Bilişim Uzmanı Hakan Topuzoğlu, firmaların ve kurumların Ferdî Bilgileri Muhafaza Kanunu (KVKK) gereği bilgi saklamak için kullandıkları yazılımcı firma ile mukavele yapmamasının sistemde ‘arka kapı’ denilen açığın oluştuğunu söyleyerek, “Bilinmeyen uygulamalarda bilgi saklanırsa, daha sonra nereye gideceğini bilemeyiz” dedi.
Vatandaşların rastgele bir süreç için kimlik verirken üzerine ne için verdiklerini yazmaları gerektiğini söyleyen Hakan Topuzoğlu, “Öncelikle şunu tabir etmek istiyorum; bu hususta yasal manada çok önemli düzenlemeler yapıldı. Rastgele bir halde cirosu ve çalışan sayısı ne olursa olsun şayet kimlik bilgileri alınıyorsa mernis kaydı ve şayet bu bireylere de toplu halde mesaj gönderiliyorsa Mesaj İdare Sistemi (İYS) kaydının yapılması gerekiyor. Bununla birlikte şayet e-ticaret üzerinden satış yapılıyorsa da EGBİS kaydının yapılması gerekiyor. Biz de bu hususta firmaları uyarmak istiyoruz. Zira çok önemli yaptırımları da var. Ferdî manada da bu bilgilerimizi verirken, mesela bir telefon aboneliği yapacağız diyelim kimlik veriyoruz. Kimliğin üzerine en azından ne için olduğunu yazarsak ileride yaşayabileceğimiz meselelerin da önüne geçmiş olabiliriz” dedi.
Topuzoğlu, firmaların ve kurumların yazılımcı firma ile mukavele yapmamasının bilgi saklamada açık oluşturacağını söyleyerek, “Yine çok kıymetli bir mevzuya temas etmek istiyorum; rastgele bir yazılım alınıyor ve kullanılıyor. Bilgiler burada kayıt ediliyor. Derneklerde, vakıflarda, siyasi partilerde ya da şirketlerde yeniden tıpkı biçimde kurslar, okullar ve eğitimle ilgili kurumlarda bu bilgiler alınıyor ve bir programa kaydediliyor ancak o programı yazan yazılımcı firmayla ilgili olarak gerekli mukaveleler yapılmazsa ve onlar da gerekli tedbirleri almazsa bu sefer art kapı dediğimiz backdoor üzerinden girerek bu bilgilere ulaşmak ve bunları da çok rahat bir biçimde sızdırmak, dağıtmak ve satmak ne yazık ki mümkün olabilecektir. Şu anda rastgele bir kontrol bu bahiste da yok. Yani bir kişi ben yazılım yaptım deyip de bunu rahatlıkla satabiliyor. Bu mevzuda bir düzenlemenin yararlı olabileceği inancındayız” tabirlerini kullandı.
Verilerin bilinmeyen yerlerde saklanmasının sonucunda daha sonra nereye gideceğinin de belgisiz olduğunu söyleyen Hakan Topuzoğlu, kelamlarına şu biçimde devam etti:
“Aslında devletin resmi kurumları bu yazılımları inceleyip bir art kapı olup olmadığını çok rahat bir formda görebilir. Burada sorumluluk yazılım firmasına da şayet rastgele bir zafiyet varsa ilişkin olarak kabul edilebilir. KVKK kaydı olan firmalarda bilgi sızdırılması durumunda 1 milyon 800 bin TL’den başlayan para cezaları verilebiliyor. Geçmişte tekrar çok ünlü sipariş firmalarında da bunlar yaşanmıştı. Ne yazık ki birçok kurumda da yeniden bununla karşılaşıyoruz ve şu anda bu türlü bir durum olduğu vakit saklama üzere imkanları da yok KVKK mucibince. Kendilerinin de bu mevzuyu açıklamaları gerekiyor ve KVKK’nın sitesinde de resmi bir formda yayınlanıyor. Bu husus çok değerli zira rastgele bir biçimde siz bilgilerinizi bir yerde saklıyorsanız ya da bilmediğiniz internetten indirdiğiniz fiyatsız olduğu için tercih ettiğiniz bir programda saklıyorsanız daha sonra bilgilerin nereye gideceğini de bilemezsiniz.” – KAYSERİ
