşmasından önce, ilgili izinlerin sistemde onaylandığı orada çalışan memur tarafından fark edilince, konu polise intikal ettiriliyor.
Bu noktada duralım….
Bu durum, KKTC’de kritik altyapı olarak kabul edilen kurumlardaki veritabanlarına yapılan erişimin veya müdahalelerin, teknolojik bir denetim sistemine tâbi olmadığını gözler önüne seriyor.
Ayrıca, bahse konu iki İran vatandaşının telefonları üzerinde yapılan incelemeler sonucu, sohbet gruplarındaki yazışmalardan 103 kişiye daha ikamet izni çıkarıldığına dair bilgilere ulaşıldı.
Bütün bu durumlar, bu kişiler ile ilgili birçok soruyu da beraberinde getiriyor:
- Erişimleri bu kurumlar ile mi sınırlı yoksa hizmet verilen başka kurum ve kuruluşlara da erişimleri var mı? Ne kadar zamandır bu erişime sahipler, erişimi paylaştıkları başka kim/kimler var?
- Tüm bu olanlar Yetkili erişim ile mi yoksa yetkisiz erişim ile mi gerçekleşti?
- Eğer kısmi de olsa yetkili erişim var ise, kritik bir kuruma ait veritabanına bu kadar geniş çaptaki bir yetki erişimi nasıl verilebiliyor ve denetimini kim – hangi mevzuata göre yaptı-yapıyor?
- Yetkisiz erişim ise durum daha da kötü… kovuşturmanın ilgili altyapılarda teknik olarak daha da derinleştirilmesi gerekiyor…
- Bir veri ihlali söz konusu mudur? Söz konusu ise bu ne kadar kapsamlı? Bahse konu şahıslar ilgili kurum ve kuruluşların veritabanlarına sadece erişim mi sağladı yoksa başkalarına da erişim sağlama yetkisi verdi mi? Veritabanları veya herhangi bir veri dışarı sızdırıldı mı?
- Bahse konu şahıslar ilgili kurum ve kuruluşların veritabanlarında sadece Muhacerete ilişkin mi işlem gerçekleştirdi yoksa Sağlık ve İçişleri bakanlığı veritabanlarında da çeşitli hizmetlere ilişkin işlem gerçekleştirdi mi?
- İlgili bakanlıkların, yabancı uyruklu kişiler tarafından bu tür kritik erişimlere izin verilmesi konusunda bir politikası veya mevzuatı var mı? Yoksa cezai yaptırımı var mı? İlgili bakanlıklar ile hizmet sağlayıcı firma arasında oluşabilecek veri ihlali konularında yükümlülükleri kapsayıcı bir anlaşma var mı?
- Bu İranlılar kim? Kime – Kaç Kişiye hangi tarihlerde, devletin ilgili hangi resmi belgelerini hangi maksatla düzenlediler? Bu belgeler ile ne yapıldı?/yapılıyor?
- Bu konunun detaylı olarak dijital ortamda araştırılması ve kovuşturulmasının ciddiyetle gerçekleştirilmesi için yetkin teknik ekip veya birim mevcut mu? Yoksa kurulması düşünülüyor mu?
Bu soruları niye mi soruyorum?
Bir Kıbrıslı Türk olarak, İran’da bulunan bakanlıklara ya da kritik kamu kurum ve kuruluşlara ait altyapılara yönelik böyle bir veri manipülasyonu veya benzer bir işlem yapabilir misiniz diye bir düşünelim…
Aslında bu senaryolar bize hiç yabancı değil….
2021 yılına dönelim; Pandemi döneminde KKTC’de yaşanan sahte aşı kartı (AdaPass) skandalı, güvenlik ve etik meselelerini ciddi bir biçimde gündeme getirdi. Bu dönemde, yurtdışına seyahat için çift doz aşı olma zorunluluğu karşısında, AdaPass’ın kötüye kullanılması ülke genelinde endişe ve tepkilere neden olmuştu. Bu manipülasyon, Sağlık Bakanlığı adına aşı bilgi sistemini yöneten özel bir şirketin çalışanının Şubat-Eylül ayları arasında, maddi menfaat karşılığında aşı bilgi sistemine yetkisiz erişim sağlayarak sistemde sahte AdaPass düzenlemesi ile gerçekleştirilmişti. Sonrasında da tekrar eden farklı türlerdeki manipülasyon, bu kez aşı olmamış birisine ait düzenlenen sahte AdaPass kaydının yine içerde çalışan başka birisi tarafından sistemden silinmesi sonucu tespit edilmesi ile tekrar gündeme gelmişti.
Peki bu husus ne zaman fark ediliyor?
Sahte AdaPass olayı, bahse konu şirket çalışanının, Aşı olmamış bir polis memuruna, para karşılığında çift doz aşı olmuş gibi sisteme kaydolmayı teklif etmesi ile memurun şikâyeti üzerine ortaya çıkmıştı.
Ancak ilginç bir şekilde, bu tür bir kötüye kullanım da İçişleri bakanlığında gerçekleşen olayda olduğu gibi teknolojik denetim ve kontrol mekanizmaları ile değil, fiziki bir ihbar sonucunda tespit edilmiştir. O dönemde de bu konuyu çok defa tartışarak veri ihlali ve manipülasyonuna ilişkin benzer soruları yine sormuştuk. Bu konuda ülke içerisindeki paydaş kurumlar ise sessizliğini korumayı tercih etti. Bu konuda teknolojik olarak bilinen herhangi bir ek önlem veya denetim de yapılmadı.
Bu olay, sadece aşı programının güvenilirliğini değil, aynı zamanda veri güvenliği ve sistem bütünlüğü konularında da ciddi sorunlar olduğunu göstermektedir. Yine de, bu tür ihlallerin önceden tespit edilip engellenemediği bir sistemde, vatandaşların ve yetkililerin sahip olduğu güven de ciddi anlamda zedelenmektedir.
Bu ve benzeri vakaların sıklaşması, caydırıcı önlemlerin alınmadığı KKTC’de veya benzeri yüksek riskli alanlarda, veri güvenliği ve etik yönetimi konularında daha kapsamlı ve etkin önlemler alınması gerektiğini net bir şekilde ortaya koymaktadır.
KKTC’de yasal ve etik sorumlulukları yerine getirecek bağımsız denetim mekanizmaları veya kurumların oluşturulması ve bu tür olumsuzlukları
Prof. Dr. Arif Sarı
önceden tespit edebilecek teknolojik çözümler geliştirilmesi acil bir ihtiyaçtır.
İçişleri Bakanlığı, Sağlık Bakanlığı, Muhaceret Dairesi gibi kritik kamu kurumlarının hizmetlerini vatandaşa güvenli ve hızlı bir şekilde ulaştıracağı sistemlerin hayata geçeceği Dijital Dönüşüm ve e-Devlet yasası pek yakında Meclis komitelerinde tekrar görüşülmeye başlanacak.
Türkiye Cumhuriyeti, TURKSAT aracılığı ile Türkiye’de 5000’den fazla kamusal hizmeti vatandaşlarına hızlı, güvenli ve modern bir şekilde sunan Türkiye e-Devlet Kapısı’nın bir benzerinin KKTC’de hayata geçmesi için hem tecrübesini bize aktarıyor hem teknolojik hem de finansal olarak da ciddi bir kaynak sarf ediyor.
Bizler Meclis sıralarında, Türkiye-KKTC arasında imzalanan iş birliği protokolündeki maddelere yorum getirirken, “ülkemizdeki veriler veya sistemlerin kontrolünü veya erişimini TURKSAT’a mı veriyoruz?” “Sağlık verileri mahremiyeti önemlidir, yoksa ülke dışına mı çıkarılıyor?” tartışmalarını kamuoyu yaratmak için yaparken, ülkenin kritik kurumlarına ait tüm altyapılara gerek kendi ülkemizden gerekse farklı ülkelerden hiç tanımadığımız kişilerin yetkisiz erişim sağladığını, verileri manipüle ettiğini, ve bu kurumlara ilişkin çeşit türlü veri ihlallerinin gerçekleştiğini sosyal medyada çıkan gazete haberlerinden hiç rahatsız olmadan öğrenmeye devam ediyoruz.
Elbette ki veri ihlali konusu KKTC kurumlarına özgü bir durum değildir diyerek kendimizi avutabiliriz. Peki bugüne kadar gerçekleşen tüm bu ve benzeri olaylara karşı somut tedbirler almak adına, bu konularda denetimin ve kontrolün sağlanması için hangi yasal ve teknik önlemler alınmış, hangi birimler oluşturulmuş veya bu yönde hangi somut adımlar atılmıştır? Liyakati kelime olarak dahi aramadığımız bu sistemde, cevabı malumunuzdur….
