Cumhurbaşkanı kişisel verilerin korunması konusunda rapor hazırlattı

Rapor gösteriyor ki bırakın kişisel verilerin korunmasını, bırakın 27001 i tahta kapılı data center var, operatörler verilerini koruyamıyor.

http://www.hurriyet.com.tr/gundem/25355616.asp

Devletin favori şifresi 1111-1234-0000

Cumhurbaşkanı Abdullah Gül’ün talimatıyla Devlet Denetleme Kurulu, kişisel verilerin korunmasına ilişkin hazırladığı raporda kamu kuruluşlarında bulunan verilerin güvenliğinin, tehlikede olduğunu, bu bilgilerin, “1111” gibi şifrelerle ya da asma kilit takılmış odalarda muhafaza edildiğini belirleyerek, acil önlem uyarısında bulunuldu. DDK, devletin temelini oluşturan altı kamu kuruluşu, “Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, Tapu ve Kadastro Genel Müdürlüğü, Gelir İdaresi Başkanlığı, SGK, Sağlık ve Adalet Bakanlığı’nda” inceleme yaptı.

Raporda, çarpıcı tespitler var:

KEY’DE YANLIŞ YAPILDI

“Önceki yıllarda, KEY ödemeleri ve benzeri nedenlerle kişilerin adı, soyadı, T.C. kimlik numaraları, sosyal güvenlik numaraları ve benzeri bilgilerin yayımlanması da bilgi güvenliği ve kişisel veri farkındalığı konusundaki eksikliğe örnek teşkil etmektedir. Denetimlerde tespit edilen pek çok güvenlik açığı ve eksiklikle teyit edilmiştir. Sorgu kaydı tutma mekanizmalarının güvenilirliği konusunda ciddi şüphe uyandırmıştır.

14 MİLYON BİLGİ

1111, 0000, 1234 gibi kolay tahmin edilebilir şifrelerin kullanılması, kurumlar arasında CD ortamında 13.8 milyon kişinin kimlik ve adres bilgisinin herhangi bir güvenlik önlemi alınmadan paylaşıldığı tespit edilmiştir. Pek çok kişisel veriyi CD, DVD, taşınabilir bellek gibi taşınabilir elektronik ortamlar kullanarak çevrimdışı paylaştıkları görülmüştür.

KORUMA YETERSİZ

Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünde en temel kişisel veri niteliğinde olan kimlik ve adres bilgileri tutulmakta olup, özellikle TC kimlik numarası diğer veri tabanları ve bilgi sistemleri açısından da anahtar vazifesini görmektedir. Bu nedenle Genel Müdürlük bünyesinde tutulan kişisel verilerin güvenliğinin sağlanması büyük önem taşımaktadır. Ancak, Güvenlik sertifikasının kapsamının kurumun küçük bir birimini kapsadığı; buna rağmen kurum üst yönetiminde tüm kurumu kapsayan güvenlik sertifikasına sahip oldukları yönünde bir algının hakim olduğu, bu durumun kamuoyuna da aynı şekilde yansıtıldığı görülmüştür. Bu durum güvenlik riski oluşturmaktadır.

GSM OPERATÖRÜ

Çeşitli dolandırıcılık faaliyetlerinin icra edilebildiği bilinmesine rağmen pek çok işlemde kimlik fotokopisi alma devam etmektedir. Haziran 2013 itibariyle mobil abone sayısının 68 milyon 25 bin 878 olduğu düşünüldüğünde, nüfusun önemli bir kısmının kimlik fotokopilerinin, GSM operatörlerinde.

PARTİLERİN ELİNDE

Seçmen niteliğine sahip olan 18 yaş ve üzerindeki kişilerin nüfus ve adres bilgilerini YSK ile paylaşmakta, talep etmeleri halinde de YSK söz konusu verileri siyasi partilerle toplu olarak elektronik ortamda paylaşmaktadır. Dolayısıyla seçmen niteliğine sahip 50 milyonun üzerindeki vatandaşın bilgisi onlarca partiyle paylaşılmaktadır. Verilerin çoğaltılmasını ve paylaşılmasını engelleyecek hiçbir mekanizma öngörülmemiştir.

BİLGİLER ASMA KİLİTLE KORUNUYOR

Çeşitli kuruluşların yaptıkları güvenlik denetimlerinde fiziksel olarak güvenliği sağlanmamış sistemlere saldırı denemeleri yapıldığında, bu sistemlerin beş dakika gibi kısa bir sürede ele geçirilebildiği ve içindeki verilere ulaşılabildiği görülmüştür. Bazı kurumların sistem odalarının fiziksel güvenliğinin zayıf olduğu, giriş kapılarının ahşap gibi zayıf bir malzemeden yapıldığı ve kısa surede kırılabilecek asma kilit ile korunduğu, kişisel veri paylaşımlarında mümkün olduğunca verinin elden yetkili kişilere imza karşılığı teslimi yöntemi tercih edilmelidir. E-posta, posta, kargo ve benzeri vasıtaların kullanımından mümkün olduğunca kaçınılmalıdır.”

TASLAK METNE ELEŞTİRİLER

Raporda kişisel bilgilerin korunması ile ilgili hazırlanan, ancak henüz yasalaşmayan düzenleme de eleştirilerek, “STK’laraKişisel Verileri Koruma Kurumuna şikâyet hakkı verilmeli” denildi.

20131214-061522.jpg

Bu yazı yorumlara kapalı.