T.C. Vatandaşlık Numarası Bazlı E-devlet Uygulamalarında Kişisel Veri Mahremiyeti ve Bilgi Güvenliği Sorunu
Bu yazı, Muğla Üniversitesi Bilgisayar Mühendisliği Bölümü’nden Yrd. Doç. Dr. Enis KARAARSLAN ve İTÜ Bilgi İşlem Merkezi’nden Gökhan Akın ile birlikte İzmir Uluslararası Bilişim Hukuku Kurultayı’nda sunulan “Vatandaşlık Numarası Bazlı E-devlet Sistemlerinde Kişisel Veri Mahremiyeti Durum Saptaması” başlıklı bildiriye dayanılarak yeni gelişmeler ışığında yazılmıştır.
Giriş
2000’li yıllarla birlikte, internet kullanımının hızla yaygınlaşarak artması sonucu, kişiler ve kurumlar işlerini artık çok büyük oranda e-ortamlarda gerçekleştirmektedirler. Bunun sonucunda e-posta, e-ticaret, e-devlet, e-imza, gibi kavramlar hızla klasik çalışma biçemlerinin yerine geçmektedir. Bu değişimi günlük yaşantımızda neredeyse her alanda görebilmekteyiz. Vergi ödemeleri yapmak, pasaport başvurusunda bulunmak, seyahat rezervasyonları yapmak, çalıntı cep telefonlarını sorgulamak vs. günümüzde artık sıradan olaylar olarak kalmışlardır.
Bilişim sürecinde yaşanan bu hızlı gelişmelerin sonucunda kişilerin, kurumların ve işletmelerin sahip oldukları veriler internet adı verilen bilgi ağından erişilebilir hale gelmiştir. Bu türden hizmetlerin internette sunulması oranının artması, açık ve özel ağlar arasındaki geçiş durumları, bilgilerin halka açık sistemlerde/sistemlerle paylaşılması gibi uygulamalardaki artış neticesinde artık bilgilere erişimin denetlenmesi son derece güçleşmiş ve güvenlik zayıflıkları da hayatımızın hoşnut olmadığımız vazgeçilmezleri arasına girmiştir. Artık kurumlar, e-sahtekarlık yöntemleri, bilgi hırsızlığı, bilgisayar korsanları, e-saldırılar, bilgi sızdırma ve potansiyel iç saldırılar gibi çok geniş bir yelpazedeki tehlike ve tehditlere göğüs germek zorundadırlar.
Hukuki Ön Bakış
Bu çalışmaya başlarken ifade etmek gerekir ki: Türkiye’de henüz “Kişisel Verileri Koruma Kanunu’nun çıkarılmamış olması gerçeği aşağıda detaylarını aktarmaya çalışacaklarımızı yazmadan önce altını çizmemiz gereken en önemli gerçektir. Bu çalışmanın tümü bu gerçek ışığı altında değerlendirilmelidir.
AB üyeliği hazırlığındaki Türkiye’nin, “veri koruması” bağlamındaki kanunlaştırma aşamaları açısından Avrupa’nın açık olarak gerisinde olduğu hususu Avrupa Birliğinin 2002 ve 2003 yıllarındaki ilerleme raporlarında da bildirilmiştir. Bununla birlikte kişisel verilerin korunması alanında, kanunlaşmış bir düzenleme olmamasına rağmen, Türk hukukunda genel esaslara gidilerek de kişisel veriler koruma altına alınabilinmektedir. Bu anlamda ilk başvurulabileceğimiz kaynak 1982 Anayasası olacaktır. T.C. Anayasa’sının II. kısmının II. bölümünde “Özel Hayatın Gizliliği ve Korunması” başlığı altında yer alan 20. maddesine göre, “herkes özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir”. Buna ek olarak Anayasa’nın 22. maddesi gereği de haberleşme özgürlüğü engellenemeyecek ve gizliliğine dokunulamayacaktır.
Avrupa Konseyi’nin 28 Ocak 1981 tarihinde imzaya açtığı 108 sayılı Otomatik Olarak İşlenen Kişisel Veriler Bakımından Bireylerin Korunması Hakkında Sözleşme 1985 yılında yürürlüğe girmiştir ve 1999 yılında bazı değişiklikler yapılmıştır. Türkiye bu sözleşmeyi imzalanmıştır ve fakat onaylanmamıştır. Bir başka deyişle “onay” kanununu çıkaramamıştır. Çünkü bu Sözleşmenin Türkiye tarafından onaylanabilmesi için Sözleşmeyi imzalayan devletin bu sözleşmede öngörülen ilkelere uygun olan bir kanun çıkarması zorunludur.
Tasarıdan sorumlu Bakanlık olan Adalet Bakanlığı’nın Mevzuat Uyum Takvimi bakımından Tasarının kabulü ile Kanunlaşmasının yayım tarihi 2009 yılı olarak gösterilmiştir. Uyum mevzuatı çerçevesinde Adalet Bakanlığı tarafından kişisel verilerin korunması ile ilgili bir kanun tasarısı hazırlanmıştır. “Kişisel Verilerin Korunması Hakkında Kanun Tasarısı” Bakanlar Kurulunca 7.4.2008 tarihinde kabul edilerek TBMM Başkanlığına 22.04.2008 tarihinde gönderilmiştir. 2008 yılı Ekim ayı itibariyle “Tasarı” TBMM’de Adalet Alt Komisyonunda incelenmektedir.
Bu aşamada ise çok önemli bir gelişme yaşanmış ve 1982 Anayasa’sını değiştirmeye yönelik pakete Kişisel verilerin korunması hakkı da eklenmiş ve Anayasa’da yer alması planlanmıştır. Anayasa teklifinin en önemli ve çok olumlu maddelerinden birisi de kanaatimizce bu olmuştur. Anayasanın 20. Maddesine ek düzenleme getirilmesiyle kişisel veriler anayasal düzenlemeye kavuşmaktadırlar.
Teklife göre, özel yaşamın düzenlendiği Anayasanın 20. Maddesine gelen ek madde şöyle: “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla islenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Bu maddeyle kişisel verilerin korunması hususunun Anayasa’ya bir gün gireceği umulmaktadır. Ancak unutmamalıyız ki; 1 Haziran 2005’de yürürlüğe giren Türk Ceza Kanunu ile kişisel verileri hukuka aykırı olarak kaydetmeyi, başkasına vermeyi suç olarak kabul eden bir ülkeyken, aynı zamanda kişisel verilerin gizliliğinin korunması hakkındaki kanun tasarısını 2008 yılından beri bir türlü kanunlaştırmayan ve 2010 yılında ise, çok olumlu bir düşünceyle kişisel verilerin gizliliğini Anayasa teklifi içinde “anayasal bir hak” olarak düzenlemek isteyen ama bu maddeyi de “referandum”a götürmeyi dahi düşünebilen bir sistemdeyiz!
Anayasa hükümlerinin dışında Türk Medeni Kanunu’nun 23, 24 ve 25. BK. md. 49. Maddelerinde “Kişilik Hakkının Korunması” başlığı altında yer alan hükümler doğrultusunda, kişisel verilerin hukuka aykırı olarak işlenmesi hususunda ilgililerin hakları korunabilmektedir. Türk Medenî Kanunu’ndaki bu düzenlemelerin yanı sıra, 4857 sayılı İş Kanununda da , kişisel verilerin korunması ile ilgili düzenleme mevcuttur. 4857 Sayılı Kanun’un 75. maddesi gereği işveren; çalıştırdığı kişilere ait sahip olduğu verileri koruma açısından kanunda belirtilen aşağıdaki ödevleri yerine getirmek zorundadır:
1.İşçilere ait özlük dosyası tutma,
2.Kişisel verilerin işlenmesinde işlem kıstaslarına uyma,
3.Sır saklama,
4.Talep edildiği takdirde kişisel verileri ilgililere açıklama.
Sözkonusu kanun tasarısı ile veri koruması alanında Türkiye Cumhuriyeti vatandaşlarının Avrupa Birliği vatandaşlarıyla aynı düzeyde haklara kavuşması için uğraşılırken, şahsımızla ve/veya çevremizle ilgili bildiklerini öğrenme olanağından dahi yoksun kalabildiğimiz bugünkü şu ortamda ülkemiz koşullarında varlığımızı da bu bilgi karşısında etkili olarak koruyabilecek olanaklara da henüz sahip değiliz.
Bu bağlamda sonuç olarak ifade etmek gerekir ki: AB ülkelerinden veri aktarımı için AT Veri Koruması Mevzuatı ile de uyum göstermediği 2003 AB İlerleme Raporu’nda açık olan Türk iç hukuku açısından son dönemdeki önemli adımın Veri Koruma Kanun tasarısı olarak gözüktüğü ortadadır. Tasarı bu açıdan önem çok önem taşımakta ve yasalaştığı taktirde, temel hak ve özgürlüklerin korunması hususunda önemli bir adım daha kat edilmiş olacaktır.
E-devlet Bilgi Sistemleri
Kurumlar bilgiye daha kolay ve hızlı erişebilmek için bilgi sistemlerini yaygınlaştırılmakta ve internet üzerinden erişilebilir hale sokmaktadır. Türkiye Cumhuriyeti devlet kurumları, sundukları servislerin daha hızlı ve etkin kullanılması için vatandaşların web üzerinden bilgilerine ulaşmasını sağlamaktadır. E-devlet sistemlerinde, farklı kişiler tarafından yönetilen ama ortak veritabanına erişimi olan çok sayıda bilgi sistemi olduğu gözlenmektedir. Yapılabilecek çeşitli sorgulamalara (http://www.sorgulamalar.org) adresinden ulaşılabilir.
Bilindiği üzere, Merkezi Nüfus İdaresi Sistemi (MERNİS) ile T.C Kimlik numarası hayata geçmişti. Bu erişimlerin çoğunda TC Kimlik Numarası kullanılarak sorgu yapılmakta ve bilgilere erişim sağlanmaktadır. Son zamanlarda E-devlet bilgi sistemleri Nüfus Cüzdanı bilgileri de sormaya başlamıştır. E-devlet kapısı (http://e-turkiye.gov.tr) adresinden de şifre girerek E-devlet bilgi sistemlerine erişmek mümkündür. Şifreler merkez postanelerden edinilebilmektedir. Bu sistem henüz yaygınlaşmamıştır ve şifre dağıtım sürecinin etkin ve bilinir olduğunu söylemek pek de mümkün değildir.
TC Kimlik Numarasının Gizliliği Tartışması
TC Kimlik numarasıyla, bugün internet üzerinde birçok sorgulama yapılabilmektedir. Ulaşımı kolay bilgilerle TC kimlik numarasının birleşmesiyle kişiler hakkında ayrıntılı bilgilere ulaşmak mümkündür. Var olan bilgi sistemlerinin TC Kimlik Numarasına bağlı olması, TC kimlik numarasının gizli olup olmadığı tartışmasını gerekli kılmaktadır.
Eğer TC kimlik numarası kişiye özel bir numara ise, KEY ödemeleri sırasında 8,5 milyon kişinin TC kimlik numarası, adı ve soyadının internette ve resmi gazetede yayınlanmasını nasıl açıklayabiliriz. Kaldı ki, bir sonraki bölümde de inceleyeceğimiz üzere, fotokopisi sürekli alınan bir nüfus cüzdanı ve üzerinde TC kimlik numarası yazan kartvizitlerle nasıl özel bir bilgiden ve mahremiyetten söz etmek mümkün olabilir?
Aslında ilginç olan odur ki: sadece yanyana gelmiş rakamlardan ibaret olması gereken ve tek başına hiç bir mahremiyet unsuru içermesi ihtimali olmaması gereken TC kimlik numarası şu an ülkemizde kullanılan bilgi işlem sistemlerinin ve süreçlerinin durumundan kaynaklı olarak hukuk insanlarının kafasında artık haklı olarak mahrem bir bilgi olarak görülmekte ve buna göre hareket edildiği ifade olunmaktadır.
Aslolan bu türden TC kimlik numarasının tek başına asla hiçbir mahrem bilgiye bizi ulaştıramaması iken Türkiye’de bugün yaşadığımız gerçeklikte tam tersinin gözlenmesi insanımızı doğal olarak TC kimlik numarasını diğer kişilerden gizli tutmaya sevketmiştir.
E-Devlet Uygulamalarındaki Zafiyetlere Genel Bakış
T.C. Kimlik bilgileri internet üzerinden uzun zamandır erişilebilir durumdaydılar. İyi bir niyetle çeşitli kuruluşların, bu bilgileri müşterilerinin beyan ettiği bilgilerini kontrollerinde kullanabilmeleri için denetimsiz bir şekilde sorgulama yapmalarına izin de verildi. Bir süre sonra bu durduruldu ve detaylı sorgu yapabilmek için önce Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü ile KPS (Kimlik Paylaşım Sistemi) adı verilen özel sözleşme yapılması sonrasında bir ücret karşılığında kriptolu olarak bu hizmet verilmesi sağlandı.
E-devlet uygulamalarında bilgiye erişilirken çoğunlukla TC Kimlik numarasını kullanılmaktadır. TC kimlik numaralarının tek tek denenmesiyle E-devlet bilgi sistemindeki bütün kayıtların ad, soyad ve adres bilgilerinin çekildiği anlaşılmaktadır. Bunun sonucunda belirli bir kişiye ait TC kimlik numarası ve adres sorgulama konusunda bir sektör oluştuğu gözlenmiştir. Bunun yanı sıra bütün veritabanını DVD’de almak da mümkündür. Araştırmada bu tür bir DVD elde edilmiş ve incelenmiştir. Bu DVD ile birlikte gelen yazılım ve veritabanı bir makineye kurulmuştur. Yazarların kendilerine ait adres bilgileri sorgulanmış ve doğru olduğu teyit edilmiştir.
TC kimlik numarasını bir tür giriş kodu olarak alıp bilgi sistemine girilmesi, E-devlet bilgi sistemindeki en büyük zafiyetti. Yaptığımız araştırmalar sonucunda, bu tür bir sorgulama ile veritabanını oluşturmanın çok uzun zaman (bağlantı hızına ve bilgisayar gücüne bağlı olmak üzere aylar) alacağı tespit edilmiştir. Muhtemelen sabit bir IP adresinden, yapılacak milyonlarca sorgunun sistemde fark edilmemesi de ciddi bir güvenlik zafiyetini göstermektedir. Bu da sistem kayıtlarının yeterince incelenmediği durumunu ortaya çıkarmaktadır.
Sorgulama ekranlarında sadece TC kimlik numarasının alınmasının getirdiği zafiyet anlaşıldığından olsa gerek, sistemlerde değişiklikler yapılmış ve nüfus cüzdanı seri numarası gibi ek bilgilerin de girilmesi istenmeye başlanmıştır. Bu tür bir ek önlem tabii ki bir başka kişi tarafından yapılacak sorgulama süreçlerini zorlaştıracaktır ama güvenli olduğunu söylemek yine de mümkün değildir. Bu sistem ise nüfus cüzdanına bağımlı olmasından dolayı, ayrı bir zafiyete sahiptir. Türkiye’de aşağıda bir kısmını vereceğimiz birçok yerde nüfus cüzdanı fotokopisi istenmektedir: Banka hesap açım işlemlerinde, kurumlarda güvenlik noktalarında, çalışılan kurumun personel işlerinde, derneklere kayıt işlemlerinde.
Nüfus cüzdanları ya belirli bir süreliğine alıkonmakta veya fotokopisi alınmaktadır. Bunun yanı sıra, fotokopicilerdeki cihazların bir ek belleği olduğu ve istenildiğinde (ayrılmamızdan sonra) nüfus cüzdanımızın da ayrı bir kopyasının çıkarılabileceği unutulmamalıdır.
Kamuya açık ve internet üzerinde erişilebilen vatandaşlık bilgileri sadece bununla kalmamaktadır. T.C. Sosyal Güvenlik Kurumu (SGK) sitesinden istenen bir kişinin sadece T.C. Kimlik bilgisi belirtilerek bütün çalıştığı işyerleri ve bu işyerlerinde aldıkları maaş bilgilerini verilmektedir. Kısa bir süre sorguya nüfus kâğıdı numarası da eklenmiştir ancak daha sonra kaldırılmıştır. Sitede CAPTCHA diye isimlendirilen ve yapılan sorgunun bir insan tarafından mı yoksa bir bilgisayar tarafından topluca sorgu mu olduğunu anlamak üzerine geliştirilmiş bir koruma da vardır. Ancak SGK tarafından kullanılan CAPTCHA koruması çok basit olup çok daha karmaşıkları çoktan kırılmıştır. Bu sebepten var olan siteden bütün Sigortalı hizmet dökümleri kolayca indirilebilir durumdadır ve muhtemelen de bazı kurumlar tarafından da çoktan bütün maaş bilgileri indirilmiştir. Ayrıca yine SGK sisteminden vatandaşların ilaç ve gözlük kullanımı ile ilgili bilgilerin de tüm eczaneler tarafında kolaylıkla erişilebildiği gözlemlenebilmektedir.
