“Görülmemiş” Siber Saldırı; Siber Güvenlikte Hükümetler, Düzenleyici Otoriteler ve Microsoft’un Konumu

“Görülmemiş” Siber Saldırı; Siber Güvenlikte Hükümetler, Düzenleyici Otoriteler ve Microsoft’un Konumu


Geçtiğimiz cuma günü pek çok ülkede, asıl olarak şirketleri/kurumları hedef almakla birlikte bireysel kullanıcıları da etkileyen bir siber saldırı oldu. Avrupa Polis Teşkilatı Europol tarafından “böylesi bir saldırıyı hiç görmedik” ifadeleriyle tanımlanan  “WannaCry” isimli fidye yazılımı ile yapılan saldırının eriştiği bilgisayarlardaki tüm veriler şifreleniyor. Sadece microsoft işletim sistemine sahip bilgisayarları etkileyen siber saldırı sonucunda sanal para birimi bitcoin üzerinden ödeme yapılması isteniyor..

Giderek yoğunlaşan siber saldırılar, bugüne kadar düşünülmemiş veya üzerinde durulmamış soruları gündeme getiriyor. Zira, uygarlık tarihinin çok kez gösterdiği gibi, hiçbir teknolojik gelişme salt “iyi” ye yaramıyor, belki daha da hızlı bir şekilde “kötülüğe” hizmet için kullanılabilir hale getiriliyor.

Hükümetler ve bağlı idari otoriteler son siber saldırı ile ilgili bilgilendirmeler yapmaya başlamışken, Microsoft’dan da bir açıklama geldi. Microsoft Başkanı Brad Smith, ciddi bir uyarı olduğunu belirttiği  bu saldırıların “hükümet” kusurunu da gösterdiğini ifade ederken, Amerikan Ulusal Güvenlik Kurumu NSA’ya yapılan bir siber saldırı sonucunda kurum bilgilerinin “suçluların” eline geçtiğini, bu bilgiler kullanılarak da siber saldırı yapıldığını, belirtiyor

İlginç ve bir o kadar da önemli bir açıklama. Bünyesinde 3.500 güvenlik mühendisi çalıştıran Microsoft, konuyu önemsediğini ifade ederken, esasında kendi sorumluluğunu da ortaya koymuş oluyor, diyebilir miyiz? Sorulması gereken ilk soru bu değil mi?

Yıllardan bu yana Microsoft ürünlerinin lisanslanması, lisansız kullanıma yönelik “baskınlara” kadar kamuoyu gündemindedir. Microsoft bir işletim sistemi ve sizden ciddi lisans bedelleri istiyor, alıyor. Peki, bu lisans bedeli neyin karşılığıdır? Lisans bedeli ödeyerek “güvenli” bir kullanım hakkı elde etmiş olmuyor musunuz? Öyleyse, böylesi bir “açık” yüzünden (açığın NSA ve Microsoft elbirliğiyle tamamlanan bir sürecin sonucu olduğunu kabul edersek) uğradığınız zararı tazmin ettirmek isterseniz, kime başvurmalısınız? Microsoft iyi bir muhatap olabilir mi?

Burada bir veya parantezi açabiliriz. Microsoft işletim sistemi kullanabilmenin ön koşullarından birisi de ayrıca bir virüs yazılımı kullanmak. Yıllık veya daha uzun süreli olarak seçtiğiniz bir anti virüs programını bilgisayarınıza yüklüyorsunuz. Sonra da böyle bir saldırı oluyor. Seçtiğiniz anti virüs yazılımı sizi koruyamıyorsa, sorumluluğu doğmuyor mu? Doğmuyorsa, neden ve nasıl doğmaz? Bilgisayar ürünü gibi değil de elle tutulur bir mal üzerinden benzer bir alışverişi düşünelim. Bir mal alıyorsunuz, diyelim ki daha uzun süreli kullanım iddiası ile ek ürün de alıyorsunuz. Kullanıyorsunuz ama o da ne, hiçbir etkisi olmadığı gibi aksine ömrünü kısaltıyor; geri dönüp zarar ziyan davası açmaz mısınız? Öyleyse, konu bilgisayar olunca işletim sistemi sahipleri ile anti virüs yazılım şirketlerinin “sorumsuz” kılan hukuki anlayış/düzenleme nedir?

Başa dönelim; Microsoft Başkanı açıklamasında ABD devletine yönelik ciddi bir suçlama var. NSA’ya yönelik siber saldırı (ki bunun 2017 yılı başında kamuoyuna duyurulduğu vurgusu da var açıklamada) sonucunda elde edilen bilgilerle böyle bir saldırı yapılmış. (Bununla ilgili okunması gereken bir makale turk-internet.com’da yayımlandı.) Doğru olduğunu düşünelim, öyledir. Buradan da “büyük veri” (big data) ve büyük verinin “belirli” ellerde toplanmasının “kişisel verilerin korunması” kapsamında ne anlama geldiğini bir düşünelim.

