İÇERİK
Giriş
Verinin İşlenmesi
Kişisel Verilerin Korunması
Bilgi Güvenliği
Bilgi Güvenliği Prensipleri
Sık Karşılaşılan Güvenlik Saldırıları
Sonuç
Kaynakça
Giriş
Günlük hayatımızda artık hepimiz sosyal medya hesaplarımızda fotoğraf, video, ses kaydı, konum gibi özel bilgilerimizi paylaşıyoruz. Tedavi amacıyla sağlık kuruluşuna gittiğimizde parmak izimizi, daha önce geçirdiğimiz sağlık sorunlarımızı paylaşıyoruz. Bankaya gittiğimizde mali bilgilerimizi, iletişim bilgilerimizi paylaşıyoruz. Her paylaştığımız bilgide kendimize ait bir iz bırakıyoruz. Bu izler bizi biz yapan ve herkesten ayran kişisel verilerimizdir. Paylaştığımız bu verileri bizden başka herkesin kötü ve haksız kullanımına karşı korumaya ise “veri koruma” denir.
Verinin İşlenmesi
Bir verinin kişisel veri niteliği kazanması veya belirli bir kişiyi temsil etmesi ancak verinin işlenme sürecinde kesinlik kazanabilmektedir. Kişisel verilerin işlenmesi, verilerin elde edilmesi, kaydedilmesi, düzenlenmesi, uyarlanması, dönüştürülmesi, kullanımı, açıklanması, birleştirilmesi, silinmesi gibi süreçlerden oluşmaktadır (Kaya, 2011).
Ekonomik İş birliği ve Kalkınma Örgütü (Organisation for Economic Co-operation and Development OECD) Rehber İlkeleri, kişisel verilerin korunması ve işlenme sürecinde dikkate alınması gereken prensipleri şu şekilde belirlemiştir (OECD, 2013):
- Sınırlılık
Kişisel veriler, hukuka uygun sebepler ve araçlarla toplanmalıdır, veri sahiplerinin toplama konusunda bilgilendirilmeleri ve bilinçli rızalarının alınması gerekmektedir.
- Kalite
Toplanan veriler kullanılan amaç doğrultusunda mümkün olduğunca tam, güncel ve doğru olmalıdır.
- Amaca Özgülük
Kişisel verilerin toplanma amacı belirlenmelidir. Veriler sadece belirlenen amaç için kullanılmalıdır.
- Kullanım Sınırlaması
Toplanan veriler belirtilen amaçlar dışında yayılamaz, bulundurulamaz veya başka amaçlarla kullanılamaz. Veri sahibinin bilinçli rızası ve kanuna dayalı yetkiler bu maddenin sınırlaması olabilir.
- Güvenlik
Toplanan verilere yönelik oluşabilecek tehlikelere karşı (kayıp, yetkisiz erişim, zarar verme, değiştirme, açıklama) uygun güvenlik tedbirleri ile korunmalıdır.
- Açıklık
Kişisel verilerle ilgili gelişmeler, uygulama ve politikalar hakkında genel bir açıklık ilkesi bulunmalıdır. Bireyler kendileri ile ilgili veri barındıran kurumların politikalarına kolayca ulaşabilmelidirler.
- Bireyin Rızası
Veri sahibinin rızası olmaksızın veriler erişilebilir hale getirilmemeli ve açıklanmamalıdır.
- Hesap Verebilirlik
Veri sahipleri veri toplayıcı ve yayınlayıcılarına karşı sayılan diğer ilkeler çerçevesinde hesap sorma hakkına sahip olabilmelidir. (Eroğlu, 2018)
Kişisel Verilerin Korunması
Yaşanan süreçlerde kişisel verilere yönelik tehditlere karşı hem bireysel hem toplumsal savunma mekanizmalarının varlığı değer kazanmaktadır. Kişisel verilerin korunması özel hayat ve aile hayatına saygı hakkı bakımından önemlidir. Kişisel verilerin korunmasının uluslararası belgelerde, mahremiyete yönelik düzenlemelerle yorumlandığı görülmektedir.
