Bilgi Toplumu Stratejisinin Yenilenmesi Projesi

Bilgi Toplumu Stratejisinin
Yenilenmesi Projesi
Bilgi Güvenliği, Kişisel Bilgilerin Korunması ve Güvenli İnternet Ekseni
Mevcut Durum Raporu
4 Şubat 2013
Bu rapor, Kalkınma Bakanlığı Bilgi Toplumu Dairesi ve McKinsey Danışmanlık Hizmetleri
Limited Şirketi arasında imzalanan Bilgi Toplumu Stratejisinin Yenilenmesine İlişkin Hizmet
Alımı İşi Sözleşmesi kapsamında, gerekli bulgu ve analizler hazırlanmak suretiyle,
oluşturulacak Bilgi Toplumu Stratejisine altyapı teşkil etmek üzere üretilmiştir. Bu raporun
hazırlanmasında çalışma boyunca ilgili taraflardan elde edilen bilgi ve görüşler ile Kalkınma
Bakanlığı’nın değerlendirmelerinden istifade edilmiştir. Bu çalışma Kalkınma Bakanlığı’nın
kurumsal görüşlerini yansıtmaz. Bu raporda yer alan içeriğin tamamı ya da bir kısmı atıfta
bulunmak kaydıyla Kalkınma Bakanlığı’nın izni olmadan kullanılabilir.
İçindekiler
1
BİLGİ GÜVENLİĞİ, KİŞİSEL BİLGİLERİN KORUNMASI VE GÜVENLİ
İNTERNET..................................................................................................................................... 5
2
BİLGİ GÜVENLİĞİ .............................................................................................................. 8
2.1
GİRİŞ ................................................................................................................................. 8
2.1.1 Bilgi güvenliği algısının değişimi ve siber güvenlik .................................................... 8
2.1.2 Siber tehditlerin gelişimi ve günümüzdeki önemi ........................................................ 9
2.1.3 Kritik altyapıların bilgi güvenliği .............................................................................. 15
2.2
DEVLETLERİN UYGULADIĞI SİBER GÜVENLİK STRATEJİLERİ ........................................... 16
2.2.1 Düzenlemeler: ............................................................................................................ 19
2.2.2 Uygulama:.................................................................................................................. 19
2.2.3 Yönetişim ve koordinasyon: ....................................................................................... 20
2.2.4 Toplumsal farkındalık ................................................................................................ 20
2.2.5 Ar-Ge yatırımları ve insan kaynakları:...................................................................... 21
2.2.6 Uluslararası işbirliği: ................................................................................................ 21
2.3
SİBER GÜVENLİK STRATEJİLERİNDEKİ EĞİLİMLER ........................................................... 21
2.4
TÜRKİYE’DEKİ MEVCUT DURUM ..................................................................................... 23
2.4.1 Düzenlemeler: ............................................................................................................ 24
2.4.2 Uygulama:.................................................................................................................. 30
2.4.3 Yönetişim ve koordinasyon: ....................................................................................... 32
2.4.4 Toplumsal farkındalık ................................................................................................ 33
2.4.5 Ar-Ge yatırımları ve uzman yetiştirme: ..................................................................... 34
2.4.6 Uluslararası işbirliği: ................................................................................................ 35
3
KİŞİSEL VERİLERİN KORUNMASI.............................................................................. 36
3.1
GENEL BAKIŞ .................................................................................................................. 36
3.1.1 Kişisel verilerin tanımı............................................................................................... 37
3.1.2 Temel haklar bağlamında kişisel verilerin korunması............................................... 38
3.1.3 Verilerin kullanılabilmesi için kişisel verilerin korunması ihtiyacı ...........................40
3.2
KİŞİSEL VERİLERİN DEVLETLER TARAFINDAN KORUNMASI ............................................. 42
3.3
YENİ TEKNOLOJİLER ....................................................................................................... 49
3.3.1 Bulut bilişim ............................................................................................................... 49
3.3.2 Çevrimiçi davranışsal reklamcılık ............................................................................. 51
1
3.4
TÜRKİYE’DE MEVCUT DURUM ....................................................................................... 52
3.4.1 Türkiye’nin katıldığı uluslararası sözleşmeler .......................................................... 53
3.4.2 Kişisel verilerin anayasal güvence altına alınması ................................................... 53
3.4.3 Kişisel Verilerin Korunması Kanun Tasarısı............................................................. 55
3.4.3.1 Mevcut kanun tasarısının Veri Koruma Yönergesi’ne uyumluluğu .................. 56
3.4.3.2 Paydaşların kanun tasarıları hakkında çakışan bakış açıları .............................. 59
3.4.3.3 Mevzuat eksikliğinin sonuçları .......................................................................... 61
3.4.4 Kişisel veriler ile ilgili diğer düzenlemeler ................................................................ 62
3.4.5 Yeni teknolojiler ......................................................................................................... 67
3.4.5.1
3.4.5.2
4
Bulut bilişim....................................................................................................... 67
Çevrimiçi davranışlar reklamcılık...................................................................... 69
GÜVENLİ İNTERNET ....................................................................................................... 70
4.1
GENEL BAKIŞ .................................................................................................................. 70
4.1.1 İnternetteki tehlikeler ve sonuçları ............................................................................ 70
4.1.2 Çocuklar ve gençlerin korunması .............................................................................. 73
4.2
DEVLETLERİN ALDIKLARI ÖNLEMLER ............................................................................. 75
4.2.1 Eğitim ve bilinçlendirme çalışmaları ......................................................................... 75
4.2.2 Zararlı internet sitelerine erişimin kısıtlanması ........................................................ 78
4.3
TÜRKİYE’DEKİ MEVCUT DURUM ..................................................................................... 81
4.3.1 Çocuklar ve gençlerin bilinç eksikliği........................................................................ 83
4.3.2 Türkiye’de alınan önlemler ........................................................................................ 86
4.3.2.1 Eğitim ve bilinçlendirme.................................................................................... 86
4.3.2.2
5
Zararlı internet sitelerine erişimin kısıtlanması ................................................. 87
EKLER.................................................................................................................................. 96
KAYNAKÇA ................................................................................................................................ 98
2
Şekiller Listesi
Şekil 2.1 Siber tehditlerin boyutu .................................................................................................. 10
Şekil 2.2 Devletlerin siber güvenlik harcamalarının kategorik dağılımı ....................................... 17
Şekil 2.3 Siber Güvenlik Stratejilerinin Alt Eksenleri ................................................................... 19
Şekil 2.4 Siber güvenlik stratejisi modelleri .................................................................................. 22
Şekil 3.1 Verilerin daha etkin kullanımından beklenen kazanımlar .............................................. 36
Şekil 3.2 Örnek devletlerin veri koruma düzenlemeleri ................................................................ 42
Şekil 3.3 Avrupa Konseyi ülkelerinin ulusal mevzuatlarını yürürlüğe koyma tarihleri ................ 43
Şekil 3.4 Veri Koruma Reformunun getirdikleri ........................................................................... 47
Şekil 3.5 AB ve ABD veri koruma politikalarının karşılaştırması ................................................ 48
Şekil 3.6 Veri koruma konusunda bulut bilişime hazırlık seviyesi ............................................... 67
Şekil 4.1 İnternet üzerindeki riskler ............................................................................................... 71
Şekil 4.2 Siber Suç Mağduriyeti .................................................................................................... 72
Şekil 4.3 Güvenli internet çözümleri ............................................................................................. 75
Şekil 4.4 Eğitim ve bilinçlendirme çalışmalarının parçaları .......................................................... 76
Şekil 4.6 Türkiye’deki Çocukların İnternet Kullanımı .................................................................. 82
Şekil 4.7 Çocukların internet kullanım oranı ................................................................................. 83
Şekil 4.8 Türkiye’deki çocukların internet kullanım becerileri ..................................................... 84
Şekil 4.9 Ülke bazında, cinsel içerikli resme maruz kalan çocukların oranı ................................. 85
Şekil 4.10 Çocukların cinsel içerikten rahatsız olma seviyesi ....................................................... 86
Şekil 4.13 İhbarlar ve Engellemelerin Konuları ............................................................................ 89
Şekil 4.14 Ülkelerdeki İnternet Sansürü Seviyesi.......................................................................... 90
3
Tablolar Listesi
Tablo 2.1 Siber tehditlerin yapısı ................................................................................................... 11
Tablo 2.2 Saldırgan çeşitleri ve motivasyonları ............................................................................ 12
Tablo 2.3 Kurumlar tarafından getirilen kritik altyapı kapsamı önerileri ...................................... 28
Tablo 3.1 Paydaşların olası bir veri koruma kanununa bakış açıları ............................................. 59
Tablo 3.2 Kurumların mevzuat eksikliği ile yaşadığı sorunlar ...................................................... 61
Tablo 4.1 Güvenli İnternet Yöntemleri ve Sonuçları..................................................................... 78
Tablo 4.2 Güvenli İnternet uygulaması hakkındaki görüşler......................................................... 95
4
1
Bilgi Güvenliği, Kişisel Bilgilerin Korunması ve Güvenli İnternet
Bilgiler yazılı hale geçip somutlaştırıldığı çağlardan itibaren bazı bilgileri korumaya yönelik
önlemler alınmaya başlanmış, bu yönde bilginin gizliliği sağlanmaya çalışılmıştır. Özellikle
teknolojinin gelişimi bu bilgilerin toplanması ve işlenmesini kolaylaştırmış, kurum ve
kuruluşların bu kolaylıklardan yararlanması ile bilgi teknolojilerinin sosyal ve ekonomik düzenin
bir parçası olmasının önü açılmıştır. Bu değişimlerle birlikte bilgilerin ve bilgi sistemlerinin
güvenliği daha çok önem kazanmış, ancak bu güvenlik anlayışı fiziksel bir güvenlik algısına
benzer bir şekilde bilginin saklanması ve yetkisiz kişiler tarafından erişilmemesi üzerine
odaklanmıştır. Oysa internetin gelişimi ve bilgi sistemlerinin hem kendi aralarında hem de
kullanıcılarla yaygın etkileşiminin artması ile bilgi güvenliği ve kişisel verilerin korunması
yaklaşımları önemli değişikler geçirmiş, ayrıca internetin kullanımı konusunda bireylerin
güvenliğine yönelik kaygılar ortaya çıkmaya başlamıştır.
Bugün günlük hayatın vazgeçilmez bir parçası olan internet, ilk yaratıcıları tarafından askeri
kaygılarla sistemler arası kesintisiz iletişimi sağlamak için tasarlanmış, ancak toplumun
kullanımına açılmasıyla geniş ve “açık” bir ağ halini almıştır. Bu haliyle internet yıllardır
yaratıcılığın ve özgür iletişimin ana kaynağı haline gelmiştir. İnternetin altyapı sistemi
kullanıcıları ve servis sağlayıcılarının kimsenin iznini almadan özgürce kendi üretimlerini ve
hizmetlerini dünyanın en uzak köşesindeki insanlarla bile paylaşmaları fırsatını sağlamıştır. Bu
eşsiz fırsat, birçok ticari kurumun daha önce gerçekleştirmesinin mümkün olmadığı işlemleri
internet üzerinden yapabilmesini ve ekonomik değer yaratabilmesini sağlamıştır. Daha çok kişi
ve firma internetin bu olanaklarını kullandıkça internet üzerinden gerçekleşen yenilikçi fikirlerin
sayısı artmış ve internetin ekonomik ve sosyal hayattaki önemi katlanarak büyümüştür. 1
İnternetin bu açık doğası sosyal hayatımızdaki iletişimimizin büyük bir kısmının da internet
üzerine kaymasını sağlamıştır. Bugün pek çok kişi geleneksel iletişim araçlarıyla haberleşmek
veya bu araçlardan bilgi edinmek yerine internetin özgür ve sınırsız fırsatlar sınan ortamını tercih
etmektedir. Benzer şekilde kurum ve kuruluşlar da kendi mesajlarını kullanıcı veya potansiyel
müşterilerine internet üzerinden ulaştırmaktadır.
İnternet tabanlı çözümlerin yayılmasıyla artık internetin sadece bilgisayarlar üzerinden ulaşılan
bir ortam olmadığı, günlük hayatta kullanılan birçok cihazla etkileşim haline geçildiği bir “siber
uzay” haline dönüştüğü görülmektedir. Bu yeni dünyada cep telefonlarından ve televizyonlardan
1 Open Internet Order FCC-10-20V
5
bile siber uzaya ulaşmak mümkündür. Çok yakında buzdolabı, çamaşır makinesi gibi evlerde
kullanılan cihazların doğrudan sahiplerinin onayını almadan siber uzaydaki çeşitli hizmetlere
ulaşacağı, diğer makinelerle iletişim kuracağı bir dünyaya doğru gidilmektedir.
İnternetin ekonomik ve sosyal hayatın bu kadar temel bir altyapısı haline gelmesi, bu alt yapıda
oluşabilecek olası aksaklıkların etkisinin de insanlar için hayati önem taşıması anlamına
gelmektedir. Bu yeni dünyada yukarıda tarif edilen siber ortamın güvenliği ve bu ortamda yer
alan kişi ve kurumların olası tehlikelerden veya beklenmedik durumlardan korunması, sistemin
devamlılığı açısından kritik bir önem arz etmektedir. Buradaki en önemli unsurlardan birisi ise
bu devamlılığı sağlamak için alınacak her türlü güvenlik önleminin, internetin “açık” doğasına
ters olmamasıdır. İnternetin toplum için bir katalizör görevi üstenebilmesi ancak açık doğası
sayesinde yaratıcılığı ve paylaşımcılığı teşvik etmesiyle mümkündür. İnternetin bu temel
özelliğinin ortadan kaldırılmasının hedeflenen amaçtan çok daha büyük sonuçlar doğuracağı
açıktır.
Önümüzdeki yıllarda bilgi ve iletişim teknolojilerinin daha verimli ve etkin kullanılması ve bu
yolla sosyal ve ekonomik gelişmeyi amaçlayan ülkemizin de bu teknolojilerin yarattığı yeni siber
ortamı yeterli ve doğru adımlarla düzenlemesi bilgi toplumuna dönüşüm için önemli bir altyapı
oluşturacaktır. Söz konusu düzenlemelerin tam ve kapsayıcı bir altyapı oluşturabilmesi için üç
temel konuyu içermesi gerekmektedir.
•
Bilgi sistemleri ve bu sistemlere dayalı olarak işleyen sosyal ve ekonomik düzen
sonuçları ciddi zararlara ulaşabilecek siber saldırı tehdidi altındadır. Bu bilgi sistemlerine
•
yönelebilecek olası saldırıları önlemek ve etkilerini azaltmak için kapsamlı bir bilgi
güvenliği stratejisi oluşturulmalı ve bu yönde gereken adımlar hayata geçirilmelidir.
Teknolojik gelişmelerin getirdiği kolaylıkla bireylerin kişisel bilgilerinin toplanması ve
bireylerin menfaatine ters şekilde kullanılması da kolaylaşmıştır. Bilgi kullanımının
mağduriyetler yaratmaması ve dolayısıyla bireylerin bilgilerini güvenle paylaşabilmesi
•
için kişisel verileri güvence altına alan düzenlemeler yapılmalı ve uygulanmalıdır.
Özgür ve kontrolsüz bir ortam olan internette zararlı veya yasadışı içerik sunmak ve
eylemlerde bulunmak da kolaylaşmıştır. Bu olumsuz içeriğe ve eylemlere karşı
kullanıcılar bilinçlendirilmeli ve korunmalıdır.
Bilgi güvenliği önlemleri sayesinde bilişim teknolojilerine dayalı sistemlere yönelik saldırıların
etkileri sınırlandırılacak ve bu sistemlerin kullanımı daha güvenli bir hale getirilecek, kişisel
bilgilerin korunması sonucunda bilgilerin sosyal ve ekonomik alanlarda kullanımı düzenlenerek
bilgilerin hem daha güvenli hem de daha yaygın bir şekilde kullanımı gerçekleşecek, güvenli
6
internet uygulamaları sayesinde de kullanıcıların internetteki olumsuz içerikler ile ilgili
çekinceleri kaldırılacaktır. Dolayısıyla söz konusu üç konuya önem verilmesi ve doğru adımların
atılması sayesinde yukarıda bahsedilen ekosistemin işlerliği sağlanacak ve ülkemizin bilgi
toplumuna dönüşüm amacı için kritik önem taşıyan altyapı hazırlanmış olacaktır.
7
2
Bilgi Güvenliği
2.1
Giriş
Bilgi güvenliği konusunu detaylı incelemeden önce kavramların çerçevesini çizmek tartışmanın
daha net odaklanmasına yardımcı olacaktır. Bilgi güvenliği de siber güvenlik de bilgi sistemlerini
ve altyapılarının güvenliğini sağlamak için uygulanan temel ilkeler olarak tanımlanırken, iki
yaklaşım da bilginin gizliliği, erişilebilirliği ve bütünlüğü ile ilgilenir.
•
•
Bilginin gizliliği: Bilginin yetkisiz kişilerin eline geçmemesi,
Bilginin erişilebilirliği: Bilginin ilgili ya da yetkili kişiler tarafından ulaşılabilir ve
kullanılabilir olması,
•
Bilginin bütünlüğü: Bilginin yetkisiz kişilerce değiştirilmemesi.
Ancak uzun zamandır kullanılan bilgi güvenliği terimi hem çevrimiçi hem de çevrimdışı ortam
için geçerli olmasına rağmen, siber güvenlik terimi internet bağlamında şekillenmiş bir güvenlik
anlayışıdır. Dolayısıyla siber güvenlik teriminin varsaydığı tehlikeler bilginin gizliliğine yönelik
olduğu kadar bilginin erişilebilirliği ve bütünlüğüne de yöneliktir.
Bu rapor dâhilinde genel güvenlik kavramından bahsederken bilgi güvenliği terimi, siber
uzaydaki tehdit ve tehlikelerden bahsederken siber güvenlik terimi kullanılacaktır.
2.1.1
Bilgi güvenliği algısının değişimi ve siber güvenlik
Bilgi güvenliği ilk önce sadece fiziksel güvenlik kavramı ile sınırlı iken teknolojilerin gelişmesi
ve birbirleri ile etkileşimli hale gelmesinin sonucunda çok daha kapsamlı bir algıya bürünmüş ve
çok farklı boyutlar edinmiştir. Bilgilerin korunması geçmiş yüzyıllarda da bir güvenlik sorunu
olarak değerlendirilmiş, ancak güvenlik algısı bilginin bulunduğu fiziksel belgelerin korunması
ile sınırlı kalmış, benzer bir şekilde teknoloji çağının başlangıcındaki donanımların henüz
birbirleri ile iletişim kuramadığı dönemlerde de bilgi güvenliği kavramı bu fiziksel güvenlik
anlayışının ötesine geçmemiştir. 1960’larda yapılan yatırımlarla birlikte bilgisayarların birbirleri
ile iletişim kurması sağlanmaya çalışılmış, ARPANET projesi sayesinde de ilk defa bilgisayarlar
güvenilir bir ağ üzerinden birbirleri ile veri paylaşımına başlamıştır. Bilgisayarların birbirleri ile
etkileşebilmesi ile birlikte güvenlik açıkları da ortaya çıkmaya başlamış, veri koruma ilkelerinin
tutarsızlığı, şifrelerin kolaylığı, dıştaki sistemlere bağlantıların korunmamış olması sonucunda
bilgisayar sistemlerine saldırılar gerçekleşmiştir. Bu saldırıların üzerine 1970’lerin başında
8
yayınlanan belgeler2 ile bilgi güvenliğinin artık sadece donanımların fiziksel korunmasının
ötesinde bilgi, kullanıcı ve sistem güvenliğine odaklanmasına gerektiği, bilgi güvenliği
konusunda saldırı sonrası değil daha kapsamlı kurumsal güvenlik anlayışının benimsenmesi
gerektiği belirtilmiştir.
Özellikle kişisel bilgisayarların yaygınlaşması ile birlikte kullanıcıların sayısı ve bilgisayarların
kullanım derinliği artmış, kişisel bilgisayarlar internete bağlandıkça var olan bilgi miktarı ve bu
bilgiler üzerinden yürütülen işlemler katlanarak büyümüştür. İnternet üzerinden sürdürülen
sosyal ve ekonomik etkinlikler büyük bir hızla artmış, internet tabanlı çözümlerin artması ile
bilgisayar dışında pek çok cihaz da bu ağa bağlanmış, çok geniş bir “siber uzay” oluşturmuştur.
Bu değişim sonucunda siber uzaydaki her unsur birbiri ile etkileşimli hale gelmiş, dolayısı ile
bilgi güvenliği konusunu daha dar anlamdan çıkartıp, her türlü saldırganın çok çeşitli
tehditlerinin olduğu, saldırıların fark edilmesinin ve anlaşılmasının çok zor olduğu daha geniş bir
anlama taşımıştır. Bilgi teknolojilerinin yaygınlaşması ile birlikte sosyal ve ekonomik düzenin de
önemli bir parçası haline gelmeleri, bu teknolojileri kullanan ve bu sistemlerin devamlılığına
dayanan varlıkları ve bilgi güvenliğinin ihlali durumunda doğacak zararı artırmıştır.3
2.1.2
Siber tehditlerin gelişimi ve günümüzdeki önemi
Siber tehditlerin ve olası saldırıların yaygınlığı ve etkisi kamuoyunda gündeme geldiğinden çok
daha büyüktür. Tüm saldırıların %1’inden az bir oranının hedef tarafından fark edilip bildirildiği
tahmin edilmektedir; dolayısıyla tehlikenin algımızdaki boyutu ile gerçekteki boyutunun arasında
bir uçurum olduğu söylenebilir. Söz konusu saldırılar geçtiğimiz yıla kıyasla %81 artış göstermiş
olup, yeni teknolojilerde de siber tehdit unsurlarına rastlanmaya devam edilmektedir. Mobil
cihazlarda bilinen güvenlik sorunları geçtiğimiz yıla oranla %93 artış göstermiştir. Kritik
altyapıların %80’inin siber saldırılara maruz kaldığını ve kullanıcılara yönelik siber suçların
dünya çapındaki maddi zararının 110 milyar dolar olarak tahmin edildiği düşünülürse; bu
tehditlerin herkes için geçerli olduğu, hem bilişim teknolojilerini kullanan kurum ve kuruluşların,
hem de bu teknolojileri kullanan bireylerin siber güvenlik konusuna ciddiyetle eğilmesi
gerekmektedir.
2 United States the Department of Defense tarafından çıkartılan Security Controls for Computer Systems raporu.
3 Lewis University, “A Brief History of Information Security”, http://www.lewisu.edu/academics/ msinfosec/history.htm.
9
Şekil 2.1 Siber tehditlerin boyutu
Bu tehditlerin sonuçları varsayılandan çok daha büyük boyuttadır
Ancak bilinen vak’alar buz dağının sadece görünen yüzü
< 1%
Hedef tarafından fark edilen ve
bildirilen siber saldırılar
81% Geçen yıla kıyasla siber
saldırılardaki artış
93%
Mobil cihazlarda bilinen
güvenlik açıklarındaki artış
80%
Siber saldırılara maruz kaldığını
bildiren kritik altyapı sağlayıcıları
110
milyar
dolar
Kullanıcılara yönelik siber
suçların neden olduğu maddi
zarar, 2012
KAYNAK: Internet Güvenlik Tehdidi Raporu 2012; McKinsey Siber Güvenlik Çalışması, Norton Siber Suç Raporu 2012
Son yılların en ünlü siber saldırılarından biri olan ve İran’ın nükleer tesislerine yapılan Stuxnet
saldırısı, söz konusu tehditlerin neden olabileceği hasarın çok net bir göstergesidir. 2010 Haziran
ayında fark edilen, çok gelişmiş özelliklere sahip Stuxnet solucanı, endüstriyel sistemlerin
içerisinden bilgi sızdırabilen ve bu sistemlere fiziksel zarar verebilen ilk zararlı yazılım olarak
kabul edilmektedir. İran’ın ambargo altında kullandığı Siemens sistemlerine giren Stuxnet
solucanı, bilgisayarlara ve ağlara zarar vermeden ve fark edilmeden yayılıp, Natanz nükleer
reaktöründeki santrifüjlere ulaşmış ve tüplerin dönüş hızını değiştirerek, toplamda 1.000 tane
tüpü etkisiz hale getirmiştir. Bu saldırı sonucunda fark edilmeden sistemlere nüfuz edebilen
yazılımların, nükleer reaktörler gibi çok kritik fiziksel sistemlerin işlerliğini bile etkileyebildiği
görülmüştür.4
Söz konusu siber tehditler pek çok farklı kişi tarafından, farklı amaçlar ve yöntemlerle
yapılabilmektedir. Bu saldırılar istihbarat servisleri gibi ileri seviye tekniklere hâkim gruplar
tarafından da yapılabildiği gibi, fırsatçı bireyler tarafından da yapılabilmektedir. Saldırılar
uygulamalara, ağlara ya da fiziksel olarak erişim yoluyla gerçekleşmekte, bazen de yasal erişim
ya da sistem hataları sonucunda oluşabilmektedir. Bu saldırılar bazen belirli bilgilerin çalınması
4 Der Spiegel (8 Ağustos 2011). "Mossad's Miracle Weapon: Stuxnet Virus Opens New Era of Cyber War"
10
ve kazanım sağlanması için yapılırken, bazen de sistemlere hasar vermek amacıyla
yapılmaktadır. Saldırıların doğasındaki bu farklılıkları anlamak, risk algısının daha doğru
yapılması ve alınacak önlemlerin de daha isabetli belirlenmesine yardımcı olacaktır (Tablo 2.1).
Tablo 2.1 Siber tehditlerin yapısı
Kim?
•
Ulusal istihbarat servisleri
Tehdit teşkil eden kötü
niyetli oyuncular
•
Rakipler
•
Organize suç örgütleri
•
Siber teröristler
•
Taraftar grupları ve Sivil Toplum Kuruluşları
•
Bilgi satanlar (örn. çalışanlar, taşeronlar)
•
Bireyler/küçük fırsatçı grupları
Nasıl?
•
Kullanılabilecek saldırı
doğrultuları
Uygulama penetrasyonu (örn. harici olarak kullanılabilen
uygulamalara erişim)
•
Ağ (Şebeke) penetrasyonu (örn. uzaktan erişim, kimlik avı,
kötü niyetli site ya da e-postalar)
•
Fiziksel penetrasyon (örn. USB anahtar, personelin tayin
edilmesi)
•
Yasal erişim
•
Hatalı kullanım / sunucu hatası
•
Sabotaj
•
Siber casusluk
•
Siber para sızdırma
•
Siber dolandırıcılık
•
Siber takip
•
Siber terörizm
•
‘Hack’tivizm
•
Çok boyutlu zarar
Kötü niyetli oyuncuların
gerçekleştirmek istediği
hedefler
11
Tehdit teşkil eden kötü niyetli oyuncular çok farklı özelliklere sahip olabilmektedir ve bilgi
sistemlerinin niteliği değiştikçe öne çıkan siber tehditler ve saldırganlar da değişmektedir.
Özellikle bilgi sistemlerinde muhafaza edilenlerin değeri arttıkça ve bu sistemlere dayalı çalışan
altyapılar yaygınlaştıkça, yapılan saldırıların saldırgan için kazanımı ve mağdur için zararı daha
büyük boyutlara ulaşmaktadır. Dolayısıyla, saldırılar daha büyük etki yaratabildiği için,
geçtiğimiz yıllar içerisinde zengin kaynaklardan yararlanan yüksek yetkinliğe sahip saldırganlar
artmaya, saldırı yöntemleri daha ısrarcı ve etkili olmaya, dolayısıyla da olası saldırıların bilgi
sistemleri ve altyapılarına yönelttiği tehditler daha da tehlikeli hale gelmeye başlamıştır.
Günümüzde saldırganları yetkinliklerine göre ayrıştırmak mümkündür (Tablo 2.2).
Tablo 2.2 Saldırgan çeşitleri ve motivasyonları
a) Yüksek yetkinliğe sahip saldırganlar ve motivasyonları
Politik: Bir ulusun duruşunu geliştirmek, etki oluşturmak
Devlet veya işletme
destekli oluşum
Ekonomik: Rekabetçiliği geliştirmek
Mali: Devlete ait varlıklara mali avantaj kazandırmak
Mali: Kar ederek satılabilecek ya da dolandırıcılık/ihaleye fesat
Organize Suç
karıştırma/şantaj için kullanılabilecek veri ve bilgileri toplamak,
suç gelirlerinin aklanmasında kullanılabilecek verileri toplamak
b) Orta yetkinliğe sahip saldırganlar ve motivasyonları
Hacktivist gruplar
Politik: Üretkenliğe zarar vermek, organizasyonun itibarını
zedeleyecek hasarlar vermek, internet sitesini tahrip etmek
Kurumsal rakipler (devlet
desteği olanlar hariç)
Mali: Avantaj elde etmek üzere ticari sır ve bilgi hırsızlığı;
İçerideki çalışmaları öğrenmek için iletişim hırsızlığı, haksız
rekabet
12
c) Düşük yetkinliğe sahip saldırganlar ve motivasyonları
Taraftar grupları
Kasıtlı bilgi satanlar
Politik: bilgi toplama yoluyla belirli nedenleri geliştirmek
Organizasyonu cezalandırmak
Mali: Bilgi karşılığı ücret almak
Fırsatçılar
Övünme: Bir hack eylemini gerçekleştiren saldırganın sosyal
çevresi tarafından övgüyle karşılanması
Mali: Bilginin satış açısından potansiyel getirisi
Düşük yetkinliğe sahip saldırganlar çoğunlukla bilinen sistem açıklarını istismar etmekte ve
önemli sistemlerin ileri seviye güvenlik önlemlerini geçememektedir. Bu saldırılar daha çok
bilinçsiz kullanıcıları hedef almaktadır. Bilişim sistemlerinin kullanımının kolaylaşması ile basit
saldırılar da kolaylaşmış ve yaygınlaşmıştır.
Orta yetkinliğe sahip saldırganlar ise teknik olarak daha yetkin ve pek çok kullanıcının basit
güvenlik önlemleri ile engelleyemeyeceği saldırılar gerçekleştirmekte, önemli maddi hasarlar
verebilmektedirler. Dünya çapında son yıllarda, özellikle Anonymous grubunun saldırıları ile
daha sık duyulan, kurum ve kuruluşlara manevi zararlar vermeyi amaçlayan “hacktivist”
saldırılar da bu kategoriye girmektedir. Bu saldırılara bakıldığında, kamuoyunun doğrudan
erişimine açık olmayan belgelerin ifşa edilmesinin en çok kullanılan eylem yöntemlerinden birisi
olduğu görülmektedir.
Yüksek yetkinliğe sahip saldırganlar ise diğer iki gruptan çok daha farklı bir tehdit algısı
yaratmaktadır. Bu tehditler daha önceden bilinmeyen sistem açıklarını hedef almakta, güvenlik
yazılımlarını kandırabilmekte, belli bir hedefe yönelik olarak ısrarla ilerleyebilmektedir.5 Zengin
kaynaklardan yararlanarak ve çok gelişmiş tekniklerle hayata geçirilen tehditlerin sadece siber
güvenlik yazılımları ile önlenmesi çok zordur ve olası saldırıların sonuçları ise çok büyük
boyutlara ulaşabilmektedir.
5 Stuxnet solucanı, daha önceden bilinmeyen dört adet sıfır gün açığı (var olduğu bilinmeyen açıklar) kullanmış, manin-the-middle tekniği ile sistemin tehdidi sezip kendi kendini kapatmasına mani olmuştur. Broad, William J.; Markoff,
John; Sanger, David E. (15 January 2011). "Israel Tests on Worm Called Crucial in Iran Nuclear Delay". New York
Times.
13
Saldırganların söz konusu şekilde farklılaşmasına bakıldığında mevcut siber tehditler arasında
temel saldırıların otomasyonu ve saldırganların uzmanlaşması iki kritik eğilim olarak ortaya
çıkmaktadır:
Temel saldırıların otomasyonu: Saldırı senaryolarına bilinen zayıf noktalar rahatlıkla eklenip
hızlandırıldıktan sonra daha az tecrübeli saldırganlar için saldırı yapmak kolaylaştırılmakta ve
bunun yanında aynı anda birçok hedefe otomatik ve sistematik olarak saldırabilecek sistemler ve
robotlar programlanabilmektedir. Örneğin “Microsoft Windows RPCSS DCOM Interface Denial
of Service Vulnerability” açığı, 2008’de fark edilmiş ve yaması sunulmakta olmasına rağmen,
2011 yılında 61,2 milyon saldırıya uğramıştır.6
Temel saldırıların otomasyonu ile birlikte temel zayıflıkların fark edilmeme olasılığı ortadan
kalkmıştır. Dolayısı ile sistemlerin ve altyapıların güvenlikleri için kapsamlı ve güncel
önlemlerin alınması, koordinasyon içerisinde korunması ve her sistem kullanıcısının gerekli
önlemleri sürdürebilecek belli bilinç seviyesine çıkartılması gerekmektedir.
Saldırganların uzmanlaşması ve profesyonelleşmesi: Elektronik platformlar, dünya çapındaki
saldırı uzmanlarını bir araya getirmekte ve belirli yeteneklerin paylaşılmasına sağlamakta, aynı
zamanda daha eğitimli olan saldırganlar arasında bir rekabet ve gelişme ortamı yaratmaktadır.
Gizli servisler gibi maddi imkanları yüksek organizasyonların da eğitmeye ve desteklemeye
başladığı bu saldırganlar, artık belirli saldırı yöntemleri üzerinde uzmanlaşabilmekte ve aynı
zamanda uzun vadeli kampanyalar ve çok platformlu saldırıları planlayıp gerçekleştirebilecek
imkan ve beceriyi de bulabilmektedir.
Saldırganların uzmanlaşması ve profesyonelleşmesinin sonucunda ise kurum ve kuruluşlar daha
ciddi tehlikelerle karşı karşıya kalmaktadır. Son yıllarda bu gibi pek çok örneğe rastlanmıştır:
•
Üst düzey sistem yöneticisinin hedeflenmesi ve böylece müşteri verilerinin çalınması için
kamusal bilgilerin kullanılması: Siber suçlular, üst düzey sistem yöneticisinin kamusal
internet faaliyetlerini teşhis etmiş ve izlemişler, Facebook hesabına yüklediği bilgilerden
yararlanarak şifresini bulmuş ve dizüstü bilgisayarına, klavyede bastığı tuşları kaydeden
bir uygulama yüklemişlerdir. Tuşa basma uygulaması ile farklı bilgi sistemlerinin şifreleri
ve önemli müşterilerin bilgileri ele geçirilmiştir. Müşteri bilgileri indirilmiş ve fidye
verilmemesi durumunda bilgilerin internete yükleneceği belirtilmiştir.
6 Symantec (2011) Internet Security Threat Report, Volume 17
14
•
Kötü niyetli yazılım kullanımıyla önceden hedef olarak belirlenmiş gizli verilerin
çalınması: Üst düzey yöneticiler, madencilik ile ilgili görüşmeler yapmak üzere yabancı
bir ülkeyi ziyaret ettiklerinde, ekip üyelerinden bir kısmı otel odalarında bulunan ve
üzerinde şirketlerinin logosu olan USB bellekleri – şirket tarafından verildiğini düşünerek
– kullanmıştır. Sonradan bu belleklerin kötü niyetli yazılım içerdiği tespit edilmiştir.
Yabancı istihbarat örgütü, bu program yoluyla, görüşmeyi yapacak olan ekibin gizli epostalarına erişim elde etmiş ve anlaşmanın diğer tarafı, maliyet yapılarını öğrenmiştir.
Temel saldırıların artmasına yönelik evrimleşme sonucunda yeteri güncellemelerin yapılmadığı
ve bilinçli bir şekilde kullanılmayan sistemlere yönelik tehditler daha da yaygınlaşmıştır. Bu
tehdit çok daha geniş bir kullanıcı havuzuna yöneliktir, ancak sistemlerde büyük sorunlar
yaratabilecek cinsten değildir. Fakat saldırganların uzmanlaşması değerli varlıklara bağlı
sistemleri özel olarak ve çok daha yetkin tekniklerle tehdit etmektedir.
2.1.3
Kritik altyapıların bilgi güvenliği
Siber uzayın güvenliğine kast eden tehditlerin sosyal ve ekonomik düzende kilit rol oynayan
bilişim sistemlerine yöneltilmesi ise olası zararları etkisini çok büyük boyutlara ulaştırabilecektir.
