Melike Sarıkaya / Milliyet.com.tr – Teknoloji artık her alanda hayatımızın içinde. Sıradan bir günümüz bile kimliği bilinmeyen bir numaradan gelen dolandırma maksatlı bir aramayla başlayabiliyor. Kimi operatörlerin ve servis sağlayıcı şirketlerin isimlerini kullanarak yapılan aramalar da tüketicileri isyan ettiriyor. Yapılan araştırmalar telefon tacizlerinin art planında telekom operatörleri için çalışan bayilerin olduğunu ortaya koyuyor. Davet merkezleriyle anlaşan bayiler buradan tek bir tuşla yüz binlerce kişinin cep telefonuna birebir anda arama gönderiyor. Gelen pazarlama telefonları tüketicilerin günlük hayatlarını tam bir azaba dönüşmüştür durumda. Konuyla ilgili toplumsal medya ve şikâyet sitelerine yansıyan iletilere nazaran günde 30 kez aranan mağdurlar bulunuyor. ‘Adınıza kargo var, borcunuz var, taahhüt müddetiniz bitmek üzere’ gibi iletilerle kandırılmaya çalışılan milyonlarca insan, ferdî bilgilerinin nasıl ele geçirildiği konusunda büyük bir belirsizlik yaşıyor. Kişisel Verilerin Korunması Kanunu (KVKK) üzere düzenlemelerle yasal yerde kıymetli adımlar atılmış olsa da bireylerin farkındalığı ve datalarını müdafaa konusundaki şuur seviyesi hâlâ yetersiz. Dolandırıcıların sistemlerini daima geliştirdiği bir periyotta, vatandaşların kişisel muhafaza tekniklerine de gereksinim duyduğu bir gerçek. Peki, bu tehditlere karşı nasıl daha faal bir savunma oluşturabiliriz? Şahsî bilgilerimizin denetimini nasıl yine ele alabiliriz? Soruların karşılığını Avukat Merve Öney Barlas ve Siber Güvenlik Uzmanı Osman Demircan, Milliyet.com.tr için yanıtladı.
‘PANEL ARACILIĞIYLA BİLGİLER SIZDIRILIYOR’
Son devirde artan dolandırıcılık olayları, ferdî dataların korunması konusunu yine gündeme taşıdı. Siber Güvenlik Uzmanı Osman Demircan, ferdî bilgilerin ‘panel’ isimli sistemlerden sızdırıldığını aktardı. Yasa dışı kullanılan bu sistem üzerinden Türkiye Cumhuriyeti kimlik numarasından, akraba bilgilerine kadar ulaşılabildiğini lisana getiren Demircan, “Bu panellerde kolay bir isim-soy isim aramasıyla bir kişinin telefon numarası, T.C. kimlik numarası, meslek bilgileri ve hatta bölgesel bilgilerine ulaşmak mümkün. Bu durum, bilhassa kimi satış şirketleri tarafından berbata kullanılabiliyor” dedi. Demircan sıklıkla ferdî dataların sızdırılmasıyla ilgili şöyle konuştu:
“Operatörlerin ya da servis sağlayıcı şirketlerin ismini kullanarak çok sık aramalar gerçekleşiyor. Bunun iki tane büyük etkeninden birisi Türkiye Cumhuriyeti vatandaşlarının çok büyük bir kısmının ferdî bilgilerinin farklı farklı platformlardan sızdırılarak tek bir noktada birleştirip servis ediliyor olması. Bu çok önemli bir sorun. Burada halk ortasındaki ismi panel olarak geçen ve Türkiye Cumhuriyeti internet sonları içerisinde erişim yasak olduğu halde VPN ile erişim sağlanabilen bir yapı. Bu yapıda çok basitçe bir isim-soy isim araması ile başta cep telefonu T.C. kimlik numarası olmak üzere çok fazla sayıda bilgiye ulaşılabiliyor. Onun dışında biz alışveriş sitelerine daima kayıt yapıyoruz ve bu alışveriş sitelerinin büyük bir kısmı yeni açılmış sitelerden oluşuyor. Bu sitelere kayıt yapılırken doğal olarak bizden bir cep telefonu numarası isteniyor ve ferdî dataları aydınlatma metniyşe kontrat imzalamamız bekleniyor. Bu kontratların altında ‘Ben senin şahsî datalarını alabilirim, toplayabilirim, işleyebilirim. Üçüncü şahıslarla ticari emelle paylaşabilirim’ diye bir bilgilendirme yer alıyor. İmzaladığımız mukaveleleri okuma üzere bir alışkanlığımız olmadığı için maalesef kendi elimizle de bu ferdî bilgilerimizi sıklıkla dışarı verebiliyoruz.”
TÜKETİCİLER NELERE DİKKAT ETMELİ?
Dolandırıcıların hizmet sağlayıcıların isimlerini kullanarak bilhassa abonelik kontratlarıyla vatandaşları aradıklarını belirten Siber Güvenlik Uzmanı Demircan, bu cins aramaların ekseriyetle aldatıcı olduğunu söyledi. Osman Demircan, “Vatandaşlara, aboneliklerinin sona erdiği ya da fırsatlardan yararlanabilecekleri söyleniyor. Fakat bu aramalar çoklukla ana firmadan değil, bayilerden geliyor. Vatandaşlar, kendi aboneliklerini sürdürdüklerini düşünürken aslında öteki bir firmaya abone oluyorlar. Örneğin bir dolandırıcı, sizinle konuşurken çocuğunuzun ismi, eşinizin kimlik numarası ya da adresiniz üzere bilgileri paylaşarak kendilerini yasal hale getiriyorlar. ‘Gerçekten o kurumdan arıyorsa bütün bu bilgilere sahiptir’ üzere bir izlenim yarattığı için vatandaş da buna kanabiliyor” dedi. Bu çeşit aramalarda vatandaşlara büyük sorumluluk düştüğünü kaydeden Demircan, dolandırıcılık olaylarının önüne geçmek için şu adımların atılmasının yararlı olabileceğini belirtti:
1- Arayan kişinin bankadan ya da bir kurumdan olduğunu argüman etmesi durumunda, o kurumu kendiniz arayarak bilgi doğrulaması yapın.
2- Aboneliklerinizi denetim etmek için direkt resmi taşınabilir uygulamaları ya da kurumun davet merkezini kullanın.
3- E-Devlet üzerinden size ulaşmasını istemediğiniz numaraları ve kurumları engelleyin.
4- Dolandırıcılık teşebbüslerini Bilgi Teknolojileri ve İrtibat Kurumu’na (BTK) ve emniyet ünitelerine bildirin.
Siber Güvenlik Uzmanı Demircan, dolandırıcılığın önüne geçilmesinde firmaların rolünün büyük olduğuna da dikkat çekti. Firmaların müşterilerini, kullandıkları numara ve bağlantı prosedürleri hakkında bilgilendirmesi gerektiğinin altını çizen Osman Demircan, “E-ticaret ve taşınabilir uygulama hizmeti sunan firmaların, ferdî bilgilerin sızdırılmasını önlemek için gelişmiş siber güvenlik tedbirleri alması gerekiyor. Lakin birçok firma, kurduğu sistemleri şimdiki tutmuyor ve bu sistemler bir müddet sonra güvenlik açıkları yaratıyor. Siber güvenlik tahlillerinin sadece yazılım ve donanımla sonlu olmuyor. Daima güncellenmesi ve insan nezaretiyle denetim edilmesi gerekiyor” diye konuştu.
TÜM BİLGİLER IŞIĞINDA İNANDIRICI GÖRÜNÜYORLAR
Kişisel dataların müsaadesiz kullanımı ve dolandırıcılık faaliyetleri hem bireylerin güvenliğini tehdit ediyor hem de toplumsal itimadı zedeliyor. Yapılan aramalarda dolandırıcıların hâkim oldukları bilgilerle inandırıcı gözükebileceğine dikkat çeken Avukat Merve Öney Barlas şunları söyledi:
“Kişisel dataların bilhassa 3. taraflardan yahut çeşitli kurumlarda yaşanan data sızıntılarından kaynaklı olarak makus niyetli şahıslarca elde edilmesi durumunda, fatura bilgileri, abonelik bilgileri borç bilgileri üzere bilgilerle bir telefon yahut internet operatörü ismi kullanılarak bireyler aranabiliyor. Bilhassa bu cins abonelik ve borç bilgileri (adres ve taahhüt bilgisi dahil olmak üzere) sayılarak müşteride hakikaten o operatörden arandığı izlenimi uyandırılıyor. Ardından bu bireyler komite fiyatı alabilmek maksadıyla ilgili müşteriyi bir öteki operatöre birden fazla vakit da daha yüksek fiyatlarla geçiş yapmaya ikna edebiliyor ya da kendilerine ödeme yapılmasını sağlayabiliyor. Tüketicilerin, kullandıkları operatörlerin davet merkezi numaralarını kaydetmeleri, bu numaralar dışında yapılan aramalara katiyetle prestij etmemeleri çok değerli.”
