364 bin kişinin sağlık ve kimlik bilgileri Dark Web pazarında!

GAZETE PENCERE - Kuzey Kıbrıs Türk Cumhuriyeti (KKTC) 364 bin 36 kişiye ait kişisel ve tıbbi verilerin internetin karanlık ağında (Dark Web) yayınlanmasıyla çalkalanıyor.

BirGün’den Gözde Bedeloğlu’nun aktardığı haber şöyle:

Yenidüzen gazetesinden Tümay Tuğyan’ın özel haberine göre, siber saldırganların Kuzey Kıbrıs Sağlık Bakanlığı sistemlerinden ele geçirdiği veri seti; vatandaşların ad, soyadı, kimlik ve pasaport numaraları, adresleri, telefonları ile aşı kodları ve okul bilgileri gibi kritik bilgileri içeriyor. Sızıntı, çocukların ve öğrencilerin verilerini de kapsıyor.

Siber güvenlik uzmanlarının doğruluğunu teyit ettiği skandal, sıradan bir sızıntının ötesinde kitlesel bir güvenlik krizi olarak nitelendiriliyor. Üstelik siber saldırganlar, sistemde HIV/AIDS tanısı bulunan kişilere ait ayrı bir sağlık listesinin de ellerinde olduğunu iddia ediyor. Sızan veri setinde 202 farklı uyruktan insanın kaydı bulunuyor; bu durum, Türkiye Cumhuriyeti vatandaşları dahil olmak üzere adada yolu sağlık sisteminden geçen herkesin tehdit altında olduğunu gösteriyor.

Saldırganlar ayrıca Kuzey Kıbrıs’a giriş-çıkış yapan 340 bin kişiye ait verileri de ele geçirdiklerini öne sürüyor. Uzmanlar, bu çapta bir skandalın Avrupa Birliği sınırları içinde yaşanması durumunda devletin yüz milyonlarca Euro tazminat ödemek zorunda kalacağına ve geçmişteki örneklerde olduğu gibi bakanların istifasıyla sonuçlanacağına dikkat çekiyor.

SKANDALIN KANITI: “KUZEY KIBRIS’I KİM UMURSUYOR Kİ?”

Hükümet kanadı sorumluluk almaktan kaçıp “sistemlerde ihlal tespit edilmediğini” iddia etse de, Yenidüzen gazetesi skandala dair önemli bir kanıta ulaştı. Bağımsız siber güvenlik uzmanları aracılığıyla Dark Web'deki hacker forumundan elde edilen ekran görüntülerinde, siber suçluların çaldıkları verileri açıkça pazarladığı görülüyor.

İngilizce yayımlanan forum ilanında, sızıntıyı gerçekleştiren failler kendilerini “@harakiri”, “@cell” ve “@dejavu” olarak tanıtıyor. 365 bine yakın insanın kimlik, adres, telefon ve aile bilgilerini listelediklerini belirten saldırganların pazarlama metni, sistemin ne denli korumasız bırakıldığını da gözler önüne seriyor:

“Bugün, ‘Kuzey Kıbrıs Sağlık Bakanlığı Veritabanı’ verilerini sizin için sızdırdık. Aslında daha fazla veri toplama fırsatımız vardı ama gerçekten çok sıkıcıydı ve Kuzey Kıbrıs'ı kim umursuyor ki? Bu kadar veri size yeterli. AIDS hastalarıyla ilgili veriler de vardı... Kıbrıs’a giriş ve çıkış yapan herkesle ilgili yaklaşık 340 bin veri de sızdırıldı.”

TÜRKİYE’DE DE BENZERİ YAŞANMIŞTI

Kuzey Kıbrıs’ta patlak veren bu kriz, akıllara hemen Türkiye’de yaşanan benzer bir süreci getirdi. İsmail Arı’nın BirGün gazetesindeki özel haberine göre, Türkiye’de de milyonlarca yurttaşın devlet güvencesindeki kişisel verileri çalınarak yasa dışı internet sitelerinde açılan “sorgu panelleriyle” ulaşıma sunulmuştu. Arı’nın haberinde ortaya koyduğu veriler, Türkiye ve Kuzey Kıbrıs arasındaki siber savunma zafiyetinin benzerliğini açıkça gösteriyor:

• Veriler İnternette Satışta: İçişleri Bakanlığı kayıtlarındaki (MERNİS) güncel adres ve telefonlar ücretsiz dağıtılırken; banka, tapu, sağlık, okul ve İBAN bilgileri gibi kritik veriler haftalık 10 dolar gibi ücretlerle internet sitelerinde pazarlanmıştı.

• Sistem Açıkları Kapatılmıyor: Türkiye’deki skandalda da bilgisayar mühendisleri, veri akışının sürdüğünü ve sızıntıya yol açan sistem açıklarının uzun süre kapatılmadığını tespit etmişti.

