Bilgi Toplumu Stratejisinin Yenilenmesi Projesi
Transkript
Bilgi Toplumu Stratejisinin Yenilenmesi Projesi
Bilgi Toplumu Stratejisinin Yenilenmesi Projesi Bilgi Güvenliği, Kişisel Bilgilerin Korunması ve Güvenli İnternet Ekseni Mevcut Durum Raporu 4 Şubat 2013 Bu rapor, Kalkınma Bakanlığı Bilgi Toplumu Dairesi ve McKinsey Danışmanlık Hizmetleri Limited Şirketi arasında imzalanan Bilgi Toplumu Stratejisinin Yenilenmesine İlişkin Hizmet Alımı İşi Sözleşmesi kapsamında, gerekli bulgu ve analizler hazırlanmak suretiyle, oluşturulacak Bilgi Toplumu Stratejisine altyapı teşkil etmek üzere üretilmiştir. Bu raporun hazırlanmasında çalışma boyunca ilgili taraflardan elde edilen bilgi ve görüşler ile Kalkınma Bakanlığı’nın değerlendirmelerinden istifade edilmiştir. Bu çalışma Kalkınma Bakanlığı’nın kurumsal görüşlerini yansıtmaz. Bu raporda yer alan içeriğin tamamı ya da bir kısmı atıfta bulunmak kaydıyla Kalkınma Bakanlığı’nın izni olmadan kullanılabilir. İçindekiler 1 BİLGİ GÜVENLİĞİ, KİŞİSEL BİLGİLERİN KORUNMASI VE GÜVENLİ İNTERNET..................................................................................................................................... 5 2 BİLGİ GÜVENLİĞİ .............................................................................................................. 8 2.1 GİRİŞ ................................................................................................................................. 8 2.1.1 Bilgi güvenliği algısının değişimi ve siber güvenlik .................................................... 8 2.1.2 Siber tehditlerin gelişimi ve günümüzdeki önemi ........................................................ 9 2.1.3 Kritik altyapıların bilgi güvenliği .............................................................................. 15 2.2 DEVLETLERİN UYGULADIĞI SİBER GÜVENLİK STRATEJİLERİ ........................................... 16 2.2.1 Düzenlemeler: ............................................................................................................ 19 2.2.2 Uygulama:.................................................................................................................. 19 2.2.3 Yönetişim ve koordinasyon: ....................................................................................... 20 2.2.4 Toplumsal farkındalık ................................................................................................ 20 2.2.5 Ar-Ge yatırımları ve insan kaynakları:...................................................................... 21 2.2.6 Uluslararası işbirliği: ................................................................................................ 21 2.3 SİBER GÜVENLİK STRATEJİLERİNDEKİ EĞİLİMLER ........................................................... 21 2.4 TÜRKİYE’DEKİ MEVCUT DURUM ..................................................................................... 23 2.4.1 Düzenlemeler: ............................................................................................................ 24 2.4.2 Uygulama:.................................................................................................................. 30 2.4.3 Yönetişim ve koordinasyon: ....................................................................................... 32 2.4.4 Toplumsal farkındalık ................................................................................................ 33 2.4.5 Ar-Ge yatırımları ve uzman yetiştirme: ..................................................................... 34 2.4.6 Uluslararası işbirliği: ................................................................................................ 35 3 KİŞİSEL VERİLERİN KORUNMASI.............................................................................. 36 3.1 GENEL BAKIŞ .................................................................................................................. 36 3.1.1 Kişisel verilerin tanımı............................................................................................... 37 3.1.2 Temel haklar bağlamında kişisel verilerin korunması............................................... 38 3.1.3 Verilerin kullanılabilmesi için kişisel verilerin korunması ihtiyacı ...........................40 3.2 KİŞİSEL VERİLERİN DEVLETLER TARAFINDAN KORUNMASI ............................................. 42 3.3 YENİ TEKNOLOJİLER ....................................................................................................... 49 3.3.1 Bulut bilişim ............................................................................................................... 49 3.3.2 Çevrimiçi davranışsal reklamcılık ............................................................................. 51 1 3.4 TÜRKİYE’DE MEVCUT DURUM ....................................................................................... 52 3.4.1 Türkiye’nin katıldığı uluslararası sözleşmeler .......................................................... 53 3.4.2 Kişisel verilerin anayasal güvence altına alınması ................................................... 53 3.4.3 Kişisel Verilerin Korunması Kanun Tasarısı............................................................. 55 3.4.3.1 Mevcut kanun tasarısının Veri Koruma Yönergesi’ne uyumluluğu .................. 56 3.4.3.2 Paydaşların kanun tasarıları hakkında çakışan bakış açıları .............................. 59 3.4.3.3 Mevzuat eksikliğinin sonuçları .......................................................................... 61 3.4.4 Kişisel veriler ile ilgili diğer düzenlemeler ................................................................ 62 3.4.5 Yeni teknolojiler ......................................................................................................... 67 3.4.5.1 3.4.5.2 4 Bulut bilişim....................................................................................................... 67 Çevrimiçi davranışlar reklamcılık...................................................................... 69 GÜVENLİ İNTERNET ....................................................................................................... 70 4.1 GENEL BAKIŞ .................................................................................................................. 70 4.1.1 İnternetteki tehlikeler ve sonuçları ............................................................................ 70 4.1.2 Çocuklar ve gençlerin korunması .............................................................................. 73 4.2 DEVLETLERİN ALDIKLARI ÖNLEMLER ............................................................................. 75 4.2.1 Eğitim ve bilinçlendirme çalışmaları ......................................................................... 75 4.2.2 Zararlı internet sitelerine erişimin kısıtlanması ........................................................ 78 4.3 TÜRKİYE’DEKİ MEVCUT DURUM ..................................................................................... 81 4.3.1 Çocuklar ve gençlerin bilinç eksikliği........................................................................ 83 4.3.2 Türkiye’de alınan önlemler ........................................................................................ 86 4.3.2.1 Eğitim ve bilinçlendirme.................................................................................... 86 4.3.2.2 5 Zararlı internet sitelerine erişimin kısıtlanması ................................................. 87 EKLER.................................................................................................................................. 96 KAYNAKÇA ................................................................................................................................ 98 2 Şekiller Listesi Şekil 2.1 Siber tehditlerin boyutu .................................................................................................. 10 Şekil 2.2 Devletlerin siber güvenlik harcamalarının kategorik dağılımı ....................................... 17 Şekil 2.3 Siber Güvenlik Stratejilerinin Alt Eksenleri ................................................................... 19 Şekil 2.4 Siber güvenlik stratejisi modelleri .................................................................................. 22 Şekil 3.1 Verilerin daha etkin kullanımından beklenen kazanımlar .............................................. 36 Şekil 3.2 Örnek devletlerin veri koruma düzenlemeleri ................................................................ 42 Şekil 3.3 Avrupa Konseyi ülkelerinin ulusal mevzuatlarını yürürlüğe koyma tarihleri ................ 43 Şekil 3.4 Veri Koruma Reformunun getirdikleri ........................................................................... 47 Şekil 3.5 AB ve ABD veri koruma politikalarının karşılaştırması ................................................ 48 Şekil 3.6 Veri koruma konusunda bulut bilişime hazırlık seviyesi ............................................... 67 Şekil 4.1 İnternet üzerindeki riskler ............................................................................................... 71 Şekil 4.2 Siber Suç Mağduriyeti .................................................................................................... 72 Şekil 4.3 Güvenli internet çözümleri ............................................................................................. 75 Şekil 4.4 Eğitim ve bilinçlendirme çalışmalarının parçaları .......................................................... 76 Şekil 4.6 Türkiye’deki Çocukların İnternet Kullanımı .................................................................. 82 Şekil 4.7 Çocukların internet kullanım oranı ................................................................................. 83 Şekil 4.8 Türkiye’deki çocukların internet kullanım becerileri ..................................................... 84 Şekil 4.9 Ülke bazında, cinsel içerikli resme maruz kalan çocukların oranı ................................. 85 Şekil 4.10 Çocukların cinsel içerikten rahatsız olma seviyesi ....................................................... 86 Şekil 4.13 İhbarlar ve Engellemelerin Konuları ............................................................................ 89 Şekil 4.14 Ülkelerdeki İnternet Sansürü Seviyesi.......................................................................... 90 3 Tablolar Listesi Tablo 2.1 Siber tehditlerin yapısı ................................................................................................... 11 Tablo 2.2 Saldırgan çeşitleri ve motivasyonları ............................................................................ 12 Tablo 2.3 Kurumlar tarafından getirilen kritik altyapı kapsamı önerileri ...................................... 28 Tablo 3.1 Paydaşların olası bir veri koruma kanununa bakış açıları ............................................. 59 Tablo 3.2 Kurumların mevzuat eksikliği ile yaşadığı sorunlar ...................................................... 61 Tablo 4.1 Güvenli İnternet Yöntemleri ve Sonuçları..................................................................... 78 Tablo 4.2 Güvenli İnternet uygulaması hakkındaki görüşler......................................................... 95 4 1 Bilgi Güvenliği, Kişisel Bilgilerin Korunması ve Güvenli İnternet Bilgiler yazılı hale geçip somutlaştırıldığı çağlardan itibaren bazı bilgileri korumaya yönelik önlemler alınmaya başlanmış, bu yönde bilginin gizliliği sağlanmaya çalışılmıştır. Özellikle teknolojinin gelişimi bu bilgilerin toplanması ve işlenmesini kolaylaştırmış, kurum ve kuruluşların bu kolaylıklardan yararlanması ile bilgi teknolojilerinin sosyal ve ekonomik düzenin bir parçası olmasının önü açılmıştır. Bu değişimlerle birlikte bilgilerin ve bilgi sistemlerinin güvenliği daha çok önem kazanmış, ancak bu güvenlik anlayışı fiziksel bir güvenlik algısına benzer bir şekilde bilginin saklanması ve yetkisiz kişiler tarafından erişilmemesi üzerine odaklanmıştır. Oysa internetin gelişimi ve bilgi sistemlerinin hem kendi aralarında hem de kullanıcılarla yaygın etkileşiminin artması ile bilgi güvenliği ve kişisel verilerin korunması yaklaşımları önemli değişikler geçirmiş, ayrıca internetin kullanımı konusunda bireylerin güvenliğine yönelik kaygılar ortaya çıkmaya başlamıştır. Bugün günlük hayatın vazgeçilmez bir parçası olan internet, ilk yaratıcıları tarafından askeri kaygılarla sistemler arası kesintisiz iletişimi sağlamak için tasarlanmış, ancak toplumun kullanımına açılmasıyla geniş ve “açık” bir ağ halini almıştır. Bu haliyle internet yıllardır yaratıcılığın ve özgür iletişimin ana kaynağı haline gelmiştir. İnternetin altyapı sistemi kullanıcıları ve servis sağlayıcılarının kimsenin iznini almadan özgürce kendi üretimlerini ve hizmetlerini dünyanın en uzak köşesindeki insanlarla bile paylaşmaları fırsatını sağlamıştır. Bu eşsiz fırsat, birçok ticari kurumun daha önce gerçekleştirmesinin mümkün olmadığı işlemleri internet üzerinden yapabilmesini ve ekonomik değer yaratabilmesini sağlamıştır. Daha çok kişi ve firma internetin bu olanaklarını kullandıkça internet üzerinden gerçekleşen yenilikçi fikirlerin sayısı artmış ve internetin ekonomik ve sosyal hayattaki önemi katlanarak büyümüştür. 1 İnternetin bu açık doğası sosyal hayatımızdaki iletişimimizin büyük bir kısmının da internet üzerine kaymasını sağlamıştır. Bugün pek çok kişi geleneksel iletişim araçlarıyla haberleşmek veya bu araçlardan bilgi edinmek yerine internetin özgür ve sınırsız fırsatlar sınan ortamını tercih etmektedir. Benzer şekilde kurum ve kuruluşlar da kendi mesajlarını kullanıcı veya potansiyel müşterilerine internet üzerinden ulaştırmaktadır. İnternet tabanlı çözümlerin yayılmasıyla artık internetin sadece bilgisayarlar üzerinden ulaşılan bir ortam olmadığı, günlük hayatta kullanılan birçok cihazla etkileşim haline geçildiği bir “siber uzay” haline dönüştüğü görülmektedir. Bu yeni dünyada cep telefonlarından ve televizyonlardan 1 Open Internet Order FCC-10-20V 5 bile siber uzaya ulaşmak mümkündür. Çok yakında buzdolabı, çamaşır makinesi gibi evlerde kullanılan cihazların doğrudan sahiplerinin onayını almadan siber uzaydaki çeşitli hizmetlere ulaşacağı, diğer makinelerle iletişim kuracağı bir dünyaya doğru gidilmektedir. İnternetin ekonomik ve sosyal hayatın bu kadar temel bir altyapısı haline gelmesi, bu alt yapıda oluşabilecek olası aksaklıkların etkisinin de insanlar için hayati önem taşıması anlamına gelmektedir. Bu yeni dünyada yukarıda tarif edilen siber ortamın güvenliği ve bu ortamda yer alan kişi ve kurumların olası tehlikelerden veya beklenmedik durumlardan korunması, sistemin devamlılığı açısından kritik bir önem arz etmektedir. Buradaki en önemli unsurlardan birisi ise bu devamlılığı sağlamak için alınacak her türlü güvenlik önleminin, internetin “açık” doğasına ters olmamasıdır. İnternetin toplum için bir katalizör görevi üstenebilmesi ancak açık doğası sayesinde yaratıcılığı ve paylaşımcılığı teşvik etmesiyle mümkündür. İnternetin bu temel özelliğinin ortadan kaldırılmasının hedeflenen amaçtan çok daha büyük sonuçlar doğuracağı açıktır. Önümüzdeki yıllarda bilgi ve iletişim teknolojilerinin daha verimli ve etkin kullanılması ve bu yolla sosyal ve ekonomik gelişmeyi amaçlayan ülkemizin de bu teknolojilerin yarattığı yeni siber ortamı yeterli ve doğru adımlarla düzenlemesi bilgi toplumuna dönüşüm için önemli bir altyapı oluşturacaktır. Söz konusu düzenlemelerin tam ve kapsayıcı bir altyapı oluşturabilmesi için üç temel konuyu içermesi gerekmektedir. • Bilgi sistemleri ve bu sistemlere dayalı olarak işleyen sosyal ve ekonomik düzen sonuçları ciddi zararlara ulaşabilecek siber saldırı tehdidi altındadır. Bu bilgi sistemlerine • yönelebilecek olası saldırıları önlemek ve etkilerini azaltmak için kapsamlı bir bilgi güvenliği stratejisi oluşturulmalı ve bu yönde gereken adımlar hayata geçirilmelidir. Teknolojik gelişmelerin getirdiği kolaylıkla bireylerin kişisel bilgilerinin toplanması ve bireylerin menfaatine ters şekilde kullanılması da kolaylaşmıştır. Bilgi kullanımının mağduriyetler yaratmaması ve dolayısıyla bireylerin bilgilerini güvenle paylaşabilmesi • için kişisel verileri güvence altına alan düzenlemeler yapılmalı ve uygulanmalıdır. Özgür ve kontrolsüz bir ortam olan internette zararlı veya yasadışı içerik sunmak ve eylemlerde bulunmak da kolaylaşmıştır. Bu olumsuz içeriğe ve eylemlere karşı kullanıcılar bilinçlendirilmeli ve korunmalıdır. Bilgi güvenliği önlemleri sayesinde bilişim teknolojilerine dayalı sistemlere yönelik saldırıların etkileri sınırlandırılacak ve bu sistemlerin kullanımı daha güvenli bir hale getirilecek, kişisel bilgilerin korunması sonucunda bilgilerin sosyal ve ekonomik alanlarda kullanımı düzenlenerek bilgilerin hem daha güvenli hem de daha yaygın bir şekilde kullanımı gerçekleşecek, güvenli 6 internet uygulamaları sayesinde de kullanıcıların internetteki olumsuz içerikler ile ilgili çekinceleri kaldırılacaktır. Dolayısıyla söz konusu üç konuya önem verilmesi ve doğru adımların atılması sayesinde yukarıda bahsedilen ekosistemin işlerliği sağlanacak ve ülkemizin bilgi toplumuna dönüşüm amacı için kritik önem taşıyan altyapı hazırlanmış olacaktır. 7 2 Bilgi Güvenliği 2.1 Giriş Bilgi güvenliği konusunu detaylı incelemeden önce kavramların çerçevesini çizmek tartışmanın daha net odaklanmasına yardımcı olacaktır. Bilgi güvenliği de siber güvenlik de bilgi sistemlerini ve altyapılarının güvenliğini sağlamak için uygulanan temel ilkeler olarak tanımlanırken, iki yaklaşım da bilginin gizliliği, erişilebilirliği ve bütünlüğü ile ilgilenir. • • Bilginin gizliliği: Bilginin yetkisiz kişilerin eline geçmemesi, Bilginin erişilebilirliği: Bilginin ilgili ya da yetkili kişiler tarafından ulaşılabilir ve kullanılabilir olması, • Bilginin bütünlüğü: Bilginin yetkisiz kişilerce değiştirilmemesi. Ancak uzun zamandır kullanılan bilgi güvenliği terimi hem çevrimiçi hem de çevrimdışı ortam için geçerli olmasına rağmen, siber güvenlik terimi internet bağlamında şekillenmiş bir güvenlik anlayışıdır. Dolayısıyla siber güvenlik teriminin varsaydığı tehlikeler bilginin gizliliğine yönelik olduğu kadar bilginin erişilebilirliği ve bütünlüğüne de yöneliktir. Bu rapor dâhilinde genel güvenlik kavramından bahsederken bilgi güvenliği terimi, siber uzaydaki tehdit ve tehlikelerden bahsederken siber güvenlik terimi kullanılacaktır. 2.1.1 Bilgi güvenliği algısının değişimi ve siber güvenlik Bilgi güvenliği ilk önce sadece fiziksel güvenlik kavramı ile sınırlı iken teknolojilerin gelişmesi ve birbirleri ile etkileşimli hale gelmesinin sonucunda çok daha kapsamlı bir algıya bürünmüş ve çok farklı boyutlar edinmiştir. Bilgilerin korunması geçmiş yüzyıllarda da bir güvenlik sorunu olarak değerlendirilmiş, ancak güvenlik algısı bilginin bulunduğu fiziksel belgelerin korunması ile sınırlı kalmış, benzer bir şekilde teknoloji çağının başlangıcındaki donanımların henüz birbirleri ile iletişim kuramadığı dönemlerde de bilgi güvenliği kavramı bu fiziksel güvenlik anlayışının ötesine geçmemiştir. 1960’larda yapılan yatırımlarla birlikte bilgisayarların birbirleri ile iletişim kurması sağlanmaya çalışılmış, ARPANET projesi sayesinde de ilk defa bilgisayarlar güvenilir bir ağ üzerinden birbirleri ile veri paylaşımına başlamıştır. Bilgisayarların birbirleri ile etkileşebilmesi ile birlikte güvenlik açıkları da ortaya çıkmaya başlamış, veri koruma ilkelerinin tutarsızlığı, şifrelerin kolaylığı, dıştaki sistemlere bağlantıların korunmamış olması sonucunda bilgisayar sistemlerine saldırılar gerçekleşmiştir. Bu saldırıların üzerine 1970’lerin başında 8 yayınlanan belgeler2 ile bilgi güvenliğinin artık sadece donanımların fiziksel korunmasının ötesinde bilgi, kullanıcı ve sistem güvenliğine odaklanmasına gerektiği, bilgi güvenliği konusunda saldırı sonrası değil daha kapsamlı kurumsal güvenlik anlayışının benimsenmesi gerektiği belirtilmiştir. Özellikle kişisel bilgisayarların yaygınlaşması ile birlikte kullanıcıların sayısı ve bilgisayarların kullanım derinliği artmış, kişisel bilgisayarlar internete bağlandıkça var olan bilgi miktarı ve bu bilgiler üzerinden yürütülen işlemler katlanarak büyümüştür. İnternet üzerinden sürdürülen sosyal ve ekonomik etkinlikler büyük bir hızla artmış, internet tabanlı çözümlerin artması ile bilgisayar dışında pek çok cihaz da bu ağa bağlanmış, çok geniş bir “siber uzay” oluşturmuştur. Bu değişim sonucunda siber uzaydaki her unsur birbiri ile etkileşimli hale gelmiş, dolayısı ile bilgi güvenliği konusunu daha dar anlamdan çıkartıp, her türlü saldırganın çok çeşitli tehditlerinin olduğu, saldırıların fark edilmesinin ve anlaşılmasının çok zor olduğu daha geniş bir anlama taşımıştır. Bilgi teknolojilerinin yaygınlaşması ile birlikte sosyal ve ekonomik düzenin de önemli bir parçası haline gelmeleri, bu teknolojileri kullanan ve bu sistemlerin devamlılığına dayanan varlıkları ve bilgi güvenliğinin ihlali durumunda doğacak zararı artırmıştır.3 2.1.2 Siber tehditlerin gelişimi ve günümüzdeki önemi Siber tehditlerin ve olası saldırıların yaygınlığı ve etkisi kamuoyunda gündeme geldiğinden çok daha büyüktür. Tüm saldırıların %1’inden az bir oranının hedef tarafından fark edilip bildirildiği tahmin edilmektedir; dolayısıyla tehlikenin algımızdaki boyutu ile gerçekteki boyutunun arasında bir uçurum olduğu söylenebilir. Söz konusu saldırılar geçtiğimiz yıla kıyasla %81 artış göstermiş olup, yeni teknolojilerde de siber tehdit unsurlarına rastlanmaya devam edilmektedir. Mobil cihazlarda bilinen güvenlik sorunları geçtiğimiz yıla oranla %93 artış göstermiştir. Kritik altyapıların %80’inin siber saldırılara maruz kaldığını ve kullanıcılara yönelik siber suçların dünya çapındaki maddi zararının 110 milyar dolar olarak tahmin edildiği düşünülürse; bu tehditlerin herkes için geçerli olduğu, hem bilişim teknolojilerini kullanan kurum ve kuruluşların, hem de bu teknolojileri kullanan bireylerin siber güvenlik konusuna ciddiyetle eğilmesi gerekmektedir. 2 United States the Department of Defense tarafından çıkartılan Security Controls for Computer Systems raporu. 3 Lewis University, “A Brief History of Information Security”, http://www.lewisu.edu/academics/ msinfosec/history.htm. 9 Şekil 2.1 Siber tehditlerin boyutu Bu tehditlerin sonuçları varsayılandan çok daha büyük boyuttadır Ancak bilinen vak’alar buz dağının sadece görünen yüzü < 1% Hedef tarafından fark edilen ve bildirilen siber saldırılar 81% Geçen yıla kıyasla siber saldırılardaki artış 93% Mobil cihazlarda bilinen güvenlik açıklarındaki artış 80% Siber saldırılara maruz kaldığını bildiren kritik altyapı sağlayıcıları 110 milyar dolar Kullanıcılara yönelik siber suçların neden olduğu maddi zarar, 2012 KAYNAK: Internet Güvenlik Tehdidi Raporu 2012; McKinsey Siber Güvenlik Çalışması, Norton Siber Suç Raporu 2012 Son yılların en ünlü siber saldırılarından biri olan ve İran’ın nükleer tesislerine yapılan Stuxnet saldırısı, söz konusu tehditlerin neden olabileceği hasarın çok net bir göstergesidir. 2010 Haziran ayında fark edilen, çok gelişmiş özelliklere sahip Stuxnet solucanı, endüstriyel sistemlerin içerisinden bilgi sızdırabilen ve bu sistemlere fiziksel zarar verebilen ilk zararlı yazılım olarak kabul edilmektedir. İran’ın ambargo altında kullandığı Siemens sistemlerine giren Stuxnet solucanı, bilgisayarlara ve ağlara zarar vermeden ve fark edilmeden yayılıp, Natanz nükleer reaktöründeki santrifüjlere ulaşmış ve tüplerin dönüş hızını değiştirerek, toplamda 1.000 tane tüpü etkisiz hale getirmiştir. Bu saldırı sonucunda fark edilmeden sistemlere nüfuz edebilen yazılımların, nükleer reaktörler gibi çok kritik fiziksel sistemlerin işlerliğini bile etkileyebildiği görülmüştür.4 Söz konusu siber tehditler pek çok farklı kişi tarafından, farklı amaçlar ve yöntemlerle yapılabilmektedir. Bu saldırılar istihbarat servisleri gibi ileri seviye tekniklere hâkim gruplar tarafından da yapılabildiği gibi, fırsatçı bireyler tarafından da yapılabilmektedir. Saldırılar uygulamalara, ağlara ya da fiziksel olarak erişim yoluyla gerçekleşmekte, bazen de yasal erişim ya da sistem hataları sonucunda oluşabilmektedir. Bu saldırılar bazen belirli bilgilerin çalınması 4 Der Spiegel (8 Ağustos 2011). "Mossad's Miracle Weapon: Stuxnet Virus Opens New Era of Cyber War" 10 ve kazanım sağlanması için yapılırken, bazen de sistemlere hasar vermek amacıyla yapılmaktadır. Saldırıların doğasındaki bu farklılıkları anlamak, risk algısının daha doğru yapılması ve alınacak önlemlerin de daha isabetli belirlenmesine yardımcı olacaktır (Tablo 2.1). Tablo 2.1 Siber tehditlerin yapısı Kim? • Ulusal istihbarat servisleri Tehdit teşkil eden kötü niyetli oyuncular • Rakipler • Organize suç örgütleri • Siber teröristler • Taraftar grupları ve Sivil Toplum Kuruluşları • Bilgi satanlar (örn. çalışanlar, taşeronlar) • Bireyler/küçük fırsatçı grupları Nasıl? • Kullanılabilecek saldırı doğrultuları Uygulama penetrasyonu (örn. harici olarak kullanılabilen uygulamalara erişim) • Ağ (Şebeke) penetrasyonu (örn. uzaktan erişim, kimlik avı, kötü niyetli site ya da e-postalar) • Fiziksel penetrasyon (örn. USB anahtar, personelin tayin edilmesi) • Yasal erişim • Hatalı kullanım / sunucu hatası • Sabotaj • Siber casusluk • Siber para sızdırma • Siber dolandırıcılık • Siber takip • Siber terörizm • ‘Hack’tivizm • Çok boyutlu zarar Kötü niyetli oyuncuların gerçekleştirmek istediği hedefler 11 Tehdit teşkil eden kötü niyetli oyuncular çok farklı özelliklere sahip olabilmektedir ve bilgi sistemlerinin niteliği değiştikçe öne çıkan siber tehditler ve saldırganlar da değişmektedir. Özellikle bilgi sistemlerinde muhafaza edilenlerin değeri arttıkça ve bu sistemlere dayalı çalışan altyapılar yaygınlaştıkça, yapılan saldırıların saldırgan için kazanımı ve mağdur için zararı daha büyük boyutlara ulaşmaktadır. Dolayısıyla, saldırılar daha büyük etki yaratabildiği için, geçtiğimiz yıllar içerisinde zengin kaynaklardan yararlanan yüksek yetkinliğe sahip saldırganlar artmaya, saldırı yöntemleri daha ısrarcı ve etkili olmaya, dolayısıyla da olası saldırıların bilgi sistemleri ve altyapılarına yönelttiği tehditler daha da tehlikeli hale gelmeye başlamıştır. Günümüzde saldırganları yetkinliklerine göre ayrıştırmak mümkündür (Tablo 2.2). Tablo 2.2 Saldırgan çeşitleri ve motivasyonları a) Yüksek yetkinliğe sahip saldırganlar ve motivasyonları Politik: Bir ulusun duruşunu geliştirmek, etki oluşturmak Devlet veya işletme destekli oluşum Ekonomik: Rekabetçiliği geliştirmek Mali: Devlete ait varlıklara mali avantaj kazandırmak Mali: Kar ederek satılabilecek ya da dolandırıcılık/ihaleye fesat Organize Suç karıştırma/şantaj için kullanılabilecek veri ve bilgileri toplamak, suç gelirlerinin aklanmasında kullanılabilecek verileri toplamak b) Orta yetkinliğe sahip saldırganlar ve motivasyonları Hacktivist gruplar Politik: Üretkenliğe zarar vermek, organizasyonun itibarını zedeleyecek hasarlar vermek, internet sitesini tahrip etmek Kurumsal rakipler (devlet desteği olanlar hariç) Mali: Avantaj elde etmek üzere ticari sır ve bilgi hırsızlığı; İçerideki çalışmaları öğrenmek için iletişim hırsızlığı, haksız rekabet 12 c) Düşük yetkinliğe sahip saldırganlar ve motivasyonları Taraftar grupları Kasıtlı bilgi satanlar Politik: bilgi toplama yoluyla belirli nedenleri geliştirmek Organizasyonu cezalandırmak Mali: Bilgi karşılığı ücret almak Fırsatçılar Övünme: Bir hack eylemini gerçekleştiren saldırganın sosyal çevresi tarafından övgüyle karşılanması Mali: Bilginin satış açısından potansiyel getirisi Düşük yetkinliğe sahip saldırganlar çoğunlukla bilinen sistem açıklarını istismar etmekte ve önemli sistemlerin ileri seviye güvenlik önlemlerini geçememektedir. Bu saldırılar daha çok bilinçsiz kullanıcıları hedef almaktadır. Bilişim sistemlerinin kullanımının kolaylaşması ile basit saldırılar da kolaylaşmış ve yaygınlaşmıştır. Orta yetkinliğe sahip saldırganlar ise teknik olarak daha yetkin ve pek çok kullanıcının basit güvenlik önlemleri ile engelleyemeyeceği saldırılar gerçekleştirmekte, önemli maddi hasarlar verebilmektedirler. Dünya çapında son yıllarda, özellikle Anonymous grubunun saldırıları ile daha sık duyulan, kurum ve kuruluşlara manevi zararlar vermeyi amaçlayan “hacktivist” saldırılar da bu kategoriye girmektedir. Bu saldırılara bakıldığında, kamuoyunun doğrudan erişimine açık olmayan belgelerin ifşa edilmesinin en çok kullanılan eylem yöntemlerinden birisi olduğu görülmektedir. Yüksek yetkinliğe sahip saldırganlar ise diğer iki gruptan çok daha farklı bir tehdit algısı yaratmaktadır. Bu tehditler daha önceden bilinmeyen sistem açıklarını hedef almakta, güvenlik yazılımlarını kandırabilmekte, belli bir hedefe yönelik olarak ısrarla ilerleyebilmektedir.5 Zengin kaynaklardan yararlanarak ve çok gelişmiş tekniklerle hayata geçirilen tehditlerin sadece siber güvenlik yazılımları ile önlenmesi çok zordur ve olası saldırıların sonuçları ise çok büyük boyutlara ulaşabilmektedir. 5 Stuxnet solucanı, daha önceden bilinmeyen dört adet sıfır gün açığı (var olduğu bilinmeyen açıklar) kullanmış, manin-the-middle tekniği ile sistemin tehdidi sezip kendi kendini kapatmasına mani olmuştur. Broad, William J.; Markoff, John; Sanger, David E. (15 January 2011). "Israel Tests on Worm Called Crucial in Iran Nuclear Delay". New York Times. 13 Saldırganların söz konusu şekilde farklılaşmasına bakıldığında mevcut siber tehditler arasında temel saldırıların otomasyonu ve saldırganların uzmanlaşması iki kritik eğilim olarak ortaya çıkmaktadır: Temel saldırıların otomasyonu: Saldırı senaryolarına bilinen zayıf noktalar rahatlıkla eklenip hızlandırıldıktan sonra daha az tecrübeli saldırganlar için saldırı yapmak kolaylaştırılmakta ve bunun yanında aynı anda birçok hedefe otomatik ve sistematik olarak saldırabilecek sistemler ve robotlar programlanabilmektedir. Örneğin “Microsoft Windows RPCSS DCOM Interface Denial of Service Vulnerability” açığı, 2008’de fark edilmiş ve yaması sunulmakta olmasına rağmen, 2011 yılında 61,2 milyon saldırıya uğramıştır.6 Temel saldırıların otomasyonu ile birlikte temel zayıflıkların fark edilmeme olasılığı ortadan kalkmıştır. Dolayısı ile sistemlerin ve altyapıların güvenlikleri için kapsamlı ve güncel önlemlerin alınması, koordinasyon içerisinde korunması ve her sistem kullanıcısının gerekli önlemleri sürdürebilecek belli bilinç seviyesine çıkartılması gerekmektedir. Saldırganların uzmanlaşması ve profesyonelleşmesi: Elektronik platformlar, dünya çapındaki saldırı uzmanlarını bir araya getirmekte ve belirli yeteneklerin paylaşılmasına sağlamakta, aynı zamanda daha eğitimli olan saldırganlar arasında bir rekabet ve gelişme ortamı yaratmaktadır. Gizli servisler gibi maddi imkanları yüksek organizasyonların da eğitmeye ve desteklemeye başladığı bu saldırganlar, artık belirli saldırı yöntemleri üzerinde uzmanlaşabilmekte ve aynı zamanda uzun vadeli kampanyalar ve çok platformlu saldırıları planlayıp gerçekleştirebilecek imkan ve beceriyi de bulabilmektedir. Saldırganların uzmanlaşması ve profesyonelleşmesinin sonucunda ise kurum ve kuruluşlar daha ciddi tehlikelerle karşı karşıya kalmaktadır. Son yıllarda bu gibi pek çok örneğe rastlanmıştır: • Üst düzey sistem yöneticisinin hedeflenmesi ve böylece müşteri verilerinin çalınması için kamusal bilgilerin kullanılması: Siber suçlular, üst düzey sistem yöneticisinin kamusal internet faaliyetlerini teşhis etmiş ve izlemişler, Facebook hesabına yüklediği bilgilerden yararlanarak şifresini bulmuş ve dizüstü bilgisayarına, klavyede bastığı tuşları kaydeden bir uygulama yüklemişlerdir. Tuşa basma uygulaması ile farklı bilgi sistemlerinin şifreleri ve önemli müşterilerin bilgileri ele geçirilmiştir. Müşteri bilgileri indirilmiş ve fidye verilmemesi durumunda bilgilerin internete yükleneceği belirtilmiştir. 6 Symantec (2011) Internet Security Threat Report, Volume 17 14 • Kötü niyetli yazılım kullanımıyla önceden hedef olarak belirlenmiş gizli verilerin çalınması: Üst düzey yöneticiler, madencilik ile ilgili görüşmeler yapmak üzere yabancı bir ülkeyi ziyaret ettiklerinde, ekip üyelerinden bir kısmı otel odalarında bulunan ve üzerinde şirketlerinin logosu olan USB bellekleri – şirket tarafından verildiğini düşünerek – kullanmıştır. Sonradan bu belleklerin kötü niyetli yazılım içerdiği tespit edilmiştir. Yabancı istihbarat örgütü, bu program yoluyla, görüşmeyi yapacak olan ekibin gizli epostalarına erişim elde etmiş ve anlaşmanın diğer tarafı, maliyet yapılarını öğrenmiştir. Temel saldırıların artmasına yönelik evrimleşme sonucunda yeteri güncellemelerin yapılmadığı ve bilinçli bir şekilde kullanılmayan sistemlere yönelik tehditler daha da yaygınlaşmıştır. Bu tehdit çok daha geniş bir kullanıcı havuzuna yöneliktir, ancak sistemlerde büyük sorunlar yaratabilecek cinsten değildir. Fakat saldırganların uzmanlaşması değerli varlıklara bağlı sistemleri özel olarak ve çok daha yetkin tekniklerle tehdit etmektedir. 2.1.3 Kritik altyapıların bilgi güvenliği Siber uzayın güvenliğine kast eden tehditlerin sosyal ve ekonomik düzende kilit rol oynayan bilişim sistemlerine yöneltilmesi ise olası zararları etkisini çok büyük boyutlara ulaştırabilecektir. Örneğin bir ülkenin elektrik ağına yapılacak bir siber saldırı sonucunda tüm şehirde hayat duracak, nükleer tesislere yapılacak siber saldırılar sonucunda doğal bir felaket doğabilecek, sonuç olarak siber saldırı ile milyonlarca insanın hayatı ciddi anlamda etkilenebilecektir. İşlevlerini yerine getiremediği takdirde sosyal ve ekonomik düzenin işlerliğini zayıflatacak olan bu fiziksel ve sayısal altyapılara kritik altyapılar denir. Kritik bilgi altyapıları ise, kritik altyapıları destekleyen bilgi ve iletişim teknolojileri unsurları olarak veya ulusal ekonomi ve devlet fonksiyonlarının düzgün işlemesi için gerekli bilgi ve iletişim teknolojileri altyapıları olarak tanımlanmaktadır. Kritik altyapıların kapsamı ülkeden ülkeye farklılaşmakta, her ülkenin kendi bağlamında değerlendirip devlet düzeni ve toplumsal düzenin işlerliğinin devamı açısından kritik önem taşıyan sistemler seçilerek tanımlanmaktadır (Ek 5.1). ABD, AB ve Japonya’da geçerli olan kritik altyapı tanımlamalarında bazı ortak unsurlar ön plana çıkmaktadır: • • • Enerji, Bilgi ve iletişim, Tarım, gıda ve su, 15 • Kamu düzeni, • • • Ulaşım, Finans, Sağlık hizmetleri. Yukarıda bahsedilen yüksek yetkinliğe sahip siber saldırganların kabiliyetlerinin bu kritik altyapılara hasar vermeye yönelmesi sosyal ve ekonomik düzene çok ciddi darbe vuracaktır. Geçmişte bu yönde saldırılar meydana gelmiştir: • • • 2007 yılında Rusya tarafından kamu hizmetlerinin çok büyük bölümünün elektronik ortamda verildiği Estonya’daki bilişim sistemlerine yönelik siber saldırılar başlamış ve temelde kamu hizmetlerini hedef alan bu saldırılar dolayısıyla Estonya’da hayat durma noktasına gelmiştir.7 Brezilya’da 2007 yılında elektrik sistemine yapılan siber saldırı sonucunda 3 milyon kişi iki gün elektriksiz kalmıştır.8 1998 yılında Kosova’yı işgal eden Sırplara yönelik ABD – NATO hava harekatı öncesinde Hava Savunma Sistemlerinin kontrolü ele geçirilmiş ve sistem kilitlenmesine yol açılmıştır.9 Bu kritik altyapılara yapılan saldırılar, saldırganların yetkinliğinin artması ve bilişim sistemlerinin kritik altyapıların çok daha büyük bir parçası olması ile birlikte önümüzdeki yıllarda daha da artan bir seviyede zarar verecek, sosyal ve ekonomik düzeni sekteye uğratacaktır. 2.2 Devletlerin uyguladığı siber güvenlik stratejileri Bir bireyin kişisel bilgisayarının kötü yazılımlar tarafından çökertilmesi veya ihaleye girecek bir şirketin ticari sırlarının çalınması toplumun tamamını ilgilendiren olaylar olarak görülmeyebilir ve devletin toplum adına bütünsel önlemler almasını gerektirmeyebilir. Ancak, bilgi teknolojilerinin yaygınlaşması ile birlikte kritik altyapılar gibi sosyal ve ekonomik düzenin parçası olan sistemlerin de siber tehdit altında olması ve bazı kritik altyapıların özel sektörün elinde bulunması devletlerin bu konuda bütünsel tedbirler almasını zorunlu hale getirmiştir. 7 The Guardian, Rusya Estonya’ya Karşı Siber Savaşla Suçlanıyor, http://www.guardian.co.uk/ world/2007/may/17/topstories3.russia, Ulusal ve uluslararası boyutlarıyla siber Güvenlik, Ulusal ve Uluslararası Boyutlarıyla Siber Güvenlik. 8 CBS News (2010) Cyber War: Sabotaging the System http://www.cbsnews.com/stories/2009/11/06/ 60minutes/main5555565.shtml. 9 Hancock, B., “Güvenlik Bakışları”, Computers & Security, Sayı 18, 1999, s. 553 – 64. 16 Siber güvenliğin gittikçe önem kazandığı bu ortamda özellikle gelişmiş ülkeler, artan oranlarda siber güvenlik harcamaları yapmaktadır. 2009 yılında bu konuda önde gelen ülkelerdeki10 siber güvenlik pazarının toplam büyüklüğünün 5,3 milyar dolar olduğu ve bu rakamın 2014 yılında 8,2 milyar dolara çıkacağı tahmin edilmektedir. Bu dönemde devletlerin yaptığı siber güvenlik harcamalarının boyutunun ise 0,75 milyar dolardan yıllık %8 büyüyerek 1,13 milyar dolara çıkması beklenmektedir. Bu artış içerisinde ağ güvenliği ile kimlik ve erişim yönetimi harcamalarının %7 ile büyümesi beklenirken, güvenlik ve zayıflık yönetimi ile diğer siber güvenlik harcamalarının ise %11 oranında büyümesi beklenmektedir (Şekil 2.2). Şekil 2.2 Devletlerin siber güvenlik harcamalarının kategorik dağılımı Devletlerin siber güvenlik harcamaları her kategoride artmaktadır Pazar büyüklüğü, seçili ülkeler için 1 Milyon dolar Devletlerin siber güvenlik harcamaları Toplam siber güvenlik harcaması YOBB Yüzde 8.207 5.267 7.078 Diğer Devlet harcamaları %9 4.516 751 1.129 2009 2014 %8 YOBB Yüzde Ağ güvenliği 349 487 Kimlik ve erişim yönetimi 162 222 %7 Güvenlik ve zayıflık yönetimi 125 211 %11 Diğer güvenlik yazılımları 121 208 %11 2009 2014 %7 1 ABD, Japonya, Almanya, Fransa, İngiltere, İspanya, Kanada, Hindistan, Avustralya, Hollanda, İsviçre, Belçika, İsveç, Norveç, Suudi Arabistan, Danimarka, Brezilya, Türkiye Kaynak: IDC, Gartner, basın taraması, McKinsey analizi Siber tehditlerin sosyal ve ekonomik düzeni etkiler hale gelmesi sonucunda devletler siber güvenlik konusuna öncelik vermeye ve bu yönde gereken önlemleri almaya başlamıştır. Tehdidin yetkinliği, kapsamı ve miktarı arttıkça, pek çok gelişmiş devlet bu dinamik teknolojik tehlikeler konusunda stratejik bir yaklaşım belirlemiştir. 10 ABD, Japonya, Almanya, Fransa, İngiltere, İspanya, Kanada, Hindistan, Avustralya, Hollanda, İsviçre, Belçika, İsveç, Norveç, Suudi Arabistan, Danimarka, Brezilya, Türkiye 17 Siber güvenlik konusunda stratejik yaklaşım gerekliliği Siber güvenlik konusu evrensel, çok yönlü ve dinamik bir mücadele olduğu için toplumun bilgi sistemlerine güvenebilmesi için ancak kapsamlı ve tüm paydaşların bir araya geldiği önlemler etkili olabilecektir. Bu kapsamlı yaklaşımın getirdiği stratejileri de devletler kendi içlerinde, ellerindeki hukuki, ekonomik ve diplomatik yöntemlerle gerçekleştirebilmektedir. Nitekim devletlerin siber güvenliği bir politik öncelik haline getirip etkin bir strateji takip etmesini şart hale getirmiştir. Diğer ulusal güvenlik stratejilerinin ülkeler için kritik öneme sahip olması gibi siber güvenlik stratejisi de siber uzayın güvenliğini sağlayarak günlük hayat, ekonomi, ulusal güvenlik, yenilik ve veri akışı için kritik önem taşıyan bilgi teknolojilerinin etkin ve verimli bir şekilde kullanılmasını sağlamaktadır ve dolayısı ile ulusal güvenlik anlamında öncelikli bir sorumluluk haline dönüşmüştür. Bu sorumluluğu yerine getirme aşamasında hem özel sektörün hem de bireylerin dâhil olmasından dolayı paydaşların genişlemesi stratejik bir yaklaşımı zorunlu kılmaktadır. Bu stratejik yaklaşım devleti tek başına çalışan bir aktör olarak değil, daha ziyade mevcut siber tehdit ortamı ile daha güçlü olarak mücadele edebilecek bir şekilde önderlik eden ve koordine eden bir rol biçmektedir. Ayrıca bu bütünsel yaklaşım kapsayıcı olmasından ötürü, siber tehdit altındaki bütün unsurların kabiliyetlerinin gelişmesini sağlamakta ve paydaşlar arasındaki bilgi paylaşımı ve işbirliğini destekleyici bir sistem kurmakta ve siber güvenlik için büyük önem arz eden bir ihtiyaca da cevap vermektedir.11 Bu gereksinimlerden ötürü de gelişmiş ülkelerin büyük bölümü siber güvenlik için strateji hazırlığına önem vermişlerdir. Bu çalışmalar içerisinde farklı önceliklere sahip olabilmelerine rağmen bu stratejik yönelimler içerisinde altı alt eksene değinmişlerdir (Şekil 2.3): 11 ITU National Cybersecurity Strategy Guide 18 Şekil 2.3 Siber Güvenlik Stratejilerinin Alt Eksenleri Devletlerin siber güvenlik stratejilerinin 6 alt ekseni vardır 1 Düzenlemeler 6 Uluslararası işbirliği 2 Uygulama Siber Güvenlik Stratejileri 5 Ar-Ge yatırımları ve uzman yetiştirme 2.2.1 3 Yönetişim ve koordinasyon 4 Toplumsal farkındalık Düzenlemeler: Bu alt eksen, devletlerin bilgi güvenliğini tesis edecek yapılanma ve uygulamaları düzenleyen strateji belgeleri, kanun ve yönetmeliklerini ve söz konusu mevzuatın kapsamını içerir. Bu konudaki temel mevzuat genelde stratejik bir bakış açısına sahip olmakta, denetim mekanizmalarını kurgulamakta, sorumluları ve rolleri açıkça belirlemekte ve kamunun ve özel sektörün haklarını düzenlemektedir. Aynı zamanda, bu alt eksen kapsamındaki düzenlemeler temel kavramların oturtulduğu, kritik altyapılar gibi kilit tanımlamaların yapıldığı ve kritik altyapılar konusunda stratejinin ortaya konduğu kısımdır. 2.2.2 Uygulama: Bu alt eksen, düzenlenen mevzuatın ilgili kişi ve kurumlar tarafından hayata geçirilişini ve bu uygulamanın sonucunda kamu, özel sektör ve bireyler bazında siber tehditlere karşı bilgi 19 güvenliğinin sağlanmasını içerir. Aynı zamanda saldırı anında uygulanacak olan eylem planının etkinliği, bu tür saldırılar sırasında yaşanmış tecrübeler de bu alt eksenin kapsamına girmektedir. Kritik altyapıların tanımı ve kapsamı düzenlemeler ile belirlendikten sonra bu kapsamdaki varlıklar için siber güvenlik adımları atılması gerekmektedir. Devletler kritik altyapılarına gelebilecek saldırıları ve olası sonuçları göz önünde bulundurarak kapsamlı güvenlik önlemleri almaktadır. 2.2.3 Yönetişim ve koordinasyon: Yönetişim, mevzuatın öngördüğü uygulamadan ve denetlemeden sorumlu yapılanma tasarımını, bu yapılanmanın kapsamını, müdahillerini ve kendi aralarındaki ilişkilerini içerir. Koordinasyon görevi ise, bilgi güvenliği konusunda çalışan değişik kurum ve kuruluşların birikimlerinin paylaşılması ve kaynakların koordinasyonu için öngörülen düzeni, bu düzenin kapsamı ve imkânlarını içerir. Özellikle dağınık ve özerk olarak genişlemiş yönetişim unsurlarının kendi alanlarında derinleşmesi ve belli birikim ve kaynaklara sahip olması nedeniyle, eldeki imkânların daha verimli kullanılması önemli bir konu olmuştur. Ayrıca sistematik risklerin çözülebilmesi ve unsurlar dışı zayıflıkların görülebilmesi de ancak başarılı bir koordinasyon ile mümkün olabilmektedir. Bu anlamda yönetişim ve koordinasyon birimlerinin kompozisyonu, dolayısıyla bu aşamalarda hangi paydaşların müdahil olduğu önemli bir konu olmuştur. Siber güvenlik konusunun doğasından ve paydaşların çokluğundan ötürü, pek çok ülke yönetişim ve koordinasyon içerisinde olabildiğince çok paydaşı kullanmaya ve onların kaynaklarından yararlanmaya yönelmiştir. Bu doğrultuda özellikle kamu-özel işbirliği modelleri ön plana çıkmaktadır. 2.2.4 Toplumsal farkındalık Bu alt eksen kurum ve kuruluşların çalışanları ve yöneticilerinin siber güvenlik konusunda bilinç seviyesini ve toplumda var olan farkındalığı, söz konusu bilinç seviyesinin artırılmasını ve kapsamlı bir siber güvenlik kültürü oluşturulmasını içerir. Teknik ve kurumsal önlemler alınmasına rağmen kullanıcıların dikkatli davranmaması, kişisel bilgisayarlarının veya cihazlarının güvenliği için gereken adımları atmaması veya sosyal ve ekonomik düzene zarar verebilecek saldırılara ve bu saldırıları düzenleyen saldırganlara karşı gerekli toplumsal tepkinin doğmaması gibi olası durumların sonucunda siber güvenlik tehlikeye düşebilecektir. Bilgi güvenliği konusundaki farkındalık ve bilinç iki boyutta incelenebilmektedir: 20 • Bireylerin bilgi güvenliği bilinci ve güvenli kullanım becerileri, • Toplumsal ve kurumsal bilgi güvenliği bilinci, bu konuya verilen öncelik ve bu yönde geliştirilen kabiliyetler, Pek çok ülkede bireylerin farkındalığını artırmak ve mağduriyetleri azaltmaya yönelik çalışmalar internetin yaygınlaşmasına paralel olarak ilerlemiştir. Bu konudaki çalışmalar daha çok Güvenli İnternet başlığı altından incelenmektedir. Toplumsal ve kurumsal bilgi güvenliği bilinci ise bireysel farkındalıktan yükselmesine rağmen daha bütünsel anlamda bilgi güvenliği kültürünün artırılmasına yönelik çalışmalarla da desteklenmiştir.12 2.2.5 Ar-Ge yatırımları ve insan kaynakları: Bu alt eksen gerekli teknolojik araştırma ve geliştirmeyi yapabilecek kamu kurumları, özel kurumlar, sivil toplum kuruluşları ve üniversitelerin çalışmalarını, kabiliyetlerini ve bu yönde onlara sunulan maddi imkânları içermekte, koşut olarak da bu çalışmaları yürütebilecek veya çalışmalara destek olabilecek insan kaynaklarının durumunu ve uzman yetiştirme politikasını içermektedir. Zira olası saldırganların kabiliyetleri arttıkça ve siber tehditler daha gelişmiş bir hal aldıkça, bilgi güvenliği için gereken yetkinlik seviyesi de artmakta ve bu konuda yapılacak araştırma ve geliştirme çalışmalarına ihtiyaç da artmaktadır. 2.2.6 Uluslararası işbirliği: Bu alt eksen uluslararası bilgi güvenliği çalışmalarına katılımı ve bu işbirliklerinin sonuçlarını içerir. Günümüzde siber tehditlerin uluslararası boyut kazandığı, saldırıların ulusal sınırlarla sınırlı kalmadığı, dolayısı ile önlemlerin ulusal sınırlarla sınırlı kalamayacağı düşünülürse, bu konuda devletlerarası işbirliğinin önemi daha da ön plana çıkmaktadır. 2.3 Siber güvenlik stratejilerindeki eğilimler Bu alt eksenlerde takip edilen yolları incelediğimizde ülkelerin siber güvenlik stratejilerinin üç ayrı modele yöneldiği görülmektedir. Küresel örnekler raporunda daha detaylı bir şekilde incelenecek bu modellerin her biri mevcut siber güvenlik sorunlarına değişik yaklaşımlarla geçerli çözümler oluşturmakta ve Türkiye’deki mevcut eğilimin ve unsurlarının değerlendirmesi için faydalı bir çerçeve sunmaktadır (Şekil 2.4). 12 OECD, 2002, OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security 21 • Model 1, Hollanda’da uygulanan siber güvenlik stratejisi üzerine oluşturulmuştur. Bu modelde temel haklara ve internetin açıklığına vurgu yapılmakta, güvenlik için herkese sorumluluk yüklenmekte, saldırı öncesi bilinçlenme ile önlemler alınmakta ve saldırı sonrasında sistemlerin işlerliğinin devam etmesine odaklanılmaktadır. Yönetişim ve koordinasyon sürecine olabildiğince çok paydaş dahil edilmekte, kamu-özel işbirliği ve uluslararası işbirlikleri sayesinde eldeki kaynaklar ve birikim artırılmaya çalışılmaktadır. • Model 2, Almanya’da uygulanan siber güvenlik stratejisi üzerine oluşturulmuştur. Bu modelde kritik altyapıların güvenliğine odaklanılmış, siber güvenlik stratejisinin ekonomik hayat için bir ön şart olması vurgulanmıştır. Sistemlerin güvenliği için her türlü önlemin alınması, gerçek zamanlı farkındalık kabiliyetleri ve sistemlerin saldırı sırasında Şekil 2.4 Siber güvenlik stratejisi modelleri Önceliklere göre, mevcut ulusal siber güvenlik stratejileri iki yönde ilerlemektedir Avustralya Özgürlük odaklı yaklaşım Estonya Hollanda Kanada Slovakya Finlandiya Almanya Toplumsal Farkındalık Ar-Ge ve uzmanlık Uluslararası işbirliği Almanya: Sistemlerin korunması Fransa: «Siber savunmada dünya lideri olmak» Arttırılmış farkındalık ve yetkinlikler yoluyla önleme Saldırı sonrası devamlılık ▪ ▪ ▪ ▪ Güvenli sistemler yoluyla önleme Gerçek zamanlı farkındalık Tepki yetkinliği Saldırı sonrası devamlılık ▪ Yüksek işbirliği, tüm paydaşları kapsamaktadır Kamu-özel ortaklıkları ▪ Altyapı paydaşları dahil edilmiştir ▪ Kamu kuruluşları – ve askeri-merkezcil yönetişim ▪ Toplumsal farkındalığın ötesinde toplumsal sorumluluk ▪ Tüm sistemlerin güvenliğini sağlayacak kapsamlı güvenlik kültürü ▪ Toplumsal farkındalığı artırma çalışmaları ▪ Ar-Ge alanında müşterek yatırımlar ▪ Kapsamlı güvenli sistem yatırımları, ve teknolojileri ▪ ▪ Teknolojik gelişme ve yetkinliklere yüksek kamu yatırımları Ulusal uzmanlık geliştirilmesi ▪ ▪ Aktif uluslararası işbirliği Uluslararası uygulamalar ▪ ▪ ▪ ▪ ▪ Oldukça aktif uluslararası işbirliği Uluslararası uygulamalar Kritik altyapı güvenliğinin düzenlenmesi Sistemlerin güvenliği vurgulanmaktadır 3 ▪ ▪ ▪ ▪ Yönetişim ve koordinasyon 2 Fransa Minimal düzenlemeler, özdüzenlemeler teşvik edilmektedir Temel haklar ve internetin açıklığı vurgulanmaktadır ▪ Uygulama ABD İspanya 1 Hollanda: «İşbirliği yoluyla başarı» Düzenlemeler Egemenlik odaklı yaklaşım İngiltere ▪ ▪ ▪ ▪ Aktif uluslararası işbirliği Uluslararası uygulamalar 22 ▪ ▪ Siber savunma gücü olmak için güçlü kanunlar Ulusal hükümdarlık vurgulanmaktadır Kapsamlı güvenlik önlemleri yoluyla önleme Gerçek zamanlı farkındalık Güçlü tepki yetkinliği ve sonrasında işlerliğine odaklanılmıştır. Devlet siber güvenlik konusunda sosyal ve ekonomik düzenin devamlılığını sağlamak için aktif bir rol almaktadır. • Model 3, Fransa’da uygulanan siber güvenlik stratejisi üzerine oluşturulmuştur. Bu modelde ülkenin her türlü saldırıya karşı egemenliğinin korunması için siber güvenlik anlamında da politik ve askeri gücünü artıracak adımları atması gerektiği vurgulanmıştır. Devlet önleyici adımlar yerine daha caydırıcı olmak üzerine adımlar atmakta, siber saldırganlar kadar yetkin uzman ekipler ile elindeki siber gücü artırmayı amaçlamaktadır. Paydaşlar yerine devlet sorumluluk üstlenmektedir. 2.4 Türkiye’deki mevcut durum Türkiye’de de kamu kurumlarında ve özel sektörde bilişim teknolojilerinin kullanımı gittikçe artmakta, toplumda hem bilgisayar ve internet kullanımı yaygınlaşmakta hem de bu kullanımın niteliği ve kapsamı artmaktadır. Bu eğilime paralel olarak olası siber tehditlerin verebileceği zararlar büyümekte, dolayısıyla bilgi güvenliği ihtiyacı artmaktadır. Kamuoyuna yansıyan saldırılar ülkemizdeki bilgi güvenliğinin ne kadar zayıf olduğunu göstermiş, bu konudaki ilk ciddi adım 2006-2010 yılı dönemini kapsayan Bilgi Toplumu Stratejisi ile birlikte atılmış, 2012 yılında Siber Güvenlik Kurulu’nun kurulması ile yeni bir evreye girilmiştir. Ülkemizde de kamuoyuna yansıyan haberler arasında kamu kurumlarının uğradıkları siber saldırılar önemli bir yer tutmaktadır. Söz konusu kurumlara yapılan saldırıların ağırlıkla orta yetkinliğe sahip hacktivist gruplar tarafından politik tepki amacıyla kurumların ve kuruluşların itibarlarını zedeleyici saldırılar olduğu görülmüş, sonucunda ortaya çıkan maddi zarar gündeme gelmemiştir (Ek 5.2). Bu hacktivist saldırılar arasında belgelerin ifşa edilmesine yönelik eylemler ön plana çıkmaktadır. Son zamanlarda bu saldırılar sonucunda pek çok kurum ve kuruluşun sistemlerinin oldukça zayıf olduğu ortaya çıkmış, zarar verme amaçlı saldırıların ne kadar kolaylıkla sonuca ulaşabileceği görülmüştür. Hacktivist saldırılar siber güvenlik konusundaki zafiyetleri ortaya sermeden önce de ülkemizde internet aracılığı ile siber saldırılar meydana gelmiştir. Örneğin, 2003 yılında internet kullanımının yaygınlaşması ile birlikte sanal bankacılığın da yaygınlaşması sonucunda pek çok siber saldırı meydana gelmiş ve binlerce kişi dolandırılmıştır.13 13 Hürriyet, Şubat 2007, Sanal banka mağdurları derneği kuruldu 23 Mevcut siber tehditler göz önüne alındığında, henüz ülkemizde kritik altyapıların ciddi bir hasara uğradığı saldırı olmamış olsa dahi, siber güvenliğin doğası gereği bu riskin varlığı da reddedilememektedir. Örneğin, İstanbul’un elektrik dağıtım sistemine yapılacak bir siber saldırı başarıya ulaştığı anda milyonlarca insanın elektriğe erişimi kesilecek, milyarlarca liralık ekonomik faaliyet sekteye uğrayabilecektir ya da MERNİS sistemine yapılacak bir siber saldırı sonucunda bu sistem üzerinde TC Kimlik Numarası kullanan binlerce işletme sorun yaşayacaktır. Nitekim orta yetkinlikteki saldırılarda dahi kolaylıkla güvenlik açıkları istismar edilebilen kamu sistemleri, istihbarat örgütleri gibi kaynakların desteklediği ciddi saldırılara karşı daha büyük zararlara yol açabilecektir. Nitekim geçmiş vakaların gösterdiği zayıflıklar 2011 yılında TÜBİTAK ve BTK’nın yaptığı ve 41 kurum ve kuruluşun katıldığı Ulusal Siber Güvenlik Tatbikatı esnasında da görülmüş ve “kurum ve kuruluşlarda bilgi güvenliği açısından azımsanmayacak miktarda açıklık olduğu” sonucu ortaya çıkmıştır. 14 Bu konulardaki ilk kapsamlı adımlar Devlet Planlama Teşkilatı Müsteşarlığı Bilgi Toplumu Dairesi tarafından hazırlanan ve 28 Temmuz 2006 tarihinde yürürlüğe giren 2006-2010 yılı dönemini kapsayan Bilgi Toplumu Stratejisi ve ek’i Eylem Planı ile birlikte atılmıştır. “Bilgi Güvenliği ile İlgili Yasal Düzenlemeler” başlıklı 87 numaralı eylem ve “Ulusal Bilgi Sistemleri Güvenlik Programı” başlıklı 88 numaralı eylem ile birlikte siber güvenlik konusunda adımlar belirlenmiştir. 2012 yılı içerisinde ise alınan Bakanlar Kurulu Kararı ile birlikte kamuda yer alan bilgi sistemlerinin güvenliğini sağlamaya yönelik önlemlerin alınması ve kritik altyapıların güvenliğinin düzenlenmesi göreviyle Siber Güvenlik Kurulu kurulmuştur. Söz konusu kapsamda ülkemizdeki siber güvenlik konusundaki mevcut durumu 6 alt eksen içerisinde incelenecektir. 2.4.1 Düzenlemeler: Ülkemizde bu konuda bazı kanun çalışmaları yapılmasına rağmen yasalaşan bir düzenleme olmamış, bu yöndeki çalışmaları yürütmek amacıyla Bakanlar Kurulu Kararı çıkartılmış, bankacılık ve telekomünikasyon sektörlerine dair düzenlemeler hayata geçmiştir. 2006-2010 dönemini kapsayan Bilgi Toplumu Stratejisi ile birlikte siber güvenlik konusunda kapsamlı adımlar atılmaya başlanmış, 2012 yılında çıkarılan Bakanlar Kurulu Kararı ile birlikte ise ulusal 14 Tatbikatın ikincisi 2013 Ocak ayında yapılmış ancak henüz bulgular yayınlanmamıştır 24 siber güvenliğin sorumluluğu yine bu karar ile kurulan Siber Güvenlik Kurulu’na verilmiştir. Siber Güvenlik Kurulu da Siber Güvenlik Strateji Belgesi ve 2013-2014 yıllarını kapsayacak eylem planı üzerinde çalışmaktadır. 2003 yılında Başbakanlık Personel ve Prensipler Genel Müdürlüğünün hazırladığı “Bilgi Sistem ve Ağları için Güvenlik Kültürü” konulu Başbakanlık Genelgesi, OECD Bilgi Güvenliği ve Kişisel Mahremiyet Çalışma Grubunun hazırladığı rehber ilkelerin bir çevirisi olup, bilgi güvenliği ile ilgili bilinç, sorumluluk, etik, demokrasi gibi hususlarda öneriler sunmaktadır. Bu genelge ülkemizde kapsamlı bir şekilde bilgi güvenliği kültürü ve yaklaşımı oluşturmak için kritik bir adım atmıştır. Siber güvenliğe yönelik kanuni çalışmalar uzun süredir devam etmiş, 1991’de Türk Ceza Kanunu’na “Bilişim Alanında Suçlar” başlığı altında düzenlemeler eklenmiş ve siber güvenlik yönünde mücadelede cezai yaptırımların belirlenmesi ile önemli bir adım atılmıştır. 1990’ların sonlarından 2006 yılına kadar Milli Savunma Bakanlığı bünyesinde yürütülen siber güvenlik çalışmaları ile hukuki boşluğu gidermeye yönelik Ulusal Bilgi Güvenliği Teşkilatı ve Görevleri Hakkında Kanun Tasarısı Taslağı hazırlanmış, ancak üzerinde mutabakat sağlanamadığı için sonuca ulaşılamamıştır.15 2006-2010 Bilgi Toplumu Stratejisinin Eylem Planı dâhilindeki “Bilgi Güvenliği ile İlgili Yasal Düzenlemeler” başlıklı 87 numaralı eylem Adalet Bakanlığı’na, 2006 yılında başlanıp 9 ay içerisinde tamamlanmak üzere, • • Ülke güvenliğini ilgilendiren bilgilerin elektronik ortamda korunması ve devletin bilgi güvenliği sistemlerinin geliştirilmesi amacına uygun yasal altyapıyla ilgili düzenleme yapma ve uygulamaya koyma görevi, Kişisel Verilerin Korunması Hakkında Kanun Tasarısı Taslağı yasalaştırılması görevi vermiştir.16 Söz konusu eylemdeki ilerlemeyi inceleyen değerlendirme raporları hazırlanmış, bu raporların beşincisi ve sonuncusu Mart 2010 tarihinde yayınlanmış ve bu rapora göre 87 numaralı eylem, %40 oranında tamamlanmış olarak belirtilmiş ve bu kapsamda: • Kişisel Verilerin Korunması Hakkında Kanun Tasarısı TBMM’ye sevk edilmiş, 15 BTK, 2010, Kritik Altyapıların Korunması 16 Bilgi Toplumu Stratejisi Eylem Planı (2006-2010) 25 • Milli Savunma Bakanlığı yürüttüğü yasal altyapı çalışmalarını eylemin sorumlu kurumu olan Adalet Bakanlığına devretmiş, bu yönde Ulusal Bilgi Güvenliği kanun tasarısı üzerinde çalışmaya başlanmış, geniş katılımlı bir komisyon oluşturma çabaları sürdürülürken, bir “Çalışma Grubu” tarafından ön taslak hazırlanmıştır.17 Adalet Bakanlığı’nın sürdürdüğü kanun tasarısı hazırlığına başlamıştır ve ortaya Ulusal Bilgi Güvenliği Teşkilatı ve Görevleri Hakkında Kanun Tasarısı oluşturulmuştur. Bu Tasarının amacı: • • • • Ulusal güvenliği ilgilendiren bilgilerin korunması, Devletin bilgi güvenliği faaliyetlerinin geliştirilmesi, Gerekli politikaların üretilmesi ve belirlenmesi, Kısa ve uzun dönemli planların hazırlanması, • • • Kriter ve standartların saptanması, İhracat ve ithalat izinlerinin ve sertifikalarının verilmesi, Bilgi sistemlerinin teknolojiye uyumunun sağlanması, • Uygulamanın takip ve denetimi kamu ve özel kurum ve kuruluşların arasında koordinasyonun sağlanması amacıyla bir teşkilatın kurulması ve görevlerine ilişkin esas ve usulleri düzenlenmesi, olarak belirtilmiştir. 18 Ancak 2010 yılı içerisindeki Anayasa çalışmaları dolayısıyla tasarıya son şekli verilememiştir ve bu konuda bir düzenleme henüz yasalaşamamıştır. Bilgi güvenliği konusunun siyasi bir öncelik haline gelmesinin sonrasında, önlemlerin hızla alınması için 2012 yılında Bakanlar Kurulu’nun Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi Yönetilmesi ve Koordinasyonuna İlişkin Kararı ile birlikte ilk düzenlemeler yapılmıştır. Bu kararın amacı kamu kurum ve kuruluşlarınca bilgi teknolojileri üzerinden sağlanan her türlü hizmet, işlem ve veri ile bunların sunumunda yer alan sistemlerin güvenliğinin sağlanmasına ve gizliliğinin korunmasına yönelik tedbirlerin alınması ve bilgi ve iletişim teknolojilerine ilişkin kritik altyapıların işletiminde yer alan gerçek ve tüzel kişilerce uyulması gerekli usul ve esasları düzenlemektir. Karar, Ulusal Siber Güvenlikten Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’nı sorumlu ve yetkili kılmış; çalışmalar süresince azami ölçüde milli 17 Bilgi Toplumu Stratejisi Eylem Planı (2006-2010) Değerlendirme Raporu 18 Bu Tasarının amacı: Ulusal güvenliği ilgilendiren bilgilerin korunması, devletin bilgi güvenliği faaliyetlerinin geliştirilmesi, gerekli politikaların üretilmesi ve belirlenmesi, kısa ve uzun dönemli planların hazırlanması, kriter ve standartların saptanması, ihracat ve ithalat izinlerinin ve sertifikalarının verilmesi, bilgi sistemlerinin teknolojiye uyumunun sağlanması, uygulamanın takip ve denetimi kamu ve özel kurum ve kuruluşların arasında koordinasyonun sağlanması amacıyla bir teşkilatın kurulması ve görevlerine ilişkin esas ve usulleri düzenlenmesi olarak belirtilmiştir. 