Bilmesi Gereken Prensibi ve Kişisel Veri Güvenliği: TÜGVA Skandalı

Malum olduğu üzere dijitalleşme döneminde yaşıyoruz ve hayatımızı önemli ölçüde dijitalleşmeye göre şekillendiriyoruz. Ya da başka bir ifade ile bu şekilde davranmak mecburiyetinde kalıyoruz. Bu bağlamda karşımıza çok önemli ve çeşitli kavramlar çıkmakta. Veri güvenliği, kişisel veri, ağ (network), siber güvenlik, siber saldırı, dijital ortamın fiziksel ve donanımsal güvenliği (physical security), bilmesi gereken prensibi gibi kavramlar bunlara örnek olarak verilebilir. Bu yazıda veri güvenliği ve bilmesi gereken prensibini TÜGVA örneğini inceleyerek ele alacağız.

Bilmesi gereken prensibi, herhangi bir konu ya da olay hakkında var olan verinin ya da bilginin sadece yetkili kişilerde bulunması ve aynı şekilde söz konusu bilginin yalnız yetkili olan kurum ya da kişilerle yasal çerçevede paylaşılmasıdır. Bir örnek ile konuyu açacak olursak; herhangi bir bakanlık bünyesinde faaliyet gösteren, birbirinden farklı fonksiyon ve görevleri bulunan başkanlık, müdürlük gibi birimler mevcuttur. Bütün bu birimler sadece kendi görev alanlarına giren konular ile ilgili verilere sahiptir ve sadece ihtiyaç durumunda diğer birimlere yasal çerçevede veri paylaşımı yaparlar ya da yapabilirler. Söz konusu paylaşımda veri talebinde bulunan birimin ihtiyacından fazla, talebinin haricinde veri paylaşımı yapılamaz. Bu, olması gereken bir hareket tarzıdır. Aksi durumda verilerin güvenliğini temin etmek zor hatta imkânsız olacaktır.

Bilmesi gereken prensibi, veri güvenliği ve veri bütünlüğünden ayrı düşünülemez. Siber güvenlik alanında bir verinin güvenli ve güvenilir olarak kabul edilebilmesi için üç temel şartı yerine getirebilmesi gerekmektedir. Bunlar; gizlilik (confidentiality), bütünlük (integrity) ve kullanılabilirliktir (availability). Yapılan tanım ve açıklamalardan anlaşılacağı gibi, bilmesi gereken prensibi ve verilerin güvenliği çok önemli kavramlardır ve sadece resmî kurumları değil kişilerin özel hayatlarını da yakından ilgilendirmektedir. Veri güvenliğinin ihlali insanların hayatlarını alt üst edebilecek kadar hayati önemdedir.

Söz konusu teknik konulardan hareketle TÜGVA ile ilgili sızdırılan belgeler incelendiğinde; ortada çok ciddi ve vahim bir durumun varlığı açıkça görülmektedir. Özellikle TÜGVA’nın kendi bünyesinde kullanmış olduğu ERP sisteminde, Nüfus ve Vatandaşlık Genel Müdürlüğü verilerinin bulunması tam anlamıyla skandaldır ve olay süratle soruşturularak ihmal, kusur ya da hatası bulunanlar yargı önüne çıkarılmalıdır.

Diğer yandan, şimdilik sadece vatandaşların kimlik ve ikamet bilgilerinin TÜGVA’nın elinde olduğu bilgisine ulaşılmıştır. Acaba vakıf bunun haricinde başka hangi kurumlardan, hangi bilgileri almıştır ya da almaktadır sorusu olayı daha da kritik bir noktaya taşıyabilecektir.

TÜGVA olayı ile birlikte medyada gündeme gelen ERP sistemi, esasında kurumsal kaynak planlama sistemi şeklinde ifade edilebilen, İngilizce’si Enterprise Resource Planning (Kurumsal Kaynak Planlama) tanımının kısaltılmış ve piyasada kullanılan halidir. Kurumların günlük iş faaliyetlerini yönetmek için kullandığı bir yazılım türüdür ve çok sayıda iş sürecini bir araya getirerek bu süreçler arasındaki veri akışını sağlamaktadır. Böylece kurum içerisindeki farklı departmanların birbiri ile uyumlu hale getirilerek iş süreçleri iyileştirilebilir ve ciddi tasarruflar elde edilebilir. ERP sistemi ortak bir veritabanı oluşturması dolayısıyla hem veri yinelemelerini ortadan kaldırır hem de veri doğruluğunu sağlar. Özetle ERP, kurumdaki çalışanları, süreci ve teknolojileri entegre etmeye yardımcı olmaktadır. Bu sayede veriler güncel, doğru ve eksiksiz olabilmektedir.

Haliyle ERP sistemi kurumsaldır ve kurumlara aittir. Bünyesinde de sadece kendisine ve yönettiği süreçlere ait verilerin olması gerekmektedir. Dolayısıyla bir vakfın kendisine ait olan ERP sistemi içerisinde başka bir resmi kuruma ait verilerin bulunuyor olması normal bir durum değildir. Bu olay iki farklı açıdan değerlendirilebilir. İlki Nüfus ve Vatandaşlık Genel Müdürlüğü’ne bakan veri gizliliğinin ihlali, diğeri ise TÜGVA’ya bakan veri güvenliğinin riske atılmasıdır. Her iki durum da ciddi sorun teşkil etmektedir. Devletin resmi bir kurumu (Nüfus ve Vatandaşlık Genel Müdürlüğü) vatandaşlara ait kişisel verileri bir vakıfla paylaşmış ve verilerin gizlilik ilkesi başta olmak üzere bilmesi gereken prensibi ihlal edilmiştir.

Diğer yandan, özel bir vakfın kendi sistemine dahil ettiği ve bütün vatandaşlara ait olan kritik kişisel verileri korumadaki imkân ve kabiliyetinin ne olduğunun bilinememesi ve siber saldırılara açık olması durumu da ortaya çıkmıştır. Bu husus da hiç şüphesiz risk değerlendirmesi kapsamında oldukça sıkıntılı bir durumun varlığını gözler önüne sermektedir.

Zayıflatılan kurumsal kimlikler ve liyakatsiz bürokratların varlığı, TÜGVA ve Nüfus ve Vatandaşlık Genel Müdürlüğü örneklerinde de görüldüğü gibi yaşanan ve yaşanabilecek olan skandalların temelini teşkil etmektedir. Yaşanan sıkıntının temel nedeninin “bilmesi gereken prensibinin” ihlal edilmesi olduğunu söyleyebiliriz. Peki bu prensibin ihlali ilk defa ve sadece TÜGVA’da mı yaşanmıştır? Tabii ki hayır!

Harp Okulları ve Astsubay Meslek Yüksek Okullarına askeri öğrenci alım süreçlerinde yaşananları da konuyla ilgili diğer bir örnek olarak burada ifade edebiliriz. Mülakat komisyonlarında üye olarak görevlendirilenler arasında emekli subaylar, astsubaylar ve kamu personelinin de bulunduğunu geçtiğimiz günlerde basına yansıyan bilgilerden öğrendik. Bu uygulamaya 3 yıl boyunca devam edilmiş. Kurumsal hiyerarşi dışından kişilerin görevlendirilmesine gerekçe olarak da 15 Temmuz sonrasında meydana gelen yetişmiş personelin bulunmayışı gösterilmiş. Ne hikmetse bunca yargılamaya rağmen kamuoyunu tatmin edecek biçimde aydınlatılamayan bir darbe girişimi, her türlü hukuksuzluğa ve açıklanması zor meseleye gerekçe olarak ustalıkla kullanılabilmiştir.

Söz konusu olay özelinde, öncelikle bir meslek grubuna aday seçimi yapılması için kurulan komisyonlarda mesleğin inceliklerine vakıf ve deneyim sahibi uzman kişilerin bulunması gerekmektedir. Bu uzman kişilerin sadece aynı meslekten olmaları da yeterli değildir. Bu kişilerin halihazırda ilgili mesleğin icracısı olarak aktif görevde olmaları da gerekmektedir ki; aday seçimlerinde mevcut ve güncel ihtiyaçları hesaba katarak gerçekçi, mantıklı ve uygun bir seçim gerçekleştirilebilsin.

Komisyonlarda görevlendirilen emekli askeri personel ile diğer kamu personelinin yazımıza konu olan bilmesi gereken prensibinin uygulanmasında da zafiyete sebebiyet verdiği açıktır. Nitekim söz konusu aday adaylarının verilerine yetkisiz bir biçimde ulaşılmasına sebebiyet verilmiştir. Bu durum da veri güvenliğini riske sokmuştur. Bilmesi gereken prensibi adeta yok sayılmış ve TSK’ya personel yetiştiren kurumların adaylarına ait kişisel veriler yetkisiz kişilerin erişimine açılmıştır. Söz konusu seçim komisyonlarındaki torpil ve aday kayırma gibi gayri insani ve gayri ahlaki durumlar da cabası.