KVKK’da ‘arka kapı’ uyarısı: Kişisel bilgileriniz tehdit altında olabilir
Firmaların ve kurumların, Kişisel Verileri Koruma Kanunu (KVKK) gereği bilgi saklamak için kullandıkları yazılımcı firma ile sözleşme yapmıyor oluşunun, sistemde ‘arka kapı’ denilen açığı meydana getirdiğine dikkat çeken bilişim uzmanlar, kişisel verilerin tehdit altına olabileceğini vurguladı.
KVKK’da ‘arka kapı’ açığı, beklenmedik riskler doğurabilir.
Açıklama, Bilişim Uzmanı Hakan Topuzoğlu'ndan geldi.
Vatandaşların herhangi bir işlem için kimlik verirken üzerine ne için verdiklerini yazmaları gerektiğini söyleyen Hakan Topuzoğlu, “Öncelikle şunu ifade etmek istiyorum; bu konuda yasal anlamda çok ciddi düzenlemeler yapıldı. Herhangi bir şekilde cirosu ve çalışan sayısı ne olursa olsun eğer kimlik bilgileri alınıyorsa mernis kaydı ve eğer bu kişilere de toplu şekilde ileti gönderiliyorsa İleti Yönetim Sistemi (İYS) kaydının yapılması gerekiyor. Bununla birlikte eğer e-ticaret üzerinden satış yapılıyorsa da EGBİS kaydının yapılması gerekiyor. Biz de bu konuda firmaları uyarmak istiyoruz. Çünkü çok ciddi yaptırımları da var. Kişisel anlamda da bu verilerimizi verirken, mesela bir telefon aboneliği yapacağız diyelim kimlik veriyoruz. Kimliğin üzerine en azından ne için olduğunu yazarsak ileride yaşayabileceğimiz sorunların da önüne geçmiş olabiliriz” dedi.
Topuzoğlu, firmaların ve kurumların yazılımcı firma ile sözleşme yapmamasının veri saklamada açık oluşturacağını söyleyerek, “Yine çok önemli bir konuya temas etmek istiyorum; herhangi bir yazılım alınıyor ve kullanılıyor. Bilgiler burada kayıt ediliyor. Derneklerde, vakıflarda, siyasi partilerde ya da şirketlerde yine aynı şekilde kurslar, okullar ve eğitimle ilgili kurumlarda bu bilgiler alınıyor ve bir programa kaydediliyor ama o programı yazan yazılımcı firmayla ilgili olarak gerekli sözleşmeler yapılmazsa ve onlar da gerekli önlemleri almazsa bu sefer arka kapı dediğimiz backdoor üzerinden girerek bu bilgilere ulaşmak ve bunları da çok rahat bir şekilde sızdırmak, dağıtmak ve satmak ne yazık ki mümkün olabilecektir. Şu anda herhangi bir denetim bu konuda da yok. Yani bir kişi ben yazılım yaptım deyip de bunu rahatlıkla satabiliyor. Bu konuda bir düzenlemenin faydalı olabileceği inancındayız” ifadelerini kullandı.
Verilerin bilinmeyen yerlerde saklanmasının sonucunda daha sonra nereye gideceğinin de belirsiz olduğunu söyleyen Hakan Topuzoğlu, sözlerine şu şekilde devam etti:
“Aslında devletin resmi kurumları bu yazılımları inceleyip bir arka kapı olup olmadığını çok rahat bir şekilde görebilir. Burada sorumluluk yazılım firmasına da eğer herhangi bir zafiyet varsa ait olarak kabul edilebilir. KVKK kaydı olan firmalarda veri sızdırılması durumunda 1 milyon 800 bin TL’den başlayan para cezaları verilebiliyor. Geçmişte yine çok ünlü sipariş firmalarında da bunlar yaşanmıştı. Ne yazık ki birçok kurumda da yine bununla karşılaşıyoruz ve şu anda böyle bir durum olduğu zaman saklama gibi imkanları da yok KVKK gereğince. Kendilerinin de bu konuyu açıklamaları gerekiyor ve KVKK’nın sitesinde de resmi bir şekilde yayınlanıyor. Bu konu çok önemli çünkü herhangi bir şekilde siz verilerinizi bir yerde saklıyorsanız ya da bilmediğiniz internetten indirdiğiniz ücretsiz olduğu için tercih ettiğiniz bir programda saklıyorsanız daha sonra verilerin nereye gideceğini de bilemezsiniz.”