Umalım da bahse konu kritik kurumlara ait bu veriler bir süre sonra başka bir yerlerden de çıkarsa, hem teknolojik hem de finansal olarak bunca emek verilen e-Devlet projesi ve paydaşları günah keçisi ilan edilmez…
Prof. Dr. Arif Sarı
Daha önce de belirttiğim şekilde…
Ülkedeki kritik kurum ve kuruluşlarda teknik ve yönetimsel istihdamın çoğunluğunun liyakatten uzak ve siyasi bağlantılara dayandığı gerçeği, bu kurumların hizmet kalitesi, personel yetkinliği ve sürdürülebilirliği açısından ciddi bir tehdit oluşturmaktadır. Bu durum, bu kurumların sağladığı hizmet ve işleyişinde açıkça görülebilen bir vasatlık seviyesine neden olmaktadır.
Buna ek olarak kamu/sözleşmeli/geçici personel alımlarında, veri tabanı yönetimi, siber güvenlik, sistem ve ağ yönetimi ve yazılım gibi çok kritik ve temel alanlarda yapılan münhal ve mülakatlarda, personel niteliklerini doğru şekilde ölçebilecek bir sınav sistemi bulunmamaktadır. Bu durum, istihdam edilecek olan personelde olması gereken nitelik veya yetkinlikler aranmadan KKTC’ne ait kritik bir altyapıyı ve/veya kritik tüm kişisel verileri bu kişiye teslim etmek anlamına gelmektedir. Bu durumun ortaya çıkarabileceği sorunların ciddiyet ve boyutu, dikkatlice ele alınması gereken bir konudur.
Tüm ülkenin sağlık, ekonomi, nüfus, tapu, eğitim gibi kritik alanlardaki tüm verilerinin muhafaza edileceği, işleneceği ve belirli ölçütlerde paylaşılacağı göz önünde bulundurulduğu zaman, bu kadar kritik bir sistemin ve altyapısının yönetimi, bakımı ve işletilmesi, ancak bu sistemde çalışacak teknik açıdan yetkin, nitelikli ve yeterli donanıma ve liyakate sahip personel ile gerçekleşebilecektir. Bu değişim sağlanmaz ise, ortaya çıkacak olan sistem mevcuttaki liyakatsiz yönetimin e-Devlet halinden öteye gidemeyecek bir yapı halini alacaktır.
Liyakatli ve nitelikli insan gücünün sağladığı katma değer ve kurumsal bağlılık, devlet kurumlarını güçlendirerek motivasyonu artıran, yeni ve yerli üretime katkıda bulunan çok kritik bir faktördür.
Tıpkı Anavatan Türkiye’nin son 10 yılda sınır güvenliğini sağlamak için ihtiyaç duyduğu tüm savunma, teknoloji ve modernizasyon sistemlerini, ülke içerisindeki insan kapasitesini geliştirip üretime teşvik ederek kendi kaynakları ile dünyaya meydan okur nitelikteki projeler ile ortaya çıkardığı gibi…
Ülkedeki kritik kurum ve kuruluşlarda teknik ve yönetimsel istihdamın çoğunluğunun liyakatten uzak ve siyasi bağlantılara dayandığı gerçeği, bu kurumların hizmet kalitesi, personel yetkinliği ve sürdürülebilirliği açısından ciddi bir tehdit oluşturmaktadır. Bu durum, bu kurumların sağladığı hizmet ve işleyişinde açıkça görülebilen bir vasatlık seviyesine neden olmaktadır.
Prof. Dr. Arif Sarı
Sonuç olarak, ülkemizde kritik altyapı olarak nitelendirebileceğimiz tüm kurumların, nitelikli insan gücüne ulaşmasını sağlamamız, Anavatan’ımızın bizlere sağladığı Dijital Dönüşüm rüzgarını arkamıza alarak, nitelik ve kapasite artırımını hızlandıracak tüm uygulamaları ve değişiklikleri, liyakat temelinde ivedilikle hayata geçirmemize bağlıdır. Ancak bu sayede kurumlar daha etkin ve verimli bir şekilde çalışabilir ve toplumun hayati önem taşıyan hizmetlerinin kalitesi artırılabilir ve güvenliği sağlanabilir.
