Hâlâ kullanmayan bahtı güzel insanlarımız için anlatalım: Bulunduğunuz konuma yakın restoranlardan sipariş vermenizi sağlayan, müşteri-işyeri arasında kurduğu bağ üzerinden de kurucusu Nevzat Aydın'a milyon dolarlar kazandıran Yemek Sepeti isimli bir uygulama var.
Bu uygulama, geçtiğimiz günlerde tüm kullanıcılarının ad-soyadlarının, telefon numaralarının, ev-iş adreslerinin, IP adreslerinin ve e-postalarının ele geçirildiğini açıkladı. Üstelik "hırsızlık" gerçekleştikten iki gün sonra bu açıklamayı yapmayı uygun gördü! Açıklama da "herkesin başına geliyor" rahatlığıyla başlıyordu.
Nedense yeterince gündeme gelmedi ama 21.5 milyondan fazla kişinin veri güvenliğinin ihlal edildiği ortaya çıktı! Yani ülke nüfusumuzun en az dörtte birinin kişisel verileri çalındı ve verilen tek cevap: Pardon!
Kişisel Verilerin Korunması Kanunu'na göre Yemek Sepeti'nin sorumluluğu öncelikle verileri korumaktan (başarısız oldu) ve veriler çalındığı takdirde KVKK (Kişisel Verileri Koruma Kurumu) ile kamuoyuna konu hakkında bilgi vermekten (iki gün gecikmeli bilgi verdi) ibaret. KVKK'nın da en fazla para cezası kesme gibi bir yetkisi bulunuyor. Bu ceza da KVKK'nın soruşturması sonrasında belli olacak. Dünyadaki veri çalınma durumlarındaki örneklere baktığımızda da devletlerin bundan fazla bir yetkisi olmadığını görüyoruz. Gerçi AB ülkelerindeki yasalara göre para cezalarının üst sınırı Türkiye'den farklı olarak gerçekten veriden sorumlu şirketin canını yakabilecek düzeyde...
Öğrendiğime göre Bilgi Teknolojileri ve İletişim Kurumu'nun (BTK) araştırma ekipleri, İstanbul'da bulunan Yemek Sepeti sunucularından kayıt örneklerini alarak kök sebebi bulmak üzere araştırmaya başlamış ve ön raporlar tamamlanmış. Diğer sunuculara göre daha az kullanılan ama aynı zamanda daha az da korunaklı olan bir sunucu üzerinden güvenliğin aşıldığı (breach) iddiası da söz konusu.
Emniyet Siber Suçlar Daire Başkanlığı ile işbirliği içerisinde yapılan araştırma ve soruşturmadan ne sonuç çıkacak; bundan sonrası için emsal teşkil edecek bir usul tercih edilecek mi, hep birlikte göreceğiz. KVKK ve BTK'nın ilgili süreci kamuoyunu bilgilendirerek yürütmesini beklemek hakkımız.
Devletler eskiden vatandaşına can, mal ve mülkiyet güvenliğini borçluydu. Artık siber güvenliğimizi de borçlu fakat bu alandaki yetkisini özel şirketlerle paylaşmak zorunda... Dolayısıyla milyonlarca vatandaşımızın özel bilgilerini emanet alıp, onlar üzerinden servet kazanıp konu emaneti korumaya gelince "Pardon!" deyip sıyrılmak o kadar da kolay olmasa gerek...

Bu köşe yazısını aşağıdaki linke tıklayarak sesli bir şekilde dinleyebilirsiniz