26 kaynakların kullanılmasını talep etmiş ve planlanacak çalışmalar için maddi kaynak tahsisinin öncelikli olarak yapılacağını belirtmiştir. Bu doğrultuda, alınacak önlemleri belirlemek, hazırlanan çalışmaları onaylamak ve bunların uygulanmasını ve koordinasyonunu sağlamak amacıyla Siber Güvenlik Kurulu kurulmuştur. Bu Kurula politika, strateji ve eylem planı hazırlama, bilgi ve veri güvenliğinin sağlanması için usul ve esasları düzenleme, Ulusal Siber Güvenlik konusunda kurum ve kuruluşların teknik alt yapısını oluşturma ve denetleme, kritik altyapıların güvenliğini sağlamaya yönelik çalışmaları yürütme, bu konuda çalışan gerçek ve tüzel kişilere güvenlik belgesi verme, konu ile ilgili insan kaynaklarının zenginleştirilmesini planlama ve bilinçlendirme çalışmalarını yürütme görevleri verilmiştir. Söz konusu karar ile kurulan Siber Güvenlik Kurulu Siber Güvenlik Strateji Belgesi ve 20132014 Eylem Planı üzerinde çalışmaktadır. TBMM İnternet Araştırma Komisyonu da siber güvenlik konularını da kapsayan raporunu tamamlamış ancak henüz yayınlamamıştır. Ancak bu iki çalışmanın da en kısa sürede mevzuat eksikliğinin giderilmesi hususuna değinmesi beklenmektedir. Ayrıca, bankacılık ve telekomünikasyon sektörlerinde siber güvenlik konusu ile ilgili düzenlemeler de mevcuttur. Ülkemizdeki bankacılık sektörü Bankacılık Kanunu, Banka Kartları ve Kredi Kartları Kanunu, Bankaların İç Sistemleri Hakkında Yönetmelik, Bankaların Destek Hizmeti Almalarına ve Bu Hizmeti Verecek Kuruluşların Yetkilendirilmesine İlişkin Yönetmelik ve Bankalarda Bağımsız Denetim Gerçekleştirecek Kuruluşların Yetkilendirilmesi Ve Faaliyetleri Hakkında Yönetmelik uyarınca bilgi güvenliği önlemleri almaktadır. 19 Söz konusu düzenlemelere ek olarak, özellikle Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ ile birlikte bankalardaki bilişim sistemlerinin yönetiminde ve güvenliğinde esas alınacak asgari usul ve esaslar düzenlenmiştir.20 Telekomünikasyon sektöründeki işletmeciler de Elektronik Haberleşme Kanunu uyarınca imzalanan İmtiyaz Sözleşmeleri elektronik haberleşme güvenliği ile ilgili çeşitli yükümlülükler altına girmekte ve Elektronik Haberleşme Güvenliği Yönetmeliği işletmecilerin fiziksel alan güvenliği, veri güvenliği, donanım-yazılım güvenliği ve güvenilirliği ile personel güvenilirliğinin sağlanması için tehditlerden ve/veya zafiyetlerden kaynaklanan risklerin bertaraf edilmesi veya azaltılmasına ilişkin olarak alacakları tedbirlere yönelik usul ve esasları kapsamaktadır. 19 Ahmet Türkay Varlı, 2007, Bankacılıkta Bilgi Sistemleri. Denetiminde BDDK Yaklaşımı ve Bilgi Güvenliği 20 Bilge Karabacak, Haziran 2009, Türkiye’de Bilişim Güvenliğiyle İlgili Yasal Altyapının Analizi, TÜBİTAK-BİLGEM 27 Elektronik Haberleşme Güvenliği Yönetmeliği’nde Değişiklik Yapılmasına Dair Yönetmelik ile birlikte bu yönetmelikte değişiklik yapılmıştır. 21 Tablo 2.3 Kurumlar tarafından getirilen kritik altyapı kapsamı önerileri Kaynak Kurum ve Kuruluş Kritik Altyapılar Kapsamı Önerisi BTK • Doğal gaz • Hava Kontrol Sistemleri • Petrol • Sağlık Hizmetleri • Su ve Elektrik Nakil • Vatandaşlara Ait Büyük Şebekeleri TÜBİTAKBİLGEM22 Bilgi Güvenliği Derneği Miktarda Bilgi İçeren Bilişim Sistemleri • Barajlar • Ulaşım • Kritik Kamu Servisleri • Bankacılık ve Finans • Telekomünikasyon • Sağlık ve Acil Durum Servisleri • Kritik Üretim Tesisleri • Bilişim • Ulaşım • Enerji • Savunma • Mali İşler • Kamu Güvenliği • Sağlık • • Gıda Nükleer, Biyolojik, Sosyal Tesisler • Su Ülkemizde belli adımlar atılmış olmasına rağmen siber güvenlik açısından en önemli unsurlar olan kritik altyapıların tanımlamaları ve kritik altyapılar konusundaki strateji henüz 21 BTK, 2013, Elektronik Haberleşme Güvenliği – Mevzuat, http://www.tk.gov.tr/bilgi_teknolojileri/elektronik_haberlesme_guvenligi/mevzuat.php 22 Bilge Karabacak, Eylül 2011, Kritik Altyapılara Yönelik Siber Tehditler ve Türkiye için Siber Güvenlik Önerileri, TÜBİTAK-BİLGEM, 28 belirlenmemiştir. Değişik kurumlar tarafından, uluslararası örneklerde belirtilen unsurlara benzer bir şekilde, ülkemiz için kritik altyapı kapsamı yönünde öneriler gelmiştir (Tablo 2.3). Henüz kapsamlı bir siber güvenlik düzenlemesi olmamasına rağmen, siber tehditleri yaratan unsurların azaltılmasına yönelik bilişim suçları düzenlemeleri siber güvenliğin tesis edilmesine yönelik önemli bir hukuki altyapı sunmaktadır. Söz konusu düzenlemelerde aşağıdaki suçlara cezai düzenleme getirilmiştir: 5237 sayılı Türk Ceza Kanunu içerisinde: • • Bilişim sistemine girme (m.243) Sistemi engelleme, bozma, verileri yok etme veya değiştirme (m.244) • • • Banka veya kredi kartlarının kötüye kullanılması (m.245) Nitelikli hırsızlık (m. 142/2-e) Nitelikli dolandırıcılık (m. 158/1-f) • • • • Kişisel verilerin kaydedilmesi (m. 135) Verileri hukuka aykırı olarak verme veya ele geçirme (m. 136) Nitelikli haller (m. 137) Verileri yok etmeme (m. 138) • • • • Haberleşmenin engellenmesi (m. 124) Hakaret (m. 125) Haberleşmenin gizliliğini ihlal (m. 132) Kişiler arasındaki konuşmanın dinlenmesi ve kayda alınması (m. 133) • • Özel hayatın gizliliğini ihlal (m. 134) Müstehcenlik (m. 226) 5846 sayılı Fikir ve Sanat Eserleri Kanunu içerisinde: • • Manevi, mali veya bağlantılı haklara tecavüz (m. 71) Koruyucu programları etkisiz kılmaya yönelik hazırlık hareketleri (m. 72) 5070 sayılı Elektronik İmza Kanunu içerisinde: • • İmza oluşturma verilerinin izinsiz kullanımı (m. 16) Elektronik sertifikalarda sahtekarlık (m. 17) Ayrıca bu söz konusu cezai düzenlemeler dışında Ceza Muhakemesi Kanunu, Adli ve Önleme Aramaları Yönetmeliği ve Bankacılık Kanunu içerisinde de bilişim suçlarına dair düzenlemeler yapılmıştır. 29 2.4.2 Uygulama: Bu konuda var olan bir mevzuat olmadığından dolayı henüz bir mevzuatın doğrudan uygulamasından bahsedilememektedir, ancak özellikle Bilgi Toplumu Stratejisi dahilinde siber güvenliğe yönelik ciddi adımlar atılmıştır. 2006-2010 Bilgi Toplumu Stratejisinin Eylem Planı dâhilindeki “Ulusal Bilgi Sistemleri Güvenlik Programı” başlıklı 88 numaralı eylem ile TÜBİTAK’a, 2007 yılında başlanıp 24 ay içerisinde tamamlanmak üzere, • • Siber âlemdeki güvenlik tehditlerini sürekli olarak takip edecek, uyarılar yayınlayacak, bu risklere karşı ne şekilde tedbir alınabileceğine dair bilgilendirme yapacak, risklerin ortaya çıkması durumunda karşı tedbirleri koordine edebilecek bir “bilgisayar olaylarına acil müdahale merkezi (CERT)” kurma görevi, Kamu kurumları için gerekli minimum güvenlik seviyelerini kurum ve yapılan işlem bazında tanımlanacak, kurumlar tarafından kullanılan sistem, yazılım ve ağların güvenlik seviyeleri tespit etme ve eksikliklerin giderilmesi yönünde öneriler oluşturma görevi verilmiştir. Söz konusu eylemdeki ilerlemeyi inceleyen değerlendirme raporları hazırlanmış, bu raporların beşincisi ve sonuncusu Mart 2010 tarihinde yayınlanmış ve bu rapora göre 88 numaralı eylem, %80 oranında tamamlanmış olduğu belirtilmiş ve dâhilindeki adımlar dört alt proje başlığı altında incelenmiştir: • Bilgisayar Olaylarına Acil Müdahale Merkezi (CERT) kurulumu projesi • • • Bilgi Güvenliği Yönetim Sistemi (BGYS) pilot projeleri Eğitim projesi Bilgi Güvenliği Kapısı projesi. Bilgisayar Olaylarına Acil Müdahale Merkezi (CERT) kurulumu çalışmaları kapsamında bazı kamu kurumları ile birlikte yapılan çalışmaların sonucunda bu kurumlarda23, Bilgisayar Olaylarına Müdahale Ekibi (BOME) kurulmuştur. Asıl amacı ülke genelinde kurum ve kuruluşlara bilgisayar güvenlik olaylarına müdahale yeteneği kazandırmak ve gerçekleşen bilgisayar güvenlik olaylarına müdahale etmek olan BOME, bu kapsamda hem kamu kurum ve kuruluşlarının hem de özel sektör şirketlerinin siber savunma kabiliyetini geliştirmek için ulusal 23 Mart 2010 itibari ile Başbakanlık, Adalet Bakanlığı, Sermaye Piyasası Kurulu, Sayıştay Başkanlığı, Muhasebat Genel Müdürlüğü, Merkez Bankası, Dış Ticaret Müsteşarlığı, Hazine Müsteşarlığı ve Tapu Kadastro Genel Müdürlüğü’nde BOME kurulmuş durumdadır 30 siber güvenlik tatbikatları ve bilgi güvenliği çalıştayları organize etmektedir ve bu kurum ve kuruluşlarda BOME kurulması veya bilgisayar güvenlik olayları müdahale yeteneği kazanılması amacıyla eğitim ve danışmanlık hizmetleri vermektedir. Ayrıca siber güvenlik yaz kampları ve eğitimleri ile siber güvenlik alanında insan kaynağı geliştirilmesine çalışmaktadır. Ayrıca artan siber tehditler karşısında ülkemizin durumunu tespit edebilmek amacıyla TRBOME koordinatörlüğünde BOME 2008 Tatbikatı icra edilmiş, BOME kurulumunu sağlamak ve personel yetkinliğini artırmak amacıyla Kullanıcı Bilinçlendirme Eğitimi, BOME Kurulum ve Yönetim Eğitimi, Olay Müdahale ve Sistem Analizi Eğitimi’nin internet üzerinden ücretsiz olarak verilmesi için ön çalışmalar başlamış, hizmete giren internet sayfaları24 aracılığı ile ihbar alınıp müdahale edilmeye başlanmış ve BOME çalışmaları kapsamında sistem kullanıcılarının ve yöneticilerinin önemli güncel tehditler konusunda uyarılmasına çalışılmıştır. Ayrıca TR-BOME, uluslararası siber savunma tatbikatı olan NATO Cyber Coalition 2009 Exercise etkinliğine aktif katılım göstermiş, siber savunma konusunda olay müdahale, uluslararası işbirliği gibi konularda eksikler görülmüş ve koordinasyon yeteneği geliştirilmiştir. Eğitim projesi kapsamında, üniversite personeline içeriğinin TÜBİTAK-ULAKBİM’in görüşleri alınarak hazırlanmış bilgi güvenliği eğitimleri verilmiştir. Ayrıca, Bilgi Güvenliği Kapısı, bilgiguvenliği.gov.tr adresinde hizmet vermeye başlamış olup içeriğinde güvenlik bildirileri, teknik yazılar, kılavuzlar ve duyurular bulunmaktadır. Ayrıca günümüzde, TÜBİTAK BİLGEM SGE altında bilgi sistemleri güvenliği danışmanlığı hizmeti de verilmekte, bu doğrultuda bilgi güvenliği eğitimleri verilmekte, sızma testleri ve güvenlik denetimleri gerçekleştirilmekte, güvenli bilgi sistemleri kurulum danışmanlığı, bilgi güvenliği yönetim sistemi danışmanlığı, güvenli yazılım geliştirme danışmanlığı yapılmakta ve BT ürün güvenliği laboratuvarı çalışmalarını sürdürmektedir. Mevcut Bakanlar Kurulu Kararı’nın öngördüğü Siber Güvenlik Kurulu da Aralık 2012 içerisinde ilk toplantısını gerçekleştirmiş, 2013-2014 Eylem Planı üzerinde çalışılmaya başlanmış, bu çalışma sonucunda pek çok kurum ve kuruluşa görevler verilmesi beklenmekte ancak bu raporun yazılma tarihinde kamuoyuyla paylaşılan bir çalışma bulunmamaktadır. 24 www.tr-bome.gov.tr ve www.tr-cert.gov.tr 31 2.4.3 Yönetişim ve koordinasyon: Bakanlar Kurulu Kararında belirtildiği gibi Siber Güvenlik Kurulu bilgi güvenliği çalışmalarındaki yönetişim sisteminin başında bulunmaktadır. Siber Güvenlik Kurulu’nun kamu içerisinden üst düzey yöneticilerden oluşması ve hem yürütücü hem de koordinasyon kurulu olarak çalışması öngörülmüştür. Bu kurulun üyeleri şunlardır: • Ulaştırma, Denizcilik ve Haberleşme Bakanı • • • Dışişleri, İçişleri, Milli Savunma, Ulaştırma, Denizcilik ve Haberleşme Bakanlıkları Müsteşarları Kamu Güvenliği Müsteşarı MİT Müsteşarı • • • Genelkurmay Muhabere Elektronik ve Bilgi Sistemleri Başkanı BTK Başkanı TİB Başkanı • • • TÜBİTAK Başkanı Mali Suçlar Araştırma Kurulu Başkanı Ulaştırma, Denizcilik ve Haberleşme Bakanlığı yetkilileri Ayrıca Ulaştırma, Denizcilik ve Haberleşme Bakanınca belirlenen bakanlık ve kamu kurumu yöneticilerinin dâhil edileceği belirtilmiştir. Kurul içerisine özel sektör, sivil toplum kuruluşu ve üniversite temsilcilerinin katılması öngörülmemiş olup, alınan temel kararların ardından alt çalışma komisyonlarının kurulması ve bu aşamada farklı paydaşların sürece katılması mümkün kılınmıştır. Ayrıca, bilgi güvenliği çalışmalarını yürüten Siber Güvenlik Kurulu’nun yanında sektörel düzenlemelerden sorumlu BDDK ve BTK bulunmaktadır. Türk Silahlı Kuvvetleri’nin bilgi güvenliğini sağlamak amacıyla geçtiğimiz aylarda Genelkurmay Başkanlığına bağlı Muhabere ve Siber Savunma Komutanlığı kurulmuştur. BDDK, bankaların bilgi güvenliğini sağlamasında etkin rol oynamıştır. Bu doğrultuda BDDK, bilişim tabanlı sistemlerden yoğun biçimde yararlanarak kuruluşlar ile bilgi paylaşımı kolaylaştırılmış, veriler mümkün olduğunca paylaşılarak şeffaflık sağlanmıştır. Denetimde iç denetim, bağımsız denetim ve otorite denetiminden oluşan üçlü bir yaklaşım benimsenmiştir. Bilgi güvenliğinin sağlanması için kullanıcı sözleşmeleri, güvenlik politikaları, erişim 32 kontrolleri, fiziksel güvenlik, e-imza uygulamaları, SGE bağımsız denetimi gibi konulara önem gösterilmektedir.25 Yönetişim yapısının çok yeni kurulmuş olması ve henüz ciddi bir bilgi ve kabiliyet birikiminin oluşmaması sebebiyle paylaşım ve koordinasyon ihtiyacının da çok yüksek olduğu söylenememektedir. Ancak değişik kurum ve kuruluşların bu konudaki çabalarının bütünsel bir çerçevede bilgi güvenliğini tesis edecek şekilde kullanılması ve en kısa zamanda gereken önlemlerin alınması açısından koordinasyon ihtiyacı mevcuttur. Bu ihtiyaca yönelik Bakanlar Kurulu Kararı ile kurulmuş Siber Güvenlik Kurulu’ndan bahsedilebilir. Ancak, Siber Güvenlik Kurulu’nun üyelerinin tamamının kamu kurumlarındaki üst seviye yöneticilerden oluşması dolayısıyla diğer ülkelerde gördüğümüz gibi tüm paydaşların bir araya getirildiği bir bilgi paylaşımı ve koordinasyon mekanizması mevcut değildir. 2.4.4 Toplumsal farkındalık Bireylerin farkındalığı anlamında, ülkemizde kullanıcıların bilgisayar ve internet kullanımı sırasında güvenlik konusunda hassasiyet göstermesi ve bu yönde gereken birikim ve becerileri kazanmasına yönelik bilinçlendirme ve eğitim faaliyetleri kısıtlı olmasına rağmen sürdürülmektedir. Bu konu Güvenli İnternet kısmında daha detaylı olarak incelenmektedir. Toplumsal ve kurumsal farkındalık anlamında ise ülkemizde meydana gelen siber saldırılar ve bu saldırılara verilen tepki dolayısı ile bilinç seviyesinin düşük olduğu şüphesi oluşmaktadır. Bu noktada hacktivist saldırılar vasıtasıyla hem kamu kurumlarında siber güvenlik kültürünün istenilen seviyede olmadığına yönelik algı oluşmuştur, hem de toplumda bu tür saldırıların potansiyel tehlikeleri yönünde bir bilinç olmadığı düşüncesi oluşmaktadır. Türkiye’de kamuoyuna yansıyan hacktivist saldırıların büyük bölümünü üstlenen RedHack grubu İçişleri Bakanlığının dosya sistemine girdiğini ve bunun için de “deneme” kullanıcı adı ve “123456” şifresini kullandığını öne sürmüş,26 bunun üzerine TÜBİTAK kamu çalışanlarını basit şifreler kullanmamaları yönünde uyarmış, grup daha sonra sitenin "yönetim" sistemine "kullanici" şeklindeki kullanıcı adı ve "123456" şifresiyle girdiğini iddia etmiştir.27 YÖK’e yapılan saldırı 25 Ahmet Türkay Varlı, 2007, Bankacılıkta Bilgi Sistemleri. Denetiminde BDDK Yaklaşımı ve Bilgi Güvenliği, BDDK Bilgi Yönetimi Dairesi 26 Radikal, Nisan 2012, “123456 yaz İçişleri'ne şak diye gir” http://www.radikal.com.tr/Radikal.aspx?aType=RadikalDetayV3&ArticleID=1085597 27 Bianet, Nisan 2012, "123456 Yaz İçişleri'ne Gir", http://www.bianet.org/bianet/diger/137975-123456-yaz-icislerinegir 33 sonrasında da çalışanların “123456” gibi basit şifreler kullanmasının siber saldırganların eylemlerini kolaylaştırdığına yönelik açıklama yapılmıştır.28 2.4.5 Ar-Ge yatırımları ve uzman yetiştirme: Araştırma ve geliştirme konusunda mevcut sayısal veriler olmamasına rağmen bilinen çalışmalar ve bu konu üzerinde çalışan oluşumlar çok kısıtlı sayıda kalmaktadır. Siber Güvenlik Enstitüsü kapsamında yeni yöntemler araştırılması ve ileri teknolojiler geliştirilmesi yönünde çalışmalar yapılmaktadır. Bu alandaki hedefler şöyle belirtilmiştir29: • • Siber güvenlik alanında kritik öneme sahip teknolojileri geliştirmek Ülkemizin siber savunmasını sağlamaya yönelik etkin önlemler oluşturmak • Ülkemizin önde gelen kurumlarının siber güvenlik ihtiyaçlarını sağlamaya yönelik güvenlik mekanizmalarını geliştirmek Bu hedeflere yönelik de zararlı yazılım analizi, dijital adli analiz, ağ gözetleme, saldırı tespiti ve önleme alanında ve veri mahremiyeti alanında araştırma ve geliştirme çalışmaları sürmektedir. Ayrıca bu konu ile bireysel olarak ilgilenen bazı akademisyenler tarafından akademik çalışmalar yapılmakta ancak üniversiteler kapsamında bu konu üzerine odaklanmış oluşumlara rastlanmamıştır. Bu yönde çalışmaları teşvik edecek bir devlet fonu da bulunmamaktadır.30 İnsan kaynakları açısından da ülkemizdeki mevcut uzman ve yetişmiş insan sayısının yetersiz olduğuna dair bir algı mevcuttur. Özellikle bilgi güvenliği konusunda toplumsal farkındalığın düşük olmasından dolayı yetişen öğrencilerin bu konuya ilgi göstermemesi, müfredatta lisans seviyesinde ve lisansüstü seviyesinde yeteri kadar ders olmaması, bu konuda eğitim verebilecek akademisyenlerin kısıtlı olması ve bu konuda istihdam yolları olabileceğinin bilinmemesi sebeplerinden ötürü üniversitelerden bilgi güvenliği konusunda yeteri beceri ve birikime sahip gençlerin çıkmadığı söylenmektedir. Ancak lisans programlarının dışında da bu alanda yüksek öğrenim veren kurumlar arasında meslek yüksekokulu seviyesinde bilgi güvenliği teknolojisi bölümleri ve doktora seviyesinde siber bilgi güvenliği programı mevcuttur.31 Bilişim Suçları Daire Başkanlığı ve TÜBİTAK da 28 Ntvmsnbc, Ocak 2013, Şifre aynı: 123456, http://www.ntvmsnbc.com/id/25414019/ 29 SGE’nin çalışmalarını özetleyen broşürde 30 Teyit edilmesi lazım 31 Sabah, (20 Eylül 2012), http://www.sabah.com.tr/Ekonomi/2012/09/20/siber-guvenlikciler-izmirde-yetisecek 34 bilgi güvenliği konusunda eğitim vermektedir. TÜBİTAK 131 kamu personeline ve üniversitelerden 93 personele bilgi güvenliği eğitimi vermiştir.32 2.4.6 Uluslararası işbirliği: Uluslararası işbirliğini ilerletmek amacıyla hazırlanan ve Kasım 2001’de imzaya açılmış olan Avrupa Siber Suç Sözleşmesini ülkemiz 2010 Haziran ayında imzalamış ancak bu sözleşmenin uyarlanması için gereken düzenlemeler henüz tümüyle yürürlüğe girmemiştir. Fakat mevcut durumda bilişim suçları konusunda yurtdışındaki emniyet birimleri ile işbirlikleri mevcuttur. Ayrıca 2011 yılında birincisi, 2013 yılında ikincisi yapılan ve sadece Türkiye içerisindeki kurum ve kuruluşları kapsayan Ulusal Siber Güvenlik Tatbikatı’nın 2014 yılında uluslararası boyutta yapılması planlanmaktadır.33 32 Ulaştırma Denizcilik ve Haberleşme Bakanlığı, (27 Haziran 2012), Sena Kaleli’nin yazılı soru önergesine cevap, 33 Cihan, (10 Ocak 2013), http://www.cihan.com.tr/news/Siber-Guvenlik-Tatbikati-2014-te-uluslararasi-captayapilacak-CHOTA0OTI2LzM= 35 3 3.1 Kişisel Verilerin Korunması Genel Bakış Günümüzde bilişim teknolojilerinin yaygınlaştığı her alanda bilginin kullanımının arttığını görmekteyiz. Bu teknolojiler sayesinde bilgi toplamak, saklamak ve işlemek çok daha kolay ve ucuz hale gelmiştir. Bu artan bilgi kullanımının yarattığı ve yaratacağı ekonomik ve sosyal değer ihmal edilemeyecek kadar büyüktür. Önümüzdeki yıllarda bu fırsatların kullanılmasının ABD sağlık sektöründe yıllık %0,7 verim artışı sağlaması ve 300 milyar dolar ilave değer yaratması, Avrupa kamu kurumlarında yıllık Şekil 3.1 Verilerin daha etkin kullanımından beklenen kazanımlar Özellikle önümüzdeki yıllarda büyük verinin kullanımının önemli kazanca neden olacağı tahmin edilmekte Amerikan Sağlık Hizmetleri ▪ Yıllık değeri 300 milyar $ ▪ Yıllık verim artışı ~%0.7 Avrupa Kamu sektörü yönetimi ▪ Yıllık değeri 250 milyar € ▪ Yıllık verim artışı %~0.5 Küresel kişisel konum bilgisi ▪ Hizmet sağlayıcılar için +100 milyar $ gelir ▪ Son kullanıcılar için 700 milyar $ değer Üretim ▪ Ürün geliştirme ve montaj maliyetlerinde %50 düşüş ▪ İşletme sermayesinde %7’ye kadar azalma Amerika’da perakende ▪ Net kar marjında %60+ artış ▪ Yıllık verim artışı %0.5– 1.0 KAYNAK: McKinsey Global Institute analizi %0,5 verim artışı sağlaması ve 250 milyar avro değer yaratması beklenmektedir. Mobil cihazlarla kaydedilebilen kişisel konum bilgilerinin hizmet sağlayıcılar için 100 milyar doların üzerinde gelir üretmesi, son kullanıcılar için ise 700 milyar dolar değer yaratması beklenmekte, ABD perakende sektöründe de büyüyen bilgi havuzunun etkin kullanılması sonucunda net kar marjının %60 büyümesi ve verimin yıllık %0,5-1,0 artması beklenmekte, üretim sektöründe de ürün geliştirme ve montaj maliyetlerinde %50 düşüş ve işletme sermayelerinde %7’ye kadar azalma olması öngörülmektedir (Şekil 3.1). Bu öngörülen ilave değerler doğrultusunda, 36 önümüzdeki yıllarda hem kamu hem de özel sektör tarafından veri kullanımının çok daha kilit bir konuma yükselmesi beklenmektedir. Söz konusu potansiyeller hem kamu hem de özel sektör tarafından kullanılacak, dolayısı ile veri toplanması ve kullanması ekonomik ve sosyal gelişim için kilit bir rol oynayacaktır. Ancak veri kullanımının artması için gereken yatırımların ve yenilikçi çözümlerin yanında, bu verileri üretenlerin de bu verilerin kullanılması noktasında istekliliği olması gerekmektedir. Söz konusu verilerin bazıları kuruluşların kendi süreçleri içerisinde çıkan veriler olmasına rağmen, bazıları da bireylerin fiziksel özellikleri, tercihleri, düşünceleri gibi kişisel verileridir. 34 Bireylere ait ya da bireylerin ürettiği bu verilerin kullanılması ise bu verileri kullanacak kurum veya kuruluşların menfaati yönünde olacağı için bireyler mağdur duruma düşebilmekte veya düşmekten çekindikleri için bu veriler kullanılamamaktadır. Dolayısıyla kişisel verilerin temel haklar çerçevesinde güvence altına alınması bireylerin verilerini daha rahatlıkla paylaşmasına, dolayısıyla ekonomik ve sosyal gelişime imkan verecektir. 3.1.1 Kişisel verilerin tanımı İlk başta terimsel bir ayrım yapmak gerekmektedir. Kişisel bilgi ve kişisel veri birbirinin yerine kullanılan ifadeler olmasına rağmen, “bilgi” ve “veri” kelimeleri kavramsal olarak farklı anlamlar içerir. Türk Dil Kurumu’na göre veri, bilişim alanında “olgu, kavram veya komutların, iletişim, yorum ve işlem için elverişli biçimli gösterimi” anlamına gelmekte, bilgi ise “kurallardan yararlanarak kişinin veriye yönelttiği anlam” olarak tanımlanmaktadır. Diğer bir deyişle, bilgi verinin anlamlandırılmış halidir. Ancak konumuz itibarıyla işlenmemiş ve henüz anlamlandırılmamış veriler bağlamında konuşmak, dolayısı ile kişisel veri kavramını kullanmak, daha uygun olur. Kişisel veri, bireyleri tanınabilir veya belirlenebilir kılmaya yarayacak her türlü veriyi içermektedir. Avrupa Birliği’nin Veri Koruma Yönergesi, kişisel veriyi “Kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkili her tür veri” (2/a maddesi) olarak tanımlamaktadır. Kimliği belirlenebilir kişi ise “doğrudan veya dolaylı olarak özellikle bir kimlik numarasının veya kişinin fiziksel, 34 Her geçen gün kişisel verilerin artan oranda toplandığına ve kullanıldığına dair pek çok örneğe rastlamaktayız: Bilgilerini kendi rızaları ile paylaşan 800 milyon kullanıcısının verilerini toplamış olan ve bu veri havuzuna dayanarak daha isabetli reklam yapma imkanı sunan Facebook 2012 yılında halka açıldığında 104 milyar dolar değer biçilmiştir. 37 fizyolojik, akli, ekonomik, kültürel veya sosyal kimliğine ait bir veya birden fazla spesifik faktörün referansına dayanılarak teşhis edilebilir olan kişi” olarak tanımlanmaktadır. “Her tür veri” kavramı oldukça geniş tutularak kapsamına nesnel ve öznel bilgiler dahil edilmiştir ve bu kapsamdaki kişisel veriler sınırlı sayıda değildir. En önemli kişisel veriler arasında kimlik bilgileri, adres bilgileri, kredi kartı bilgileri, telefon bilgileri ve elektronik posta bilgileri örnek olarak verilebilir; ancak bu kapsama bireylerin tanınabilir düzeyde görülebildiği kamera görüntüleri, siyasi veya sosyal örgütlenmelere üyelikleri, geçirdikleri hastalıklar, arkadaşlarının isimleri veya aile bireyleri hakkında söyledikleri gibi daha öznel bilgiler de dahil edilmektedir. Kişisel verilerin işlenmesi ise “kişisel verilerin, kullanılan araç ve yöntemlere bakılmaksızın toplanması, elde edilmesi, kaydedilmesi, düzenlenmesi, depolanması, uyarlanması veya değiştirilmesi, değerlendirilmesi, kullanılması, açıklanması, aktarılması veya elde edilebilir olması, ayrılması veya birleştirilmesi, dondurulması, silinmesi veya yok edilmesi gibi işlemlerden herhangi birini” ifade eder.35 Bu kişisel veriler içerisinde “hassas bilgiler” olarak tanımlanan, korunmaması halinde toplumda ayrımcılık yaratma riski yüksek olan kişisel verilerin işlenmesi daha sakıncalıdır. Veri Koruma Yönergesi’nin “Özel Veri Kategorilerinin İşlenmesi” başlığı hassas verileri, ırki veya etnik köken, siyasi görüş, dini veya felsefi inanç, meslek birliğine üyelik, sağlık ve cinsel tercih bilgileri olarak saymaktadır ve belli istisnalar haricinde işlenmesini yasaklamaktadır. 3.1.2 Temel haklar bağlamında kişisel verilerin korunması Özellikle bilgi teknolojileri ile birlikte kişisel verilerin toplanması ve kullanılması kolaylaştıkça, kişisel verilerin korunması hukuki anlamda gittikçe önem kazanan bir mesele olmuştur. Nitekim kişisel verilerin korunması pek çok açıdan temel haklar bağlamında değerlendirilen bir ilkedir. • İnsan onuru ve kişiliğin serbestçe geliştirilmesi hakkı: Bu yaklaşıma göre hakkında edinilen bilgilerin neler olduğunu ve bu bilgilerin kimin elinde bulunduğunu öğrenebilme olanağına sahip olmayan bireyin kendi kararlarını verebilme özgürlüğü zarar görmektedir. Özellikle otomatik veri işleme araçlarıyla verilerin sınırsız şekilde kaydedilmesi, bu verilerin her zaman ulaşılabilir niteliği ve bireyin ayrıntılı kişilik profilinin oluşturulabilme olasılığı da dikkate alındığında, kişi üzerinde psikolojik baskı yaratıp, kişinin kamusal yaşama katılmasını etkileyebilmektedir. Toplantı, gösteri yürüyüşü ya da sivil toplum örgütlerine katılımının resmi makamlarca kayıt altına 35 Kişisel Verilerin Koruması Kanun Tasarısı, 3(e) hükmü 38 alındığını ve bundan dolayı çeşitli mağduriyetler yaşayacağını düşünen birey, bu haklarını kullanmaktan vazgeçebilmektedir. Sürekli izlenen, yaşamına ilişkin bilgiler kayıt altına alınan, bütün bunların sonucunda adeta şeffaflaşan, bireyin kişiliğini serbestçe geliştirebilmesine engel olacağı düşünüldüğü için, kişisel verilere sınırsız erişim sakıncalı bulunmuş, dolayısıyla kişisel verilerin korunması bir temel hak olarak görülmüştür. • Özel yaşamın gizliliği: Kişisel verilerin korunması hakkına kaynaklık yapan başlıca ilke özel yaşamın gizliliği hakkıdır. İnsan Hakları Evrensel Bildirisi’nin 12’nci maddesine göre, “Kimsenin özel yaşamı, ailesi, konutu ya da haberleşmesine keyfi olarak karışılamaz, şeref ve adına saldırılamaz. Herkesin, bu tür karışma ve saldırılara karşı yasa tarafından korunma hakkı vardır.” Bu kapsam dahilindeki veri mahremiyeti başlığı kişisel verilerin korunması ve bunun içerisinde özellikle toplum içerisinde ayrımcılığa neden olabilecek hassas verilerin korunması anlamına gelmekte, kapsamının genişliği dolayısıyla gittikçe bağımsız bir hak olma yolunda ilerlemektedir. Kişinin özel yaşamının çevreye açıklık derecesinin yararlanacağı korumanın oranı ve şekliyle ilgili olduğu söylenebilmekte iken kişinin sır alanı içerisinde yer alan cinsel yaşamı, dinsel tercihleri, ırksal kökeni gibi konulara ilişkin veriler hassas veri olarak kabul edilmekte ve daha özel korumaya tabi olmaktadır. Kişisel verilerin korunması hakkı, en genel şekliyle bireye kişiliğine bağlı her türlü veri üzerinde tasarrufta bulunma hakkı vermektedir. Özel yaşamın gizliliğini koruyan yasalar, güçler arasındaki dengesizliği gidererek bireyleri özel yaşamlarına müdahale edebilecek kurumlardan koruma amacını da taşımakta, bireyin kurum ve kuruluşlar tarafından mağdur edilmelerine engel olmaktadır. Güvenlik elbette insanın temel bir gereksinimidir, ancak burada karar verilmesi gereken asıl konu, özel yaşamların sınırlandırılarak özel yaşamın gizliliği hakkından vazgeçişin dengesinin nasıl sağlanacağıdır. Kişisel verilerin özel yaşamın parçası olarak güvence altına alınması toplumsal güvenlik sebebiyle bireylerin mağdur edilmelerine karşı bir dengeleyici unsur olarak işlev görecektir. • İfade özgürlüğü: İfade özgürlüğü ile bireyin açıklamalarının içeriğini ve muhatabını belirleme hakkı güvence altına alınmaktadır. Bu, bireyin kişisel verileri üzerindeki belirleme hakkının bir öğesidir ve bu hak kapsamında birey düşüncelerini kiminle, nerede ve ne zaman paylaşacağını seçebildiği için kişisel verilerin korunması ile ifade özgürlüğü korunmuş olmaktadır. 