Örneğin bir ülkenin elektrik ağına yapılacak bir siber saldırı sonucunda tüm şehirde hayat
duracak, nükleer tesislere yapılacak siber saldırılar sonucunda doğal bir felaket doğabilecek,
sonuç olarak siber saldırı ile milyonlarca insanın hayatı ciddi anlamda etkilenebilecektir.
İşlevlerini yerine getiremediği takdirde sosyal ve ekonomik düzenin işlerliğini zayıflatacak olan
bu fiziksel ve sayısal altyapılara kritik altyapılar denir. Kritik bilgi altyapıları ise, kritik
altyapıları destekleyen bilgi ve iletişim teknolojileri unsurları olarak veya ulusal ekonomi ve
devlet fonksiyonlarının düzgün işlemesi için gerekli bilgi ve iletişim teknolojileri altyapıları
olarak tanımlanmaktadır.
Kritik altyapıların kapsamı ülkeden ülkeye farklılaşmakta, her ülkenin kendi bağlamında
değerlendirip devlet düzeni ve toplumsal düzenin işlerliğinin devamı açısından kritik önem
taşıyan sistemler seçilerek tanımlanmaktadır (Ek 5.1). ABD, AB ve Japonya’da geçerli olan
kritik altyapı tanımlamalarında bazı ortak unsurlar ön plana çıkmaktadır:
•
•
•
Enerji,
Bilgi ve iletişim,
Tarım, gıda ve su,
15
•
Kamu düzeni,
•
•
•
Ulaşım,
Finans,
Sağlık hizmetleri.
Yukarıda bahsedilen yüksek yetkinliğe sahip siber saldırganların kabiliyetlerinin bu kritik
altyapılara hasar vermeye yönelmesi sosyal ve ekonomik düzene çok ciddi darbe vuracaktır.
Geçmişte bu yönde saldırılar meydana gelmiştir:
•
•
•
2007 yılında Rusya tarafından kamu hizmetlerinin çok büyük bölümünün elektronik
ortamda verildiği Estonya’daki bilişim sistemlerine yönelik siber saldırılar başlamış ve
temelde kamu hizmetlerini hedef alan bu saldırılar dolayısıyla Estonya’da hayat durma
noktasına gelmiştir.7
Brezilya’da 2007 yılında elektrik sistemine yapılan siber saldırı sonucunda 3 milyon kişi
iki gün elektriksiz kalmıştır.8
1998 yılında Kosova’yı işgal eden Sırplara yönelik ABD – NATO hava harekatı
öncesinde Hava Savunma Sistemlerinin kontrolü ele geçirilmiş ve sistem kilitlenmesine
yol açılmıştır.9
Bu kritik altyapılara yapılan saldırılar, saldırganların yetkinliğinin artması ve bilişim
sistemlerinin kritik altyapıların çok daha büyük bir parçası olması ile birlikte önümüzdeki
yıllarda daha da artan bir seviyede zarar verecek, sosyal ve ekonomik düzeni sekteye
uğratacaktır.
2.2
Devletlerin uyguladığı siber güvenlik stratejileri
Bir bireyin kişisel bilgisayarının kötü yazılımlar tarafından çökertilmesi veya ihaleye girecek bir
şirketin ticari sırlarının çalınması toplumun tamamını ilgilendiren olaylar olarak görülmeyebilir
ve devletin toplum adına bütünsel önlemler almasını gerektirmeyebilir. Ancak, bilgi
teknolojilerinin yaygınlaşması ile birlikte kritik altyapılar gibi sosyal ve ekonomik düzenin
parçası olan sistemlerin de siber tehdit altında olması ve bazı kritik altyapıların özel sektörün
elinde bulunması devletlerin bu konuda bütünsel tedbirler almasını zorunlu hale getirmiştir.
7 The Guardian, Rusya Estonya’ya Karşı Siber Savaşla Suçlanıyor, http://www.guardian.co.uk/
world/2007/may/17/topstories3.russia, Ulusal ve uluslararası boyutlarıyla siber Güvenlik, Ulusal ve Uluslararası
Boyutlarıyla Siber Güvenlik.
8 CBS News (2010) Cyber War: Sabotaging the System http://www.cbsnews.com/stories/2009/11/06/
60minutes/main5555565.shtml.
9 Hancock, B., “Güvenlik Bakışları”, Computers & Security, Sayı 18, 1999, s. 553 – 64.
16
Siber güvenliğin gittikçe önem kazandığı bu ortamda özellikle gelişmiş ülkeler, artan oranlarda
siber güvenlik harcamaları yapmaktadır. 2009 yılında bu konuda önde gelen ülkelerdeki10 siber
güvenlik pazarının toplam büyüklüğünün 5,3 milyar dolar olduğu ve bu rakamın 2014 yılında 8,2
milyar dolara çıkacağı tahmin edilmektedir. Bu dönemde devletlerin yaptığı siber güvenlik
harcamalarının boyutunun ise 0,75 milyar dolardan yıllık %8 büyüyerek 1,13 milyar dolara
çıkması beklenmektedir. Bu artış içerisinde ağ güvenliği ile kimlik ve erişim yönetimi
harcamalarının %7 ile büyümesi beklenirken, güvenlik ve zayıflık yönetimi ile diğer siber
güvenlik harcamalarının ise %11 oranında büyümesi beklenmektedir (Şekil 2.2).
Şekil 2.2 Devletlerin siber güvenlik harcamalarının kategorik dağılımı
Devletlerin siber güvenlik harcamaları her kategoride artmaktadır
Pazar büyüklüğü, seçili ülkeler için 1
Milyon dolar
Devletlerin siber güvenlik
harcamaları
Toplam siber güvenlik harcaması
YOBB
Yüzde
8.207
5.267
7.078
Diğer
Devlet
harcamaları
%9
4.516
751
1.129
2009
2014
%8
YOBB
Yüzde
Ağ
güvenliği
349
487
Kimlik ve
erişim
yönetimi
162
222
%7
Güvenlik ve
zayıflık
yönetimi
125
211
%11
Diğer
güvenlik
yazılımları
121
208
%11
2009
2014
%7
1 ABD, Japonya, Almanya, Fransa, İngiltere, İspanya, Kanada, Hindistan, Avustralya, Hollanda, İsviçre, Belçika, İsveç, Norveç, Suudi Arabistan, Danimarka,
Brezilya, Türkiye
Kaynak: IDC, Gartner, basın taraması, McKinsey analizi
Siber tehditlerin sosyal ve ekonomik düzeni etkiler hale gelmesi sonucunda devletler siber
güvenlik konusuna öncelik vermeye ve bu yönde gereken önlemleri almaya başlamıştır. Tehdidin
yetkinliği, kapsamı ve miktarı arttıkça, pek çok gelişmiş devlet bu dinamik teknolojik tehlikeler
konusunda stratejik bir yaklaşım belirlemiştir.
10 ABD, Japonya, Almanya, Fransa, İngiltere, İspanya, Kanada, Hindistan, Avustralya, Hollanda, İsviçre, Belçika,
İsveç, Norveç, Suudi Arabistan, Danimarka, Brezilya, Türkiye
17
Siber güvenlik konusunda stratejik yaklaşım gerekliliği
Siber güvenlik konusu evrensel, çok yönlü ve dinamik bir mücadele olduğu için toplumun bilgi
sistemlerine güvenebilmesi için ancak kapsamlı ve tüm paydaşların bir araya geldiği önlemler
etkili olabilecektir. Bu kapsamlı yaklaşımın getirdiği stratejileri de devletler kendi içlerinde,
ellerindeki hukuki, ekonomik ve diplomatik yöntemlerle gerçekleştirebilmektedir.
Nitekim devletlerin siber güvenliği bir politik öncelik haline getirip etkin bir strateji takip
etmesini şart hale getirmiştir. Diğer ulusal güvenlik stratejilerinin ülkeler için kritik öneme sahip
olması gibi siber güvenlik stratejisi de siber uzayın güvenliğini sağlayarak günlük hayat,
ekonomi, ulusal güvenlik, yenilik ve veri akışı için kritik önem taşıyan bilgi teknolojilerinin etkin
ve verimli bir şekilde kullanılmasını sağlamaktadır ve dolayısı ile ulusal güvenlik anlamında
öncelikli bir sorumluluk haline dönüşmüştür. Bu sorumluluğu yerine getirme aşamasında hem
özel sektörün hem de bireylerin dâhil olmasından dolayı paydaşların genişlemesi stratejik bir
yaklaşımı zorunlu kılmaktadır.
Bu stratejik yaklaşım devleti tek başına çalışan bir aktör olarak değil, daha ziyade mevcut siber
tehdit ortamı ile daha güçlü olarak mücadele edebilecek bir şekilde önderlik eden ve koordine
eden bir rol biçmektedir. Ayrıca bu bütünsel yaklaşım kapsayıcı olmasından ötürü, siber tehdit
altındaki bütün unsurların kabiliyetlerinin gelişmesini sağlamakta ve paydaşlar arasındaki bilgi
paylaşımı ve işbirliğini destekleyici bir sistem kurmakta ve siber güvenlik için büyük önem arz
eden bir ihtiyaca da cevap vermektedir.11
Bu gereksinimlerden ötürü de gelişmiş ülkelerin büyük bölümü siber güvenlik için strateji
hazırlığına önem vermişlerdir. Bu çalışmalar içerisinde farklı önceliklere sahip olabilmelerine
rağmen bu stratejik yönelimler içerisinde altı alt eksene değinmişlerdir (Şekil 2.3):
11 ITU National Cybersecurity Strategy Guide
18
Şekil 2.3 Siber Güvenlik Stratejilerinin Alt Eksenleri
Devletlerin siber güvenlik stratejilerinin 6 alt ekseni vardır
1
Düzenlemeler
6
Uluslararası
işbirliği
2
Uygulama
Siber Güvenlik
Stratejileri
5
Ar-Ge
yatırımları ve
uzman
yetiştirme
2.2.1
3
Yönetişim ve
koordinasyon
4
Toplumsal
farkındalık
Düzenlemeler:
Bu alt eksen, devletlerin bilgi güvenliğini tesis edecek yapılanma ve uygulamaları düzenleyen
strateji belgeleri, kanun ve yönetmeliklerini ve söz konusu mevzuatın kapsamını içerir. Bu
konudaki temel mevzuat genelde stratejik bir bakış açısına sahip olmakta, denetim
mekanizmalarını kurgulamakta, sorumluları ve rolleri açıkça belirlemekte ve kamunun ve özel
sektörün haklarını düzenlemektedir. Aynı zamanda, bu alt eksen kapsamındaki düzenlemeler
temel kavramların oturtulduğu, kritik altyapılar gibi kilit tanımlamaların yapıldığı ve kritik
altyapılar konusunda stratejinin ortaya konduğu kısımdır.
2.2.2
Uygulama:
Bu alt eksen, düzenlenen mevzuatın ilgili kişi ve kurumlar tarafından hayata geçirilişini ve bu
uygulamanın sonucunda kamu, özel sektör ve bireyler bazında siber tehditlere karşı bilgi
19
güvenliğinin sağlanmasını içerir. Aynı zamanda saldırı anında uygulanacak olan eylem planının
etkinliği, bu tür saldırılar sırasında yaşanmış tecrübeler de bu alt eksenin kapsamına girmektedir.
Kritik altyapıların tanımı ve kapsamı düzenlemeler ile belirlendikten sonra bu kapsamdaki
varlıklar için siber güvenlik adımları atılması gerekmektedir. Devletler kritik altyapılarına
gelebilecek saldırıları ve olası sonuçları göz önünde bulundurarak kapsamlı güvenlik önlemleri
almaktadır.
2.2.3
Yönetişim ve koordinasyon:
Yönetişim, mevzuatın öngördüğü uygulamadan ve denetlemeden sorumlu yapılanma tasarımını,
bu yapılanmanın kapsamını, müdahillerini ve kendi aralarındaki ilişkilerini içerir. Koordinasyon
görevi ise, bilgi güvenliği konusunda çalışan değişik kurum ve kuruluşların birikimlerinin
paylaşılması ve kaynakların koordinasyonu için öngörülen düzeni, bu düzenin kapsamı ve
imkânlarını içerir. Özellikle dağınık ve özerk olarak genişlemiş yönetişim unsurlarının kendi
alanlarında derinleşmesi ve belli birikim ve kaynaklara sahip olması nedeniyle, eldeki imkânların
daha verimli kullanılması önemli bir konu olmuştur. Ayrıca sistematik risklerin çözülebilmesi ve
unsurlar dışı zayıflıkların görülebilmesi de ancak başarılı bir koordinasyon ile mümkün
olabilmektedir.
Bu anlamda yönetişim ve koordinasyon birimlerinin kompozisyonu, dolayısıyla bu aşamalarda
hangi paydaşların müdahil olduğu önemli bir konu olmuştur. Siber güvenlik konusunun
doğasından ve paydaşların çokluğundan ötürü, pek çok ülke yönetişim ve koordinasyon
içerisinde olabildiğince çok paydaşı kullanmaya ve onların kaynaklarından yararlanmaya
yönelmiştir. Bu doğrultuda özellikle kamu-özel işbirliği modelleri ön plana çıkmaktadır.
2.2.4
Toplumsal farkındalık
Bu alt eksen kurum ve kuruluşların çalışanları ve yöneticilerinin siber güvenlik konusunda bilinç
seviyesini ve toplumda var olan farkındalığı, söz konusu bilinç seviyesinin artırılmasını ve
kapsamlı bir siber güvenlik kültürü oluşturulmasını içerir. Teknik ve kurumsal önlemler
alınmasına rağmen kullanıcıların dikkatli davranmaması, kişisel bilgisayarlarının veya
cihazlarının güvenliği için gereken adımları atmaması veya sosyal ve ekonomik düzene zarar
verebilecek saldırılara ve bu saldırıları düzenleyen saldırganlara karşı gerekli toplumsal tepkinin
doğmaması gibi olası durumların sonucunda siber güvenlik tehlikeye düşebilecektir. Bilgi
güvenliği konusundaki farkındalık ve bilinç iki boyutta incelenebilmektedir:
20
•
Bireylerin bilgi güvenliği bilinci ve güvenli kullanım becerileri,
•
Toplumsal ve kurumsal bilgi güvenliği bilinci, bu konuya verilen öncelik ve bu yönde
geliştirilen kabiliyetler,
Pek çok ülkede bireylerin farkındalığını artırmak ve mağduriyetleri azaltmaya yönelik çalışmalar
internetin yaygınlaşmasına paralel olarak ilerlemiştir. Bu konudaki çalışmalar daha çok Güvenli
İnternet başlığı altından incelenmektedir. Toplumsal ve kurumsal bilgi güvenliği bilinci ise
bireysel farkındalıktan yükselmesine rağmen daha bütünsel anlamda bilgi güvenliği kültürünün
artırılmasına yönelik çalışmalarla da desteklenmiştir.12
2.2.5
Ar-Ge yatırımları ve insan kaynakları:
Bu alt eksen gerekli teknolojik araştırma ve geliştirmeyi yapabilecek kamu kurumları, özel
kurumlar, sivil toplum kuruluşları ve üniversitelerin çalışmalarını, kabiliyetlerini ve bu yönde
onlara sunulan maddi imkânları içermekte, koşut olarak da bu çalışmaları yürütebilecek veya
çalışmalara destek olabilecek insan kaynaklarının durumunu ve uzman yetiştirme politikasını
içermektedir. Zira olası saldırganların kabiliyetleri arttıkça ve siber tehditler daha gelişmiş bir hal
aldıkça, bilgi güvenliği için gereken yetkinlik seviyesi de artmakta ve bu konuda yapılacak
araştırma ve geliştirme çalışmalarına ihtiyaç da artmaktadır.
2.2.6
Uluslararası işbirliği:
Bu alt eksen uluslararası bilgi güvenliği çalışmalarına katılımı ve bu işbirliklerinin sonuçlarını
içerir. Günümüzde siber tehditlerin uluslararası boyut kazandığı, saldırıların ulusal sınırlarla
sınırlı kalmadığı, dolayısı ile önlemlerin ulusal sınırlarla sınırlı kalamayacağı düşünülürse, bu
konuda devletlerarası işbirliğinin önemi daha da ön plana çıkmaktadır.
2.3
Siber güvenlik stratejilerindeki eğilimler
Bu alt eksenlerde takip edilen yolları incelediğimizde ülkelerin siber güvenlik stratejilerinin üç
ayrı modele yöneldiği görülmektedir. Küresel örnekler raporunda daha detaylı bir şekilde
incelenecek bu modellerin her biri mevcut siber güvenlik sorunlarına değişik yaklaşımlarla
geçerli çözümler oluşturmakta ve Türkiye’deki mevcut eğilimin ve unsurlarının değerlendirmesi
için faydalı bir çerçeve sunmaktadır (Şekil 2.4).
12 OECD, 2002, OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of
Security
21
•
Model 1, Hollanda’da uygulanan siber güvenlik stratejisi üzerine oluşturulmuştur. Bu
modelde temel haklara ve internetin açıklığına vurgu yapılmakta, güvenlik için herkese
sorumluluk yüklenmekte, saldırı öncesi bilinçlenme ile önlemler alınmakta ve saldırı
sonrasında sistemlerin işlerliğinin devam etmesine odaklanılmaktadır. Yönetişim ve
koordinasyon sürecine olabildiğince çok paydaş dahil edilmekte, kamu-özel işbirliği ve
uluslararası işbirlikleri sayesinde eldeki kaynaklar ve birikim artırılmaya çalışılmaktadır.
•
Model 2, Almanya’da uygulanan siber güvenlik stratejisi üzerine oluşturulmuştur. Bu
modelde kritik altyapıların güvenliğine odaklanılmış, siber güvenlik stratejisinin
ekonomik hayat için bir ön şart olması vurgulanmıştır. Sistemlerin güvenliği için her türlü
önlemin alınması, gerçek zamanlı farkındalık kabiliyetleri ve sistemlerin saldırı sırasında
Şekil 2.4 Siber güvenlik stratejisi modelleri
Önceliklere göre, mevcut ulusal siber güvenlik stratejileri iki yönde
ilerlemektedir
Avustralya
Özgürlük
odaklı
yaklaşım
Estonya
Hollanda
Kanada
Slovakya
Finlandiya
Almanya
Toplumsal
Farkındalık
Ar-Ge ve
uzmanlık
Uluslararası
işbirliği
Almanya:
Sistemlerin korunması
Fransa:
«Siber savunmada dünya
lideri olmak»
Arttırılmış farkındalık ve yetkinlikler
yoluyla önleme
Saldırı sonrası devamlılık
▪
▪
▪
▪
Güvenli sistemler yoluyla önleme
Gerçek zamanlı farkındalık
Tepki yetkinliği
Saldırı sonrası devamlılık
▪
Yüksek işbirliği, tüm paydaşları
kapsamaktadır
Kamu-özel ortaklıkları
▪
Altyapı paydaşları dahil edilmiştir
▪
Kamu kuruluşları – ve askeri-merkezcil
yönetişim
▪
Toplumsal farkındalığın ötesinde
toplumsal sorumluluk
▪
Tüm sistemlerin güvenliğini sağlayacak
kapsamlı güvenlik kültürü
▪
Toplumsal farkındalığı artırma
çalışmaları
▪
Ar-Ge alanında müşterek yatırımlar
▪
Kapsamlı güvenli sistem yatırımları, ve
teknolojileri
▪
▪
Teknolojik gelişme ve yetkinliklere
yüksek kamu yatırımları
Ulusal uzmanlık geliştirilmesi
▪
▪
Aktif uluslararası işbirliği
Uluslararası uygulamalar
▪
▪
▪
▪
▪
Oldukça aktif uluslararası işbirliği
Uluslararası uygulamalar
Kritik altyapı güvenliğinin düzenlenmesi
Sistemlerin güvenliği vurgulanmaktadır
3
▪
▪
▪
▪
Yönetişim ve
koordinasyon
2
Fransa
Minimal düzenlemeler, özdüzenlemeler teşvik edilmektedir
Temel haklar ve internetin açıklığı
vurgulanmaktadır
▪
Uygulama
ABD
İspanya
1 Hollanda:
«İşbirliği yoluyla başarı»
Düzenlemeler
Egemenlik
odaklı
yaklaşım
İngiltere
▪
▪
▪
▪
Aktif uluslararası işbirliği
Uluslararası uygulamalar
22
▪
▪
Siber savunma gücü olmak için güçlü
kanunlar
Ulusal hükümdarlık vurgulanmaktadır
Kapsamlı güvenlik önlemleri yoluyla
önleme
Gerçek zamanlı farkındalık
Güçlü tepki yetkinliği
ve sonrasında işlerliğine odaklanılmıştır. Devlet siber güvenlik konusunda sosyal ve
ekonomik düzenin devamlılığını sağlamak için aktif bir rol almaktadır.
•
Model 3, Fransa’da uygulanan siber güvenlik stratejisi üzerine oluşturulmuştur. Bu
modelde ülkenin her türlü saldırıya karşı egemenliğinin korunması için siber güvenlik
anlamında da politik ve askeri gücünü artıracak adımları atması gerektiği vurgulanmıştır.
Devlet önleyici adımlar yerine daha caydırıcı olmak üzerine adımlar atmakta, siber
saldırganlar kadar yetkin uzman ekipler ile elindeki siber gücü artırmayı amaçlamaktadır.
Paydaşlar yerine devlet sorumluluk üstlenmektedir.
2.4
Türkiye’deki mevcut durum
Türkiye’de de kamu kurumlarında ve özel sektörde bilişim teknolojilerinin kullanımı gittikçe
artmakta, toplumda hem bilgisayar ve internet kullanımı yaygınlaşmakta hem de bu kullanımın
niteliği ve kapsamı artmaktadır. Bu eğilime paralel olarak olası siber tehditlerin verebileceği
zararlar büyümekte, dolayısıyla bilgi güvenliği ihtiyacı artmaktadır. Kamuoyuna yansıyan
saldırılar ülkemizdeki bilgi güvenliğinin ne kadar zayıf olduğunu göstermiş, bu konudaki ilk
ciddi adım 2006-2010 yılı dönemini kapsayan Bilgi Toplumu Stratejisi ile birlikte atılmış, 2012
yılında Siber Güvenlik Kurulu’nun kurulması ile yeni bir evreye girilmiştir.
Ülkemizde de kamuoyuna yansıyan haberler arasında kamu kurumlarının uğradıkları siber
saldırılar önemli bir yer tutmaktadır. Söz konusu kurumlara yapılan saldırıların ağırlıkla orta
yetkinliğe sahip hacktivist gruplar tarafından politik tepki amacıyla kurumların ve kuruluşların
itibarlarını zedeleyici saldırılar olduğu görülmüş, sonucunda ortaya çıkan maddi zarar gündeme
gelmemiştir (Ek 5.2). Bu hacktivist saldırılar arasında belgelerin ifşa edilmesine yönelik eylemler
ön plana çıkmaktadır. Son zamanlarda bu saldırılar sonucunda pek çok kurum ve kuruluşun
sistemlerinin oldukça zayıf olduğu ortaya çıkmış, zarar verme amaçlı saldırıların ne kadar
kolaylıkla sonuca ulaşabileceği görülmüştür.
Hacktivist saldırılar siber güvenlik konusundaki zafiyetleri ortaya sermeden önce de ülkemizde
internet aracılığı ile siber saldırılar meydana gelmiştir. Örneğin, 2003 yılında internet
kullanımının yaygınlaşması ile birlikte sanal bankacılığın da yaygınlaşması sonucunda pek çok
siber saldırı meydana gelmiş ve binlerce kişi dolandırılmıştır.13
13 Hürriyet, Şubat 2007, Sanal banka mağdurları derneği kuruldu
23
Mevcut siber tehditler göz önüne alındığında, henüz ülkemizde kritik altyapıların ciddi bir hasara
uğradığı saldırı olmamış olsa dahi, siber güvenliğin doğası gereği bu riskin varlığı da
reddedilememektedir. Örneğin, İstanbul’un elektrik dağıtım sistemine yapılacak bir siber saldırı
başarıya ulaştığı anda milyonlarca insanın elektriğe erişimi kesilecek, milyarlarca liralık
ekonomik faaliyet sekteye uğrayabilecektir ya da MERNİS sistemine yapılacak bir siber saldırı
sonucunda bu sistem üzerinde TC Kimlik Numarası kullanan binlerce işletme sorun yaşayacaktır.
Nitekim orta yetkinlikteki saldırılarda dahi kolaylıkla güvenlik açıkları istismar edilebilen kamu
sistemleri, istihbarat örgütleri gibi kaynakların desteklediği ciddi saldırılara karşı daha büyük
zararlara yol açabilecektir. Nitekim geçmiş vakaların gösterdiği zayıflıklar 2011 yılında
TÜBİTAK ve BTK’nın yaptığı ve 41 kurum ve kuruluşun katıldığı Ulusal Siber Güvenlik
Tatbikatı esnasında da görülmüş ve “kurum ve kuruluşlarda bilgi güvenliği açısından
azımsanmayacak miktarda açıklık olduğu” sonucu ortaya çıkmıştır. 14
Bu konulardaki ilk kapsamlı adımlar Devlet Planlama Teşkilatı Müsteşarlığı Bilgi Toplumu
Dairesi tarafından hazırlanan ve 28 Temmuz 2006 tarihinde yürürlüğe giren 2006-2010 yılı
dönemini kapsayan Bilgi Toplumu Stratejisi ve ek’i Eylem Planı ile birlikte atılmıştır. “Bilgi
Güvenliği ile İlgili Yasal Düzenlemeler” başlıklı 87 numaralı eylem ve “Ulusal Bilgi Sistemleri
Güvenlik Programı” başlıklı 88 numaralı eylem ile birlikte siber güvenlik konusunda adımlar
belirlenmiştir.
2012 yılı içerisinde ise alınan Bakanlar Kurulu Kararı ile birlikte kamuda yer alan bilgi
sistemlerinin güvenliğini sağlamaya yönelik önlemlerin alınması ve kritik altyapıların
güvenliğinin düzenlenmesi göreviyle Siber Güvenlik Kurulu kurulmuştur.
Söz konusu kapsamda ülkemizdeki siber güvenlik konusundaki mevcut durumu 6 alt eksen
içerisinde incelenecektir.
2.4.1
Düzenlemeler:
Ülkemizde bu konuda bazı kanun çalışmaları yapılmasına rağmen yasalaşan bir düzenleme
olmamış, bu yöndeki çalışmaları yürütmek amacıyla Bakanlar Kurulu Kararı çıkartılmış,
bankacılık ve telekomünikasyon sektörlerine dair düzenlemeler hayata geçmiştir. 2006-2010
dönemini kapsayan Bilgi Toplumu Stratejisi ile birlikte siber güvenlik konusunda kapsamlı
adımlar atılmaya başlanmış, 2012 yılında çıkarılan Bakanlar Kurulu Kararı ile birlikte ise ulusal
14 Tatbikatın ikincisi 2013 Ocak ayında yapılmış ancak henüz bulgular yayınlanmamıştır
24
siber güvenliğin sorumluluğu yine bu karar ile kurulan Siber Güvenlik Kurulu’na verilmiştir.
Siber Güvenlik Kurulu da Siber Güvenlik Strateji Belgesi ve 2013-2014 yıllarını kapsayacak
eylem planı üzerinde çalışmaktadır.
2003 yılında Başbakanlık Personel ve Prensipler Genel Müdürlüğünün hazırladığı “Bilgi Sistem
ve Ağları için Güvenlik Kültürü” konulu Başbakanlık Genelgesi, OECD Bilgi Güvenliği ve
Kişisel Mahremiyet Çalışma Grubunun hazırladığı rehber ilkelerin bir çevirisi olup, bilgi
güvenliği ile ilgili bilinç, sorumluluk, etik, demokrasi gibi hususlarda öneriler sunmaktadır. Bu
genelge ülkemizde kapsamlı bir şekilde bilgi güvenliği kültürü ve yaklaşımı oluşturmak için
kritik bir adım atmıştır.
Siber güvenliğe yönelik kanuni çalışmalar uzun süredir devam etmiş, 1991’de Türk Ceza
Kanunu’na “Bilişim Alanında Suçlar” başlığı altında düzenlemeler eklenmiş ve siber güvenlik
yönünde mücadelede cezai yaptırımların belirlenmesi ile önemli bir adım atılmıştır. 1990’ların
sonlarından 2006 yılına kadar Milli Savunma Bakanlığı bünyesinde yürütülen siber güvenlik
çalışmaları ile hukuki boşluğu gidermeye yönelik Ulusal Bilgi Güvenliği Teşkilatı ve Görevleri
Hakkında Kanun Tasarısı Taslağı hazırlanmış, ancak üzerinde mutabakat sağlanamadığı için
sonuca ulaşılamamıştır.15
2006-2010 Bilgi Toplumu Stratejisinin Eylem Planı dâhilindeki “Bilgi Güvenliği ile İlgili Yasal
Düzenlemeler” başlıklı 87 numaralı eylem Adalet Bakanlığı’na, 2006 yılında başlanıp 9 ay
içerisinde tamamlanmak üzere,
•
•
Ülke güvenliğini ilgilendiren bilgilerin elektronik ortamda korunması ve devletin bilgi
güvenliği sistemlerinin geliştirilmesi amacına uygun yasal altyapıyla ilgili düzenleme
yapma ve uygulamaya koyma görevi,
Kişisel Verilerin Korunması Hakkında Kanun Tasarısı Taslağı yasalaştırılması görevi
vermiştir.16
Söz konusu eylemdeki ilerlemeyi inceleyen değerlendirme raporları hazırlanmış, bu raporların
beşincisi ve sonuncusu Mart 2010 tarihinde yayınlanmış ve bu rapora göre 87 numaralı eylem,
%40 oranında tamamlanmış olarak belirtilmiş ve bu kapsamda:
•
Kişisel Verilerin Korunması Hakkında Kanun Tasarısı TBMM’ye sevk edilmiş,
15 BTK, 2010, Kritik Altyapıların Korunması
16 Bilgi Toplumu Stratejisi Eylem Planı (2006-2010)
25
•
Milli Savunma Bakanlığı yürüttüğü yasal altyapı çalışmalarını eylemin sorumlu kurumu
olan Adalet Bakanlığına devretmiş, bu yönde Ulusal Bilgi Güvenliği kanun tasarısı
üzerinde çalışmaya başlanmış, geniş katılımlı bir komisyon oluşturma çabaları
sürdürülürken, bir “Çalışma Grubu” tarafından ön taslak hazırlanmıştır.17
Adalet Bakanlığı’nın sürdürdüğü kanun tasarısı hazırlığına başlamıştır ve ortaya Ulusal Bilgi
Güvenliği Teşkilatı ve Görevleri Hakkında Kanun Tasarısı oluşturulmuştur. Bu Tasarının amacı:
•
•
•
•
Ulusal güvenliği ilgilendiren bilgilerin korunması,
Devletin bilgi güvenliği faaliyetlerinin geliştirilmesi,
Gerekli politikaların üretilmesi ve belirlenmesi,
Kısa ve uzun dönemli planların hazırlanması,
•
•
•
Kriter ve standartların saptanması,
İhracat ve ithalat izinlerinin ve sertifikalarının verilmesi,
Bilgi sistemlerinin teknolojiye uyumunun sağlanması,
•
Uygulamanın takip ve denetimi kamu ve özel kurum ve kuruluşların arasında
koordinasyonun sağlanması amacıyla bir teşkilatın kurulması ve görevlerine ilişkin esas
ve usulleri düzenlenmesi,
olarak belirtilmiştir. 18 Ancak 2010 yılı içerisindeki Anayasa çalışmaları dolayısıyla tasarıya son
şekli verilememiştir ve bu konuda bir düzenleme henüz yasalaşamamıştır.
Bilgi güvenliği konusunun siyasi bir öncelik haline gelmesinin sonrasında, önlemlerin hızla
alınması için 2012 yılında Bakanlar Kurulu’nun Ulusal Siber Güvenlik Çalışmalarının
Yürütülmesi Yönetilmesi ve Koordinasyonuna İlişkin Kararı ile birlikte ilk düzenlemeler
yapılmıştır. Bu kararın amacı kamu kurum ve kuruluşlarınca bilgi teknolojileri üzerinden
sağlanan her türlü hizmet, işlem ve veri ile bunların sunumunda yer alan sistemlerin güvenliğinin
sağlanmasına ve gizliliğinin korunmasına yönelik tedbirlerin alınması ve bilgi ve iletişim
teknolojilerine ilişkin kritik altyapıların işletiminde yer alan gerçek ve tüzel kişilerce uyulması
gerekli usul ve esasları düzenlemektir. Karar, Ulusal Siber Güvenlikten Ulaştırma, Denizcilik ve
Haberleşme Bakanlığı’nı sorumlu ve yetkili kılmış; çalışmalar süresince azami ölçüde milli
17 Bilgi Toplumu Stratejisi Eylem Planı (2006-2010) Değerlendirme Raporu
18 Bu Tasarının amacı: Ulusal güvenliği ilgilendiren bilgilerin korunması, devletin bilgi güvenliği faaliyetlerinin
geliştirilmesi, gerekli politikaların üretilmesi ve belirlenmesi, kısa ve uzun dönemli planların hazırlanması, kriter ve
standartların saptanması, ihracat ve ithalat izinlerinin ve sertifikalarının verilmesi, bilgi sistemlerinin teknolojiye
uyumunun sağlanması, uygulamanın takip ve denetimi kamu ve özel kurum ve kuruluşların arasında
koordinasyonun sağlanması amacıyla bir teşkilatın kurulması ve görevlerine ilişkin esas ve usulleri düzenlenmesi
olarak belirtilmiştir.
26
kaynakların kullanılmasını talep etmiş ve planlanacak çalışmalar için maddi kaynak tahsisinin
öncelikli olarak yapılacağını belirtmiştir. Bu doğrultuda, alınacak önlemleri belirlemek,
hazırlanan çalışmaları onaylamak ve bunların uygulanmasını ve koordinasyonunu sağlamak
amacıyla Siber Güvenlik Kurulu kurulmuştur. Bu Kurula politika, strateji ve eylem planı
hazırlama, bilgi ve veri güvenliğinin sağlanması için usul ve esasları düzenleme, Ulusal Siber
Güvenlik konusunda kurum ve kuruluşların teknik alt yapısını oluşturma ve denetleme, kritik
altyapıların güvenliğini sağlamaya yönelik çalışmaları yürütme, bu konuda çalışan gerçek ve
tüzel kişilere güvenlik belgesi verme, konu ile ilgili insan kaynaklarının zenginleştirilmesini
planlama ve bilinçlendirme çalışmalarını yürütme görevleri verilmiştir.
Söz konusu karar ile kurulan Siber Güvenlik Kurulu Siber Güvenlik Strateji Belgesi ve 20132014 Eylem Planı üzerinde çalışmaktadır. TBMM İnternet Araştırma Komisyonu da siber
güvenlik konularını da kapsayan raporunu tamamlamış ancak henüz yayınlamamıştır. Ancak bu
iki çalışmanın da en kısa sürede mevzuat eksikliğinin giderilmesi hususuna değinmesi
beklenmektedir.
Ayrıca, bankacılık ve telekomünikasyon sektörlerinde siber güvenlik konusu ile ilgili
düzenlemeler de mevcuttur.
Ülkemizdeki bankacılık sektörü Bankacılık Kanunu, Banka Kartları ve Kredi Kartları Kanunu,
Bankaların İç Sistemleri Hakkında Yönetmelik, Bankaların Destek Hizmeti Almalarına ve Bu
Hizmeti Verecek Kuruluşların Yetkilendirilmesine İlişkin Yönetmelik ve Bankalarda Bağımsız
Denetim Gerçekleştirecek Kuruluşların Yetkilendirilmesi Ve Faaliyetleri Hakkında Yönetmelik
uyarınca bilgi güvenliği önlemleri almaktadır. 19 Söz konusu düzenlemelere ek olarak, özellikle
Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ ile birlikte
bankalardaki bilişim sistemlerinin yönetiminde ve güvenliğinde esas alınacak asgari usul ve
esaslar düzenlenmiştir.20
Telekomünikasyon sektöründeki işletmeciler de Elektronik Haberleşme Kanunu uyarınca
imzalanan İmtiyaz Sözleşmeleri elektronik haberleşme güvenliği ile ilgili çeşitli yükümlülükler
altına girmekte ve Elektronik Haberleşme Güvenliği Yönetmeliği işletmecilerin fiziksel alan
güvenliği, veri güvenliği, donanım-yazılım güvenliği ve güvenilirliği ile personel güvenilirliğinin
sağlanması için tehditlerden ve/veya zafiyetlerden kaynaklanan risklerin bertaraf edilmesi veya
azaltılmasına ilişkin olarak alacakları tedbirlere yönelik usul ve esasları kapsamaktadır.
