Bugün yaklaşık üç aydır yazmakta olduğum dizi yazılara ara vermemi gerektirecek kadar önemli olduğunu düşündüğüm bir konuyu ele almaya karar verdim. Ele alacağımız konu da aslında bir yönüyle dizi ile ilgili ama akışı bozmam gerekti diyelim; önümüzdeki hafta gözetim kapitalizmi ve davranışsal artık konusuna geri döneceğim.
On yıl kadar önce Sağlık Bakanlığı, Dilovası ve Karadeniz kıyılarında sahada gözlemlenen kanser vakalarındaki artış nedeniyle hastane verilerini tıp alanında çalışan bilim insanlarına ve dolayısıyla araştırmalara kapamıştı. Bu kapama kararından kısa bir süre sonra ise sağlık verilerimizin “dark web” olarak bilinen yasadışı faaliyetlerin yürütüldüğü internet alanında satıldığını duymuştuk.
2016 yılında ise kimlik bilgilerimizin çalındığı uzunca bir süre konuşulmuştu. Çalıntının boyutu ve kapsamı hakkında net bilgiler edinemedik ama bir süre dolandırıcılık için uygun ortam oluştuğunu düşünenler tedirginlik yaşadı ve sonrasında unutuldu. Bu kimlik bilgileri kimin eline geçti? Nasıl kullanıldı? Halen bilmiyoruz.
Bugün yaşanan skandalın kapsamı ve boyutu ile ilgili olarak ulaşabildiğimiz bilgilere bakınca dünyanın herhangi bir yerinde bu çapta bir sızıntının şimdiye kadar yaşanmadığını söyleyebilirim. Olay kamuoyunun gündemine genç gazeteci İbrahim Haskoloğlu’nun tutuklanması ile geldi. Haskoloğlu, üç ay kadar önce bir grup hacker’dan aldığı mailden bu kişilerin devletin çeşitli veri tabanlarına ulaşabildiklerini öğreniyor. Aynı mailde kendisine birkaç kanıt sunabileceklerini de ifade ediyorlar ve çeşitli önemli insanların kimlik bilgilerini veriyorlar.
Haskoloğlu, durumu iletişim başkanlığına, MİT’e, AKP ve CHP Meclis gruplarına bildiriyor ve tedbir alınmasını istiyor. Bunun üzerine İletişim Başkanlığı’ndan aranıyor ama bir gelişme olmuyor. Daha önemlisi, arada hacker’lar tekrar iletişim kurup kendisine “illegalplatform.co” adlı web sayfası için kullanıcı adı ve şifre vererek sundukları hizmeti yakından incelemesini istiyorlar. Bunun üzerine Haskoloğlu ilgili siteye eriştiğinde ücretsiz ve ücretli ulaşılabilen veri tabanları olduğunu görüyor. Buraya kadar İsmail Saymaz’ın Halk TV’de Can Coşkun’a anlattıklarından özetlemeye çalıştım; tüm yazılar ve videolar içerisinde en net açıklamaları burada bulduğumu söyleyebilirim, detayları merak ediyorsanız bu linkten ulaşabilirsiniz.
Sonuçta devletten üç ay boyunca ses çıkmayınca Haskoloğlu, kritik bilgileri gizleyerek bu siteden elde ettiği kimlik kartlarından iki tanesini yayınlıyor. Son derece hassas veri tabanlarının ortalıkta dolaşmasından ve çeşitli “hizmetlerin” satılmasından, bir nevi devlet hizmetlerinin fiilen özelleştirilmesinden rahatsız olmayan iktidar, Cumhurbaşkanı ve MİT Başkanına ait iki kimliğin kısmen yayınlanmasından son derece rahatsız olarak Haskoğlu’na önce bir sabaha karşı gözaltı ve sonrasında tutuklama uyguluyor. Site halen ortalıkta, hackerlar dışarıda, bu kadar büyük ve son derece riskli güvenlik açığı yaratan kadro iş başında ama durumun ciddiyeti nedeniyle uyarı görevini yapan gazeteci tutuklu!
İktidarın iş yapma tarzı bu zaten, yürümeyen işler, sorunlar, tehlikelerle mücadele etmektense onları dile getirenleri sustur.
Bu basit bir veri tabanı indirilmesi değil. İsmail Saymaz’ın, Haskoloğlu’ndan aktardığına göre, yaşayan bir veri tabanı darknet’te falan değil, herkesin ulaşabileceği bir web sayfasında kullanıma sunulmuş. Web sayfasının uzantısından server’ın İngiltere adresli olduğu anlaşılıyor ancak gerçekten canlı bir link olup olmadığı anlaşılamıyor. Bunu kontrol etmek için üye olmak gerek. Fakat alttaki iletişim adresinin çalıştığını biliyoruz. Halk TV muhabiri Hazar Dost bu adrese attığı mail yoluyla hackerlarla görüşmeyi başarmış ve yaşadıklarını Halk TV Sosyal Stüdyo’da anlatmış. Hazar Dost, tarife konusunda bilgi de edinmiş. Tapu sorgulama ve askerlik için çürük raporu bin 500 TL, ilgili hakkında arama kararı olup olmadığı 100 USD, vb. Ayrıca Hazar Dost da veri tabanının canlı olduğunu teyit ediyor: “yeni doğan bebeğin bilgisine ulaşılabiliyor”.
