Son dönemde Türkiye’de yaşanan “panel” olayları, toplumun her kesiminde büyük bir güvensizlik yarattı. Bu olaylar, kişisel verilerin nasıl korunmadığını ve dijital mahremiyetimizin ne kadar savunmasız olduğunu gözler önüne seriyor. Panel olaylarıyla gündeme gelen veri hırsızlıkları, siber güvenlik alanında büyük bir zafiyet olduğunu gösteriyor. Verilerimizin birer ürün gibi siber saldırganların elinde dolaştığını bilmek, hepimizde güvensizlik yaratıyor. Peki, tüm bu veriler çalındıktan sonra bizi ne bekliyor. Her bireyin, her kurumun bu durumu sorgulaması ve ciddi adımlar atması artık kaçınılmaz bir hale gelmiş durumda. Panel olaylarında, saldırganlar tarafından çalınan veriler bir araya getirilip alınıp satıldığı DarkWeb forumlarında dolaşıyor. Bu paneller, çalınan verilerin kullanıcı adı, şifre, kredi kartı bilgileri, kimlik numarası gibi hassas bilgilerini içeriyor ve kötü amaçlı kişiler tarafından erişilmesi için satışa sunuluyor. Bu veriler, dolandırıcılık faaliyetlerinden sosyal mühendislik saldırılarına kadar birçok farklı amaçla kullanılıyor. Üstelik sadece bireysel veriler değil, devlet kurumlarından ve büyük işletmelerden de veriler sızdırılıyor. Yani sanal dünyada neredeyse hiçbir bilgi güvenli değil.
Düşünmek gerekiyor, Kişisel bilgilerimizle neler yapılabilir? Kredi kartı bilgilerimiz, kimlik numaralarımız, hatta sosyal medya hesaplarımız... Bu bilgiler, bir yandan dolandırıcılık faaliyetlerinde kullanılırken, diğer yandan da özel hayatımıza dair derin izler taşıyor. Mahremiyetimize yönelik bu tehdit, bireysel güvenlik önlemlerinin ötesine geçmiş durumda. Çoğu insan bu bilgilerin neden çalındığını veya çalındıktan sonra başına neler gelebileceğini bile bilmiyor. Bu bilinç eksikliği de saldırganların işini daha da kolaylaştırıyor.
Peki, Verilerimizi Kim Koruyacak?
Her gün banka bilgileri, kimlik bilgileri, sağlık kayıtları gibi en özel verilerimizin korumasız bir şekilde dolaştığını duymak bizlere “Verilerimizi kim koruyacak?” sorusunu sorduruyor. Çoğu kurum, verilerimizi güvence altına almak için gerekli önlemleri almıyor ya da yetersiz kalıyor. Çalınan bilgilerimizin kimlere satıldığını, hangi kötü amaçlı faaliyetlerde kullanıldığını bile çoğumuz bilmiyoruz. Devlet kurumları ve özel sektör, bu konuda daha güçlü güvenlik politikaları geliştirmek zorunda.
Şu noktayı kabul etmemiz gerekiyor: Artık sanal ortamda hepimizin verisi risk altında. Bu
durumda, güçlü bir yasal altyapıya, katı güvenlik standartlarına ve caydırıcı cezalara ihtiyacımız var. Ancak ne yazık ki, mevcut yasalar ve güvenlik uygulamaları, bu tür büyük çaplı veri hırsızlıklarını engellemekten uzak görünüyor. Birçok kurum, bu tür saldırılar karşısında sadece özür dilemekle yetiniyor hatta kabul etmiyor ve sonrasında alınan önlemler çoğu zaman yetersiz kalıyor. Halbuki, veri güvenliği ihlali yaşayan her kurumun sorumluluk alarak şeffaf bir biçimde bu ihlalin kaynağını ve sonuçlarını açıklaması gerekir. Ancak o zaman bireyler, verilerinin hangi risklerle karşı karşıya olduğunu ve neler
yapabileceklerini tam anlamıyla anlayabilir.
Bundan Sonra Ne Olacak?
Tüm bu tehditler karşısında "Siber Vatan" kavramının önemini vurgulamak gerekir. Siber vatan, fiziksel sınırlarımızı korumak kadar önemli bir sanal egemenlik alanıdır ve Türkiye'nin ulusal güvenliği için hayati bir konuma sahiptir. Bu kavram, yalnızca verilerin ve dijital altyapıların korunmasını değil; aynı zamanda milli değerlerimizi, bireysel haklarımızı ve toplumsal güvenliğimizi tehdit eden dijital risklere karşı güçlü bir savunma hattı kurmayı ifade eder. Ülke olarak bu alanda güçlenmek, her bir bireyin güvenliğini sağlamak ve milli güvenliğimizin dijital uzantısını korumak için kritik adımlar atmak zorundayız. Siber güvenlikteki her eksiklik, siber vatanımızın zayıflaması anlamına gelir. Bu nedenle, devlet kurumlarından özel sektöre, bireylerden eğitim kurumlarına kadar her alanda, siber vatan bilinciyle hareket etmeliyiz. Bu bilinçle, Türkiye olarak sanal ortamda güçlü, güvenilir ve kendi egemenliğini koruyabilen bir ülke olabiliriz.
Bu yazı dizisinin devamını getirebilirsen cidden herkes için son derece yararlı olur. Küçük bir ekleme yapayım şimdi izninle... Bu tarz "siber saldırı çeşnili" büyük veri sızıntısı olaylarında "odadaki fil" öyle kolay kolay fark edilmez ne yazık ki. Odadaki fil: Arka taraftaki Web API'larına sınırsız erişim yetkisi olan "aracı kuruluşlar". Örneğin bir sigorta şirketinin arka uçtaki devlet dairelerinin web API'larına erişimini kim denetliyor? :) Bu aracılar saçma-sapan bir peşin hükümlülükle "güvenilir iş ortakları" olarak kabul edilirler. Oysa veri simsarlığına soyunsalar kim-nereden bilecek peki? :) İşbu alan öyle boşlanmış durumda ki - büyük veri sızıntılarının gerçekleşmesi için ille de dışarıdan siber saldırı gerçekleşmesine bile gerek yok demek istediğim... Ayrıca "Future Recorded" tarafından yayımlanan raporlara yakından bakılırsa; büyük veri sızıntılarının ana kaynağının (en zayıf halkanın) bu aracı kuruluşların sistemleri olduğu anlaşılıyor.