Nesnelerin İnterneti (IoT) ve Siber Güvenlik İlişkisinin İnsan Hakları Boyutu

Teknolojinin hayatımıza büyük bir hızla girmesiyle, beraberinde getirdiği riskler ile yüzleşmemiz kaçınılmaz. Bu risklerin ne kadarının bilincinde olduğumuzu ve hayatımıza nasıl bir müdahalede bulunabileceğinin farkında olmalıyız çünkü ortaya çıkan sonuçlar temel hak ve özgürlüklerimizi ihlal edici nitelikte olabilir. Bu yazıda farkındalığımızın oluşabilmesi için “nesnelerin interneti” ve “siber güvenlik” konularını “insan hakları” bağlamında ele alıp, hangi risklerle karşı karşıya olduğumuzu göstermeye çalışacağız.

Teknolojinin hızla ilerlemesi hem bireyleri hem toplumu aynı zamanda devletleri etkilemekte, kurumların tam anlamıyla değişimine neden olmaktadır. Devletlerin dünya sahnesinde varlık gösterebilmesi için kurumlarını gelişen teknolojiye göre şekillendirmeleri gerekmekte, toplumunu koruyabilmesi için yasal önlemler almak zorundadır. Aynı devletler gibi bireyler de “kapitalizmin” etkisiyle var olma mücadelesi içerisindedirler. Bu var olma mücadelesi bir şekilde sosyal ortama tutunma, gelişen teknolojiye ihtiyacı olmasa bile ihtiyacı olduğunu düşünmesi şeklinde kendini göstermektedir. Bunun bir uzantısı da doğal olarak rekabetçi piyasada kendini göstermekte, şirketler teknoloji alanına bolca yatırım yapmaktadırlar. Hal böyle olunca, teknolojideki üretim – tüketim çılgınlığı birçok sorunlara yol açmaya başlamaktadır. Şu soruyu sormakta yarar var: Var olma mücadelesi içerisinde bulunan devletler, şirketler ve bireyler teknolojinin zararlarına karşı yeterli önlemler alıyor mu? Alıyorlar ise bu alınan önlemler her gün gelişen teknolojiyi karşılıyor mu?

Su ve buhar enerjili mekanik üretim tesislerinin devreye girmesiyle (Endüstri 1.0) başlayan bu süreç şu an siber – fiziksel sistemlere dayalı üretime (Endüstri 4.0) geçmiş durumdadır. Endüstri 4.0 ya da 4. Sanayi Devrimi, birçok çağdaş otomasyon sistemini, veri alışverişlerini ve üretim teknolojilerini içeren kolektif bir terimdir. Bu devrim nesnelerin interneti, internetin hizmetleri ve siber – fiziksel sistemlerden oluşan bir değerler bütünüdür. Daha basit bir anlatımla nesnelerin internetini ele alırsak, evimizde veya kendi üzerimizde kullandığımız bir eşya bizi, arkadaşımızdan çok daha iyi tanıyacak. Bir donanımla tasarlanmış ufak bir alet; verilerimizi toplayacak, verilerimizi dağıtacak, verilerimizi işleyecek ve verilerimizi kullanacak. Bu bilgilerin sanal ortamda, birbirleriyle etkileşimleri nesnelerin interneti olarak tarif edilebilir. Peki verilerimizi kim koru(ma)yacak?

Biraz karanlık bir senaryo olacak ama dünyada olup bitenleri birkaç istatistik ile göstermek istedim. Cybersecurity Ventures’in araştırmasına göre 2015 yılında siber ataklar yüzünden şirketlerin ve devletlerin toplam zararı 3 trilyon dolara mal olmuştur. Araştırma şirketinin 2021 yılı öngörüsü bu zararın yıllık 6 trilyon dolara mal olacağı yönünde. ABD hükümetinin 2019 mali bütçesinde sadece siber güvenlik faaliyetleri için 15 milyar dolar ayırdığı bilinmektedir.

