Melike Sarıkaya / Milliyet.com.tr – Teknoloji artık her alanda hayatımızın içinde. Sıradan bir günümüz bile kimliği belirsiz bir numaradan gelen dolandırma amaçlı bir aramayla başlayabiliyor. Bazı operatörlerin ve servis sağlayıcı şirketlerin isimlerini kullanarak yapılan aramalar da tüketicileri isyan ettiriyor. Yapılan araştırmalar telefon tacizlerinin arka planında telekom operatörleri için çalışan bayilerin olduğunu ortaya koyuyor. Çağrı merkezleriyle anlaşan bayiler buradan tek bir tuşla yüz binlerce kişinin cep telefonuna aynı anda arama gönderiyor. Gelen pazarlama telefonları tüketicilerin günlük hayatlarını tam bir işkenceye dönüşmüştür durumda. Konuyla ilgili sosyal medya ve şikâyet sitelerine yansıyan mesajlara göre günde 30 kere aranan mağdurlar bulunuyor. ‘Adınıza kargo var, borcunuz var, taahhüt süreniz bitmek üzere’ gibi mesajlarla kandırılmaya çalışılan milyonlarca insan, kişisel verilerinin nasıl ele geçirildiği konusunda büyük bir belirsizlik yaşıyor. Kişisel Verilerin Korunması Kanunu (KVKK) gibi düzenlemelerle yasal zeminde önemli adımlar atılmış olsa da bireylerin farkındalığı ve verilerini koruma konusundaki bilinç düzeyi hâlâ yetersiz. Dolandırıcıların yöntemlerini sürekli geliştirdiği bir dönemde, vatandaşların bireysel koruma yöntemlerine de ihtiyaç duyduğu bir gerçek. Peki, bu tehditlere karşı nasıl daha etkin bir savunma oluşturabiliriz? Kişisel verilerimizin kontrolünü nasıl yeniden ele alabiliriz? Soruların cevabını Avukat Merve Öney Barlas ve Siber Güvenlik Uzmanı Osman Demircan, Milliyet.com.tr için yanıtladı.
‘PANEL ARACILIĞIYLA BİLGİLER SIZDIRILIYOR’
Son dönemde artan dolandırıcılık vakaları, kişisel verilerin korunması konusunu yeniden gündeme taşıdı. Siber Güvenlik Uzmanı Osman Demircan, kişisel verilerin ‘panel’ isimli sistemlerden sızdırıldığını aktardı. Yasa dışı kullanılan bu sistem üzerinden Türkiye Cumhuriyeti kimlik numarasından, akraba bilgilerine kadar ulaşılabildiğini dile getiren Demircan, “Bu panellerde basit bir isim-soy isim aramasıyla bir kişinin telefon numarası, T.C. kimlik numarası, meslek bilgileri ve hatta bölgesel bilgilerine ulaşmak mümkün. Bu durum, özellikle bazı satış şirketleri tarafından kötüye kullanılabiliyor” dedi. Demircan sıklıkla kişisel verilerin sızdırılmasıyla ilgili şöyle konuştu:
“Operatörlerin ya da servis sağlayıcı şirketlerin adını kullanarak çok sık aramalar gerçekleşiyor. Bunun iki tane büyük etkeninden birisi Türkiye Cumhuriyeti vatandaşlarının çok büyük bir kısmının kişisel verilerinin farklı farklı platformlardan sızdırılarak tek bir noktada birleştirip servis ediliyor olması. Bu çok ciddi bir problem. Burada halk arasındaki adı panel olarak geçen ve Türkiye Cumhuriyeti internet sınırları içerisinde erişim yasak olduğu halde VPN ile erişim sağlanabilen bir yapı. Bu yapıda çok basitçe bir isim-soy isim araması ile başta cep telefonu T.C. kimlik numarası olmak üzere çok fazla sayıda bilgiye ulaşılabiliyor. Onun dışında biz alışveriş sitelerine sürekli kayıt yapıyoruz ve bu alışveriş sitelerinin büyük bir kısmı yeni açılmış sitelerden oluşuyor. Bu sitelere kayıt yapılırken doğal olarak bizden bir cep telefonu numarası isteniyor ve kişisel verileri aydınlatma metniyşe sözleşme imzalamamız bekleniyor. Bu sözleşmelerin altında ‘Ben senin kişisel verilerini alabilirim, toplayabilirim, işleyebilirim. Üçüncü kişilerle ticari amaçla paylaşabilirim’ diye bir bilgilendirme yer alıyor. İmzaladığımız sözleşmeleri okuma gibi bir alışkanlığımız olmadığı için maalesef kendi elimizle de bu kişisel verilerimizi sıklıkla dışarı verebiliyoruz.”
TÜKETİCİLER NELERE DİKKAT ETMELİ?
Dolandırıcıların hizmet sağlayıcıların isimlerini kullanarak özellikle abonelik sözleşmeleriyle vatandaşları aradıklarını belirten Siber Güvenlik Uzmanı Demircan, bu tür aramaların genellikle yanıltıcı olduğunu söyledi. Osman Demircan, “Vatandaşlara, aboneliklerinin sona erdiği ya da fırsatlardan yararlanabilecekleri söyleniyor. Ancak bu aramalar genellikle ana firmadan değil, bayilerden geliyor. Vatandaşlar, kendi aboneliklerini sürdürdüklerini düşünürken aslında başka bir firmaya abone oluyorlar. Örneğin bir dolandırıcı, sizinle konuşurken çocuğunuzun adı, eşinizin kimlik numarası ya da adresiniz gibi bilgileri paylaşarak kendilerini meşru hale getiriyorlar. ‘Gerçekten o kurumdan arıyorsa bütün bu bilgilere sahiptir’ gibi bir izlenim yarattığı için vatandaş da buna kanabiliyor” dedi. Bu tür aramalarda vatandaşlara büyük sorumluluk düştüğünü kaydeden Demircan, dolandırıcılık vakalarının önüne geçmek için şu adımların atılmasının faydalı olabileceğini belirtti:
1- Arayan kişinin bankadan ya da bir kurumdan olduğunu iddia etmesi durumunda, o kurumu kendiniz arayarak bilgi doğrulaması yapın.
2- Aboneliklerinizi kontrol etmek için doğrudan resmi mobil uygulamaları ya da kurumun çağrı merkezini kullanın.
3- E-Devlet üzerinden size ulaşmasını istemediğiniz numaraları ve kurumları engelleyin.
4- Dolandırıcılık girişimlerini Bilgi Teknolojileri ve İletişim Kurumu’na (BTK) ve emniyet birimlerine bildirin.
Siber Güvenlik Uzmanı Demircan, dolandırıcılığın önüne geçilmesinde firmaların rolünün büyük olduğuna da dikkat çekti. Firmaların müşterilerini, kullandıkları numara ve iletişim yöntemleri hakkında bilgilendirmesi gerektiğinin altını çizen Osman Demircan, “E-ticaret ve mobil uygulama hizmeti sunan firmaların, kişisel verilerin sızdırılmasını önlemek için gelişmiş siber güvenlik önlemleri alması gerekiyor. Ancak birçok firma, kurduğu sistemleri güncel tutmuyor ve bu sistemler bir süre sonra güvenlik açıkları yaratıyor. Siber güvenlik çözümlerinin yalnızca yazılım ve donanımla sınırlı olmuyor. Sürekli güncellenmesi ve insan gözetimiyle kontrol edilmesi gerekiyor” diye konuştu.
TÜM BİLGİLER IŞIĞINDA İNANDIRICI GÖRÜNÜYORLAR
Kişisel verilerin izinsiz kullanımı ve dolandırıcılık faaliyetleri hem bireylerin güvenliğini tehdit ediyor hem de toplumsal güveni zedeliyor. Yapılan aramalarda dolandırıcıların hâkim oldukları bilgilerle inandırıcı gözükebileceğine dikkat çeken Avukat Merve Öney Barlas şunları söyledi:
“Kişisel verilerin özellikle 3. taraflardan veya çeşitli kurumlarda yaşanan veri sızıntılarından kaynaklı olarak kötü niyetli kişilerce elde edilmesi durumunda, fatura bilgileri, abonelik bilgileri borç bilgileri gibi bilgilerle bir telefon veya internet operatörü adı kullanılarak kişiler aranabiliyor. Özellikle bu tür abonelik ve borç bilgileri (adres ve taahhüt bilgisi dahil olmak üzere) sayılarak müşteride gerçekten o operatörden arandığı izlenimi uyandırılıyor. Akabinde bu kişiler komisyon ücreti alabilmek amacıyla ilgili müşteriyi bir başka operatöre çoğu zaman da daha yüksek ücretlerle geçiş yapmaya ikna edebiliyor ya da kendilerine ödeme yapılmasını sağlayabiliyor. Tüketicilerin, kullandıkları operatörlerin çağrı merkezi numaralarını kaydetmeleri, bu numaralar dışında yapılan aramalara kesinlikle itibar etmemeleri çok önemli.”