19 Ahmet Türkay Varlı, 2007, Bankacılıkta Bilgi Sistemleri. Denetiminde BDDK Yaklaşımı ve Bilgi Güvenliği
20 Bilge Karabacak, Haziran 2009, Türkiye’de Bilişim Güvenliğiyle İlgili Yasal Altyapının Analizi, TÜBİTAK-BİLGEM
27
Elektronik Haberleşme Güvenliği Yönetmeliği’nde Değişiklik Yapılmasına Dair Yönetmelik ile
birlikte bu yönetmelikte değişiklik yapılmıştır. 21
Tablo 2.3 Kurumlar tarafından getirilen kritik altyapı kapsamı önerileri
Kaynak Kurum ve
Kuruluş
Kritik Altyapılar Kapsamı
Önerisi
BTK
•
Doğal gaz
•
Hava Kontrol Sistemleri
•
Petrol
•
Sağlık Hizmetleri
•
Su ve Elektrik Nakil
•
Vatandaşlara Ait Büyük
Şebekeleri
TÜBİTAKBİLGEM22
Bilgi Güvenliği
Derneği
Miktarda Bilgi İçeren
Bilişim Sistemleri
•
Barajlar
•
Ulaşım
•
Kritik Kamu Servisleri
•
Bankacılık ve Finans
•
Telekomünikasyon
•
Sağlık ve Acil Durum
Servisleri
•
Kritik Üretim Tesisleri
•
Bilişim
•
Ulaşım
•
Enerji
•
Savunma
•
Mali İşler
•
Kamu Güvenliği
•
Sağlık
•
•
Gıda
Nükleer, Biyolojik, Sosyal
Tesisler
•
Su
Ülkemizde belli adımlar atılmış olmasına rağmen siber güvenlik açısından en önemli unsurlar
olan kritik altyapıların tanımlamaları ve kritik altyapılar konusundaki strateji henüz
21 BTK, 2013, Elektronik Haberleşme Güvenliği – Mevzuat,
http://www.tk.gov.tr/bilgi_teknolojileri/elektronik_haberlesme_guvenligi/mevzuat.php
22 Bilge Karabacak, Eylül 2011, Kritik Altyapılara Yönelik Siber Tehditler ve Türkiye için Siber Güvenlik Önerileri,
TÜBİTAK-BİLGEM,
28
belirlenmemiştir. Değişik kurumlar tarafından, uluslararası örneklerde belirtilen unsurlara benzer
bir şekilde, ülkemiz için kritik altyapı kapsamı yönünde öneriler gelmiştir (Tablo 2.3).
Henüz kapsamlı bir siber güvenlik düzenlemesi olmamasına rağmen, siber tehditleri yaratan
unsurların azaltılmasına yönelik bilişim suçları düzenlemeleri siber güvenliğin tesis edilmesine
yönelik önemli bir hukuki altyapı sunmaktadır. Söz konusu düzenlemelerde aşağıdaki suçlara
cezai düzenleme getirilmiştir:
5237 sayılı Türk Ceza Kanunu içerisinde:
•
•
Bilişim sistemine girme (m.243)
Sistemi engelleme, bozma, verileri yok etme veya değiştirme (m.244)
•
•
•
Banka veya kredi kartlarının kötüye kullanılması (m.245)
Nitelikli hırsızlık (m. 142/2-e)
Nitelikli dolandırıcılık (m. 158/1-f)
•
•
•
•
Kişisel verilerin kaydedilmesi (m. 135)
Verileri hukuka aykırı olarak verme veya ele geçirme (m. 136)
Nitelikli haller (m. 137)
Verileri yok etmeme (m. 138)
•
•
•
•
Haberleşmenin engellenmesi (m. 124)
Hakaret (m. 125)
Haberleşmenin gizliliğini ihlal (m. 132)
Kişiler arasındaki konuşmanın dinlenmesi ve kayda alınması (m. 133)
•
•
Özel hayatın gizliliğini ihlal (m. 134)
Müstehcenlik (m. 226)
5846 sayılı Fikir ve Sanat Eserleri Kanunu içerisinde:
•
•
Manevi, mali veya bağlantılı haklara tecavüz (m. 71)
Koruyucu programları etkisiz kılmaya yönelik hazırlık hareketleri (m. 72)
5070 sayılı Elektronik İmza Kanunu içerisinde:
•
•
İmza oluşturma verilerinin izinsiz kullanımı (m. 16)
Elektronik sertifikalarda sahtekarlık (m. 17)
Ayrıca bu söz konusu cezai düzenlemeler dışında Ceza Muhakemesi Kanunu, Adli ve Önleme
Aramaları Yönetmeliği ve Bankacılık Kanunu içerisinde de bilişim suçlarına dair düzenlemeler
yapılmıştır.
29
2.4.2
Uygulama:
Bu konuda var olan bir mevzuat olmadığından dolayı henüz bir mevzuatın doğrudan
uygulamasından bahsedilememektedir, ancak özellikle Bilgi Toplumu Stratejisi dahilinde siber
güvenliğe yönelik ciddi adımlar atılmıştır.
2006-2010 Bilgi Toplumu Stratejisinin Eylem Planı dâhilindeki “Ulusal Bilgi Sistemleri
Güvenlik Programı” başlıklı 88 numaralı eylem ile TÜBİTAK’a, 2007 yılında başlanıp 24 ay
içerisinde tamamlanmak üzere,
•
•
Siber âlemdeki güvenlik tehditlerini sürekli olarak takip edecek, uyarılar yayınlayacak, bu
risklere karşı ne şekilde tedbir alınabileceğine dair bilgilendirme yapacak, risklerin ortaya
çıkması durumunda karşı tedbirleri koordine edebilecek bir “bilgisayar olaylarına acil
müdahale merkezi (CERT)” kurma görevi,
Kamu kurumları için gerekli minimum güvenlik seviyelerini kurum ve yapılan işlem
bazında tanımlanacak, kurumlar tarafından kullanılan sistem, yazılım ve ağların güvenlik
seviyeleri tespit etme ve eksikliklerin giderilmesi yönünde öneriler oluşturma görevi
verilmiştir.
Söz konusu eylemdeki ilerlemeyi inceleyen değerlendirme raporları hazırlanmış, bu raporların
beşincisi ve sonuncusu Mart 2010 tarihinde yayınlanmış ve bu rapora göre 88 numaralı eylem,
%80 oranında tamamlanmış olduğu belirtilmiş ve dâhilindeki adımlar dört alt proje başlığı
altında incelenmiştir:
•
Bilgisayar Olaylarına Acil Müdahale Merkezi (CERT) kurulumu projesi
•
•
•
Bilgi Güvenliği Yönetim Sistemi (BGYS) pilot projeleri
Eğitim projesi
Bilgi Güvenliği Kapısı projesi.
Bilgisayar Olaylarına Acil Müdahale Merkezi (CERT) kurulumu çalışmaları kapsamında bazı
kamu kurumları ile birlikte yapılan çalışmaların sonucunda bu kurumlarda23, Bilgisayar
Olaylarına Müdahale Ekibi (BOME) kurulmuştur. Asıl amacı ülke genelinde kurum ve
kuruluşlara bilgisayar güvenlik olaylarına müdahale yeteneği kazandırmak ve gerçekleşen
bilgisayar güvenlik olaylarına müdahale etmek olan BOME, bu kapsamda hem kamu kurum ve
kuruluşlarının hem de özel sektör şirketlerinin siber savunma kabiliyetini geliştirmek için ulusal
23 Mart 2010 itibari ile Başbakanlık, Adalet Bakanlığı, Sermaye Piyasası Kurulu, Sayıştay Başkanlığı, Muhasebat
Genel Müdürlüğü, Merkez Bankası, Dış Ticaret Müsteşarlığı, Hazine Müsteşarlığı ve Tapu Kadastro Genel
Müdürlüğü’nde BOME kurulmuş durumdadır
30
siber güvenlik tatbikatları ve bilgi güvenliği çalıştayları organize etmektedir ve bu kurum ve
kuruluşlarda BOME kurulması veya bilgisayar güvenlik olayları müdahale yeteneği kazanılması
amacıyla eğitim ve danışmanlık hizmetleri vermektedir. Ayrıca siber güvenlik yaz kampları ve
eğitimleri ile siber güvenlik alanında insan kaynağı geliştirilmesine çalışmaktadır.
Ayrıca artan siber tehditler karşısında ülkemizin durumunu tespit edebilmek amacıyla TRBOME
koordinatörlüğünde BOME 2008 Tatbikatı icra edilmiş, BOME kurulumunu sağlamak ve
personel yetkinliğini artırmak amacıyla Kullanıcı Bilinçlendirme Eğitimi, BOME Kurulum ve
Yönetim Eğitimi, Olay Müdahale ve Sistem Analizi Eğitimi’nin internet üzerinden ücretsiz
olarak verilmesi için ön çalışmalar başlamış, hizmete giren internet sayfaları24 aracılığı ile ihbar
alınıp müdahale edilmeye başlanmış ve BOME çalışmaları kapsamında sistem kullanıcılarının ve
yöneticilerinin önemli güncel tehditler konusunda uyarılmasına çalışılmıştır. Ayrıca TR-BOME,
uluslararası siber savunma tatbikatı olan NATO Cyber Coalition 2009 Exercise etkinliğine aktif
katılım göstermiş, siber savunma konusunda olay müdahale, uluslararası işbirliği gibi konularda
eksikler görülmüş ve koordinasyon yeteneği geliştirilmiştir.
Eğitim projesi kapsamında, üniversite personeline içeriğinin TÜBİTAK-ULAKBİM’in görüşleri
alınarak hazırlanmış bilgi güvenliği eğitimleri verilmiştir. Ayrıca, Bilgi Güvenliği Kapısı,
bilgiguvenliği.gov.tr adresinde hizmet vermeye başlamış olup içeriğinde güvenlik bildirileri,
teknik yazılar, kılavuzlar ve duyurular bulunmaktadır.
Ayrıca günümüzde, TÜBİTAK BİLGEM SGE altında bilgi sistemleri güvenliği danışmanlığı
hizmeti de verilmekte, bu doğrultuda bilgi güvenliği eğitimleri verilmekte, sızma testleri ve
güvenlik denetimleri gerçekleştirilmekte, güvenli bilgi sistemleri kurulum danışmanlığı, bilgi
güvenliği yönetim sistemi danışmanlığı, güvenli yazılım geliştirme danışmanlığı yapılmakta ve
BT ürün güvenliği laboratuvarı çalışmalarını sürdürmektedir.
Mevcut Bakanlar Kurulu Kararı’nın öngördüğü Siber Güvenlik Kurulu da Aralık 2012 içerisinde
ilk toplantısını gerçekleştirmiş, 2013-2014 Eylem Planı üzerinde çalışılmaya başlanmış, bu
çalışma sonucunda pek çok kurum ve kuruluşa görevler verilmesi beklenmekte ancak bu raporun
yazılma tarihinde kamuoyuyla paylaşılan bir çalışma bulunmamaktadır.
24 www.tr-bome.gov.tr ve www.tr-cert.gov.tr
31
2.4.3
Yönetişim ve koordinasyon:
Bakanlar Kurulu Kararında belirtildiği gibi Siber Güvenlik Kurulu bilgi güvenliği
çalışmalarındaki yönetişim sisteminin başında bulunmaktadır. Siber Güvenlik Kurulu’nun kamu
içerisinden üst düzey yöneticilerden oluşması ve hem yürütücü hem de koordinasyon kurulu
olarak çalışması öngörülmüştür. Bu kurulun üyeleri şunlardır:
•
Ulaştırma, Denizcilik ve Haberleşme Bakanı
•
•
•
Dışişleri, İçişleri, Milli Savunma, Ulaştırma, Denizcilik ve Haberleşme Bakanlıkları
Müsteşarları
Kamu Güvenliği Müsteşarı
MİT Müsteşarı
•
•
•
Genelkurmay Muhabere Elektronik ve Bilgi Sistemleri Başkanı
BTK Başkanı
TİB Başkanı
•
•
•
TÜBİTAK Başkanı
Mali Suçlar Araştırma Kurulu Başkanı
Ulaştırma, Denizcilik ve Haberleşme Bakanlığı yetkilileri
Ayrıca Ulaştırma, Denizcilik ve Haberleşme Bakanınca belirlenen bakanlık ve kamu kurumu
yöneticilerinin dâhil edileceği belirtilmiştir. Kurul içerisine özel sektör, sivil toplum kuruluşu ve
üniversite temsilcilerinin katılması öngörülmemiş olup, alınan temel kararların ardından alt
çalışma komisyonlarının kurulması ve bu aşamada farklı paydaşların sürece katılması mümkün
kılınmıştır.
Ayrıca, bilgi güvenliği çalışmalarını yürüten Siber Güvenlik Kurulu’nun yanında sektörel
düzenlemelerden sorumlu BDDK ve BTK bulunmaktadır.
Türk Silahlı Kuvvetleri’nin bilgi güvenliğini sağlamak amacıyla geçtiğimiz aylarda
Genelkurmay Başkanlığına bağlı Muhabere ve Siber Savunma Komutanlığı kurulmuştur.
BDDK, bankaların bilgi güvenliğini sağlamasında etkin rol oynamıştır. Bu doğrultuda BDDK,
bilişim tabanlı sistemlerden yoğun biçimde yararlanarak kuruluşlar ile bilgi paylaşımı
kolaylaştırılmış, veriler mümkün olduğunca paylaşılarak şeffaflık sağlanmıştır. Denetimde iç
denetim, bağımsız denetim ve otorite denetiminden oluşan üçlü bir yaklaşım benimsenmiştir.
Bilgi güvenliğinin sağlanması için kullanıcı sözleşmeleri, güvenlik politikaları, erişim
32
kontrolleri, fiziksel güvenlik, e-imza uygulamaları, SGE bağımsız denetimi gibi konulara önem
gösterilmektedir.25
Yönetişim yapısının çok yeni kurulmuş olması ve henüz ciddi bir bilgi ve kabiliyet birikiminin
oluşmaması sebebiyle paylaşım ve koordinasyon ihtiyacının da çok yüksek olduğu
söylenememektedir. Ancak değişik kurum ve kuruluşların bu konudaki çabalarının bütünsel bir
çerçevede bilgi güvenliğini tesis edecek şekilde kullanılması ve en kısa zamanda gereken
önlemlerin alınması açısından koordinasyon ihtiyacı mevcuttur. Bu ihtiyaca yönelik Bakanlar
Kurulu Kararı ile kurulmuş Siber Güvenlik Kurulu’ndan bahsedilebilir. Ancak, Siber Güvenlik
Kurulu’nun üyelerinin tamamının kamu kurumlarındaki üst seviye yöneticilerden oluşması
dolayısıyla diğer ülkelerde gördüğümüz gibi tüm paydaşların bir araya getirildiği bir bilgi
paylaşımı ve koordinasyon mekanizması mevcut değildir.
2.4.4
Toplumsal farkındalık
Bireylerin farkındalığı anlamında, ülkemizde kullanıcıların bilgisayar ve internet kullanımı
sırasında güvenlik konusunda hassasiyet göstermesi ve bu yönde gereken birikim ve becerileri
kazanmasına yönelik bilinçlendirme ve eğitim faaliyetleri kısıtlı olmasına rağmen
sürdürülmektedir. Bu konu Güvenli İnternet kısmında daha detaylı olarak incelenmektedir.
Toplumsal ve kurumsal farkındalık anlamında ise ülkemizde meydana gelen siber saldırılar ve bu
saldırılara verilen tepki dolayısı ile bilinç seviyesinin düşük olduğu şüphesi oluşmaktadır. Bu
noktada hacktivist saldırılar vasıtasıyla hem kamu kurumlarında siber güvenlik kültürünün
istenilen seviyede olmadığına yönelik algı oluşmuştur, hem de toplumda bu tür saldırıların
potansiyel tehlikeleri yönünde bir bilinç olmadığı düşüncesi oluşmaktadır. Türkiye’de
kamuoyuna yansıyan hacktivist saldırıların büyük bölümünü üstlenen RedHack grubu İçişleri
Bakanlığının dosya sistemine girdiğini ve bunun için de “deneme” kullanıcı adı ve “123456”
şifresini kullandığını öne sürmüş,26 bunun üzerine TÜBİTAK kamu çalışanlarını basit şifreler
kullanmamaları yönünde uyarmış, grup daha sonra sitenin "yönetim" sistemine "kullanici"
şeklindeki kullanıcı adı ve "123456" şifresiyle girdiğini iddia etmiştir.27 YÖK’e yapılan saldırı
25 Ahmet Türkay Varlı, 2007, Bankacılıkta Bilgi Sistemleri. Denetiminde BDDK Yaklaşımı ve Bilgi Güvenliği, BDDK
Bilgi Yönetimi Dairesi
26 Radikal, Nisan 2012, “123456 yaz İçişleri'ne şak diye gir”
http://www.radikal.com.tr/Radikal.aspx?aType=RadikalDetayV3&ArticleID=1085597
27 Bianet, Nisan 2012, "123456 Yaz İçişleri'ne Gir", http://www.bianet.org/bianet/diger/137975-123456-yaz-icislerinegir
33
sonrasında da çalışanların “123456” gibi basit şifreler kullanmasının siber saldırganların
eylemlerini kolaylaştırdığına yönelik açıklama yapılmıştır.28
2.4.5
Ar-Ge yatırımları ve uzman yetiştirme:
Araştırma ve geliştirme konusunda mevcut sayısal veriler olmamasına rağmen bilinen çalışmalar
ve bu konu üzerinde çalışan oluşumlar çok kısıtlı sayıda kalmaktadır. Siber Güvenlik Enstitüsü
kapsamında yeni yöntemler araştırılması ve ileri teknolojiler geliştirilmesi yönünde çalışmalar
yapılmaktadır. Bu alandaki hedefler şöyle belirtilmiştir29:
•
•
Siber güvenlik alanında kritik öneme sahip teknolojileri geliştirmek
Ülkemizin siber savunmasını sağlamaya yönelik etkin önlemler oluşturmak
•
Ülkemizin önde gelen kurumlarının siber güvenlik ihtiyaçlarını sağlamaya yönelik
güvenlik mekanizmalarını geliştirmek
Bu hedeflere yönelik de zararlı yazılım analizi, dijital adli analiz, ağ gözetleme, saldırı tespiti ve
önleme alanında ve veri mahremiyeti alanında araştırma ve geliştirme çalışmaları sürmektedir.
Ayrıca bu konu ile bireysel olarak ilgilenen bazı akademisyenler tarafından akademik çalışmalar
yapılmakta ancak üniversiteler kapsamında bu konu üzerine odaklanmış oluşumlara
rastlanmamıştır. Bu yönde çalışmaları teşvik edecek bir devlet fonu da bulunmamaktadır.30
İnsan kaynakları açısından da ülkemizdeki mevcut uzman ve yetişmiş insan sayısının yetersiz
olduğuna dair bir algı mevcuttur. Özellikle bilgi güvenliği konusunda toplumsal farkındalığın
düşük olmasından dolayı yetişen öğrencilerin bu konuya ilgi göstermemesi, müfredatta lisans
seviyesinde ve lisansüstü seviyesinde yeteri kadar ders olmaması, bu konuda eğitim verebilecek
akademisyenlerin kısıtlı olması ve bu konuda istihdam yolları olabileceğinin bilinmemesi
sebeplerinden ötürü üniversitelerden bilgi güvenliği konusunda yeteri beceri ve birikime sahip
gençlerin çıkmadığı söylenmektedir.
Ancak lisans programlarının dışında da bu alanda yüksek öğrenim veren kurumlar arasında
meslek yüksekokulu seviyesinde bilgi güvenliği teknolojisi bölümleri ve doktora seviyesinde
siber bilgi güvenliği programı mevcuttur.31 Bilişim Suçları Daire Başkanlığı ve TÜBİTAK da
28 Ntvmsnbc, Ocak 2013, Şifre aynı: 123456, http://www.ntvmsnbc.com/id/25414019/
29 SGE’nin çalışmalarını özetleyen broşürde
30 Teyit edilmesi lazım
31 Sabah, (20 Eylül 2012), http://www.sabah.com.tr/Ekonomi/2012/09/20/siber-guvenlikciler-izmirde-yetisecek
34
bilgi güvenliği konusunda eğitim vermektedir. TÜBİTAK 131 kamu personeline ve
üniversitelerden 93 personele bilgi güvenliği eğitimi vermiştir.32
2.4.6
Uluslararası işbirliği:
Uluslararası işbirliğini ilerletmek amacıyla hazırlanan ve Kasım 2001’de imzaya açılmış olan
Avrupa Siber Suç Sözleşmesini ülkemiz 2010 Haziran ayında imzalamış ancak bu sözleşmenin
uyarlanması için gereken düzenlemeler henüz tümüyle yürürlüğe girmemiştir. Fakat mevcut
durumda bilişim suçları konusunda yurtdışındaki emniyet birimleri ile işbirlikleri mevcuttur.
Ayrıca 2011 yılında birincisi, 2013 yılında ikincisi yapılan ve sadece Türkiye içerisindeki kurum
ve kuruluşları kapsayan Ulusal Siber Güvenlik Tatbikatı’nın 2014 yılında uluslararası boyutta
yapılması planlanmaktadır.33
32 Ulaştırma Denizcilik ve Haberleşme Bakanlığı, (27 Haziran 2012), Sena Kaleli’nin yazılı soru önergesine cevap,
33 Cihan, (10 Ocak 2013), http://www.cihan.com.tr/news/Siber-Guvenlik-Tatbikati-2014-te-uluslararasi-captayapilacak-CHOTA0OTI2LzM=
35
3
3.1
Kişisel Verilerin Korunması
Genel Bakış
Günümüzde bilişim teknolojilerinin yaygınlaştığı her alanda bilginin kullanımının arttığını
görmekteyiz. Bu teknolojiler sayesinde bilgi toplamak, saklamak ve işlemek çok daha kolay ve
ucuz hale gelmiştir. Bu artan bilgi kullanımının yarattığı ve yaratacağı ekonomik ve sosyal değer
ihmal edilemeyecek kadar büyüktür.
Önümüzdeki yıllarda bu fırsatların kullanılmasının ABD sağlık sektöründe yıllık %0,7 verim
artışı sağlaması ve 300 milyar dolar ilave değer yaratması, Avrupa kamu kurumlarında yıllık
Şekil 3.1 Verilerin daha etkin kullanımından beklenen kazanımlar
Özellikle önümüzdeki yıllarda büyük verinin kullanımının önemli kazanca
neden olacağı tahmin edilmekte
Amerikan Sağlık Hizmetleri
▪ Yıllık değeri 300 milyar $
▪ Yıllık verim artışı ~%0.7
Avrupa Kamu sektörü
yönetimi
▪ Yıllık değeri 250 milyar €
▪ Yıllık verim artışı %~0.5
Küresel kişisel konum bilgisi
▪ Hizmet sağlayıcılar için
+100 milyar $ gelir
▪ Son kullanıcılar için
700 milyar $ değer
Üretim
▪ Ürün geliştirme ve montaj
maliyetlerinde %50 düşüş
▪ İşletme sermayesinde
%7’ye kadar azalma
Amerika’da perakende
▪ Net kar marjında %60+
artış
▪ Yıllık verim artışı %0.5–
1.0
KAYNAK: McKinsey Global Institute analizi
%0,5 verim artışı sağlaması ve 250 milyar avro değer yaratması beklenmektedir. Mobil
cihazlarla kaydedilebilen kişisel konum bilgilerinin hizmet sağlayıcılar için 100 milyar doların
üzerinde gelir üretmesi, son kullanıcılar için ise 700 milyar dolar değer yaratması beklenmekte,
ABD perakende sektöründe de büyüyen bilgi havuzunun etkin kullanılması sonucunda net kar
marjının %60 büyümesi ve verimin yıllık %0,5-1,0 artması beklenmekte, üretim sektöründe de
ürün geliştirme ve montaj maliyetlerinde %50 düşüş ve işletme sermayelerinde %7’ye kadar
azalma olması öngörülmektedir (Şekil 3.1). Bu öngörülen ilave değerler doğrultusunda,
36
önümüzdeki yıllarda hem kamu hem de özel sektör tarafından veri kullanımının çok daha kilit bir
konuma yükselmesi beklenmektedir. Söz konusu potansiyeller hem kamu hem de özel sektör
tarafından kullanılacak, dolayısı ile veri toplanması ve kullanması ekonomik ve sosyal gelişim
için kilit bir rol oynayacaktır.
Ancak veri kullanımının artması için gereken yatırımların ve yenilikçi çözümlerin yanında, bu
verileri üretenlerin de bu verilerin kullanılması noktasında istekliliği olması gerekmektedir. Söz
konusu verilerin bazıları kuruluşların kendi süreçleri içerisinde çıkan veriler olmasına rağmen,
bazıları da bireylerin fiziksel özellikleri, tercihleri, düşünceleri gibi kişisel verileridir. 34
Bireylere ait ya da bireylerin ürettiği bu verilerin kullanılması ise bu verileri kullanacak kurum
veya kuruluşların menfaati yönünde olacağı için bireyler mağdur duruma düşebilmekte veya
düşmekten çekindikleri için bu veriler kullanılamamaktadır. Dolayısıyla kişisel verilerin temel
haklar çerçevesinde güvence altına alınması bireylerin verilerini daha rahatlıkla paylaşmasına,
dolayısıyla ekonomik ve sosyal gelişime imkan verecektir.
3.1.1
Kişisel verilerin tanımı
İlk başta terimsel bir ayrım yapmak gerekmektedir. Kişisel bilgi ve kişisel veri birbirinin yerine
kullanılan ifadeler olmasına rağmen, “bilgi” ve “veri” kelimeleri kavramsal olarak farklı
anlamlar içerir. Türk Dil Kurumu’na göre veri, bilişim alanında “olgu, kavram veya komutların,
iletişim, yorum ve işlem için elverişli biçimli gösterimi” anlamına gelmekte, bilgi ise
“kurallardan yararlanarak kişinin veriye yönelttiği anlam” olarak tanımlanmaktadır. Diğer bir
deyişle, bilgi verinin anlamlandırılmış halidir. Ancak konumuz itibarıyla işlenmemiş ve henüz
anlamlandırılmamış veriler bağlamında konuşmak, dolayısı ile kişisel veri kavramını kullanmak,
daha uygun olur.
Kişisel veri, bireyleri tanınabilir veya belirlenebilir kılmaya yarayacak her türlü veriyi
içermektedir.
Avrupa Birliği’nin Veri Koruma Yönergesi, kişisel veriyi “Kimliği belirli veya belirlenebilir bir
gerçek kişiyle ilişkili her tür veri” (2/a maddesi) olarak tanımlamaktadır. Kimliği belirlenebilir
kişi ise “doğrudan veya dolaylı olarak özellikle bir kimlik numarasının veya kişinin fiziksel,
34 Her geçen gün kişisel verilerin artan oranda toplandığına ve kullanıldığına dair pek çok örneğe rastlamaktayız:
Bilgilerini kendi rızaları ile paylaşan 800 milyon kullanıcısının verilerini toplamış olan ve bu veri havuzuna dayanarak
daha isabetli reklam yapma imkanı sunan Facebook 2012 yılında halka açıldığında 104 milyar dolar değer
biçilmiştir.
37
fizyolojik, akli, ekonomik, kültürel veya sosyal kimliğine ait bir veya birden fazla spesifik
faktörün referansına dayanılarak teşhis edilebilir olan kişi” olarak tanımlanmaktadır. “Her tür
veri” kavramı oldukça geniş tutularak kapsamına nesnel ve öznel bilgiler dahil edilmiştir ve bu
kapsamdaki kişisel veriler sınırlı sayıda değildir. En önemli kişisel veriler arasında kimlik
bilgileri, adres bilgileri, kredi kartı bilgileri, telefon bilgileri ve elektronik posta bilgileri örnek
olarak verilebilir; ancak bu kapsama bireylerin tanınabilir düzeyde görülebildiği kamera
görüntüleri, siyasi veya sosyal örgütlenmelere üyelikleri, geçirdikleri hastalıklar, arkadaşlarının
isimleri veya aile bireyleri hakkında söyledikleri gibi daha öznel bilgiler de dahil edilmektedir.
Kişisel verilerin işlenmesi ise “kişisel verilerin, kullanılan araç ve yöntemlere bakılmaksızın
toplanması, elde edilmesi, kaydedilmesi, düzenlenmesi, depolanması, uyarlanması veya
değiştirilmesi, değerlendirilmesi, kullanılması, açıklanması, aktarılması veya elde edilebilir
olması, ayrılması veya birleştirilmesi, dondurulması, silinmesi veya yok edilmesi gibi
işlemlerden herhangi birini” ifade eder.35
Bu kişisel veriler içerisinde “hassas bilgiler” olarak tanımlanan, korunmaması halinde toplumda
ayrımcılık yaratma riski yüksek olan kişisel verilerin işlenmesi daha sakıncalıdır. Veri Koruma
Yönergesi’nin “Özel Veri Kategorilerinin İşlenmesi” başlığı hassas verileri, ırki veya etnik
köken, siyasi görüş, dini veya felsefi inanç, meslek birliğine üyelik, sağlık ve cinsel tercih
bilgileri olarak saymaktadır ve belli istisnalar haricinde işlenmesini yasaklamaktadır.
3.1.2
Temel haklar bağlamında kişisel verilerin korunması
Özellikle bilgi teknolojileri ile birlikte kişisel verilerin toplanması ve kullanılması kolaylaştıkça,
kişisel verilerin korunması hukuki anlamda gittikçe önem kazanan bir mesele olmuştur. Nitekim
kişisel verilerin korunması pek çok açıdan temel haklar bağlamında değerlendirilen bir ilkedir.
•
İnsan onuru ve kişiliğin serbestçe geliştirilmesi hakkı: Bu yaklaşıma göre hakkında
edinilen bilgilerin neler olduğunu ve bu bilgilerin kimin elinde bulunduğunu öğrenebilme
olanağına sahip olmayan bireyin kendi kararlarını verebilme özgürlüğü zarar
görmektedir. Özellikle otomatik veri işleme araçlarıyla verilerin sınırsız şekilde
kaydedilmesi, bu verilerin her zaman ulaşılabilir niteliği ve bireyin ayrıntılı kişilik
profilinin oluşturulabilme olasılığı da dikkate alındığında, kişi üzerinde psikolojik baskı
yaratıp, kişinin kamusal yaşama katılmasını etkileyebilmektedir. Toplantı, gösteri
yürüyüşü ya da sivil toplum örgütlerine katılımının resmi makamlarca kayıt altına
35 Kişisel Verilerin Koruması Kanun Tasarısı, 3(e) hükmü
38
alındığını ve bundan dolayı çeşitli mağduriyetler yaşayacağını düşünen birey, bu
haklarını kullanmaktan vazgeçebilmektedir. Sürekli izlenen, yaşamına ilişkin bilgiler
kayıt altına alınan, bütün bunların sonucunda adeta şeffaflaşan, bireyin kişiliğini serbestçe
geliştirebilmesine engel olacağı düşünüldüğü için, kişisel verilere sınırsız erişim sakıncalı
bulunmuş, dolayısıyla kişisel verilerin korunması bir temel hak olarak görülmüştür.
•
Özel yaşamın gizliliği: Kişisel verilerin korunması hakkına kaynaklık yapan başlıca ilke
özel yaşamın gizliliği hakkıdır. İnsan Hakları Evrensel Bildirisi’nin 12’nci maddesine
göre, “Kimsenin özel yaşamı, ailesi, konutu ya da haberleşmesine keyfi olarak
karışılamaz, şeref ve adına saldırılamaz. Herkesin, bu tür karışma ve saldırılara karşı yasa
tarafından korunma hakkı vardır.” Bu kapsam dahilindeki veri mahremiyeti başlığı kişisel
verilerin korunması ve bunun içerisinde özellikle toplum içerisinde ayrımcılığa neden
olabilecek hassas verilerin korunması anlamına gelmekte, kapsamının genişliği
dolayısıyla gittikçe bağımsız bir hak olma yolunda ilerlemektedir. Kişinin özel yaşamının
çevreye açıklık derecesinin yararlanacağı korumanın oranı ve şekliyle ilgili olduğu
söylenebilmekte iken kişinin sır alanı içerisinde yer alan cinsel yaşamı, dinsel tercihleri,
ırksal kökeni gibi konulara ilişkin veriler hassas veri olarak kabul edilmekte ve daha özel
korumaya tabi olmaktadır. Kişisel verilerin korunması hakkı, en genel şekliyle bireye
kişiliğine bağlı her türlü veri üzerinde tasarrufta bulunma hakkı vermektedir. Özel
yaşamın gizliliğini koruyan yasalar, güçler arasındaki dengesizliği gidererek bireyleri
özel yaşamlarına müdahale edebilecek kurumlardan koruma amacını da taşımakta,
bireyin kurum ve kuruluşlar tarafından mağdur edilmelerine engel olmaktadır. Güvenlik
elbette insanın temel bir gereksinimidir, ancak burada karar verilmesi gereken asıl konu,
özel yaşamların sınırlandırılarak özel yaşamın gizliliği hakkından vazgeçişin dengesinin
nasıl sağlanacağıdır. Kişisel verilerin özel yaşamın parçası olarak güvence altına alınması
toplumsal güvenlik sebebiyle bireylerin mağdur edilmelerine karşı bir dengeleyici unsur
olarak işlev görecektir.
•
İfade özgürlüğü: İfade özgürlüğü ile bireyin açıklamalarının içeriğini ve muhatabını
belirleme hakkı güvence altına alınmaktadır. Bu, bireyin kişisel verileri üzerindeki
belirleme hakkının bir öğesidir ve bu hak kapsamında birey düşüncelerini kiminle, nerede
ve ne zaman paylaşacağını seçebildiği için kişisel verilerin korunması ile ifade özgürlüğü
korunmuş olmaktadır.
39
•
Ayrımcılık yasağı: Özellikle hassas kişisel veriler olarak adlandırılan ve özel koruma
gerektiren bazı veri türlerinin, kökenleri oldukça eskiye dayanan bazı ilkelerle korunduğu
görülmektedir. Hassas kişisel verilerin özel olarak korunmasında hareket noktası, bu
verilerin hukuka aykırı ve keyfi şekilde toplanmasının, saklanmasının, işlenmesinin ve
yayılmasının doğurabileceği zararın daha büyük olduğu ve durumun ayrımcılık yasağına
ters düşeceği görülebilmektedir. Kişilerin etnik, dinsel, cinsel yapılarına dayanılarak
ayrımcılık yapılamayacağı ilkesi, insan haklarının eksen kavramlarından “eşitlik”
ilkesinin bir gereğidir.
•
3.1.3
Din ve inanç özgürlüğü: Hassas kişisel veriler kapsamında değerlendirilen verilerin,
kişilerin dinsel inançlarına ilişkin olarak din ve inanç özgürlüğü ilkesi gereği açıklamama
ve başkalarının açıklamamasını isteme hakkı mevcuttur.
Verilerin kullanılabilmesi için kişisel verilerin korunması ihtiyacı
Yukarıda yapılan açıklamalar bağlamında temel haklar çerçevesinde değerlendirilen kişisel
verilerin korunması bir ihtiyaçtır. Bu yönde gereken güvence verilmediği takdirde bireyler kişisel
verilerinin kendi menfaatlerinin aksine kullanılmayacağı konusunda emin olamamakta, dolayısı
ile çekinmektedirler. Bunun sonucunda ise verilerin kullanılması sonucunda hem birey için
üretilecek değer hem de toplumun geneli için üretilecek değer potansiyeli kullanılamamaktadır.
Eurobarometer’in 2010 yılı içerisinde yaptığı araştırmaya göre Avrupa Birliği vatandaşlarının
%62’si kendilerini korumak için kişisel verilerini en düşük seviyede paylaştıklarını ifade
etmekte, araştırmaya katılanların %10’u kimlik bilgilerini paylaşmamakta, %50’si sosyal
bilgilerini paylaşmamakta ve %90’ı hassas bilgilerini paylaşmamaktadır. Araştırmaya
katılanların %70’si paylaştıkları kişisel verilerin nasıl kullanılacağı konusunda tedirgin ve sadece
kişisel verilerinin kullanımı üzerinde kısıtlı oranda söz sahibi olabildiklerini düşünmekte, %74’ü
internet kullanırken kişisel verilerinin toplanması ve işlenmesi konusunda rızalarının alınmasını
istemekte, %55’i sosyal ağlarda kişisel verilerinin izinleri dışında kullanılması konusunda kaygı
duymakta, %43’ü de firmaların kişisel verilerini izin almadan paylaşabileceği yönünde kaygı
duymaktadır.36
36 Special Eurobarometer 359
40
Kişisel verilerin paylaşımı noktasında duyulan bu kaygı hem bireye hem de topluma ekonomik
anlamda zarar verebilmektedir. Özellikle toplumun geneline güven tesis edecek bir ortam
bulunmaması halinde ise çok olumsuz sosyal ve ekonomik sonuçlar doğabilmektedir.
Salgın hastalığa sahip olduğunun gizli kalacağına inanmayan ve bilgilerinin açıklanmasından
korkan kişi eğer doktor-hasta gizliliğine güvenmezse tıbbi destek almaktan çekinebilecek ve
dolayısıyla toplum sağlığını tehdit eder bir hale gelebilecektir. Sosyal boyutun yanı sıra, gizlilik
ve güvenlik kaygıları sonucunda ticari işlemlerden çekinmenin milyar dolarlara ulaşan bir kayıp
yarattığı tahmin edilmektedir. 2002 yılında Jupiter Research firmasının yaptığı bir araştırmaya
göre, güvenlik kaygıları yüzünden kaçırılan elektronik ticaretin boyutu 2001 yılında 5,5 milyar
dolar, 2006 yılında ise 24,5 milyar dolar olarak tahmin edilmektedir.37
Kişisel verilerin güvence altına alınmamasının neden olduğu ekonomik ve sosyal kayıpların
sistematik bir çözüm yerine kuruluşlar ve bireyler arasındaki anlaşmalar ile çözülebilmesi de pek
mümkün görünmemektedir. Yukarıda bahsedilen Eurobarometer araştırmasına göre Avrupa
Birliği vatandaşlarının %62’si şirketler tarafından sunulan gizlilik sözleşmelerini anlamamakta,
okumamakta, bulamamakta veya umursamamaktadır.36 Nitekim bireylerin bu ihmalkârlığı da,
söz konusu sözleşmeleri okuma ve anlamanın ciddi bir emek gerektirdiği düşünüldüğünde doğal
karşılanabilmektedir. McDonald ve Cranor (2008), Amerika’daki her bir internet kullanıcısının
ziyaret ettiği internet sitelerinin gizlilik sözleşmelerini okumasının topluma yaklaşık 781 milyar
dolar fırsat maliyeti yaratacağını hesaplamıştır. Dolayısıyla kişisel verilerin korunması
konusundaki etkileşimlerin ne kadar sıklıkta ve ne kadar değişik şekillerde yapıldığını göz önüne
alırsak, kurum ve kuruluşların vaka bazında bireylere güvence vermesi çok zor ve masraflı
olmaktadır.
37 Privacy & American Business (2005) de benzer rakamlara ulaşmıştır
41
3.2
Kişisel verilerin devletler tarafından korunması
Kişisel verilerin korunması konusundaki çekincelerin neden olduğu ekonomik ve sosyal sonuçlar
düşünüldüğünde bireylere kişisel verilerin korunması yönünde güvence vermenin ne kadar
önemli olduğu görülmektedir. Ancak bu güvencenin her vaka bazında en baştan tekrar
sağlanması da pek mümkün değildir. Dolayısıyla bu konuda uluslararası sözleşmeler hayata
geçirilmiş ve pek çok ülke ulusal mevzuatlar düzenleyerek önlemlerini almıştır.
Şekil 3.2 Örnek devletlerin veri koruma düzenlemeleri
Kişisel bilgilerin korunması için Avrupa’da düzenlemeler yapılmış durumda
Ulusal
mevzuat
Almanya
Veri koruma
otoritesi
İlgili kanun
▪ Federal veri koruma
kanunu
Hollanda
▪ Veri koruma ajansı
korunması hakkında
kanun
▪ Kişisel veri koruma
İtalya
▪ Federal veri koruma
komiseri
▪ Kişisel verilerin
İspanya
İlgili otorite
kanunu
▪ Kişisel verileri koruma
kurumu
▪ Kişisel veri koruma
kanunu
▪ Veri koruma
komisyonu
▪ Kişisel veri kanunu
▪ Veri teftiş kurulu
▪ Federal veri koruma
▪ Federal veri koruma ve
İsveç
İsviçre
kanunu
bilgi komitesi
Türkiye
42
Özellikle gelişmiş Avrupa ülkelerinin bu konuda ciddi adımlar attığı görülmektedir: Almanya,
İspanya, İtalya, Hollanda, İsveç ve İsviçre örneklerine bakıldığında bütün bu ülkelerin ulusal
mevzuatlarının yürürlüğe girdiği ve veri koruma otoritelerinin hayata geçtiği görülebilmektedir.
Ancak Türkiye henüz 108 sayılı sözleşmeyi onaylamamış, konu ile ilgili ulusal mevzuatı ve veri
koruma otoritesini hayata geçirmemiştir (Şekil 3.2).
Avrupa Konseyi’ndeki ülkelerin hepsi, sadece Karadağ haricinde, ulusal mevzuatlarını hayata
geçirmiş, Karadağ da 2011 yılında bu yönde bir düzenleme hazırlanması ve uygulanması
Şekil 3.3 Avrupa Konseyi ülkelerinin ulusal mevzuatlarını yürürlüğe koyma tarihleri
Pek çok ülke bu konudaki ulusal mevzuatlarını yıllar önce yürürlüğe
koymuş durumda
Kişisel bilgilerin korunmasına yönelik ulusal mevzuatı yürürlüğe koyan Avrupa Konseyi üyesi ülkeler
Hala bu konuda ulusal
mevzuatı olmayan
ülkeler
Türkiye
Karadağ
Öncesi 1995
96
97
98
99
2000
01
02
03
04
05
06
07
08
09
10
11
12
13
Avrupa Birliği Veri Koruma
Direktifi hazırlanmıştır
konusunda stratejik bir çalışma yapmıştır. Bu ülkelerin bir kısmı Veri Koruma Yönergesi’nin
ortaya çıktığı 1995 yılından önce söz konusu ulusal mevzuatı hayata geçirmişken, o zamana
kadar böyle bir düzenleme yapmamış ülkelerin büyük çoğunluğu 10 yıl içerisinde çalışmalarını
tamamlamıştır (Şekil 3.3).
43
Kişisel verilerin korunmasının temel haklar boyutundan ötürü, uluslararası anlamda bazı
çalışmalar yapılmış ve belgeler üretilmiştir. Verilerin uluslararası alanda korunması, toplanması,
işlenmesi ve yayılmasına ilişkin kanunların uygulanması işbirliğini ve ülkelerin ortak hukuki
zeminde buluşmasını gerektirmekte, aynı zamanda bilgi akşınının verimli bir hale gelebilmesinin
ekonomik kazanımları olabilmektedir. Kişisel verilerin korunmasıyla ilgili olarak kuruluşlar
tarafından yapılan çalışmaların önde gelen örneklerine aşağıda değinilmiştir:
OECD
“Mahremiyetin Korunması ve Kişisel Verilerin Sınır Ötesine İletimi Hakkında Rehber İlkeler”
Bilginin serbest dolaşımı esnasında ülkelerin mevzuatının farklılığı nedeniyle çıkan sıkıntıları
gidermek için başlayan çalışmalar sonucunda mahremiyetin korunması ve sınır ötesi kişisel veri
korunmasını teşvik eden Mahremiyet Rehber İlkelerini 1980 yılında kabul etmiştir.
Bu belgede sekiz temel prensip belirlenmiştir: Sınırlı bilgi toplama; Veri kalitesi; Amaca
özgülük; Kullanım sınırlaması; Güvenlik önlemleri; Açıklık ilkesi; Bireyin katılımı; Hesap
verilebilirlik.
Söz konusu ilkeler, “The Seoul Declaration For the Future of the Internet Economy”nin
benimsenmesinin akabinde gizlilik ilkelerinin yeniden gözden geçirilmesi ihtiyacı doğmuştur.
Yayınlanan ilkelerin üzerinden 30 yılın geçmesi ve bu süre zarfında kişisel verilerin ekonomik,
sosyalve kişisel hayatların içerisinde çok daha farklı bir yer tutmaya başladığı vurgulanarak,
OECD Working Party on Information Security and Privacy tarafından söz konusu gizlilik
ilkelerinin güncellenmesi çalışmalarına başlanmıştır ve çalışmalar devam etmektedir.
Avrupa Konseyi
“Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların
Korunmasına Dair Sözleşme”
Daha önceleri sınır ötesi veri işleme üzerine bir belge olmasına rağmen, veri koruma alanındaki
ilk uluslararası hukuk belgesidir. Belge kişisel verilerin tamamının veya bir kısmının otomatik
yöntemlerle kaydı, bu verilere mantıksal veya aritmetik bazı işlemlerin uygulanması, verilerin
değiştirilmesi, silinmesi gibi durumlar karşısında bireyi korumayı amaçlamaktadır.
Bu doğrultuda Sözleşme’nin 5’inci maddesindeki temel ilkelere göre veriler: Sadece meşru ve
yasal yollarla elde edilmeli ve tutulmalıdır; belli ve meşru bir amaca uygun ve amaçla ilgili
şekilde depolanmalı ve kullanılmalıdır; doğru ve güncellenebilir olmalıdır; ilgili kişinin
44
kimliklerinin tespit edilmesine izin verecek şekilde ve sadece bu amaç gerçekleşene kadar
muhafaza edilmelidir. Ayrıca, iç hukukta güvence sağlanmadıkça, hassas verilerin otomatik
işleme tabi tutulmamasını öngörmüştür.
Kişiler açısından da bazı güvencelerden bahsedilmiştir, bunlar: kişilerin kendi hakkında tutulan
bilgilere erişebilme, bunları güncelleyebilme, hukuka aykırı işlem sonrasında bu bilgilerin
silinmesini isteme, bu haklar kullanılamadığı takdirde hukuki yollara başvurabilme
güvenceleridir.
Avrupa Birliği 95/46 sayılı Veri Koruma Yönergesi
Bu yönerge, Avrupa Birliği’nin kişisel verilerin korunmasındaki temel referans belgesi olarak
işlev görmekte ve kişisel verilerin işlenmesi esnasında bireylerin korunması ve bilgilerin serbest
dolaşımını düzenlemektedir. 108 Sayılı sözleşmenin devamında AB üyesi ülkelerin veri koruma
düzenlemeleri arasındaki farklılık ve çelişkileri gidermek, kişisel verilerin sosyal ve ekonomik
anlamda gelişme yönünde etkin ve doğru bir şekilde kullanılabilmesi için kabul edilmiştir. Üye
ülkelerin iç hukuklarında belirleyecekleri kişisel verileri koruma düzeyinin asgari sınırını
çizmiştir. OECD Rehber İlkeleri’ne nazaran daha geniş olarak düşünülmüş, ilave olarak, hassas
veriler, verilerin açıklanması halleri, kayıt hükümleri, ticari iletileri reddetmeye ilişkin liste dışı
olma hakkı ve düzeltme hakkına ilişkin özel hükümler bulunmaktadır.
Kural olarak, bu yönergeyle bir hak ihdas edildiği takdirde (veriye erişim, işlemeye itiraz,
mahkemelerde dava açabilme hakları gibi), AB üye ülkelerde iç hukuka bakılmaksızın kişiler
verilen hakkın korunmasını talep edebilmektedir. Söz konusu temel hakların üzerine diğer haklar
ile çelişkileri ülkelerin kendilerinin dengelemesi öngörülse de, yönergeyle belirlenmiş olan
haklar alt sınır olarak verilmiştir.
Söz konusu yönerge, bireylerin mahremiyetini koruma altına almak ile bilginin serbest dolaşımı
arasında bir denge sağlamaya çalışmaktadır. Sadece teknolojik araçlar düşünülerek hazırlanmış
bir direktif değildir, bağımsız olarak kişisel verilerin işlendiği her durumda geçerlidir. Belirlenen
temel ilkelere göre, veriler:
•
•
Adil ve yasalara uygun bir şekilde işlenecektir;
Belirlenmiş, kesin ve meşru amaçlar için toplanacak ve sadece bu amaçlar için
•
•
işlenecektir;
İşleme amaçları için yeterli ve ilgili olacak, aşırı olmayacaktır;
Veri kalitesi sağlanmak için, doğru ve güncel olarak tutulacaklar, yanlış ve eksik olan
verinin düzeltilmesi için bütün makul adımlar atılacaktır;
45
•
Toplama amacının ve işlemenin gerektirdiğinden daha uzun süre saklanmayacaktır.
Bu ilkelerin yanında üye ülkelerde kişisel verilerin korunmasından sorumlu “tam bağımsız”
ulusal otorite kurulması öngörülmüş, tam bağımsızlık şartı, kurulacak otoritenin hem kamudan
hem de özel sektörden bağımsız karar verebilmesine bağlanmıştır. Ancak tam bağımsızlık için
aranan şartlar somut bir şekilde belirlenmemiş, dolayısı ile değişik üye ülkeler farklı şekillerde
yorumlamışlardır.
Veri koruma otoriteleri hakkında belirlenmiş bağımsızlık kıstasları hala tam olarak
somutlaşmamış olmasına rağmen, söz konusu veri koruma otoritesi gibi bağımsız denetim
kuruluşları hakkında çalışmalar mevcuttur. Gilardi (2002) bağımsız denetim kuruluşlarının
bağımsızlığının nicelik olarak ölçülebilmesi için beş boyut belirlemiştir: kuruluş başkanının
durumu, kuruluşun yönetici kurulunun durumu, devlet ve meclis ile ilişkilerin çerçevesi, mali ve
teşkilat özerkliği ve verilen yetkilerin kapsamı. Thatcher (2002) ise daha sonra bu boyutlara özel
sektörden bağımsızlığı yansıtmak için kuruluş üyelerinin özel sektöre geçme oranlarını da
eklemiştir. Söz konusu boyutlar bağımsız denetim kuruluşları için genel olarak tanımlanmış
olmasına rağmen veri koruma otoritesinin bağımsızlığını somutlaştırmak için kullanmakta fayda
vardır.
Bu çalışmaların sonuçlarına benzer şekilde 2001 yılındaki Uluslararası Veri Koruma ve
Mahremiyet Komiserleri Konferansında veri koruma otoritelerinin bağımsızlığını tesis etmek
üzere akreditasyon ilkeleri belirlenmiştir. Bunlara göre: kuruluş başkanı belirli bir dönem
atanacak ve görevi ihmal, meslekten ihraç veya sağlık sebepleri dışında görevinden
alınamayacaktır, doğrudan hükümete veya meclise raporlama ve resmi açıklama yapabilecektir,
görevi kapsamındaki faaliyetler ile ilgili dokunulmazlık hakkına sahip olacaktır ve soruşturma
başlatabilecektir.
Avrupa Komisyonu bu bahsedilen şartların karşılanmasına ancak bunların da ötesinde daha
ilkesel anlamda bir tam bağımsızlık konusunda oldukça ısrarcı kararlar almıştır. Bunların en
önemlilerinden bir tanesi, 2010 yılı Mart ayında Avrupa Adalet Divanı’nın Almanya’yı
Direktifin 28’inci maddesinin ikinci fıkrasını, yani tam bağımsızlık şartını, veri koruma
otoritesinin hala devlet ile yakın ilişkilerinin bulunması yoluyla ihlal etmekten ötürü mahkum
etmesidir. Bu kararının açıklamasında Adalet Divanı, söz konusu otoritelerin dışarıdan ve devlet
içerisinde gelebilecek her türlü etkiden uzak olması gerektiği ancak Almanya’daki veri koruma
otoritelerinin devlet denetiminde olmasından ötürü bu şarta uymadığı belirtilmiştir. Benzer bir
karar 2012 yılında Avusturya’daki veri koruma otoritesinin devletin yürütme organından yeteri
kadar bağımsız olmaması sebebiyle tekrar verilmiştir. Kararda veri koruma otoritesinin
46
Başbakanlık kurumu ile pek çok çalışan paylaşması ve Başbakanın veri koruma otoritesinin her
türlü faaliyeti hakkında bilgi sahibi olma hakkı eleştirilmiştir.
2012 Veri Koruma Reformu
25 Ocak 2012 tarihinde Avrupa Komisyonu 95/46 sayılı Veri Koruma Yönergesi’ni yeniden
yapılandıracak bir düzenleme yapılacağını duyurmuştur. 2014’te onaylanması ve 2016 yılında
yürürlüğe girmesi beklenen bu reformun ciddi değişiklikler getirmesi öngörülmektedir:
•
Yeni düzenlemenin Avrupa Birliği’nin hepsini kapsaması, daha basit olması ve mevcut
teknolojiye daha uygun olması,
Yeni düzenlemenin üye ülkelere doğrudan uygulanabilmesi, dolayısı ile ilk yönergenin
•
ülkelerin mevzuatlarına uyarlanması gerekmekteyken bu yönergenin üye ülkeler üzerinde
doğrudan uygulanabilecek bir düzenleme olarak hayata geçmesi,
Tek bir AB Veri Koruma Otoritesi olması,
•
•
•
Kullanıcılara kişisel verilerinin kullanımı konusunda daha çok söz hakkı verilmesi (örn.
açıkça rıza vermek, unutulma hakkı),
AB merkezli firmaların veri işleme ihlalleri konusundaki iç denetleme ve raporlama
sorumluluğunun artırılması,
Şekil 3.4 Veri Koruma Reformunun getirdikleri
Daha katı AB veri koruma yasaları, veri koruma çıtasını yükseltecektir
Eski
düzenleme
Yeni
düzenleme Etki
Evet
Kısmen
– Hayır
Tanımlanan kullanım amacı
Veri yalnızca belirlenmiş bir sebeple
toplanabilir
Açık izinler
Kişisel bilgilerin kullanılması durumunda,
kullanıcıların izin vermesi gerekmektedir
Açık bildirimler
–
–
AB’de veri koruma faaliyetlerinin yetkililere
bildirilmesi artık zorunlu değildir, onun
yerine etki değerlendirmesi gerekmektedir
Veri işleyenler, veri ihlallerini en geç 24
saat içinde yalnızca AB yetkilisine
bildirmek zorundadır
AB’deki kullanıcılar, kişisel bilgilerini
herhangi bir neden olmadan silme ya da
kontrol etme hakkına sahiptir
Dışarıda da uygulanabilir
–
AB yasası, AB pazarında faaliyet gösteren
şirketler ve AB dışı ülkelerdeki veriler için
geçerlidir
Cezalar
–
AB, ihlaller için küresel gelirin %2’sine
kadar veya 1 milyon avroluk ceza
belirlemiştir
İhlallerin bildirilmesi
Unutulma hakkı
KAYNAK: Avrupa Komisyonu, IP/12/46/ ve MEMO/12/41; Veri koruma reformu ile ilgili basın bülteni
47
•
AB dışındaki firmalara da uyum zorunluluğu getirilmesi.
Avrupa Komisyonu üye ülkelerin hepsini kapsayacak bu düzenleme ile birlikte işletmelerin her
ülke için ayrı uyum sağlama prosedürü için harcadığı miktarın 3 milyar avrodan 0,7 milyar
avroya düşmesini, veri kullanımını bildirme zorunluluğunu esneterek 0,13 milyar avroluk
masrafı kaldıracağını tahmin etmektedir. Bu reformda öngörülen değişiklikler sonucunda bazı
riskler de ortaya çıkmaktadır:
•
•
•
•
Avrupalı şirketlerin diğerlerine göre dezavantajlı konuma düşmesi,
İnternet kullanıcılarının kişisel veri işleme izinleri için talep yağmuruna tutulması,
Hedefe odaklı reklamların zorlaştırılması sonucu reklam gelirlerinin düşmesi,
Reklam gelirlerinin azalması ve masrafların artması sonucu yenilikçi çözümlerin
yavaşlaması.
Reform sonucunda Avrupa Birliği pek çok diğer gelişmiş örneğe nispeten çok daha detaylı ve
sıkı bir veri koruma politikası ortaya koymuş olacaktır. Örneğin kullanım amacının belirtilmesi,
açıkça kullanıcının rızasının istenmesi gibi, kişisel verilerin çalınması halinde bilgi verilmesi
konularında ABD’de bazı uygulamalar mevcut olmasına rağmen Veri Koruma Reformu çok daha
sıkı denetleme öngörmektedir. Unutulma hakkı, yurtdışındaki kullanımlar hakkında hükümler
vermek ve cezalar konusunda ise ABD’de bir uygulama bulunmazken, Avrupa Birliği sıkı
Şekil 3.5 AB ve ABD veri koruma politikalarının karşılaştırması
Yeni AB düzenlemesi ABD’deki düzenlemeye kıyasla çok
daha detaylı ve katıdır
Mevcut çerçeve kapsamında mıdır?
Olası etki alanı
Reform
2014
Belirli kullanım amacı
Açık izinler
Açık bildirimler
İhlallerin bildirilmesi
Unutulma hakkı
Dışarıda da uygulanabilir
Cezalar
KAYNAK: Avrupa Komisyonu, IP/12/46/ ve MEMO/12/41; Veri koruma reformu basın bülteni; Rusya Federasyonu
Anayasası; Rusya Kişisel Veri Yasaları; İşletme Yazılımı Birliği, 2011
48
Düzenlenmiş
Kısmen düzenlenmiş
Nitelendirilmemiş
denetleme ortaya koymaktadır (Şekil 3.5).
Bu sıkı düzenlemesinden ötürü Avrupa Birliği ülkelerindeki kurum ve kuruluşların diğer
ülkelerle bilgi paylaşımı da kısıtlanmış, belli kurallara bağlanmıştır. Avrupa Birliği’ne üye
ülkelerdeki kişisel verilerin “üçüncü ülke” olarak nitelendirdikleri Avrupa Birliği dışına
taşınabilmesi için Avrupa Komisyonunun veya firmanın bağlı olduğu ülkenin veri koruma
otoritesinin izni gerekmektedir. Bu izin:
•
Düzenlemeleri yönergeye uygun olan ve tam bağımsız veri koruma otoritesi yeterli
görülen ülkelerin Avrupa Komisyonu’na başvurması ve kabul edilmesi sonucunda
verilebilmekte ve tüm üye ülkeler tarafından tanınmaktadır. “Beyaz liste” olarak
adlandırılan bu listenin içerisinde başlıca İsviçre, Kanada ve Arjantin bulunmaktadır.
•
ABD ile ise Safe Harbor (Güvenli Liman) Gizlilik İlkeleri üzerine özel bir anlaşma
sağlanmıştır.
Üye ülkelerin veri koruma otoriteleri tarafından Avrupa Komisyonunun beyaz listesi
•
dışında kalan ülkeler için belli kurallara göre değerlendirmenin ardından
verilebilmektedir.
Ülkesi yeterli veri koruma güvencesi sunmayan şirketlere, bu şirketlerin faaliyetleri ile
ilişkili Avrupa Birliği üye ülkesinin veri koruma otoritesi tarafından da belli şartlar
karşılığında verilebilmektedir.
3.3
Yeni teknolojiler
Teknolojilerin gelişmesine paralel olarak kişisel verilerin kullanımı sadece artmamış aynı
zamanda değişik biçimler almış, bu söz konusu değişimler de kişisel verileri güvence altına alan
hukuki altyapının hem bu teknolojik gelişimlerin ekonomik potansiyelini gözetip hem de temel
haklar çerçevesinde bireylerin mağdur edilmemesine özen gösteren şekilde uyum sağlamasını
zorunlu kılmıştır. Bu doğrultuda hukuki altyapının karşılaması gereken iki teknolojik eğilim ön
plana çıkmaktadır: Bulut bilişim ve çevrimiçi davranışsal reklamcılık.
3.3.1
Bulut bilişim
Bulut bilişim, teknik altyapı masraflarını düşürerek maliyet avantajı sağlayan bulut bilişim
teknolojisi hızla yaygınlaşmakta ve dünyanın pek çok yerinde tercih edilen bir teknoloji haline
dönüşmektedir. Ancak alışılmış veri saklama ve işleme yöntemlerinden farklı bir teknik altyapı
ile çalıştığından dolayı hukuki anlamda bazı karışıklıklar çıkartmaktadır.
49
Bulut bilişim hizmetleri maliyetleri düşürmesi, kullanım kolaylığı, Müşteri maliyeti açısından
yerinden yazılıma göre %22’lik bir avantaj sağlayan bulut bilişim hizmetlerinin dünya çapında
pazar büyüklüğünün 2010 yılından 2016’ya kadar yıllık ortalama %18 hızıyla büyümesi
beklenmekte, bu büyümeye göre 2010 yılında 77 milyar dolar olan pazar büyüklüğü 2012 yılında
111 milyar dolar ve 2016 yılında 210 milyar dolara ulaşacaktır.38 Ciddi maliyetler yaratabilecek
siber güvenlik gereksinimlerini karşılayamayacak küçük boylu işletmeler açısından da bulut
bilişim hizmetleri siber güvenliği artıracak bir alternatif olacaktır.
Fakat bulut bilişim hizmetleri hukuki anlamda, özellikle kişisel verilerin korunması açısından
bazı sıkıntılar da doğurmaktadır. Hizmet sağlayıcıların kullandığı sistemlerin dağınık ve yüksek
sayıda olmasından dolayı kişisel verilerin nasıl, nerede, kim tarafından işlendiğini ve kimlere
işletildiğini öğrenmeyi zorlaştırmakta, bu konuda kişisel verilerin güvence altında olup
olmadığına dair şüpheler uyandırabilmektedir.
Bu şüpheler özellikle bir ülke için değerli olan verilerin bulut bilişim hizmetlerine teslim
edilmesi halinde hangi ülke sınırları içerisinde ve nasıl işleneceğinin de net bir şekilde
bilinememesinden dolayı ulusal güvenlik endişelerine neden olabilmektedir. Bunun yanı sıra
bulut bilişim işletmecileri kişisel veriler konusunda hassas ülkelerden aldıkları verileri bu
hassasiyeti göstermeyen, dolayısı ile daha esnek mevzuata sahip, ülkelerde işleyebilmekte
oldukları için, hassas ülkeler tarafından güvenilememektedir. Nitekim doğası gereği standart
hizmeti pek çok müşteriye sunarak ölçek ekonomisi ile birlikte maliyetleri düşüren bulut bilişim
işletmecileri, farklı devletlerin farklı kişisel veriler mevzuatının olmasından dolayı yerel
gerekliliklere uymak zorunda kaldıklarında zorlanmaktadır.39
Söz konusu sıkıntılar özellikle Avrupa Birliği’nin bulut bilişim konusunda daha sıkı bir mevzuat
benimsemesinden ötürü çoğunluğu ABD kaynaklı bulut bilişim hizmetlerine şüphe ile
yaklaşması ile gündeme gelmiştir. 2011 yılının Şubat ayında Danimarka Veri Koruma Ajansı ve
Eylül ayında Hollanda devleti bazı Amerikan bulut bilişim şirketlerinin gerekli güvenceyi
sağlamadığını gerekçe göstererek kamu hizmetlerinde kullanılmasını uygun görmemiştir.40
38 Bulut bilişim pazarı ve büyümesi Birinci Eksen kapsamında daha detaylı bir şekilde incelenmektedir
39 Article 29 Data Protection Working Party, July 2012, Opinion on Cloud Computing
40 Bloomberg BNA, Şubat 2012, Cloud Computing Under the European Commission’s Proposed Regulation to
Revise the EU Data Protection Framework
50
3.3.2
Çevrimiçi davranışsal reklamcılık
Davranışsal reklamcılık kullanıcıların internet kullanımını izleyerek zaman içerisinde profillerini
oluşturma ve bu bilgileri kullanarak internet üzerinden her kullanıcının gördüğü reklamın kendi
profiline uygun şekilde seçilmesini sağlamaktadır. Daha verimli ve etkin olan bu reklamcılık
yöntemi ekonomik faydalarının yanı sıra, kişilerin internet üzerindeki hareketlerini kaydedip
işlediği için kişisel veriler açısından bazı sakıncalar yaratmakta ve pek çok kullanıcıyı internet
kullanırken tedirgin etmektedir. Dolayısı ile ekonomik faydaları ve temel haklar açısından
sakıncaları göz önüne alarak bir hukuki altyapı oluşturulması ihtiyacı doğmuştur.
Reklamları kullanıcının tercihlerine göre ayarlayabilmek için reklam ağlarının en sık kullandığı
yöntem kullanıcının bilgisayarına yerleştirilen “cookie” dosyalarının değişik sitelerin ziyaret
edilmesi sırasında takip edilmesi ile birlikte tercih edilen içerikleri baz alarak belli profiller
oluşturmaktadır. Kullanıcılar bu cookie dosyalarını silebilmekte ve pek çok internet tarayıcı
program da kendiliğinden bu işlemi yapabilmektedir.
Ancak bu yöntem sadece reklam ağlarının işbirliği içerisinde olduğu sayfalara yapılan
ziyaretlerin izlenmesine izin vermekteyken, son yıllarda daha geniş bir takibi mümkün kılan bir
yöntem de kullanılmaya başlanmıştır. Reklam ağları internet servis sağlayıcılar ile anlaşmaya
girmekte, kullanıcının gezindiği şifrelenmemiş sitelerin içeren bütün internet trafiği cookie
dosyaları yardımıyla izlenebilmektedir.
Özellikle kullanıcının rızası alınmadan yapılan bu izleme kişisel verilerin izinsiz kullanımına yol
açabilmekte, internet tarayıcıların sunduğu yöntemler ve opt-out mekanizmaları bu yönde yeterli
görülmemektedir. Article 29 Data Protection Working Party, yeterli güvencenin sağlanması için
kullanıcının açık izninin alınması ve bunun üzerine bazı ilave şartlar getirmiştir:
•
•
İzlemenin belli bir süre ile sınırlandırılması
Kullanıcıya verdiği iznin kaldırabilmesi için kolay bir mekanizma sunulması
•
Kullanıcının farkında olabilmesi için izlemenin gerçekleştiği süre boyunca görünebilir
işaretlemeler kullanılması
51
3.4
Türkiye’de Mevcut Durum
Türkiye’de de bilgi teknolojilerinin gelişmesi ile birlikte bilgi toplanması ve işlenmesi
kolaylaşmış ve yaygınlaşmış, dolayısı ile kişisel verilerin kullanımı da artmıştır. Bu artan
kullanım ile paralel olarak potansiyel mağduriyetler de artmış, temel hak ihlalleri
yaygınlaşmıştır. Bunların yanı sıra mevzuat eksikliğinin doğurduğu mevcut güvence
eksikliğinden ötürü ekonomik fırsatlar da kaçırılmaktadır.
Gelişmiş ülkelerde gözlemlenen kişisel verilerin korunması yönündeki toplumsal bilinç ve
talebin Türkiye’de de benzer seviyede mevcut olduğunu söylemek güçtür. Son zamanlarda
kişisel veriler konusu daha sık gündeme gelmeye başladıysa da, hem bireylerin hem de kurum ve
kuruluşların bu konuda yeterli bilgi ve hassasiyete sahip olmadıkları görülmektedir. Geçmiş
yıllarda kişisel verilerin korunması gerektiği konusunda farkındalık eksikliğini gözler önüne
seren birkaç olay yaşanmıştır. 2007 ve 2008 seçimlerinde Yüksek Seçim Kurulu tarafından
askıya çıkartılan 18 yaşından büyük yaklaşık 50 milyon kişiye ait kişisel veriler bazı kişiler
tarafından ele geçirilmiş, internet üzerinden Adres Rehberi adıyla adı, soyadı, TC kimlik
numarası, anne baba adı, doğum yeri, vb. sorgulamasına izin veren bir program halinde, 1.500
TL’ye satılmıştır. Konut Edindirme Yardımı (KEY) hak sahiplerine yapılacak geri ödemelerde
hak sahiplerinin adı, soyadı, T.C. kimlik numarası ve sosyal güvenlik numaralarının birlikte yer
aldığı listelerin internette ve 17 Temmuz 2008 tarihli Resmi Gazete’de yayımlanması da benzer
bir şekilde kişisel verilerin şeffaflaşmasına neden olmuş ve çeşitli mağduriyetlere sebep
olmuştur.41
Gelişmiş ülkelerde böyle olaylar belli kaygı ve çekinceleri tetiklemekte, bu kaygılar da bireyleri
bilgi teknolojilerinden uzak tutmakta ve bu teknolojilerin sosyal ve ekonomik potansiyelinin
kullanılamamasına neden olmaktadır. Oysa Türkiye’de bu olaylar olmasına rağmen, ciddi
kaygılar ve çekinceler doğmamaktadır ve dolayısıyla kişisel verilerin korunması yönünde
toplumsal ve siyasi baskılara dönüşmemektedir.
Temel hakların yanı sıra, Türkiye’nin Avrupa Birliği ile ilişkileri boyutunda da pek çok alanda
bilgi paylaşımı ve işbirliği fırsatları kaçırılmaktadır. Bu fırsatlar iki başlık altında toplanabilir:
•
Kamu kurumlarının daha etkin işlemesi, yurtdışındaki muadilleri ile daha rahat işbirliği
içerisine girmesi.
41 Dilek Yüksel Civelek, “Kişisel Verilerin Korunması ve Bir Kurumsal Yapılanma Önerisi”, Nisan 2011, Bilgi Toplumu
Dairesi Başkanlığı
52
•
Özel sektör kuruluşlarının Avrupa Birliği ülkelerinde güvenle çalışabilmesi, Türkiye’de
bilgi işlenen sektörlerin yurtdışından müşteri çekebilmesi ve şirketler arasında bilgi
paylaşımının kolaylaştırması.
Örneğin, ülkemizde BİT sektörünün hızla büyümesi için Avrupa’ya bulut bilişim hizmetleri
sunmak gibi seçenekler düşünülmesine rağmen Avrupa Birliği ülkeleri tarafından güvenilir ülke
olarak görülmek ve kişisel verilerin korunduğuna dair güvence verebilmek kritik önem
taşımaktadır. Bu konuda yeteri güvenin sağlanması, gelişmiş ülkelerde olduğu gibi sistematik bir
düzenleme ile mümkündür. Dolayısıyla Türkiye’deki hukuki altyapının ve uygulamaların Avrupa
Birliği beklentileri ile uyumlu olması gerekmektedir.
3.4.1
Türkiye’nin katıldığı uluslararası sözleşmeler
Usulüne göre yürürlüğe konulmuş Milletlerarası anlaşmalar kanun hükmündedir ve temel hak ve
özgürlüklere ilişkin konularda çıkabilecek uyuşmazlıklarda milletlerarası anlaşma hükümleri esas
alınmaktadır. Avrupa İnsan Hakları Mahkemesi, kişisel verilerin korunmasında temel ilkelerin
büyük bir bölümünü Türkiye'nin de taraf olduğu Avrupa İnsan Hakları Sözleşmesi 8. maddesi
kapsamında tanımaktadır. Dolayısıyla, sözleşme hükümlerinin sınır ve kapsamlarının
belirlenmesi açısından AİHM’nin yorumunun önemi açık olup, kanuni düzenlemelerin AİHM
önünde ihlal kararına neden olmamasına özen gösterilmelidir.
Ayrıca Türkiye kişisel verilerin korunması ile ilgili 108 sayılı Sözleşme’yi 1981 yılında
imzalamış olmasına rağmen, imzacı devletin öngörülen ilkeler çerçevesinde bir yasa kabul
etmesi zorunluluğunu henüz yerine getirmediğinden Sözleşme’yi onaylayamamıştır.
Veri Koruma Yönergesi’ne uyumlu bir düzenlemeye de henüz sahip olmayan Türkiye,
uluslararası beklentileri karşılayamadığı için “güvenilmez ülke” olarak nitelendirilmektedir.
3.4.2
Kişisel verilerin anayasal güvence altına alınması
Türkiye’de temel haklar doğrultusunda kişisel veriler Anayasa’da pek çok açıdan güvence altına
alınmıştır.