Bilgilerin Üçüncü Kişilerin Eline Geçmesi
Çeşitli bilgi sistemlerinden bilgilerin toplanması ile kişiler hakkında önemli veriler elde edilebilir. Online telefon rehberinden başlayarak çeşitli bilgi sistemlerinden kişiye ait bilgiler toplanabilir. Bunun yanı sıra sosyal mühendislik teknikleri kullanılarak kişiler hakkında ayrıntılı bilgi toplanabilir.
Adres bilgilerinin ele geçirildiği ve pazarlandığı bilgisi çeşitli internet gazetelerinde duyurulmuştu. Bu bilgilerinin Yüksek Seçim Kurulu (YSK) bilgi sisteminden alındığı iddia edilmiş ve YSK’nın bu olaydan haberdar olduğu da anlaşılmıştı. Bu konu çeşitli kişiler tarafından netsec listesinde de tartışılmıştı. Tartışılanlar ışığında durumu toparlamak istersek, YSK dışındaki çeşitli e-devlet bilgi sistemlerinden de bu bilgilerin elde edilmesi mümkün gözükmektedir. Vatandaşların kişisel bilgilerine çeşitli E-devlet uygulamaları kullanılarak ulaşmak mümkündür. Bunlara örnek olarak aşağıdaki sistemler verilebilir:
Sosyal Güvenlik Kurumu’nun sigortalılık hizmet dökümü menüsünden de aşağıdaki bilgilere erişilebilmektedir
TC kimlik no veya sigorta numarasının bilinmesi durumunda, kişinin sigorta dökümü, anne, baba adı, doğum yeri ve tarihi öğrenilebilmekte, Ad, soyad, baba adı, doğum tarihi ve kızlık soyadının bilinmesi durumunda, yukarıdaki bilgilerin tümüne erişilebilmektedir. Belediyelerin e-belediye sistemlerinden de birçok bilgiye ulaşılabilmekte, Key ödemeleri sayfalarından da birçok bilgiye ulaşılabilmekte, Çıraklık ve Yaygın Eğitim kurum çalışanları, herhangi bir TC Kimlik Numarasını girerek; ad, soyad, anne adı, baba adı, doğum tarihi ve doğum yeri bilgilerini öğrenebilmektedir.
Yakın bir zamana kadar, http://tckimlik.nvi.gov.tr adresinden TC kimlik numarası girilerek sorgulama yapılabilmekteydi. Şu an sorgulama yapılabilmesi için bütün kimlik bilgileri istenmektedir Yakın bir zamana kadar, YSK sitesinden, mahalle adına kadar bütün adres bilgilerine ulaşılabiliyordu. Şu an seçmen kütüğü sorgulamasında, sorgu sonuçları ilçe bilgisine kadar daraltılmıştır.
Kişisel Verilerin Korunması Kanunu Tasarısı 2008 yılından beri yapılan yoğun çalışmalara rağmen yasalaşmamıştır. Kişisel Verilerin Korunması Kanunu’nun devreye girmesi durumunda, ceza/yaptırım ve düzenlemeler mümkün olacaktır. Ne yazık ki uygulamalar yine düzenlemelerin önünde gitmekte, sorunlar yaşandıktan sonra düzenlemeler peşi sıra gelmektedir.
Bilmesi gereken prensibi, istihbarata karşı koymanın temel prensiplerinden biri olup, tahmin edileceği üzere bir şeyin sadece ilgili kişi tarafından bilinmesidir. Devlet kurumlarında çalışanların, sadece gerektiğinde ve sadece bilmeleri gereken verilere ulaşması sağlanmalıdır. Yani kurum çalışanları, sadece bilmeleri gereken verilere ulaşabilmelidir.
Olası Komplo Teorileri
Ele geçirilebilecek verilerle neler yapılabileceği konusunda tarafımızdan çeşitli senaryolar üretilmiştir. Bunların bir kısmı, suçlulara fikir verebileceği düşünülerek bildiriden çıkarılmıştır.