• İhmali Olanlar da Sorumlu: Hukukçular, kişisel verileri çalanlar kadar gerekli idari, hukuki ve teknik tedbirleri almayarak verilerin kasten ya da ihmalen ele geçmesine zemin hazırlayan kamu yöneticilerinin de hukuken sorumlu olduğuna dikkat çekmişti.

HÜKÜMET: “İDDİAYI ARAŞTIRIYORUZ, OLMA İHTİMALİ VAR”

Skandalın ardından hükümet kanadından ilk açıklama Ulaştırma Bakanı Erhan Arıklı’dan geldi. Sızıntıyı yalanlamayan Arıklı, Bilgi Teknolojileri ve Haberleşme Kurumu'nun (BTHK) konuyu incelediğini belirterek, “Bu bir iddia. Araştırıyoruz. Olma ihtimali var mı, var” dedi.

Zaman zaman siber saldırılara maruz kaldıklarını ve mevcut teknik personel yapısının yetersiz olduğunu kabul eden Bakan Arıklı, sızıntıya karşı Türkiye’den destek istediklerini ve yeni bir siber güvenlik birimi oluşturmak için çalışma başlattıklarını açıkladı.

UZMANLAR: “MESELE ULUSAL GÜVENLİK BOYUTUNDA”

Bilgisayar Mühendisleri Odası, iddiaların büyüklüğü ve verilerin niteliği nedeniyle konunun ciddiyetle ele alınması gerektiğini vurguladı. Siber güvenliğin artık sadece bilgi işlem birimlerinin sorumluluğuna bırakılamayacağını belirten uzmanlar, konunun kamu güvenliği, ekonomik güvenlik, kişisel verilerin korunması ve ulusal güvenlik meselesi haline geldiğini ifade etti. Oda, yıllardır çağrısını yaptıkları Ulusal Siber Güvenlik Stratejisi ve izleme merkezlerinin kurulmamasının bu krizlere zemin hazırladığına dikkat çekti.

SENDİKA: “EN MAHREM BİLGİLER KORUNAMADI”

Kıbrıs Türk Hekimler Sendikası Başkanı Özlem Gürkut da yaptığı yazılı açıklamayla skandala tepki gösterdi. İddiaların doğrulanması halinde ülke tarihinin en büyük veri ihlaliyle karşı karşıya kalınacağını belirten Gürkut, vatandaşların en mahrem bilgilerinin korunamadığı bir ortamda devletle güven ilişkisinin yeniden kurulamayacağını vurguladı.

Yıllardır teknik ve hukuki altyapı kurulmadan biyometrik verilerin toplanmasına karşı uyarılarda bulunduklarını hatırlatan Gürkut, kamu yönetiminin temel bir sorumluluğu olan veri güvenliğindeki zafiyete dair şu soruları sordu ve şeffaflık çağrısı yaptı:

“Bu ihlal ilk ne zaman tespit edildi ve yetkililer neden zamanında bilgilendirilmedi? Sağlık verileriyle birlikte biyometrik veriler de risk altında mı? Beklentimiz; tüm gerçeklerin şeffaf biçimde paylaşılması, bağımsız teknik incelemelerin yapılması ve ihmali olan sorumluların hesap vermesidir.”

MUHALEFET: “HACKERLAR SİSTEMLERİN İÇİNDE YAŞIYOR”

Skandalın meclis gündemine taşınmasıyla muhalefet kanadından hükümete eleştiriler yükseldi. Cumhuriyetçi Türk Partisi (CTP) Genel Başkanı Sıla Usar İncirli, devlet kurumlarının siber saldırılara tamamen açık olduğunu vurgulayarak şu eleştiriyi yaptı:

“Bu saldırılar yapılıyor ve bu hackerlar sistemlerimiz içinde yaşıyor. Bunun farkında bile değiliz. Kişisel verilerimiz ve devletin güvenliğinin kimin elinde olduğunu bilmiyoruz. Hükümet sınıfta kalmıştır.”

CTP Milletvekili Ürün Solyalı ise dijital çağda bu tür siber saldırıların kaçınılmaz olduğunu ancak devletin buna göre bir savunma kurgulamakla mükellef olduğunu belirterek, “Hükümetin ihmali hassas verilerin kötü niyetli insanların eline geçmesine yardımcı oldu” dedi.

Solyalı, e-Devlet ve Kişisel Verileri Koruma kurullarının hükümet tarafından bütçesiz, kadrosuz ve tüzüksüz bırakılarak işlevsizleştirildiğini, bu kurumsal denetimsizliğin de veri felaketine davetiye çıkardığını vurguladı.