Kişisel verilerin korunması, ilk olarak insan onurunu korunmasının bir gereğidir; insan onuru,
Anayasa Mahkemesi’ne göre "insanın ne durumda, hangi şartlar altında bulunursa bulunsun sırf
insan oluşundan kazandırdığı değerin tanınmasını ve sayılmasını anlatır. Bu öyle bir davranış
çizgisidir ki, ondan aşağı düşünce, muamele ona muhatap olan insanı insan olmaktan çıkarır” ve
Anayasa’nın 5 ve 17. maddelerindeki hükümlerle güvence altına alınmıştır.
53
Ancak Türkiye’de kişisel verilerin korunması özellikle Anayasanın 20. maddesinde düzenlenen
özel hayatın gizliliği ile doğrudan ilişkili olarak değerlendirilmektedir. 13 Mayıs 2010 tarihli ve
27560 sayılı Resmi Gazete’de yayımlanan 5982 sayılı Türkiye Cumhuriyeti Anayasası’nın Bazı
Maddelerinde Değişiklik Yapılması Hakkında Kanun’un 2’nci maddesiyle, Anayasa’nın 20’nci
maddesine aşağıdaki fıkra eklenmiştir:
“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin
kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların
düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını
öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık
rızasıyla islenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
Anayasa’nın 20’nci maddesinin 3. fıkrasına eklenen bu düzenlemeyle Avrupa İnsan Hakları
Sözleşmesi’nin 8. maddesine paralel olarak kişisel verilerin korunması, temel bir hak ve özgürlük
olarak açıkça bir anayasa normuyla korunması gereken hak haline getirilmiştir. Ayrıca normda
kişisel verinin kendisinin korunması kadar kişisel verinin işlenmesi de düzenlenmiş ve koruma
altına alınmıştır. Ancak söz konusu düzenlemede, kişisel verilerin korunmasına ilişkin esas ve
usullerin yasa ile düzenlenmesi gerektiği belirtilmesine ve bu konuda yasama organına bir görev
verilmesine rağmen Türk Ceza Kanunu dışında ayrıca bir düzenleme bugüne kadar
yapılmamıştır.
Anayasa’nın 25 ve 26. maddelerinde düşünce ve ifade özgürlüğünü düzenleyerek, kişisel
verilerin, özellikle hassas bilgilerin, toplanmasına ve işlenmesine karşı bir korunma getirilmiştir
ve bu temel haklar sadece kanunlarla kısıtlanabilmektedir.
Bu durumda herhangi bir anlatım aracıyla dış dünyaya yansımamış, insanların yalnızca
zihinlerinde kurguladıkları düşüncelere sınırlama getirilmesi söz konusu olamaz. Bu düşünceden
yola çıkılarak düşünce özgürlüğünün ayrı bir koruma gerektirmediği de düşünülebilir. Oysa
kişisel veriler açısından bakıldığında ve özellikle internet kullanımı dikkate alındığında,
korumanın mutlak niteliği oldukça önemli bir sonucu getirmektedir. Zira internet üzerindeki her
hareket bir iz bırakmaktadır ve dolayısıyla sanal ortamda alışveriş yapan, forumları ziyaret eden,
çeşitli haberleri okuyan bir kişinin bu hareketlerine ilişkin bilgilerin toplanıp ayrıntılı bir
profilinin oluşturulması özel yaşamın gizliliği hakkı ile düşünce özgürlüğünün ihlali anlamına
gelebilmektedir. Kişinin düşüncesini açıklamak yönünde bir iradesi bulunmamasına rağmen,
ipuçlarından hareketle böylesi sonuçlar çıkarılması mümkündür ve düşünce ve ifade özgürlüğünü
sunan anayasal maddeler dolayısıyla, kişisel verilerin toplanmasına ve işlenmesine karşı normatif
bir güvence sağlanmıştır.
54
Ancak yinelemek gerekecektir ki, bu anayasal güvencelerin etkin bir şekilde uygulanabilmesi
için gerekli olan çerçeve yasa niteliğindeki düzenlemeler henüz hayata geçememiştir.
Bir kişi, sadece Anayasal düzenlemeye dayanarak kişisel verilerinin izinsiz kullanıldığını iddia
edememekte, mahkemeler önünde hakkını araması için kanuni bir düzenlemeye ihtiyaç
duymaktadır. Zira Anayasa düzenlemeleri normatif düzenlemeler olmakta ve geniş bir çerçeve
çizmektedir ve Anayasa hükümlerinde suç ve yaptırım bulunmamaktadır.
3.4.3
Kişisel Verilerin Korunması Kanun Tasarısı
Ülkemiz kişisel verilerin korunması konusunda henüz çerçeve niteliğinde bir yasal düzenlemeye
sahip değildir.
Ülkemizde, bu yöndeki stratejiler daha önceden Sekizinci Beş Yıllık Kalkınma Planı’nda (20012005) ve Dokuzuncu Beş Yıllık Kalkınma Planı’nda (2007-2013) kişilik haklarının korunmasına
yönelik bir hedef olarak belirlenmiş, ancak planlanan düzenleme hayata geçmemiştir. E-devlet
projesi kapsamında 2003 ve 2004 yıllarında yapılacak iş adımlarının yer aldığı Kısa Dönem
Eylem Planı’ndaki 17 numaralı eylemle Adalet Bakanlığı’na Kişisel Verilerin Korunması
Hakkında Kanun’un çıkarılması sorumluluğu verilmiş ve planın uygulandığı dönemde söz
konusu kanun taslağı 2 Haziran 2004 tarihinde Başbakanlığa sevk edilmiş, kurumların görüşleri
alındıktan sonra yeniden değerlendirilmek üzere Adalet Bakanlığı’na geri gönderilmiştir.
Bilgi Toplumu Stratejisi’nde henüz yasalaşmayan Kişisel Verilerin Korunması Kanun Tasarısı
Taslağı’na yeniden yer verilmiş, ayrıca kritik önem taşıyan ulusal bilgilerin korunması ile ilgili
bir Bilgi Güvenliği Kanunu çıkarılması planlanmıştır. Adalet Bakanlığı geri gönderilen taslağı
yenileyerek 9 Kasım 2005 tarihinde Başbakanlığa sunmuş ve Başbakanlık taslağa ilişkin bazı
değişiklikler yaptıktan sonra TBMM’ye iletmiştir.
Tasarı, 2008 Mayıs ayında ilk önce esas komisyon olarak Adalet Komisyonu’na gönderilmiş,
daha sonra alt komisyona havale edilmiştir. Ancak araya TBMM seçimlerinin girmesi nedeniyle
yasalaşamayınca içtüzük gereğince hükümsüz sayılmıştır.
Veri Koruma Yönergesi’ne büyük oranda uyumlu olarak hazırlanan bu tasarı, esas olarak, kişisel
verilerin yasal ve dürüst bir şekilde toplanması ve işlenmesi, belirli ve meşru amaçlar için
güncelleştirilmesi ve kullanım amacına uygun bir süre için muhafaza edilmesi, verilerin amaca
aykırı olarak paylaşılmaması, veri sahibi kişinin hakkındaki verileri öğrenme, değiştirme ve
gerekirse silme haklarını düzenlemektedir.
55
Tasarıda benimsenen yaklaşım, çerçeve bir yasa ile kuralların belirlenmesi, ancak sektörlerin
kendi gereksinimlerine uygun özel düzenlemelerle bu güvence sisteminin tamamlanması
doğrultusundadır. Nitekim kişisel verilerin korunması ilkelerinin düzenlendiği çerçeve yasa,
etkin bir güvence sistemi için ilk adımdır.
Tasarı, kanunla verilen görevleri yapmak üzere yetkilerini bağımsız olarak kullanacak bir Kişisel
Verileri Koruma Kurulu kurulmasını içermektedir. Tasarıya göre yedi üyeden oluşacak ve altı yıl
görev yapacak olan Kurul Üyelerini ve Kurul Başkanı’nı Bakanlar Kurulu seçecektir. Kurulun
görev ve yetkileri başlıca; kişisel verileri işlenerek kişilik hakları ihlal edilenlerin şikayetleri
konusunda karar vermek, bu kişiler bakımından telafisi güç veya imkansız zararların doğması
ihtimali halinde geçici önlemler almak, veri işlenmesine ilişkin düzenleyici işlemleri hazırlamak,
sicilin tutulmasını sağlamak, yurt dışına veri aktarımına ilişkin tereddütlü durumlarda karar
vermek ve ulusal ve uluslararası makamlarla işbirliği içinde bulunmak, gerekirse araştırma ve
teknik yardım projeleri hazırlamak ve yürütmek olarak belirlenmiştir.
2012 yılının Mart ayı içerisinde tasarının üzerinde yeniden çalışılmasında yarar olacağı
belirtilmiş ve ilgili kurum ve kuruluşlarının görüşüne sunulmuştur. Gelecek görüş ve eleştiriler
çerçevesinde gözden geçirilmesi planlanmıştır. Tasarı Taslağı
Başbakanlığa gönderilmiş ancak henüz TBMM’ye sevk edilmemiştir.
Adalet
Bakanlığından
3.4.3.1 Mevcut kanun tasarısının Veri Koruma Yönergesi’ne uyumluluğu
Üzerinde uzun yıllardır çalışılan ve hala hayata geçirilememiş olan kanun tasarısının en önemli
amaçlarından bir tanesi de Avrupa’daki kurum ve kuruluşlarla işbirliklerini ve bilgi paylaşımını
mümkün kılacak olmasıdır. Dolayısı ile tasarı hakkındaki yorumların Veri Koruma Yönergesi’ne
atıf yapması kaçınılmaz olacaktır. Ancak mevcut durumda üzerinde çalışılmakta olan ayrı bir
Tasarı Taslağı olduğu ve bu Taslağın içeriğinin hükümsüz sayılan Taslaktan farklı olabileceği ve
söz konusu değerlendirmelerin geçersiz kalabileceği göz önünde bulundurulmalıdır.
Kanun tasarısının tüzel kişileri de kapsaması
Söz konusu kanun tasarısında “tüzel kişilere ilişkin bütün bilgilerin” kişisel veri kapsamında
değerlendirileceği açıkça belirtilmiştir. Oysa tasarı hazırlanırken örnek alınan 95/46 AT sayılı
Veri Koruma Yönergesi ve uluslararası düzenlemelerin büyük bir bölümü yalnızca gerçek
kişilerin verilerini koruyan düzenlemelerdir.
Tüzel kişilerin kapsam dahiline alınmasıyla, kişisel verilerin korunmasının temel felsefesi ile
çelişilmektedir. Kişisel verilerin korunması, başta özel yaşamın gizliliği hakkı olmak üzere
56
kaynağını temel hak ve özgürlüklerde bulmaktadır ve bu kapsama tüzel kişilerin de alınması,
sadece korumanın zayıflama tehlikesini getirmektedir. Tüzel kişiler belirli bir hedefi
gerçekleştirmek için kurulmaktadır, oysa insanın yalnızca insan olmaktan kaynaklanan ve
doğuştan geldiği kabul edilen hakları vardır. Nitekim tüzel kişilerin verilerinin korunması,
hukukumuzda başka bir alan olan ticari sırların konusunu oluşturmaktadır.
Tasarıda tüzel kişilerin kapsama alınmasının tercih edilme sebebi, 2002/58 sayılı Yönerge ile
tüzel kişilerin de koruma kapsamına alınması ve 2003 yılında yürürlüğe giren İtalyan Veri
Koruma Kanunu’nda da benzer yaklaşımın izlenmesidir. Bu yaklaşım bazı sorunlara neden
olabilecektir. 2002/58 AT Yönergesi özel bir alan olan telekomünikasyon sektöründe kişisel
verilerin korunmasına ilişkin ilkeleri belirleyen bir metindir ve bu şekliyle 95/46 AT’yi tamamlar
ve güçlendirir. Zira 2002/58 AT’deki “tüzel kişiliği haiz abonelerin yasal çıkarlarının korunması”
hükmünün amacı, abonenin tüzelkişi olması halinde yasal çıkarlarına zarar gelmesini önlemektir
ve tüm tüzel kişilerin kapsama alındığı anlamına gelmez.
Özel niteliği olan kişisel veriler
Tasarıda özel niteliği olan kişisel veriler düzenlemesi konulu 7. madde Yönerge ile uyumlu
yapılmış olmasına rağmen, bazı önemli farklılıklar gözükmektedir. Örneğin Yönerge’de kişilerin
cinsel yaşamları özel nitelikte kişisel veriler arasında sayılırken bu konu Tasarı kapsamına
alınmamıştır. “Özel yaşam” kavramı kişisel verilerin hemen hemen tamamını kapsadığından,
bazı veri türlerinin daha sağlam güvencelerle korunmasını sağlamayabilir.
Özellikle 7. maddenin 3. hükmüne göre özel ve aile yaşamına dokunulmaması, kamu yararının
gerektirmesi ve ilgili mevzuatta yeterli korumanın bulunması koşulları ile özel niteliği olan
kişisel verilerin Kurul kararı ile işlenebileceği belirtilmiştir. Bu hükümde geçen “kamu yararı” ile
“yeterli koruma” kavramlarının geniş anlamlar içermesi, veri koruma otoritesine verilen bu
yetkinin amaçlanan seviyeden daha geniş bir alanda kullanılması ihtimalini doğurmaktadır. Bu
kapsamda özellikle söz konusu otoritenin oluşum şekli dolayısıyla yürütmeye bağımlı olduğu
göz önünde bulundurulmalıdır. Bütün bu değerlendirmelerin sonucu olarak 7/3 hükmü adeta özel
nitelikteki kişisel verileri diğerlerine göre daha düşük bir seviyede koruyormuş gibi bir algı
oluşmaktadır.
Veri koruma otoritesi
Tasarının 4. Kısmında düzenlenen Kişisel Verileri Koruma Kurulunun görev ve yetkilerinin son
derece geniş biçimde düzenlenmesi, kurulun Türkiye’de kişisel verilerin korunması açısından
kilit bir konumda olacağına işarettir ve dolayısıyla tam bağımsız olması kritik önem taşımaktadır.
57
Bu konuda yukarıda belirtilmiş olan beş boyutta da bağımsızlık sağlanmalıdır: kuruluş
başkanının durumu, kuruluşun yönetici kurulunun durumu, devlet ve meclis ile ilişkilerin
çerçevesi, mali ve teşkilat özerkliği ve verilen yetkilerin kapsamı.
Tasarıda öngörülen kurul, Bakanlar Kurulu’nun seçtiği 7 üyeden oluşmakta, Kurulun başkanı
yine Bakanlar Kurulunca, başkan vekili ise kurul tarafından kendi üyeleri arasından
seçilmektedir. Kurulun yetkileri bağımsız olarak kullanacağı belirtilmişse de, bu seçim yöntemi
kurul üyeleri ve yürütme organları arasındaki ilişkinin devam etmesi tehlikesi taşımaktadır.
Almanya ve Avusturya’daki veri koruma otoritelerinin devletten yeteri kadar bağımsız
olamaması sonucunda Avrupa Adalet Divanı’nda mahkûm olmaları, Türkiye’nin de bu konudaki
hassasiyetten ötürü baskı görmesine neden olabilecektir. Bunların yanında mali ve teşkilat
özerkliğinin de söz konusu Tasarıya göre önemli ölçüde karşılandığını, kurulun bağımsız bir
bütçesinin olması ve kendi sekretaryasına sahip olmasının sonucunda söylemek mümkündür.
Hukuka uygunluk halleri
Tasarıdaki hukuka uygunluk halleri, Yönerge ile paraleldir, ancak bu düzenlemelerin dar
yorumlanması gerekmektedir. Aksi halde hakkın özüne dokunarak ihlal gerçekleşmesi söz
konusu olmaktadır. Tasarıdaki 5. maddenin 2 hükmü uyarınca yeterli koruma sağlandığında
kişisel veriler, tarihsel, istatistiksel veya bilimsel amaçlarla yeniden işlenebileceği gibi
kaydedildikleri amaçtan daha uzun süre muhafaza edilebilmektedir ve 10. madde uyarınca bu
esnada kişi ile ilişkilendirilmesi gerekmiyorsa anonimleştirilmelidir. Aynı alana ilişkin
düzenlenmiş iki farklı hüküm olması uyulacak esaslar açısından karışıklık yarabilir. Ayrıca bu
noktada verilerin tutulma sürelerinin bu kez de belirtilen istisna kapsamındaki amaçların
gerçekleşmesi ile sınırlı olacağı unutulmamalıdır.
Kimlik numaraları
Yönerge, ulusal kimlik numaralarının kullanımını devletlerin takdirine bırakmıştır. Tasarıda 7.
maddenin 6. hükmü kimlik numarasına ilişkin usul ve esasların yönetmelik ile düzenleneceğini
belirtmiştir. Doğası gereği olumsuz kullanıma açık olan bu numaralar büyük bir hassasiyet
içermektedir ve düzenlemesinin Tasarı kapsamına alınması düşünülebilir.
Diğer yorumlar
Tasarıda, veri işleme türü ve hükümlerinin uygulanacağı alan bakımından, otomatik yolla işlenen
veriler ile elle işlenen kişisel veriler arasında herhangi bir ayrım öngörülmemesi olumludur.
58
Tasarıya göre, yasayla öngörülen yükümlülüklerin yerine getirilmesi halinde ilgili kişi ancak
itirazda bulunması durumunda veriler işlenemez. İnsan hakları kapsamında değerlendirildiğinde
kişisel verilerin işlenmemesinin kural, işlenmesinin istisna olması daha uygun bir çözüm olarak
durmaktadır.
3.4.3.2 Paydaşların kanun tasarıları hakkında çakışan bakış açıları
Bu konuda ulusal mevzuatın hayata geçememesinin nedenlerinden biri paydaşların böyle bir
tasarının gerekliliği ve getirileri konusunda çelişen bakış açıları olmasından kaynaklanmaktadır.
İnsan hakları bilinci ve yurtdışı ile ilişkiler derinleştikçe bakış açıları olası bir veri koruma
kanununu desteklemeye yönelse de, şu anki mevcut durumda kişisel verilerin korunması
konusunda paydaşların üç önemli bakış açısı vardır:
•
Bireyler, böyle bir kanun tasarısı ile kişisel verilerinin güvence altına alınması ve özel
•
yaşama saygı hakkının tesis edilmesinden dolayı destek olmaktadır, fakat toplumun
genelinde yüksek bir bilinç söz konusu değildir.
Bazı kurum ve kuruluşlar, bilgiyi daha rahat ve etkin kullanmak ve bu bilgileri kullanarak
•
daha verimli iş modelleri oluşturmak istedikleri için böyle kısıtlayıcı bir kanun tasarısına
karşı çıkmaktadır.
Özellikle yurtdışı uzantıları olan faaliyetler gerçekleştirmek isteyip, bilgilerin
korunmasına dair güvence veremedikleri için engellenen kurum ve kuruluşlar ise,
uluslararası standartlarda bir ulusal mevzuatı desteklemektedir.
Tablo 3.1 Paydaşların olası bir veri koruma kanununa bakış açıları
İlgili
Destekleyici Görüşler
Kamu Kurumları
•
Veri Koruma Yönergesi ile
uyumlu bir tasarı Europol,
Schengen Bilgi Sistemi gibi
uluslararası organizasyonlar
ile veri paylaşımı ve
işbirliğinin önünü açacak,
terörle mücadele, organize
suçlar ve yurtdışı uzantıları
olan suçların takibi
kolaylaşacaktır.
59
Karşıt Görüşler
•
Ülke içinde veri toplama ve
işleme özgürlüğü önemli
ölçüde kısıtlanacaktır. Bilgi
toplama, tutma ve işleme
aşamalarındaki özgürlükleri
ciddi anlamda azalacak,
etkinlik azalacaktır.
•
Adli takip sırasında bilgi
toplanması ve işlenmesi
kısıtlanacaktır.
İlgili
Destekleyici Görüşler
•
Kişisel verilerin paylaşımı
konusunda belirsizlikler ve
sorumluluklar ortadan
Karşıt Görüşler
•
kalkacak, yeknesak
uygulamalara geçilecektir.
•
Düzenli çalışacak kişiler
verilerin korunmasına yönelik
yeni bir kurumun yaratacağı
bütçe yükü yüksek olacaktır.
Eurojust gibi yurtdışındaki
adli sistemler ile bilgi
paylaşımının önü açılacak,
yurtdışı uzantısı olan davalar
daha hızlı ilerleyebilecektir.
•
Kişisel verilerin paylaşımı
konusunda belirsizlikler ve
sorumluluklar ortadan
kalkacak, yeknesak
uygulamalara geçilecektir.
Özel sektör
•
Türkiye’yi “güvenilmez
ülke” olarak gören ülkelerin
şirketleri ile bilgi paylaşımı
mümkün hale gelecektir.
Bilişim ve sağlık gibi
sektörlerde yurtdışındaki
müşterilerin bu sektörlerde
Türkiye’yi tercih
edebilmesinin önünü
açacaktır.
Vatandaşlar
•
Kişisel veriler güvence altına
alınacaktır. Hem kamu hem
de özel sektör tarafından
maruz bırakılan
mağduriyetler azalacaktır.
60
•
Veritabanlarındaki mevcut
kişisel verilerin işlenmesi
kısıtlanacak, firmalara ilave
denetim ve düzenlemeler
gelecektir.
3.4.3.3 Mevzuat eksikliğinin sonuçları
Mevzuat eksikliği sonucunda, pek çok kamu kurumu uluslararası işbirliği imkanını
kullanamamakta ve hizmetlerinde çok daha etkin olma fırsatını kaçırmaktadır. Özel sektör
kuruluşları ise yurtdışı ile bilgi akışını düzenleyecek ve yurtdışındaki müşterilerine ya da
muadillerine güvence verecek bir ulusal mevzuat eksikliği yüzünden önemli bir ekonomik
potansiyeli kaçırmaktadır (Tablo 3.2).
Tablo 3.2 Kurumların mevzuat eksikliği ile yaşadığı sorunlar
Alan
Temel sorunlar41
İçişleri ve kolluk
kurumları
• Europol en az iki AB Üyesi Devletin etkilendiği organize suçlarla
mücadelede işbirliğini geliştirmeye yönelik faaliyet göstermektedir.
Operasyonel İşbirliği içerisinde oldukları ülke ve kuruluşlarla
sistemindeki kişisel verileri ve hassas verileri paylaşabilmektedir.
Ancak Türkiye “yeterli veri koruma standartlarına sahip” bir ülke
olarak görülmediği için Operasyonel İşbirliği Anlaşması
imzalanamamaktadır ve suçla mücadelede önemli imkanlar
kaçırılmaktadır.
• Schengen Bilgi Sistemi, AB Üyesi Devletler arasında sınır ötesi takip
ve izleme konularında işbirliği ve haberleşmeyi sağlamak üzere
kurulmuş kişi ve olaylara ait gerekli bilgilerin bulunduğu ortak bir
veritabanı sistemidir. Ancak Türkiye’de bir veri koruma kanunu
bulunmaması sebebiyle bu sistemden faydalanılamamakta, yurtdışında
uzantıları olan vakalarda bilgi edinme imkanları kısıtlanmaktadır.
• Kişisel verilerin korunmasına ilişkin yasal düzenleme bulunmaması
sebebiyle Fransa ve Belçika ile güvenlik işbirliği anlaşması
yapılamamaktadır.
61
Alan
Temel sorunlar41
Dışişleri
• Yabancı ülkelerin temsilciliklerimizden talep ettiği bilgilerin kişisel
veriler olup olmadığı konusunda belirsizlikler olması sebebiyle bu
taleplerde yeknesak uygulama sağlanamayabilmektedir.
Adli
kurumlar
• Avrupa Konseyi ülkeler, Türkiye’de kişisel verilerin korunması
yönünde bir güvence olmaması sebebiyle, Türk mahkemelerince
yapılan istemleri geri çevirmektedir.
Türkiye’de büyümesi öngörülen bazı sektörlerin gelişmesi ve yurtdışından müşteri çekebilmesi
için kişisel verilerin korunması kritik rol oynamaktadır. Örneğin önümüzdeki dönemde
yurtdışından gelen talebin daha da artması beklenen sağlık hizmetleri için potansiyel
müşterilerin, bu konuda standartlara uygun bir güvence olmaması, sebebiyle başka seçeneklere
yönelmesi önemli bir ekonomik bir fırsatın kaybına neden olacaktır.
Özellikle kişisel verilerin kullanımını içeren yeni teknolojilerin yaygınlaşması ve bu
teknolojilerin ekonomik potansiyelinin ciddi boyutlara ulaşması bu konuda düzenlemeler
yapılması ihtiyacını artırmıştır.
Ayrıca yabancı firmaların bağlı oldukları ülkelerin mevzuatları ellerindeki verilerin Türkiye’deki
firmalara aktarılmasına izin vermediği için ülkemizde varlık gösterememekte ve dolayısıyla
önemli yatırım imkanları kaçırılmakta, ve yine bu eksiklikten ötürü, yurtdışında iş yapan Türk
firmalar müşteri verilerinin işlenmesi konusunda sıkıntılar yaşamakta ve artı değer yaratma
imkânını kaçırmaktadır.
3.4.4
Kişisel veriler ile ilgili diğer düzenlemeler
Çerçeve niteliğinde bir kanun henüz yürürlüğe girmemesine rağmen kişisel verilerin korunması
ile ilişkili mevzuat mevcuttur. Nitekim söz konusu biçimde bir kanunun yasalaşması halinde dahi
gerekli düzenlemeler ile ilgili bakanlık ve kurumların kanuna uyumlu bir şekilde kişisel verilerin
kullanımını güvence altına alması gerekmektedir. Ayrıca, mevcut ikincil düzenlemelerin de söz
62
konusu kanunun yasalaşması haline uyum sağlayacak şekilde yeniden düzenlenmesi
gerekmektedir.
Kişisel verilerin toplanması ve kullanılmasını işleyen mevcut düzenlemelerin ilgili kısımları
aşağıda sunulmuştur:
Medeni Kanun ve Borçlar Kanunu
•
Türk Medeni Kanunu 24. madde, "Saldırıya karşı ilke", 25. madde, "Saldırıya karşı
davalar" ve Türk Borçlar Kanunu 58. madde, "Kişilik Hakkının Zedelenmesi": Söz
konusu maddeler kişinin gizli alanına sızarak sırlarını öğrenme, teknik aygıt ve araçlarla
kaydetme, resmini ve filmini çekme, ayrıca bunları yayma ve aktarma gibi eylemlere
karşı özel yaşamın ihlali kapsamında koruma getirmiştir. Bu tür eylemlere karşı, Medeni
Kanun ve Borçlar Kanunu kapsamında koruma getirilmiştir. Bu tür saldırıların meşru
görüldüğü şartlar da mevcuttur Özel yaşam alanı ihlal edilen kişinin rızasının bulunması,
müdahalenin kamu yararının gereklerinden olması ya da başkalarının haklı çıkarları
bulunması bu kapsamda sayılabilmektedir. Genel olarak bakıldığında söz konusu
hükümlerde bir eksiklik bulunmamaktadır, yeterince kapsayıcıdır. Ancak kişisel verilerin
korunmasına yönelik bir yasa düzenlemesinin yerini tutmamakta, zira önleyici bir sistem
değil saldırının gerçekleşmesinden sonra işleyebilecek bir sistem öngörülmektedir.
Dolayısıyla çerçeve niteliğinde bir kanun ile bütünleyici rol oynayacaklardır.
•
Türk Borçlar Kanunu 419. madde, özel kanun hükümlerini saklı tutmak kaydıyla
işverenin, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet
sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabileceğini belirtmiştir.
Elektronik Haberleşme Kanunu
•
Elektronik Haberleşme Kanunu 6 ve 51. maddeler, "Kişisel verilerin işlenmesi ve
gizliliğin korunması": Bilgi Teknolojileri ve İletişim Kurumu’nu, elektronik haberleşme
sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve
esasları belirlemeye yetkili kılmıştır. Tüm kanun kapsamında, kişisel verilerin
korunmasına ilişkin tek bir hüküm vardır ancak kişisel verilerin korunmasına dair
kapsayıcı güvenceyi sağlamamaktadır. Kişisel verilerin korunmasına dair tasarının
yasalaştırılmasıyla birlikte bu kanunda da kişisel verilerin korunmasına ilişkin uyumlu
düzenlemeler yapılması gerekmektedir. Konuya ilişkin gerekli düzenlemeleri yapmakla
görevli olarak Bilgi Teknolojileri ve İletişim Kurumu belirlenmiştir, ancak
düzenlemelerin neyi kapsaması gerektiğine değinilmemiştir.
63
Telekomünikasyon Sektörü Kişisel Veriler Yönetmeliği
•
Telekomünikasyon Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması
Hakkında Yönetmelik: Telekomünikasyon sektöründe kişisel verilerin işlenmesi ve
gizliliğin korunmasının güvence altına alınmasına ilişkin usul ve esasları belirler.
Türk Ceza Kanunu
•
Türk Ceza Kanunu, 135-138. maddelerde "kişisel verilerin kaydedilmesi, yayılması ve
yok edilmemesini” ayrı ayrı suçlar olarak düzenlenmektedir. Kişisel verilerin
korunmasına ve Anayasa’nın 20. maddesinde yer alan normla korunması amaçlanan
hukuksal değeri uygulama geçiren koruma hükümleri burada yer almaktadır. Bu
maddelerde yapılan düzenlemelerle kişisel verilerin hukuka aykırı olarak işlenmesi suç
sayılmış, ancak hangi hallerde hukuka aykırı, hangi hallerde hukuka uygun olduğuna dair
açıklama yapılmamıştır. Ayrıca kişisel verinin ne olduğu mevzuatta tanımlanmadığı için
suç normu belirlilik ilkesine aykırılık oluşturabilecek niteliktedir. Bunun yanı sıra 135.
Maddenin 2. Fıkrasında nitelikli kişisel verilerin kaydedilmesinin de suç oluşturduğu
belirtilmekle beraber bunların suçun nitelikli hali olduğu belirtilip daha fazla ceza ile
cezalandırılması yolu hatalı olarak tercih edilmemiştir.
Ceza Muhakemesi Kanunu
•
Ceza Muhakemesi Kanunu 135-138. madde, "Telekomünikasyon yoluyla yapılan
iletişimin denetlenmesi”: Telekomünikasyon yoluyla yapılan iletişimin sadece katalog
şekilde sayılan belirli suçlar için ve şüphe derecesinin kuvvetli şüpheye ulaşmış olması
halinde denetlenmesine izin vermiştir. Yine bu maddelerin esas ve usullerinin
düzenlendiği “Ceza Muhakemesi Kanununda Öngörülen Telekomünikasyon Yoluyla
Yapılan İletişimin Denetlenmesi, Gizli Soruşturmacı ve Teknik Araçlarla İzleme
Tedbirlerinin Uygulanmasına İlişkin Yönetmelik” ve “Telekomünikasyon Yoluyla
Yapılan İletişimin Tespiti, Dinlenmesi, Sinyal Bilgilerinin Değerlendirilmesi ve Kayda
Alınmasına Dair Usul ve Esaslar ile Telekomünikasyon İletişim Başkanlığının Kuruluş,
Görev ve Yetkileri Hakkında Yönetmelik” mevcuttur. İletişimin denetlenmesi kararının
katalog şekilde sayılan belirli suçlar için ve şüphe derecesinin kuvvetli şüpheye ulaşmış
olması halinde verilebilmesi, kişisel verilerin korunması açısından yerinde bir düzenleme
olmuştur. Ancak başka yasalarda yapılan değişiklikler veya yeni düzenlemelerle, katalog
suçlar genişletilebilmekte ve bunların sonucunda öngörülmeyen terslikler ortaya
çıkabilmektedir. İletişimin denetlenmesi kararı verilmesi için "Başka surette delil elde
64
etme imkanının bulunmaması" ek koşulunun uygulamada gerekçelendirilmesi zor
olduğundan dolayı istismara açık bir esneklik yaratmaktadır.
•
Ceza Muhakemesi Kanunu m. 140 "Teknik araçlarla izleme" (Jandarma Teşkilat, Görev
ve Yetkileri Kanunu ek 5. madde ve Polis Vazife ve Salahiyet Kanunu ek 7. madde ile
birlikte): Kişilerin teknik araçlarla görüntü kaydının alınmasının ve bu şekilde
izlenmelerinin hukuksal temelleri bulunmaktadır. 140. maddeye dayanılarak yapılan
izleme, adli kolluk faaliyetleri olmasından dolayı, somut bir suçla ilişkilidir. Ancak polis,
jandarma ve MİT tarafından somut bir suç şüphesi bulunmadan istihbarat ya da suçların
önlenmesi amacıyla kişilerin görüntülerinin izlenmesi ve kayda alınması olanaklıdır. Bu
uygulamaların meşru olması için, sınırlamalarının yasayla belirlenmesi ve ölçülü olması
gerekmektedir.
•
Ceza Muhakemesi Kanunu m. 75: Bir suça ilişkin delil elde etmek amacıyla
şüpheli/sanığın veya mağdurun beden muayenesi ve vücudundan örnek alınmasına ilişkin
hükümler (Ceza Muhakemesinde Beden Muayenesi, Genetik İncelemeler ve Fizik
Kimliğin Tespiti Hakkında Yönetmelik ve Polis Vazife ve Salahiyet Kanunu 5. madde,
“Parmak izi ve fotoğrafların kayda alınması” ile birlikte): Kolluk kuvvetlerinin olay yeri
incelemesi sırasında alınan örneklerle yapılan inceleme sonuçlarının başka bir amaçla
kullanılamayacağı ve dosya içeriğini öğrenme yetkisine sahip bulunan kişiler tarafından
bir başkasına verilemeyeceği hüküm altına alınmıştır. Polis Vazife ve Salahiyet Kanunu
5. madde ile hemen hemen herkesin parmak izinin alınması ve kaydedilmesi
öngörülmekte, dolayısı ile amacın ceza kovuşturması veya belirli bir suç türüyle
mücadele değil, genel bir önlem olduğu düşünülebilmektedir. Ayrıca aklanma ile
verilerin silinmesi arasında bağlantı kurulmadığından dolayı, söz konusu verilerin
sistemde kalacağı potansiyel sürenin ileride fişlenmeye mahal vermeyecek şekilde
kısıtlanması istismarı engelleyecektir.
•
Ceza Muhakemesi Kanunu 134. madde, "Bilgisayarlarda, bilgisayar programlarında ve
kütüklerinde arama, kopyalama ve el koyma": Cumhuriyet savcısı talebi ile
bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve el koyma
işleminin yapılmasına ilişkin ilkeler, yöntem ve yetkili makamları düzenlemiştir.
Bilgisayarlarda arama yapılabilmesine ilişkin ayrı bir düzenleme yapılması, yerinde
olmuştur, ancak şifre çözülemiyorsa, bilgisayar ve benzeri aygıt kopyalanamıyorsa veya
ortada mecburi bir durum varsa bilgisayar alınıp götürülebilmektedir. Ancak bu
düzenleme sonucunda uygulamada üzerinde delil aranan aygıt aslının kişide kalması
65
gerekirken, kolluk güçleri yanlarında gerekli makinenin olmamasını gerekçe göstererek
bilgisayarı götürebilmekte ve hukuka aykırı durumlar ortaya çıkabilmektedir.
Uygulamada hemen hemen tüm işlemler bu şekilde yapılmakta, tutanaklarda sağlam ve
gerçeğe uygun bir gerekçe bulunmamakta bu da elde edilen delilleri hukuka aykırı hale
getirmektedir, oysa ortada bir hakim kararı varsa, tüm ekipman da hazır olmalıdır.
•
Ceza Muhakemesi Kanunu’nda Öngörülen Telekomünikasyon Yoluyla Yapılan İletişimin
Denetlenmesi, Gizli Soruşturmacı ve Teknik Araçlarla İzleme Tedbirlerinin
Uygulanmasına İlişkin Yönetmelik: Ceza Muhakemesi Kanunu’nda öngörülen
telekomünikasyon yoluyla yapılan iletişimin denetlenmesi, gizli soruşturmacı ve teknik
araçlarla izleme tedbirlerine ilişkin talepte bulunulması, kararların alınması ve
uygulanmasında uyulacak usul ve esasları belirlemiştir. Yönetmelik hem internet servis
sağlayıcıların hem de telekomünikasyon şirketlerinin kullanıcılarının kişisel verilerinin
toplanması, işlenmesi ve depolanması konularını gayet kapsamlı ve isabetli bir şekilde
düzenlemiştir.
İş Kanunu
•
İş Kanunu 75. madde, “İşçi Özlük Dosyası”: İşvereni, işçi hakkında edindiği bilgileri
dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı
çıkarı bulunan bilgileri açıklamamakla yükümlü kılmıştır. İşçinin kişisel verilerinin
kişilik haklarına zarar verecek şekilde kullanılması halinde kanundaki bazı hükümlere
başvurarak sorunu çözmek olanaklı olsa dahi, kanundaki düzenlemeler genel anlamda
kişisel verilerin korunması açısından yetersiz kalmakta, kanun ancak Türk Ceza Kanunu,
Medeni Kanun ve Borçlar Kanunu’ndaki genel hükümler yorumlanarak bir ölçüde
güvence sağlayabilmektedir.
Adli ve Önleme Aramaları Yönetmeliği
•
Adli ve Önleme Aramaları Yönetmeliği 27. madde, vd. "Aramaların yapılış şekli":
Düzenlemelerde, durdurma ve kontrol işlemleri, karar veya yazılı emir üzerine üst ve
eşya aramasının icrası, araçlarda arama, konut, işyeri ve eklentilerinde aramanın
yapılması, aramanın zamanı ve nezarethanelerde yapılacak aramaya ilişkin hususlar
bulunmaktadır. Hem adli hem önleme aramaları için düzenlenmiştir ancak adli kolluk ve
idari kolluk etkinlikleri kişisel verilerin korunması açısından değerlendirildiğinde farklı
sonuçları beraberinde getirmektedir. Çünkü yasaların suç saydığı bir eylemin
gerçekleştirilmesinin ardından parmak izi, DNA profili gibi kişisel verilerin toplanması
66
ve değerlendirilmesi, şüpheli veya sanığın telefon görüşmelerinin dinlenmesi ya da
görüntülerinin kayıt altına alınması ile genel asayişin sağlanması, suçluluğun önlenmesi
gibi gerekçelerle belirsiz sayıda kişiye ilişkin bu bilgilerin toplanması ve
değerlendirilmesi birbirinden farklıdır. Bu sebeple, her iki arama türüne dair
düzenlemelerin ayrı ayrı oluşturulması gerekmektedir.
3.4.5
Yeni teknolojiler
3.4.5.1 Bulut bilişim
Ülkemiz için bulut bilişim hizmetlerinin yaygınlaşmasının gerektirdiği hukuki altyapının
etkilediği iki boyut vardır: kurum ve kuruluşların bulut bilişim hizmetlerini kullanabilmesi ve
işletmeciler tarafından ülke içerisine ve dışına bulut bilişim hizmetlerinin sunulabilmesi.
Avrupa Birliği üyesi ülkelerdeki mevzuat bulut bilişimin kullanımı açısından yeteri kadar esnek
olmamasına rağmen, ülkemizde bu yönde düzenlemelerin eksik olmasından ötürü kullanımı
sınırlayan bir sistemden söz etmek mümkün değildir. Nitekim ülkemizde pek çok kurum ve
Şekil 3.6 Veri koruma konusunda bulut bilişime hazırlık seviyesi
Türkiye’nin bulut bilişimde yatırım çekebilmek için hukuki altyapısını
geliştirmesi gerekmektedir
Bulut bilişim hazır olma seviyesi, veri gizliliği
2011
8.8
6.5 6.5 6.4
6.2
Kaynak: Business Software Alliance
67
3.5
3.2
2.8
Güney Afrika
3.5 3.5
Singapur
4.1 4.1
Tayland
4.7 4.6
Çin
5.0
Türkiye
Rusya
İtalya
Polonya
İspanya
Fransa
Almanya
ABD
İngiltere
Malezya
Meksika
Avustralya
Kanada
Japonya
Güney Kore
5.4
Vietnam
6.6 6.5
Hindistan
7.1 6.9
Endonezya
7.5
Brezilya
8.1 7.9
Arjantin
9.3
kuruluş bulut bilişim hizmetlerini kullanmaya başlamıştır.42 Fakat bu sınırlamanın olmaması bu
hizmetleri kullanacak kurumların hizmet alımında güvenlik kaygılarını arka plana itebilmekte,
dolayısı ile sağlanan güvenlik seviyesinin yeterliliğini ve kurumların veri tabanlarında tutulan
milyonlarca bireye ait kişisel verilerin ne oranda korunabildiği konusunda şüphe
uyandırmaktadır.
Mevzuat eksikliği aynı zamanda Türkiye içerisinde sunulan bulut bilişim hizmetlerinin de gerekli
hukuki sınırlamalar çerçevesinde belli güvenceler sağlamaya zorlamamakta ve diğer ülkelerdeki
işletmecilerin ulusal mevzuatların yeterliliği dolayısıyla sundukları güveni ülkemizdeki hizmet
sağlayıcıların sunamamasına neden olmaktadır. Özellikle Veri Koruma Yönergesi uyarınca
Avrupa Birliği ülkeleri kişisel verileri sadece belli güvenceler sunan ülkelere aktarabildikleri
için, Avrupa’daki kurum ve kuruluşlara bulut bilişim hizmeti sunabilmek için de bu güvencelerin
sağlanması ön şart haline gelmiştir.
Özellikle teknik altyapı hizmetleri sunulması noktasında gelişmiş ülkelerin bulut bilişim
ihtiyaçlarını daha ucuza karşılayabilecek ülkelerden karşılaması beklenmektedir. Ancak gelişmiş
ülkelerin veri koruma düzenlemelerinin bu hizmeti sağlayan ülkenin güvenilir ülke olmasına
dikkat etmesinden ötürü gelişmekte olan ülkelerin çoğu bu güvenilirliği sağlayacak hukuki
altyapıya sahip olmadıkları için bulut bilişim hizmetlerini sunma konusunda büyük problemler
yaşayabilecektir.
Hala “güvenilmez ülke” olarak nitelenen ve mevzuat eksikliği çeken Türkiye de bu güvenceyi
sağlayamadığı için dezavantajlı bir duruma düşmüştür. Nitekim Business Software Alliance’ın
42 Ulusal kamu bilgi teknolojileri uygulamalarından MERNİS, UYAP, SAY2000i, EKAP gibi projelerde taşra şubeleri
merkezi sunuculardaki uygulamalardan faydalanmakta, ayrıca Aile ve Sosyal Politikalar Bakanlığı’ndaki gibi ince
istemci kullanımı içeren, kapsamlı bir bulut bilişim projesi tüm bakanlığa hizmet vermektedir. Aile ve Sosyal Politikalar
Bakanlığında bulut bilişime geçilmesiyle 5 farklı genel müdürlüğün bilgi işlem birimleri birleştirilmiş ve sistemdeki 320
sanal sunucu vasıtasıyla pek çok uygulama merkezileştirilmiştir. Bu sayede veri merkezlerindeki toplam kabin sayısı
%87 ve enerji kullanımı %68 azaltılmış, işletim sistemi kurma süresi 3-4 saatten 15 dakikaya indirilmiş, yedekleme
süresi 2 günden 4 saate indirilmiş ve bilgi teknolojileri sistemlerinin yönetiminde uzaktan yönetime geçilmiştir. Ayrıca
yaklaşık 300 ABD dolarına alınan ince istemciler bulut bilişim desteğiyle çoğu kullanıcının ihtiyacını gidermekte,
donanım maliyetini ve elektrik tüketimini azaltmaktadır. İnce istemci kurulumu sayesinde son kullanıcılara ait
cihazlarda yazılım güncellemelerine de gerek kalmamaktadır. (Türkiye Bilişim Derneği, Nisan 2012, "Kamuda Bulut
Bilişim 1. Çalışma Grubu Raporu”)
68
bulut bilişime hazır olma seviyelerini ölçtüğü araştırmada, veri gizliliği kıstası da incelenmiş, bu
alanda Güney Kore, Japonya ve Kanada gibi ülkeler 10 üzerinden 8’in üzerinde not alırken,
Türkiye incelenen ülkeler arasında en gerilerde kalmış ve sadece 3,5 almıştır. (Şekil 3.6) Ancak
güvenilir ülke statüsüne gelmesini sağlayacak kişisel veriler düzenlemelerini yapması halinde
ülkemiz çok büyük bir bulut bilişim pazarına açılma ve BİT sektörünü büyütme potansiyeli
yakalayabilecektir.
Dolayısı ile kişisel verilerin kullanımı ve özellikle bulut bilişim özelinde bu kullanımların nasıl
olacağının düzenlenmemesi, hem kullanım açısından güvenlik gerekliliklerinin yeteri kadar
denetlenememesine hem de hizmet sunumu açısından gerekli güvencenin verilememesine neden
olmaktadır.
3.4.5.2 Çevrimiçi davranışlar reklamcılık
Kişisel verilerin korunmasına yönelik mevzuatın eksik olmasından dolayı internet kullanımı
esnasında da çevrimiçi davranışsal reklamcılık amacıyla kullanıcıların izlenmesine yönelik
kanuni bir denetleme çerçevesi mevcut değil, fakat ikincil düzenlemeler ile sektörel denetlemeler
mümkündür.
Yakın zamanlarda özellikle DPI43 yönteminin kullanımı ile birlikte çevrimiçi davranışsal
reklamcılık yapılması konusu kamuoyunun gündemine gelmiştir. Kamuoyunda bu konuda
haberler çıkmış ve TTNet ile ortak çalışma yürüten Phorm Solutions firmasının, internet
kullanıcılarının trafiklerini takip ettiği, kişisel veri güvenliğini ve gizliliğini ihlal ettiği iddia
edilmiş, BTK da kişisel verilerin gizliliğinin ve güvenliğinin sağlanması hususunda konuya
yaklaşacağını belirtmiştir.44 Ardından BTK tarafından TTNET'in Phorm Şirketi aracılığıyla
kişisel veri ihlali yaptığı iddiası ile ilgili soruşturma açılmış, yapılan açıklamada kullanıcılardan
opt-out şeklinde alınan onay dahilinde kişisel verilerin hangi kapsam ve süre ile işleneceğinin
belirtilmemesinin Elektronik Haberleşme Sektöründe Tüketici Hakları Yönetmeliği’ni ve
Telekomünikasyon Sektöründe Kişisel verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında
Yönetmeliği’ni ihlal ettiği belirtilmiştir.45
43 Derin Paket İncelemesi (Deep Packet Inspection.)
44 Bilgi Teknolojileri ve İletişim Kurumu, 23 Kasım 2011, PHORM SOLUTIONS Firması ile ilgili, Medyada Çıkan
Haberler Hakkında Basın Açıklaması
45 Bilgi Teknolojileri ve İletişim Kurumu, 14 Aralık 2012, TTNET AŞ'nin Phorm Şirketi Aracılığıyla Kişisel Veri İhlali
Yaptığı İddiası ile ilgili Bilgi Teknolojileri ve İletişim Kurumu Kararı
69
4
Güvenli İnternet
4.1
Genel Bakış
Geçtiğimiz yıllar içerisinde inanılmaz bir hızla yayılan ve günlük hayatın parçası olan internetin
etkisinin büyüklüğünden, sunduğu özgür ortamdan ve sonuç olarak bu ortamın imkan sağladığı
yenilikçi çözümlerin bireylerin hayatını derinden değiştirdiğinden ve ciddi anlamda bir sosyal ve
ekonomik gelişme sağladığından şüphe yoktur.
Ancak bu faydalara imkân veren özgür ve kontrolsüz ortam pek çok olumsuz eylem ve içeriğe de
ev sahipliği yapmaktadır. Fiziksel dünyada sıkı düzenleme ve denetimlerle düzenlenen eylemler
internet üzerinde rahatlıkla ve kolaylıkla yapılır bir hale gelmiş, ayrıca internetin doğasından
ötürü pek çok yeni olumsuz eylemin gerçekleşmesi ve içerikler yayılması da mümkün olmuştur.
İnternette olumsuz içerik ve eylemlerin bireylere doğrudan zararı olmaktadır ve dolayısıyla bu
olumsuzluklardan çekinen bireyler internet kullanımından kaçınmaktadır. Bireylerin interneti
yeteri kadar rahatlıkla benimsemediği durumda ise, internetin sosyal ve ekonomik potansiyeli
tam anlamıyla gerçekleştirilememektedir. Bu fırsatların hayata geçmesi ve toplumsal gelişmeye
imkan vermesi için internetin olumsuz etkilerinin kısıtlanması gerekmektedir.
Elbette, internetin sunduğu katkıların önemli bir bölümünün açıklık ve özgürlükten geldiği
düşünüldüğünde, olumsuz içeriklerin kısıtlanmasına yönelik eylemler internetin doğasına karşı
geleceği görülecektir. İnternetin vasfının zayıflaması internetin potansiyel faydalarının da benzer
oranda zayıflamasına neden olacağı için internetin daha güvenli bir hale gelmesine yönelik
atılacak adımların bu dengeyi gözetmesi gerekmektedir.
Bu doğrultuda sosyal ve ekonomik gelişim için internetin kullanımının daha güvenilir bir hale
gelmesini amaçlayan ülkeler de “güvenli internet” politikaları takip etmekte, belli adımlar atarak
bireylerin interneti kullanırken karşılaştıkları olumsuzlukları azaltmaya çalışmaktadır.
4.1.1
İnternetteki tehlikeler ve sonuçları
Bireyler internet kullanımı esnasında çok çeşitli tehlikelere maruz kalmaktadır, bu tehlikeler üç
kategori altında incelenebilir: İçerik, temas, ticari (Şekil 4.1).
İçerik risklerinin içerisinde kışkırtıcı içerikler ve yanıltıcı içerikler bulunmaktadır. Kışkırtıcı
riskler kategorisi altında şiddet içeren, nefret içeren, ırkçı ya da cinsel içerikli resimler gibi
unsurlar bulunmaktadır.
70
Temas risklerinin içerisinde çevrimiçi ve çevrimdışı riskler bulunmaktadır. Çevrimiçi riskler
kategorisi altında sanal zorbalık (cyber-bullying)46, cinsel talepler ve gizliliğe müdahale
sayılabilmekte, çevrimdışı risk de çevrimiçi başlayan ilişkilerin gerçek hayatta temasa dönüşmesi
ile doğan riskleri içermektedir.
Ticari riskler içerisinde de internet kullanıcısının kimlik avı (phishing)47 gibi yöntemlerle
dolandırılması ve internet kullanıcının kişisel verilerinin istismar edilmesi sayılabilmektedir.
Sosyal mühendislik yöntemleri kullanıcıları kandırıp, mali kazanç sağlama amacıyla sıklıkla
kullanılmaktadır.
Bu tehlikelerin önemli bir kısmı internetle birlikte çok daha kolay hayata geçirilebilir hale gelmiş
Şekil 4.1 İnternet üzerindeki riskler
İnternetteki riskler 3 kategoride sınıflandırılabilir
Kışkırtıcı içerik
İçerik
Yanıltıcı içerik
Sanal
zorbalık
İnternetteki
riskler
Çevrimiçi temas
Cinsel
talepler
Çevrimdışı temas
Gizliliğe
müdahale
Temas
Mali istismar
Ticari
Kişisel bilgilerin
istismarı
Kaynak: De Moor et al. (2008) Teers and ICT: Risks and opportunities
ve bu tür tehditler internet öncesi dönemde çok düşük seviyede olmasına rağmen, internetle
birlikte ciddi seviyeye yükselmiştir.
46 Bilgi teknolojilerini karşıdakine utandırmak, incitmek veya zarar verme amaçlı kullanmak. (The National Crime
Prevention Council)
47 E-posta aracılığı ile kullanıcıların bilgilerini girmek için sahte internet sitelerine yönlendirilip kişisel bilgilerinin
çalınması
71
Çocukların cinsel istismarının internetin yaygınlaşması ile çok ciddi boyutlara ulaşması bu
duruma örnek olarak verilebilir. 1995 yılında, internet henüz İngiltere’de yaygınlaşmaya
başlamadan önce, Manchester polisi tüm yıl toplamda 12 adet uygunsuz çocuk resmi, fiziksel
resim ya da video olarak, ele geçirmiştir. İnternet öncesi dönemde yüzlerce resmin söz konusu
olduğu bir gözaltı büyük dalgalanma yaratabilecekken, aynı ekip, internetin artık yaygınlaştığı
1999 yılında, hepsi bilgisayar üzerinde ve internet üzerinden alınmış, toplam 41.000 resim
uygunsuz çocuk resmi ele geçirmiştir. 2003 Aralık ayında İngiltere’de bir kişi 450.000 uygunsuz
çocuk resmi bulundurmaktan hüküm giymiş, New York’ta bir adrese yapılan baskın sonucunda
yaklaşık bir milyon resim ele geçirilmiştir.
Sadece çocukların cinsel istismarı boyutunda değil, pek çok diğer boyutta da internet zararlı veya
yasadışı içerik ve eylemler için katalitik etki yaratmıştır. İnternet üzerinden yaşanan
dolandırıcılık gibi siber suçlar pek çok kullanıcıyı etkiler hale gelmiştir. 2012 yılı içerisinde,
internet kullanıcılarının %46’sının, sosyal ağ kullanıcılarının %39’unun ve mobil internet
kullanıcılarının %13’ünün siber suç mağduru olduğu tahmin edilmektedir (Şekil 4.2).
İngiltere’de siber suçların vatandaşlara yıllık toplam maliyetinin 3,1 milyar pound olduğu tahmin
edilmekte; bu maliyetin 1,7 milyar poundunun kimlik hırsızlığından, 1,4 milyar poundunun da
Şekil 4.2 Siber Suç Mağduriyeti
Siber suçlar pek çok kullanıcıyı etkilemekte, yeni eğilimler ile bu tehdit
devam etmektedir.
Sosyal ağ kullanıcıları tedbir alma ihtiyacı
duymuyor
Siber suç mağduru olma oranı
2012
İnternet
kullanıcılarının
~%46
Sosyal ağ
kullanıcılarının
~%39
Mobil internet
kullanıcılarının
~%13
KAYNAK: Norton Siber Suç Raporu
72
Sosyal ağlarda siber suç
tehlikesi olmadığına
inananlar
~%25
Kullandıktan sonra her
seferinde hesabından
çıkmayanların oranı
~%33
Hesabının gizlilik
ayarlarına dikkat
etmeyenlerin oranı
~%51
Sosyal ağlarda tehlikelere
karşı güvenlik çözümü
kullanmayanların oranı
~%13
çevrimiçi dolandırıcılıktan kaynaklandığı düşünülmektedir.48
2002 yılında Jupiter Research’ün yaptığı bir araştırmaya göre, güvenlik kaygıları yüzünden
kaçırılan internet ticaretinin boyutu 2001 yılında 5,5 milyar dolar, 2006 yılında ise 24,5 milyar
dolar olarak tahmin edilmektedir.
4.1.2
Çocuklar ve gençlerin korunması
İnternetin ortaya çıkması ve yaygınlaşması esnasında çocukların ve gençlerin kullanımı ön
planda olmamış, dolayısıyla bu açık ve özgür yapı içerisinde çıkabilecek zararlı içeriklerin,
henüz bilinçli bir şekilde kendisini koruma kabiliyetine sahip olmayan bireyler tarafından
kullanılabileceği göz önünde bulundurulmamıştır. Ancak günümüzde internet kullanım yaşı
düşmekte ve gittikçe daha küçük yaşta çocuklar interneti kullanmaktadır.
Avrupa Birliği içerisinde 9-16 yaş arasındaki çocukların günde ortalama 88 dakika internet
kullandığı tespit edilmiş, çocukların %60’ının her gün internete eriştiği ancak ebeveynlerinin
sadece %49’unun her gün internete eriştiği görülmüştür.49
Gittikçe daha küçük yaşta çocuklar internete erişmesinin yanında, internetteki değişimler
sonucunda da çocukların internet üzerinden olumsuz içeriklere maruz kalma miktarı da önemli
oranlarda artmıştır. 2001’de yapılan bir araştırma 8-13 yaş aralığındaki çocukların sadece
%4’ünün internet üzerinden pornografik içeriğe ve sadece %4’ünün internet üzerinden şiddete
uğradığını tespit etse de,50 bu durum yıllar içinde daha büyük boyutlara ulaşmış, 2008 yılında
yapılan bir araştırma 10-12 yaş arasındaki çocukların %40,7’sinin benzer olumsuzlukta içeriğe
maruz kaldığını tespit etmiştir.51 2010 yılında yapılan EU Kids Online araştırması da Avrupa
Birliği’ndeki çocukların %14’ünün cinsel içerikli internet sitelerine maruz kaldığını, bunun
yanında da çocukların %6’sının sanal zorbalık (cyber-bullying) mağduru olduğunu
göstermiştir.49
Artan oranlarda olumsuz içeriğe maruz kalınmasına rağmen çocukların internet kullanım
kabiliyetleri sınırlı seviyededir ve internet kullanım yaşı küçüldükçe internet kullanma kabiliyeti
olmayan çocuklar bu tür olumsuzluklarla yüz yüze gelmektedir. EU Kids Online araştırması
48 Detica, (2011) The Cost of Cybercrime
49 EU Kids Online, Final Report II, 2011
50 Valkenburg and Soeters (2001)
51 Valcke (2008)
73
sonucunda küçük çocukların zararlı içerik veya eyleme maruz kalmaları durumunda çok daha
yanlış hareketler yaptığı ve kötü sonuçlarla karşılaşmaları sonucunda da sorunu başkalarından
gizlediği ortaya çıkmıştır. Yine aynı araştırma çerçevesinde çocukların internette güvenlik ve
bilgi kullanımı konusunda belirlenen 8 kilit becerinin ne kadarına sahip olduğu sorgulanmış ve
14-16 yaş grubu içerisinde olan çocukların ortalama 5,0 tanesine, 11-13 yaş grubu içerisinde olan
çocukların ise ortalama 3,3 tanesine hakim oldukları görülmüştür. Ayrıca araştırma
kapsamındaki çocukların %44’ünün sosyal ağ profillerindeki güvenlik ayarlarını değiştiremediği,
%44’ünün internet sitelerinde rastladıkları bilgilerin doğruluğunu sınayamadıkları, %48’inin
internet geçmişini silmeyi bilmediği ve %49’unun da istenmeyen e-postaları engelleyemediği
görülmüştür.49
Teknik yetersizliğin ötesinde çocukların internet kullanımı esnasında bir bilinç eksikliği de
mevcuttur. 2008 yılında yapılan bir araştırmaya göre çocukların yaklaşık %70’i internet üzerinde
ev adresini ya da e-posta adresini vermekte bir sakınca görmemektedir.52
İnternet kullanımı konusunda kabiliyetleri artırılan çocuk ve gençlerin interneti daha yüksek
oranda kullanması sonucunda olumsuz tecrübelerden daha çok zarar görmesinden
çekinilebilecektir. Ancak internet kullanma kabiliyetleri daha yüksek oranda olan çocukların
daha fazla olumsuz içeriğe maruz kaldıkları, ancak buna rağmen, internet kullanma kabiliyeti
düşük olan çocuklara nispeten çok daha az zarar gördüğü görülmüştür.53 2005 yılında yapılan bir
başka araştırmada internet üzerinden olumsuz içerik ya da eyleme maruz kalan çocuk ve
gençlerin bu tecrübe sonrasında stres, korku veya depresyon belirtileri gösterdiği görülmüştür.54
Çocuklarının psikolojik ve sosyal açılardan sağlığı ve çocuklarının internetteki içerikler aracılığı
ile edinebileceği uygun görülmeyen değerler konusunda hassas olan ebeveynler de dolayısı ile
internete daha şüpheli yaklaşabilmekte, çocuklarının internet kullanımını kısıtlamaya55
yönelebilmektedir. Özellikle bu konuda etkin kısıtlama ve kılavuzluğu gösterebileceğine
inanmayan ebeveynler ise tümden sınırlandırmaya gidebilmekte, hanelerindeki internet
kullanımını da bu kaygılarla kısıtlayabilmektedir.
52 Kierkegaard (2008).
53 EU Kids Online, Final Report II, 2011.
54 Cho and Cheon (2005).
55 Bu yöndeki ebeveynlerin gözetim çabaları üç şekilde olmaktadır: Sınırlayıcı gözetim, aktif gözetim, teknik gözetim
74
Dolayısıyla çocuklar ve gençlerin internet kullanımı konusunda ebeveynlerin çekinceleri
nedeniyle bilgi teknolojilerinin sunduğu sosyal ve ekonomik potansiyelin tam anlamıyla hayata
geçirilememektedir.
4.2
Devletlerin aldıkları önlemler
Hem bireyleri olumsuz eylem ve içeriklerden korumak için hem de internetin kullanımını
azaltan, dolayısıyla da bilgi teknolojilerinin sosyal ve ekonomik potansiyelinin aksamasına neden
olan unsurların önüne geçmek için devletler internetin güvenli olması için etkin rol almaktadır.
Pek çok ülkenin yaklaşımında da görüldüğü gibi güvenli internet çözümlerinin üç ayağı vardır.
(Şekil 4.3)
Şekil 4.3 Güvenli internet çözümleri
Güvenli internet çözümlerinin üç ayağı vardır
Açıklama
1
Eğitim ve
bilinçlendirme
çalışmaları
2
Erişimi kısıtlama
3
Bilişim suçları ile
mücadele
Bu konunun üç parçası vardır:
▪ Ebeveyn gözetimi ile
▪ Okullarda eğitim ile
▪ Bilinçlendirme kampanyaları ile
Erişim engellemenin dört yöntemi vardır:
Öz-denetleme ile
Devletin filtre kullanımını teşvik etmesi ile
İSS’lerin1 zorunlu filtre sunması ile
Teknik altyapıdan filtreleme ile
▪
▪
▪
▪
Bu konuda düzenlemeler yapılmakta ve
uygulanmaktadır – detayları bilgi güvenliği
kısmında incelenmiştir
1 İSS: İnternet Servis Sağlayıcı
KAYNAK: Valcke (2011), Ovum (2003), McKinsey Analizi
4.2.1
Eğitim ve bilinçlendirme çalışmaları
İnternetin açık ve özgür doğasından ötürü olumsuz içerik ve eylemler ile karşılaşmak kaçınılmaz
olmuş, dolayısıyla bu içerik ve eylemler karşısında bireyin hazırlıklı ve bilinçli olması ise
zorunluluk haline gelmiştir. İçerik ve eylemler karşısında olumsuz yönde etkilenme riski bulunan
çocukların ve gençlerin internetin riskleri ile başa çıkma kabiliyetlerinin artırılması, güvenli
75
internet için ilk gerekliliktir. Nitekim ebeveynlerin bu konudaki bilinçlenme ihtiyacı nispeten
daha düşük ve teknik kabiliyetlerinin artırılması da nispeten daha zor olarak görüldüğü için,
eğitim ve bilinçlendirme çalışmaları özellikle çocuklar ve gençlere odaklanmaktadır. Bu
doğrultudaki yaklaşımlar üç boyutu kapsamaktadır: Ebeveyn gözetiminin etkinleştirilmesi,
eğitim sistemi aracılığı ile çalışmalar yapılması, topluma yönelik bilinçlendirme kampanyalarının
hayata geçirilmesi.
Ebeveyn gözetimi, çocukların ve gençlerin interneti daha bilinçli kullanmaları ve belli becerileri
kazanmaları için ilk adım olarak görülmektedir. Büyük oranda evde kullanılan internet hakkında
ebeveynlerin terbiye hakkı çerçevesinde çocuklarına belli değerleri vermesi ve bu değerlere göre
internet kullanımı cesaretlendirmesi çok büyük önem taşımaktadır. Ebeveyn gözetimleri iki
çeşide ayrılmaktadır: sınırlayıcı gözetim ve etkin gözetim. 56 Sınırlayıcı gözetim internet
kullanımı hakkında yapılan, kullanılacak sürenin ya da programların sınırlanması gibi internet
kullanımından önce gelen bir gözetimdir. Etkin gözetim ise internet kullanımının içeriği ile ilgili,
ebeveynin internetin kullanımı hakkında çocuğu ile diyalog halinde olduğu ve çocuğunun girdiği
Şekil 4.4 Eğitim ve bilinçlendirme çalışmalarının parçaları
Eğitim ve bilinçlendirme çalışmalarının üç parçası vardır
▪
▪
▪
Öğrencilerin
internetin riskleri
konusunda
bilinçlenmesi ve
interneti güvenli
kullanımı konusunda
beceri ve birikimlerini
artırıcı derslerin
müfredata alınması
Öğrencilerin zararlı
içerik ve eylemlerden
uzak kalmasına
yönelik filtreleme
uygulamaları
Ebeveynlerin çocuklarının internet
kullanımını takip etmesi, zararlı içeri ve
eylemlerden uzak kaldığından emin
olması, internetin güvenli kullanımı ve
riskleri konusunda bilinçlendirilmesi
Ebeveyn
gözetimi
▪
Okullarda eğitim
Bilinçlendirme
kampanyaları
▪
Eğitim ve
bilinçlendirme
KAYNAK: Valcke (2008), McKinsey analizi
56 Lwin Stenaal (2008)
76
Öğrenci, öğretmen,
çalışanlar ve diğer grupları
internetin riskleri konusunda
bilinçlendirme ve güvenli
internet konusunda beceri
ve birikim artırıcı
çalışmaların yapıldığı
seminerler, eğitimler,
atölyeler gibi çalışmalar
Toplumun daha geneline
yönelik yapılan güvenli
internet konulu kamu spotu,
reklam, internet sitesi gibi
çalışmalar
siteleri takip eden bir gözetim şeklidir. Ancak unutulmamalıdır ki, çocuklar sadece evde ve
ebeveynlerinin gözetiminde internet kullanmamakta, bunun yanı sıra okullarda ve internet
kafelerde de internete erişebilmektedir.
Okullarda eğitim yolu ile bilinçlendirme çalışmaları da pek çok ülkede sürdürülmektedir. Bu
konudaki ilk örneklerden bir tanesi ABD’de 1992 yılında yürürlüğe giren ve okullarda ve halk
kütüphanelerinde internet kullanımını düzenleyen Children’s Internet Protection Act ve
Neighborhood Children’s Internet Protection Act olmuştur.57 Bu tür düzenlemeler dışında, bazı
okullarda zararlı internet sitelerine erişim engellenmektedir. Ayrıca öğretmenlerin bilinç ve
becerilerinin artırılmasına yönelik çalışmalar yapılmış ve müfredatın değiştirilerek güvenli
internet kullanımı konusunu da kapsaması sağlanmıştır.
Bilinçlendirme kampanyaları da çok kapsamlı bir yönteme işaret etmektedir ve güvenli internet
konusunda bilinç ve beceriyi artırmak amaçlı seminer programları, kamu spotları, beceri artırma
çalışmalarını içeren bir yaklaşımdır.
Söz konusu bilinçlendirme çalışmalarına en bilinen örneklerden bir tanesi Insafe programıdır.
Insafe, Avrupa Birliği ülkeleri tarafından bir işbirliği ağı olarak kurulmuş olup, bireylerin
internet, mobil cihazlar ve diğer çevrimiçi teknolojileri olumlu, güvenli ve etkin bir şekilde
kullanması yönünde çalışmaktadır. Devletler, eğitimciler, ebeveynler, kitle iletişim araçları,
sanayi ve tüm diğer paydaşların rol alarak sorumluluk paylaşması ile birlikte bireylerin, özellikle
çocukların ve gençlerin, haklarının ve ihtiyaçlarının gereğinin yapılması amacıyla internetteki
olumsuz içerikler, özellikle çocukların cinsel istismarı, hakkında farkındalığı ve bilişim
okuryazarlığını artırmaya yönelik çalışmaktadır.
Güvenli İnternet Programı (Safer Internet Programme) çatısı altında hazırlanan beş yıllık (200913) bir proje kapsamında, 55 milyon avroluk bütçesi ile internetteki yasadışı içerik ve zararlı
eylemlerle mücadele etmektedir. İkinci nesil internet iletişim hizmetlerini de kapsayan projede;
•
Çocukların, ebeveynlerin ve öğretmenlerin internetin güvenli kullanımı konusunda
bilinçlendirilmesi,
Bireylerin olumsuz veya zararlı içerik veya eylem karşısında başvurabilecekleri ulusal
•
•
yardım merkezleri sunulması,
İnternet sektörünün kendi kendini denetlemesi üzerine çalışılması,
Çocukların güvenli internet ortamı için hareketlendirilmesi,
•
57 Sivin Bialo (1992)
77
•
Yeni teknolojiler ve riskler konusunda bilgi ve tecrübe birikimi oluşturma
adımları atılmaktadır.
4.2.2
Zararlı internet sitelerine erişimin kısıtlanması
Pek çok ülke internetin içerisindeki olumsuz içerik ve eylemlerin kullanıcıya zarar vermemesi
için bu içerik ve eylemlere erişimi engelleme seçeneğini kullanmaktadır. Ancak bazı ülkeler bu
konuda internetin açık ve özgür olmasının faydalarına odaklanırken, bazı ülkeler de zararlarına
odaklanmakta, dolayısı ile sınırlamanın boyutuna kendi sosyal ve kültürel değerlerinin
bağlamında karar vermektedir. Bu doğrultuda, internetteki zararlı veya yasadışı içerik ve
eylemlere erişimi engellemek için devletin başvurduğu dört yöntem mevcuttur (Tablo 4.1).
Tablo 4.1 Güvenli İnternet Yöntemleri ve Sonuçları
Yöntem
Sonuçları
Kullanıcıların kendilerini
denetlemesi: İnternet servis
sağlayıcılar (İSS) kullanıcılarına
•
internet filtreleme uygulamaları
sunar, kullanıcılar tamamen
gönüllü olarak bu uygulamaları
kullanabilir ve devlet kullanımı
uygulamasının engellediği içerik çeşitleri kullanıcılara
uyarlanabilir, yasadışı içerik haricindeki olumsuz
içeriklere erişim zorla engellenemez, hem kullanıcı
tarafından hem de İSS tarafından uygulanması çok
kolaydır.
•
Filtreleme uygulamalarının kullanıcılara ve İSS’lere
maliyeti çok düşüktür ve internet pazarının büyümesine
çok sınırlı bir etkisi vardır.
•
Veri akışını en düşük seviyede etkiler, filtreleme
uygulamasının engellediği içerik çeşitleri kullanıcılara
uyarlanabilir, yasadışı içerik haricindeki olumsuz
içeriklere
erişim
zorla
engellenemez
ancak
yönlendirilebilir, hem kullanıcı tarafından hem de İSS
artırma yönünde sürece müdahil
olmaz.
Filtreleme programlarının
teşvik edilmesi: Devlet, internet
servis sağlayıcıların filtre
uygulaması sunmasını ve
kullanıcıların bu uygulamaları
kullanmasını teşvik eder, bu
yönde toplumu bilinçlendirici
kampanyalar yapar.
Veri akışını en düşük seviyede etkiler, filtreleme
tarafından uygulanması kolaydır, ancak devletin söz
konusu kampanyaları düzenlemesi ilave kaynak
gerektirir.
78
Yöntem
Sonuçları
•
Devletin kampanyaları düzenlemesinin bir miktar mali
yükü olacaksa da, filtreleme uygulamalarının
kullanıcılara ve İSS’lere maliyeti çok düşüktür ve
internet pazarının büyümesine çok sınırlı bir etkisi
vardır.
İSS’lerin zorunlu filtrelemesi:
Devlet, kendi belirlediği zararlı
sitelerin İSS’ler tarafından
•
içerik haricindeki olumsuz içeriklere erişim zorla
engellenebilir, hem devlet hem de İSS’ler tarafından
uygulanması emek ister.
erişime engellenmesini zorunlu
tutar. Bazı durumlarda filtre
“opt-out” olsa da kullanıcılar
belirlenen sitelere erişim
imkanını kaybeder.
“Opt-out” seçeneği kullanılmadığı takdirde, veri akışı
ciddi şekilde etkilenir, filtreleme uygulaması herkesin
belli sitelere erişimini eş kıstaslarla engeller, yasadışı
•
Bu
uygulamanın
olabileceğinden, bu
İSS’lere
ciddi
maliyetleri
maliyetler devlet tarafından
sübvanse edilebilir ya da kullanıcılara aktarılır. Devletin
interneti katı bir şekilde sınırlaması sonucunda internet
pazarının büyümesi de olumsuz yönde etkilenir.
Teknik filtreleme: Devlet
teknik internet altyapısı üzerinde
bir mekanizma kurarak
belirlenen sitelere erişimi
engeller.
•
Veri akışına etkisi bir önceki seçeneğinden daha az ama
hala önemli bir ölçüde olur, teknik engelleme sırasında
herkes herhangi bir ayrıştırma yapılmadan aynı
kısıtlamalara maruz kalır, yasadışı içerik haricindeki
olumsuz içeriklere erişim zorla engellenebilir, teknik
olarak uygulaması en karmaşık ve zor yöntemdir.