39 • Ayrımcılık yasağı: Özellikle hassas kişisel veriler olarak adlandırılan ve özel koruma gerektiren bazı veri türlerinin, kökenleri oldukça eskiye dayanan bazı ilkelerle korunduğu görülmektedir. Hassas kişisel verilerin özel olarak korunmasında hareket noktası, bu verilerin hukuka aykırı ve keyfi şekilde toplanmasının, saklanmasının, işlenmesinin ve yayılmasının doğurabileceği zararın daha büyük olduğu ve durumun ayrımcılık yasağına ters düşeceği görülebilmektedir. Kişilerin etnik, dinsel, cinsel yapılarına dayanılarak ayrımcılık yapılamayacağı ilkesi, insan haklarının eksen kavramlarından “eşitlik” ilkesinin bir gereğidir. • 3.1.3 Din ve inanç özgürlüğü: Hassas kişisel veriler kapsamında değerlendirilen verilerin, kişilerin dinsel inançlarına ilişkin olarak din ve inanç özgürlüğü ilkesi gereği açıklamama ve başkalarının açıklamamasını isteme hakkı mevcuttur. Verilerin kullanılabilmesi için kişisel verilerin korunması ihtiyacı Yukarıda yapılan açıklamalar bağlamında temel haklar çerçevesinde değerlendirilen kişisel verilerin korunması bir ihtiyaçtır. Bu yönde gereken güvence verilmediği takdirde bireyler kişisel verilerinin kendi menfaatlerinin aksine kullanılmayacağı konusunda emin olamamakta, dolayısı ile çekinmektedirler. Bunun sonucunda ise verilerin kullanılması sonucunda hem birey için üretilecek değer hem de toplumun geneli için üretilecek değer potansiyeli kullanılamamaktadır. Eurobarometer’in 2010 yılı içerisinde yaptığı araştırmaya göre Avrupa Birliği vatandaşlarının %62’si kendilerini korumak için kişisel verilerini en düşük seviyede paylaştıklarını ifade etmekte, araştırmaya katılanların %10’u kimlik bilgilerini paylaşmamakta, %50’si sosyal bilgilerini paylaşmamakta ve %90’ı hassas bilgilerini paylaşmamaktadır. Araştırmaya katılanların %70’si paylaştıkları kişisel verilerin nasıl kullanılacağı konusunda tedirgin ve sadece kişisel verilerinin kullanımı üzerinde kısıtlı oranda söz sahibi olabildiklerini düşünmekte, %74’ü internet kullanırken kişisel verilerinin toplanması ve işlenmesi konusunda rızalarının alınmasını istemekte, %55’i sosyal ağlarda kişisel verilerinin izinleri dışında kullanılması konusunda kaygı duymakta, %43’ü de firmaların kişisel verilerini izin almadan paylaşabileceği yönünde kaygı duymaktadır.36 36 Special Eurobarometer 359 40 Kişisel verilerin paylaşımı noktasında duyulan bu kaygı hem bireye hem de topluma ekonomik anlamda zarar verebilmektedir. Özellikle toplumun geneline güven tesis edecek bir ortam bulunmaması halinde ise çok olumsuz sosyal ve ekonomik sonuçlar doğabilmektedir. Salgın hastalığa sahip olduğunun gizli kalacağına inanmayan ve bilgilerinin açıklanmasından korkan kişi eğer doktor-hasta gizliliğine güvenmezse tıbbi destek almaktan çekinebilecek ve dolayısıyla toplum sağlığını tehdit eder bir hale gelebilecektir. Sosyal boyutun yanı sıra, gizlilik ve güvenlik kaygıları sonucunda ticari işlemlerden çekinmenin milyar dolarlara ulaşan bir kayıp yarattığı tahmin edilmektedir. 2002 yılında Jupiter Research firmasının yaptığı bir araştırmaya göre, güvenlik kaygıları yüzünden kaçırılan elektronik ticaretin boyutu 2001 yılında 5,5 milyar dolar, 2006 yılında ise 24,5 milyar dolar olarak tahmin edilmektedir.37 Kişisel verilerin güvence altına alınmamasının neden olduğu ekonomik ve sosyal kayıpların sistematik bir çözüm yerine kuruluşlar ve bireyler arasındaki anlaşmalar ile çözülebilmesi de pek mümkün görünmemektedir. Yukarıda bahsedilen Eurobarometer araştırmasına göre Avrupa Birliği vatandaşlarının %62’si şirketler tarafından sunulan gizlilik sözleşmelerini anlamamakta, okumamakta, bulamamakta veya umursamamaktadır.36 Nitekim bireylerin bu ihmalkârlığı da, söz konusu sözleşmeleri okuma ve anlamanın ciddi bir emek gerektirdiği düşünüldüğünde doğal karşılanabilmektedir. McDonald ve Cranor (2008), Amerika’daki her bir internet kullanıcısının ziyaret ettiği internet sitelerinin gizlilik sözleşmelerini okumasının topluma yaklaşık 781 milyar dolar fırsat maliyeti yaratacağını hesaplamıştır. Dolayısıyla kişisel verilerin korunması konusundaki etkileşimlerin ne kadar sıklıkta ve ne kadar değişik şekillerde yapıldığını göz önüne alırsak, kurum ve kuruluşların vaka bazında bireylere güvence vermesi çok zor ve masraflı olmaktadır. 37 Privacy & American Business (2005) de benzer rakamlara ulaşmıştır 41 3.2 Kişisel verilerin devletler tarafından korunması Kişisel verilerin korunması konusundaki çekincelerin neden olduğu ekonomik ve sosyal sonuçlar düşünüldüğünde bireylere kişisel verilerin korunması yönünde güvence vermenin ne kadar önemli olduğu görülmektedir. Ancak bu güvencenin her vaka bazında en baştan tekrar sağlanması da pek mümkün değildir. Dolayısıyla bu konuda uluslararası sözleşmeler hayata geçirilmiş ve pek çok ülke ulusal mevzuatlar düzenleyerek önlemlerini almıştır. Şekil 3.2 Örnek devletlerin veri koruma düzenlemeleri Kişisel bilgilerin korunması için Avrupa’da düzenlemeler yapılmış durumda Ulusal mevzuat Almanya Veri koruma otoritesi İlgili kanun ▪ Federal veri koruma kanunu Hollanda ▪ Veri koruma ajansı korunması hakkında kanun ▪ Kişisel veri koruma İtalya ▪ Federal veri koruma komiseri ▪ Kişisel verilerin İspanya İlgili otorite kanunu ▪ Kişisel verileri koruma kurumu ▪ Kişisel veri koruma kanunu ▪ Veri koruma komisyonu ▪ Kişisel veri kanunu ▪ Veri teftiş kurulu ▪ Federal veri koruma ▪ Federal veri koruma ve İsveç İsviçre kanunu bilgi komitesi Türkiye 42 Özellikle gelişmiş Avrupa ülkelerinin bu konuda ciddi adımlar attığı görülmektedir: Almanya, İspanya, İtalya, Hollanda, İsveç ve İsviçre örneklerine bakıldığında bütün bu ülkelerin ulusal mevzuatlarının yürürlüğe girdiği ve veri koruma otoritelerinin hayata geçtiği görülebilmektedir. Ancak Türkiye henüz 108 sayılı sözleşmeyi onaylamamış, konu ile ilgili ulusal mevzuatı ve veri koruma otoritesini hayata geçirmemiştir (Şekil 3.2). Avrupa Konseyi’ndeki ülkelerin hepsi, sadece Karadağ haricinde, ulusal mevzuatlarını hayata geçirmiş, Karadağ da 2011 yılında bu yönde bir düzenleme hazırlanması ve uygulanması Şekil 3.3 Avrupa Konseyi ülkelerinin ulusal mevzuatlarını yürürlüğe koyma tarihleri Pek çok ülke bu konudaki ulusal mevzuatlarını yıllar önce yürürlüğe koymuş durumda Kişisel bilgilerin korunmasına yönelik ulusal mevzuatı yürürlüğe koyan Avrupa Konseyi üyesi ülkeler Hala bu konuda ulusal mevzuatı olmayan ülkeler Türkiye Karadağ Öncesi 1995 96 97 98 99 2000 01 02 03 04 05 06 07 08 09 10 11 12 13 Avrupa Birliği Veri Koruma Direktifi hazırlanmıştır konusunda stratejik bir çalışma yapmıştır. Bu ülkelerin bir kısmı Veri Koruma Yönergesi’nin ortaya çıktığı 1995 yılından önce söz konusu ulusal mevzuatı hayata geçirmişken, o zamana kadar böyle bir düzenleme yapmamış ülkelerin büyük çoğunluğu 10 yıl içerisinde çalışmalarını tamamlamıştır (Şekil 3.3). 43 Kişisel verilerin korunmasının temel haklar boyutundan ötürü, uluslararası anlamda bazı çalışmalar yapılmış ve belgeler üretilmiştir. Verilerin uluslararası alanda korunması, toplanması, işlenmesi ve yayılmasına ilişkin kanunların uygulanması işbirliğini ve ülkelerin ortak hukuki zeminde buluşmasını gerektirmekte, aynı zamanda bilgi akşınının verimli bir hale gelebilmesinin ekonomik kazanımları olabilmektedir. Kişisel verilerin korunmasıyla ilgili olarak kuruluşlar tarafından yapılan çalışmaların önde gelen örneklerine aşağıda değinilmiştir: OECD “Mahremiyetin Korunması ve Kişisel Verilerin Sınır Ötesine İletimi Hakkında Rehber İlkeler” Bilginin serbest dolaşımı esnasında ülkelerin mevzuatının farklılığı nedeniyle çıkan sıkıntıları gidermek için başlayan çalışmalar sonucunda mahremiyetin korunması ve sınır ötesi kişisel veri korunmasını teşvik eden Mahremiyet Rehber İlkelerini 1980 yılında kabul etmiştir. Bu belgede sekiz temel prensip belirlenmiştir: Sınırlı bilgi toplama; Veri kalitesi; Amaca özgülük; Kullanım sınırlaması; Güvenlik önlemleri; Açıklık ilkesi; Bireyin katılımı; Hesap verilebilirlik. Söz konusu ilkeler, “The Seoul Declaration For the Future of the Internet Economy”nin benimsenmesinin akabinde gizlilik ilkelerinin yeniden gözden geçirilmesi ihtiyacı doğmuştur. Yayınlanan ilkelerin üzerinden 30 yılın geçmesi ve bu süre zarfında kişisel verilerin ekonomik, sosyalve kişisel hayatların içerisinde çok daha farklı bir yer tutmaya başladığı vurgulanarak, OECD Working Party on Information Security and Privacy tarafından söz konusu gizlilik ilkelerinin güncellenmesi çalışmalarına başlanmıştır ve çalışmalar devam etmektedir. Avrupa Konseyi “Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme” Daha önceleri sınır ötesi veri işleme üzerine bir belge olmasına rağmen, veri koruma alanındaki ilk uluslararası hukuk belgesidir. Belge kişisel verilerin tamamının veya bir kısmının otomatik yöntemlerle kaydı, bu verilere mantıksal veya aritmetik bazı işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi gibi durumlar karşısında bireyi korumayı amaçlamaktadır. Bu doğrultuda Sözleşme’nin 5’inci maddesindeki temel ilkelere göre veriler: Sadece meşru ve yasal yollarla elde edilmeli ve tutulmalıdır; belli ve meşru bir amaca uygun ve amaçla ilgili şekilde depolanmalı ve kullanılmalıdır; doğru ve güncellenebilir olmalıdır; ilgili kişinin 44 kimliklerinin tespit edilmesine izin verecek şekilde ve sadece bu amaç gerçekleşene kadar muhafaza edilmelidir. Ayrıca, iç hukukta güvence sağlanmadıkça, hassas verilerin otomatik işleme tabi tutulmamasını öngörmüştür. Kişiler açısından da bazı güvencelerden bahsedilmiştir, bunlar: kişilerin kendi hakkında tutulan bilgilere erişebilme, bunları güncelleyebilme, hukuka aykırı işlem sonrasında bu bilgilerin silinmesini isteme, bu haklar kullanılamadığı takdirde hukuki yollara başvurabilme güvenceleridir. Avrupa Birliği 95/46 sayılı Veri Koruma Yönergesi Bu yönerge, Avrupa Birliği’nin kişisel verilerin korunmasındaki temel referans belgesi olarak işlev görmekte ve kişisel verilerin işlenmesi esnasında bireylerin korunması ve bilgilerin serbest dolaşımını düzenlemektedir. 108 Sayılı sözleşmenin devamında AB üyesi ülkelerin veri koruma düzenlemeleri arasındaki farklılık ve çelişkileri gidermek, kişisel verilerin sosyal ve ekonomik anlamda gelişme yönünde etkin ve doğru bir şekilde kullanılabilmesi için kabul edilmiştir. Üye ülkelerin iç hukuklarında belirleyecekleri kişisel verileri koruma düzeyinin asgari sınırını çizmiştir. OECD Rehber İlkeleri’ne nazaran daha geniş olarak düşünülmüş, ilave olarak, hassas veriler, verilerin açıklanması halleri, kayıt hükümleri, ticari iletileri reddetmeye ilişkin liste dışı olma hakkı ve düzeltme hakkına ilişkin özel hükümler bulunmaktadır. Kural olarak, bu yönergeyle bir hak ihdas edildiği takdirde (veriye erişim, işlemeye itiraz, mahkemelerde dava açabilme hakları gibi), AB üye ülkelerde iç hukuka bakılmaksızın kişiler verilen hakkın korunmasını talep edebilmektedir. Söz konusu temel hakların üzerine diğer haklar ile çelişkileri ülkelerin kendilerinin dengelemesi öngörülse de, yönergeyle belirlenmiş olan haklar alt sınır olarak verilmiştir. Söz konusu yönerge, bireylerin mahremiyetini koruma altına almak ile bilginin serbest dolaşımı arasında bir denge sağlamaya çalışmaktadır. Sadece teknolojik araçlar düşünülerek hazırlanmış bir direktif değildir, bağımsız olarak kişisel verilerin işlendiği her durumda geçerlidir. Belirlenen temel ilkelere göre, veriler: • • Adil ve yasalara uygun bir şekilde işlenecektir; Belirlenmiş, kesin ve meşru amaçlar için toplanacak ve sadece bu amaçlar için • • işlenecektir; İşleme amaçları için yeterli ve ilgili olacak, aşırı olmayacaktır; Veri kalitesi sağlanmak için, doğru ve güncel olarak tutulacaklar, yanlış ve eksik olan verinin düzeltilmesi için bütün makul adımlar atılacaktır; 45 • Toplama amacının ve işlemenin gerektirdiğinden daha uzun süre saklanmayacaktır. Bu ilkelerin yanında üye ülkelerde kişisel verilerin korunmasından sorumlu “tam bağımsız” ulusal otorite kurulması öngörülmüş, tam bağımsızlık şartı, kurulacak otoritenin hem kamudan hem de özel sektörden bağımsız karar verebilmesine bağlanmıştır. Ancak tam bağımsızlık için aranan şartlar somut bir şekilde belirlenmemiş, dolayısı ile değişik üye ülkeler farklı şekillerde yorumlamışlardır. Veri koruma otoriteleri hakkında belirlenmiş bağımsızlık kıstasları hala tam olarak somutlaşmamış olmasına rağmen, söz konusu veri koruma otoritesi gibi bağımsız denetim kuruluşları hakkında çalışmalar mevcuttur. Gilardi (2002) bağımsız denetim kuruluşlarının bağımsızlığının nicelik olarak ölçülebilmesi için beş boyut belirlemiştir: kuruluş başkanının durumu, kuruluşun yönetici kurulunun durumu, devlet ve meclis ile ilişkilerin çerçevesi, mali ve teşkilat özerkliği ve verilen yetkilerin kapsamı. Thatcher (2002) ise daha sonra bu boyutlara özel sektörden bağımsızlığı yansıtmak için kuruluş üyelerinin özel sektöre geçme oranlarını da eklemiştir. Söz konusu boyutlar bağımsız denetim kuruluşları için genel olarak tanımlanmış olmasına rağmen veri koruma otoritesinin bağımsızlığını somutlaştırmak için kullanmakta fayda vardır. Bu çalışmaların sonuçlarına benzer şekilde 2001 yılındaki Uluslararası Veri Koruma ve Mahremiyet Komiserleri Konferansında veri koruma otoritelerinin bağımsızlığını tesis etmek üzere akreditasyon ilkeleri belirlenmiştir. Bunlara göre: kuruluş başkanı belirli bir dönem atanacak ve görevi ihmal, meslekten ihraç veya sağlık sebepleri dışında görevinden alınamayacaktır, doğrudan hükümete veya meclise raporlama ve resmi açıklama yapabilecektir, görevi kapsamındaki faaliyetler ile ilgili dokunulmazlık hakkına sahip olacaktır ve soruşturma başlatabilecektir. Avrupa Komisyonu bu bahsedilen şartların karşılanmasına ancak bunların da ötesinde daha ilkesel anlamda bir tam bağımsızlık konusunda oldukça ısrarcı kararlar almıştır. Bunların en önemlilerinden bir tanesi, 2010 yılı Mart ayında Avrupa Adalet Divanı’nın Almanya’yı Direktifin 28’inci maddesinin ikinci fıkrasını, yani tam bağımsızlık şartını, veri koruma otoritesinin hala devlet ile yakın ilişkilerinin bulunması yoluyla ihlal etmekten ötürü mahkum etmesidir. Bu kararının açıklamasında Adalet Divanı, söz konusu otoritelerin dışarıdan ve devlet içerisinde gelebilecek her türlü etkiden uzak olması gerektiği ancak Almanya’daki veri koruma otoritelerinin devlet denetiminde olmasından ötürü bu şarta uymadığı belirtilmiştir. Benzer bir karar 2012 yılında Avusturya’daki veri koruma otoritesinin devletin yürütme organından yeteri kadar bağımsız olmaması sebebiyle tekrar verilmiştir. Kararda veri koruma otoritesinin 46 Başbakanlık kurumu ile pek çok çalışan paylaşması ve Başbakanın veri koruma otoritesinin her türlü faaliyeti hakkında bilgi sahibi olma hakkı eleştirilmiştir. 2012 Veri Koruma Reformu 25 Ocak 2012 tarihinde Avrupa Komisyonu 95/46 sayılı Veri Koruma Yönergesi’ni yeniden yapılandıracak bir düzenleme yapılacağını duyurmuştur. 2014’te onaylanması ve 2016 yılında yürürlüğe girmesi beklenen bu reformun ciddi değişiklikler getirmesi öngörülmektedir: • Yeni düzenlemenin Avrupa Birliği’nin hepsini kapsaması, daha basit olması ve mevcut teknolojiye daha uygun olması, Yeni düzenlemenin üye ülkelere doğrudan uygulanabilmesi, dolayısı ile ilk yönergenin • ülkelerin mevzuatlarına uyarlanması gerekmekteyken bu yönergenin üye ülkeler üzerinde doğrudan uygulanabilecek bir düzenleme olarak hayata geçmesi, Tek bir AB Veri Koruma Otoritesi olması, • • • Kullanıcılara kişisel verilerinin kullanımı konusunda daha çok söz hakkı verilmesi (örn. açıkça rıza vermek, unutulma hakkı), AB merkezli firmaların veri işleme ihlalleri konusundaki iç denetleme ve raporlama sorumluluğunun artırılması, Şekil 3.4 Veri Koruma Reformunun getirdikleri Daha katı AB veri koruma yasaları, veri koruma çıtasını yükseltecektir Eski düzenleme Yeni düzenleme Etki Evet Kısmen – Hayır Tanımlanan kullanım amacı Veri yalnızca belirlenmiş bir sebeple toplanabilir Açık izinler Kişisel bilgilerin kullanılması durumunda, kullanıcıların izin vermesi gerekmektedir Açık bildirimler – – AB’de veri koruma faaliyetlerinin yetkililere bildirilmesi artık zorunlu değildir, onun yerine etki değerlendirmesi gerekmektedir Veri işleyenler, veri ihlallerini en geç 24 saat içinde yalnızca AB yetkilisine bildirmek zorundadır AB’deki kullanıcılar, kişisel bilgilerini herhangi bir neden olmadan silme ya da kontrol etme hakkına sahiptir Dışarıda da uygulanabilir – AB yasası, AB pazarında faaliyet gösteren şirketler ve AB dışı ülkelerdeki veriler için geçerlidir Cezalar – AB, ihlaller için küresel gelirin %2’sine kadar veya 1 milyon avroluk ceza belirlemiştir İhlallerin bildirilmesi Unutulma hakkı KAYNAK: Avrupa Komisyonu, IP/12/46/ ve MEMO/12/41; Veri koruma reformu ile ilgili basın bülteni 47 • AB dışındaki firmalara da uyum zorunluluğu getirilmesi. Avrupa Komisyonu üye ülkelerin hepsini kapsayacak bu düzenleme ile birlikte işletmelerin her ülke için ayrı uyum sağlama prosedürü için harcadığı miktarın 3 milyar avrodan 0,7 milyar avroya düşmesini, veri kullanımını bildirme zorunluluğunu esneterek 0,13 milyar avroluk masrafı kaldıracağını tahmin etmektedir. Bu reformda öngörülen değişiklikler sonucunda bazı riskler de ortaya çıkmaktadır: • • • • Avrupalı şirketlerin diğerlerine göre dezavantajlı konuma düşmesi, İnternet kullanıcılarının kişisel veri işleme izinleri için talep yağmuruna tutulması, Hedefe odaklı reklamların zorlaştırılması sonucu reklam gelirlerinin düşmesi, Reklam gelirlerinin azalması ve masrafların artması sonucu yenilikçi çözümlerin yavaşlaması. Reform sonucunda Avrupa Birliği pek çok diğer gelişmiş örneğe nispeten çok daha detaylı ve sıkı bir veri koruma politikası ortaya koymuş olacaktır. Örneğin kullanım amacının belirtilmesi, açıkça kullanıcının rızasının istenmesi gibi, kişisel verilerin çalınması halinde bilgi verilmesi konularında ABD’de bazı uygulamalar mevcut olmasına rağmen Veri Koruma Reformu çok daha sıkı denetleme öngörmektedir. Unutulma hakkı, yurtdışındaki kullanımlar hakkında hükümler vermek ve cezalar konusunda ise ABD’de bir uygulama bulunmazken, Avrupa Birliği sıkı Şekil 3.5 AB ve ABD veri koruma politikalarının karşılaştırması Yeni AB düzenlemesi ABD’deki düzenlemeye kıyasla çok daha detaylı ve katıdır Mevcut çerçeve kapsamında mıdır? Olası etki alanı Reform 2014 Belirli kullanım amacı Açık izinler Açık bildirimler İhlallerin bildirilmesi Unutulma hakkı Dışarıda da uygulanabilir Cezalar KAYNAK: Avrupa Komisyonu, IP/12/46/ ve MEMO/12/41; Veri koruma reformu basın bülteni; Rusya Federasyonu Anayasası; Rusya Kişisel Veri Yasaları; İşletme Yazılımı Birliği, 2011 48 Düzenlenmiş Kısmen düzenlenmiş Nitelendirilmemiş denetleme ortaya koymaktadır (Şekil 3.5). Bu sıkı düzenlemesinden ötürü Avrupa Birliği ülkelerindeki kurum ve kuruluşların diğer ülkelerle bilgi paylaşımı da kısıtlanmış, belli kurallara bağlanmıştır. Avrupa Birliği’ne üye ülkelerdeki kişisel verilerin “üçüncü ülke” olarak nitelendirdikleri Avrupa Birliği dışına taşınabilmesi için Avrupa Komisyonunun veya firmanın bağlı olduğu ülkenin veri koruma otoritesinin izni gerekmektedir. Bu izin: • Düzenlemeleri yönergeye uygun olan ve tam bağımsız veri koruma otoritesi yeterli görülen ülkelerin Avrupa Komisyonu’na başvurması ve kabul edilmesi sonucunda verilebilmekte ve tüm üye ülkeler tarafından tanınmaktadır. “Beyaz liste” olarak adlandırılan bu listenin içerisinde başlıca İsviçre, Kanada ve Arjantin bulunmaktadır. • ABD ile ise Safe Harbor (Güvenli Liman) Gizlilik İlkeleri üzerine özel bir anlaşma sağlanmıştır. Üye ülkelerin veri koruma otoriteleri tarafından Avrupa Komisyonunun beyaz listesi • dışında kalan ülkeler için belli kurallara göre değerlendirmenin ardından verilebilmektedir. Ülkesi yeterli veri koruma güvencesi sunmayan şirketlere, bu şirketlerin faaliyetleri ile ilişkili Avrupa Birliği üye ülkesinin veri koruma otoritesi tarafından da belli şartlar karşılığında verilebilmektedir. 3.3 Yeni teknolojiler Teknolojilerin gelişmesine paralel olarak kişisel verilerin kullanımı sadece artmamış aynı zamanda değişik biçimler almış, bu söz konusu değişimler de kişisel verileri güvence altına alan hukuki altyapının hem bu teknolojik gelişimlerin ekonomik potansiyelini gözetip hem de temel haklar çerçevesinde bireylerin mağdur edilmemesine özen gösteren şekilde uyum sağlamasını zorunlu kılmıştır. Bu doğrultuda hukuki altyapının karşılaması gereken iki teknolojik eğilim ön plana çıkmaktadır: Bulut bilişim ve çevrimiçi davranışsal reklamcılık. 3.3.1 Bulut bilişim Bulut bilişim, teknik altyapı masraflarını düşürerek maliyet avantajı sağlayan bulut bilişim teknolojisi hızla yaygınlaşmakta ve dünyanın pek çok yerinde tercih edilen bir teknoloji haline dönüşmektedir. Ancak alışılmış veri saklama ve işleme yöntemlerinden farklı bir teknik altyapı ile çalıştığından dolayı hukuki anlamda bazı karışıklıklar çıkartmaktadır. 49 Bulut bilişim hizmetleri maliyetleri düşürmesi, kullanım kolaylığı, Müşteri maliyeti açısından yerinden yazılıma göre %22’lik bir avantaj sağlayan bulut bilişim hizmetlerinin dünya çapında pazar büyüklüğünün 2010 yılından 2016’ya kadar yıllık ortalama %18 hızıyla büyümesi beklenmekte, bu büyümeye göre 2010 yılında 77 milyar dolar olan pazar büyüklüğü 2012 yılında 111 milyar dolar ve 2016 yılında 210 milyar dolara ulaşacaktır.38 Ciddi maliyetler yaratabilecek siber güvenlik gereksinimlerini karşılayamayacak küçük boylu işletmeler açısından da bulut bilişim hizmetleri siber güvenliği artıracak bir alternatif olacaktır. Fakat bulut bilişim hizmetleri hukuki anlamda, özellikle kişisel verilerin korunması açısından bazı sıkıntılar da doğurmaktadır. Hizmet sağlayıcıların kullandığı sistemlerin dağınık ve yüksek sayıda olmasından dolayı kişisel verilerin nasıl, nerede, kim tarafından işlendiğini ve kimlere işletildiğini öğrenmeyi zorlaştırmakta, bu konuda kişisel verilerin güvence altında olup olmadığına dair şüpheler uyandırabilmektedir. Bu şüpheler özellikle bir ülke için değerli olan verilerin bulut bilişim hizmetlerine teslim edilmesi halinde hangi ülke sınırları içerisinde ve nasıl işleneceğinin de net bir şekilde bilinememesinden dolayı ulusal güvenlik endişelerine neden olabilmektedir. Bunun yanı sıra bulut bilişim işletmecileri kişisel veriler konusunda hassas ülkelerden aldıkları verileri bu hassasiyeti göstermeyen, dolayısı ile daha esnek mevzuata sahip, ülkelerde işleyebilmekte oldukları için, hassas ülkeler tarafından güvenilememektedir. Nitekim doğası gereği standart hizmeti pek çok müşteriye sunarak ölçek ekonomisi ile birlikte maliyetleri düşüren bulut bilişim işletmecileri, farklı devletlerin farklı kişisel veriler mevzuatının olmasından dolayı yerel gerekliliklere uymak zorunda kaldıklarında zorlanmaktadır.39 Söz konusu sıkıntılar özellikle Avrupa Birliği’nin bulut bilişim konusunda daha sıkı bir mevzuat benimsemesinden ötürü çoğunluğu ABD kaynaklı bulut bilişim hizmetlerine şüphe ile yaklaşması ile gündeme gelmiştir. 2011 yılının Şubat ayında Danimarka Veri Koruma Ajansı ve Eylül ayında Hollanda devleti bazı Amerikan bulut bilişim şirketlerinin gerekli güvenceyi sağlamadığını gerekçe göstererek kamu hizmetlerinde kullanılmasını uygun görmemiştir.40 38 Bulut bilişim pazarı ve büyümesi Birinci Eksen kapsamında daha detaylı bir şekilde incelenmektedir 39 Article 29 Data Protection Working Party, July 2012, Opinion on Cloud Computing 40 Bloomberg BNA, Şubat 2012, Cloud Computing Under the European Commission’s Proposed Regulation to Revise the EU Data Protection Framework 50 3.3.2 Çevrimiçi davranışsal reklamcılık Davranışsal reklamcılık kullanıcıların internet kullanımını izleyerek zaman içerisinde profillerini oluşturma ve bu bilgileri kullanarak internet üzerinden her kullanıcının gördüğü reklamın kendi profiline uygun şekilde seçilmesini sağlamaktadır. Daha verimli ve etkin olan bu reklamcılık yöntemi ekonomik faydalarının yanı sıra, kişilerin internet üzerindeki hareketlerini kaydedip işlediği için kişisel veriler açısından bazı sakıncalar yaratmakta ve pek çok kullanıcıyı internet kullanırken tedirgin etmektedir. Dolayısı ile ekonomik faydaları ve temel haklar açısından sakıncaları göz önüne alarak bir hukuki altyapı oluşturulması ihtiyacı doğmuştur. Reklamları kullanıcının tercihlerine göre ayarlayabilmek için reklam ağlarının en sık kullandığı yöntem kullanıcının bilgisayarına yerleştirilen “cookie” dosyalarının değişik sitelerin ziyaret edilmesi sırasında takip edilmesi ile birlikte tercih edilen içerikleri baz alarak belli profiller oluşturmaktadır. Kullanıcılar bu cookie dosyalarını silebilmekte ve pek çok internet tarayıcı program da kendiliğinden bu işlemi yapabilmektedir. Ancak bu yöntem sadece reklam ağlarının işbirliği içerisinde olduğu sayfalara yapılan ziyaretlerin izlenmesine izin vermekteyken, son yıllarda daha geniş bir takibi mümkün kılan bir yöntem de kullanılmaya başlanmıştır. Reklam ağları internet servis sağlayıcılar ile anlaşmaya girmekte, kullanıcının gezindiği şifrelenmemiş sitelerin içeren bütün internet trafiği cookie dosyaları yardımıyla izlenebilmektedir. Özellikle kullanıcının rızası alınmadan yapılan bu izleme kişisel verilerin izinsiz kullanımına yol açabilmekte, internet tarayıcıların sunduğu yöntemler ve opt-out mekanizmaları bu yönde yeterli görülmemektedir. Article 29 Data Protection Working Party, yeterli güvencenin sağlanması için kullanıcının açık izninin alınması ve bunun üzerine bazı ilave şartlar getirmiştir: • • İzlemenin belli bir süre ile sınırlandırılması Kullanıcıya verdiği iznin kaldırabilmesi için kolay bir mekanizma sunulması • Kullanıcının farkında olabilmesi için izlemenin gerçekleştiği süre boyunca görünebilir işaretlemeler kullanılması 51 3.4 Türkiye’de Mevcut Durum Türkiye’de de bilgi teknolojilerinin gelişmesi ile birlikte bilgi toplanması ve işlenmesi kolaylaşmış ve yaygınlaşmış, dolayısı ile kişisel verilerin kullanımı da artmıştır. Bu artan kullanım ile paralel olarak potansiyel mağduriyetler de artmış, temel hak ihlalleri yaygınlaşmıştır. Bunların yanı sıra mevzuat eksikliğinin doğurduğu mevcut güvence eksikliğinden ötürü ekonomik fırsatlar da kaçırılmaktadır. Gelişmiş ülkelerde gözlemlenen kişisel verilerin korunması yönündeki toplumsal bilinç ve talebin Türkiye’de de benzer seviyede mevcut olduğunu söylemek güçtür. Son zamanlarda kişisel veriler konusu daha sık gündeme gelmeye başladıysa da, hem bireylerin hem de kurum ve kuruluşların bu konuda yeterli bilgi ve hassasiyete sahip olmadıkları görülmektedir. Geçmiş yıllarda kişisel verilerin korunması gerektiği konusunda farkındalık eksikliğini gözler önüne seren birkaç olay yaşanmıştır. 2007 ve 2008 seçimlerinde Yüksek Seçim Kurulu tarafından askıya çıkartılan 18 yaşından büyük yaklaşık 50 milyon kişiye ait kişisel veriler bazı kişiler tarafından ele geçirilmiş, internet üzerinden Adres Rehberi adıyla adı, soyadı, TC kimlik numarası, anne baba adı, doğum yeri, vb. sorgulamasına izin veren bir program halinde, 1.500 TL’ye satılmıştır. Konut Edindirme Yardımı (KEY) hak sahiplerine yapılacak geri ödemelerde hak sahiplerinin adı, soyadı, T.C. kimlik numarası ve sosyal güvenlik numaralarının birlikte yer aldığı listelerin internette ve 17 Temmuz 2008 tarihli Resmi Gazete’de yayımlanması da benzer bir şekilde kişisel verilerin şeffaflaşmasına neden olmuş ve çeşitli mağduriyetlere sebep olmuştur.41 Gelişmiş ülkelerde böyle olaylar belli kaygı ve çekinceleri tetiklemekte, bu kaygılar da bireyleri bilgi teknolojilerinden uzak tutmakta ve bu teknolojilerin sosyal ve ekonomik potansiyelinin kullanılamamasına neden olmaktadır. Oysa Türkiye’de bu olaylar olmasına rağmen, ciddi kaygılar ve çekinceler doğmamaktadır ve dolayısıyla kişisel verilerin korunması yönünde toplumsal ve siyasi baskılara dönüşmemektedir. Temel hakların yanı sıra, Türkiye’nin Avrupa Birliği ile ilişkileri boyutunda da pek çok alanda bilgi paylaşımı ve işbirliği fırsatları kaçırılmaktadır. Bu fırsatlar iki başlık altında toplanabilir: • Kamu kurumlarının daha etkin işlemesi, yurtdışındaki muadilleri ile daha rahat işbirliği içerisine girmesi. 41 Dilek Yüksel Civelek, “Kişisel Verilerin Korunması ve Bir Kurumsal Yapılanma Önerisi”, Nisan 2011, Bilgi Toplumu Dairesi Başkanlığı 52 • Özel sektör kuruluşlarının Avrupa Birliği ülkelerinde güvenle çalışabilmesi, Türkiye’de bilgi işlenen sektörlerin yurtdışından müşteri çekebilmesi ve şirketler arasında bilgi paylaşımının kolaylaştırması. Örneğin, ülkemizde BİT sektörünün hızla büyümesi için Avrupa’ya bulut bilişim hizmetleri sunmak gibi seçenekler düşünülmesine rağmen Avrupa Birliği ülkeleri tarafından güvenilir ülke olarak görülmek ve kişisel verilerin korunduğuna dair güvence verebilmek kritik önem taşımaktadır. Bu konuda yeteri güvenin sağlanması, gelişmiş ülkelerde olduğu gibi sistematik bir düzenleme ile mümkündür. Dolayısıyla Türkiye’deki hukuki altyapının ve uygulamaların Avrupa Birliği beklentileri ile uyumlu olması gerekmektedir. 3.4.1 Türkiye’nin katıldığı uluslararası sözleşmeler Usulüne göre yürürlüğe konulmuş Milletlerarası anlaşmalar kanun hükmündedir ve temel hak ve özgürlüklere ilişkin konularda çıkabilecek uyuşmazlıklarda milletlerarası anlaşma hükümleri esas alınmaktadır. Avrupa İnsan Hakları Mahkemesi, kişisel verilerin korunmasında temel ilkelerin büyük bir bölümünü Türkiye'nin de taraf olduğu Avrupa İnsan Hakları Sözleşmesi 8. maddesi kapsamında tanımaktadır. Dolayısıyla, sözleşme hükümlerinin sınır ve kapsamlarının belirlenmesi açısından AİHM’nin yorumunun önemi açık olup, kanuni düzenlemelerin AİHM önünde ihlal kararına neden olmamasına özen gösterilmelidir. Ayrıca Türkiye kişisel verilerin korunması ile ilgili 108 sayılı Sözleşme’yi 1981 yılında imzalamış olmasına rağmen, imzacı devletin öngörülen ilkeler çerçevesinde bir yasa kabul etmesi zorunluluğunu henüz yerine getirmediğinden Sözleşme’yi onaylayamamıştır. Veri Koruma Yönergesi’ne uyumlu bir düzenlemeye de henüz sahip olmayan Türkiye, uluslararası beklentileri karşılayamadığı için “güvenilmez ülke” olarak nitelendirilmektedir. 3.4.2 Kişisel verilerin anayasal güvence altına alınması Türkiye’de temel haklar doğrultusunda kişisel veriler Anayasa’da pek çok açıdan güvence altına alınmıştır. Kişisel verilerin korunması, ilk olarak insan onurunu korunmasının bir gereğidir; insan onuru, Anayasa Mahkemesi’ne göre "insanın ne durumda, hangi şartlar altında bulunursa bulunsun sırf insan oluşundan kazandırdığı değerin tanınmasını ve sayılmasını anlatır. Bu öyle bir davranış çizgisidir ki, ondan aşağı düşünce, muamele ona muhatap olan insanı insan olmaktan çıkarır” ve Anayasa’nın 5 ve 17. maddelerindeki hükümlerle güvence altına alınmıştır. 53 Ancak Türkiye’de kişisel verilerin korunması özellikle Anayasanın 20. maddesinde düzenlenen özel hayatın gizliliği ile doğrudan ilişkili olarak değerlendirilmektedir. 13 Mayıs 2010 tarihli ve 27560 sayılı Resmi Gazete’de yayımlanan 5982 sayılı Türkiye Cumhuriyeti Anayasası’nın Bazı Maddelerinde Değişiklik Yapılması Hakkında Kanun’un 2’nci maddesiyle, Anayasa’nın 20’nci maddesine aşağıdaki fıkra eklenmiştir: “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla islenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Anayasa’nın 20’nci maddesinin 3. fıkrasına eklenen bu düzenlemeyle Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesine paralel olarak kişisel verilerin korunması, temel bir hak ve özgürlük olarak açıkça bir anayasa normuyla korunması gereken hak haline getirilmiştir. Ayrıca normda kişisel verinin kendisinin korunması kadar kişisel verinin işlenmesi de düzenlenmiş ve koruma altına alınmıştır. Ancak söz konusu düzenlemede, kişisel verilerin korunmasına ilişkin esas ve usullerin yasa ile düzenlenmesi gerektiği belirtilmesine ve bu konuda yasama organına bir görev verilmesine rağmen Türk Ceza Kanunu dışında ayrıca bir düzenleme bugüne kadar yapılmamıştır. Anayasa’nın 25 ve 26. maddelerinde düşünce ve ifade özgürlüğünü düzenleyerek, kişisel verilerin, özellikle hassas bilgilerin, toplanmasına ve işlenmesine karşı bir korunma getirilmiştir ve bu temel haklar sadece kanunlarla kısıtlanabilmektedir. Bu durumda herhangi bir anlatım aracıyla dış dünyaya yansımamış, insanların yalnızca zihinlerinde kurguladıkları düşüncelere sınırlama getirilmesi söz konusu olamaz. Bu düşünceden yola çıkılarak düşünce özgürlüğünün ayrı bir koruma gerektirmediği de düşünülebilir. Oysa kişisel veriler açısından bakıldığında ve özellikle internet kullanımı dikkate alındığında, korumanın mutlak niteliği oldukça önemli bir sonucu getirmektedir. Zira internet üzerindeki her hareket bir iz bırakmaktadır ve dolayısıyla sanal ortamda alışveriş yapan, forumları ziyaret eden, çeşitli haberleri okuyan bir kişinin bu hareketlerine ilişkin bilgilerin toplanıp ayrıntılı bir profilinin oluşturulması özel yaşamın gizliliği hakkı ile düşünce özgürlüğünün ihlali anlamına gelebilmektedir. Kişinin düşüncesini açıklamak yönünde bir iradesi bulunmamasına rağmen, ipuçlarından hareketle böylesi sonuçlar çıkarılması mümkündür ve düşünce ve ifade özgürlüğünü sunan anayasal maddeler dolayısıyla, kişisel verilerin toplanmasına ve işlenmesine karşı normatif bir güvence sağlanmıştır. 54 Ancak yinelemek gerekecektir ki, bu anayasal güvencelerin etkin bir şekilde uygulanabilmesi için gerekli olan çerçeve yasa niteliğindeki düzenlemeler henüz hayata geçememiştir. Bir kişi, sadece Anayasal düzenlemeye dayanarak kişisel verilerinin izinsiz kullanıldığını iddia edememekte, mahkemeler önünde hakkını araması için kanuni bir düzenlemeye ihtiyaç duymaktadır. Zira Anayasa düzenlemeleri normatif düzenlemeler olmakta ve geniş bir çerçeve çizmektedir ve Anayasa hükümlerinde suç ve yaptırım bulunmamaktadır. 3.4.3 Kişisel Verilerin Korunması Kanun Tasarısı Ülkemiz kişisel verilerin korunması konusunda henüz çerçeve niteliğinde bir yasal düzenlemeye sahip değildir. Ülkemizde, bu yöndeki stratejiler daha önceden Sekizinci Beş Yıllık Kalkınma Planı’nda (20012005) ve Dokuzuncu Beş Yıllık Kalkınma Planı’nda (2007-2013) kişilik haklarının korunmasına yönelik bir hedef olarak belirlenmiş, ancak planlanan düzenleme hayata geçmemiştir. E-devlet projesi kapsamında 2003 ve 2004 yıllarında yapılacak iş adımlarının yer aldığı Kısa Dönem Eylem Planı’ndaki 17 numaralı eylemle Adalet Bakanlığı’na Kişisel Verilerin Korunması Hakkında Kanun’un çıkarılması sorumluluğu verilmiş ve planın uygulandığı dönemde söz konusu kanun taslağı 2 Haziran 2004 tarihinde Başbakanlığa sevk edilmiş, kurumların görüşleri alındıktan sonra yeniden değerlendirilmek üzere Adalet Bakanlığı’na geri gönderilmiştir. Bilgi Toplumu Stratejisi’nde henüz yasalaşmayan Kişisel Verilerin Korunması Kanun Tasarısı Taslağı’na yeniden yer verilmiş, ayrıca kritik önem taşıyan ulusal bilgilerin korunması ile ilgili bir Bilgi Güvenliği Kanunu çıkarılması planlanmıştır. Adalet Bakanlığı geri gönderilen taslağı yenileyerek 9 Kasım 2005 tarihinde Başbakanlığa sunmuş ve Başbakanlık taslağa ilişkin bazı değişiklikler yaptıktan sonra TBMM’ye iletmiştir. Tasarı, 2008 Mayıs ayında ilk önce esas komisyon olarak Adalet Komisyonu’na gönderilmiş, daha sonra alt komisyona havale edilmiştir. Ancak araya TBMM seçimlerinin girmesi nedeniyle yasalaşamayınca içtüzük gereğince hükümsüz sayılmıştır. Veri Koruma Yönergesi’ne büyük oranda uyumlu olarak hazırlanan bu tasarı, esas olarak, kişisel verilerin yasal ve dürüst bir şekilde toplanması ve işlenmesi, belirli ve meşru amaçlar için güncelleştirilmesi ve kullanım amacına uygun bir süre için muhafaza edilmesi, verilerin amaca aykırı olarak paylaşılmaması, veri sahibi kişinin hakkındaki verileri öğrenme, değiştirme ve gerekirse silme haklarını düzenlemektedir. 55 Tasarıda benimsenen yaklaşım, çerçeve bir yasa ile kuralların belirlenmesi, ancak sektörlerin kendi gereksinimlerine uygun özel düzenlemelerle bu güvence sisteminin tamamlanması doğrultusundadır. Nitekim kişisel verilerin korunması ilkelerinin düzenlendiği çerçeve yasa, etkin bir güvence sistemi için ilk adımdır. Tasarı, kanunla verilen görevleri yapmak üzere yetkilerini bağımsız olarak kullanacak bir Kişisel Verileri Koruma Kurulu kurulmasını içermektedir. Tasarıya göre yedi üyeden oluşacak ve altı yıl görev yapacak olan Kurul Üyelerini ve Kurul Başkanı’nı Bakanlar Kurulu seçecektir. Kurulun görev ve yetkileri başlıca; kişisel verileri işlenerek kişilik hakları ihlal edilenlerin şikayetleri konusunda karar vermek, bu kişiler bakımından telafisi güç veya imkansız zararların doğması ihtimali halinde geçici önlemler almak, veri işlenmesine ilişkin düzenleyici işlemleri hazırlamak, sicilin tutulmasını sağlamak, yurt dışına veri aktarımına ilişkin tereddütlü durumlarda karar vermek ve ulusal ve uluslararası makamlarla işbirliği içinde bulunmak, gerekirse araştırma ve teknik yardım projeleri hazırlamak ve yürütmek olarak belirlenmiştir. 2012 yılının Mart ayı içerisinde tasarının üzerinde yeniden çalışılmasında yarar olacağı belirtilmiş ve ilgili kurum ve kuruluşlarının görüşüne sunulmuştur. Gelecek görüş ve eleştiriler çerçevesinde gözden geçirilmesi planlanmıştır. Tasarı Taslağı Başbakanlığa gönderilmiş ancak henüz TBMM’ye sevk edilmemiştir. Adalet Bakanlığından 3.4.3.1 Mevcut kanun tasarısının Veri Koruma Yönergesi’ne uyumluluğu Üzerinde uzun yıllardır çalışılan ve hala hayata geçirilememiş olan kanun tasarısının en önemli amaçlarından bir tanesi de Avrupa’daki kurum ve kuruluşlarla işbirliklerini ve bilgi paylaşımını mümkün kılacak olmasıdır. Dolayısı ile tasarı hakkındaki yorumların Veri Koruma Yönergesi’ne atıf yapması kaçınılmaz olacaktır. Ancak mevcut durumda üzerinde çalışılmakta olan ayrı bir Tasarı Taslağı olduğu ve bu Taslağın içeriğinin hükümsüz sayılan Taslaktan farklı olabileceği ve söz konusu değerlendirmelerin geçersiz kalabileceği göz önünde bulundurulmalıdır. Kanun tasarısının tüzel kişileri de kapsaması Söz konusu kanun tasarısında “tüzel kişilere ilişkin bütün bilgilerin” kişisel veri kapsamında değerlendirileceği açıkça belirtilmiştir. Oysa tasarı hazırlanırken örnek alınan 95/46 AT sayılı Veri Koruma Yönergesi ve uluslararası düzenlemelerin büyük bir bölümü yalnızca gerçek kişilerin verilerini koruyan düzenlemelerdir. Tüzel kişilerin kapsam dahiline alınmasıyla, kişisel verilerin korunmasının temel felsefesi ile çelişilmektedir. Kişisel verilerin korunması, başta özel yaşamın gizliliği hakkı olmak üzere 56 kaynağını temel hak ve özgürlüklerde bulmaktadır ve bu kapsama tüzel kişilerin de alınması, sadece korumanın zayıflama tehlikesini getirmektedir. Tüzel kişiler belirli bir hedefi gerçekleştirmek için kurulmaktadır, oysa insanın yalnızca insan olmaktan kaynaklanan ve doğuştan geldiği kabul edilen hakları vardır. Nitekim tüzel kişilerin verilerinin korunması, hukukumuzda başka bir alan olan ticari sırların konusunu oluşturmaktadır. Tasarıda tüzel kişilerin kapsama alınmasının tercih edilme sebebi, 2002/58 sayılı Yönerge ile tüzel kişilerin de koruma kapsamına alınması ve 2003 yılında yürürlüğe giren İtalyan Veri Koruma Kanunu’nda da benzer yaklaşımın izlenmesidir. Bu yaklaşım bazı sorunlara neden olabilecektir. 2002/58 AT Yönergesi özel bir alan olan telekomünikasyon sektöründe kişisel verilerin korunmasına ilişkin ilkeleri belirleyen bir metindir ve bu şekliyle 95/46 AT’yi tamamlar ve güçlendirir. Zira 2002/58 AT’deki “tüzel kişiliği haiz abonelerin yasal çıkarlarının korunması” hükmünün amacı, abonenin tüzelkişi olması halinde yasal çıkarlarına zarar gelmesini önlemektir ve tüm tüzel kişilerin kapsama alındığı anlamına gelmez. Özel niteliği olan kişisel veriler Tasarıda özel niteliği olan kişisel veriler düzenlemesi konulu 7. madde Yönerge ile uyumlu yapılmış olmasına rağmen, bazı önemli farklılıklar gözükmektedir. Örneğin Yönerge’de kişilerin cinsel yaşamları özel nitelikte kişisel veriler arasında sayılırken bu konu Tasarı kapsamına alınmamıştır. “Özel yaşam” kavramı kişisel verilerin hemen hemen tamamını kapsadığından, bazı veri türlerinin daha sağlam güvencelerle korunmasını sağlamayabilir. Özellikle 7. maddenin 3. hükmüne göre özel ve aile yaşamına dokunulmaması, kamu yararının gerektirmesi ve ilgili mevzuatta yeterli korumanın bulunması koşulları ile özel niteliği olan kişisel verilerin Kurul kararı ile işlenebileceği belirtilmiştir. Bu hükümde geçen “kamu yararı” ile “yeterli koruma” kavramlarının geniş anlamlar içermesi, veri koruma otoritesine verilen bu yetkinin amaçlanan seviyeden daha geniş bir alanda kullanılması ihtimalini doğurmaktadır. Bu kapsamda özellikle söz konusu otoritenin oluşum şekli dolayısıyla yürütmeye bağımlı olduğu göz önünde bulundurulmalıdır. Bütün bu değerlendirmelerin sonucu olarak 7/3 hükmü adeta özel nitelikteki kişisel verileri diğerlerine göre daha düşük bir seviyede koruyormuş gibi bir algı oluşmaktadır. Veri koruma otoritesi Tasarının 4. Kısmında düzenlenen Kişisel Verileri Koruma Kurulunun görev ve yetkilerinin son derece geniş biçimde düzenlenmesi, kurulun Türkiye’de kişisel verilerin korunması açısından kilit bir konumda olacağına işarettir ve dolayısıyla tam bağımsız olması kritik önem taşımaktadır. 57 Bu konuda yukarıda belirtilmiş olan beş boyutta da bağımsızlık sağlanmalıdır: kuruluş başkanının durumu, kuruluşun yönetici kurulunun durumu, devlet ve meclis ile ilişkilerin çerçevesi, mali ve teşkilat özerkliği ve verilen yetkilerin kapsamı. Tasarıda öngörülen kurul, Bakanlar Kurulu’nun seçtiği 7 üyeden oluşmakta, Kurulun başkanı yine Bakanlar Kurulunca, başkan vekili ise kurul tarafından kendi üyeleri arasından seçilmektedir. Kurulun yetkileri bağımsız olarak kullanacağı belirtilmişse de, bu seçim yöntemi kurul üyeleri ve yürütme organları arasındaki ilişkinin devam etmesi tehlikesi taşımaktadır. Almanya ve Avusturya’daki veri koruma otoritelerinin devletten yeteri kadar bağımsız olamaması sonucunda Avrupa Adalet Divanı’nda mahkûm olmaları, Türkiye’nin de bu konudaki hassasiyetten ötürü baskı görmesine neden olabilecektir. Bunların yanında mali ve teşkilat özerkliğinin de söz konusu Tasarıya göre önemli ölçüde karşılandığını, kurulun bağımsız bir bütçesinin olması ve kendi sekretaryasına sahip olmasının sonucunda söylemek mümkündür. Hukuka uygunluk halleri Tasarıdaki hukuka uygunluk halleri, Yönerge ile paraleldir, ancak bu düzenlemelerin dar yorumlanması gerekmektedir. Aksi halde hakkın özüne dokunarak ihlal gerçekleşmesi söz konusu olmaktadır. Tasarıdaki 5. maddenin 2 hükmü uyarınca yeterli koruma sağlandığında kişisel veriler, tarihsel, istatistiksel veya bilimsel amaçlarla yeniden işlenebileceği gibi kaydedildikleri amaçtan daha uzun süre muhafaza edilebilmektedir ve 10. madde uyarınca bu esnada kişi ile ilişkilendirilmesi gerekmiyorsa anonimleştirilmelidir. Aynı alana ilişkin düzenlenmiş iki farklı hüküm olması uyulacak esaslar açısından karışıklık yarabilir. Ayrıca bu noktada verilerin tutulma sürelerinin bu kez de belirtilen istisna kapsamındaki amaçların gerçekleşmesi ile sınırlı olacağı unutulmamalıdır. Kimlik numaraları Yönerge, ulusal kimlik numaralarının kullanımını devletlerin takdirine bırakmıştır. Tasarıda 7. maddenin 6. hükmü kimlik numarasına ilişkin usul ve esasların yönetmelik ile düzenleneceğini belirtmiştir. Doğası gereği olumsuz kullanıma açık olan bu numaralar büyük bir hassasiyet içermektedir ve düzenlemesinin Tasarı kapsamına alınması düşünülebilir. Diğer yorumlar Tasarıda, veri işleme türü ve hükümlerinin uygulanacağı alan bakımından, otomatik yolla işlenen veriler ile elle işlenen kişisel veriler arasında herhangi bir ayrım öngörülmemesi olumludur. 58 Tasarıya göre, yasayla öngörülen yükümlülüklerin yerine getirilmesi halinde ilgili kişi ancak itirazda bulunması durumunda veriler işlenemez. İnsan hakları kapsamında değerlendirildiğinde kişisel verilerin işlenmemesinin kural, işlenmesinin istisna olması daha uygun bir çözüm olarak durmaktadır. 3.4.3.2 Paydaşların kanun tasarıları hakkında çakışan bakış açıları Bu konuda ulusal mevzuatın hayata geçememesinin nedenlerinden biri paydaşların böyle bir tasarının gerekliliği ve getirileri konusunda çelişen bakış açıları olmasından kaynaklanmaktadır. İnsan hakları bilinci ve yurtdışı ile ilişkiler derinleştikçe bakış açıları olası bir veri koruma kanununu desteklemeye yönelse de, şu anki mevcut durumda kişisel verilerin korunması konusunda paydaşların üç önemli bakış açısı vardır: • Bireyler, böyle bir kanun tasarısı ile kişisel verilerinin güvence altına alınması ve özel • yaşama saygı hakkının tesis edilmesinden dolayı destek olmaktadır, fakat toplumun genelinde yüksek bir bilinç söz konusu değildir. Bazı kurum ve kuruluşlar, bilgiyi daha rahat ve etkin kullanmak ve bu bilgileri kullanarak • daha verimli iş modelleri oluşturmak istedikleri için böyle kısıtlayıcı bir kanun tasarısına karşı çıkmaktadır. Özellikle yurtdışı uzantıları olan faaliyetler gerçekleştirmek isteyip, bilgilerin korunmasına dair güvence veremedikleri için engellenen kurum ve kuruluşlar ise, uluslararası standartlarda bir ulusal mevzuatı desteklemektedir. Tablo 3.1 Paydaşların olası bir veri koruma kanununa bakış açıları İlgili Destekleyici Görüşler Kamu Kurumları • Veri Koruma Yönergesi ile uyumlu bir tasarı Europol, Schengen Bilgi Sistemi gibi uluslararası organizasyonlar ile veri paylaşımı ve işbirliğinin önünü açacak, terörle mücadele, organize suçlar ve yurtdışı uzantıları olan suçların takibi kolaylaşacaktır. 59 Karşıt Görüşler • Ülke içinde veri toplama ve işleme özgürlüğü önemli ölçüde kısıtlanacaktır. Bilgi toplama, tutma ve işleme aşamalarındaki özgürlükleri ciddi anlamda azalacak, etkinlik azalacaktır. • Adli takip sırasında bilgi toplanması ve işlenmesi kısıtlanacaktır. İlgili Destekleyici Görüşler • Kişisel verilerin paylaşımı konusunda belirsizlikler ve sorumluluklar ortadan Karşıt Görüşler • kalkacak, yeknesak uygulamalara geçilecektir. • Düzenli çalışacak kişiler verilerin korunmasına yönelik yeni bir kurumun yaratacağı bütçe yükü yüksek olacaktır. Eurojust gibi yurtdışındaki adli sistemler ile bilgi paylaşımının önü açılacak, yurtdışı uzantısı olan davalar daha hızlı ilerleyebilecektir. • Kişisel verilerin paylaşımı konusunda belirsizlikler ve sorumluluklar ortadan kalkacak, yeknesak uygulamalara geçilecektir. Özel sektör • Türkiye’yi “güvenilmez ülke” olarak gören ülkelerin şirketleri ile bilgi paylaşımı mümkün hale gelecektir. Bilişim ve sağlık gibi sektörlerde yurtdışındaki müşterilerin bu sektörlerde Türkiye’yi tercih edebilmesinin önünü açacaktır. Vatandaşlar • Kişisel veriler güvence altına alınacaktır. Hem kamu hem de özel sektör tarafından maruz bırakılan mağduriyetler azalacaktır. 60 • Veritabanlarındaki mevcut kişisel verilerin işlenmesi kısıtlanacak, firmalara ilave denetim ve düzenlemeler gelecektir. 3.4.3.3 Mevzuat eksikliğinin sonuçları Mevzuat eksikliği sonucunda, pek çok kamu kurumu uluslararası işbirliği imkanını kullanamamakta ve hizmetlerinde çok daha etkin olma fırsatını kaçırmaktadır. Özel sektör kuruluşları ise yurtdışı ile bilgi akışını düzenleyecek ve yurtdışındaki müşterilerine ya da muadillerine güvence verecek bir ulusal mevzuat eksikliği yüzünden önemli bir ekonomik potansiyeli kaçırmaktadır (Tablo 3.2). Tablo 3.2 Kurumların mevzuat eksikliği ile yaşadığı sorunlar Alan Temel sorunlar41 İçişleri ve kolluk kurumları • Europol en az iki AB Üyesi Devletin etkilendiği organize suçlarla mücadelede işbirliğini geliştirmeye yönelik faaliyet göstermektedir. Operasyonel İşbirliği içerisinde oldukları ülke ve kuruluşlarla sistemindeki kişisel verileri ve hassas verileri paylaşabilmektedir. Ancak Türkiye “yeterli veri koruma standartlarına sahip” bir ülke olarak görülmediği için Operasyonel İşbirliği Anlaşması imzalanamamaktadır ve suçla mücadelede önemli imkanlar kaçırılmaktadır. • Schengen Bilgi Sistemi, AB Üyesi Devletler arasında sınır ötesi takip ve izleme konularında işbirliği ve haberleşmeyi sağlamak üzere kurulmuş kişi ve olaylara ait gerekli bilgilerin bulunduğu ortak bir veritabanı sistemidir. Ancak Türkiye’de bir veri koruma kanunu bulunmaması sebebiyle bu sistemden faydalanılamamakta, yurtdışında uzantıları olan vakalarda bilgi edinme imkanları kısıtlanmaktadır. • Kişisel verilerin korunmasına ilişkin yasal düzenleme bulunmaması sebebiyle Fransa ve Belçika ile güvenlik işbirliği anlaşması yapılamamaktadır. 61 Alan Temel sorunlar41 Dışişleri • Yabancı ülkelerin temsilciliklerimizden talep ettiği bilgilerin kişisel veriler olup olmadığı konusunda belirsizlikler olması sebebiyle bu taleplerde yeknesak uygulama sağlanamayabilmektedir. Adli kurumlar • Avrupa Konseyi ülkeler, Türkiye’de kişisel verilerin korunması yönünde bir güvence olmaması sebebiyle, Türk mahkemelerince yapılan istemleri geri çevirmektedir. Türkiye’de büyümesi öngörülen bazı sektörlerin gelişmesi ve yurtdışından müşteri çekebilmesi için kişisel verilerin korunması kritik rol oynamaktadır. Örneğin önümüzdeki dönemde yurtdışından gelen talebin daha da artması beklenen sağlık hizmetleri için potansiyel müşterilerin, bu konuda standartlara uygun bir güvence olmaması, sebebiyle başka seçeneklere yönelmesi önemli bir ekonomik bir fırsatın kaybına neden olacaktır. Özellikle kişisel verilerin kullanımını içeren yeni teknolojilerin yaygınlaşması ve bu teknolojilerin ekonomik potansiyelinin ciddi boyutlara ulaşması bu konuda düzenlemeler yapılması ihtiyacını artırmıştır. Ayrıca yabancı firmaların bağlı oldukları ülkelerin mevzuatları ellerindeki verilerin Türkiye’deki firmalara aktarılmasına izin vermediği için ülkemizde varlık gösterememekte ve dolayısıyla önemli yatırım imkanları kaçırılmakta, ve yine bu eksiklikten ötürü, yurtdışında iş yapan Türk firmalar müşteri verilerinin işlenmesi konusunda sıkıntılar yaşamakta ve artı değer yaratma imkânını kaçırmaktadır. 3.4.4 Kişisel veriler ile ilgili diğer düzenlemeler Çerçeve niteliğinde bir kanun henüz yürürlüğe girmemesine rağmen kişisel verilerin korunması ile ilişkili mevzuat mevcuttur. Nitekim söz konusu biçimde bir kanunun yasalaşması halinde dahi gerekli düzenlemeler ile ilgili bakanlık ve kurumların kanuna uyumlu bir şekilde kişisel verilerin kullanımını güvence altına alması gerekmektedir. Ayrıca, mevcut ikincil düzenlemelerin de söz 62 konusu kanunun yasalaşması haline uyum sağlayacak şekilde yeniden düzenlenmesi gerekmektedir. Kişisel verilerin toplanması ve kullanılmasını işleyen mevcut düzenlemelerin ilgili kısımları aşağıda sunulmuştur: Medeni Kanun ve Borçlar Kanunu • Türk Medeni Kanunu 24. madde, "Saldırıya karşı ilke", 25. madde, "Saldırıya karşı davalar" ve Türk Borçlar Kanunu 58. madde, "Kişilik Hakkının Zedelenmesi": Söz konusu maddeler kişinin gizli alanına sızarak sırlarını öğrenme, teknik aygıt ve araçlarla kaydetme, resmini ve filmini çekme, ayrıca bunları yayma ve aktarma gibi eylemlere karşı özel yaşamın ihlali kapsamında koruma getirmiştir. Bu tür eylemlere karşı, Medeni Kanun ve Borçlar Kanunu kapsamında koruma getirilmiştir. Bu tür saldırıların meşru görüldüğü şartlar da mevcuttur Özel yaşam alanı ihlal edilen kişinin rızasının bulunması, müdahalenin kamu yararının gereklerinden olması ya da başkalarının haklı çıkarları bulunması bu kapsamda sayılabilmektedir. Genel olarak bakıldığında söz konusu hükümlerde bir eksiklik bulunmamaktadır, yeterince kapsayıcıdır. Ancak kişisel verilerin korunmasına yönelik bir yasa düzenlemesinin yerini tutmamakta, zira önleyici bir sistem değil saldırının gerçekleşmesinden sonra işleyebilecek bir sistem öngörülmektedir. Dolayısıyla çerçeve niteliğinde bir kanun ile bütünleyici rol oynayacaklardır. • Türk Borçlar Kanunu 419. madde, özel kanun hükümlerini saklı tutmak kaydıyla işverenin, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabileceğini belirtmiştir. Elektronik Haberleşme Kanunu • Elektronik Haberleşme Kanunu 6 ve 51. maddeler, "Kişisel verilerin işlenmesi ve gizliliğin korunması": Bilgi Teknolojileri ve İletişim Kurumu’nu, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirlemeye yetkili kılmıştır. Tüm kanun kapsamında, kişisel verilerin korunmasına ilişkin tek bir hüküm vardır ancak kişisel verilerin korunmasına dair kapsayıcı güvenceyi sağlamamaktadır. Kişisel verilerin korunmasına dair tasarının yasalaştırılmasıyla birlikte bu kanunda da kişisel verilerin korunmasına ilişkin uyumlu düzenlemeler yapılması gerekmektedir. Konuya ilişkin gerekli düzenlemeleri yapmakla görevli olarak Bilgi Teknolojileri ve İletişim Kurumu belirlenmiştir, ancak düzenlemelerin neyi kapsaması gerektiğine değinilmemiştir. 63 Telekomünikasyon Sektörü Kişisel Veriler Yönetmeliği • Telekomünikasyon Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması Hakkında Yönetmelik: Telekomünikasyon sektöründe kişisel verilerin işlenmesi ve gizliliğin korunmasının güvence altına alınmasına ilişkin usul ve esasları belirler. Türk Ceza Kanunu • Türk Ceza Kanunu, 135-138. maddelerde "kişisel verilerin kaydedilmesi, yayılması ve yok edilmemesini” ayrı ayrı suçlar olarak düzenlenmektedir. Kişisel verilerin korunmasına ve Anayasa’nın 20. maddesinde yer alan normla korunması amaçlanan hukuksal değeri uygulama geçiren koruma hükümleri burada yer almaktadır. Bu maddelerde yapılan düzenlemelerle kişisel verilerin hukuka aykırı olarak işlenmesi suç sayılmış, ancak hangi hallerde hukuka aykırı, hangi hallerde hukuka uygun olduğuna dair açıklama yapılmamıştır. Ayrıca kişisel verinin ne olduğu mevzuatta tanımlanmadığı için suç normu belirlilik ilkesine aykırılık oluşturabilecek niteliktedir. Bunun yanı sıra 135. Maddenin 2. Fıkrasında nitelikli kişisel verilerin kaydedilmesinin de suç oluşturduğu belirtilmekle beraber bunların suçun nitelikli hali olduğu belirtilip daha fazla ceza ile cezalandırılması yolu hatalı olarak tercih edilmemiştir. Ceza Muhakemesi Kanunu • Ceza Muhakemesi Kanunu 135-138. madde, "Telekomünikasyon yoluyla yapılan iletişimin denetlenmesi”: Telekomünikasyon yoluyla yapılan iletişimin sadece katalog şekilde sayılan belirli suçlar için ve şüphe derecesinin kuvvetli şüpheye ulaşmış olması halinde denetlenmesine izin vermiştir. Yine bu maddelerin esas ve usullerinin düzenlendiği “Ceza Muhakemesi Kanununda Öngörülen Telekomünikasyon Yoluyla Yapılan İletişimin Denetlenmesi, Gizli Soruşturmacı ve Teknik Araçlarla İzleme Tedbirlerinin Uygulanmasına İlişkin Yönetmelik” ve “Telekomünikasyon Yoluyla Yapılan İletişimin Tespiti, Dinlenmesi, Sinyal Bilgilerinin Değerlendirilmesi ve Kayda Alınmasına Dair Usul ve Esaslar ile Telekomünikasyon İletişim Başkanlığının Kuruluş, Görev ve Yetkileri Hakkında Yönetmelik” mevcuttur. İletişimin denetlenmesi kararının katalog şekilde sayılan belirli suçlar için ve şüphe derecesinin kuvvetli şüpheye ulaşmış olması halinde verilebilmesi, kişisel verilerin korunması açısından yerinde bir düzenleme olmuştur. Ancak başka yasalarda yapılan değişiklikler veya yeni düzenlemelerle, katalog suçlar genişletilebilmekte ve bunların sonucunda öngörülmeyen terslikler ortaya çıkabilmektedir. İletişimin denetlenmesi kararı verilmesi için "Başka surette delil elde 64 etme imkanının bulunmaması" ek koşulunun uygulamada gerekçelendirilmesi zor olduğundan dolayı istismara açık bir esneklik yaratmaktadır. • Ceza Muhakemesi Kanunu m. 140 "Teknik araçlarla izleme" (Jandarma Teşkilat, Görev ve Yetkileri Kanunu ek 5. madde ve Polis Vazife ve Salahiyet Kanunu ek 7. madde ile birlikte): Kişilerin teknik araçlarla görüntü kaydının alınmasının ve bu şekilde izlenmelerinin hukuksal temelleri bulunmaktadır. 140. maddeye dayanılarak yapılan izleme, adli kolluk faaliyetleri olmasından dolayı, somut bir suçla ilişkilidir. Ancak polis, jandarma ve MİT tarafından somut bir suç şüphesi bulunmadan istihbarat ya da suçların önlenmesi amacıyla kişilerin görüntülerinin izlenmesi ve kayda alınması olanaklıdır. Bu uygulamaların meşru olması için, sınırlamalarının yasayla belirlenmesi ve ölçülü olması gerekmektedir. • Ceza Muhakemesi Kanunu m. 75: Bir suça ilişkin delil elde etmek amacıyla şüpheli/sanığın veya mağdurun beden muayenesi ve vücudundan örnek alınmasına ilişkin hükümler (Ceza Muhakemesinde Beden Muayenesi, Genetik İncelemeler ve Fizik Kimliğin Tespiti Hakkında Yönetmelik ve Polis Vazife ve Salahiyet Kanunu 5. madde, “Parmak izi ve fotoğrafların kayda alınması” ile birlikte): Kolluk kuvvetlerinin olay yeri incelemesi sırasında alınan örneklerle yapılan inceleme sonuçlarının başka bir amaçla kullanılamayacağı ve dosya içeriğini öğrenme yetkisine sahip bulunan kişiler tarafından bir başkasına verilemeyeceği hüküm altına alınmıştır. Polis Vazife ve Salahiyet Kanunu 5. madde ile hemen hemen herkesin parmak izinin alınması ve kaydedilmesi öngörülmekte, dolayısı ile amacın ceza kovuşturması veya belirli bir suç türüyle mücadele değil, genel bir önlem olduğu düşünülebilmektedir. Ayrıca aklanma ile verilerin silinmesi arasında bağlantı kurulmadığından dolayı, söz konusu verilerin sistemde kalacağı potansiyel sürenin ileride fişlenmeye mahal vermeyecek şekilde kısıtlanması istismarı engelleyecektir. • Ceza Muhakemesi Kanunu 134. madde, "Bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve el koyma": Cumhuriyet savcısı talebi ile bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve el koyma işleminin yapılmasına ilişkin ilkeler, yöntem ve yetkili makamları düzenlemiştir. Bilgisayarlarda arama yapılabilmesine ilişkin ayrı bir düzenleme yapılması, yerinde olmuştur, ancak şifre çözülemiyorsa, bilgisayar ve benzeri aygıt kopyalanamıyorsa veya ortada mecburi bir durum varsa bilgisayar alınıp götürülebilmektedir. Ancak bu düzenleme sonucunda uygulamada üzerinde delil aranan aygıt aslının kişide kalması 65 gerekirken, kolluk güçleri yanlarında gerekli makinenin olmamasını gerekçe göstererek bilgisayarı götürebilmekte ve hukuka aykırı durumlar ortaya çıkabilmektedir. Uygulamada hemen hemen tüm işlemler bu şekilde yapılmakta, tutanaklarda sağlam ve gerçeğe uygun bir gerekçe bulunmamakta bu da elde edilen delilleri hukuka aykırı hale getirmektedir, oysa ortada bir hakim kararı varsa, tüm ekipman da hazır olmalıdır. • Ceza Muhakemesi Kanunu’nda Öngörülen Telekomünikasyon Yoluyla Yapılan İletişimin Denetlenmesi, Gizli Soruşturmacı ve Teknik Araçlarla İzleme Tedbirlerinin Uygulanmasına İlişkin Yönetmelik: Ceza Muhakemesi Kanunu’nda öngörülen telekomünikasyon yoluyla yapılan iletişimin denetlenmesi, gizli soruşturmacı ve teknik araçlarla izleme tedbirlerine ilişkin talepte bulunulması, kararların alınması ve uygulanmasında uyulacak usul ve esasları belirlemiştir. Yönetmelik hem internet servis sağlayıcıların hem de telekomünikasyon şirketlerinin kullanıcılarının kişisel verilerinin toplanması, işlenmesi ve depolanması konularını gayet kapsamlı ve isabetli bir şekilde düzenlemiştir. İş Kanunu • İş Kanunu 75. madde, “İşçi Özlük Dosyası”: İşvereni, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlü kılmıştır. İşçinin kişisel verilerinin kişilik haklarına zarar verecek şekilde kullanılması halinde kanundaki bazı hükümlere başvurarak sorunu çözmek olanaklı olsa dahi, kanundaki düzenlemeler genel anlamda kişisel verilerin korunması açısından yetersiz kalmakta, kanun ancak Türk Ceza Kanunu, Medeni Kanun ve Borçlar Kanunu’ndaki genel hükümler yorumlanarak bir ölçüde güvence sağlayabilmektedir. Adli ve Önleme Aramaları Yönetmeliği • Adli ve Önleme Aramaları Yönetmeliği 27. madde, vd. "Aramaların yapılış şekli": Düzenlemelerde, durdurma ve kontrol işlemleri, karar veya yazılı emir üzerine üst ve eşya aramasının icrası, araçlarda arama, konut, işyeri ve eklentilerinde aramanın yapılması, aramanın zamanı ve nezarethanelerde yapılacak aramaya ilişkin hususlar bulunmaktadır. Hem adli hem önleme aramaları için düzenlenmiştir ancak adli kolluk ve idari kolluk etkinlikleri kişisel verilerin korunması açısından değerlendirildiğinde farklı sonuçları beraberinde getirmektedir. Çünkü yasaların suç saydığı bir eylemin gerçekleştirilmesinin ardından parmak izi, DNA profili gibi kişisel verilerin toplanması 66 ve değerlendirilmesi, şüpheli veya sanığın telefon görüşmelerinin dinlenmesi ya da görüntülerinin kayıt altına alınması ile genel asayişin sağlanması, suçluluğun önlenmesi gibi gerekçelerle belirsiz sayıda kişiye ilişkin bu bilgilerin toplanması ve değerlendirilmesi birbirinden farklıdır. Bu sebeple, her iki arama türüne dair düzenlemelerin ayrı ayrı oluşturulması gerekmektedir. 