Türkiye Cumhuriyeti yurttaşı 50 milyonu aşkın kişinin TC kimlik numaraları, isim, soy isim, adres ve diğer  nüfus bilgileri “büyük veri” midir? Bu soruya evet yanıtını vermek zor olmasa gerek. E-devlet dönüşümü ile hayatımızı kolaylaştıran süreçlerin bir de bütün kişisel bilgilerin merkezi bir yerlerde toplanması meselesi olduğu bu örnekle ortaya çıkıyor; zira 2010 yılında 50 milyon TC vatandaşının yukarıda sayılan kişisel verileri “ele geçirildi” ve pek çok yasa dışı alışverişin konusu oldu.

Peki, bu veriler “nereden” ele geçirildi? Hangi devlet kurumundan ve nasıl? Kamuoyu bu soruların cevabını bilmiyor. Kimse soruşturmadı. Ama en azından şunu gördük, neyin üstünde oturduğunu bilmeyen kişi/kurumlar bu “büyük veri”yi ne kullanabilir etkin olarak ne de koruyabilir.

Bu durum neden önemli? Wannacry saldırısı gerçekten bir uyarı, hepimiz için. Hükümetler, dijitalleşen dünyada yurttaşlarına daha iyi hizmet sunmak için gelişen teknolojileri kullanmak istiyorlar ama güvenlik konusunda asıl/asli sorumluluk sahibi olduklarını unutuyorlar. Güç unsuru olan diğer şeylerde olduğu gibi, 21.yüzyılın gücü olarak görülen “bilgi”yi de merkezi olarak elde tutmak istiyorlar ama karşılığında sanki hiçbir sorumlulukları yokmuş gibi davranıyorlar.

Bunun son örneği, 15 Temmuz darbe girişiminden sonra epey gündeme gelen Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) yeni bir uygulaması. Bünyesinde pek çok çalışanı 15 Temmuz sonrasında kamudan ihraç edilen, tutuklanan BTK, 2016 yılı sonunda aldığı bir kararla, bütün ses ve internet aboneleri bilgilerinin (sözleşme ve ekleri dahil abonelik temelli pek çok veri) kendisine sunulmasını istedi işletmecilerden. Türkiye’de 75 milyon mobil telefon, 11 milyon sabit telefon ve 61 milyon genişbant internet abonesi var; yani BTK toplam 140 milyonu aşkın abonelik bilgisi istiyor.

BTK 140 milyonu aşkın abonenin, son derece hassas kişisel verilerini isterken, bu kadar büyük bir veri toplanabilmesi için yasal dayanak gösteriyor mu? Ne yapılacak bu veriyle? Daha da önemlisi, bu veri nasıl korunacak?

Abonenin kişisel verilerinin korunmasında işletmeciler sorumlu. BTK yasal yetkisi olmadığı halde bu veriyi topluyor; illa bilinçli bir şekilde bu verilerin kullanılması, farklı ülkeler gizli servislerine sunulması (15 Temmuz sonrası BTK bünyesindeki TİB’e yöneltilen suçlamalardan ve muhtemelen kapatılmasına gerekçe gösterilen hususlardan birisi de buydu) gerekmiyor. “Görülmemiş” bir siber saldırı sonucu BTK sunucularına sızılsa ve Türkiye’nin verisi “suçluların” eline geçse? Bu durumda ne olacak?

BTK işletmecilere ve kamuoyuna, daha doğrusu verisi toplanan/işlenen kişilere bir bildirim ve güvenlik taahhüdünde bulunuyor mu? Hukuki sorumluluğu üstleniyor mu?

Bu tür sorular ve cevapları, sektör bileşenleri ile ortak akıl üretilen alanlarda bulunabiliyor ama elektronik haberleşme sektöründe “güvenlik” endişelerinin öne çıktığı üç yılı aşkın bir süredir devlet kimseyi dinlemiyor. Düzenleyici otorite, iş gücü kaybının da etkisiyle küçük detaylara o kadar “odaklanmış” durumda ki büyük resmi görebilecek durumda değil gibi.

Öyleyse, siber saldırılara açık bir halde olduğumuzu bilip hazırlıklı olmak en iyisi sanırım. Bir de bu sorulara sormaya, hukuk teorisi içerisinde uygulanabilir çözümler bulmaya ve hukuki sorumlukları yeniden tanımlamaya ihtiyacımız var. Teknoloji devleri, petrol şirketlerini bile geçerek dünyanın en büyük şirketleri arasına giriyorlar, yani yaptıkları işten büyük gelirler elde ediyorlar ama karşılığında neredeyse sorumsuz bir pozisyondalar. Bu, değişmeli; şirketler, faydayı kabul ettikleri gibi sorumluluğu da devlet ile birlikte üstlenmeli. ..