Çalınan verilerimiz ve ‘hizmet olarak hükümet modeli’
Daha önce verilerin çalındığı bilinmekle beraber bu konularda ceza almış ya da -istifa eden kişiler artık olmadığı için- görevden affını istemiş yetkili bulunmuyor. Tam tersine bu konuyu haberleştiren gazeteciler cezalandırıyor. Bu yüzden olacak ki veriler gittikçe daha çok yayılmaya devam ediyor.
Ramazan Subaşı (Bilişim Uzmanı)
Ara ara gündeme gelse de çözülmeyen bir sorun var ki biz onu unutsak bile o bir şekilde önümüze çıkıyor: Çalınan kişisel verilerimiz.
Cuma gününden beri kişisel verilerimizin çalındığı haberlerini okuyoruz. En sonda söyleyeceğimizi başta söyleyelim: Yeni bir veri sızıntısı yok. Yıllardır çalınan veriler hiçbir önlem alınmadığı ve yaptırım uygulanmadığı için giderek yayılmaya devam ediyor.
Yıllardır farklı internet sitelerinin hacklenmesiyle kişisel verilerimiz tek seferlik para ile satılıyordu. Bu yöntem yaygın olarak kullanılmaya devam ediliyor. Yalnız bu sefer farklı olan şeyler var. Nedir farklı olan derseniz gelin, bundan önce yaşanan süreçler nasıl ilerliyordu öncelikle bir onlara bir bakalım. Sonra devamında bugünlerde yaşanan süreci inceleyerek aradaki farkı ve buradan çıkarabileceğimiz dersleri görelim.
Elbette ki birçok hacklenme olayında hem teknik hem de hackerların uyguladıkları yöntemler farklılık göstermektedir. Biz kabaca bir şema çıkaralım ve konuyu biraz sadeleştirelim. Hacker, bir şekilde verilerini çalmak istediği sisteme giriş yapar, verileri çalar, site sahiplerine mesaj atar ve para karşılığında anlaşmaya çalışır, anlaşma olmayınca medya ve toplum baskısı kurmak için sosyal medyadan ulaştığı bazı isimlere veri çaldığını söyler ve bu verilerin bir kısmını farklı forum sitelerinde paylaşır. Paylaştıkları veri genel olarak toplam verinin çok az bir kısmıdır ve verileri satın almak isteyen kişileri ikna etmek için paylaşılır. Bu verilere yasal olmayan bir şekilde erişmek isteyen kişiler de ödeme yaparak verileri satın alır. Parayı veren düdüğü çalar misali. Ne kadar çok kişiye bu veriyi satabilirlerse o kadar çok gelir elde edebiliyorlar. Burada dikkat edilmesi gereken detaylar ise şunlar:
- Ortada teknik olarak çok yetenekli hacker ya da hackerlar var.
- Bu hackerların çaldığı veriler var.
- Tüm veriler açık bir şekilde paylaşılmıyor, sadece küçük bir paylaşım yapılıyor.
- Verileri alıp incelemek için yine teknik bilgilere sahip olmak gerekiyor, çünkü veriler genelde bir veri tabanı dosyası olarak paylaşılıyor.
- Bu kişilerin seslerini ve kim olduklarını bulmak zor, kendilerine dair en ufak bir iz bırakmamaya çalışıyorlar.
Gelelim yaşanan son olaya:
Yıllardır farklı internet sitelerinden çalınan veriler derlenmiş, toplanmış ve bir araya getirilerek bir “panel sitesi” üzerinden herkesin kullanıma açılmış. Ortada yeni bir veri sızıntısı olayı yok. Gerçek hackerların çaldığı verileri toplayarak buradan para kazanmaya çalışan, henüz yirmili yaşlarına girmemiş yetenekli gençler var. Bu işin aslında yeni olmadığını söyleyelim, sadece göz önünde olmayan bir durum farklı haber sitelerinde “verilerimiz çalındı” şeklinde servis edilerek popüler hale geldi. Yukarıda sıraladığımız maddeleri bu sefer burada yaşanan olaya göre listeleyerek ne ile karşı karşıya olduğumuzu bir görelim:
- Ortada bir hacker var demek zor olabilir ama yetenekli gençler var.
- Herhangi bir veri sızıntısı olduğunu söylemek zor, eski verilerin toplanması söz konusu.
- Verilerin tamamına anında erişemiyorsunuz, verilerin olduğu sisteme erişip sorgulama yapabiliyoruz sadece. “Yıllık sadece 40 dolar ödeyerek bu hizmetten yararlanabiliyorsunuz”. Bu yönetimin genel adı Hizmet Olarak Yazılım (Software as a service - SaaS). Özelde ise Hizmet Olarak Bilgisayar Korsanlığı (Hacking as a service - HaaS) diyebiliriz.
- Verilere erişmek için teknik bilgiye sahip olmak gerekmiyor, verilere ulaşmak için sisteme üye olmanız yeterli.
Verileri hazırlayıp paylaşıma açan kişiler bu sefer herkesle doğrudan iletişime geçiyorlar, sesli sohbet odalarında herkese açık bir şekilde konuşuyorlar, teknik konularda odaya gelen yetenekli kişilerden destek bile istiyorlar. Olayın ortaya çıktığı ilk anlarda ödemeleri doğrudan dijital ödeme kartlarına alıyorlardı, şimdi kripto olarak talep ediyorlar.
Olayın bu noktaya gelmesi ise bir sonuç, yıllardır devam eden sorunlara karşı teknik ve yasal önlem almayan sorumluların yarattığı boşluğun bir sonucu. Farklı mecralarda daha önce defalarca değindiğimiz bu meselenin devlet tarafında hiçbir şeyin değişmediğini görüyoruz. Daha önce verilerin çalındığı bilinmekle beraber bu konularda ceza almış ya da -istifa eden kişiler artık olmadığı için- görevden affını istemiş yetkili bulunmuyor. Tam tersine bu konuyu haberleştiren gazeteciler cezalandırıyor. Bu yüzden olacak ki veriler gittikçe daha çok yayılmaya devam ediyor.
Çözüm ne sorusuna kısa bir cevap olarak: Mesela adımız ya da kimlik numaramız gibi çalınan verilerimizi değiştiremeyeceğimize göre, verilerin çalınmasını engelleyecek bir yönetim inşa etmek gerekiyor. Klasik yöntemler ile bunu değiştiremediğimiz ise ortada, çare olarak gençlerin yaptığı gibi konuya farklı bir boyuttan yaklaşıp yenilik getirmek gerekiyor. Hükümetin işleyiş modelini temsili demokrasi modelinden çıkarıp dijital bir yönetim ile doğrudan demokrasiye geçirmek gerekiyor. Hizmet olarak hükümet (Government as a service - GaaS) modelini kuracak dijital demokrasi için adım atmanın zamanı gelmiştir belki.