GİRAY DUDA
Dijital dünyanın çekiciliği, kullanım kolaylığı, beraberinde getirdiği tehlikelerin kolayca göz ardı edilmesine neden oluyor. Akıllı telefonlar üzerinden her an bağlı olduğumuz dijital alemdeki riskleri ve yaşanan sorunlar karşısında yapılabilecekleri avukat Baran Usanmaz ile konuştuk.
- Sayın Usanmaz, dijital konularda uzmanlaşmış bir hukuk bürosu mu çalıştırıyorsunuz?
- Sadece o değil, oldukça geniş kapsamlı çalışmalar yürütüyoruz. Taşımacılık, sigorta gibi sektörlerle yakından ilgiliyiz. Kişisel verilerin korunması konusu da önceliklerimiz arasında yer alıyor. Yabancı firmaların distribütörleri, temsilcilerine de danışmanlık verdiğimiz için bunların hepsi konusunda bilgili olmak gerekiyor. Dijital veriler, dijital yaşam ve hukuki yansımaları bizim için çok önemli konular arasında bulunuyor.
MADDİ VE MANEVİ ZARAR VAR
- Dijital suçların cezasız ortada kalması, dijital dünyada zarar görenlerin haklarının çok iyi biçimde korunamaması gibi bir çaresizliği doğrudan izliyorum. Sanal alemde insanların yanı sıra her çaptaki şirket ya da büyük kuruluşlara yönelik saldırıların ardı arkası kesilmiyor. Olay o kadar büyüdü ki ABD Başkanlık seçimine dijital müdahale edilerek seçimin yönünün değiştirildiği gibi inanılmaz bir iddia tartışılıyor ve henüz bundan bir sonuç alınabilmiş değil. Sanki dünya çapında bir çaresizlik var. Sizin açınızdan bakınca nasıl bir manzara görünüyor.
- Dijital teknolojilerin koşar adım ilerlemesi güzel bir şey. Ancak birçok dezavantaj ve sorunu da beraberinde getirdi. Bunun kontrolünü sağlayamamak insanlığın en büyük kabusu. Sonuçta, dijital dünyada yer alanlar hem önemli miktarda maddi hem de manevi zarara uğruyorlar. Sizin e-ticaret siteniz saldırıya uğrayabilir, çökertilebilir. Bir yandan ticari faaliyetiniz duraksarken diğer yandan belki de kötü niyetli kişilere fidye türü ödemeler yapmak zorunda kalırsınız.
Bu saldırıların vereceği manevi zararlar da büyük olur. Şöyle bir örnek vereyim. Bir arkadaşımızın sitesi hackleniyor ve başka yerlerden toplanmış müstehcen fotoğraflar yükleniyor. Siteyi temizleyip yeniden güvenli biçimde açıncaya kadar çok emek harcanıyor. Belli bir zaman da alıyor. Bu, elbette site sahipleri açısından çok keyif kaçırıcı, sıkıntılı bir durum.
HAZIR ŞABLONLAR SALDIRILARA AÇIK
- Peki sanal saldırıların bu kadar kolay yapılmasının başta gelen nedeni nedir sizce?
- Benim hacklenmelerde gördüğüm birinci neden, sanal korsanların bu kadar rahat saldırganlaşmalarının ilk nedeni kendimizin oluşturmadığı, hazır kodlarla oluşturulan şablonların kullanılması. Joomla, Wordpress gibi sistemlerin sunduğu hazır kaynak kodlarını kullanarak kolaya kaçıp web siteleri yapıyoruz. Biz niye bunu yapıyoruz? Çünkü bir IT danışmanına para ödemek istemiyoruz. Bunu ucuz ya da bedava hazırlamayı tercih ediyoruz.
Kimseyi tenzih etmek istemem ama ‘ucuz etin yahnisi’ yavan ve sorunlu oluyor. Birkaç yüz liraya yaptırılan web siteleri tehlikeye açık duruyor. O zaman saldırıya açık hale geliyorsunuz. Burada, kodu sıfırdan yazmak önemli. Saldırganlar şöyle yapıyor: Bir şablonu alıp kendilerine uyarlıyorlar ve o şablonla zarar vermeye çalışıyorlar. Bu şablon, aynı tarzda mimarisi olan binlerce siteye birden zarar veriyor. Bu sayı elbette onun için yeterli oluyor. Her bir web sitesine gidip de ben bunu kırayım, bozayım diye uğraşmıyor. Problem biraz da bundan kaynaklanıyor bence.
HERKES SALDIRI ALTINDA
- Ama açık kaynak kodlu siteler ücretsiz veya çok ucuz olmaları nedeniyle çok yaygın kullanıyor. Kodlamayı hiç bilmeyenler bile, kendilerinin önüne konmuş ve sadece içini dolduracakları bu tür şablonlardan elbette çok memnun oluyor ve onu tercih ediyorlar. Ama kendi özel, güçlü IT ekipleri olan kuruluşlara da sayısız saldırı yapıldı. Örneğin bankalar, gizli servisler de bu saldırıları önleyemedi.
- Evet, örneğin Playstation Network’e de saldırıldı. Burada saklanan çok sayıda kredi kartı bilgileri çalındı. Bunu şöyle değerlendirmek lazım. Aslında bu bir savaş. Düzen isteyenler ile düzensizliği isteyenler arasındaki bir savaş bu. Savaşlarda bir tarafın zırhı birliklerini yok etmek için diğer taraf da zırh delici, etkisiz hale getirici silahlar geliştiriyor. Bu saldırı ve korunma çabaları durmaksızın devam ediyor. Buna karşı yapabilecek çok fazla bir şey yok. Her iki taraf da güçlü, bilgili faaliyet gösteriyor.
Burada bizim üstümüze düşen şey uyanık olmak, takip etmek. Ne yapacağız? İnterneti kullanırken çok ama çok dikkatli olmalıyız. Bilgilerimizi nereye verdiğimizi iyi bilmeliyiz. Siz hemen Google’ı açıyorsunuz ama o sırada Google sizin bilgilerinizi topluyor.
Kendi savunmanızı üst düzeyde tutmak için belki gizli sekmelerde işlem yapmak da iyi bir seçenek olabilir. Hemen her tarayıcının bir gizli sekme seçeneği var. İnternette işlem yaparken kullandığınız şifreleri de sık sık değiştirmek gerekir. Örneğin üç ayda bir şifre yenilemek faydalıdır.
BİLİN Kİ TEHDİT ALTINDASINIZ
- Bunun en başından başlarsak, bilinmesi gereken en temel gerçek şu herhalde: Sanal dünyada herkes tehdit ve tehlike altındadır. Bu tehlike her platformda karşınıza çıkabilir.
- Evet. Sizin için potansiyel tehlike olduğunu ve bununla her an karşılaşabileceğinizi bilerek yola çıkarsanız daha güvenli olursunuz.
İNTERNETE MECBURUZ VE DAHA DA OLACAĞIZ
- Şu anda günlük yaşamda yaptığınız işleri artık internetten yapmaya başladık. Marketler size çok güzel, uygun promosyonlar, indirimler yapıyorlar. Ürünleri kapınıza kadar getiriyorlar. Banka şubelerinde bir EFT için yüzlerce liraya varan para ödemek yerine sadece 5 liraya para gönderme olanağınız var. İnternete bir çeşit mecbur edildik galiba.
- Kesinlikle öyle. Bu mecburiyet sanıyorum gün geçtikçe daha da ileriye gidecek. Kısa süre sonra finansal işlemlerinizi ya da alışverişinizi kol saatiniz aracılığıyla yapabileceksiniz. İlk örnekleri uygulamaya geçti. Belki de gözlüğünüzü bu tür işler için kullanacaksınız.
Burada riski yönetmek önemli. İnternetteki tehlikeyi azaltmak için kendi önlemlerimizi almalıyız. Örneğin internette sanal kartlar kullanmak oldukça uygun bir seçenek. Sanal kartları telefon bankacılığı ile de oluşturabilirsiniz. Hemen sizin için fiziki olarak ortada olmayan bir sanal kart hazırlanıyor. Limitinizi istediğiniz gibi ayarlayabiliyorsunuz. 500 TL veya 1000 TL gibi bir limit koyup alışverişlerinizi her zaman bu kartla yapmak sizin büyük riskinizi azaltmanızı sağlıyor. Böylece, eğer ciddi bir saldırıya uğrarsanız zararınız azalmış olacaktır.
TARAYICILAR BİLGİ SAKLIYOR MU?
- Bugüne kadar belli bir kartla alışveriş yapmış olsanız da bundan sonra yeni sanal karta geçebilirsiniz değil mi?
- Elbette, her zaman kolaylıkla geçip yeni kartı kullanabilirsiniz.
- Ben, internette finansal işlem yaptıktan sonra hep bilgilerimi bir yerde bıraktım mı acaba diye şüpheye düşerim. Tarayıcılar, kullanıcıların özel bilgilerini alıp saklıyorlar mı?
- Bu konuda kesin bilgimiz yok. Almadıklarını söyleseler de uzmanlar aldıklarına inanıyor. Ayrıca web sitelerinin tümünde size ‘çerez’ (cookies) kullanıldığı açıklanıyor. Çerez kullanmak demek, sizin sunduğunuz bilgilerin kırıntılar halinde saklanması demektir. Bir dahaki ziyaretinizde sizi hatırlayıp ona göre şeyler çıkarıyor önünüze. Google reklamlarını ona göre modifiye ediyor. Yani tarayıcıda bilgileriniz kalabilir. Tarayıcıda kalmasını istemiyorsanız çok basit bir işlem yapabilirsiniz. Tarayıcının ayarlar kısmında “geçmiş” başlığını seçip, “ben tarayıcıyı her kapattığımda geçmişi sil” seçeneğini tıklayabilirsiniz.
ANTİ VİRÜS PROGRAMLARI FAYDALI
- Bu seçenek her tarayıcıda var mı?
- Evet var. Bunu yaparsanız bilgileriniz konusunda daha az endişeye kapılırsınız. Ayrıca anti virüs programı ile yapacağınız büyük taramalarda çerezler de silinir.
Öte yandan Windows işletim sistemini, kimi toplama makinelerde lisans olmadan kullanmanın da büyük riski var. Korsan işletim sistemlerinde açıklar da fazla oluyor.
SANAL KLAVYE KULLANMALI
- Elbette en çok korktuğumuz internet işlemi de sanal bankacılık işlemleri. Çünkü birikimlerimize, paramıza zarar gelmesi ihtimali var.
- Bankacılıkta şöyle bir özellik var. Siz şifreyi girmek istediğinizde, özellikle rakamlardan oluşan bir şifre söz konusu ise sanal klavye açılıyor. Onu kullanırsanız tarayıcı kaydedemiyor.
MÜŞTERİYE GÜVEN VERMELİ
- Neden bankacılık internet sitelerine girişte farklı farklı uygulamalar var? Bankacılık Düzenleme ve Denetleme Kurulu veya Bankalar Birliği buna en güvenli tek sistemi getiremez mi? Sanal klavye kimilerinde var, kimilerinde yok. Adres satırındaki yeşil renkli güvenli mesajını her zaman görmüyorum. Müşteriyi, tüketiciyi çok rahatlatacak önlemleri almak çok mu zor?
- Belki kendi sitelerinin çok güvenli olduğuna inandıkları için sanal klavye kullanmamayı tercih etmiş olabilirler. Ama müşterilerini rahatlatmak için devletin bu konuda bir regülasyon yapması iyi olur.
Bir de site içi güvenlik önlemleri var. Mesela siz şubeden verdiğiniz talimatlarla transfer edilebilecek para miktarını küçültebilirsiniz. Böylece sizin hesabınıza giren tehlikeli kişilerin çok yüksek miktarda transferle sizin hesabınızı boşaltmasının önüne geçebilirsiniz.
SORUMLU BANKA MI MÜŞTERİ Mİ?
- Bir hacker banka hesabıma girip benim paralarıma el koyarsa, bu durumda bankaların sorumluluğu oluyor mu? Yoksa müşterinin paraları gittiğiyle mi kalıyor?
- Burada sorumluluğun kime ait olduğunun araştırılması gerekiyor. Bankanın internet sitesindeki bir güvenlik açığı var ise ve bu açık kullanılarak zarar ortaya çıkmışsa sorumlu banka olur. Ancak, sizin güvenlik şifrelerinizin uygun olmayan biçimde kullanılarak başka birisinin elde etmesine fırsat tanınmışsa o zaman siz bu işten sorumlu tutulursunuz. Sizin anti virüs kullanmamanız nedeniyle yapılan saldırılar sırasında elde edilen şifrelerle hırsızlık yapılmışsa burada sorumluluk size yüklenir.
Aslında bankacılık sisteminde şu anda soygun yapmak da çok kolay değil. Çünkü, her işleme başlarken ve işlem biterken cep telefonunuza şifre geliyor. Hackerin hem şifreleri alıp hem de cep telefonunuzu kontrol edebilmesi çok mümkün gibi gözükmüyor.
Bununla ilgili en riskli durum, akıllı telefonlara yüklediğiniz aplikasyonlar. Bu aplikasyonları açarken yeniden şifre girilmiyor ve doğrudan açılıyor.
