Kişisel Güvenlik Politikası Oluşturmak

İnsanlarda, kendilerini ve doğal olarak özel hayatlarını korumak için genetik bir dürtü vardır. Tüm bu koruma dürtüsü ile kendisine zarar verebilecek her türlü tehditin bertaraf edilmesi gerekliliği doğar. Bulunduğumuz Dijital Çağ’da bu tehditlerin oluşması için çok fazla veri ve kaynak bulunmaktadır. Fotoğraflarımız, kimlik bilgilerimiz, sağlık kayıtlarımız, hesap şifrelerimiz, banka bilgilerimiz, düşüncelerimiz derken liste uzayıp gider.

Peki ama bu kadar çeşitli bilgi de neyin nesi?

employee-cyber-security-training-minYapboz’un erişilebilen tüm parçaları olan veriler bir araya getirildiğinde, ortaya çok net bir profil resmi çıkmaktadır. Tartışmalı bir konu olan “Sosyal Paylaşım” sonucunda sürekli gelişen ve genişleyen veri bankalarıyla ilişkili arama motorlarında ismimizi arattığımızda; fotoğraflarımız, hobilerimiz, üyeliklerimiz, arkadaşlarımız, bulunduğumuz lokasyonlar, CV’miz gibi çok farklı bilgilere rahatlıkla ulaşılabilmektedir.

“Çevrimiçi Sosyallik”, paylaşma hevesi ve hazzı, teknolojinin nimetleri ile bir araya geldiğinde iş çığrından çıkmakta, tehlikeli bir hal almaktadır. Tüm bu paylaşımlar ve paylaşım mecralarının birbirleriyle etkileşimi sonucunda hayatımızın akışını bilinçsizce hatta hevesli bir şekilde veri bankaları üzerine bırakmış oluruz.

facebook interactions

Bu paylaşımların dışında internette gezinmekle bile, kişisel alışveriş davranışlarımızın yönlendirilmiş reklamlara dönüşmesi sonucunda, alışkanlıklar ve beğenilere dair bilgilerin de toplandığı rahatlıkla görülebilmekte (Omnibox), WiFi üzerinden yapılan alışverişlerde kullanılan bilgilere “sniffer” uygulamaları ile kolaylıkla ulaşılabilmektedir.

Tüm bu argümanlara dayanarak söylenebilir ki; herkesin kendisine ait önlemler alması ve “Kişisel Güvenlik Politikası” oluşturarak, dijital izini azaltması veya gizlemesi gerekliliği her geçen gün önemini arttırmaya devam etmektedir.

Neden “Kişisel Güvenlik Politikası Oluşturmak” Gerekli?

Bu sorunun cevabı, ne kadar güvenli kalmak istediğiniz ya da ne kadar güvenli kalabileceğinizi düşündüğünüzle ilgilidir.

Devletler acil aksiyonlarla güvenlik politikalarını günceller ve önlemler alır durumdayken, aynı siber uzayda, ufak bir yer kaplayarak da olsa bulunmak ve çarpışmanın doğası ile çarpışma ihtimallerini göz ardı etmemek önemli bir olgudur.

Tabii tüm bu detaylara rağmen “bana mı denk gelecek” söylemiyle, güvenlik hiç umursanmıyor da olunabilir… (!!?) Yine de gelinen noktayı örneklerle incelemek faydalı olacaktır.

social webGüvenlik konusu çok farklı boyutlarda olup, boyutları da her geçen gün gelişmekte ve genişlemektedir. Hükümetler, uygulamalar ve uygulama sahipleri ya da uygulamalar tarafından elde edilen verilerin servis edildiği diğer firmalar derken veriler büyük bir ilişkiler ağı içerisinde etkileşimlerine devam etmektedir.

Tüm bu bilgiler, farklı nedenlerle (hatta suç işlenmesi veya işlenmiş bir suç var ise kanıtlanmış olmasına gerek olmadan) ilgili firmalardan talep edilebilmekte hatta talep etmeye gerek kalmadan anlaşmalarla el değiştirmekte ya da farklı bir çözüm olarak kurulan aracı firmalarca işlenebilmektedir. (NSA gibi güvenlik kurumlarının özellikle data trafiğini işlemek ve kontrol etmek için VPN firmaları kurduğu bilinmektedir.)

Sosyal paylaşım siteleri bile, artık kullanıcı bilgisini en çok talep eden devletler listesi açıklamaktadır. Ranking Digital Rights‘ın çalışmalarını yayınladığı “The 2015 Ranking Digital Rights Corporate Accountability”  adlı değerlendirme sonucunda durumun vahameti gözler önüne seriliyor. Günümüzün dev oyuncuların 31 farklı gösterge gözetilerek 100 puan üzerinden yapılan değerlendirmeslerinde en yüksek puanı 65 puan ile Google almış durumdadır ki Google’ın politikaları ve yayınladığı şeffaflık raporu düşünüldüğünde durumun hiç de iyi olmadığı görülmektedir. (Makalenin detaylarına buradan ulaşabilirsiniz.)
Konuyla ilgili Google’a yapılan data request report ve bir diğer popüler sosyal paylaşım platformu olan twitter’ın şeffaflık raporuna da göz atmanızı tavsiye ederim.

ranking-digital-rights

Ranking Digital Rights benzeri bir rapor da her yıl EFF (Electronic Frontier Foundation) tarafından yayınlanmaktadır. “Who Has Your Back” 2015 araştırması sonucu bazı şirketlerin veri koruması ve paylaşması derecelendirilmiştir. En çok kullandığınız uygulamalara ve derecelerine bir göz attığımızda gizliliğin seviyesi rahatlıkla görülmektedir. (raporun detayları da ilgi çekici. -eng-)

eff who has yur back report

Tüm bu kullandığımız servisler için raporlardaki sonuçlar verilerin gizliliği hakkında fikir vermektedir.

Hatta güvenilir olduğunu düşündüğümüz ve kullanmaya devam ettiğimiz uygulamalar bile birer tehdit olabilir. Son zamanlarda bir çok uygulama, kullanıcı sözleşmelerini güncelleyerek, kullanımSeviyeli-Sohbet2 haklarında değişiklik yapmaktadır. Bu uygulamalardan en sonuncusu Snapchat son güncellemesi ile sözleşmesini değiştirmiş ve kullanıcı verilerinin 3. parti firmalara verilebileceği belirtilmiştir.
Tabii çoğunlukla ingilizce ve sayfalarca olması sebebiyle okunmayan sözleşmeler hızlıca kabul edilerek kullanıma devam edilmektedir!!!

Uygulama gizliliklerine ilişkin 2013 Mobile Privacy Lock Down araştırma sonucuna bakacak olursak uygulamalara güvenin ne seviyede olduğunu rahatlıkla görebiliriz ki bu değerlendirmenin 2015 de daha da düştüğünü tahmin edersiniz.

Konunun farklı bir boyutu da hükümet boyutudur. Örneğin, ülkemizde planlanan yasalar ile TİB (Telekomünikasyon İletişim Bakanlığı) yetkisinin genişletilmesi gündeme gelmiş ve “internet trafiğini sınırsız ve koşulsuz izleme ile kapsamı genişletilen doğrudan erişim engelleme yetkisi ile TİB, herhangi bir soruşturma ya da kovuşturma söz konusu olmadan, mahkeme kararına gerek duymaksızın, internet üzerinden istediği kullanıcının hangi adresleri ziyaret ettiğini, hangi kişiler ile ne zaman ve ne kadar süreyle iletişim kurduğunu gösteren internet trafiğini tümüyle izleyebilecek.” duruma getirmesi talep edilmiştir. (Diğer ülkelerde de durum farklı değildir. Bu konuda en güvenli ülkelerin başında ise İsviçre gelmektedir.)

Neden Gizlilik önemlidir?

  • Gizlilik – Güç

Bilgi güçtür.
Arama motorları ve diğer ortamlar, yakaladıkları verileri süresiz depolamak ve kendilerinin ya da üçüncü tarafların kullanımına sunarak bilgilere erişim sağlarlar. Bu bilgiler, üçüncü tarafların yeri geldiğinde hükümet ya da uluslararası firmaların elinde göreceli olarak silah halini alabilmektedir. Verilere ve profillere, akıllı sistemler, bilgisayar korsanları ya da belli becerilere sahip kişiler tarafından erişilebilir, bunun sonucunda saklanır, kullanılır veya pazarlanır.

Her ne olursa olsun veri tipine bağlı olsa da veriyi elinde tutan kişi, veri sahibi kişi ya da tüzel kişinin kararlarını şekillendirebilir, bazen kontrolü ele alabilir. (Çok basit şekilde düşünürsek; alışveriş alışkanlıklarınıza ait verilerinize bağlı belirli markaların reklamları sürekli karşınıza çıkartılarak o markanın ürünlerini almanız bile kararlarınızı şekillendirmenin en basit yoludur.)

  • Gizlilik – Zaman Bağlamı

Zaman; nerede ve ne yaptığınızla ilgilidir. IP bilginiz, zaman ve lokasyon bu üç veri birleşti mi hayatınızın akışı rahatlıkla çıkartılabilir.

  • Gizlilik – Çevrimiçi olmak

Bilgisayar, cep telefonu, tablet derken bir ağda/sistemde sürekli çevrimiçi olmak her an kontrol edilebilme ve her anlamda erişebilmeyi kapsar.

  • Gizlilik – Paylaşım

Sağlayıcıların arama geçmişi, e-postalar, bulut depolama içerikleri, ajanda kayıtları ve rehber ayrıntıları gibi bilgileri süresiz saklamak ve üçüncü taraflarla bilinçli/bilinçsiz çılgın bir şekilde paylaşılması; verilerin okunabilmesi, kopyalanabilmesi, sosyal ağ güncellemeleri, fotoğraflara erişim yani tüm dijital yaşamın etkileşimli veri bankaları üzerinde tutulması anlamına gelmektedir.

Tüm bunlarla beraber, bulut depolamanın yükselişi de -kullanım tipine bağlı olarak olumlu olsa da- verilere erişilebililik (?) açısından tehlikeli olabilir. Bulut Depolama ile her yerden erişilebilen (kısıtlama sağlanabilir) sabit diskler üzerinde, kişisel ve iş bilgilerini saklanması birçok güvenlik kurumu tarafından korumasız bulunmaktadır.  Bu konuda yakın zamanda dünya devi firmalara erişim sağlanarak milyonlarca kullanıcı bilgisi ele geçirilmiştir.

  • Gizlilik – En Zayıf Halka.

Varlıkları kullanılan sistemin birer bileşeni olarak düşündüğümüzde; varlığın güvenliği, sistemdeki her bir bileşenin gücüne bağlıdır ve “Bir zincir ancak en zayıf halkası kadar güçlüdür.

  • Gizlilik – Güvenlik için Bilgi Takası

Olayın birkaç adım ilerisi ve farklı bir boyutu olan bilgi takası ise; “Bir milletin kolektif iyiliği karşısında, bireysel gizliliğinin feda edilmesi” sav’ı, vatandaşların gizliliklerinden vazgeçilerek daha güvenli devlet, şehir, topluluk veya aile yapılanmasını savunur ve kullanır hale getirilmesi görüşü, huzurlu insanların hayatlarına erişim kontrolü ile ilgilidir ve irdelendiğinde toplumsal etkisinin büyük olacağı aşikardır. (Evrensel bir tartışma konusudur.)

Sıralanan maddeler bağlamında sağlanması gerken Gizlilik; sosyal normlar çerçevesinde, güvene dayalı demokrasinin temel ilkelerini koruyarak, seçme hakkı, saygı, onur, özel alan ile bir bütün oluşturup özgürlüğü korumak anlamındadır.

Gizlilik ve önlem alınması gerekiliği konusunda yazılan ve çizilenler artık sıradağlar oluşturmakta ve tehditler de aynı oranda büyüdükçe, önlem almak da bir o kadar kaçınılmaz ve önemli hale gelmektedir.

Özetle;

En kısa sürede; “Kişisel Güvenlik Politikası” oluşturmak ve güvenliği sağlamayı planlamak gereklidir. Bu eylem tek seferlik olmamalı, teknolojinin gelişimi ile birlikte, güvenlik ve güvenlik politikası, birer süreç olarak değerlendirilerek sürekli güncellenmelidir.

Yardımcı olabilecek linkler:

Türkiye İnsan Hakları Kurumu – Kişisel Verilerin Korunması Kanun Tasarısı Hakkında Bilgi Notu
Türkiye Bilgi Güvenliği Kurumu –  Bilişim Güvenliğiyle ilgili Yasal Altyapının Analizi
National Trus for Scotland – Privacy Policy And Use Of Your Peronal Information

Faydalanılan Linkler:

Ranking Digital Rights (eng)
Electronic Frontier Foundation (EFF)
(eng)
Google (tr)
Twitter (tr)

Kişisel Güvenlik Politikası Oluşturmak” için 3 yorum

Bir Cevap Yazın