3.4.5 Yeni teknolojiler 3.4.5.1 Bulut bilişim Ülkemiz için bulut bilişim hizmetlerinin yaygınlaşmasının gerektirdiği hukuki altyapının etkilediği iki boyut vardır: kurum ve kuruluşların bulut bilişim hizmetlerini kullanabilmesi ve işletmeciler tarafından ülke içerisine ve dışına bulut bilişim hizmetlerinin sunulabilmesi. Avrupa Birliği üyesi ülkelerdeki mevzuat bulut bilişimin kullanımı açısından yeteri kadar esnek olmamasına rağmen, ülkemizde bu yönde düzenlemelerin eksik olmasından ötürü kullanımı sınırlayan bir sistemden söz etmek mümkün değildir. Nitekim ülkemizde pek çok kurum ve Şekil 3.6 Veri koruma konusunda bulut bilişime hazırlık seviyesi Türkiye’nin bulut bilişimde yatırım çekebilmek için hukuki altyapısını geliştirmesi gerekmektedir Bulut bilişim hazır olma seviyesi, veri gizliliği 2011 8.8 6.5 6.5 6.4 6.2 Kaynak: Business Software Alliance 67 3.5 3.2 2.8 Güney Afrika 3.5 3.5 Singapur 4.1 4.1 Tayland 4.7 4.6 Çin 5.0 Türkiye Rusya İtalya Polonya İspanya Fransa Almanya ABD İngiltere Malezya Meksika Avustralya Kanada Japonya Güney Kore 5.4 Vietnam 6.6 6.5 Hindistan 7.1 6.9 Endonezya 7.5 Brezilya 8.1 7.9 Arjantin 9.3 kuruluş bulut bilişim hizmetlerini kullanmaya başlamıştır.42 Fakat bu sınırlamanın olmaması bu hizmetleri kullanacak kurumların hizmet alımında güvenlik kaygılarını arka plana itebilmekte, dolayısı ile sağlanan güvenlik seviyesinin yeterliliğini ve kurumların veri tabanlarında tutulan milyonlarca bireye ait kişisel verilerin ne oranda korunabildiği konusunda şüphe uyandırmaktadır. Mevzuat eksikliği aynı zamanda Türkiye içerisinde sunulan bulut bilişim hizmetlerinin de gerekli hukuki sınırlamalar çerçevesinde belli güvenceler sağlamaya zorlamamakta ve diğer ülkelerdeki işletmecilerin ulusal mevzuatların yeterliliği dolayısıyla sundukları güveni ülkemizdeki hizmet sağlayıcıların sunamamasına neden olmaktadır. Özellikle Veri Koruma Yönergesi uyarınca Avrupa Birliği ülkeleri kişisel verileri sadece belli güvenceler sunan ülkelere aktarabildikleri için, Avrupa’daki kurum ve kuruluşlara bulut bilişim hizmeti sunabilmek için de bu güvencelerin sağlanması ön şart haline gelmiştir. Özellikle teknik altyapı hizmetleri sunulması noktasında gelişmiş ülkelerin bulut bilişim ihtiyaçlarını daha ucuza karşılayabilecek ülkelerden karşılaması beklenmektedir. Ancak gelişmiş ülkelerin veri koruma düzenlemelerinin bu hizmeti sağlayan ülkenin güvenilir ülke olmasına dikkat etmesinden ötürü gelişmekte olan ülkelerin çoğu bu güvenilirliği sağlayacak hukuki altyapıya sahip olmadıkları için bulut bilişim hizmetlerini sunma konusunda büyük problemler yaşayabilecektir. Hala “güvenilmez ülke” olarak nitelenen ve mevzuat eksikliği çeken Türkiye de bu güvenceyi sağlayamadığı için dezavantajlı bir duruma düşmüştür. Nitekim Business Software Alliance’ın 42 Ulusal kamu bilgi teknolojileri uygulamalarından MERNİS, UYAP, SAY2000i, EKAP gibi projelerde taşra şubeleri merkezi sunuculardaki uygulamalardan faydalanmakta, ayrıca Aile ve Sosyal Politikalar Bakanlığı’ndaki gibi ince istemci kullanımı içeren, kapsamlı bir bulut bilişim projesi tüm bakanlığa hizmet vermektedir. Aile ve Sosyal Politikalar Bakanlığında bulut bilişime geçilmesiyle 5 farklı genel müdürlüğün bilgi işlem birimleri birleştirilmiş ve sistemdeki 320 sanal sunucu vasıtasıyla pek çok uygulama merkezileştirilmiştir. Bu sayede veri merkezlerindeki toplam kabin sayısı %87 ve enerji kullanımı %68 azaltılmış, işletim sistemi kurma süresi 3-4 saatten 15 dakikaya indirilmiş, yedekleme süresi 2 günden 4 saate indirilmiş ve bilgi teknolojileri sistemlerinin yönetiminde uzaktan yönetime geçilmiştir. Ayrıca yaklaşık 300 ABD dolarına alınan ince istemciler bulut bilişim desteğiyle çoğu kullanıcının ihtiyacını gidermekte, donanım maliyetini ve elektrik tüketimini azaltmaktadır. İnce istemci kurulumu sayesinde son kullanıcılara ait cihazlarda yazılım güncellemelerine de gerek kalmamaktadır. (Türkiye Bilişim Derneği, Nisan 2012, "Kamuda Bulut Bilişim 1. Çalışma Grubu Raporu”) 68 bulut bilişime hazır olma seviyelerini ölçtüğü araştırmada, veri gizliliği kıstası da incelenmiş, bu alanda Güney Kore, Japonya ve Kanada gibi ülkeler 10 üzerinden 8’in üzerinde not alırken, Türkiye incelenen ülkeler arasında en gerilerde kalmış ve sadece 3,5 almıştır. (Şekil 3.6) Ancak güvenilir ülke statüsüne gelmesini sağlayacak kişisel veriler düzenlemelerini yapması halinde ülkemiz çok büyük bir bulut bilişim pazarına açılma ve BİT sektörünü büyütme potansiyeli yakalayabilecektir. Dolayısı ile kişisel verilerin kullanımı ve özellikle bulut bilişim özelinde bu kullanımların nasıl olacağının düzenlenmemesi, hem kullanım açısından güvenlik gerekliliklerinin yeteri kadar denetlenememesine hem de hizmet sunumu açısından gerekli güvencenin verilememesine neden olmaktadır. 3.4.5.2 Çevrimiçi davranışlar reklamcılık Kişisel verilerin korunmasına yönelik mevzuatın eksik olmasından dolayı internet kullanımı esnasında da çevrimiçi davranışsal reklamcılık amacıyla kullanıcıların izlenmesine yönelik kanuni bir denetleme çerçevesi mevcut değil, fakat ikincil düzenlemeler ile sektörel denetlemeler mümkündür. Yakın zamanlarda özellikle DPI43 yönteminin kullanımı ile birlikte çevrimiçi davranışsal reklamcılık yapılması konusu kamuoyunun gündemine gelmiştir. Kamuoyunda bu konuda haberler çıkmış ve TTNet ile ortak çalışma yürüten Phorm Solutions firmasının, internet kullanıcılarının trafiklerini takip ettiği, kişisel veri güvenliğini ve gizliliğini ihlal ettiği iddia edilmiş, BTK da kişisel verilerin gizliliğinin ve güvenliğinin sağlanması hususunda konuya yaklaşacağını belirtmiştir.44 Ardından BTK tarafından TTNET'in Phorm Şirketi aracılığıyla kişisel veri ihlali yaptığı iddiası ile ilgili soruşturma açılmış, yapılan açıklamada kullanıcılardan opt-out şeklinde alınan onay dahilinde kişisel verilerin hangi kapsam ve süre ile işleneceğinin belirtilmemesinin Elektronik Haberleşme Sektöründe Tüketici Hakları Yönetmeliği’ni ve Telekomünikasyon Sektöründe Kişisel verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmeliği’ni ihlal ettiği belirtilmiştir.45 43 Derin Paket İncelemesi (Deep Packet Inspection.) 44 Bilgi Teknolojileri ve İletişim Kurumu, 23 Kasım 2011, PHORM SOLUTIONS Firması ile ilgili, Medyada Çıkan Haberler Hakkında Basın Açıklaması 45 Bilgi Teknolojileri ve İletişim Kurumu, 14 Aralık 2012, TTNET AŞ'nin Phorm Şirketi Aracılığıyla Kişisel Veri İhlali Yaptığı İddiası ile ilgili Bilgi Teknolojileri ve İletişim Kurumu Kararı 69 4 Güvenli İnternet 4.1 Genel Bakış Geçtiğimiz yıllar içerisinde inanılmaz bir hızla yayılan ve günlük hayatın parçası olan internetin etkisinin büyüklüğünden, sunduğu özgür ortamdan ve sonuç olarak bu ortamın imkan sağladığı yenilikçi çözümlerin bireylerin hayatını derinden değiştirdiğinden ve ciddi anlamda bir sosyal ve ekonomik gelişme sağladığından şüphe yoktur. Ancak bu faydalara imkân veren özgür ve kontrolsüz ortam pek çok olumsuz eylem ve içeriğe de ev sahipliği yapmaktadır. Fiziksel dünyada sıkı düzenleme ve denetimlerle düzenlenen eylemler internet üzerinde rahatlıkla ve kolaylıkla yapılır bir hale gelmiş, ayrıca internetin doğasından ötürü pek çok yeni olumsuz eylemin gerçekleşmesi ve içerikler yayılması da mümkün olmuştur. İnternette olumsuz içerik ve eylemlerin bireylere doğrudan zararı olmaktadır ve dolayısıyla bu olumsuzluklardan çekinen bireyler internet kullanımından kaçınmaktadır. Bireylerin interneti yeteri kadar rahatlıkla benimsemediği durumda ise, internetin sosyal ve ekonomik potansiyeli tam anlamıyla gerçekleştirilememektedir. Bu fırsatların hayata geçmesi ve toplumsal gelişmeye imkan vermesi için internetin olumsuz etkilerinin kısıtlanması gerekmektedir. Elbette, internetin sunduğu katkıların önemli bir bölümünün açıklık ve özgürlükten geldiği düşünüldüğünde, olumsuz içeriklerin kısıtlanmasına yönelik eylemler internetin doğasına karşı geleceği görülecektir. İnternetin vasfının zayıflaması internetin potansiyel faydalarının da benzer oranda zayıflamasına neden olacağı için internetin daha güvenli bir hale gelmesine yönelik atılacak adımların bu dengeyi gözetmesi gerekmektedir. Bu doğrultuda sosyal ve ekonomik gelişim için internetin kullanımının daha güvenilir bir hale gelmesini amaçlayan ülkeler de “güvenli internet” politikaları takip etmekte, belli adımlar atarak bireylerin interneti kullanırken karşılaştıkları olumsuzlukları azaltmaya çalışmaktadır. 4.1.1 İnternetteki tehlikeler ve sonuçları Bireyler internet kullanımı esnasında çok çeşitli tehlikelere maruz kalmaktadır, bu tehlikeler üç kategori altında incelenebilir: İçerik, temas, ticari (Şekil 4.1). İçerik risklerinin içerisinde kışkırtıcı içerikler ve yanıltıcı içerikler bulunmaktadır. Kışkırtıcı riskler kategorisi altında şiddet içeren, nefret içeren, ırkçı ya da cinsel içerikli resimler gibi unsurlar bulunmaktadır. 70 Temas risklerinin içerisinde çevrimiçi ve çevrimdışı riskler bulunmaktadır. Çevrimiçi riskler kategorisi altında sanal zorbalık (cyber-bullying)46, cinsel talepler ve gizliliğe müdahale sayılabilmekte, çevrimdışı risk de çevrimiçi başlayan ilişkilerin gerçek hayatta temasa dönüşmesi ile doğan riskleri içermektedir. Ticari riskler içerisinde de internet kullanıcısının kimlik avı (phishing)47 gibi yöntemlerle dolandırılması ve internet kullanıcının kişisel verilerinin istismar edilmesi sayılabilmektedir. Sosyal mühendislik yöntemleri kullanıcıları kandırıp, mali kazanç sağlama amacıyla sıklıkla kullanılmaktadır. Bu tehlikelerin önemli bir kısmı internetle birlikte çok daha kolay hayata geçirilebilir hale gelmiş Şekil 4.1 İnternet üzerindeki riskler İnternetteki riskler 3 kategoride sınıflandırılabilir Kışkırtıcı içerik İçerik Yanıltıcı içerik Sanal zorbalık İnternetteki riskler Çevrimiçi temas Cinsel talepler Çevrimdışı temas Gizliliğe müdahale Temas Mali istismar Ticari Kişisel bilgilerin istismarı Kaynak: De Moor et al. (2008) Teers and ICT: Risks and opportunities ve bu tür tehditler internet öncesi dönemde çok düşük seviyede olmasına rağmen, internetle birlikte ciddi seviyeye yükselmiştir. 46 Bilgi teknolojilerini karşıdakine utandırmak, incitmek veya zarar verme amaçlı kullanmak. (The National Crime Prevention Council) 47 E-posta aracılığı ile kullanıcıların bilgilerini girmek için sahte internet sitelerine yönlendirilip kişisel bilgilerinin çalınması 71 Çocukların cinsel istismarının internetin yaygınlaşması ile çok ciddi boyutlara ulaşması bu duruma örnek olarak verilebilir. 1995 yılında, internet henüz İngiltere’de yaygınlaşmaya başlamadan önce, Manchester polisi tüm yıl toplamda 12 adet uygunsuz çocuk resmi, fiziksel resim ya da video olarak, ele geçirmiştir. İnternet öncesi dönemde yüzlerce resmin söz konusu olduğu bir gözaltı büyük dalgalanma yaratabilecekken, aynı ekip, internetin artık yaygınlaştığı 1999 yılında, hepsi bilgisayar üzerinde ve internet üzerinden alınmış, toplam 41.000 resim uygunsuz çocuk resmi ele geçirmiştir. 2003 Aralık ayında İngiltere’de bir kişi 450.000 uygunsuz çocuk resmi bulundurmaktan hüküm giymiş, New York’ta bir adrese yapılan baskın sonucunda yaklaşık bir milyon resim ele geçirilmiştir. Sadece çocukların cinsel istismarı boyutunda değil, pek çok diğer boyutta da internet zararlı veya yasadışı içerik ve eylemler için katalitik etki yaratmıştır. İnternet üzerinden yaşanan dolandırıcılık gibi siber suçlar pek çok kullanıcıyı etkiler hale gelmiştir. 2012 yılı içerisinde, internet kullanıcılarının %46’sının, sosyal ağ kullanıcılarının %39’unun ve mobil internet kullanıcılarının %13’ünün siber suç mağduru olduğu tahmin edilmektedir (Şekil 4.2). İngiltere’de siber suçların vatandaşlara yıllık toplam maliyetinin 3,1 milyar pound olduğu tahmin edilmekte; bu maliyetin 1,7 milyar poundunun kimlik hırsızlığından, 1,4 milyar poundunun da Şekil 4.2 Siber Suç Mağduriyeti Siber suçlar pek çok kullanıcıyı etkilemekte, yeni eğilimler ile bu tehdit devam etmektedir. Sosyal ağ kullanıcıları tedbir alma ihtiyacı duymuyor Siber suç mağduru olma oranı 2012 İnternet kullanıcılarının ~%46 Sosyal ağ kullanıcılarının ~%39 Mobil internet kullanıcılarının ~%13 KAYNAK: Norton Siber Suç Raporu 72 Sosyal ağlarda siber suç tehlikesi olmadığına inananlar ~%25 Kullandıktan sonra her seferinde hesabından çıkmayanların oranı ~%33 Hesabının gizlilik ayarlarına dikkat etmeyenlerin oranı ~%51 Sosyal ağlarda tehlikelere karşı güvenlik çözümü kullanmayanların oranı ~%13 çevrimiçi dolandırıcılıktan kaynaklandığı düşünülmektedir.48 2002 yılında Jupiter Research’ün yaptığı bir araştırmaya göre, güvenlik kaygıları yüzünden kaçırılan internet ticaretinin boyutu 2001 yılında 5,5 milyar dolar, 2006 yılında ise 24,5 milyar dolar olarak tahmin edilmektedir. 4.1.2 Çocuklar ve gençlerin korunması İnternetin ortaya çıkması ve yaygınlaşması esnasında çocukların ve gençlerin kullanımı ön planda olmamış, dolayısıyla bu açık ve özgür yapı içerisinde çıkabilecek zararlı içeriklerin, henüz bilinçli bir şekilde kendisini koruma kabiliyetine sahip olmayan bireyler tarafından kullanılabileceği göz önünde bulundurulmamıştır. Ancak günümüzde internet kullanım yaşı düşmekte ve gittikçe daha küçük yaşta çocuklar interneti kullanmaktadır. Avrupa Birliği içerisinde 9-16 yaş arasındaki çocukların günde ortalama 88 dakika internet kullandığı tespit edilmiş, çocukların %60’ının her gün internete eriştiği ancak ebeveynlerinin sadece %49’unun her gün internete eriştiği görülmüştür.49 Gittikçe daha küçük yaşta çocuklar internete erişmesinin yanında, internetteki değişimler sonucunda da çocukların internet üzerinden olumsuz içeriklere maruz kalma miktarı da önemli oranlarda artmıştır. 2001’de yapılan bir araştırma 8-13 yaş aralığındaki çocukların sadece %4’ünün internet üzerinden pornografik içeriğe ve sadece %4’ünün internet üzerinden şiddete uğradığını tespit etse de,50 bu durum yıllar içinde daha büyük boyutlara ulaşmış, 2008 yılında yapılan bir araştırma 10-12 yaş arasındaki çocukların %40,7’sinin benzer olumsuzlukta içeriğe maruz kaldığını tespit etmiştir.51 2010 yılında yapılan EU Kids Online araştırması da Avrupa Birliği’ndeki çocukların %14’ünün cinsel içerikli internet sitelerine maruz kaldığını, bunun yanında da çocukların %6’sının sanal zorbalık (cyber-bullying) mağduru olduğunu göstermiştir.49 Artan oranlarda olumsuz içeriğe maruz kalınmasına rağmen çocukların internet kullanım kabiliyetleri sınırlı seviyededir ve internet kullanım yaşı küçüldükçe internet kullanma kabiliyeti olmayan çocuklar bu tür olumsuzluklarla yüz yüze gelmektedir. EU Kids Online araştırması 48 Detica, (2011) The Cost of Cybercrime 49 EU Kids Online, Final Report II, 2011 50 Valkenburg and Soeters (2001) 51 Valcke (2008) 73 sonucunda küçük çocukların zararlı içerik veya eyleme maruz kalmaları durumunda çok daha yanlış hareketler yaptığı ve kötü sonuçlarla karşılaşmaları sonucunda da sorunu başkalarından gizlediği ortaya çıkmıştır. Yine aynı araştırma çerçevesinde çocukların internette güvenlik ve bilgi kullanımı konusunda belirlenen 8 kilit becerinin ne kadarına sahip olduğu sorgulanmış ve 14-16 yaş grubu içerisinde olan çocukların ortalama 5,0 tanesine, 11-13 yaş grubu içerisinde olan çocukların ise ortalama 3,3 tanesine hakim oldukları görülmüştür. Ayrıca araştırma kapsamındaki çocukların %44’ünün sosyal ağ profillerindeki güvenlik ayarlarını değiştiremediği, %44’ünün internet sitelerinde rastladıkları bilgilerin doğruluğunu sınayamadıkları, %48’inin internet geçmişini silmeyi bilmediği ve %49’unun da istenmeyen e-postaları engelleyemediği görülmüştür.49 Teknik yetersizliğin ötesinde çocukların internet kullanımı esnasında bir bilinç eksikliği de mevcuttur. 2008 yılında yapılan bir araştırmaya göre çocukların yaklaşık %70’i internet üzerinde ev adresini ya da e-posta adresini vermekte bir sakınca görmemektedir.52 İnternet kullanımı konusunda kabiliyetleri artırılan çocuk ve gençlerin interneti daha yüksek oranda kullanması sonucunda olumsuz tecrübelerden daha çok zarar görmesinden çekinilebilecektir. Ancak internet kullanma kabiliyetleri daha yüksek oranda olan çocukların daha fazla olumsuz içeriğe maruz kaldıkları, ancak buna rağmen, internet kullanma kabiliyeti düşük olan çocuklara nispeten çok daha az zarar gördüğü görülmüştür.53 2005 yılında yapılan bir başka araştırmada internet üzerinden olumsuz içerik ya da eyleme maruz kalan çocuk ve gençlerin bu tecrübe sonrasında stres, korku veya depresyon belirtileri gösterdiği görülmüştür.54 Çocuklarının psikolojik ve sosyal açılardan sağlığı ve çocuklarının internetteki içerikler aracılığı ile edinebileceği uygun görülmeyen değerler konusunda hassas olan ebeveynler de dolayısı ile internete daha şüpheli yaklaşabilmekte, çocuklarının internet kullanımını kısıtlamaya55 yönelebilmektedir. Özellikle bu konuda etkin kısıtlama ve kılavuzluğu gösterebileceğine inanmayan ebeveynler ise tümden sınırlandırmaya gidebilmekte, hanelerindeki internet kullanımını da bu kaygılarla kısıtlayabilmektedir. 52 Kierkegaard (2008). 53 EU Kids Online, Final Report II, 2011. 54 Cho and Cheon (2005). 55 Bu yöndeki ebeveynlerin gözetim çabaları üç şekilde olmaktadır: Sınırlayıcı gözetim, aktif gözetim, teknik gözetim 74 Dolayısıyla çocuklar ve gençlerin internet kullanımı konusunda ebeveynlerin çekinceleri nedeniyle bilgi teknolojilerinin sunduğu sosyal ve ekonomik potansiyelin tam anlamıyla hayata geçirilememektedir. 4.2 Devletlerin aldıkları önlemler Hem bireyleri olumsuz eylem ve içeriklerden korumak için hem de internetin kullanımını azaltan, dolayısıyla da bilgi teknolojilerinin sosyal ve ekonomik potansiyelinin aksamasına neden olan unsurların önüne geçmek için devletler internetin güvenli olması için etkin rol almaktadır. Pek çok ülkenin yaklaşımında da görüldüğü gibi güvenli internet çözümlerinin üç ayağı vardır. (Şekil 4.3) Şekil 4.3 Güvenli internet çözümleri Güvenli internet çözümlerinin üç ayağı vardır Açıklama 1 Eğitim ve bilinçlendirme çalışmaları 2 Erişimi kısıtlama 3 Bilişim suçları ile mücadele Bu konunun üç parçası vardır: ▪ Ebeveyn gözetimi ile ▪ Okullarda eğitim ile ▪ Bilinçlendirme kampanyaları ile Erişim engellemenin dört yöntemi vardır: Öz-denetleme ile Devletin filtre kullanımını teşvik etmesi ile İSS’lerin1 zorunlu filtre sunması ile Teknik altyapıdan filtreleme ile ▪ ▪ ▪ ▪ Bu konuda düzenlemeler yapılmakta ve uygulanmaktadır – detayları bilgi güvenliği kısmında incelenmiştir 1 İSS: İnternet Servis Sağlayıcı KAYNAK: Valcke (2011), Ovum (2003), McKinsey Analizi 4.2.1 Eğitim ve bilinçlendirme çalışmaları İnternetin açık ve özgür doğasından ötürü olumsuz içerik ve eylemler ile karşılaşmak kaçınılmaz olmuş, dolayısıyla bu içerik ve eylemler karşısında bireyin hazırlıklı ve bilinçli olması ise zorunluluk haline gelmiştir. İçerik ve eylemler karşısında olumsuz yönde etkilenme riski bulunan çocukların ve gençlerin internetin riskleri ile başa çıkma kabiliyetlerinin artırılması, güvenli 75 internet için ilk gerekliliktir. Nitekim ebeveynlerin bu konudaki bilinçlenme ihtiyacı nispeten daha düşük ve teknik kabiliyetlerinin artırılması da nispeten daha zor olarak görüldüğü için, eğitim ve bilinçlendirme çalışmaları özellikle çocuklar ve gençlere odaklanmaktadır. Bu doğrultudaki yaklaşımlar üç boyutu kapsamaktadır: Ebeveyn gözetiminin etkinleştirilmesi, eğitim sistemi aracılığı ile çalışmalar yapılması, topluma yönelik bilinçlendirme kampanyalarının hayata geçirilmesi. Ebeveyn gözetimi, çocukların ve gençlerin interneti daha bilinçli kullanmaları ve belli becerileri kazanmaları için ilk adım olarak görülmektedir. Büyük oranda evde kullanılan internet hakkında ebeveynlerin terbiye hakkı çerçevesinde çocuklarına belli değerleri vermesi ve bu değerlere göre internet kullanımı cesaretlendirmesi çok büyük önem taşımaktadır. Ebeveyn gözetimleri iki çeşide ayrılmaktadır: sınırlayıcı gözetim ve etkin gözetim. 56 Sınırlayıcı gözetim internet kullanımı hakkında yapılan, kullanılacak sürenin ya da programların sınırlanması gibi internet kullanımından önce gelen bir gözetimdir. Etkin gözetim ise internet kullanımının içeriği ile ilgili, ebeveynin internetin kullanımı hakkında çocuğu ile diyalog halinde olduğu ve çocuğunun girdiği Şekil 4.4 Eğitim ve bilinçlendirme çalışmalarının parçaları Eğitim ve bilinçlendirme çalışmalarının üç parçası vardır ▪ ▪ ▪ Öğrencilerin internetin riskleri konusunda bilinçlenmesi ve interneti güvenli kullanımı konusunda beceri ve birikimlerini artırıcı derslerin müfredata alınması Öğrencilerin zararlı içerik ve eylemlerden uzak kalmasına yönelik filtreleme uygulamaları Ebeveynlerin çocuklarının internet kullanımını takip etmesi, zararlı içeri ve eylemlerden uzak kaldığından emin olması, internetin güvenli kullanımı ve riskleri konusunda bilinçlendirilmesi Ebeveyn gözetimi ▪ Okullarda eğitim Bilinçlendirme kampanyaları ▪ Eğitim ve bilinçlendirme KAYNAK: Valcke (2008), McKinsey analizi 56 Lwin Stenaal (2008) 76 Öğrenci, öğretmen, çalışanlar ve diğer grupları internetin riskleri konusunda bilinçlendirme ve güvenli internet konusunda beceri ve birikim artırıcı çalışmaların yapıldığı seminerler, eğitimler, atölyeler gibi çalışmalar Toplumun daha geneline yönelik yapılan güvenli internet konulu kamu spotu, reklam, internet sitesi gibi çalışmalar siteleri takip eden bir gözetim şeklidir. Ancak unutulmamalıdır ki, çocuklar sadece evde ve ebeveynlerinin gözetiminde internet kullanmamakta, bunun yanı sıra okullarda ve internet kafelerde de internete erişebilmektedir. Okullarda eğitim yolu ile bilinçlendirme çalışmaları da pek çok ülkede sürdürülmektedir. Bu konudaki ilk örneklerden bir tanesi ABD’de 1992 yılında yürürlüğe giren ve okullarda ve halk kütüphanelerinde internet kullanımını düzenleyen Children’s Internet Protection Act ve Neighborhood Children’s Internet Protection Act olmuştur.57 Bu tür düzenlemeler dışında, bazı okullarda zararlı internet sitelerine erişim engellenmektedir. Ayrıca öğretmenlerin bilinç ve becerilerinin artırılmasına yönelik çalışmalar yapılmış ve müfredatın değiştirilerek güvenli internet kullanımı konusunu da kapsaması sağlanmıştır. Bilinçlendirme kampanyaları da çok kapsamlı bir yönteme işaret etmektedir ve güvenli internet konusunda bilinç ve beceriyi artırmak amaçlı seminer programları, kamu spotları, beceri artırma çalışmalarını içeren bir yaklaşımdır. Söz konusu bilinçlendirme çalışmalarına en bilinen örneklerden bir tanesi Insafe programıdır. Insafe, Avrupa Birliği ülkeleri tarafından bir işbirliği ağı olarak kurulmuş olup, bireylerin internet, mobil cihazlar ve diğer çevrimiçi teknolojileri olumlu, güvenli ve etkin bir şekilde kullanması yönünde çalışmaktadır. Devletler, eğitimciler, ebeveynler, kitle iletişim araçları, sanayi ve tüm diğer paydaşların rol alarak sorumluluk paylaşması ile birlikte bireylerin, özellikle çocukların ve gençlerin, haklarının ve ihtiyaçlarının gereğinin yapılması amacıyla internetteki olumsuz içerikler, özellikle çocukların cinsel istismarı, hakkında farkındalığı ve bilişim okuryazarlığını artırmaya yönelik çalışmaktadır. Güvenli İnternet Programı (Safer Internet Programme) çatısı altında hazırlanan beş yıllık (200913) bir proje kapsamında, 55 milyon avroluk bütçesi ile internetteki yasadışı içerik ve zararlı eylemlerle mücadele etmektedir. İkinci nesil internet iletişim hizmetlerini de kapsayan projede; • Çocukların, ebeveynlerin ve öğretmenlerin internetin güvenli kullanımı konusunda bilinçlendirilmesi, Bireylerin olumsuz veya zararlı içerik veya eylem karşısında başvurabilecekleri ulusal • • yardım merkezleri sunulması, İnternet sektörünün kendi kendini denetlemesi üzerine çalışılması, Çocukların güvenli internet ortamı için hareketlendirilmesi, • 57 Sivin Bialo (1992) 77 • Yeni teknolojiler ve riskler konusunda bilgi ve tecrübe birikimi oluşturma adımları atılmaktadır. 4.2.2 Zararlı internet sitelerine erişimin kısıtlanması Pek çok ülke internetin içerisindeki olumsuz içerik ve eylemlerin kullanıcıya zarar vermemesi için bu içerik ve eylemlere erişimi engelleme seçeneğini kullanmaktadır. Ancak bazı ülkeler bu konuda internetin açık ve özgür olmasının faydalarına odaklanırken, bazı ülkeler de zararlarına odaklanmakta, dolayısı ile sınırlamanın boyutuna kendi sosyal ve kültürel değerlerinin bağlamında karar vermektedir. Bu doğrultuda, internetteki zararlı veya yasadışı içerik ve eylemlere erişimi engellemek için devletin başvurduğu dört yöntem mevcuttur (Tablo 4.1). Tablo 4.1 Güvenli İnternet Yöntemleri ve Sonuçları Yöntem Sonuçları Kullanıcıların kendilerini denetlemesi: İnternet servis sağlayıcılar (İSS) kullanıcılarına • internet filtreleme uygulamaları sunar, kullanıcılar tamamen gönüllü olarak bu uygulamaları kullanabilir ve devlet kullanımı uygulamasının engellediği içerik çeşitleri kullanıcılara uyarlanabilir, yasadışı içerik haricindeki olumsuz içeriklere erişim zorla engellenemez, hem kullanıcı tarafından hem de İSS tarafından uygulanması çok kolaydır. • Filtreleme uygulamalarının kullanıcılara ve İSS’lere maliyeti çok düşüktür ve internet pazarının büyümesine çok sınırlı bir etkisi vardır. • Veri akışını en düşük seviyede etkiler, filtreleme uygulamasının engellediği içerik çeşitleri kullanıcılara uyarlanabilir, yasadışı içerik haricindeki olumsuz içeriklere erişim zorla engellenemez ancak yönlendirilebilir, hem kullanıcı tarafından hem de İSS artırma yönünde sürece müdahil olmaz. Filtreleme programlarının teşvik edilmesi: Devlet, internet servis sağlayıcıların filtre uygulaması sunmasını ve kullanıcıların bu uygulamaları kullanmasını teşvik eder, bu yönde toplumu bilinçlendirici kampanyalar yapar. Veri akışını en düşük seviyede etkiler, filtreleme tarafından uygulanması kolaydır, ancak devletin söz konusu kampanyaları düzenlemesi ilave kaynak gerektirir. 78 Yöntem Sonuçları • Devletin kampanyaları düzenlemesinin bir miktar mali yükü olacaksa da, filtreleme uygulamalarının kullanıcılara ve İSS’lere maliyeti çok düşüktür ve internet pazarının büyümesine çok sınırlı bir etkisi vardır. İSS’lerin zorunlu filtrelemesi: Devlet, kendi belirlediği zararlı sitelerin İSS’ler tarafından • içerik haricindeki olumsuz içeriklere erişim zorla engellenebilir, hem devlet hem de İSS’ler tarafından uygulanması emek ister. erişime engellenmesini zorunlu tutar. Bazı durumlarda filtre “opt-out” olsa da kullanıcılar belirlenen sitelere erişim imkanını kaybeder. “Opt-out” seçeneği kullanılmadığı takdirde, veri akışı ciddi şekilde etkilenir, filtreleme uygulaması herkesin belli sitelere erişimini eş kıstaslarla engeller, yasadışı • Bu uygulamanın olabileceğinden, bu İSS’lere ciddi maliyetleri maliyetler devlet tarafından sübvanse edilebilir ya da kullanıcılara aktarılır. Devletin interneti katı bir şekilde sınırlaması sonucunda internet pazarının büyümesi de olumsuz yönde etkilenir. Teknik filtreleme: Devlet teknik internet altyapısı üzerinde bir mekanizma kurarak belirlenen sitelere erişimi engeller. • Veri akışına etkisi bir önceki seçeneğinden daha az ama hala önemli bir ölçüde olur, teknik engelleme sırasında herkes herhangi bir ayrıştırma yapılmadan aynı kısıtlamalara maruz kalır, yasadışı içerik haricindeki olumsuz içeriklere erişim zorla engellenebilir, teknik olarak uygulaması en karmaşık ve zor yöntemdir. • Bu uygulamanın gerektirdiği teknik sistemlerin devlete doğrudan ciddi maliyetleri olur. Devletin interneti katı bir şekilde sınırlaması sonucunda internet pazarının büyümesi de olumsuz yönde etkilenir. Gelişmiş ülkelerdeki kullanıcı kabiliyetlerinin yüksek olması ve özgürlüklere yapılan vurgudan ötürü İngiltere ve ABD gibi devletlerin ağırlıklı olarak öz denetleme aracılığıyla internetteki olumsuzlukların etkisini azaltmaya çalıştığı görülmektedir. Bu ülkelerde, belli bir bilinç ve 79 teknik kapasiteye sahip olan bireyler böylece kendi değer yargılarına göre internet üzerinden hangi içeriklerin kendileri için zararlı olduğuna karar verebilmektedir. Ayrıca bazı ülkelerde, filtreleme eyleminin yükü ile uğraşmak istemeyen ya da filtreleme konusunda yeteri teknik kapasiteye sahip olmayan bireyler ise sivil toplum kuruluşları tarafından sunulan filtreleme programlarını kullanabilmektedir. Bu seçenek ile birlikte, internetin açık ve özgür doğası en az seviyede zedelenmektedir. Bazı ülkelerde ise, filtreleme ihtiyacının toplum tarafından yeteri kadar anlaşılamadığı düşünülen durumda devletlerin bu konuda kampanyalar sürdürdüğü, bazı filtre programlarını kullanmaya teşvik ederek toplumu yönlendirdiği görülmektedir. Devletlerin bazı filtrelerin diğerlerine göre daha uygun olduğunu varsayarak önerdiği doğrultu ne kadar bazı değer yargılarının topluma sunulması olarak algılanabilmekte ise de, bilinç seviyesi düşük ve dolayısı ile internetin zararları ile baş edemeyecek toplum kesimleri için böyle bir yönlendirme faydalı olabilmekte ve özgürlükleri konusunda hassas olan bireylerin ise hareket alanları kısıtlanmamaktadır. İSS’lerin zorunlu filtrelemesi uygulaması ise bazı zararlı sitelere erişimin büyük oranda her kullanıcı için uygulanmasına neden olmakta, aynı zamanda da hem devlet hem de İSS’ler üzerinde bir ekonomik yük yaratmaktadır. Özellikle toplumun büyük bölümünün değer yargılarının örtüştüğü ancak öz denetleme için yeterli teknik kabiliyetin bulunmadığı durumlarda internetteki olumsuzlukların etkisini sınırlamak için verimli bir yöntem olarak algılanabilmektedir. Ancak bazı kesimlerin zararlı bulduğu içeriklerin diğer kesimlerin erişimine de engellenmesi, internetin açık ve özgür doğası ile çelişebilmekte, internet kullanımını sınırlandırabilmektedir. Daha çok Çin gibi özgürlükleri sıklıkla sınırlandırdığı düşünülen ülkelerde benimsenen bu yöntem sonucunda, bazı içeriklere erişim internetin teknik altyapısı üzerinden engellenmekte ve bazı değer yargılarının sonucunda ortaya çıkarılan zararlı siteler kapsamının bütün internet kullanıcılarından uzak tutulmaktadır. Bu durum internetin açık ve özgür doğası ile temel anlamda çelişebilmekte ve bu özelliklerin sunduğu sosyal ve ekonomik potansiyelin hayata geçmesi zorlaşmaktadır. İnternet erişiminin kısıtlanması pek çok gelişmiş ülkede toplumsal hassasiyet yaratmakta olduğu için bu yöntem sıklıkla tercih edilememektedir. Örneğin, ABD’de gündeme gelen SOPA tasarısı, ifade özgürlüğü ve interneti etkileyeceği endişesi ile toplumsal bir tepki yaratmıştır. Stop Online Privacy Act (SOPA) 2011 yılı içerisinde yasa tasarısı olarak Adalet Bakanlığı ve telif hakkı sahiplerine bu söz konusu hakları ihlal eden internet siteleri hakkında mahkeme kararı çıkartmak için sunulmuştu. Yasa tasarısı çerçevesinde reklam ağlarının telif haklarını ihlal eden sitelerle 80 işbirliği yapması ve arama motorlarının bu siteleri listelemesi yasaklanmaktaydı. Ayrıca, internet servis sağlayıcılarının bu sitelere erişimi engellemesi öngörülmekteydi. İlave olarak, telif haklarını ihlal ederek sunulmuş içeriğe erişenlere de cezai yaptırım söz konusuydu. Tasarının karşıtları böyle bir uygulamanın ifade özgürlüğünü ve internetin yenilikçi imkânlarını sınırlayacağını, bu kanun ile birlikte pek çok internet sitesinin tümden kapatılacağını savunmuşlardı. Bu yönde toplumsal bir hassasiyet oluşmuş, Wikipedia ve Reddit gibi pek çok site bu konuda farkındalık yaratmak için adımlar atmış, bu kapsamda Google yedi milyon imza toplamıştır. Süreç sonunda toplumsal mutabakatın mevcut olmaması nedeniyle tasarı durdurulmuş ve bu sonuç ifade özgürlüğünün ve internetin kısıtlanmasına karşı oluşan toplumsal hassasiyetin bir zaferi olarak algılanmıştır. 4.3 Türkiye’deki mevcut durum Türkiye’de bireyler internette zararlı içeriklere maruz kalmakta, olumsuzluklardan dolayı internet kullanımından çekinebilmektedir. Hem ebeveynler hem de çocuklar ve gençler internet kullanımı konusunda çok kısıtlı kabiliyete sahip olmasına rağmen internet kullanımı hızla artmaktadır. Bu yaygınlaşma henüz belli birikime sahip olmayan yetişkinleri internetin açık ve özgür ortamında ortaya çıkmış olan pek çok olumsuz içerik ve eyleme maruz bırakmakta olduğu kadar gittikçe daha küçük çocukların internet kullanmaya başlaması ve ebeveynlerin çocuklarını eğitebilecek birikime sahip olmamaları sonucunda daha çok çocuk ve genç internetteki risklere maruz kalmaktadır. Nitekim özellikle ülkemizdeki ebeveynlerin Avrupa’dakilere nazaran internet konusunda daha az birikim sahibi olduğu düşünüldüğünde, çocukların internet üzerinden zararlı veya yasadışı içerik ve eylemlere maruz kalma ihtimalinin daha büyük olduğu görülecektir. Avrupa Birliği üyesi ülkelerdeki annelerin %87’si internet kullanırken, Türkiye’deki annelerin sadece %24’ü kullanmakta, Avrupa Birliği’ndeki babaların ise %82’si kullanmaktayken, Türkiye’dekilerin sadece %49’u kullanmaktadır. Ebeveynlerin internet kullanımının kısıtlılığı çocuklar üzerindeki ebeveyn denetiminin etkinliğini düşürürken, bu duruma koşut olarak evden internet erişim oranları da ciddi anlamda farklıdır. Avrupa’daki çocukların %94’ü evden internete erişebilirken, ülkemizdeki çocukların sadece %52’si erişebilmekte, dolayısıyla da ev dışında internete erişmek zorunda kaldıklarında çocuklar ebeveyn denetiminden tamamen uzak kalmaktadırlar. Bu denetimsizliğin yanında Türkiye’deki çocukların diğer Avrupa ülkeleri ile karşılaştırıldığında en düşük internet kabiliyetine sahip oldukları belirlenmiştir. 81 Pek çok ebeveyn ise bu kaygılarından ötürü internet kullanımını tümden kısıtlama ya da internet kullanımından kaçınma yoluyla başa çıkmaya çalışmasının sonucunda ise internetin yaratacağı sosyal ve ekonomik potansiyel tam anlamıyla hayata geçememektedir. Şekil 4.5 Türkiye’deki Çocukların İnternet Kullanımı Çocuklar, özellikle internetteki tehlikelere karşın daha tedbirsiz ve bilinçsiz hareket etmektedir. Çocuklar sosyal ağlarda güvenliğe özen göstermemekte Sosyal ağ kullananlar arasında Facebook’a üye olanlar Türkiye’de hem çocuklar hem de ebeveynlerin internet okuryazarlık seviyesi kısıtlı Facebook hesabı “herkese açık” olanlar AB Evden internete erişimi olan çocuklar %52 %94 2,61/8 4,2/8 İnternet kullanan anneler %24 %87 İnternet kullanan babalar %49 %82 Çocukların internet okuryazarlığı %85 %42 Facebook hesabının güvenlik ayarlarını değiştirmeyi bilmeyenler ~%50 İnternet üzerinden yabancı ile tanışanlar %18 İnternet üzerinden tanıdıkları yabancılar ile buluşanlar %3 Pek çok çocuk internette zararlı içeriğe maruz kalmakta Not: Çocuk: 9-16 yaş 1 Avrupa’nın en düşük seviyesi Cinsel içerikli resim görenler %13 Cinsel içerikli mesaj alan ya da gören %14 Tacize uğrayanlar %3 KAYNAK: EU Kids Online raporu Bu yönde ortaya çıkan sosyal baskı ile birlikte belli oranda siyasi irade oluşmuş ve 5651 sayılı Kanun ile “Güvenli İnternet” uygulaması başta olmak üzere belli düzenlemeler yapılmıştır. 82 4.3.1 Çocuklar ve gençlerin bilinç eksikliği Avrupa Birliği ülkeleri ve Türkiye’nin de dâhil olduğu bazı ülkeleri kapsayan 2010 yılındaki araştırmalara dayanan EU Kids Online araştırması sonucunda Türkiye “düşük kullanım, orta risk” ülkelerin arasında sınıflandırılmış. Türkiye’deki çocukların ve gençlerin internet kullanımının düşük olduğu ve interneti güvenli kullanmaya yönelik becerilerinin de çok düşük olduğu ortaya tespit edilmiştir. Ayrıca internet üzerinde bazı risklere maruz kalındığı ancak bu risklere karşı Avrupa’daki akranlarına göre daha hassas olduğu ortaya çıkmıştır. Dolayısı ile hem çocuklar açısından hem de ebeveynler açısından doğabilecek çekincelerin internet kullanımını sınırlaması söz konusu olabilecektir. Şekil 4.6 Çocukların internet kullanım oranı Türkiye’deki çocuklar daha az internet kullanmaktadır Çevrimiçi geçirilen zaman Dakika/Gün 120 119 114 113 113 113 113 113 106 104 102 95 94 94 90 88 86 85 88 80 77 77 76 74 71 61 BG RO NO EE SE DK LT CZ PL CY UK FI SI NL EL IT BE HU AT FR DE PT TR ES IE All KAYNAK: EU Online Kids, 2010 Türkiye’deki çocuklar günde ortalama 74 dakika internet kullanırken, Avrupa’da bu oran ortalama 88 dakika olarak tespit edilmiş, araştırmaya katılan ülkelerin neredeyse yarısında bu rakamın 100 dakikanın üzerine çıktığı görülmüştür. Türkiye’deki çocukların Avrupa’daki akranları arasında en düşük internet kullanımının oranlarından bir tanesine sahip oldukları gibi, araştırmaya katılan ebeveynler arasında da internet kullanımı benzer farklılıklar gösterdiği görülmüştür. Türkiye’deki ebeveynlerin %29’unun internet kullandığı, Avrupa’da gelişmekte 83 olan ülkelerdeki ebeveynlerin %57’sinin internet kullandığı ve gelişmiş ülkelerdeki ebeveynlerin ise %84’ünün internet kullandığı tespit edilmiştir. Bunların yanında Türkiye’deki çocukların dijital bilgileri ve güvenlik yetkinliklerinin de Avrupa’daki en düşük seviyede olduğu görülmüştür. Çocukların ve gençlerin internet güvenliklerini sağlayacak becerilere sahip olup olmadıklarının ölçülerek bir katsayıya dönüştürüldüğü araştırmada, Türkiye’deki çocukların beceri oranı 8 üzerinden ortalama 2,6 olarak tespit edilmiş ancak Avrupa’da ortalama 4,2 olarak, gelişmiş ülkelerde ise 5’in üzerinde tespit edilmiştir. Bu rakamlar Türkiye’deki çocuklar ve gençlerin internet kullanım konusundaki birikimlerinin ne kadar düşük seviyede olduğunu göstermektedir. Nitekim bu birikim eksikliği internetin ileri seviye ve yaratıcı eylemler için kullanımını kısıtlayacağı gibi, aynı zamanda internet üzerinde karşılaşılan riskler ile başa çıkabilme ihtimalini de sınırlamakta ve olası rahatsızlıkları artırmaktadır. Şekil 4.7 Türkiye’deki çocukların internet kullanım becerileri Türkiye’deki çocukları, çok düşük seviyede internet okuryazarlık seviyesine sahiptir Ortalama beceri sayısı Ülkeye göre 5.8 5.4 5.3 5.1 5.0 5.0 5.0 4.9 4.8 4.7 4.7 4.7 4.7 4.6 4.5 4.5 4.4 4.2 4.0 4.2 3.8 3.7 3.4 3.4 3.3 2.6 FI SI NL EE CZ SE NO PT LT AT UK BG FR DK PL ES BE DE IE CY EL HU RO IT TR All Dijital bilgiler ve güvenlik yetkinlikleri: Bir internet sitesini yer imlerine eklemek; iletişim kurmak istenmeyen bir kişiden gelen mesajları engellemek; interneti güvenli şekilde kullanma bilgileri bulmak; sosyal ağlardaki gizlilik ayarlarını değiştirmek; bilginin doğruluğundan emin olmak için internet sitelerini karşılaştırmak; ziyaret edilen sitelerin listesini silmek; istenmeyen reklam ya da gereksiz postaları engellemek; filtre tercihlerini değiştirmek Taban: 11-16 yaşları arasında olan ve internet kullanan çocuklar KAYNAK: EU Online Kids, 2010 İnternetteki içerik riskleri sınıflandırmasının içerisinde kışkırtıcı ve yanıltıcı içeriklerin yaygınlığının Türkiye’de “orta risk” olarak algılanmasının sebeplerinden bir tanesi özellikle çevrimiçi ortamda cinsel içerikli sitelere maruz kalan çocuk ve genç oranının Avrupa’daki akranlarına göre düşük olması. Örneğin Türkiye’deki çocukların çevrimiçi ortamlarda cinsel 84 içerikli resimlere maruz kalanların oranı sadece %13 iken, bu oran araştırmaya katılan Avrupa ülkeleri için toplamda %14 olarak tespit edilmiş, Norveç, Estonya, Finlandiya ve Danimarka gibi Kuzey Avrupa ülkelerinde ise yaklaşık %30’lar oranına çıktığı görülmüştür. Bu ülkelerdeki internet kullanımının daha yüksek olduğu göz önüne alınırsa riskler ile daha yüksek oranda karşılaşmaları bir oranda açıklanabilmektedir. Fakat, söz konusu ülkelerde çevrimdışı ortamlarda da cinsel içeriğe maruz kalma oranının Türkiye gibi Güney Avrupa ülkeleri ile karşılaştırıldığında çok daha yüksek olması, toplumların bu tür içeriklerin sunulması ve erişilebilmesi konusunda değişik hoşgörü seviyelerinde olduklarına işaret edebilmektedir. (Şekil 4.8) Ancak risk seviyesi yüksek olmasa dahi, Türkiye’deki çocuklar arasındaki bilinç ve beceri eksikliğinin de etkileri sonucunda olumsuz içeriklere karşı hassasiyet gelişmiştir ve Şekil 4.8 Ülke bazında, cinsel içerikli resme maruz kalan çocukların oranı Türkiye’deki çocuklar cinsel içeriğe daha düşük oranda maruz kalmaktadır Çevrimiçi ortamda cinsel içerikli resim görenler Çevrimiçi veya çevrimdışı ortamda cinsel içerikli resim görenler Son 12 ayda cinsel içerikli resimlere görmüş olan çocukların oranı Yüzde 46 45 42 42 41 39 37 37 35 34 33 29 29 33 30 28 28 28 26 25 29 28 25 24 24 24 24 23 22 20 20 23 19 17 17 17 15 14 13 13 17 14 12 11 11 11 14 12 11 10 7 4 NO EE FI DK CZ SE LT SI NL BG FR RO BE AT PL EL PT TR CY UK IE HU ES IT DE Tümü İnternet kullanan 9-16 yaş arası bütün çocuklar arasından 92 Kaynak: EU online kids, 2010 kışkırtıcı ve yanıltıcı içeriklere diğer ülkelerdeki akranlarından daha güçlü tepkiler vermektedirler. (Şekil 4.9) 85 Türkiye’deki çocukların internette maruz kaldıkları risklere karşı daha hassas olması onların internet kullanımında daha çekingen olmalarına neden olabilecektir. Benzer şekilde ebeveynlerin de hassasiyet göstermesi ülkemizde çocukların ve gençlerin internet kullanımını sınırlayacaktır. Oysa zaten beceri seviyesi düşük olan çocuklar ve gençlerin, internet kullanımını da sınırlaması ileride Türkiye’deki beceri eksikliğini daha da ciddi bir sorun haline getirecektir. Şekil 4.9 Çocukların cinsel içerikten rahatsız olma seviyesi Türkiye’deki çocuklar cinsel içerikli resimlerden daha çok rahatsız olmaktadır. Yüzde Cinsel içerikli resimlerden rahatsız olmuş olanlar 50 EE TR RO 40 IE DE PL ES 30 IT HU UK 20 FR BE AT CY SE NL PT LT DK CZ NO FI BG EL SI 10 0 0 10 20 30 40 Çevrimiçi ortamda cinsel içerikli resim görmüş olanlar Kaynak: EU Online Kids, 2010 4.3.2 Türkiye’de alınan önlemler 4.3.2.1 Eğitim ve bilinçlendirme Türkiye’de internet kullanımının yüksek olmamasına rağmen orta seviyede risk sahibi olması, çocukların internetin güvenli kullanımı konusundaki becerilerinin Avrupa’daki çocuklarınkine nispeten çok düşük çıkması, çocuklar ve gençlerin internet risklerine daha hazırlıksız olmaları ve bu konuda ebeveynlerin de yeterli bilinç seviyesinde olmamaları, internetin güvenli kullanımı konusunda sürdürülebilir bir olumlu etki için eğitim ve bilinçlendirme çalışmalarını ön plana çıkarmaktadır. 86 Daha önceden de bahsedildiği gibi Türkiye’deki ebeveynler Avrupa’daki ebeveynlerden çok daha düşük oranda internet kullanmakta ve bunu çok daha düşük seviyede internet kullanım becerisi ile yapmaktadır. Bu kullanım düşüklüğü ve beceri noksanlığından doğabilecek bir sonuç olarak, Türkiye’deki ebeveynler Avrupa ortalamasından yaklaşık %25 daha az etkin gözetim uygulamakta ancak yaklaşık %30 daha fazla sınırlayıcı gözetim yöntemi uygulamaktadır. Türkiye’deki okullarda güvenli internet konusunda resmi çalışmalara rastlanmamıştır ancak bazı okulların Emniyet Genel Müdürlüğü’nden veya Telekomünikasyon İletişim Başkanlığı’ndan destek alarak öğrencilerini bu yönde bilinçlendirmeye çalışmıştır. Bilinçlendirme kampanyalarının önemli bir kısmı da, aynı zamanda Insafe ve INHOPE ile işbirliği yürüten, Telekomünikasyon İletişim Başkanlığı’nın yürüttüğü seminerler aracılığı ile yapılmaktadır. Geçtiğimiz yıllar içerisinde bu seminerler aracılığı ile birlikte yaklaşık 35 bin kişiye güvenli internet eğitimi verilmiştir. Bu çalışmaya ek olarak Google ve TOG’un işbirliği ile yürütülecek çalışma ve Mutlu Çocuklar Derneği’nin yürüteceği çalışma gibi adımlar da sivil toplum kuruluşları tarafından atılmaktadır. 4.3.2.2 Zararlı internet sitelerine erişimin kısıtlanması Söz konusu sorunlara karşı yukarıda bahsedilenler arasında ülkemizde filtre programlarının teşvik edilmesi ve İSS’lerin zorunlu filtrelemesi yöntemleri kullanılmaktadır. 5651 sayılı Kanun ile bazı sitelere erişim engellenmektedir Ülkemizde, 2001’e kadar İnterneti düzenleme konusunda müdahaleci olmayan bir yaklaşım benimsenmiş, ancak bu konudaki tedbirlerin yetersiz kaldığı düşünülerek yeni mevzuat oluşturma çalışmalarına başlanmıştır. Bu kapsamda Adalet Bakanlığı 2006 Ağustos’unda internet suçlarıyla mücadele için yeni bir yasa taslağı üzerinde çalıştığını duyurmuştur. Söz konusu çalışmada bilişim suçlarını daha ağır bir şekilde cezalandıran, bilişim ortamında gerçekleştirilecek tehdit, şantaj, aşağılama ve iftira için TCK’da öngörülmüş cezaları artıran ve TCK dışında kalmış olan bilişim suçlarını da içeren taslak hazırlanmıştır. Bu taslak özünde bir ceza hukuku metni niteliğindedir. 2007’de bu kez Ulaştırma Bakanlığı tarafından hazırlanmış bir başka taslak, görüşülmek üzere TBMM’ye gönderilmiş ve Meclis Adalet Komisyonu bu yasa teklifini değiştirerek kabul etmiştir. Yapılan tartışmalar sonucunda yasa, Mayıs 2007’de yürürlüğe girmiştir. 87 5651 sayılı Yasanın gerekçesinde, Anayasa’nın Ailenin Korunması ve Çocuk Hakları başlıklı 41. maddesine (“Devlet, ailenin huzur ve refahı ile özellikle ananın ve çocukların korunması ve aile planlamasının öğretimi ile uygulanmasını sağlamak için gerekli tedbirleri alır, teşkilatı kurar”) ve Gençliğin Korunması başlıklı 58. maddesine (“Devlet, istiklal ve Cumhuriyetimizin emanet edildiği gençlerin müspet ilmin ışığında, Atatürk ilke ve inkılapları doğrultusunda ve Devletin ülkesi ve milletiyle bölünmez bütünlüğünü ortadan kaldırmayı amaç edinen görüşlere karşı yetişme ve gelişmelerini sağlayıcı tedbirleri alır”) gönderme yapılmıştır. İnternet erişimi engellemeleri herhangi bir hak ihlali, diğer bir deyişle suç söz konusu olduğu zaman mümkündür ve suç ve ceza içeren düzenlemeler de yasayla yapılır. Ceza hukukunun çok önemli ilkelerinden biri de kanunsuz suç ve ceza yaratılamayacağıdır. Bu kapsamda, internet ortamında işlenen suçların önlenmesi ve/veya cezai yaptırım uygulanması gibi uygulamalarda bulunmak için suç teşkil eden internet sitelerine erişimin engellenmesi gerekmiştir ve bu ihtiyaç 5651 sayılı Kanunu hayata geçiren çalışmaları başlatmıştır. 2007 yılında kabul edilen 5651 sayılı Kanunun amacı içerik, yer sağlayıcı ve erişim sağlayıcıların yükümlülük ve sorumluluklarını belirlemek ve internet ortamında işlenen belirli suçlarla mücadeleye ilişkin düzenlemeleri yapmak olarak belirtilmiş, kanunun gerekleri yerine getirmek için Telekomünikasyon Kurumu bünyesindeki Telekomünikasyon İletişim Başkanlığı görevlendirilmiştir. Kanunda ayrıca katalog suçlar tanımlanmış ve bu suçlarla ilgili yeterli şüphe bulunan yayınlara ilgili olarak erişimin engelleneceği belirtilmiştir. Bu suçlar şöyle belirlenmiştir: • • • • • İntihara yönlendirme Çocukların cinsel istismarı Uyuşturucu veya uyarıcı madde kullanılmasını kolaylaştırma Sağlık için tehlikeli madde temini Müstehcenlik • • • Fuhuş Kumar oynanması için yer ve imkân sağlama suçları Atatürk Aleyhine İşlenen Suçlar Hakkında Kanunda yer alan suçlar. 88 Şekil 4.10 İhbarlar ve Engellemelerin Konuları İhbarlar ve engellemeler en çok müstehcenlik suçundan dolayı meydana gelmekte Erişim engelleme kararlarının kategorik dağılımı Yapılan ihbarların kategorik dağılımı 0,1 1,9 0 7,5 19,4 4,6 24,4 9,4 4,0 7,4 74,6 46,7 Atatürk’e hakaret Çocuk istismarı Fuhuş Müstehcenlik Diğer 5651 dışı Kanuna göre, erişimin engellenmesi kararı, soruşturma evresinde hakim; kovuşturma evresinde mahkeme tarafından verilir. Soruşturma aşamasında, gecikmesinde sakınca bulunan hal varsa, Cumhuriyet Savcısı tarafından da bu karar verilebilir, ancak bu durumda, savcı kararı 24 saat içinde hakim onayına sunar ve hakim, kararını en geç 24 saat içinde verir. Bu sürede hakim kararı onaylamazsa, tedbir, savcı tarafından derhal kaldırılır. Hakim, kararı onaylarsa, erişimin engellenmesi kararının birer örneğini gereğini yapması için TİB’e gönderir ve TİB söz konusu karara dayanarak siteye erişimi engellemekle mükelleftir. Ülkemizde erişim engelleme işlemi İSS’ler aracılığı ile yapılmaktadır. Hakim veya savcının suç oluşturduğu iddia edilen siteden veya sitedeki içerikten haberdar olması, herhangi biri tarafından savcıya veya adli kolluk birimlerine yapılan sözlü suç duyurusu veya dilekçeyle yazılı olarak beyanda bulunma veya savcı ya da hakimin söz konusu suç teşkil eden siteyi kendisinin görmesi gibi ceza muhakemesindeki genel yollarla sağlanır. 89 Ayrıca, içerik veya yer sağlayıcısı yurt dışında ise ya da içerik veya yer sağlayıcısı yurt içinde bulunsa dahi, çocukların cinsel istismarı veya müstehcenlik oluşturan yayınlara ilişkin olarak erişimin engellenmesi kararı, resen TİB tarafından verilir. Karar, erişim sağlayıcısına bildirilerek Şekil 4.11 Ülkelerdeki İnternet Sansürü Seviyesi Türkiye’deki erişim engelleme uygulamasının pek çok ülkeninkinden daha kısıtlayıcı olduğu düşünülmekte Sansüre rastlanmamış Ülkelerde tespit edilen internet sansürlerinin kategorik düzeyi Düşük seviyede Sansür seviyesi sıralaması1 Sansür seviyesi Kaynak yıl - ABD 2009 - İngiltere 2010 - Almanya 2008 - Fransa 2009 - İsveç 2009 #32 İtalya 2009 #26 Rusya 2010 #22 Güney Kore 2011 #22 Türkiye 2010 #18 Hindistan 2011 #5 Suudi Arabistan 2009 #2 Çin 2011 #1 İran 2011 Orta seviyede Yüksek seviyede Çok yüksek seviyede 1 OpenNet Initiative, sansür seviyelerini dört ayrı kategoride, dört üzerinden bir not olarak vermektedir. Sansür seviyesi, ayrı kategorilerdeki notların ortalamasıdır. Örneklem 74 ülkeden oluşmaktadır ve bu ülkelerin sadece 38’inde sansüre rastlanmıştır, dolayısı ile sansüre rastlanmamış ülkeler sıralamaya alınmamıştır. KAYNAK: OpenNet Initiative gereğinin yerine getirilmesi talep edilir ve erişimin engellenmesi kararının gereği, derhal yerine getirilir. Bu süre en geç kararın bildirilmesi anından itibaren 24 saattir. İdare açısından da idari tedbir niteliğinde düzenleyici işlemlerin yapılması mümkündür. TİB tarafından verilen erişimin engellenmesi kararının konusunu oluşturan yayını yapanların kimliklerinin belirlenmesi halinde, TİB tarafından Cumhuriyet Başsavcılığı’na suç duyurusunda bulunulur. Soruşturma sonucunda kovuşturmaya yer olmadığı (takipsizlik) kararı verilmesi halinde, erişimin engellenmesi kararı kendiliğinden hükümsüz kalır ve savcı, kovuşturmaya yer olmadığına dair kararın bir örneğini TİB’e gönderir. Kovuşturmada beraat kararı verilirse, erişimin engellenmesi kararı kendiliğinden hükümsüz kalır ve beraat kararının bir örneği mahkemece TİB’e gönderilir. Aralık 2012’de yayınlanan istatistiklere göre TİB’e gelen ihbarların %75’i müstehcenlik suçundan, %19’u çocuk istismarı suçundan ve %4’ü fuhuş suçundan dolayı gerçekleşmektedir. Erişim engelleme kararı verilen sitelerin %50’si müstehcenlik, %5’i çocuk istismarı, %9’u fuhuş 90 unsurlarından, %8’i Atatürk’e hakaret unsurlarından dolayı suçlu bulunmuş, %24’ü de 5651 sayılı Kanunda sayılanlar dışındaki unsurlardan suçlu bulunmuştur (Error! Reference source not found.). Ülkemizde söz konusu erişim engellemeleri işlemleri sonucunda ortaya çıkan sansür seviyesi ise çoğu gelişmiş ülke ile karşılaştırıldığında yüksek bir seviyede bulunmaktadır. 74 ülkeyi kapsayan bir araştırma sonucunda ABD, İngiltere, Almanya, Fransa, İsveç gibi ülkelerde internet sansürüne rastlanmamış, ülkemizde ise orta seviyede sansüre rastlanmıştır. Kapsamdaki ülkeler arasında ülkemiz en yüksek sansür oranı olan 22. ülke olmuştur (Error! Reference source not found.) 5651 sayılı Kanun geçtiğimiz günlerde Avrupa İnsan Hakları Mahkemesi’nin (AİHM) mahkemesi kararı ile yeniden gündeme gelmiştir. AİHM’nin, 2009 yılında bir blogda Atatürk'e hakaret edildiği gerekçesiyle tüm Google Sites hizmetinin kapatılmasına yol açan Denizli 2. Sulh Ceza Mahkemesi kararıyla ilgili vermiş olduğu bu karar, erişimi engelleme konusunda verdiği ilk karardır ve AİHM, sorunun uygulamada değil, 5651 sayılı kanunda olduğunu belirtmiş, kanunda sayılan katalog suçlarla net bir düzenleme olduğuna ve bu kanunda değişiklik yapılmadığı sürece sorunun çözülemeyeceğine işaret etmiştir. Verilen karar, 5651 sayılı kanunun da, hukukumuzdaki erişime engelleme uygulamalarının da Avrupa İnsan Hakları Sözleşmesi’ne (AİHS) aykırı olduğu anlamına gelmektedir. AİHM kararında "Bu kanunun uygulanmasına dair tüm deliller ifade özgürlüğünün ihlal edildiğini göstermektedir. Yasada öngörülen ifade özgürlüğüyle ilgili garantilerin yetersizliği nedeniyle Türk hükümetinin bu yasayı AİHS’ye uygun hale getirmesi gerekir" denmiştir. 5651 sayılı Kanun hakkında gündemdeki eleştiriler Odak grubu ve atölye çalışmaları esnasında 5651 sayılı kanun ve erişim engelleme uygulaması hakkında, bu kanunun ifade özgürlüğünü sınırlayıcı etkileri olduğundan, bu Kanunun internetin doğasına tam olarak uymadığından, belirtilen katalog suçların sınırlayıcı olmadığından, idari makamların koruma tedbiri altında temel hakları kısıtladığından dolayı bazı eleştiriler gelmiştir. Genel hakkında • 5651 sayılı Kanun, kanunun yanlış ya da kötüye kullanımından doğabilecek zararların tazmini konusundan bahsetmemiştir. Zira koruma tedbirlerinin uygulanmasından kaynaklanan zararların karşılanmasına ilişkin tazminat, CMK’nın 141. maddesinde düzenlenmiş, ancak öngörülen koşullar arasında erişim engelleme kararları olmadığından bu hüküm 5651 sayılı kanun için uygulanamamaktadır. 91 • 5651 sayılı kanunda izlenen usule göre içerik sağlayıcılara ne ile suçlandıkları hakkında bilgi edinme fırsatı verilmemektedir, nitekim kanun, yetkili mercilerin bu usul hakkında sanığı bilgilendirmesini şart koşmamıştır. Erişimin engellenmesine ilişkin karara Ceza Muhakemesi Kanunu hükümlerine göre itiraz edilebilse de, bu yasal hükümden yararlanmak isteyen taraf suçlamanın ayrıntılarını öğrenemeyebilecektir. • Bağlantı verilen içerik sabit olmayıp değişken niteliktedir ve içerik sağlayıcının, bağlantı verdiği içeriği sürekli kontrol etmesinin mümkün olmaması nedeniyle, kendi düşüncesi olmayan bir içerikten sorumlu tutulması tehlikesi doğabilmektedir. Ancak bağlantı sağlayanın sorumluluğu istisnai ve sınırlı bir sorumluluk halidir. "Benimseme ve ulaşmayı amaçlama"nın hangi ölçütlere göre belirleneceği ve ispatlanacağı detaylı bir şekilde belirtilmemiştir. • İçeriği kullanıcılarının belirlediği, kullanıcıların içerik ekleyebildikleri, daha çok sosyal içerikli siteler veya video paylaşım siteleri olarak karşılaştığımız İkinci Nesil Web (Web 2.0) olarak adlandırılan internet sitelerinde kullanıcı ile ikinci nesil internet sitesi yöneticisi ve sahibi, etkileşimli olarak içerik sağlayıcılık konumunu birlikte paylaşmaktadır. Söz konusu sitelerin yönetici veya işletenleri de bu sitelerde alışılmış anlamda içerik sağlayıcı değildirler. Yönetici/işletenlerin yüklenen her içerikten anında bilgi sahibi olmaları mümkün değildir ve hukuka aykırı içerikleri engelleyebilmek adına, içeriklerin önce kontrol edilip sonra erişime sunulmaları oldukça zordur. Zira bu siteler 5651 sayılı Kanun m. 2/1-f kapsamında "erişime sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan kişi" olan içerik sağlayıcı değildir. • Sıklıkla kullanılan sitelerin kapatılması, internet kullanım becerileri daha yüksek olan gençlerin bazı tekniklerle bu yasakların etrafından dolaşmasına neden olmaktadır. Bu durum kanunların ve yasakların çiğnenmesinin normal olarak kabul edilmesine neden olabilecektir. • Erişim sağlayıcıların tüm kullanıcılarının trafik bilgilerini58 en az 6 ay, en fazla 2 yıl saklamak zorunda olması, bireyler için internet üzerinden gerçekleştirdikleri bütün 58 24/10/2007 tarihli Yönetmeliğin Tanımlar Maddesine göre, “Erişim sağlayıcı trafik bilgisi: İnternet ortamına erişime ilişkin olarak abonenin adı, adı ve soyadı, adresi, telefon numarası, abone başlangıç tarihi, abone iptal tarihi, 92 eylemlerin takip edildiği veya edilebildiği endişesi oluşturmakta, bu trafik bilgilerinin bazı makamlar tarafından aleyhlerine kullanılabilmesi korkusu yaratmaktadır ve bu durum internetin özgür ve açık doğası ile çelişebilmektedir. Katalog suçlar ve adli süreç hakkında • “Müstehcenlik” tanımı mevcut olmadığından dolayı, kişiye göreceli olarak müstehcenliğin seviyesi belirlenmekte ve dolayısıyla nesnel bir ölçü kullanılmadığı için bu suç dolayısıyla uygulanacak kısıtlamanın meşruiyeti sorgulanabilmektedir. • 5651 sayılı kanunun 8. maddesi suçların ayrıntılı bir listesini içermektedir ve ceza hukukunda kıyas yoluyla suç oluşturulması mümkün değildir, ancak bazı mahkemeler internet sitelerini, Terörle Mücadele Kanunu'nu veya TCK’nın 301. maddesini öne sürerek engellemektedir. Hukuka aykırı olduğu düşünülen durumlar olmasına rağmen kararların gerekçelerinin de verilmemesi tepki doğurabilmektedir. İdari makamlara verilen yetkiler hakkında • 5651 sayılı Kanun kapsamındaki uyuşmazlıklar ile ilgili karar verecek olan hakimlerin yeterli internet bilgisi olmadığı için isabetli kararlar verilememekte ve “ölçülülük“ ilkesi gözetilmemektedir. • 8/4 sayılı maddede düzenlenen idari tedbirin niteliğine bakıldığında bunun yargılama faaliyetine ilişkin olduğu dolayısıyla aslında bu düzenlemenin bir koruma tedbiri olduğu ve bu konuda idareye yetki verildiği görülmektedir. Ancak temel hak ve özgürlüklere ilişkin bu kadar önemli bir konuda yargılama makamları dışında bir idareye yetki verilmesi sakıncalıdır. Karar aleyhine idari yargıda iptal davası açılması ve yürütmenin durdurulması kararı istenebilse de, adli sürecin olası uzunluğu ciddi mağduriyetlere neden olabilmektedir. • Erişim engelleme kararlarının çoğunda, karar sonrasında bu tür yayınların yazarlarına ya da Türkiye içindeki internet sitelerinin içerik sağlayıcılarına ilişkin açılmış kovuşturmaya rastlanmamaktadır. Bir başka deyişle, 5651 sayılı kanunun erişim engellemesini “koruma tedbiri” olarak nitelemesine rağmen, “engelleme kararları” süreklilik kazanmakta ve bazı sisteme bağlantı tarih ve saat bilgisi, sistemden çıkış tarih ve saat bilgisi, ilgili bağlantı için verilen IP adresi ve bağlantı noktaları gibi bilgileri,” ifade eder. 93 hallerde de süresiz olarak yürürlükte kalmaktadır. Böylece bu sitelerin hukuka uygunluğu veya aykırılığına dair kesin bir mahkeme kararı olmamasına rağmen internet siteleri suçlu varsayılabilmektedir. Erişim engelleme uygulaması hakkında • Ülke giriş seviyesinde uygulanan filtreler etkili bir çözüm sunmamakta, olumsuz içerik ve eylemlerin bulunduğu internet ilişkili diğer iletişim sistemlerine (sohbet ortamları, peerto-peer ağları, Usenet tartışma grupları, IP üzerinden ses iletim sistemleri gibi) erişimi etkilememektedir. Dolayısı ile vaat edilen “daha güvenli bir ortam”, tam anlamıyla hayata geçememektedir. “Güvenli İnternet” uygulaması ve Aile ve Çocuk profilleri Ülkemizdeki çocukların internet kullanımı sırasında zararlı içeriklere maruz kalmasını engellemek için Telekomünikasyon İletişim Başkanlığı’nın internet servis sağlayıcıları ile birlikte yaptıkları çalışmalar sonucunda Şubat 2011’da yayınlanan “İnternet'in Güvenli Kullanımına İlişkin Usul ve Esaslar” ile birlikte Güvenli İnternet uygulaması başlamıştır. Bu uygulama sayesinde kullanıcılar internet servis sağlayıcılarının bayilerine giderek, telefon ya da SMS ile, ya da çevrimiçi hizmet hattı aracılığı ile profillere göre internetlerinin filtrelenmesine karar verebilmektedir. Kullanıcının tamamen kendi isteğine bağlı olan bu uygulama, ücretsiz olarak sunulmakta olup, bilgisayara bir program kurmaya gerek kalmadığı için kullanımı kolaydır. Mevcut uygulama iki adet profil sunmaktadır: Aile profili ve Çocuk profili. Aile profili bir “kara liste” olup, 5651 sayılı Kanun’da belirtilen suçlara göre ve zararlı görülen diğer çeşit içerik ve eylemlerin bulunduğu sitelere erişimi engellemektedir. Bu hizmet aracılığı ile henüz suç kapsamında kapatılmayan phishing siteleri gibi dolandırıcılık siteleri de kapatılmaktadır. Çocuk profili ise bir “beyaz liste” olup, sadece çocuklar için uygun görülen sitelere erişime izin vermektedir. Çocuk profili içerisinde sohbet ve sosyal medya sitelerine de erişilememektedir. Geçen süre içerisinde 1,5 milyon abone Güvenli İnternet hizmetine geçmiştir, ve ağırlıklı olarak Aile profilini kullanmaktadır. Ancak hem kullananlar hem de kullanmayanlar tarafından bu uygulama hakkında pek çok görüş gündeme gelmekte, uygulamanın özellikle pragmatik yanları desteklenirken, yeteri kadar şeffaf olmaması ve uzun vadeli faydası sorgulanmaktadır. 