APLİKASYONLAR SORUNU
- Evet. Her sektör ve şirket neredeyse aplikasyon çıkardı. Şu kadar indirim için hemen aplikasyonları indirin, deniyor. Telefonlar aplikasyondan geçilmiyor ve şifre kullanmadan girişler söz konusu. Ayrıca bilgisayarlarda yüklü olan anti virüsler cep telefonlarının büyük çoğunluğunda yüklü değil.
- Cep telefonları gerçekten büyük tehlike altında. Her an kullanıyoruz. Orada bir hukuki açığımız var. Tıkladığımız bir program kapandı mı yoksa açık mı onu bilmiyoruz. Girdiğimiz gizli bilgiler telefonun işletim sistemine mi yüklendi yoksa aplikasyona mı kaydedildi. Bunların kaynak kodunu göremediğimiz için hemen anlayabilmemiz mümkün değil. Sorun yaşandığında ve adalete gidildiğinde, ancak çok detaylı bir kriminal araştırmaya gerek duyuluyor. Bu da kolay bir şey değil. Yani cep telefonlarıyla yaşanacak problemler, hacker saldırıları sonucunda suçlu olarak tüketicilerin suçlanacağını söyleyebiliriz.
Cep telefonlarının bir adım ilerisine gidecek olursak, bugün az da olsa kullanılan kol saatlerindeki ödeme sistemleri tümüyle problemli. Saati gösterip uzaktan yaptığınız ödemelerde bilgilerin nereye gittiğini bilecek hiçbir tüketici yok.
ADLİYELER YETERSİZ
- Peki, üzerinde konuştuğumuz suçların toplu adları bilişim suçları. Adliyelerde şu anda Bilişim Suçları Büroları var mı?
- İstanbul, Ankara gibi büyük kentlerde, ilçelerinde Bilişim Suçları Büroları var. Daha küçük yerlerde ise kimi savcılar bilişim suçlarına bakmakla görevlendiriliyorlar.
Bilişim suçlarını inceleyecek savcıların özel bilgi ve liyakata sahip olmaları gerekiyor. Bunu ele alacak polislerin de, soruşturmacıların da mahkemelerin de ihtisaslaşmış olması lazım. Bu sayı çok az ve bu nedenle dosyalar yığılıyor. Bir süre sonra daha derin incelemeden vazgeçerek, ‘bulamadık’ deyip geçiyorlar. Suçluyu aşağı yukarı tahmin edebiliyorlar ama kanıt olmadığı için ‘şüpheden sanık yararlanır’ ilkesiyle onlara dokunamıyorlar. Çünkü elde yeterli delil yok.
TWITTER, FACEBOOK TÜRKİYE’DE OFİS AÇMALI
- Bir şuna değinmek istiyorum. Çünkü buna hayret ediyorum. Hemen her bankanın sahte sitesi var. Twitter’de haber akışının içinde herkesin önüne geliyor. Buralarda, bankanın size büyük ödül ya da promosyon vereceği söyleniyor ve tıklanması isteniyor. Ben bir kere yanlışlıkla tıkladım. Ancak anti virüs programım hemen uyarıda bulunarak oraya gitmemi engelledi. Bunlar nasıl bu kadar rahatça ortada dolaşabiliyor. Suç değil mi ve bunu kim engelleyecek?
- Bu uzun zamandan beri tartışılan bir konudur. Şuraya dayanıyor. Facebook ve Twitter’ın Türkiye’de bir ofisinin olması lazım mı değil mi? Ofisleri yok. Böyle bir sorunla karşılaşırsanız muhatabınız Amerika’da oturuyor. Bunu kapatmak isteseniz kime söyleyeceksiniz? O zaman bu suçla ilgili bir şey yapamıyor, onu kapattıramıyorsunuz. Anti virüsü olmayan birisi tıklarsa yandı. Hukuki koruma da yok burada. Bu nedenle çok tehlikeli olduklarını söyleyebilirim. Buradaki suç unsuru olan web sitesine tıkladığınız için yaşadığınız sorunların hesabını sormak amacıyla hukuk yoluna başvursanız yapabileceğiniz bir şey yok. Şikayetinizle ilgili tebligatı nereye göndereceksiniz.
Google için de durum aynı. Sizin başvuru yapacağınız bir bölüm koymuş, o kadar? Bu başvuru sırasında benden neler istiyorsun, ne zaman cevap vereceksin, kayıt numarası var mı gibi pek çok sorunun yanıtı yok. Sadece bir başvuru yapıyorsun ve ondan sonra bekliyorsun. Yani boşluğa bir ses gönderiyorsun ve yanıt gelip gelmeyeceğini hiçbir zaman bilemiyorsun.