İnternet, bilgi, bilişim güvenliğine dair her türlü karalamalara sahiplik yapan kişisel bir blog.

“Kimlik paylaşım sistemi” tehlike saçıyor!

5998126 haziran’da birçok medya organında yer alan haberimle ilgili bende kendi blogumda bir yazı yazmak istedim. Öncelikle kimlik paylaşım sistemi yani KPS nedir bunu açıklayayım. Kimlik paylaşım sistemi Nüfus ve Vatandaşlık İşleri tarafından yürütülmekte olan, ülkemiz vatandaşlarının bilgilerinin bazı şartlar ve anlaşmalar sonrasında kurum ve kuruluşlarla paylaşılmasıdır. Birçok websitesine üye olurken T.C Kimlik numaranızı girmeniz sonrasında adınız soyadınız gibi bilgiler size direkt gelmektedir. Anlayın ki o site Kimlik Paylaşım Sistemini kullanmaktadır. Peki bunun bana ne gibi bir zararı olabilir diyebilirsiniz ?

26 Haziran’da CHA (Cihan Haber Ajansı) muhabiri tarafından “internette paylaştığınız bilgiler…” başlığıyla servis edilen haberde, söz konusu bilgileri vatandaşlarımız kendileri paylaşmamaktadır. Bu zamana kadar hiç internet kullanmamış birinin bile açık adresini, o kişinin T.C Kimlik numarasını bilerek internet üzerinden yasal olarak ulaşabilirsiniz. Haberin başlığından yanlış bir algılama ve izlenim olmuş olabilir. Bu konuda düzeltme yapmak istiyorum.

Şuan da 1776 farklı kurum KPS hizmetinden faydalanmaktadır.(?)

KPS’nin kullanımıyla ilgili esasları incelediğimiz de Nüfus kayıtlarının gizliliği nedeniyle ve kişisel verilerin korunması amacıyla kanun koyucu bu bilgilerin elektronik ortamda paylaşılmasını belirli esaslara bağlamıştır. Bu esaslar, 5490 sayılı Nüfus Hizmetleri Kanununun 45 inci maddesinde şu şekilde düzenlenmiştir: “Bakanlık, Kimlik Paylaşımı Sistemi ve Adres Paylaşımı Sistemi veri tabanlarında tutulan bilgileri bu Kanunda belirtilen esas ve usûller çerçevesinde kurumlar ile diğer kişilerin hizmetine açabilir. Yerleşim yeri adresi bilgileri ancak kurumlar ile 5411 sayılı Bankacılık Kanunu çerçevesinde faaliyette bulunan bankaların paylaşımına açılabilir” (5490 Md. 45/1). Bu ilke ile ilgili olarak vurgulanması gereken iki husus bulunmaktadır. Birincisi, ‘esasların esası’ olarak nitelendirebileceğimiz KPS veri tabanında yer alan bilgilerin, bu Kanunun öngördüğü esas ve usuller doğrultusunda kurum ve kuruluşların paylaşımına açılabileceğidir. İkincisi ise, yerleşim yeri adresi bilgilerinin sadece kamu kurumları (söz konusu maddede geçen “kurumlar” ibaresi Kanunun “Tanımlar” bölümünde kamu kurumları olarak tanımlanmıştır) ve bankalara verilebileceği konusudur. Kanun koyucu burada, diğer verilerin kimlerle paylaşılabileceği ile ilgili herhangi bir sınırlama öngörmezken yalnızca yerleşim yeri adresi bilgisinin kimlere açılabileceği konusunda bir kısıtlamaya gitmiştir.

İlgili esasda yerleşim yeriyle ilgili tutulan kayıtlar sadece kurumlar ve bankalar ile paylaşılabilir şeklinde ibare yer almaktadır. Ancak bu kurumların bu işlemleri internet siteleri üzerinden yapması ve sorguyu yapan herkesin buna erişmesine izin vermesi bir bilgi güvenliği zaafiyeti doğurmaktadır.

İnternet üzerinde alışverişlerimde karşı taraftan artık kesinlikle T.C kimlik numarası istemekteyim. Neden derseniz o kişinin kimlik numarasıyla tamamiyle yasal olarak; adı soyadı, doğum tarihi, doğum yeri, anne adı, baba adı, medeni hali ve hatta açık adresine kadar ulaşılabilmekte, bunların tamamı KPS hizmeti sunulan websitelerinden yapılabilmektedir.

Ek olarak T.C Anayasa’sında “Özel Hayatın Gizliliği ve Korunması” başlığı altında yer alan 20. maddesine göre, “herkes özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir”. Özel yaşamın düzenlendiği Anayasanın 20. Maddesine gelen ek madde şöyle:  “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Maddenin devamı: Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla islenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

Kimlik paylaşım sistemi’nin kullanılmasındaki temel amaç bilgiye daha kolay ve hızlı erişebilmek için bilgi sistemlerini yaygınlaştırılmakta ve internet üzerinden erişilebilir hale sokmaktadır. Devlet kurumları, sundukları servislerin daha hızlı ve etkin kullanılması için vatandaşların web üzerinden bilgilerine ulaşmasını sağlamaktadırlar.

Kimlik numaralarının gizliliği

Kimlik numarasıyla şuan internet üzerinde sorgulamalar yapılabilmektedir. Ulaşması kolay olan bilgilerle kimlik numarasının birleşmesi sonucu kişiler hakkında ayrıntılı bilgilere ulaşmak mümkündür.

Şimdi sizlere 2010 İzmir Uluslararası Bilişim Hukuku Kurultayı’nda sunulan 32 hukuk insanına sorulmuş soruların cevaplarını paylaşıyorum.

Soru 1 : TC kimlik numarası, sizce kişiye ait mahrem bir bilgi midir?
– “Evet mahrem bir bilgidir.” diyen 14 Avukat, 5 Adli Yargı Hakimi 6 Cumhuriyet Savcısı, 3 Hukuk Fakültesi Öğrencisi.
– “Hayır değildir.” diyen 3 Adli Yargı Hakimi.
– “Fikrim/yorum yok.” diyen 1 Avukat.

Soru 2 : TC kimlik numaranızı başkalarının görebileceği bir ortama (kartvizit/web sayfası) yazar mısınız?
– “Evet yazarım.” diyen hiç kimse yok.
– “Hayır yazmam” diyen 14 Avukat, 8 Adli Yargı Hakimi, 6 Cumhuriyet Savcısı, 3 Hukuk Fakültesi Öğrencisi.
– “Fikrim yok.” diyen hiç kimse yok.

Soru 3 : Vatandaşların TC Kimlik Numaralarının, (kendi rızalarının dışında) vatandaşlara kolaylık sağlaması için bazı sitelerde açıkça listelenmesi uygun mudur?
– “Evet uygundur.” diyen hiç kimse yok.
– “Hayır uygun değildir.” diyen: 14 Avukat, 8 Adli Yargı Hakimi, 6 Cumhuriyet Savcısı, 3 Hukuk Fakültesi Öğrencisi.
– “Fikrim ya da yorumum yok” diyen hiç kimse yok.

Çözümleme : Sadece yan yana gelmiş rakamlardan ibaret olması gereken ve tek başına hiç bir mahremiyet unsuru içermesi ihtimali olmaması gereken TC kimlik numarası …Şu an Türkiye’de kullanılan bilgi işlem sistemlerinin ve süreçlerinin durumundan kaynaklı olarak, hukuk insanlarının kafasında artık haklı olarak mahrem bir bilgi olarak görülmekte ve buna göre hareket edildiği ifade olunmaktadır.

 

 

Mustafa

2004 yılından bu yana Web ve Bilgi Güvenliği üzerine araştırmalarda bulundum. Çok sayıda yerli yada yabancı websitelerinde bulunan zaafiyetleri ilgililere göndererek kapatılmasını sağladım. Octosec ailesindenim. Siber Güvenlik Eylem Planı kapsamında TSE Kayıtlı Sızma Uzmanı sertifikam bulunmaktadır.

1 Comment

  1. websitesatis.net Reply to websitesatis.net

    Günümüzde gelişen dijital teknoloji ile kimlik ve kişisel bilgilerin gizliliği kalmamıştır. Bu nedenledir ki bankaların, telefon şebekelerinin vb. İnternet işlemleri son derece güvenlikleri arttırılmıştır. Bu güvenlik önlemleride çoğu zaman işlemleri zorlaştırmıştır. Çok fazla kolaylık arkasından riskleri ve zorlukları getirmektedir.

Leave a Reply