Türkiye’de kişisel verilerin korunmasına yönelik yasal düzenleme çalışmaları 2000’li yıllardan itibaren gündeme gelmiştir. 2016 yılında ise konuya yönelik kanun çalışması tamamlanmıştır. “6698 sayılı Kişisel Verilerin Korunması Kanunu” 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Kanun ile “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” amaçlanmaktadır. (Eroğlu, 2018).
Bilgi Güvenliği
Bilgi karşımıza çok çeşitli ve farklı yerlerde ortaya çıkmaktadır. Bilginin yer aldığı ortamlara örnek vermemiz gerekirse; sunucular, kişisel ve dizüstü bilgisayarlar, tabletler, akıllı telefonlar, veri tabanı gibi elektronik ortamlar, elektronik posta, taşınabilir diskler, CD/DVD ROM’lar, kâğıt vb. olarak sayılabilir. Bilginin üç hali olduğunu burada ifade etmemiz gerekir. Bunlar;
- Durağan bilgi
- Hareket halindeki bilgi
- Kullanımdaki bilgi (Çek, 2017, p.4).
Bilgi Güvenliği Prensipleri
Veri güvenliğinin üç temel prensibi vardır. Bunlar:
- Gizlilik
Bilginin sadece yetkisi olan kişiler tarafından erişmesi, yetkisiz kişilerin eline geçmemesi ve yetkisiz kişiler tarafından görülememesidir.
- Bütünlük
Bilginin yetkisiz kişiler tarafından değiştirilememesi, tam ve eksiksiz olmasıdır. Bilginin yine saklandığı veri tabanında veya iletim halindeyken yetkisi olmayan herhangi bir kişi tarafından değiştirilmesini, tahrip edilmesini veya silinmesi istenmez.
- Erişilebilirlik
Bilginin yetkisi olan kişiler tarafından, gerektiği zaman ulaşılabilir olması bilgi güvenliğinin erişilebilirlik prensibidir.
Bilgi güvenliğinin yukarıda bahsettiğimiz üç temel prensibi dışında başka birtakım prensipleri de vardır. Bunlar:
- Loglama
İngilizce ‘‘Accountability’’ kavramının karşılığı olarak dilimize hesap verilebilirlik olarak çevirebileceğimiz, log kayıtlarının bütünlüğünden bahsedilmesi gerekir. Log tutma, elektronik ortamda yapılan işlemlere ait kayıtların tutulmasıdır.
- Kimlik Doğrulama
Bilgi sistemlerinden hizmet alan kişinin, uygulamanın ya da bir web servisinin gerçekten o kişi, uygulama ya da web servisi olduğunun tespiti gerekmektedir. Kimlik doğrulama olmaksızın bir bilgi güvenliği düşünmek olanaksızdır. Şifre, OTP, biyometrik kimlik doğrulama gibi çeşitli kimlik doğrulama yöntemleri bulunmaktadır.
- İnkâr Edilemezlik
Bu prensibi, log kayıtlarının tutulması prensibiyle de birlikte değerlendirmek mümkündür. İnkâr edilemezliğin sağlanması için bütünlüğü korunmuş, tutarlı bir log kayıtlarının tutulması mekanizması gerekmektedir.
- Güvenilirlik
Bilişim sisteminden beklenen sonucun üretilmesi ve elde edilen sonuçlar ile beklenen sonuçların tutarlılık durumudur. (Çek, 2017, p.4-6).
Sık Karşılaşılan Güvenlik Saldırıları
Bilgi güvenliğini tehdit eden saldırılar üç ana başlıkta gruplandırılabilir.
- Gizliliği Tehdit Eden Saldırılar
Genel olarak, iki tür saldırı, bilginin gizliliğini tehdit eder: gözetleme ve trafik analizi. Ağ trafiğini dinleme (Snooping), verilere yetkisiz erişime veya veri kesme işlemine yönelik olarak gerçekleştirilir. Trafik analizi ise bir saldırganın çevrimiçi trafiği izlenerek toplanan değişik türdeki bilgileri elde etme işlemidir.
- Bütünlüğü Tehdit Eden Saldırılar
Verilerin bütünlüğü çeşitli saldırılarla tehdit edilebilir. Bu saldırılara örnek olarak değiştirme, maskeleme, tekrarlama ve reddetme verilebilir.
- Erişilebilirliği Tehdit Eden Saldırılar
Hizmet dışı bırakma (DOS) saldırıları ve dağıtık hizmet dışı bırakma saldırıları (DDOS), bir sistemin hizmetini yavaşlatabilir veya tamamen kesebilir. Saldırgan bunu başarmak için çeşitli stratejiler kullanabilir. Sistemi çok meşgul edebilir, çökertir ya da bir yönde gönderilen iletileri kesebilir ve gönderme sistemini iletişim veya mesajdaki taraflardan birinin mesajı kaybettiğine ve tekrar gönderilmesi gerektiğine inanmasına neden olabilirler. (Kurt Kaya, 2017, p.4-8).
Sonuç
Sonuç olarak bütün bu bilgileri ele aldığımızda kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmektedir.
KAYNAKÇA
- Kurt Kaya, G. (2017). Bilgi Güvenliği ve Siber Güvenlik Kapsamında Bakanlık Uygulamaları için Güvenli Yazılım Geliştirme Metodolojisi Önerisi (Master’s thesis).
- Eroğlu, Ş. (2018). Dijital Yaşamda Mahremiyet (Gizlilik) Kavramı ve Kişisel Veriler: Hacettepe Üniversitesi Bilgi ve Belge Yönetimi Bölümü Öğrencilerinin Mahremiyet ve Kişisel Veri Algılarının Analizi. Hacettepe Üniversitesi Edebiyat Fakültesi Dergisi, 131-153.
- Çek, E. (2017). Kurumsal Bilgi Güvenliği Yönetişimi ve Bilgi Güvenliği İçin İnsan Faktörünün Önemi (Master’s thesis).
- Photo by Rob Sarmiento on Unsplash
Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.
Marmara Üniversitesi Bilgisayar ve Öğretim Teknolojileri Öğretmenliği 2. sınıf öğrencisiyim. Yazılım alanına ilgi duyuyorum. Üniversiteden başka bir yerde yazılım ile ilgili eğitim almadım. Okuduğum lise Anadolu Lisesi olduğu için orada da bilgisayar üzerine bir eğitim almadım. Programlama dilleri olarak C dilini, Python dilini ve C# dilini biliyorum. Nesne tabanlı programlamayı C# ile öğrendim. Ama bildiğim bu programlama dilleri ile ilgili kendimi geliştirmeyi seviyorum. Bazen boş vakitlerimde programlama dillerine olan bilgimi geliştirmek üzere çalışmalar ve projeler yapıyorum. Bunun üzerine internetten ve kitaplardan araştırmalar da yapıyorum. 2018 – 2019 Eğitim Öğretim yılında IEEE Extreme kampı Marmara Üniversitesi’nde yapılmıştı. O kampa katıldım. Algoritma eğitimi ile ilgili tecrübeler edindim. İleride hedefim yazılım sektörü alanında çalışmak. Veri tabanı bilgim var. Yeterli düzeyde SQL biliyorum. Bu alanda çalışmak da ilgimi biraz çekiyor. Web sitesi oluşturmayı biliyorum. HTML bilgim var. Web Expression dersleri aldım. Yeterli düzeyde web sitesi tasarlayabiliyorum. Zeka oyunlarına ve zeka bulmacalarına da ilgim var. Zeka oyunları ve bulmacalar kitabım var. Ve bu kitaplarla vakit geçirmeyi de seviyorum.