Siber saldırıların artışının en temel nedeni ne olabilir diye düşündüğümüzde aklımıza gelen ilk şey yazımın başında paylaştığım gibi devletlerin var olma mücadelesidir diyebiliriz. Çünkü artık savaşlar evrim geçirmiş, sanal dünya devletlerin hatta şirketlerin güç gösterilerini sahnelediği bir yer halini almıştır. Devletlerin fiili olarak karşı karşıya geldiği süreç (konvansiyonel savaş), yerini siber saldırılara bırakmıştır. Siber saldırı “hedef seçilen şahıs, şirket, kurum, örgüt ve devlet gibi yapıların bilgi ve iletim sistemlerine ve kritik altyapılarına yapılan planlı ve koordineli saldırılar” şeklinde tanımlanmıştır. Şunu da eklemek gerekir ki siber saldırılar, bir kişiye yönelik olabileceği gibi şirketlere veya devlet kurumlarına karşı da gerçekleştirilebilir.

Aslında şu ana kadar günlük hayatta duyduklarımıza belki de az biraz bilgi katarak genel olarak gelişen teknoloji sebebiyle ortaya çıkan “nesnelerin interneti” ve “siber güvenlik” konularında temel bilgiler vermeye çalıştım. Asıl anlatmak istediğim bu konuların “insan haklarıyla” tam olarak nerede kesiştiği meselesi…

Yazımda bu kesişim noktasını anlatmaya çalışırken örnek verme yoluna gitmeyi tercih ettim. Örnek üzerinden gitmemin amacı bir nevi olayı somut düşünerek farkındalık yaratmak. Tam olarak bu aşamaya gelmeden eklemek istediğim birkaç veri daha var. Yapılan iki çalışmada katılımcıların %46sı, kullanmış oldukları “akıllı nesnelerden” dolayı güvenlik ihlaline uğradıklarını bildirmişlerdir. Bu güvenlik ihlali de akıllı nesneye yapılan bir siber saldırı sonucu ortaya çıkmıştır. Symantec şirketinin yapmış olduğu, IoT aygıtlarına yapılan siber saldırıdaki artış yüzdesiyle alakalı. 2017 yılı için, IoT aygıtlarına yapılan siber saldırılar 2016 yılına kıyasen %600 artmıştır. Statista’nın yapmış olduğu araştırmaya göre de 2025 yılında 75.44 milyar cihaz internet ile bağlantılı olacağı öngörülmüştür.

Yukarıda bahsetmiş olduğum üzere IoT cihazlarına yapılan ve yapılmakta olan siber saldırılar gün geçtikçe artıyor. Aynı zamanda bir o kadar da IoT cihaz kullanımında bir artış var. Bu konuda size sormak istediğim bir soru var. Peki dünya geneli, bizler gerçekten bu duruma hazır mıyız? Yani hem teknik altyapımız hem de hukuki mevzuatlarımız yeterli mi? Bu sebeple gelin duruma bir örnek ile göz atalım:

verilerin saklanması işlenmesi

Türkiye’de faaliyet gösteren bir şirket, yabancı bir teknoloji şirketinin ürettiği akıllı saat satmaktadır. Bu akıllı saatin işlevi, çocuklar için tasarlanmış olması ve ebeveynlerin, çocuklarını ev dışında da nerede bulunduklarını gerek bilgisayarlarından gerek telefonlarından takip edebilme fırsatı sunmaktadır. Türkiye’de bulunan bir baba da “çocuğunun güvenliği için” bu cihazı satın almış, aile bu cihazı kullanmaya başlamıştır. Cihazı satan bu şirket, elde ettiği verileri Almanya’da faaliyet gösteren bir şirketin saklaması konusunda anlaşma yapmışlardır. Almanya’daki bu şirketin tek fonksiyonu verilerin sadece muhafazasını sağlamaktır.Peki bu veriler neler olabilir? Çocuğun konum bilgisi, çocuğun günde kaç adım attığı, çocuğun okuldan sonra genel olarak gittiği yerler, çocuğun eve geliş saati… Bu listeyi fazlasıyla uzatmak mümkün.

İsveç’teki bir şirket de bu verilerin amacına uygun bir şekilde kullanılabilmesi için saklanan bu verileri işlemektedir. Amerika’daki çocuk ayakkabısı üreten bir şirket de çocuklar için özel ayakkabılar üretmekte, çocukların günde kaç saat ev dışında olduğunu ve dolaylı olarak günde kaç saat ayakkabı giydiklerini ölçmek ve bu şekilde bir ürün tasarlamak için İsveç’deki şirketle bir anlaşma sağlamıştır. Görüldüğü gibi çocuğun verilerine bir şekilde bu dört şirketin eli değiyor…

Cihazı kullanan aile hiçbir sorun olmadığını düşünerek cihazdan çok memnun kalıyorlar ve kullanmaya devam ediyorlar. Fakat bir gün İsveç’de bulunan şirketin tüm faaliyetlerinde bir anormallik olduğu hissediliyor ve şirketin siber saldırıya maruz kaldığı anlaşılıyor. Araştırdıklarında ise kullanıcıların %70’ine ait kişisel verilerin ele geçirildiği anlaşılıyor. Türkiye’deki ve Almanya’daki şirketler İsveç’de bulunan şirket ile yapılan anlaşmalarını geri çekiyor, Türkiye’deki şirket, cihaz satışlarını durduruyor ve cihazları geri topluyor. Amerika’daki şirket ise verileri kullanmaya devam ediyor. Sonrasında ortaya çıkan tablo çok daha vahim. Aslında siber saldırıyı gerçekleştiren kullanıcı grupları birkaç ay önce de Almanya’daki verileri saklayan şirkete siber saldırı gerçekleştirmiş, çocukların verilerini bir süre devamlı olarak takip etmişlerdir. İşin ilginç kısmı daha bitmiyor. İsveç’de bulunan şirkete yapılan siber saldırıdan hemen önce, saldırıyı gerçekleştiren kullanıcı grupları Türkiye’deki şirket ile irtibata geçiyor, çocukların verilerini ifşa edeceklerinden ve güvenliklerinden endişe etmeleri gerektiği yönünde tehdit ederek, karşılığında para istiyor. Türk şirketi de Almanya, İsveç ve Amerika’daki şirketlerle bilgi paylaşımı yaparak kişisel verilerin güvenli olduğunu düşünerek bu şantaja karşılık hiçbir eylemde bulunmuyor.

Bu gelişmelerden sonra çocukların başına nelerin gelebileceğini tahmin etme kısmını size bırakıyorum. Türkiye’deki şirketin durumu öğrendiği andan itibaren, İsveç’deki şirketin siber saldırıya uğramasına kadar geçen sürede çocukların güvenliğinin tehlike altında olduğu görülebilmektedir. Peki hukuk ve insan hakları burada mı devreye girmesi gerekiyor? Hayır. Hukuk bu süreçlerin en başında zaten devrede olmak zorundadır. Devletlerin en temel sorumluluğu kişilerin temel hak ve hürriyetlerini güvence altına alınmasını sağlamaktır. O halde sormak istediğim birkaç soru var:

Devletler, uluslararası organizasyonlar, şirketler gereken sorumluluklarını yerine getirmişler midir? Hak ihlallerinin sorumlusu, sorumluları kimlerdir? Hak ihlaline uğrayanlar taleplerini kime, hangi ülkelere, nasıl yönlendireceklerdir? Bu konuda düzenlenmiş uluslararası sözleşmeler var mıdır? Bu uluslararası sözleşmelere göre, olaydaki hak ihlaline uğrayan kişiler herhangi bir talepte bulunabilecekler midirler?

Böyle bir örnek olmaz, başımıza gelmez dememek lazım. Sadece verdiğim örnekten yola çıkacak olursak, aslında çocukların güvenliği için alınan bir saat nasıl olur da güvensiz bir araca dönüşebilir?

Bir sonraki yazımda dünya ülkelerinin, uluslararası organizasyonların ve Türkiye’nin bu konudaki yasal düzenlemelerini ele almaya, sorduğum soruları cevaplamaya, insan haklarının bu konudaki önemini daha detaylı anlatmaya çalışacağım. Bunu yaparken şu zamana kadar ortaya çıkmış olayları örnek göstermeye gayret edeceğim. Ne yazık ki şimdiden söyleyebilirim; hazırlıksız yakalandık!

Kaynaklar: Endüstri40 , Herjavec Group, Symantec

Aslay, Fulya. “Siber Saldırı Yöntemleri ve Türkiye’nin Siber Güvenlik Mevcut Durum Analizi.” International Journal of Multidisciplinary Studies and Innovative Technologies  1(2017): 24-28.

Dark Reading, IDC Research, Altman Vilandrie & Co.

Fatih Beyguoğulları

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir