Güley, sosyal medya hesabı üzerinden yaptığı açıklamada, “Yalnızca KKTC Kimlik Numarası girilerek kişilere ait anne adı, baba adı, sigorta sicil numarası, adı ve soyadı gibi kişisel verilerin kolaylıkla görüntülenebildiği tespit edilmiştir. Sistem, herhangi bir kimlik doğrulama veya güvenlik katmanı içermemekte, dış müdahale ya da hackleme yapılmadan veriler herkesin erişimine açık hale gelmiş durumdaydı” ifadelerini kullandı.
“VERİLER HALKA AÇIK BIRAKILDI”
Güley, sistemde veri tabanına bir sızma gerçekleşmediğini, sistem tasarımındaki zafiyet nedeniyle verilerin doğrudan erişilebilir halde olduğunu vurgulayarak şu soruyu yöneltti:
“Eğer gerçekten veri tabanına girilseydi, veriler şifreli miydi? Hassas kişisel verilerin düz metin (plain text) olarak saklanması, Kişisel Verilerin Korunması Yasası’na açıkça aykırıdır.”
“CİDDİ İHMAL SÖZ KONUSU”
Güley, “Bu durum, yalnızca dışarıdan erişimle sınırlı kalmayıp, verilerin saklanma yönteminde de ciddi bir ihmal olduğunu göstermektedir. Güvenlik önlemleri alınmamış, şifreleme yapılmamışsa bu durum ilgili yazılım firmasının temel bilgi güvenliği prensiplerine dahi uymadığını ortaya koymaktadır” dedi.
“HACKLEME YOK, SİSTEM AÇIKTI”
Güley, bazı çevrelerce “hackleme” olarak yansıtılan olayın teknik, hukuki ve mantıksal açıdan bu şekilde değerlendirilemeyeceğini ifade ederek, “Hiçbir şekilde sisteme yetkisiz erişim sağlanmamış, veri tabanına sızılmamış, şifre veya güvenlik önlemi aşılmamıştır. Aksine sistemin yapısal tasarımı bu verileri herkesin erişimine açık hale getirmiştir” dedi.
“DENETİM VE GÜVENLİK ÖNLEMİ ALINMAMIŞ”
Güley, güvenlik açığının kurumun teknik sorumluluğunda olan yazılım altyapısı sağlayıcısı tarafından zamanında denetlenmediğini ve Kişisel Verilerin Korunması İlkeleri çerçevesinde gerekli önlemlerin alınmadığını da kaydetti.
YASAL DEĞERLENDİRME
Güley açıklamasının devamında, KKTC Anayasası Madde 20, Kamu Görevlileri Yasası ve KVKK örneği kapsamında kişisel verilerin korunması gerektiğini hatırlatarak, “Burada sorgulanması gereken, kurumun bu yapıyı neden halka açık bıraktığı, denetimlerin neden yapılmadığı ve güvenlik önlemlerinin neden alınmadığıdır” dedi.
“GERÇEKLERDEN UZAK VE YANILTICI YARGI GİRİŞİMİ”
Güley, sistemdeki güvenlik açığını kurum müdürüne aynı gün ilettiğini belirterek, yazılım firması ve destek alınan bazı yapıların bu bildirimi “sistemi hacklemek” gibi çarpıtarak yargıya taşıma girişiminin gerçek dışı ve yanıltıcı olduğunu belirtti. Güley, “Yalnızca kimlik numarası yazarak sisteme giren herkes ‘hackleme’ ile mi suçlanacak?” sorusunu yöneltti.
OLASI SALDIRI SENARYOLARI
Güley, sistemin kötü niyetli kişilerce kullanılabileceği ciddi risk senaryolarını da şöyle sıraladı:
-
Brute Force Tabanlı Veri Toplama: Kimlik numaraları algoritmik olarak denenerek on binlerce kişinin bilgisi toplanabilir.
-
Kimlik Avı (Phishing): Ele geçirilen bilgilerle kişiselleştirilmiş sahte e-postalar gönderilebilir.
-
Sosyal Mühendislik Saldırıları: Bilgilere dayanarak vatandaşlar kandırılabilir.
-
Veri Yayılımı: Veriler açık kaynak veya deep web’de yayınlanabilir, kamu kurumunun itibarı zedelenebilir.
-
Hizmet Dışı Bırakma (DoS) Etkisi: Sürekli sorgularla sistem kilitlenebilir, erişilemez hale gelebilir.
Güley, sistemin zayıf yapısının daha gelişmiş saldırılara da zemin hazırlayabileceğini vurgulayarak, bu tür tasarım zafiyetlerinin kamu güvenliği açısından büyük tehditler doğurabileceğini belirtti.
English 
Turkish 