Bildiride de belirtildiği üzere e-devlet sistemlerinin birçoğunda sorgularda sadece vatandaşlık numarasını baz alınmıştır. Başka bir koruma olmadan bu numara ile o kişi hakkındaki bilgileri vermektedir. Bahsi geçen DVD ve SGK sitesindeki açık ile neler yapılabileceği incelenir ise, en masumane şekilde insanlar aradıkları kişilerin adres bilgilerini öğrenmek amacı ile bu DVD’ye sahip kişilere başvurmakta ve istedikleri bilgiyi elde edebilmektedirler. Tabi bu sistemin Facebook gibi sosyal paylaşım sitelerinden insanların ilkokul arkadaşlarını aramaktan daha fazlasını yapabilecekleri göz ardı edilmemelidir. Bu DVD sayesinde artık istenilen kişin TC kimlik numarası bir sorgu ile öğrenilebilmektedir. SGK sisteminden de bu kişinin elde ettiği maaş tespit edilebilir ve yüksek gelirli kişilere ticari amaçlar ile ulaşılabilir. Hatta kişilerin kullandıkları ilaçlardan sahip oldukları hastalık belirlenip durduk yerde bankalardan kredi teklif eden kısa mesaj bile yollanması mümkün hale gelmiştir. Yine kişilerin üniversite sınavını kazanamadığı belirlenip dershane reklamı, öğrencilerin üniversitedeki ders durumları gözlenip İngilizce kurs teklifi gibi ticari faaliyetler için kullanılması da an meselesidir. Belki bu şekilde kullanım çok endişe verici gözükmemektedir. Ancak bu bilgiler kötü insanların elinde inanılmaz güçlü bir silah halini alabilir.
Yakın gelecekte adli sicil sisteminin de internet aracılığı ile sorgulanabileceği ve kurumların işe almadan önce artık temiz kağıdı istemeden bu sorguyu yapabilecekleri bilinmektedir. Ancak bu sorguyu herkes için mi yapabilecekleri, nasıl bir kimlik denetim sistemi olacağı, kötü niyetli kullanımın nasıl engelleneceği belli değildir.
Sonuç olarak, bütün TC Vatandaşlık ve ikamet bilgileri ne yazık ki artık herkes tarafından ulaşılabilir bir DVD olarak piyasada bulunmaktadır. Muhtemelen bu kadar korumasız bir şekilde sorguya açık SGK maaş bilgileri de çoktan birileri tarafından indirilmiştir. Sorun şudur ki, çalınmış bu bilgilere karşı gözüken net bir çözüm yoktur. Bu şekilde bilgi sızdırılması şu anda durdurulursa ancak yeni doğmuş bireylerin bilgileri güvenlik altına alınmış olacaktır. Maaş bilgileri ve adres bilgileri değişebilir olabilse de bu bilgilerin de en az 5 yıl büyük bir çoğunluk için değişmeyeceği aşikârdır. Çalınmış olan veri tabanları için iş işten geçmiş gözükmektedir. Her vatandaşa yeniden TC kimlik numarası atanması gibi bir çözüm bile tam bir çözüm olmayacaktır.
Bunun yanı sıra, bu veritabanlarının başka ülkelerin ve gizli teşkilatların eline geçmiş olması da söz konusudur. Bu konuda yaşanabilecek tehdit ve sorunlar ise çok değişik olabilecektir.
Çipli Bilgi Sistemleri ve Şifreleme
Kullanılabilecek daha güvenli sistemler hakkında bu bildiride ayrıntılı bir teknik bilgi verilmeyecektir. Çipli pasaportlar önümüzdeki günlerde kullanıma açılacaktır. Yeni kimlik kartının pilot uygulaması Bolu ilinde gerçekleştirilmektedir. Bilgi Toplumu Stratejisi Eylem Planı’nın 46 numaralı eyleminde vatandaşların yaşamını kolaylaştıracak, kurum ve kuruluşlarda daha hızlı hizmet alınmasını sağlayacak, kolay taşınabilir, taklit edilemez, uluslararası standartlara uygun Türkiye Cumhuriyeti Kimlik Kartı’nın uygulamaya konulması İç İşleri Bakanlığı’na görev olarak verilmiştir.
Binlerce vatandaşa çipli kimliklerden dağıtılmıştır ve projenin 3. aşaması 2010 Mayıs ayında sonlanacaktır. Bu kimlikler aracılığı ile vatandaşların takibinin kolaylaşacağı ve mahremiyet sorunlarının yaşanacağına dair bazı kuşkular bulunmaktadır. Bu konuda protestolar bulunmaktadır. Çipli pasaportlarla gelen, çiplerin güvenliği tartışmasına da internetten ulaşabilirsiniz. Bu tür bir sistemin güvenli olması sağlanmalı ve ayrıca kart üzerinde önemli bilgiler tutulmamalıdır.
Günümüzde kredi kartları olsun, cep telefonları olsun ciddi bir şekilde takip edilebildiğimiz bir gerçektir. Devletlerin vatandaşları hakkında bilgi topladığı bilinmektedir. En önemlisi, toplanan bilginin hangi şartlarda ve kimler tarafından incelenebileceğidir. Şu anki en büyük sorun, var olan bilgi sistemleri ile devlet dışındaki birçok kişinin elde etmemesi gereken bilgilere erişebiliyor olmasıdır.
Yurt dışındaki uygulamalar incelendiğinde, internet üzerinden yapılacak bütün işlemlerde kimlik kartı ve kart okuyucular gerekmektedir. Vatandaşlık numarasının bilinmesi bir güvenlik sorunu oluşturmamakta, kimlik ve şifrenin bilinmesi gerekmektedir.
SONUÇ ve ÖNERİLER
“Kişisel Verileri Koruma Kanunu”nun ne kadar önemli olduğu ve bir an önce çıkması gerektiği ortadadır. E-devlet bilgi sistemleri planlanırken kişisel veri mahremiyetine yeterince önem verilmemiş ve kişisel veriler e-devlet sistemlerinden çekilmiş ve halen de çekilebilmektedir. E-devlet sistemlerinde kişiye özgü şifrelemenin bir an önce getirilmesi şarttır. Gelecek çalışmada bu konu ayrıntılı olarak ele alınacaktır.
E-devlet bilgi sistemlerinin vatandaşlık numarası ve/veya nüfus cüzdanı bilgileri dışında bir onaylama/şifre kullanması gerekmektedir. Bu konuda yaşanan sorunlara örnek verilmiş, olası çözüm önerileri sunulmuştur. Başlıca öneriler aşağıdaki gibidir:
• E-devlet bilgi sistemleri tasarlanırken kişisel verilerin mahremiyeti ön planda tutulmalıdır.
• E-devlet bilişim sistemlerinin, vatandaşlık numarası gibi erişilebilir ve nüfus cüzdanı gibi kopya edinilebilir bir varlığa bağlı olması engellenmelidir.
• E-devlet bilişim sistemlerinden bilgi edinmek için şifre kullanımı zorunlu hale getirilmelidir.
• E-devlet kapısı (http://e-turkiye.gov.tr) web sitesinin kullanımının yaygınlaştırılması sağlanmalıdır. Postanelerden şifre dağıtımı çok da etkin bir sistem değildir.
• Çipli kart, dijital imza gibi uygulamalara geçilmelidir.
• Bilmesi gereken prensibine uyulmalı, çeşitli devlet kurumlarından veya bilgi sistemlerinden kişinin mahremiyetine zarar verecek şekilde bilgiye erişim engellenmelidir.
• SGK var olan sorgu sistemini acil kapatmalıdır. Kesinlikle bu türden bilgiler şifre kontrolsüz geri açılmamalıdır.
• Henüz açılmamış olan adli sicil sorgusu, güçlü bir denetim sistemi olmadan kesinlikle dışarı açılmamalıdır.
KAYNAKÇA
AB, 2002 yılı İlerleme Raporu, Brüksel 2002, s.106; AB, 2003 İlerleme Raporu, Brüksel 2003, s. 67
2008, Kişisel Verilerin Korunması Kanunu Tasarısı ve Genel Gerekçesi,
http://www2.tbmm.gov.tr/d23/1/1-0576.pdf
8,5 Milyon kişinin kimlik bilgileri internete düştü,
http://www.porttakal.com/haber-8-5-milyon-kisinin-bilgileri-internete-dustu-58654.html
2009, Netsec Tartışma Listesi – “Aman Dikkat” Başlıklı E-postalar,
http://thread.gmane.org/gmane.comp.security.netsec/4685/focus=4702
Aldatma Sanatı, Kevin D. Mitnick, ODTÜ Yayıncılık, ISBN: 975-7064-91-2
Bilgi Toplumu Stratejisi Eylem Planı,
http://www.nvi.gov.tr/Files/File/Kimlik_Karti/Bilgi%20Toplumu%20Stratejisi-Eylem%20Plan.pdf
Türkiye Cumhuriyeti Kimlik Kartı Bolu İli Pilot Uygulaması,
http://www.nvi.gov.tr/Haberler,Bolu_Pilot.html
Çipli Kimliklere Hayır,
http://www.facebook.com/group.php?gid=41195837732
Güvenli çipler ve Suikastçiler,
http://www.iyibilgi.com/haber.php?haber_id=160783