Telefonlarımıza son dönemlerde sıklıkla gelen ve genellikle firma isimleriyle yapılan aramalar her zaman birinci kişiler tarafından yapılmayabiliyor. Özellikle bazı bayilerin bu duruma yol açtığını aktaran Avukat Barlas, “Yanıltıcı aramalar genellikle ‘avcı bayiler’ olarak isimlendirilen ve abonelik başına komisyon alan bayiler tarafından, farklı bayilerin iş birliğiyle ya da bir üçüncü taraftan veri paylaşımı yoluyla gerçekleşebiliyor. Bazı kurum ve kuruluşlar nezdinde gerçekleşen veri ihlallerinden ve bazen kuruluşun içindeki kişilerce kişisel veriler hukuka aykırı olarak kaydediliyor. Bu veriler söz konusu avcı bayilere satılabiliyor. Şirketler, bayiliklerin veri işleme süreçlerini sıkı denetlemeli, veri güvenliği politikalarını güçlendirmeli ve bayiliklere yönelik düzenli kontrolleri yapmalıdır. Bayilikler, yalnızca KVKK kapsamındaki yükümlülüklere uymakla kalmayıp aynı zamanda şirketin kendi veri güvenliği prosedürlerini de izlemekle yükümlüdür. Bu denetimlerde bayilere ilişkin veri erişim loglarının tutulması, veri güvenliği eğitimlerinin verilmesi ve gerektiğinde veri ihlali yaşanması durumunda hızlı yanıt prosedürlerinin oluşturulması, veri güvenliği ihlallerini önlemek adına etkin çözümler olabilir” diyerek şirketler için önerilerde bulundu.
Yanıltıcı arama ve dolandırıcılık girişimi ile karşılaşan tüketicilerin vakit kaybetmeden başvurabilecekleri makamları Avukat Merve Öney Barlas şu şekilde sıraladı:
1- Dolandırıcılık girişimiyle ilgili ilk olarak adı kullanılarak arama yapılan internet servis sağlayıcınıza başvurabilirsiniz. Müşteri hizmetlerini arayarak yaşadığınız durumu bildirin.
2- İlgili arama sonucunda maddi bir zarara uğramanız veya herhangi bir bilginizi paylaşmış olmanız durumunda durumu Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı’na bildirebilirsiniz. Ayrıca, Polis İmdat Hattı 155 veya en yakın polis karakoluna başvurarak şikayetçi olabilirsiniz.
3- CİMER (Cumhurbaşkanlığı İletişim Merkezi): Dolandırıcılık girişimleriyle ilgili herhangi bir devlet kurumuna şikayetlerinizi CİMER üzerinden iletebilirsiniz. CİMER, şikayetinizi ilgili kurumlara yönlendirerek süreci başlatır.
4- Yukarıdakilere ek olarak tüketicilerin kişisel verilerinin hukuka aykırı olarak ele geçirildiğini düşünmeleri halinde ise KVKK kapsamında önce ilgili veri sorumlusuna ardından Kişisel Verileri Koruma Kurumu’na da şikâyette bulunabilirsiniz. Ayrıca tüketicilerin yanıltılması sebebiyle Ticaret Bakanlığı da başvuru yapılabiliyor.
KİŞİSEL VERİLERİ YAYAN KİŞİYE HAPİS CEZASI
Yapılan dolandırıcılık aramalarında tüketici hem psikolojik hem de mali kayıplar yaşayabiliyor. Kişisel verilerin kötü niyetli kişilerin eline geçmesi de cezaların yeterli olup olmadığını sorgulatıyor. Kişisel verilerin yayılmasına sebep olan kişinin cezasının hapis cezasına kadar ulaşabileceğini kaydeden Avukat Barlas, “İnternet servis sağlayıcılarının adını kullanarak yapılan yanıltıcı arama ve dolandırıcılık girişimleri hem bireylerin mali kayba uğramasına hem de toplumsal güvenin zedelenmesine yol açabilir. Türk Ceza Kanunu’na (TCK) göre, dolandırıcılık suçu, hileli davranışlarla bir kimseyi aldatıp onun zararına olarak kendisine veya başkasına haksız menfaat sağlamak olarak tanımlanır. Dolandırıcılık suçu, TCK madde 157 kapsamında basit dolandırıcılık, TCK madde 158 kapsamında ise nitelikli dolandırıcılık olarak ikiye ayrılır. Nitelikli dolandırıcılık, bilişim sistemleri kullanılarak işlenen suçları da kapsar ve daha ağır cezalara tabidir. TCK’nın 136. Maddesi ile de Kişisel Verilerin hukuka aykırı olarak verme veya ele geçirilmesi suçu düzenlenmiştir. İlgili hükme göre kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi hakkında hapis cezası öngörülür” diyerek sözlerini noktaladı.