94 Tablo 4.2 Güvenli İnternet uygulaması hakkındaki görüşler Destekleyici Görüşler • Toplumun önemli bir kesimi çocuklarının internet üzerinden ulaşabileceği zararlı içeriklere karşı çekincelerini bu uygulamaya geçerek gidermektedir. • Diğer filtre seçenekleri program indirmek Karşıt Görüşler • değildir. ve kurmak gibi pek çok ebeveynin uğraşmak istemediği ya da beceremediği adımlar içerdiği için kullanılmamaktaydı, • ancak Güvenli İnternet uygulamasına geçişin kolaylığı kullanımı artırmıştır. • Tamamen isteğe bağlı bir uygulamadır. • Sınırlanması için gerekli düzenlemelerin henüz yapılmadığı phishing gibi bazı zararlı eylemlere karşı ilave koruma Profiller içerisinde hangi sitelerin hangi sebeplerle engellendiği açıklanmadığı için şeffaf bir uygulama İnternetin doğasından ötürü var olan zararlı içerik ve eylemlere karşı bireylerin bilinçlenmesi ve etkin rol alması yerine bireyleri edilgen konuma çekmektedir. • Toplumun önemli bir kısmına sunulurken güvenli bir internet vaadi verilmekte, ancak engellemelerin bunu ne aşamada becerebildiği bilinememektedir. sağlayabilmektedir. • 95 Sadece iki çeşit profil sunulduğu için, bireyler kendi fikir ve değerlerine göre değil, sunulmuş kalıplara göre bir filtre kullanmak durumunda kalmaktadırlar. 5 Ekler Ek 5.1 Uluslararası örneklerin kritik altyapı kapsamı Uluslararası Örnek Kritik Altyapıları Amerika Birleşik Devletleri Tarım ve Gıda Ulaşım Sistemleri Ticari Tesisler Kimya Barajlar Kritik Üretim Enerji Acil Servisler Bilgi Teknolojisi Sağlık Hizmeti ve Kamu Posta ve Nakliye Sağlığı Bankacılık ve Finans Nükleer Reaktörler, Maddeler ve Atıklar İletişim Savunma Sanayi Su Hükümet Tesisleri Ulusal Anıtlar ve Simgeler Avrupa Konseyi Enerji Bilgi ve İletişim Finans Nükleer, Biyolojik, Kimyasal ve Radyoaktif madde endüstrileri Uzay Araştırmaları Sağlık Kamu Düzeni ve Güvenlik Gıda Sivil Yönetim Su Ulaşım Telekomünikasyon Gaz Finans Sağlık Hizmetleri Sivil Havacılık Kamu Yönetimi Demiryolu Su Elektrik Lojistik 96 Ek 5.2 Ülkemizde Gerçekleşmiş Hacktivist Saldırılar Tarih Saldırı Ekim 2011 CHP’nin Atatürk çizgisinden saptığı iddiasıyla CHP’nin sitesine saldırı düzenlenmiş, siteye pornografik içerikli görüntüler konulmuştur. Kendilerine “Netdevilz” adını veren grubun mesajının bir süre daha durmasının ardından site normale dönmüştür. 2012 Ankara Emniyet Müdürlüğü’nün internet sitesi RedHack grubu tarafından çökertilerek ihbar ve şikayet e-postalarını da içeren pek çok bilgi ve belge ele geçirilmiştir. 2012 RedHack grubu, emniyete ait polis yurdunun sitesini çökertmiş, çeşitli emniyet müdürlüklerine ait yaklaşık 350 internet sitesini de kullanılamaz hale getirmiştir. 2012 RedHack grubu, İçişleri Bakanlığı’nın sitesindeki bir uzantıyı kırarak İçişleri Bakanı’na yönelik mesaj bırakmıştır. Aynı zamanda, Bakanlığın dosya sisteminin yedeklendiği ve RedHack göz altılarının sürmesi halinde yayınlanacağı söylenmiştir. 2012 RedHack ve destek veren diğer gruplarla birlikte, TTNet başta olmak üzere Emniyet Genel Müdürlüğü, Adalet Bakanlığı, Yargıtay gibi birçok kuruma saldırılar düzenlenmiştir. 2012 RedHack grubu tarafından Türk Hava Yolları’nın internet sitesine siber saldırı düzenlenmiştir. 2012 Anonymous ve RedHack grubu işbirliği ile ÖSYM’nin sitesi ve Ankara Büyükşehir Belediye Başkanı Melih Gökçek’in internet sitesi çökertilmiştir. 2012 RedHack grubu tarafından Diyanet İşleri Genel Başkanlığı’nın internet sitesi çökertilmiş, mesaj yayınlanmıştır. RedHack grubu YÖK’ün internet destekli eğitim sistemini çökertmiştir. 2013 97 Kaynakça “Common Cyber Threats: Indicators and Countermeasures” “Report on Phishing - A Report to the Minister of Public Safety and Emergency Preparedness Canada and the Attorney General of the United States” Ekim 2006 Ahmet Türkay Varlı, 2007, Bankacılıkta Bilgi Sistemleri. Denetiminde BDDK Yaklaşımı ve Bilgi Güvenliği, BDDK Bilgi Yönetimi Dairesi Article 29 Data Protection Working Party, July 2012, Opinion on Cloud Computing Australia : Privacy Act of 1998 Avrupa Komisyonu Basın Açıklaması, 25 Ocak 2012, http://europa.eu/rapid/press-release_IP-1246_en.htm?locale=en Avrupa Komisyonu Basın Açıklaması, 25 Ocak 2012, http://europa.eu/rapid/press-release_IP-1246_en.htm?locale=en Avrupa Komisyonu, Aralık 2010, “Avrupa’daki kamu hizmetlerinin dijitalleştirilmesi: İsteği aksiyona dönüştürmek” Avrupa Komisyonu, Aralık 2010, “Avrupa’daki kamu hizmetlerinin dijitalleştirilmesi: İsteği aksiyona dönüştürmek” Avrupa Komisyonu, Special Eurobarometer 359 Avrupa Komisyonu, Special Eurobarometer 359 Avrupa Komisyonu. 2011. EU Kids Online Final Report II Avrupa Komisyonu. 2011. EU Kids Online Final Report II Baker, William B.; Matyjaszewski, Anthony. International Association of Privacy Professionals, Eylül 2010, “The changing meaning of "personal data"” Bennett, Louise, May 2012, “Cyber Security Strategy.” British Computer Society. Bennett, Louise, May 2012, “Cyber Security Strategy.” British Computer Society. Berkowitz, Bruce; Hahn, Robert, W, March 2003, “Cybersecurity: Who’s Watching The Store?” AEI-Brookings Joint Center For Regulatory Studies Document 98 Berkowitz, Bruce; Hahn, Robert, W, March 2003, “Cybersecurity: Who’s Watching The Store?” AEI-Brookings Joint Center For Regulatory Studies Document Bianet, Nisan 2012, "123456 Yaz İçişleri'ne Gir", http://www.bianet.org/bianet/diger/137975123456-yaz-icislerine-gir Bilge Karabacak, 2010, İki Kritik Kavram: Kritik Altyapılar ve Kritik Bilgi Altyapılar Bilge Karabacak, 2010, İki Kritik Kavram: Kritik Altyapılar ve Kritik Bilgi Altyapılar Bilge Karabacak, Eylül 2011, Kritik Altyapılara Yönelik Siber Tehditler ve Türkiye için Siber Güvenlik Önerileri, TÜBİTAK-BİLGEM Bilge Karabacak, Eylül 2011, Kritik Altyapılara Yönelik Siber Tehditler ve Türkiye için Siber Güvenlik Önerileri, TÜBİTAK-BİLGEM Bilge Karabacak, Haziran 2009, Türkiye’de Bilişim Güvenliğiyle İlgili Yasal Altyapının Analizi, TÜBİTAK-BİLGEM Bilgi Güvenliği Derneği, Haziran 2012, Ulusal Siber Güvenlik Stratejisi Bilgi Güvenliği Derneği, Haziran 2012, Ulusal Siber Güvenlik Stratejisi Bilgi Teknolojileri ve İletişim Kurumu, 14 Aralık 2012, TTNET AŞ'nin Phorm Şirketi Aracılığıyla Kişisel Veri İhlali Yaptığı İddiası ile ilgili Bilgi Teknolojileri ve İletişim Kurumu Kararı Bilgi Teknolojileri ve İletişim Kurumu, 23 Kasım 2011, PHORM SOLUTIONS Firması ile ilgili, Medyada Çıkan Haberler Hakkında Basın Açıklaması Bilgi Teknolojileri ve Koordinasyon Dairesi Başkanlığı, 2010, Kritik Altyapıların Korunması Bilgi Teknolojileri ve Koordinasyon Dairesi Başkanlığı, 2010, Kritik Altyapıların Korunması Bilgi Toplumu Stratejisi Eylem Planı (2006-2010) Değerlendirme Raporu, Rapor No: 5, Mart 2010, Devlet Planlama Teşkilatı Bilgi Toplumu Dairesi Bilgi Toplumu Stratejisi Eylem Planı (2006-2010), Temmuz 2006, Devlet Planlama Teşkilatı Bloomberg BNA, Şubat 2012, Cloud Computing Under the European Commission’s Proposed Regulation to Revise the EU Data Protection Framework 99 Broad, William J.; Markoff, John; Sanger, David E. 15 Ocak2011. "Israel Tests on Worm Called Crucial in Iran Nuclear Delay". New York Times. Broad, William J.; Markoff, John; Sanger, David E. 15 Ocak2011. "Israel Tests on Worm Called Crucial in Iran Nuclear Delay". New York Times. BTK, 2013, Elektronik Haberleşme Güvenliği – Mevzuat, http://www.tk.gov.tr/bilgi_teknolojileri/elektronik_haberlesme_guvenligi/mevzuat.php Bush, George W, February 2003, “The National Strategy to Secure Cyberspace.” Morgan James Publishing Bush, George W, February 2003, “The National Strategy to Secure Cyberspace.” Morgan James Publishing Buttarelli ,Giovanni EDPS; Ekim 2012, “Latest developments in data protection” Canada: Canada has two main federal privacy laws: Privacy Act (1985) and Personal Information Protection and Electronic Documents Act (2000). CBS News, 6 Kasım 2009, Cyber War: Sabotaging the System CBS News, 6 Kasım 2009, Cyber War: Sabotaging the System Chabinsky, Steven R, January 2010, “Cybersecurity Strategy: A Primer for Policy Makers and Those on the Front Line.” US National Security Law & Policy Journal Chabinsky, Steven R, January 2010, “Cybersecurity Strategy: A Primer for Policy Makers and Those on the Front Line.” US National Security Law & Policy Journal Chawki, Mohamed, 2012, WikiLeaks: transparency vs. national security, International Journal of Intellectual Property Management, Volume 5, pp 39-60 Chen, Ye-Sho; Chong, P. Pete; Zhang, Bin. Louisiana State University, 28 October 2004, “Cyber security management and e-government.” US’s Inderscience Publishers International Journal Chen, Ye-Sho; Chong, P. Pete; Zhang, Bin. Louisiana State University, 28 October 2004, “Cyber security management and e-government.” US’s Inderscience Publishers International Journal Cho, C., & Cheon, H. 2005, ’Children’s exposure to negative Internet content: effects of family context. Journal of Broadcasting & Electronical Media, 49(4), 488–509. 100 Cho, C., & Cheon, H. 2005, ’Children’s exposure to negative Internet content: effects of family context. Journal of Broadcasting & Electronical Media, 49(4), 488–509. CIPPIC (Canadian Internet Policy and Public Interest Clinic) – Online Privacy Threats Cihan, (10 Ocak 2013), http://www.cihan.com.tr/news/Siber-Guvenlik-Tatbikati-2014-teuluslararasi-capta-yapilacak-CHOTA0OTI2LzM= Cihan, 10 Ocak 2013, “Siber Güvenlik Tatbikatı, 2014'te uluslararası çapta yapılacak” Cihan, 10 Ocak 2013, “Siber Güvenlik Tatbikatı, 2014'te uluslararası çapta yapılacak” Connolly, Chris: Maurushat, Alana: Vaile, David: Dijk, Peter van, Mayıs 2011 “International cyber-security awareness raising and educational initiatives” ACMA(Australian Communications and Media Authority ) Definition of Terms : EDPS Glossary of Data Protection Terms Der Spiegel, 8 Ağustos 2011, "Mossad's Miracle Weapon: Stuxnet Virus Opens New Era of Cyber War" Der Spiegel, 8 Ağustos 2011, "Mossad's Miracle Weapon: Stuxnet Virus Opens New Era of Cyber War" Detica, (2011) , The Cost of Cybercrime Detica, (2011) The Cost of Cybercrime Devlet Planlama Teşkilatı Bilgi Toplumu Dairesi, Mart 2010, Bilgi Toplumu Stratejisi Belgesi Eylem Planı (2006-2010) Değerlendirme Raporu Rapor No:5 Devlet Planlama Teşkilatı Bilgi Toplumu Dairesi, Mart 2010, Bilgi Toplumu Stratejisi Belgesi Eylem Planı (2006-2010) Değerlendirme Raporu Rapor No:5 Devlet Planlama Teşkilatı, Bilgi Toplumu Stratejisi Belgesi (2006-2010) Devlet Planlama Teşkilatı, Bilgi Toplumu Stratejisi Belgesi (2006-2010) Devlet Planlama Teşkilatı, Bilgi Toplumu Stratejisi Belgesi Eylem Planı (2006-2010) Devlet Planlama Teşkilatı, Bilgi Toplumu Stratejisi Belgesi Eylem Planı (2006-2010) DHS (Department of Homeland Security) 101 Dilek Yüksel Civelek, Nisan 2011, “Kişisel Verilerin Korunması ve Bir Kurumsal Yapılanma Önerisi”, Bilgi Toplumu Dairesi Başkanlığı Dilek Yüksel Civelek, Nisan 2011, “Kişisel Verilerin Korunması ve Bir Kurumsal Yapılanma Önerisi”, Bilgi Toplumu Dairesi Başkanlığı Dr Ahamad, Mustaque : Alperovitch Dmitri (among others), 2011, “Emerging Cyber Tech Reports-2012” GTCSS Dunn, Myriam; Mauer, Victor, 2006, “Towards a Global Culture of Cyber-Security.” CIIP Handbook Dunn, Myriam; Mauer, Victor, 2006, “Towards a Global Culture of Cyber-Security.” CIIP Handbook Emigh, Aaron, Ekim 2005, “Online Identity Theft: Phishing Technology, Chokepoints and Countermeasures” European Data Protection Supervisor, Ocak 2013, “EDPS Strategy 2013-2014 for excellence in data protection by the EU institutions” European Network and Information Security Agency, Ağustos 2007, “Information Security Awareness” ENISA document European Network and Information Security Agency. 25 February 2011, “Cyber Security Strategy for Germany”. ENISA. European Network and Information Security Agency. 25 February 2011, “Information systems defence and security France’s strategy”. ENISA. European Network and Information Security Agency. 25 February 2011, “Cyber Security Strategy for Germany”. ENISA. European Network and Information Security Agency. 25 February 2011, “Information systems defence and security France’s strategy”. ENISA. European network of Awareness Centres FCC, 2010, Open Internet Order FCC, 2010, Open Internet Order 102 Federal Information Security Management Act Federal Ministry of the Interior. February 2011, “Cyber Security Strategy for Germany.” Federal Ministry of the Interior Policy Document Federal Ministry of the Interior. February 2011, “Cyber Security Strategy for Germany.” Federal Ministry of the Interior Policy Document France: Act No. 78-17 Amended by the Act of 6 August 2004 relating to the Protection of Individuals with regard to the Processing of Personal Data Germany: Federal Data Protection Law Hancock, B. 1999, “Güvenlik Bakışları”, Computers & Security, Sayı 18, 1999, s. 553 – 64 Hancock, B. 1999, “Güvenlik Bakışları”, Computers & Security, Sayı 18, 1999, s. 553 – 64 Harijadi, Djoko Agung. Ministry of Communication and Information, Republic of Indonesia. 23 March 2004, “e-Government Development in Indonesia.” APEC Telecommunications and Information Working Group 29th Meeting, Hong Kong, China Harijadi, Djoko Agung. Ministry of Communication and Information, Republic of Indonesia. 23 March 2004, “e-Government Development in Indonesia.” APEC Telecommunications and Information Working Group 29th Meeting, Hong Kong, China Hilbert and López, 2011 “Dünyanın, bilgiyi saklama, iletme ve işleme konusundaki teknolojik kapasitesi” Science Hilbert and López, 2011 “Dünyanın, bilgiyi saklama, iletme ve işleme konusundaki teknolojik kapasitesi” Science Hjorth ,Claus Noer: Wøldike ,Camilla : Hasselbalch, Gry , 2012, “The Safer Internet Day Youth Agenda” Awareness Centre Denmark Hoskins Andrew: Liu Yi-Kai: Relkuntwar Anil, Aralık 2005, “Counter-Attacks for Cybersecurity Threats” Hürriyet, Şubat 2007, Sanal banka mağdurları derneği kuruldu, http://www.hurriyet.com.tr/ekonomi/5907876.asp ICTA, Eylül 2011, “Safer Internet Regulations” Information & Communication Technologies Authority 103 India: Information Technology Act (2000) International Conference of Data Protection Commissioners, 9 Şubat 2010, “Criteria and Rules for Credentials Committee and the Accreditation Principles” as amended on 9-11 September 2002. ITU, Eylül 2011, National Cybersecurity Strategy Guide ITU, Eylül 2011, National Cybersecurity Strategy Guide Kalkınma Bakanlığı, Aralık 2012, Bilgi Toplumu Stratejisinin Yenilenmesi Projesi 5. Odak Grup Değerlendirme Raporu Kalkınma Bakanlığı, Aralık 2012, Bilgi Toplumu Stratejisinin Yenilenmesi Projesi STK, Meslek Birlikleri ve Üniversiteler Atölye Çalışması Değerlendirme Raporu Kalkınma Bakanlığı, Aralık 2012, Bilgi Toplumu Stratejisinin Yenilenmesi Projesi 5. Odak Grup Değerlendirme Raporu Kalkınma Bakanlığı, Aralık 2012, Bilgi Toplumu Stratejisinin Yenilenmesi Projesi STK, Meslek Birlikleri ve Üniversiteler Atölye Çalışması Değerlendirme Raporu Kierkegaard, S. 2008, Cybering, online grooming and age-play. Computer Law & Security Report, 24(1), 41–55 Kierkegaard, S. 2008, Cybering, online grooming and age-play. Computer Law & Security Report, 24(1), 41–55 Kirda, Engin: Kruegel, Christopher, 2005, “Protecting users against phishing” Oxford University Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme, Avrupa Konseyi Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme, Avrupa Konseyi Kişisel Verilerin Koruması Kanun Tasarısı, 2008, http://www2.tbmm.gov.tr/d23/1/1-0576.pdf Kişisel Verilerin Koruması Kanun Tasarısı, 2008, http://www2.tbmm.gov.tr/d23/1/1-0576.pdf 104 Lewis University, “A Brief History of Information Security”, http://www.lewisu.edu/academics/ msinfosec/history.htm Lewis University, “A Brief History of Information Security”, http://www.lewisu.edu/academics/ msinfosec/history.htm Lwin, M. O., Stanaland, A., & Miyazaki, A. 2008, Protecting ’children’s privacy online: how parental mediation strategies affect website safeguard effectiveness. Journal of Retailing, 84, 205–217. Malawer, Stuart. Geroge Mason University School of Public Policy. 18 November 2010, “Cyberwarfare: Law & Policy Proposals for U.S. & Global Governance.” US Virginia Lawyer Paper Malawer, Stuart. Geroge Mason University School of Public Policy. 18 November 2010, “Cyberwarfare: Law & Policy Proposals for U.S. & Global Governance.” US Virginia Lawyer Paper Mansfield, Nick. OECD. 18 December 2007, “Development of Policies for Protection of Critical Information Infrastrucutres.” OECD Document Mansfield, Nick. OECD. 18 December 2007, “Development of Policies for Protection of Critical Information Infrastrucutres.” OECD Document McAfee. International Privacy and Data Protection Laws McCallister, Erika; Grance, Tim; Scarfone, Karen. National Institute of Standards and Technology, Nisan 2010, “Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) Recommendations of the National Institute of Standards and Technology” NIST Special Publication 800-122 McDonald, A. and L. Cranor, 2008, “The Cost of Reading Privacy Policies”. I/S: A Journal of Law and Policy for the Information Society McDonald, A. and L. Cranor, 2008, “The Cost of Reading Privacy Policies”. I/S: A Journal of Law and Policy for the Information Society Milletary, Jason , 2005, “Technical Trends in Phishing Attacks” US-CERT Moshchuk, Alexander Nikolaevich, 2009, “Understanding and Defending Against Web-borne Security Threats” 105 NASCIO, 2007, “IT Security Awareness and Training:Changing the Culture of State Government” National Security Council. “Cyberspace Policy Review.” US’s White House Document National Security Council. “Cyberspace Policy Review.” US’s White House Document National Security Council. “The Comprehensive National Cybersecurity Initiative.” US’s White House Document National Security Council. “The Comprehensive National Cybersecurity Initiative.” US’s White House Document National Security Council. May 2011, “International Strategy For Cyberspace.” US’s White House Document National Security Council. May 2011, “International Strategy For Cyberspace.” US’s White House Document Nojeim, Gregory T. 2010 “Cybersecurity and Freedom on the Internet.” Journal of National Security Law & Policy Nojeim, Gregory T. 2010 “Cybersecurity and Freedom on the Internet.” Journal of National Security Law & Policy Ntvmsnbc, Ocak 2013, Şifre aynı: 123456, http://www.ntvmsnbc.com/id/25414019/ OECD, Şubat 2012, “Recommendation on the Protection of Children Online” OECD Document OECD. 16 November 2012, “Cybersecurity Policy Making At A Turning Point: Analysing a new generation of national cybersecurity strategies for the Internet Economy.” OECD Document. OECD. 16 November 2012, “Cybersecurity Policy Making At A Turning Point: Analysing a new generation of national cybersecurity strategies for the Internet Economy.” OECD Document. Office for Internet Safety Ireland, the National Centre for Technology in Education (NCTE), O2 and Barnardos, 2008, “A guide to cyberbullying- Get With it - Understanding and identifying to help protect your children” Joint Initiative Office of the Victorian Privacy Commissioner, Australia, Haziran 2002, “A Brief History of Information Privacy” 106 OpenNet Inıtiative, Filtering Data, November 2012, opennet.net OpenNet Inıtiative, Filtering Data, November 2012, opennet.net Organisation for Economic Co-operation and Development. “OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data” Ovum, “Internet Content Filtering: A Report to DCITA”, April 2003 Ovum, “Internet Content Filtering: A Report to DCITA”, April 2003 Phahlamohlaka, LJ; Jansen van Vuuren, JC; Coetzee, AJ. May 2011, “Cyber security awareness toolkit for national security: an approach to South Africa's cyber security policy implementation.” Proceedings of the first IFIP TC9/TC11 South African Cyber Security Awareness Workshop (SACSAW). Phahlamohlaka, LJ; Jansen van Vuuren, JC; Coetzee, AJ. May 2011, “Cyber security awareness toolkit for national security: an approach to South Africa's cyber security policy implementation.” Proceedings of the first IFIP TC9/TC11 South African Cyber Security Awareness Workshop (SACSAW). Power, Richard. Carnegie Mellon CyLab. 2008, “Cyber Security in the Three Times: Past, Present & Future.” CERT 20th Anniversary Seminar Series Conference Presentations Power, Richard. Carnegie Mellon CyLab. 2008, “Cyber Security in the Three Times: Past, Present & Future.” CERT 20th Anniversary Seminar Series Conference Presentations Powner , David. 10 March 2009, “Key Improvements Are Needed to Strengthen the Nation's Posture.” United States Government Accountability Office Document. Powner , David. 10 March 2009, “Key Improvements Are Needed to Strengthen the Nation's Posture.” United States Government Accountability Office Document. President’s Information Technology Advisory Committee. 28 February 2005, “Cyber Security: A Crisis of Prioritization.” The networking and Information Technology Research and Development (NITRD) Program President’s Information Technology Advisory Committee. 28 February 2005, “Cyber Security: A Crisis of Prioritization.” The networking and Information Technology Research and Development (NITRD) Program 107 Privacy International, “Privacy in the Developing World” Radikal, Nisan 2012, “123456 yaz İçişleri'ne şak diye gir” http://www.radikal.com.tr/Radikal.aspx?aType=RadikalDetayV3&ArticleID=1085597 Relyea, Harold C. Congressional Research Service. 2002 “E-gov: Introduction and overview.” Government Information Quarterly Relyea, Harold C. Congressional Research Service. 2002 “E-gov: Introduction and overview.” Government Information Quarterly Republic of China: Computer Processed Personal Information Protection Act (1995) Republic of Korea: Act on Promotion of Information and Communication Network Utilization and Information Protection Sabah, (20 Eylül 2012), http://www.sabah.com.tr/Ekonomi/2012/09/20/siber-guvenlikcilerizmirde-yetisecek Sharp, Sr., Walter Gary. 2010, “The Past, Present, and Future of Cybersecurity.” US National Security Law & Policy Journal Sharp, Sr., Walter Gary. 2010, “The Past, Present, and Future of Cybersecurity.” US National Security Law & Policy Journal Shi, Junxiao: Saleem, Sara “Phishing”, 2012, Report Sivin JP, Bialo ER, 1992, Ethical Use of Information Technologies in Education: Important Issues for America's Schools. ERIC Avrupa Komisyonu Basın Açıklaması, 25 Ocak 2012, http://europa.eu/rapid/press-release_IP-12-46_en.htm?locale=en Solove, Daniel J., GWU Law School Public Law, 2006, “A Brief History of Information Privacy Law PROSKAUER ON PRIVACY, PLI”. Standler, Ronald B. 1997, “Privacy Law in the USA” State of Texas Newsletter VOL. 4, ISSUE 11, Ekim 2010, “Cyber Security Tips” Stone, Marianne. Geest-MSH - Paris. Sciences Po - Paris. Columbia University, School of International and Public Affairs. “Obama’s Cybersecurity Plan.” US security technology policy papers series 1 108 Stone, Marianne. Geest-MSH - Paris. Sciences Po - Paris. Columbia University, School of International and Public Affairs. “Obama’s Cybersecurity Plan.” US security technology policy papers series 1 Symantec, 2011, Internet Security Threat Report Symantec, 2011, Internet Security Threat Report Symantec, 2012, İnternet Güvenliği Tehdit Raporu Symantec, 2012, İnternet Güvenliği Tehdit Raporu Symantec, 2012, Norton Siber Suç Rapor Symantec, 2012, Norton Siber Suç Rapor Tabatadze David, Temmuz 2011 “Internet Security Awareness Program in Georgia” ISAP Telekomünikasyon İletişim Başkanlığı, İhbar ve Erişim Engelleme İstatistikleri, 13 Aralık 2012 Telekomünikasyon İletişim Başkanlığı, İhbar ve Erişim Engelleme İstatistikleri, 13 Aralık 2012 The Guardian, 17 Mayıs 2007, Rusya Estonya’ya Karşı Siber Savaşla Suçlanıyor, The Guardian, 17 Mayıs 2007, Rusya Estonya’ya Karşı Siber Savaşla Suçlanıyor, TÜBİTAK, 2011, USGT Sonuç Raporu TÜBİTAK, 2011, USGT Sonuç Raporu UK Cabinet Office. 3 December 2012, “The UK Cyber Security Strategy: Written Ministerial Statement 3 December 2012” Cabinet Office Cyber Security Strategy Office Policy Document UK Cabinet Office. 3 December 2012, “The UK Cyber Security Strategy: Written Ministerial Statement 3 December 2012” Cabinet Office Cyber Security Strategy Office Policy Document Ulaştırma Denizcilik ve Haberleşme Bakanlığı, (27 Haziran 2012), Sena Kaleli’nin yazılı soru önergesine cevap, United Kingdom: Data Protection Act, 1998 United Nations, Aralık 1948, “Universal Declaration of Human Rights, Article 12” United States of America: USA PATRIOT Act, 2001 109 US Department of Homeland Security - National Cyber Security Awareness Month Valcke, M., B. De Wever, H. Van Keer, T. Schellens, 2011, Long-term study of safe Internet use of young children, Computers & Education Valcke, M., B. De Wever, H. Van Keer, T. Schellens, 2011, Long-term study of safe Internet use of young children, Computers & Education Valkenburg, P., & Soeters, K. 2001, Children’s positive and negative experiences with the Internet. An exploratory survey. Communication Research, 28(5), 652–675 Valkenburg, P., & Soeters, K. 2001, Children’s positive and negative experiences with the Internet. An exploratory survey. Communication Research, 28(5), 652–675 Villar, Rafael del; Díaz de León, Alejandro; Hubert, Johanna Gil. World Bank, Şubat 2001, “Regulation of Personal Data Protection and of Reporting Agencies: a Comparison of Selected Countries of Latin America, the United States and European Union Countries” Warren, Samuel ; Brandeis, Louis; Harvard Law Review, Aralık 1890, “The Right to Privacy” Willard Nancy, Nisan 2007, “Educator’s Guide to Cyberbullying and Cyberthreats” Wilshusen, Gergory C.; Powner, David A. US Government Accountability Office. 17 November 2009 “CYBERSECURITY: Continued Efforts Are Needed to Protect Information Systems From Evolving Threats.” US GAO Document Wilshusen, Gergory C.; Powner, David A. US Government Accountability Office. 17 November 2009 “CYBERSECURITY: Continued Efforts Are Needed to Protect Information Systems From Evolving Threats.” US GAO Document Ziccardi, Giovanni, 2012, Digital Resistance, Digital Liberties and Digital Transparency, Resistance, Liberation Technology and Human Rights in the Digital Age Law, Governance and Technology Series, Volume 7, pp 27-71 110