Telefonlarımıza son devirlerde sıklıkla gelen ve çoklukla firma isimleriyle yapılan aramalar her vakit birinci bireyler tarafından yapılmayabiliyor. Bilhassa birtakım bayilerin bu duruma yol açtığını aktaran Avukat Barlas, “Yanıltıcı aramalar ekseriyetle ‘avcı bayiler’ olarak isimlendirilen ve abonelik başına kurul alan bayiler tarafından, farklı bayilerin iş birliğiyle ya da bir üçüncü taraftan bilgi paylaşımı yoluyla gerçekleşebiliyor. Bazı kurum ve kuruluşlar nezdinde gerçekleşen bilgi ihlallerinden ve bazen kuruluşun içindeki şahıslarca şahsî datalar hukuka muhalif olarak kaydediliyor. Bu bilgiler kelam konusu avcı bayilere satılabiliyor. Şirketler, bayiliklerin bilgi sürece süreçlerini sıkı denetlemeli, bilgi güvenliği siyasetlerini güçlendirmeli ve bayiliklere yönelik sistemli denetimleri yapmalıdır. Bayilikler, sırf KVKK kapsamındaki yükümlülüklere uymakla kalmayıp tıpkı vakitte şirketin kendi bilgi güvenliği prosedürlerini de izlemekle yükümlüdür. Bu kontrollerde bayilere ait bilgi erişim loglarının tutulması, bilgi güvenliği eğitimlerinin verilmesi ve gerektiğinde data ihlali yaşanması durumunda süratli cevap prosedürlerinin oluşturulması, bilgi güvenliği ihlallerini önlemek ismine faal tahliller olabilir” diyerek şirketler için tekliflerde bulundu.
Yanıltıcı arama ve dolandırıcılık teşebbüsü ile karşılaşan tüketicilerin vakit kaybetmeden başvurabilecekleri makamları Avukat Merve Öney Barlas şu formda sıraladı:
1- Dolandırıcılık teşebbüsüyle ilgili birinci olarak ismi kullanılarak arama yapılan internet servis sağlayıcınıza başvurabilirsiniz. Müşteri hizmetlerini arayarak yaşadığınız durumu bildirin.
2- İlgili arama sonucunda maddi bir ziyana uğramanız yahut rastgele bir bilginizi paylaşmış olmanız durumunda durumu Emniyet Genel Müdürlüğü Siber Cürümlerle Çaba Daire Başkanlığı’na bildirebilirsiniz. Ayrıyeten, Polis İmdat Çizgisi 155 yahut en yakın polis karakoluna başvurarak şikayetçi olabilirsiniz.
3- CİMER (Cumhurbaşkanlığı İrtibat Merkezi): Dolandırıcılık teşebbüsleriyle ilgili rastgele bir devlet kurumuna şikayetlerinizi CİMER üzerinden iletebilirsiniz. CİMER, şikayetinizi ilgili kurumlara yönlendirerek süreci başlatır.
4- Yukarıdakilere ek olarak tüketicilerin şahsî datalarının hukuka alışılmamış olarak ele geçirildiğini düşünmeleri halinde ise KVKK kapsamında evvel ilgili bilgi sorumlusuna akabinde Ferdî Dataları Müdafaa Kurumu’na da şikâyette bulunabilirsiniz. Ayrıyeten tüketicilerin yanıltılması sebebiyle Ticaret Bakanlığı da başvuru yapılabiliyor.
KİŞİSEL DATALARI YAYAN ŞAHSA MAHPUS CEZASI
Yapılan dolandırıcılık aramalarında tüketici hem ruhsal hem de mali kayıplar yaşayabiliyor. Şahsî bilgilerin makus niyetli bireylerin eline geçmesi de cezaların kâfi olup olmadığını sorgulatıyor. Ferdî bilgilerin yayılmasına sebep olan kişinin cezasının mahpus cezasına kadar ulaşabileceğini kaydeden Avukat Barlas, “İnternet servis sağlayıcılarının ismini kullanarak yapılan aldatıcı arama ve dolandırıcılık teşebbüsleri hem bireylerin mali kayba uğramasına hem de toplumsal inancın zedelenmesine yol açabilir. Türk Ceza Kanunu’na (TCK) nazaran, dolandırıcılık cürmü, hileli davranışlarla bir kimseyi aldatıp onun ziyanına olarak kendisine yahut diğerine haksız menfaat sağlamak olarak tanımlanır. Dolandırıcılık cürmü, TCK unsur 157 kapsamında kolay dolandırıcılık, TCK husus 158 kapsamında ise nitelikli dolandırıcılık olarak ikiye ayrılır. Nitelikli dolandırıcılık, bilişim sistemleri kullanılarak işlenen hataları da kapsar ve daha ağır cezalara tabidir. TCK’nın 136. Hususu ile de Şahsî Bilgilerin hukuka karşıt olarak verme yahut ele geçirilmesi hatası düzenlenmiştir. İlgili karara nazaran ferdî dataları, hukuka ters olarak bir diğerine veren, yayan yahut ele geçiren kişi hakkında mahpus cezası öngörülür” diyerek kelamlarını noktaladı.