•
Bu uygulamanın gerektirdiği teknik sistemlerin devlete
doğrudan ciddi maliyetleri olur. Devletin interneti katı
bir şekilde sınırlaması sonucunda internet pazarının
büyümesi de olumsuz yönde etkilenir.
Gelişmiş ülkelerdeki kullanıcı kabiliyetlerinin yüksek olması ve özgürlüklere yapılan vurgudan
ötürü İngiltere ve ABD gibi devletlerin ağırlıklı olarak öz denetleme aracılığıyla internetteki
olumsuzlukların etkisini azaltmaya çalıştığı görülmektedir. Bu ülkelerde, belli bir bilinç ve
79
teknik kapasiteye sahip olan bireyler böylece kendi değer yargılarına göre internet üzerinden
hangi içeriklerin kendileri için zararlı olduğuna karar verebilmektedir. Ayrıca bazı ülkelerde,
filtreleme eyleminin yükü ile uğraşmak istemeyen ya da filtreleme konusunda yeteri teknik
kapasiteye sahip olmayan bireyler ise sivil toplum kuruluşları tarafından sunulan filtreleme
programlarını kullanabilmektedir. Bu seçenek ile birlikte, internetin açık ve özgür doğası en az
seviyede zedelenmektedir.
Bazı ülkelerde ise, filtreleme ihtiyacının toplum tarafından yeteri kadar anlaşılamadığı düşünülen
durumda devletlerin bu konuda kampanyalar sürdürdüğü, bazı filtre programlarını kullanmaya
teşvik ederek toplumu yönlendirdiği görülmektedir. Devletlerin bazı filtrelerin diğerlerine göre
daha uygun olduğunu varsayarak önerdiği doğrultu ne kadar bazı değer yargılarının topluma
sunulması olarak algılanabilmekte ise de, bilinç seviyesi düşük ve dolayısı ile internetin zararları
ile baş edemeyecek toplum kesimleri için böyle bir yönlendirme faydalı olabilmekte ve
özgürlükleri konusunda hassas olan bireylerin ise hareket alanları kısıtlanmamaktadır.
İSS’lerin zorunlu filtrelemesi uygulaması ise bazı zararlı sitelere erişimin büyük oranda her
kullanıcı için uygulanmasına neden olmakta, aynı zamanda da hem devlet hem de İSS’ler
üzerinde bir ekonomik yük yaratmaktadır. Özellikle toplumun büyük bölümünün değer
yargılarının örtüştüğü ancak öz denetleme için yeterli teknik kabiliyetin bulunmadığı durumlarda
internetteki olumsuzlukların etkisini sınırlamak için verimli bir yöntem olarak
algılanabilmektedir. Ancak bazı kesimlerin zararlı bulduğu içeriklerin diğer kesimlerin erişimine
de engellenmesi, internetin açık ve özgür doğası ile çelişebilmekte, internet kullanımını
sınırlandırabilmektedir.
Daha çok Çin gibi özgürlükleri sıklıkla sınırlandırdığı düşünülen ülkelerde benimsenen bu
yöntem sonucunda, bazı içeriklere erişim internetin teknik altyapısı üzerinden engellenmekte ve
bazı değer yargılarının sonucunda ortaya çıkarılan zararlı siteler kapsamının bütün internet
kullanıcılarından uzak tutulmaktadır. Bu durum internetin açık ve özgür doğası ile temel anlamda
çelişebilmekte ve bu özelliklerin sunduğu sosyal ve ekonomik potansiyelin hayata geçmesi
zorlaşmaktadır.
İnternet erişiminin kısıtlanması pek çok gelişmiş ülkede toplumsal hassasiyet yaratmakta olduğu
için bu yöntem sıklıkla tercih edilememektedir. Örneğin, ABD’de gündeme gelen SOPA tasarısı,
ifade özgürlüğü ve interneti etkileyeceği endişesi ile toplumsal bir tepki yaratmıştır. Stop Online
Privacy Act (SOPA) 2011 yılı içerisinde yasa tasarısı olarak Adalet Bakanlığı ve telif hakkı
sahiplerine bu söz konusu hakları ihlal eden internet siteleri hakkında mahkeme kararı çıkartmak
için sunulmuştu. Yasa tasarısı çerçevesinde reklam ağlarının telif haklarını ihlal eden sitelerle
80
işbirliği yapması ve arama motorlarının bu siteleri listelemesi yasaklanmaktaydı. Ayrıca, internet
servis sağlayıcılarının bu sitelere erişimi engellemesi öngörülmekteydi. İlave olarak, telif
haklarını ihlal ederek sunulmuş içeriğe erişenlere de cezai yaptırım söz konusuydu.
Tasarının karşıtları böyle bir uygulamanın ifade özgürlüğünü ve internetin yenilikçi imkânlarını
sınırlayacağını, bu kanun ile birlikte pek çok internet sitesinin tümden kapatılacağını
savunmuşlardı. Bu yönde toplumsal bir hassasiyet oluşmuş, Wikipedia ve Reddit gibi pek çok
site bu konuda farkındalık yaratmak için adımlar atmış, bu kapsamda Google yedi milyon imza
toplamıştır. Süreç sonunda toplumsal mutabakatın mevcut olmaması nedeniyle tasarı
durdurulmuş ve bu sonuç ifade özgürlüğünün ve internetin kısıtlanmasına karşı oluşan toplumsal
hassasiyetin bir zaferi olarak algılanmıştır.
4.3
Türkiye’deki mevcut durum
Türkiye’de bireyler internette zararlı içeriklere maruz kalmakta, olumsuzluklardan dolayı internet
kullanımından çekinebilmektedir. Hem ebeveynler hem de çocuklar ve gençler internet kullanımı
konusunda çok kısıtlı kabiliyete sahip olmasına rağmen internet kullanımı hızla artmaktadır. Bu
yaygınlaşma henüz belli birikime sahip olmayan yetişkinleri internetin açık ve özgür ortamında
ortaya çıkmış olan pek çok olumsuz içerik ve eyleme maruz bırakmakta olduğu kadar gittikçe
daha küçük çocukların internet kullanmaya başlaması ve ebeveynlerin çocuklarını eğitebilecek
birikime sahip olmamaları sonucunda daha çok çocuk ve genç internetteki risklere maruz
kalmaktadır. Nitekim özellikle ülkemizdeki ebeveynlerin Avrupa’dakilere nazaran internet
konusunda daha az birikim sahibi olduğu düşünüldüğünde, çocukların internet üzerinden zararlı
veya yasadışı içerik ve eylemlere maruz kalma ihtimalinin daha büyük olduğu görülecektir.
Avrupa Birliği üyesi ülkelerdeki annelerin %87’si internet kullanırken, Türkiye’deki annelerin
sadece %24’ü kullanmakta, Avrupa Birliği’ndeki babaların ise %82’si kullanmaktayken,
Türkiye’dekilerin sadece %49’u kullanmaktadır. Ebeveynlerin internet kullanımının kısıtlılığı
çocuklar üzerindeki ebeveyn denetiminin etkinliğini düşürürken, bu duruma koşut olarak evden
internet erişim oranları da ciddi anlamda farklıdır. Avrupa’daki çocukların %94’ü evden
internete erişebilirken, ülkemizdeki çocukların sadece %52’si erişebilmekte, dolayısıyla da ev
dışında internete erişmek zorunda kaldıklarında çocuklar ebeveyn denetiminden tamamen uzak
kalmaktadırlar. Bu denetimsizliğin yanında Türkiye’deki çocukların diğer Avrupa ülkeleri ile
karşılaştırıldığında en düşük internet kabiliyetine sahip oldukları belirlenmiştir.
81
Pek çok ebeveyn ise bu kaygılarından ötürü internet kullanımını tümden kısıtlama ya da internet
kullanımından kaçınma yoluyla başa çıkmaya çalışmasının sonucunda ise internetin yaratacağı
sosyal ve ekonomik potansiyel tam anlamıyla hayata geçememektedir.
Şekil 4.5 Türkiye’deki Çocukların İnternet Kullanımı
Çocuklar, özellikle internetteki tehlikelere karşın daha tedbirsiz ve bilinçsiz
hareket etmektedir.
Çocuklar sosyal ağlarda güvenliğe özen
göstermemekte
Sosyal ağ kullananlar arasında
Facebook’a üye olanlar
Türkiye’de hem çocuklar hem de ebeveynlerin
internet okuryazarlık seviyesi kısıtlı
Facebook hesabı “herkese açık” olanlar
AB
Evden internete erişimi olan
çocuklar
%52
%94
2,61/8
4,2/8
İnternet kullanan anneler
%24
%87
İnternet kullanan babalar
%49
%82
Çocukların internet
okuryazarlığı
%85
%42
Facebook hesabının güvenlik ayarlarını
değiştirmeyi bilmeyenler
~%50
İnternet üzerinden yabancı ile tanışanlar
%18
İnternet üzerinden tanıdıkları yabancılar
ile buluşanlar
%3
Pek çok çocuk internette zararlı içeriğe maruz
kalmakta
Not: Çocuk: 9-16 yaş
1 Avrupa’nın en düşük seviyesi
Cinsel içerikli resim görenler
%13
Cinsel içerikli mesaj alan ya da gören
%14
Tacize uğrayanlar
%3
KAYNAK: EU Kids Online raporu
Bu yönde ortaya çıkan sosyal baskı ile birlikte belli oranda siyasi irade oluşmuş ve 5651 sayılı
Kanun ile “Güvenli İnternet” uygulaması başta olmak üzere belli düzenlemeler yapılmıştır.
82
4.3.1
Çocuklar ve gençlerin bilinç eksikliği
Avrupa Birliği ülkeleri ve Türkiye’nin de dâhil olduğu bazı ülkeleri kapsayan 2010 yılındaki
araştırmalara dayanan EU Kids Online araştırması sonucunda Türkiye “düşük kullanım, orta
risk” ülkelerin arasında sınıflandırılmış. Türkiye’deki çocukların ve gençlerin internet
kullanımının düşük olduğu ve interneti güvenli kullanmaya yönelik becerilerinin de çok düşük
olduğu ortaya tespit edilmiştir. Ayrıca internet üzerinde bazı risklere maruz kalındığı ancak bu
risklere karşı Avrupa’daki akranlarına göre daha hassas olduğu ortaya çıkmıştır. Dolayısı ile hem
çocuklar açısından hem de ebeveynler açısından doğabilecek çekincelerin internet kullanımını
sınırlaması söz konusu olabilecektir.
Şekil 4.6 Çocukların internet kullanım oranı
Türkiye’deki çocuklar daha az internet kullanmaktadır
Çevrimiçi geçirilen zaman
Dakika/Gün
120 119
114 113 113 113 113 113
106 104
102
95
94
94
90
88
86
85
88
80
77
77
76 74
71
61
BG RO NO EE SE DK LT CZ PL CY UK FI
SI
NL EL
IT
BE HU AT FR DE PT TR ES IE
All
KAYNAK: EU Online Kids, 2010
Türkiye’deki çocuklar günde ortalama 74 dakika internet kullanırken, Avrupa’da bu oran
ortalama 88 dakika olarak tespit edilmiş, araştırmaya katılan ülkelerin neredeyse yarısında bu
rakamın 100 dakikanın üzerine çıktığı görülmüştür. Türkiye’deki çocukların Avrupa’daki
akranları arasında en düşük internet kullanımının oranlarından bir tanesine sahip oldukları gibi,
araştırmaya katılan ebeveynler arasında da internet kullanımı benzer farklılıklar gösterdiği
görülmüştür. Türkiye’deki ebeveynlerin %29’unun internet kullandığı, Avrupa’da gelişmekte
83
olan ülkelerdeki ebeveynlerin %57’sinin internet kullandığı ve gelişmiş ülkelerdeki ebeveynlerin
ise %84’ünün internet kullandığı tespit edilmiştir.
Bunların yanında Türkiye’deki çocukların dijital bilgileri ve güvenlik yetkinliklerinin de
Avrupa’daki en düşük seviyede olduğu görülmüştür. Çocukların ve gençlerin internet
güvenliklerini sağlayacak becerilere sahip olup olmadıklarının ölçülerek bir katsayıya
dönüştürüldüğü araştırmada, Türkiye’deki çocukların beceri oranı 8 üzerinden ortalama 2,6
olarak tespit edilmiş ancak Avrupa’da ortalama 4,2 olarak, gelişmiş ülkelerde ise 5’in üzerinde
tespit edilmiştir. Bu rakamlar Türkiye’deki çocuklar ve gençlerin internet kullanım konusundaki
birikimlerinin ne kadar düşük seviyede olduğunu göstermektedir. Nitekim bu birikim eksikliği
internetin ileri seviye ve yaratıcı eylemler için kullanımını kısıtlayacağı gibi, aynı zamanda
internet üzerinde karşılaşılan riskler ile başa çıkabilme ihtimalini de sınırlamakta ve olası
rahatsızlıkları artırmaktadır.
Şekil 4.7 Türkiye’deki çocukların internet kullanım becerileri
Türkiye’deki çocukları, çok düşük seviyede internet okuryazarlık
seviyesine sahiptir
Ortalama beceri sayısı
Ülkeye göre
5.8
5.4
5.3
5.1
5.0
5.0
5.0
4.9
4.8
4.7
4.7
4.7
4.7
4.6
4.5
4.5
4.4
4.2
4.0
4.2
3.8
3.7
3.4
3.4
3.3
2.6
FI
SI
NL
EE
CZ
SE
NO
PT
LT
AT
UK
BG
FR
DK
PL
ES
BE
DE
IE
CY
EL
HU
RO
IT
TR
All
Dijital bilgiler ve güvenlik yetkinlikleri: Bir internet sitesini yer imlerine eklemek; iletişim kurmak istenmeyen bir kişiden gelen mesajları engellemek;
interneti güvenli şekilde kullanma bilgileri bulmak; sosyal ağlardaki gizlilik ayarlarını değiştirmek; bilginin doğruluğundan emin olmak için internet
sitelerini karşılaştırmak; ziyaret edilen sitelerin listesini silmek; istenmeyen reklam ya da gereksiz postaları engellemek; filtre tercihlerini değiştirmek
Taban: 11-16 yaşları arasında olan ve internet kullanan çocuklar
KAYNAK: EU Online Kids, 2010
İnternetteki içerik riskleri sınıflandırmasının içerisinde kışkırtıcı ve yanıltıcı içeriklerin
yaygınlığının Türkiye’de “orta risk” olarak algılanmasının sebeplerinden bir tanesi özellikle
çevrimiçi ortamda cinsel içerikli sitelere maruz kalan çocuk ve genç oranının Avrupa’daki
akranlarına göre düşük olması. Örneğin Türkiye’deki çocukların çevrimiçi ortamlarda cinsel
84
içerikli resimlere maruz kalanların oranı sadece %13 iken, bu oran araştırmaya katılan Avrupa
ülkeleri için toplamda %14 olarak tespit edilmiş, Norveç, Estonya, Finlandiya ve Danimarka gibi
Kuzey Avrupa ülkelerinde ise yaklaşık %30’lar oranına çıktığı görülmüştür. Bu ülkelerdeki
internet kullanımının daha yüksek olduğu göz önüne alınırsa riskler ile daha yüksek oranda
karşılaşmaları bir oranda açıklanabilmektedir. Fakat, söz konusu ülkelerde çevrimdışı ortamlarda
da cinsel içeriğe maruz kalma oranının Türkiye gibi Güney Avrupa ülkeleri ile
karşılaştırıldığında çok daha yüksek olması, toplumların bu tür içeriklerin sunulması ve
erişilebilmesi konusunda değişik hoşgörü seviyelerinde olduklarına işaret edebilmektedir. (Şekil
4.8)
Ancak risk seviyesi yüksek olmasa dahi, Türkiye’deki çocuklar arasındaki bilinç ve
beceri eksikliğinin de etkileri sonucunda olumsuz içeriklere karşı hassasiyet gelişmiştir ve
Şekil 4.8 Ülke bazında, cinsel içerikli resme maruz kalan çocukların
oranı
Türkiye’deki çocuklar cinsel içeriğe daha düşük oranda maruz kalmaktadır
Çevrimiçi ortamda cinsel içerikli resim görenler
Çevrimiçi veya çevrimdışı ortamda cinsel içerikli resim görenler
Son 12 ayda cinsel içerikli resimlere görmüş olan çocukların oranı
Yüzde
46
45
42
42
41
39
37
37
35
34
33
29
29
33
30
28
28
28
26
25
29
28
25
24
24
24
24
23
22
20
20
23
19
17
17
17
15
14
13
13
17
14
12
11
11
11
14
12
11
10
7
4
NO
EE
FI
DK
CZ
SE
LT
SI
NL
BG
FR
RO
BE
AT
PL
EL
PT
TR
CY
UK
IE
HU
ES
IT
DE Tümü
İnternet kullanan 9-16 yaş arası bütün çocuklar arasından
92
Kaynak: EU online kids, 2010
kışkırtıcı ve yanıltıcı içeriklere diğer ülkelerdeki akranlarından daha güçlü tepkiler
vermektedirler. (Şekil 4.9)
85
Türkiye’deki çocukların internette maruz kaldıkları risklere karşı daha hassas olması
onların internet kullanımında daha çekingen olmalarına neden olabilecektir. Benzer şekilde
ebeveynlerin de hassasiyet göstermesi ülkemizde çocukların ve gençlerin internet kullanımını
sınırlayacaktır. Oysa zaten beceri seviyesi düşük olan çocuklar ve gençlerin, internet kullanımını
da sınırlaması ileride Türkiye’deki beceri eksikliğini daha da ciddi bir sorun haline getirecektir.
Şekil 4.9 Çocukların cinsel içerikten rahatsız olma seviyesi
Türkiye’deki çocuklar cinsel içerikli resimlerden daha çok rahatsız
olmaktadır.
Yüzde
Cinsel içerikli resimlerden rahatsız olmuş olanlar
50
EE
TR
RO
40
IE
DE
PL
ES
30
IT
HU
UK
20
FR
BE
AT
CY
SE
NL
PT
LT
DK
CZ
NO
FI
BG
EL
SI
10
0
0
10
20
30
40
Çevrimiçi ortamda cinsel içerikli resim görmüş olanlar
Kaynak: EU Online Kids, 2010
4.3.2
Türkiye’de alınan önlemler
4.3.2.1 Eğitim ve bilinçlendirme
Türkiye’de internet kullanımının yüksek olmamasına rağmen orta seviyede risk sahibi olması,
çocukların internetin güvenli kullanımı konusundaki becerilerinin Avrupa’daki çocuklarınkine
nispeten çok düşük çıkması, çocuklar ve gençlerin internet risklerine daha hazırlıksız olmaları ve
bu konuda ebeveynlerin de yeterli bilinç seviyesinde olmamaları, internetin güvenli kullanımı
konusunda sürdürülebilir bir olumlu etki için eğitim ve bilinçlendirme çalışmalarını ön plana
çıkarmaktadır.
86
Daha önceden de bahsedildiği gibi Türkiye’deki ebeveynler Avrupa’daki ebeveynlerden çok
daha düşük oranda internet kullanmakta ve bunu çok daha düşük seviyede internet kullanım
becerisi ile yapmaktadır. Bu kullanım düşüklüğü ve beceri noksanlığından doğabilecek bir sonuç
olarak, Türkiye’deki ebeveynler Avrupa ortalamasından yaklaşık %25 daha az etkin gözetim
uygulamakta ancak yaklaşık %30 daha fazla sınırlayıcı gözetim yöntemi uygulamaktadır.
Türkiye’deki okullarda güvenli internet konusunda resmi çalışmalara rastlanmamıştır ancak bazı
okulların Emniyet Genel Müdürlüğü’nden veya Telekomünikasyon İletişim Başkanlığı’ndan
destek alarak öğrencilerini bu yönde bilinçlendirmeye çalışmıştır.
Bilinçlendirme kampanyalarının önemli bir kısmı da, aynı zamanda Insafe ve INHOPE ile
işbirliği yürüten, Telekomünikasyon İletişim Başkanlığı’nın yürüttüğü seminerler aracılığı ile
yapılmaktadır. Geçtiğimiz yıllar içerisinde bu seminerler aracılığı ile birlikte yaklaşık 35 bin
kişiye güvenli internet eğitimi verilmiştir. Bu çalışmaya ek olarak Google ve TOG’un işbirliği ile
yürütülecek çalışma ve Mutlu Çocuklar Derneği’nin yürüteceği çalışma gibi adımlar da sivil
toplum kuruluşları tarafından atılmaktadır.
4.3.2.2 Zararlı internet sitelerine erişimin kısıtlanması
Söz konusu sorunlara karşı yukarıda bahsedilenler arasında ülkemizde filtre programlarının
teşvik edilmesi ve İSS’lerin zorunlu filtrelemesi yöntemleri kullanılmaktadır.
5651 sayılı Kanun ile bazı sitelere erişim engellenmektedir
Ülkemizde, 2001’e kadar İnterneti düzenleme konusunda müdahaleci olmayan bir yaklaşım
benimsenmiş, ancak bu konudaki tedbirlerin yetersiz kaldığı düşünülerek yeni mevzuat
oluşturma çalışmalarına başlanmıştır.
Bu kapsamda Adalet Bakanlığı 2006 Ağustos’unda internet suçlarıyla mücadele için yeni bir
yasa taslağı üzerinde çalıştığını duyurmuştur. Söz konusu çalışmada bilişim suçlarını daha ağır
bir şekilde cezalandıran, bilişim ortamında gerçekleştirilecek tehdit, şantaj, aşağılama ve iftira
için TCK’da öngörülmüş cezaları artıran ve TCK dışında kalmış olan bilişim suçlarını da içeren
taslak hazırlanmıştır. Bu taslak özünde bir ceza hukuku metni niteliğindedir.
2007’de bu kez Ulaştırma Bakanlığı tarafından hazırlanmış bir başka taslak, görüşülmek üzere
TBMM’ye gönderilmiş ve Meclis Adalet Komisyonu bu yasa teklifini değiştirerek kabul etmiştir.
Yapılan tartışmalar sonucunda yasa, Mayıs 2007’de yürürlüğe girmiştir.
87
5651 sayılı Yasanın gerekçesinde, Anayasa’nın Ailenin Korunması ve Çocuk Hakları başlıklı 41.
maddesine (“Devlet, ailenin huzur ve refahı ile özellikle ananın ve çocukların korunması ve aile
planlamasının öğretimi ile uygulanmasını sağlamak için gerekli tedbirleri alır, teşkilatı kurar”)
ve Gençliğin Korunması başlıklı 58. maddesine (“Devlet, istiklal ve Cumhuriyetimizin emanet
edildiği gençlerin müspet ilmin ışığında, Atatürk ilke ve inkılapları doğrultusunda ve Devletin
ülkesi ve milletiyle bölünmez bütünlüğünü ortadan kaldırmayı amaç edinen görüşlere karşı
yetişme ve gelişmelerini sağlayıcı tedbirleri alır”) gönderme yapılmıştır.
İnternet erişimi engellemeleri herhangi bir hak ihlali, diğer bir deyişle suç söz konusu olduğu
zaman mümkündür ve suç ve ceza içeren düzenlemeler de yasayla yapılır. Ceza hukukunun çok
önemli ilkelerinden biri de kanunsuz suç ve ceza yaratılamayacağıdır. Bu kapsamda, internet
ortamında işlenen suçların önlenmesi ve/veya cezai yaptırım uygulanması gibi uygulamalarda
bulunmak için suç teşkil eden internet sitelerine erişimin engellenmesi gerekmiştir ve bu ihtiyaç
5651 sayılı Kanunu hayata geçiren çalışmaları başlatmıştır.
2007 yılında kabul edilen 5651 sayılı Kanunun amacı içerik, yer sağlayıcı ve erişim
sağlayıcıların yükümlülük ve sorumluluklarını belirlemek ve internet ortamında işlenen belirli
suçlarla mücadeleye ilişkin düzenlemeleri yapmak olarak belirtilmiş, kanunun gerekleri yerine
getirmek için Telekomünikasyon Kurumu bünyesindeki Telekomünikasyon İletişim Başkanlığı
görevlendirilmiştir. Kanunda ayrıca katalog suçlar tanımlanmış ve bu suçlarla ilgili yeterli şüphe
bulunan yayınlara ilgili olarak erişimin engelleneceği belirtilmiştir. Bu suçlar şöyle
belirlenmiştir:
•
•
•
•
•
İntihara yönlendirme
Çocukların cinsel istismarı
Uyuşturucu veya uyarıcı madde kullanılmasını kolaylaştırma
Sağlık için tehlikeli madde temini
Müstehcenlik
•
•
•
Fuhuş
Kumar oynanması için yer ve imkân sağlama suçları
Atatürk Aleyhine İşlenen Suçlar Hakkında Kanunda yer alan suçlar.
88
Şekil 4.10 İhbarlar ve Engellemelerin Konuları
İhbarlar ve engellemeler en çok müstehcenlik suçundan dolayı
meydana gelmekte
Erişim engelleme kararlarının
kategorik dağılımı
Yapılan ihbarların kategorik dağılımı
0,1
1,9
0
7,5
19,4
4,6
24,4
9,4
4,0
7,4
74,6
46,7
Atatürk’e hakaret
Çocuk istismarı
Fuhuş
Müstehcenlik
Diğer
5651 dışı
Kanuna göre, erişimin engellenmesi kararı, soruşturma evresinde hakim; kovuşturma evresinde
mahkeme tarafından verilir. Soruşturma aşamasında, gecikmesinde sakınca bulunan hal varsa,
Cumhuriyet Savcısı tarafından da bu karar verilebilir, ancak bu durumda, savcı kararı 24 saat
içinde hakim onayına sunar ve hakim, kararını en geç 24 saat içinde verir. Bu sürede hakim
kararı onaylamazsa, tedbir, savcı tarafından derhal kaldırılır. Hakim, kararı onaylarsa, erişimin
engellenmesi kararının birer örneğini gereğini yapması için TİB’e gönderir ve TİB söz konusu
karara dayanarak siteye erişimi engellemekle mükelleftir. Ülkemizde erişim engelleme işlemi
İSS’ler aracılığı ile yapılmaktadır.
Hakim veya savcının suç oluşturduğu iddia edilen siteden veya sitedeki içerikten haberdar
olması, herhangi biri tarafından savcıya veya adli kolluk birimlerine yapılan sözlü suç duyurusu
veya dilekçeyle yazılı olarak beyanda bulunma veya savcı ya da hakimin söz konusu suç teşkil
eden siteyi kendisinin görmesi gibi ceza muhakemesindeki genel yollarla sağlanır.
89
Ayrıca, içerik veya yer sağlayıcısı yurt dışında ise ya da içerik veya yer sağlayıcısı yurt içinde
bulunsa dahi, çocukların cinsel istismarı veya müstehcenlik oluşturan yayınlara ilişkin olarak
erişimin engellenmesi kararı, resen TİB tarafından verilir. Karar, erişim sağlayıcısına bildirilerek
Şekil 4.11 Ülkelerdeki İnternet Sansürü Seviyesi
Türkiye’deki erişim engelleme uygulamasının pek çok ülkeninkinden
daha kısıtlayıcı olduğu düşünülmekte
Sansüre rastlanmamış
Ülkelerde tespit edilen internet sansürlerinin kategorik düzeyi
Düşük seviyede
Sansür seviyesi
sıralaması1
Sansür seviyesi
Kaynak yıl
-
ABD
2009
-
İngiltere
2010
-
Almanya
2008
-
Fransa
2009
-
İsveç
2009
#32
İtalya
2009
#26
Rusya
2010
#22
Güney Kore
2011
#22
Türkiye
2010
#18
Hindistan
2011
#5
Suudi Arabistan
2009
#2
Çin
2011
#1
İran
2011
Orta seviyede
Yüksek seviyede
Çok yüksek seviyede
1 OpenNet Initiative, sansür seviyelerini dört ayrı kategoride, dört üzerinden bir not olarak vermektedir. Sansür seviyesi, ayrı kategorilerdeki notların
ortalamasıdır. Örneklem 74 ülkeden oluşmaktadır ve bu ülkelerin sadece 38’inde sansüre rastlanmıştır, dolayısı ile sansüre rastlanmamış ülkeler
sıralamaya alınmamıştır.
KAYNAK: OpenNet Initiative
gereğinin yerine getirilmesi talep edilir ve erişimin engellenmesi kararının gereği, derhal yerine
getirilir. Bu süre en geç kararın bildirilmesi anından itibaren 24 saattir. İdare açısından da idari
tedbir niteliğinde düzenleyici işlemlerin yapılması mümkündür.
TİB tarafından verilen erişimin engellenmesi kararının konusunu oluşturan yayını yapanların
kimliklerinin belirlenmesi halinde, TİB tarafından Cumhuriyet Başsavcılığı’na suç duyurusunda
bulunulur. Soruşturma sonucunda kovuşturmaya yer olmadığı (takipsizlik) kararı verilmesi
halinde, erişimin engellenmesi kararı kendiliğinden hükümsüz kalır ve savcı, kovuşturmaya yer
olmadığına dair kararın bir örneğini TİB’e gönderir. Kovuşturmada beraat kararı verilirse,
erişimin engellenmesi kararı kendiliğinden hükümsüz kalır ve beraat kararının bir örneği
mahkemece TİB’e gönderilir.
Aralık 2012’de yayınlanan istatistiklere göre TİB’e gelen ihbarların %75’i müstehcenlik
suçundan, %19’u çocuk istismarı suçundan ve %4’ü fuhuş suçundan dolayı gerçekleşmektedir.
Erişim engelleme kararı verilen sitelerin %50’si müstehcenlik, %5’i çocuk istismarı, %9’u fuhuş
90
unsurlarından, %8’i Atatürk’e hakaret unsurlarından dolayı suçlu bulunmuş, %24’ü de 5651
sayılı Kanunda sayılanlar dışındaki unsurlardan suçlu bulunmuştur (Error! Reference source
not found.).
Ülkemizde söz konusu erişim engellemeleri işlemleri sonucunda ortaya çıkan sansür seviyesi ise
çoğu gelişmiş ülke ile karşılaştırıldığında yüksek bir seviyede bulunmaktadır. 74 ülkeyi kapsayan
bir araştırma sonucunda ABD, İngiltere, Almanya, Fransa, İsveç gibi ülkelerde internet
sansürüne rastlanmamış, ülkemizde ise orta seviyede sansüre rastlanmıştır. Kapsamdaki ülkeler
arasında ülkemiz en yüksek sansür oranı olan 22. ülke olmuştur (Error! Reference source not
found.)
5651 sayılı Kanun geçtiğimiz günlerde Avrupa İnsan Hakları Mahkemesi’nin (AİHM)
mahkemesi kararı ile yeniden gündeme gelmiştir. AİHM’nin, 2009 yılında bir blogda Atatürk'e
hakaret edildiği gerekçesiyle tüm Google Sites hizmetinin kapatılmasına yol açan Denizli 2. Sulh
Ceza Mahkemesi kararıyla ilgili vermiş olduğu bu karar, erişimi engelleme konusunda verdiği ilk
karardır ve AİHM, sorunun uygulamada değil, 5651 sayılı kanunda olduğunu belirtmiş, kanunda
sayılan katalog suçlarla net bir düzenleme olduğuna ve bu kanunda değişiklik yapılmadığı sürece
sorunun çözülemeyeceğine işaret etmiştir. Verilen karar, 5651 sayılı kanunun da,
hukukumuzdaki erişime engelleme uygulamalarının da Avrupa İnsan Hakları Sözleşmesi’ne
(AİHS) aykırı olduğu anlamına gelmektedir. AİHM kararında "Bu kanunun uygulanmasına dair
tüm deliller ifade özgürlüğünün ihlal edildiğini göstermektedir. Yasada öngörülen ifade
özgürlüğüyle ilgili garantilerin yetersizliği nedeniyle Türk hükümetinin bu yasayı AİHS’ye
uygun hale getirmesi gerekir" denmiştir.
5651 sayılı Kanun hakkında gündemdeki eleştiriler
Odak grubu ve atölye çalışmaları esnasında 5651 sayılı kanun ve erişim engelleme uygulaması
hakkında, bu kanunun ifade özgürlüğünü sınırlayıcı etkileri olduğundan, bu Kanunun internetin
doğasına tam olarak uymadığından, belirtilen katalog suçların sınırlayıcı olmadığından, idari
makamların koruma tedbiri altında temel hakları kısıtladığından dolayı bazı eleştiriler gelmiştir.
Genel hakkında
•
5651 sayılı Kanun, kanunun yanlış ya da kötüye kullanımından doğabilecek zararların
tazmini konusundan bahsetmemiştir. Zira koruma tedbirlerinin uygulanmasından
kaynaklanan zararların karşılanmasına ilişkin tazminat, CMK’nın 141. maddesinde
düzenlenmiş, ancak öngörülen koşullar arasında erişim engelleme kararları olmadığından
bu hüküm 5651 sayılı kanun için uygulanamamaktadır.
91
•
5651 sayılı kanunda izlenen usule göre içerik sağlayıcılara ne ile suçlandıkları hakkında
bilgi edinme fırsatı verilmemektedir, nitekim kanun, yetkili mercilerin bu usul hakkında
sanığı bilgilendirmesini şart koşmamıştır. Erişimin engellenmesine ilişkin karara Ceza
Muhakemesi Kanunu hükümlerine göre itiraz edilebilse de, bu yasal hükümden
yararlanmak isteyen taraf suçlamanın ayrıntılarını öğrenemeyebilecektir.
•
Bağlantı verilen içerik sabit olmayıp değişken niteliktedir ve içerik sağlayıcının, bağlantı
verdiği içeriği sürekli kontrol etmesinin mümkün olmaması nedeniyle, kendi düşüncesi
olmayan bir içerikten sorumlu tutulması tehlikesi doğabilmektedir. Ancak bağlantı
sağlayanın sorumluluğu istisnai ve sınırlı bir sorumluluk halidir. "Benimseme ve
ulaşmayı amaçlama"nın hangi ölçütlere göre belirleneceği ve ispatlanacağı detaylı bir
şekilde belirtilmemiştir.
•
İçeriği kullanıcılarının belirlediği, kullanıcıların içerik ekleyebildikleri, daha çok sosyal
içerikli siteler veya video paylaşım siteleri olarak karşılaştığımız İkinci Nesil Web (Web
2.0) olarak adlandırılan internet sitelerinde kullanıcı ile ikinci nesil internet sitesi
yöneticisi ve sahibi, etkileşimli olarak içerik sağlayıcılık konumunu birlikte
paylaşmaktadır. Söz konusu sitelerin yönetici veya işletenleri de bu sitelerde alışılmış
anlamda içerik sağlayıcı değildirler. Yönetici/işletenlerin yüklenen her içerikten anında
bilgi sahibi olmaları mümkün değildir ve hukuka aykırı içerikleri engelleyebilmek adına,
içeriklerin önce kontrol edilip sonra erişime sunulmaları oldukça zordur. Zira bu siteler
5651 sayılı Kanun m. 2/1-f kapsamında "erişime sunulan her türlü bilgi veya veriyi
üreten, değiştiren ve sağlayan kişi" olan içerik sağlayıcı değildir.
•
Sıklıkla kullanılan sitelerin kapatılması, internet kullanım becerileri daha yüksek olan
gençlerin bazı tekniklerle bu yasakların etrafından dolaşmasına neden olmaktadır. Bu
durum kanunların ve yasakların çiğnenmesinin normal olarak kabul edilmesine neden
olabilecektir.
•
Erişim sağlayıcıların tüm kullanıcılarının trafik bilgilerini58 en az 6 ay, en fazla 2 yıl
saklamak zorunda olması, bireyler için internet üzerinden gerçekleştirdikleri bütün
58 24/10/2007 tarihli Yönetmeliğin Tanımlar Maddesine göre, “Erişim sağlayıcı trafik bilgisi: İnternet ortamına erişime
ilişkin olarak abonenin adı, adı ve soyadı, adresi, telefon numarası, abone başlangıç tarihi, abone iptal tarihi,
92
eylemlerin takip edildiği veya edilebildiği endişesi oluşturmakta, bu trafik bilgilerinin
bazı makamlar tarafından aleyhlerine kullanılabilmesi korkusu yaratmaktadır ve bu
durum internetin özgür ve açık doğası ile çelişebilmektedir.
Katalog suçlar ve adli süreç hakkında
•
“Müstehcenlik” tanımı mevcut olmadığından dolayı, kişiye göreceli olarak
müstehcenliğin seviyesi belirlenmekte ve dolayısıyla nesnel bir ölçü kullanılmadığı için
bu suç dolayısıyla uygulanacak kısıtlamanın meşruiyeti sorgulanabilmektedir.
•
5651 sayılı kanunun 8. maddesi suçların ayrıntılı bir listesini içermektedir ve ceza
hukukunda kıyas yoluyla suç oluşturulması mümkün değildir, ancak bazı mahkemeler
internet sitelerini, Terörle Mücadele Kanunu'nu veya TCK’nın 301. maddesini öne
sürerek engellemektedir. Hukuka aykırı olduğu düşünülen durumlar olmasına rağmen
kararların gerekçelerinin de verilmemesi tepki doğurabilmektedir.
İdari makamlara verilen yetkiler hakkında
•
5651 sayılı Kanun kapsamındaki uyuşmazlıklar ile ilgili karar verecek olan hakimlerin
yeterli internet bilgisi olmadığı için isabetli kararlar verilememekte ve “ölçülülük“ ilkesi
gözetilmemektedir.
•
8/4 sayılı maddede düzenlenen idari tedbirin niteliğine bakıldığında bunun yargılama
faaliyetine ilişkin olduğu dolayısıyla aslında bu düzenlemenin bir koruma tedbiri olduğu
ve bu konuda idareye yetki verildiği görülmektedir. Ancak temel hak ve özgürlüklere
ilişkin bu kadar önemli bir konuda yargılama makamları dışında bir idareye yetki
verilmesi sakıncalıdır. Karar aleyhine idari yargıda iptal davası açılması ve yürütmenin
durdurulması kararı istenebilse de, adli sürecin olası uzunluğu ciddi mağduriyetlere neden
olabilmektedir.
•
Erişim engelleme kararlarının çoğunda, karar sonrasında bu tür yayınların yazarlarına ya
da Türkiye içindeki internet sitelerinin içerik sağlayıcılarına ilişkin açılmış kovuşturmaya
rastlanmamaktadır. Bir başka deyişle, 5651 sayılı kanunun erişim engellemesini “koruma
tedbiri” olarak nitelemesine rağmen, “engelleme kararları” süreklilik kazanmakta ve bazı
sisteme bağlantı tarih ve saat bilgisi, sistemden çıkış tarih ve saat bilgisi, ilgili bağlantı için verilen IP adresi ve
bağlantı noktaları gibi bilgileri,” ifade eder.
93
hallerde de süresiz olarak yürürlükte kalmaktadır. Böylece bu sitelerin hukuka uygunluğu
veya aykırılığına dair kesin bir mahkeme kararı olmamasına rağmen internet siteleri suçlu
varsayılabilmektedir.
Erişim engelleme uygulaması hakkında
•
Ülke giriş seviyesinde uygulanan filtreler etkili bir çözüm sunmamakta, olumsuz içerik ve
eylemlerin bulunduğu internet ilişkili diğer iletişim sistemlerine (sohbet ortamları, peerto-peer ağları, Usenet tartışma grupları, IP üzerinden ses iletim sistemleri gibi) erişimi
etkilememektedir. Dolayısı ile vaat edilen “daha güvenli bir ortam”, tam anlamıyla hayata
geçememektedir.
“Güvenli İnternet” uygulaması ve Aile ve Çocuk profilleri
Ülkemizdeki çocukların internet kullanımı sırasında zararlı içeriklere maruz kalmasını
engellemek için Telekomünikasyon İletişim Başkanlığı’nın internet servis sağlayıcıları ile
birlikte yaptıkları çalışmalar sonucunda Şubat 2011’da yayınlanan “İnternet'in Güvenli
Kullanımına İlişkin Usul ve Esaslar” ile birlikte Güvenli İnternet uygulaması başlamıştır.
Bu uygulama sayesinde kullanıcılar internet servis sağlayıcılarının bayilerine giderek, telefon ya
da SMS ile, ya da çevrimiçi hizmet hattı aracılığı ile profillere göre internetlerinin filtrelenmesine
karar verebilmektedir. Kullanıcının tamamen kendi isteğine bağlı olan bu uygulama, ücretsiz
olarak sunulmakta olup, bilgisayara bir program kurmaya gerek kalmadığı için kullanımı
kolaydır. Mevcut uygulama iki adet profil sunmaktadır: Aile profili ve Çocuk profili. Aile profili
bir “kara liste” olup, 5651 sayılı Kanun’da belirtilen suçlara göre ve zararlı görülen diğer çeşit
içerik ve eylemlerin bulunduğu sitelere erişimi engellemektedir. Bu hizmet aracılığı ile henüz suç
kapsamında kapatılmayan phishing siteleri gibi dolandırıcılık siteleri de kapatılmaktadır. Çocuk
profili ise bir “beyaz liste” olup, sadece çocuklar için uygun görülen sitelere erişime izin
vermektedir. Çocuk profili içerisinde sohbet ve sosyal medya sitelerine de erişilememektedir.
Geçen süre içerisinde 1,5 milyon abone Güvenli İnternet hizmetine geçmiştir, ve ağırlıklı olarak
Aile profilini kullanmaktadır. Ancak hem kullananlar hem de kullanmayanlar tarafından bu
uygulama hakkında pek çok görüş gündeme gelmekte, uygulamanın özellikle pragmatik yanları
desteklenirken, yeteri kadar şeffaf olmaması ve uzun vadeli faydası sorgulanmaktadır.
94
Tablo 4.2 Güvenli İnternet uygulaması hakkındaki görüşler
Destekleyici Görüşler
•
Toplumun önemli bir kesimi çocuklarının
internet üzerinden ulaşabileceği zararlı
içeriklere karşı çekincelerini bu
uygulamaya geçerek gidermektedir.
•
Diğer filtre seçenekleri program indirmek
Karşıt Görüşler
•
değildir.
ve kurmak gibi pek çok ebeveynin
uğraşmak istemediği ya da beceremediği
adımlar içerdiği için kullanılmamaktaydı,
•
ancak Güvenli İnternet uygulamasına
geçişin kolaylığı kullanımı artırmıştır.
•
Tamamen isteğe bağlı bir uygulamadır.
•
Sınırlanması için gerekli düzenlemelerin
henüz yapılmadığı phishing gibi bazı
zararlı eylemlere karşı ilave koruma
Profiller içerisinde hangi
sitelerin hangi sebeplerle
engellendiği açıklanmadığı
için şeffaf bir uygulama
İnternetin doğasından ötürü var olan
zararlı içerik ve eylemlere karşı
bireylerin bilinçlenmesi ve etkin rol
alması yerine bireyleri edilgen konuma
çekmektedir.
•
Toplumun önemli bir kısmına sunulurken
güvenli bir internet vaadi verilmekte,
ancak engellemelerin bunu ne aşamada
becerebildiği bilinememektedir.
sağlayabilmektedir.
•
95
Sadece iki çeşit profil sunulduğu için,
bireyler kendi fikir ve değerlerine göre
değil, sunulmuş kalıplara göre bir filtre
kullanmak durumunda kalmaktadırlar.
5
Ekler
Ek 5.1 Uluslararası örneklerin kritik altyapı kapsamı
Uluslararası Örnek
Kritik Altyapıları
Amerika Birleşik Devletleri
Tarım ve Gıda
Ulaşım Sistemleri
Ticari Tesisler
Kimya
Barajlar
Kritik Üretim
Enerji
Acil Servisler
Bilgi Teknolojisi
Sağlık Hizmeti ve Kamu
Posta ve Nakliye
Sağlığı
Bankacılık ve Finans
Nükleer Reaktörler, Maddeler
ve Atıklar
İletişim
Savunma Sanayi
Su
Hükümet Tesisleri
Ulusal Anıtlar ve Simgeler
Avrupa Konseyi
Enerji
Bilgi ve İletişim
Finans
Nükleer, Biyolojik, Kimyasal
ve Radyoaktif madde
endüstrileri
Uzay Araştırmaları
Sağlık
Kamu Düzeni ve Güvenlik
Gıda
Sivil Yönetim
Su
Ulaşım
Telekomünikasyon
Gaz
Finans
Sağlık Hizmetleri
Sivil Havacılık
Kamu Yönetimi
Demiryolu
Su
Elektrik
Lojistik
96
Ek 5.2 Ülkemizde Gerçekleşmiş Hacktivist Saldırılar
Tarih
Saldırı
Ekim
2011
CHP’nin Atatürk çizgisinden saptığı iddiasıyla CHP’nin sitesine saldırı düzenlenmiş,
siteye pornografik içerikli görüntüler konulmuştur. Kendilerine “Netdevilz” adını
veren grubun mesajının bir süre daha durmasının ardından site normale dönmüştür.
2012
Ankara Emniyet Müdürlüğü’nün internet sitesi RedHack grubu tarafından
çökertilerek ihbar ve şikayet e-postalarını da içeren pek çok bilgi ve belge ele
geçirilmiştir.
2012
RedHack grubu, emniyete ait polis yurdunun sitesini çökertmiş, çeşitli emniyet
müdürlüklerine ait yaklaşık 350 internet sitesini de kullanılamaz hale getirmiştir.
2012
RedHack grubu, İçişleri Bakanlığı’nın sitesindeki bir uzantıyı kırarak İçişleri
Bakanı’na yönelik mesaj bırakmıştır. Aynı zamanda, Bakanlığın dosya sisteminin
yedeklendiği ve RedHack göz altılarının sürmesi halinde yayınlanacağı söylenmiştir.
2012
RedHack ve destek veren diğer gruplarla birlikte, TTNet başta olmak üzere Emniyet
Genel Müdürlüğü, Adalet Bakanlığı, Yargıtay gibi birçok kuruma saldırılar
düzenlenmiştir.
2012
RedHack grubu tarafından Türk Hava Yolları’nın internet sitesine siber saldırı
düzenlenmiştir.
2012
Anonymous ve RedHack grubu işbirliği ile ÖSYM’nin sitesi ve Ankara Büyükşehir
Belediye Başkanı Melih Gökçek’in internet sitesi çökertilmiştir.
2012
RedHack grubu tarafından Diyanet İşleri Genel Başkanlığı’nın internet sitesi
çökertilmiş, mesaj yayınlanmıştır.
RedHack grubu YÖK’ün internet destekli eğitim sistemini çökertmiştir.
2013
97
Kaynakça
“Common Cyber Threats: Indicators and Countermeasures”
“Report on Phishing - A Report to the Minister of Public Safety and Emergency Preparedness
Canada and the Attorney General of the United States” Ekim 2006
Ahmet Türkay Varlı, 2007, Bankacılıkta Bilgi Sistemleri. Denetiminde BDDK Yaklaşımı ve
Bilgi Güvenliği, BDDK Bilgi Yönetimi Dairesi
Article 29 Data Protection Working Party, July 2012, Opinion on Cloud Computing
Australia : Privacy Act of 1998
Avrupa Komisyonu Basın Açıklaması, 25 Ocak 2012, http://europa.eu/rapid/press-release_IP-1246_en.htm?locale=en
Avrupa Komisyonu Basın Açıklaması, 25 Ocak 2012, http://europa.eu/rapid/press-release_IP-1246_en.htm?locale=en
Avrupa Komisyonu, Aralık 2010, “Avrupa’daki kamu hizmetlerinin dijitalleştirilmesi: İsteği
aksiyona dönüştürmek”
Avrupa Komisyonu, Aralık 2010, “Avrupa’daki kamu hizmetlerinin dijitalleştirilmesi: İsteği
aksiyona dönüştürmek”
Avrupa Komisyonu, Special Eurobarometer 359
Avrupa Komisyonu, Special Eurobarometer 359
Avrupa Komisyonu. 2011. EU Kids Online Final Report II
Avrupa Komisyonu. 2011. EU Kids Online Final Report II
Baker, William B.; Matyjaszewski, Anthony. International Association of Privacy Professionals,
Eylül 2010, “The changing meaning of "personal data"”
Bennett, Louise, May 2012, “Cyber Security Strategy.” British Computer Society.
Bennett, Louise, May 2012, “Cyber Security Strategy.” British Computer Society.
Berkowitz, Bruce; Hahn, Robert, W, March 2003, “Cybersecurity: Who’s Watching The Store?”
AEI-Brookings Joint Center For Regulatory Studies Document
98
Berkowitz, Bruce; Hahn, Robert, W, March 2003, “Cybersecurity: Who’s Watching The Store?”
AEI-Brookings Joint Center For Regulatory Studies Document
Bianet, Nisan 2012, "123456 Yaz İçişleri'ne Gir", http://www.bianet.org/bianet/diger/137975123456-yaz-icislerine-gir
Bilge Karabacak, 2010, İki Kritik Kavram: Kritik Altyapılar ve Kritik Bilgi Altyapılar
Bilge Karabacak, 2010, İki Kritik Kavram: Kritik Altyapılar ve Kritik Bilgi Altyapılar
Bilge Karabacak, Eylül 2011, Kritik Altyapılara Yönelik Siber Tehditler ve Türkiye için Siber
Güvenlik Önerileri, TÜBİTAK-BİLGEM
Bilge Karabacak, Eylül 2011, Kritik Altyapılara Yönelik Siber Tehditler ve Türkiye için Siber
Güvenlik Önerileri, TÜBİTAK-BİLGEM
Bilge Karabacak, Haziran 2009, Türkiye’de Bilişim Güvenliğiyle İlgili Yasal Altyapının Analizi,
TÜBİTAK-BİLGEM
Bilgi Güvenliği Derneği, Haziran 2012, Ulusal Siber Güvenlik Stratejisi
Bilgi Güvenliği Derneği, Haziran 2012, Ulusal Siber Güvenlik Stratejisi
Bilgi Teknolojileri ve İletişim Kurumu, 14 Aralık 2012, TTNET AŞ'nin Phorm Şirketi
Aracılığıyla Kişisel Veri İhlali Yaptığı İddiası ile ilgili Bilgi Teknolojileri ve İletişim Kurumu
Kararı
Bilgi Teknolojileri ve İletişim Kurumu, 23 Kasım 2011, PHORM SOLUTIONS Firması ile ilgili,
Medyada Çıkan Haberler Hakkında Basın Açıklaması
Bilgi Teknolojileri ve Koordinasyon Dairesi Başkanlığı, 2010, Kritik Altyapıların Korunması
Bilgi Teknolojileri ve Koordinasyon Dairesi Başkanlığı, 2010, Kritik Altyapıların Korunması
Bilgi Toplumu Stratejisi Eylem Planı (2006-2010) Değerlendirme Raporu, Rapor No: 5, Mart
2010, Devlet Planlama Teşkilatı Bilgi Toplumu Dairesi
Bilgi Toplumu Stratejisi Eylem Planı (2006-2010), Temmuz 2006, Devlet Planlama Teşkilatı
Bloomberg BNA, Şubat 2012, Cloud Computing Under the European Commission’s Proposed
Regulation to Revise the EU Data Protection Framework
99
Broad, William J.; Markoff, John; Sanger, David E. 15 Ocak2011. "Israel Tests on Worm Called
Crucial in Iran Nuclear Delay". New York Times.
Broad, William J.; Markoff, John; Sanger, David E. 15 Ocak2011. "Israel Tests on Worm Called
Crucial in Iran Nuclear Delay". New York Times.
BTK, 2013, Elektronik Haberleşme Güvenliği – Mevzuat,
http://www.tk.gov.tr/bilgi_teknolojileri/elektronik_haberlesme_guvenligi/mevzuat.php
Bush, George W, February 2003, “The National Strategy to Secure Cyberspace.” Morgan James
Publishing
Bush, George W, February 2003, “The National Strategy to Secure Cyberspace.” Morgan James
Publishing
Buttarelli ,Giovanni EDPS; Ekim 2012, “Latest developments in data protection”
Canada: Canada has two main federal privacy laws: Privacy Act (1985) and Personal Information
Protection and Electronic Documents Act (2000).
CBS News, 6 Kasım 2009, Cyber War: Sabotaging the System
CBS News, 6 Kasım 2009, Cyber War: Sabotaging the System
Chabinsky, Steven R, January 2010, “Cybersecurity Strategy: A Primer for Policy Makers and
Those on the Front Line.” US National Security Law & Policy Journal
Chabinsky, Steven R, January 2010, “Cybersecurity Strategy: A Primer for Policy Makers and
Those on the Front Line.” US National Security Law & Policy Journal
Chawki, Mohamed, 2012, WikiLeaks: transparency vs. national security, International Journal of
Intellectual Property Management, Volume 5, pp 39-60
Chen, Ye-Sho; Chong, P. Pete; Zhang, Bin. Louisiana State University, 28 October 2004, “Cyber
security management and e-government.” US’s Inderscience Publishers International Journal
Chen, Ye-Sho; Chong, P. Pete; Zhang, Bin. Louisiana State University, 28 October 2004, “Cyber
security management and e-government.” US’s Inderscience Publishers International Journal
Cho, C., & Cheon, H. 2005, ’Children’s exposure to negative Internet content: effects of family
context. Journal of Broadcasting & Electronical Media, 49(4), 488–509.
100
Cho, C., & Cheon, H. 2005, ’Children’s exposure to negative Internet content: effects of family
context. Journal of Broadcasting & Electronical Media, 49(4), 488–509.
CIPPIC (Canadian Internet Policy and Public Interest Clinic) – Online Privacy Threats
Cihan, (10 Ocak 2013), http://www.cihan.com.tr/news/Siber-Guvenlik-Tatbikati-2014-teuluslararasi-capta-yapilacak-CHOTA0OTI2LzM=
Cihan, 10 Ocak 2013, “Siber Güvenlik Tatbikatı, 2014'te uluslararası çapta yapılacak”
Cihan, 10 Ocak 2013, “Siber Güvenlik Tatbikatı, 2014'te uluslararası çapta yapılacak”
Connolly, Chris: Maurushat, Alana: Vaile, David: Dijk, Peter van, Mayıs 2011 “International
cyber-security awareness raising and educational initiatives” ACMA(Australian
Communications and Media Authority )
Definition of Terms : EDPS Glossary of Data Protection Terms
Der Spiegel, 8 Ağustos 2011, "Mossad's Miracle Weapon: Stuxnet Virus Opens New Era of
Cyber War"
Der Spiegel, 8 Ağustos 2011, "Mossad's Miracle Weapon: Stuxnet Virus Opens New Era of
Cyber War"
Detica, (2011) , The Cost of Cybercrime
Detica, (2011) The Cost of Cybercrime
Devlet Planlama Teşkilatı Bilgi Toplumu Dairesi, Mart 2010, Bilgi Toplumu Stratejisi Belgesi
Eylem Planı (2006-2010) Değerlendirme Raporu Rapor No:5
Devlet Planlama Teşkilatı Bilgi Toplumu Dairesi, Mart 2010, Bilgi Toplumu Stratejisi Belgesi
Eylem Planı (2006-2010) Değerlendirme Raporu Rapor No:5
Devlet Planlama Teşkilatı, Bilgi Toplumu Stratejisi Belgesi (2006-2010)
Devlet Planlama Teşkilatı, Bilgi Toplumu Stratejisi Belgesi (2006-2010)
Devlet Planlama Teşkilatı, Bilgi Toplumu Stratejisi Belgesi Eylem Planı (2006-2010)
Devlet Planlama Teşkilatı, Bilgi Toplumu Stratejisi Belgesi Eylem Planı (2006-2010)
DHS (Department of Homeland Security)
101
Dilek Yüksel Civelek, Nisan 2011, “Kişisel Verilerin Korunması ve Bir Kurumsal Yapılanma
Önerisi”, Bilgi Toplumu Dairesi Başkanlığı
Dilek Yüksel Civelek, Nisan 2011, “Kişisel Verilerin Korunması ve Bir Kurumsal Yapılanma
Önerisi”, Bilgi Toplumu Dairesi Başkanlığı
Dr Ahamad, Mustaque : Alperovitch Dmitri (among others), 2011, “Emerging Cyber Tech
Reports-2012” GTCSS
Dunn, Myriam; Mauer, Victor, 2006, “Towards a Global Culture of Cyber-Security.” CIIP
Handbook
Dunn, Myriam; Mauer, Victor, 2006, “Towards a Global Culture of Cyber-Security.” CIIP
Handbook
Emigh, Aaron, Ekim 2005, “Online Identity Theft: Phishing Technology, Chokepoints and
Countermeasures”
European Data Protection Supervisor, Ocak 2013, “EDPS Strategy 2013-2014 for excellence in
data protection by the EU institutions”
European Network and Information Security Agency, Ağustos 2007, “Information Security
Awareness” ENISA document
European Network and Information Security Agency. 25 February 2011, “Cyber Security
Strategy for Germany”. ENISA.
European Network and Information Security Agency. 25 February 2011, “Information systems
defence and security France’s strategy”. ENISA.
European Network and Information Security Agency. 25 February 2011, “Cyber Security
Strategy for Germany”. ENISA.
European Network and Information Security Agency. 25 February 2011, “Information systems
defence and security France’s strategy”. ENISA.
European network of Awareness Centres
FCC, 2010, Open Internet Order
FCC, 2010, Open Internet Order
102
Federal Information Security Management Act
Federal Ministry of the Interior. February 2011, “Cyber Security Strategy for Germany.” Federal
Ministry of the Interior Policy Document
Federal Ministry of the Interior. February 2011, “Cyber Security Strategy for Germany.” Federal
Ministry of the Interior Policy Document
France: Act No. 78-17 Amended by the Act of 6 August 2004 relating to the Protection of
Individuals with regard to the Processing of Personal Data
Germany: Federal Data Protection Law
Hancock, B. 1999, “Güvenlik Bakışları”, Computers & Security, Sayı 18, 1999, s. 553 – 64
Hancock, B. 1999, “Güvenlik Bakışları”, Computers & Security, Sayı 18, 1999, s. 553 – 64
Harijadi, Djoko Agung. Ministry of Communication and Information, Republic of Indonesia. 23
March 2004, “e-Government Development in Indonesia.” APEC Telecommunications and
Information Working Group 29th Meeting, Hong Kong, China
Harijadi, Djoko Agung. Ministry of Communication and Information, Republic of Indonesia. 23
March 2004, “e-Government Development in Indonesia.” APEC Telecommunications and
Information Working Group 29th Meeting, Hong Kong, China
Hilbert and López, 2011 “Dünyanın, bilgiyi saklama, iletme ve işleme konusundaki teknolojik
kapasitesi” Science
Hilbert and López, 2011 “Dünyanın, bilgiyi saklama, iletme ve işleme konusundaki teknolojik
kapasitesi” Science
Hjorth ,Claus Noer: Wøldike ,Camilla : Hasselbalch, Gry , 2012, “The Safer Internet Day Youth
Agenda” Awareness Centre Denmark
Hoskins Andrew: Liu Yi-Kai: Relkuntwar Anil, Aralık 2005, “Counter-Attacks for Cybersecurity
Threats”
Hürriyet, Şubat 2007, Sanal banka mağdurları derneği kuruldu,
http://www.hurriyet.com.tr/ekonomi/5907876.asp
ICTA, Eylül 2011, “Safer Internet Regulations” Information & Communication Technologies
Authority
103
India: Information Technology Act (2000)
International Conference of Data Protection Commissioners, 9 Şubat 2010, “Criteria and Rules
for Credentials Committee and the Accreditation Principles” as amended on 9-11 September
2002.
ITU, Eylül 2011, National Cybersecurity Strategy Guide
ITU, Eylül 2011, National Cybersecurity Strategy Guide
Kalkınma Bakanlığı, Aralık 2012, Bilgi Toplumu Stratejisinin Yenilenmesi Projesi 5. Odak Grup
Değerlendirme Raporu
Kalkınma Bakanlığı, Aralık 2012, Bilgi Toplumu Stratejisinin Yenilenmesi Projesi STK, Meslek
Birlikleri ve Üniversiteler Atölye Çalışması Değerlendirme Raporu
Kalkınma Bakanlığı, Aralık 2012, Bilgi Toplumu Stratejisinin Yenilenmesi Projesi 5. Odak Grup
Değerlendirme Raporu
Kalkınma Bakanlığı, Aralık 2012, Bilgi Toplumu Stratejisinin Yenilenmesi Projesi STK, Meslek
Birlikleri ve Üniversiteler Atölye Çalışması Değerlendirme Raporu
Kierkegaard, S. 2008, Cybering, online grooming and age-play. Computer Law & Security
Report, 24(1), 41–55
Kierkegaard, S. 2008, Cybering, online grooming and age-play. Computer Law & Security
Report, 24(1), 41–55
Kirda, Engin: Kruegel, Christopher, 2005, “Protecting users against phishing” Oxford
University
Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına
Dair Sözleşme, Avrupa Konseyi
Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına
Dair Sözleşme, Avrupa Konseyi
Kişisel Verilerin Koruması Kanun Tasarısı, 2008, http://www2.tbmm.gov.tr/d23/1/1-0576.pdf
Kişisel Verilerin Koruması Kanun Tasarısı, 2008, http://www2.tbmm.gov.tr/d23/1/1-0576.pdf
104
Lewis University, “A Brief History of Information Security”, http://www.lewisu.edu/academics/
msinfosec/history.htm
Lewis University, “A Brief History of Information Security”, http://www.lewisu.edu/academics/
msinfosec/history.htm
Lwin, M. O., Stanaland, A., & Miyazaki, A. 2008, Protecting ’children’s privacy online: how
parental mediation strategies affect website safeguard effectiveness. Journal of Retailing, 84,
205–217.
Malawer, Stuart. Geroge Mason University School of Public Policy. 18 November 2010,
“Cyberwarfare: Law & Policy Proposals for U.S. & Global Governance.” US Virginia Lawyer
Paper
Malawer, Stuart. Geroge Mason University School of Public Policy. 18 November 2010,
“Cyberwarfare: Law & Policy Proposals for U.S. & Global Governance.” US Virginia Lawyer
Paper
Mansfield, Nick. OECD. 18 December 2007, “Development of Policies for Protection of Critical
Information Infrastrucutres.” OECD Document
Mansfield, Nick. OECD. 18 December 2007, “Development of Policies for Protection of Critical
Information Infrastrucutres.” OECD Document
McAfee. International Privacy and Data Protection Laws
McCallister, Erika; Grance, Tim; Scarfone, Karen. National Institute of Standards and
Technology, Nisan 2010, “Guide to Protecting the Confidentiality of Personally Identifiable
Information (PII) Recommendations of the National Institute of Standards and Technology”
NIST Special Publication 800-122
McDonald, A. and L. Cranor, 2008, “The Cost of Reading Privacy Policies”. I/S: A Journal of
Law and Policy for the Information Society
McDonald, A. and L. Cranor, 2008, “The Cost of Reading Privacy Policies”. I/S: A Journal of
Law and Policy for the Information Society
Milletary, Jason , 2005, “Technical Trends in Phishing Attacks” US-CERT
Moshchuk, Alexander Nikolaevich, 2009, “Understanding and Defending Against Web-borne
Security Threats”
105
NASCIO, 2007, “IT Security Awareness and Training:Changing the Culture of State
Government”
National Security Council. “Cyberspace Policy Review.” US’s White House Document
National Security Council. “Cyberspace Policy Review.” US’s White House Document
National Security Council. “The Comprehensive National Cybersecurity Initiative.” US’s White
House Document
National Security Council. “The Comprehensive National Cybersecurity Initiative.” US’s White
House Document
National Security Council. May 2011, “International Strategy For Cyberspace.” US’s White
House Document
National Security Council. May 2011, “International Strategy For Cyberspace.” US’s White
House Document
Nojeim, Gregory T. 2010 “Cybersecurity and Freedom on the Internet.” Journal of National
Security Law & Policy
Nojeim, Gregory T. 2010 “Cybersecurity and Freedom on the Internet.” Journal of National
Security Law & Policy
Ntvmsnbc, Ocak 2013, Şifre aynı: 123456, http://www.ntvmsnbc.com/id/25414019/
OECD, Şubat 2012, “Recommendation on the Protection of Children Online” OECD Document
OECD. 16 November 2012, “Cybersecurity Policy Making At A Turning Point: Analysing a new
generation of national cybersecurity strategies for the Internet Economy.” OECD Document.
OECD. 16 November 2012, “Cybersecurity Policy Making At A Turning Point: Analysing a new
generation of national cybersecurity strategies for the Internet Economy.” OECD Document.
Office for Internet Safety Ireland, the National Centre for Technology in Education (NCTE), O2
and Barnardos, 2008, “A guide to cyberbullying- Get With it - Understanding and identifying to
help protect your children” Joint Initiative
Office of the Victorian Privacy Commissioner, Australia, Haziran 2002, “A Brief History of
Information Privacy”
106
OpenNet Inıtiative, Filtering Data, November 2012, opennet.net
OpenNet Inıtiative, Filtering Data, November 2012, opennet.net
Organisation for Economic Co-operation and Development. “OECD Guidelines on the
Protection of Privacy and Transborder Flows of Personal Data”
Ovum, “Internet Content Filtering: A Report to DCITA”, April 2003
Ovum, “Internet Content Filtering: A Report to DCITA”, April 2003
Phahlamohlaka, LJ; Jansen van Vuuren, JC; Coetzee, AJ. May 2011, “Cyber security awareness
toolkit for national security: an approach to South Africa's cyber security policy
implementation.” Proceedings of the first IFIP TC9/TC11 South African Cyber Security
Awareness Workshop (SACSAW).
Phahlamohlaka, LJ; Jansen van Vuuren, JC; Coetzee, AJ. May 2011, “Cyber security awareness
toolkit for national security: an approach to South Africa's cyber security policy
implementation.” Proceedings of the first IFIP TC9/TC11 South African Cyber Security
Awareness Workshop (SACSAW).
Power, Richard. Carnegie Mellon CyLab. 2008, “Cyber Security in the Three Times: Past,
Present & Future.” CERT 20th Anniversary Seminar Series Conference Presentations
Power, Richard. Carnegie Mellon CyLab. 2008, “Cyber Security in the Three Times: Past,
Present & Future.” CERT 20th Anniversary Seminar Series Conference Presentations
Powner , David. 10 March 2009, “Key Improvements Are Needed to Strengthen the Nation's
Posture.” United States Government Accountability Office Document.
Powner , David. 10 March 2009, “Key Improvements Are Needed to Strengthen the Nation's
Posture.” United States Government Accountability Office Document.
President’s Information Technology Advisory Committee. 28 February 2005, “Cyber Security: A
Crisis of Prioritization.” The networking and Information Technology Research and
Development (NITRD) Program
President’s Information Technology Advisory Committee. 28 February 2005, “Cyber Security: A
Crisis of Prioritization.” The networking and Information Technology Research and
Development (NITRD) Program
107
Privacy International, “Privacy in the Developing World”
Radikal, Nisan 2012, “123456 yaz İçişleri'ne şak diye gir”
http://www.radikal.com.tr/Radikal.aspx?aType=RadikalDetayV3&ArticleID=1085597
Relyea, Harold C. Congressional Research Service. 2002 “E-gov: Introduction and overview.”
Government Information Quarterly
Relyea, Harold C. Congressional Research Service. 2002 “E-gov: Introduction and overview.”
Government Information Quarterly
Republic of China: Computer Processed Personal Information Protection Act (1995)
Republic of Korea: Act on Promotion of Information and Communication Network Utilization
and Information Protection
Sabah, (20 Eylül 2012), http://www.sabah.com.tr/Ekonomi/2012/09/20/siber-guvenlikcilerizmirde-yetisecek
Sharp, Sr., Walter Gary. 2010, “The Past, Present, and Future of Cybersecurity.” US National
Security Law & Policy Journal
Sharp, Sr., Walter Gary. 2010, “The Past, Present, and Future of Cybersecurity.” US National
Security Law & Policy Journal
Shi, Junxiao: Saleem, Sara “Phishing”, 2012, Report
Sivin JP, Bialo ER, 1992, Ethical Use of Information Technologies in Education: Important
Issues for America's Schools. ERIC Avrupa Komisyonu Basın Açıklaması, 25 Ocak 2012,
http://europa.eu/rapid/press-release_IP-12-46_en.htm?locale=en
Solove, Daniel J., GWU Law School Public Law, 2006, “A Brief History of Information Privacy
Law PROSKAUER ON PRIVACY, PLI”.
Standler, Ronald B. 1997, “Privacy Law in the USA”
State of Texas Newsletter VOL. 4, ISSUE 11, Ekim 2010, “Cyber Security Tips”
Stone, Marianne. Geest-MSH - Paris. Sciences Po - Paris. Columbia University, School of
International and Public Affairs. “Obama’s Cybersecurity Plan.” US security technology policy
papers series 1
108
Stone, Marianne. Geest-MSH - Paris. Sciences Po - Paris. Columbia University, School of
International and Public Affairs. “Obama’s Cybersecurity Plan.” US security technology policy
papers series 1
Symantec, 2011, Internet Security Threat Report
Symantec, 2011, Internet Security Threat Report
Symantec, 2012, İnternet Güvenliği Tehdit Raporu
Symantec, 2012, İnternet Güvenliği Tehdit Raporu
Symantec, 2012, Norton Siber Suç Rapor
Symantec, 2012, Norton Siber Suç Rapor
Tabatadze David, Temmuz 2011 “Internet Security Awareness Program in Georgia” ISAP
Telekomünikasyon İletişim Başkanlığı, İhbar ve Erişim Engelleme İstatistikleri, 13 Aralık 2012
Telekomünikasyon İletişim Başkanlığı, İhbar ve Erişim Engelleme İstatistikleri, 13 Aralık 2012
The Guardian, 17 Mayıs 2007, Rusya Estonya’ya Karşı Siber Savaşla Suçlanıyor,
The Guardian, 17 Mayıs 2007, Rusya Estonya’ya Karşı Siber Savaşla Suçlanıyor,
TÜBİTAK, 2011, USGT Sonuç Raporu
TÜBİTAK, 2011, USGT Sonuç Raporu
UK Cabinet Office. 3 December 2012, “The UK Cyber Security Strategy: Written Ministerial
Statement 3 December 2012” Cabinet Office Cyber Security Strategy Office Policy Document
UK Cabinet Office. 3 December 2012, “The UK Cyber Security Strategy: Written Ministerial
Statement 3 December 2012” Cabinet Office Cyber Security Strategy Office Policy Document
Ulaştırma Denizcilik ve Haberleşme Bakanlığı, (27 Haziran 2012), Sena Kaleli’nin yazılı soru
önergesine cevap,
United Kingdom: Data Protection Act, 1998
United Nations, Aralık 1948, “Universal Declaration of Human Rights, Article 12”
United States of America: USA PATRIOT Act, 2001
109
US Department of Homeland Security - National Cyber Security Awareness Month
Valcke, M., B. De Wever, H. Van Keer, T. Schellens, 2011, Long-term study of safe Internet use
of young children, Computers & Education
Valcke, M., B. De Wever, H. Van Keer, T. Schellens, 2011, Long-term study of safe Internet use
of young children, Computers & Education
Valkenburg, P., & Soeters, K. 2001, Children’s positive and negative experiences with the
Internet. An exploratory survey. Communication Research, 28(5), 652–675
Valkenburg, P., & Soeters, K. 2001, Children’s positive and negative experiences with the
Internet. An exploratory survey. Communication Research, 28(5), 652–675
Villar, Rafael del; Díaz de León, Alejandro; Hubert, Johanna Gil. World Bank, Şubat 2001,
“Regulation of Personal Data Protection and of Reporting Agencies: a Comparison of Selected
Countries of Latin America, the United States and European Union Countries”
Warren, Samuel ; Brandeis, Louis; Harvard Law Review, Aralık 1890, “The Right to Privacy”
Willard Nancy, Nisan 2007, “Educator’s Guide to Cyberbullying and Cyberthreats”
Wilshusen, Gergory C.; Powner, David A. US Government Accountability Office. 17 November
2009 “CYBERSECURITY: Continued Efforts Are Needed to Protect Information Systems From
Evolving Threats.” US GAO Document
Wilshusen, Gergory C.; Powner, David A. US Government Accountability Office. 17 November
2009 “CYBERSECURITY: Continued Efforts Are Needed to Protect Information Systems From
Evolving Threats.” US GAO Document
Ziccardi, Giovanni, 2012, Digital Resistance, Digital Liberties and Digital Transparency,
Resistance, Liberation Technology and Human Rights in the Digital Age Law, Governance and
Technology Series, Volume 7, pp 27-71
110