Canlı veri tabanı anlık olarak güncellenen verilere ulaşılabildiği anlamına gelir. Ayrıca Hazar Dost’un tarifesi sadece Mernis bilgileri değil, SGK, adliye dahil çok sayıda veri tabanına ulaşılabildiğini gösteriyor. Elbette devlet bir yalanlama yayınladı, e-Devlet Kapısı’nın çeşitli sosyal medya hesaplarından yayınladığı açıklamada, “Yapılan detaylı kontrollerde e-Devlet Kapısı altyapısında herhangi bir veri sızıntısına rastlanmamıştır” deniyor. Devlet “rahat ol, bir şey yok” diye yazdığında rahatlamıştım ama İsmail Saymaz’ı dinleyene kadar. Saymaz, geçenlerde bir cep telefonundan kimlik bilgileri, SGK bilgileri ve maaş bilgisini içeren mesaj aldığını ifade ediyor. Yani hackerların kamu servisi çalışıyor.
Bazı iddialara göre sıfırdan kimlik oluşturma gibi bir hizmetleri de varmış. Bu ise veri tabanına pasif ve anlık yani tek seferlik bir erişim değil aktif bir tünel açılmış olduğu anlamına gelir. Bu iddialar ortadayken, devletten kamuoyuna bu durumun hiç olmadığı veya kalıcı olarak ortadan kaldırıldığına dair ikna edici bir açıklama gelmedikçe kabus görmeye devam ederiz. Yapılabilecek kötülüklerin ve istismarın sınırı yok. Uykusuz’un 2016 yılındaki sızıntıyla ilgili olarak yaptığı kapak karikatürü en masum tehlikelerden birine işaret ediyor. Bu defa misliyle fazla bir tehdit ile karşı karşıyayız.
Medyascope'un haftalık e-bülteni
Andaç'a abone olun
Editörlerimizin derlediği öngörüler, analizler, Türkiye’yi ve dünyayı şekillendiren haberler, Medyascope’un e-bülteni Andaç‘la her çarşamba mail kutunuzda.
Sızıntının kapsamını tam olarak bilemiyoruz. Arama kararı olup olmaması adli veri tabanının ele geçirilmesi ile elde edilebiliyorsa olabilecekleri kestirmek zor. Eğer gerçekten aktif bir erişim kurulduysa gündüzleri kâbus görmeye başlarız. Eğer polis veri tabanından sızıyorsa yani polis veri tabanı da hacklendiyse diyecek bir şey bulamıyorum… Gerçi Hazar Dost’un programında hatırlattıkları bu konuda bir ölçüde rahatlama yaratıyor. Fetullahcı darbe girişiminden sonra polis veri tabanı dahil güvenlikle ilgili veri tabanları online erişime kapatılmış. Dolayısıyla oradan sızıntı olması iyice güçleşmiş olmalı.
Beni asıl düşündüren bu sızıntının nasıl gerçekleştirilmiş olduğu. Büyük ihtimalle vatandaş devlet ilişkilerini kolaylaştırmak ve hizmet etkinliğini artırmak için geliştirilen bir arayüz olan “e-Devlet Kapısı” hacklenmiş olmalı. Bu iyi ihtimal. Biraz daha kötü ihtimal hacklemenin derecesi ile ilgili. Üç gazetecinin anlatımlarından kesin olarak emin olduğumuz canlı ve sürekli erişimin varlığı. Soru işareti çift taraflı olup olması ile ilgili. Yeni kimlik yaratma kabiliyeti buna işaret ediyor ama neyse ki henüz bu net değil. Eğer açılan tünel yeni kayıt yaratma, değişiklik yapma yani veri tabanlarına müdahale olanağı da tanıyorsa büyük bir kaosun içerisine yuvarlandık demektir. Veri tabanı yetkili olmayan kişiler tarafından değiştirilebiliyorsa hiçbir evrakın güvenilirliği kalmaz. Eski usul arşivlerden evrak takibine dayalı ıslak imzalı işlemlere dönmek zorunda kalırız. Tabii halen gerçekten bir arşiv varsa, delik deşik edilmediyse. İşlemlerimiz biraz uzun sürmeye başlar ama olsun, iyi tarafından bakarsak kamu istihdamının 2-3 katına çıkması gerekeceği için işsizliğe beklenmedik bir geçici çare bile ortaya çıkabilir.
Bu tür bir korsanlığın yapılmasının benim sınırlı bilgimle anlayabildiğim kadarıyla iki yolu olabilir. Birincisi, eğer bütün veri tabanlarına erişim yetkisi olan bir “süper user” gibi hesap varsa ve bu hesap bilgileri ele geçirildiyse içeriye tünel açan bir yazılım yerleştirilmiş olabilir. Bu tür bir “büyük kulak” gereksiz ancak her şeyi kontrol etmeye ve elde ettiği bilgilerle şantaj yapmaya meraklı bir iktidarımız olduğu için hiç de uzak bir ihtimal değil. Aksi halde tek tek bütün veri tabanlarının ele geçirilmesi (belki de yazma yetkisi dahil) ve web sayfası üzerinden hizmet veren bir site ile entegre çalışan arayüz kullanılarak birleştirilmesi gerekir. Haskoloğlu’nun tanıklığından tıpkı e-devlette gördüğümüz gibi bütün veri tabanlarına tek arayüzden erişilebildiğini öğreniyoruz.
İkinci yol ise bana daha ürkütücü geliyor. Yazılımlar üretilirken bir arka kapı yaratacak “truva atı” niteliğinde yazılımların yerleştirilmiş olması. Bu yazılımların asgari güvenlik protokollerine uygun olarak üretilip üretilmediğini bilmiyoruz. Hatta yazılımların kısmen veya tamamen hizmet alımı şeklinde üretilip üretilmediğini de bilmiyoruz. Ama daha önemlisi, kamuda bu kontrolleri uygulayacak, protokolleri bilen yeterli sayıda çok iyi yetişmiş çalışan olduğundan hiç emin değilim. Bu çapta bilgi birikimine sahip insanları cari ücret skalasından devlette tutmak hiçbir zaman mümkün olmamıştı. Daha kötüsü tarımsal üretim açığı ve ithalat sorulduğunda “paramız var ki ithal ediyoruz” cevabını verebilecek tıynette bakan adında sekreterlerin görev yaptığı bir iktidar döneminde bunun önemini idrak etmiş yönetici olduğunu da düşünmüyorum. O yüzden biz bu yazılımları şirketlere yazdırmıştık yanıtı verilirse hiç şaşırmam. O zaman bu veri tabanlarının hacklenmemesi şaşırtıcı olurdu. Hatta satışları artırmak için olsa gerek, hackerlar kendiliklerinden gazetecilerle temas kurmasalar, yaptıkları işin içeriğini anlatmak ve kabiliyetlerini ispatlamak için çaba harcamasalar zaten bu işlerin farkına varacak, bizi uyaracak ve güvenliği sağlayacak bir devlet kurumu da çıkmazdı. Yani tam güvensizlik ortamında hiçbir şeyin farkında olmadan mutlu mesut yaşamaya devam ederdik.
Eğer truva atları en hassas veri tabanlarında cirit atıyorsa, sağlık, nüfus, adli, ekonomik bilgilerimiz ortalıkta parasını verene açık bir şekilde duruyorsa bu işin sınır nerede bitiyor acaba? Ne bileyim mesela nükleer santral yazılımları için ne tür protokoller uygulanıyor? Trafik ışıklarından trenlere kadar hangi yazılım neyi ne kadar kontrol ediyor ve bu yazılımlar için güvenlik protokolleri nelerdir? Bu protokollerin yürütülmesinden kimler sorumludur, becerileri bu işleri yapmak için yeterli midir? Sibergüvenlik tatbikatları, özel kurumları da içerecek şekilde yapılıyor mudur? Bu sorulara gönül rahatlığıyla olumlu yanıt verebilecek bir kişi çıkar mı?
Benim emin olduğum bir tek finansal sistem ve kurumları var. İnsan hayatı ve yurttaş güvenliği söz konusu olduğunda bütçe sınırlılıklarından dem vuran iktidar, para için her şeyi yapıyor. O nedenle en güvenli bölge orasıdır. Hoş, TCMB’nin zaten kendisi arka kapıları kullanmakta mahir bir kurum olduğu için kolay kolay kül yutmaz zaten.
Devletin ve bugünkü iktidarın kamuya açık olması gereken bilgileri kapatma, gizleme ve saptırma konusunda harcadığı çabanın binde birini hassas verileri koruma konusunda göstermediğini biliyoruz. Ancak bu konu bugüne kadar karşı karşıya kaldığımız en büyük ve yıkıcı sorun. Hiç vakit kaybetmeksizin, Meclis araştırması açılması ve korsanlığın boyutunun belirlenmesi gerekir. Sonrasında da idari ve siyasi sorumluların bulunarak yargılanması işin bir yanını oluşturur. Ancak, bir de diğer yanı var. Bütün bir idari sistem artık yazılım üzerinden yürüyor. Bürokrasinin hantallığına karşı yazılım temelli sistemin getirdiği verimlilik, sürat ve konfor gerçekten kıyas kabul etmez. Ancak, risklerin de iyi yönetilmesi ve yüksek kapasiteli kurumların oluşturulması, iyi tanımlanmış prosedürlerin uygulanması gerekir. Yoksa ortaya çıkacak zararları hesaplamak bile çok zor olur. Eğer gerçekten tarif ve tahmin edildiği kadar büyük bir sorun ile karşı karşıyaysak bu durumda yapacak çok iş ve harcayacak çok para var demektir. Ne yazık ki…
Spotify’dan dinleyebilirsiniz:
