Boğaziçi Üniversitesi Veri Skandalı: Sorulacak Çok Soru Var

“AKP’ye yakın olduğu bildirilen bir özel kurum ve Üsküdar Belediyesinden gelen kişiler, acaba Boğaziçi Üniversitesinin sunucularında “verilere bakmamaları gerekirken” erişim talep ederek, ne arıyorlar? Ne yapıyorlar? ”

Çok tatsız günler yaşıyoruz. Ülkeyi yönetmeyi beceremediği için bugünlerde adeta bir şikayet duvarına dönen interneti susturmaya çalışan AKP, bir başka koldan da FETÖ tarzı uygulamaları kendisi sürdürüyor. 

Nasıl derseniz, burayı tıklarsanız göreceğiniz gibi, BTK, internet servis sağlayıcıların sunucularına girip, internet kullanan herkesin ne yaptığını anlamaya çalışıyor. Buradan aldığı bilgileri ise, geçen hafta CHP milletvekili Onursal Adıgüzel’in duyurduğu bilgilerle birleştiriyor. Yani AKP ilk adımda nereye gittiğini, hangi siteye girdiğini tespit ettiği IP’lerin, ikinci adımda kime ait olduğunu, anne kızlık soyadından, eski telefonuna kadar her adımını ve bilgiyi bilmek istediğini gösterdi. 

Boğaziçi Üniversitesindeki olay, bunun daha ufak ölçekte bir örneği. Yani bu sefer meydana gelen olaya bakılınca, birileri Boğaziçili öğrenci, öğretmen, idari personelin ne yaptığını, kime mail attığını vs anlamaya çalışıyor gibi gözüküyor. 

Olayın geçmişinden başlayalım

2021 Ocak ayında Melih Bulu’nun nasıl meydana geldiği anlaşılamayan rektörlük ataması yapıldı. Cumhurbaşkanlığı kararnamesiyle yapılan atamaya karşı, akademisyenler ve öğrenciler “#KayyımRektörİstemiyoruz” protestoları başladı. 500’ün üzerinde öğrenci gözaltına alındı. Arkasından işinden çıkarılan akademisyenler nedeniyle başlayan protestolar, 7 ay kadar sonra yerine o günlerdeki yardımcısı Naci İnci’nin atanması sonrasında da devam etti. Yılların akademisyenlerinin işten çıkarılmaları sürdürüldü. Seçilmiş dekanlar görevden alındı. Üniversite senatosunda yönetimi ele geçirmek için, yılların üniversitesi içine 2 tane yeni fakülte açıldı. 

Ama rektör atamasını ve arkasından gelen hareketleri onaylamayan akademisyenler, kar-buz, yağmur demeden 1,5 yıldır rektörlüğün önünde, binaya arkalarını dönerek sessiz-barışçıl bir protesto sürdürüyorlar. 

İleride bir gün “Şanlı Boğaziçi Direnişi” diye hatırlayacağımız bu protestoyu okul yönetimi durduramıyor. Geniş bir katılım var ve protestocular vazgeçmiyor. 

Bunun üzerine acaba yeni bir yol mu düşündüler?

Sonra birden tuhaf bir şey oldu. Gizli bir ihale ile ve “6698 sayılı Kişisel Verilerin Korunması Kanununa” rağmen, bir özel firmaya Boğaziçi Üniversitesinin akademik ve idari personelin, öğrencilerin ve gelmiş geçmiş tüm mezunların kişisel bilgilerinin bulunduğu dört önemli veritabanına bu kişilerin bilgisi ve onayı olmaksızın erişim verdiler. 

Bunun öncesinde, üniversitede bilişim alanında tecrübeli bu kadar çok profesör olmasına rağmen, kimseye sormadan bilgi işlem daire başkanı ataması yapılmış. Atanan kişinin eğitiminin ne olduğunu aradık, bulamadık. Gelen kişi acilen 2 kişiyi daha işe alıyor. Yukarıdaki hizmet alımından sonra yapılan gizli bir ihale sonucunda sadece danışman düzeyinde kalması ve bilgi işlem merkezine, güvenlik konusunda neler yapacağını bilgi olarak sağlaması gereken firma, tüm bilgi işlem sunucularına yönetici (root/admin) seviyesinde erişim talep ederek, herkesin verileri ötesinde Boğaziçi Üniversitesindeki tüm iletişimi izleme, müdahale etme, daha doğrusu canı ne isterse yapma hakkı istiyor.

Boğaziçi Üniversitesi BTK’dan habersiz ve gizli ihale

Boğaziçi Üniversitesinde Bilgi Teknoloji Kurulu’ndan habersiz ve herkesten gizli Bilgi Güvenliği İhalesi yapılmış.

AKP’li siyasetçi ve bürokratların manevraları ileride çok incelenecek. Örneğin hukuku kullanarak, hukuka ya da en azından etik değerlere aykırı işler yapabiliyorlar. Boğaziçi Üniversitesindeki olay şöyle; 

Boğaziçi Üniversitesinde bir Bilgi İşlem Merkezi var. Bu merkezin üstünde ve onu denetleyen ve yönlendiren “Boğaziçi Üniversitesi Bilgi Teknolojileri Kurulu (BTK)” ya da “BT Üst Kurulu” gibi 8 üyeden kurulu bir kurul var (aslında artık vardı dememiz lazım).

Kişisel verilerin işlendiği, kamudaki tüm sunucular için –Cumhurbaşkanlığı Dijital Dönüşüm Ofisi talimatı nedeniyle– 2022 sonuna kadar bilgi işlem merkezleri tarafından “Bilgi ve İletişim Güvenliği” sağlanmalı. 

Bilgi ve İletişim Güvenliği rastgele olmuyor. Dijital Dönüşüm Ofisi’nin “Bilgi ve İletişim Güvenliği Rehberi (BİGR)” mevcut. Bunu kendi başına yapan kurumlar yerine getirebilir. Ama kolaylık açısından danışman iyi bir şey olabilir. Boğaziçi Üniversitesinde de bu rehbere uyumluluk çalışması için bir danışman firma ihalesi yapılıyor. Ancak Boğaziçi Üniversitesinde bu danışman firma ihalesi “açık ve rekabete uygun” bir şekilde yapılmıyor. Boğaziçi Üniversitesinin hizmet alımının 21(f) maddesiyle gizli ve davet usulü yapılıyor. Neden ki? Boğaziçi sunucularında askeri, gizli filan bir şey mi var? 

İhaleyi Nisan ayında işe giren daire başkanı yapmış 

Bu arada ilginç olan şu; ihaleyi Nisan başında işe alınan ve eğitiminin Bilgisayar Mühendisliği ile ilgili olduğunu –açık kaynaklardaki bilgilerden– tespit edemediğimiz bir kişi olan Faruk Yakaryılmaz yapıyor. Yakaryılmaz, Üsküdar Belediyesinden gelmiş. Basına yansıdığı kadarıyla, geçmişinde bir yargılama da mevcut [1]. 

15 Temmuz’da FETÖ’cülerin ilk gittikleri yerlerin bilişim-telekom şirketleri olduğunu tecrübe eden bir ülkede, “Boğaziçi Üniversitesinin rektörü Naci İnci, bilişim sektöründe adını sanını duymadığımız, eğitiminin ne olduğu belirsiz ve yargılaması olan bir kişiyi neden daire başkanı yapmış acaba?” diye düşünmeden edemedik. 

Zaten gelir gelmez de, birisi Üsküdar Belediyesinden, diğeri daha önce Boğaziçi Üniversitesine bir danışmanlık projesinde hizmet satan, iki kişiyi aynı haftalar içinde acilen işe alması, arkasından da ihaleyi acilen AKP’ye yakın olduğu kaydedilen Beyaz.net firmasına 700 bin TL bedelle vermesi ne kadar da ilginç. 

Daha önce böyle ihaleler için hazırlanan teknik şartnameler, bilgi işlem müdürü ve idari personel tarafından ve ortak fikir paylaşımı ile yazılırken, bu ihaledeki şartname, merkezin yıllardır çalışan insanlarının dışında yazılmış ve nasıl yazıldığı belli değil. Üstelik bu şartnamenin Üniversitenin Bilgi Teknolojileri Kurulu üyeleri tarafından görülmesi bile sakıncalı görülüyor. Neden ki? Saklanan şey nedir? 

Danışman firma veri alanlarına mı bakar, verinin kendisine mi? 

Bu gizli ihale sonrası, sorumlu üst kurul olan Üniversitenin Bilgi Teknolojileri Üst Kurulu, ne olup bittiğini anlamak için Bilgi İşlem Merkezine geliyor ve bir firmaya kullanıcı onayı olmaksızın veritabanlarına erişim izni verildiğini, bir başka firmanın ise tüm sunucuların şifrelerini istediğini tespit ediyor. 

Üstelik firma merkezden kendisinin verdiği SSL sertifikalarının yüklenmesini de istemiş.

Şimdi buradaki olayları yeniden madde madde açalım; 

Kişisel Veriler 6698 sayılı Kanun çerçevesinde gizlidir. İlgili kurum saklamakla yükümlüdür. Danışman firma, güvenliğin nasıl tesis edileceğini tanımlar. Verilere bakamaz. Veri tabanı şemalarını ister ama gerçek veriyi isteyemez. 

En azından o veri hangi kullanıcılara aitse her birinden teker teker açık rıza alınmalıdır. Bu noktada KİŞİSEL VERİLER KURULU’nu göreve davet etmek lazım. 

Üst kurul, “özel firmanın sunuculara erişim için şifre talep ettiğini” öğreniyor. 

Yanı sıra özel firmanın SSL sertifikalarla port replication yapılıp, sunuculardaki trafiğin başka sunuculara yönlendirilmesini istediği anlaşılıyor (bu herkesin ne yaptığını yani trafiği takip etmek ve kaydetmek anlamına geliyor).

İnci Bilgi Teknolojileri Kurulunu Lağvediyor

Dışarıdan yeni gelmiş olan ve eğitiminin ne olduğu bile belirleyemediğimiz kişi yerine üniversitenin bilgili ve tecrübeli Bilgi Teknoloji Kurulu ile işbirliği yapıp, üniversitenin verilerini hep birlikte koruma yollarına bakması gereken rektör Naci İnci, bu noktadan sonra Bilgi Teknolojileri Kurulu’nu arayacağına, karşılıklı konuşacağına, sorun varsa anlatmak ya da neler olduğunu açıklamak yerine, kurulu lağvediyor. Neden ki? 

Kurul üniversitenin bilgilerini korumak istemiş. Eğer hatalı işlemi varsa, hem üniversitenin üyelerinin, hem de ülkenin önemli bir üniversitesi konusunda endişe duyan bizlerin, kurulun yaptığı hatalı işlemin ne olduğunu öğrenme hakkı var. Bu hatalı işlem açıklanmaz ise soracağız ; “Saklanacak birşeyler mi var?” 

Ya da diğer sorumuz şu; AKP’ye yakın olduğu bildirilen bir özel kurum ve Üsküdar Belediyesinden gelen kişiler, acaba Boğaziçi Üniversitesinin sunucularında “verilere bakmamaları gerekirken” erişim talep ederek, ne arıyorlar? Ne yapıyorlar? 

Naci İnci’nin bu soruya da cevap vermesi gerekiyor; Boğaziçili akademisyen, öğrenci, idari personelin tek tek “açık rıza”sı alınmış mıdır? 

Protestoları sona erdirmeyen, sürdüren akademisyenleri vazgeçirecek, durduracak bir şeyler mi arıyorlar? 

Bu olayları Boğaziçi Üniversitesinden bir öğretim üyesi şöyle yorumluyor; 

“Melih Bulu’nun yaptıkları bu kadar koymuyordu. Naci yıllardır tanıdığımız bir hoca. Yıllardır meğer yüzü bize gösterdiğinden çok farklıymış. Üniversiteye zarar vermek için saptıkları yolların hepsini anlatamıyoruz. Hele yapılan bir iş var ki duysanız inanmazsınız. Günün birinde ortaya çıkar, görürsünüz.” 

Bu konuyu takip ediyoruz. Öğrendikçe okuyucularımıza diğer gelişmeleri de anlatacağız.    

 

[1] Boğaziçililerin bilgilerini erişime açan müdür rüşvet operasyonu şüphelisi çıktı 

Kaynak: https://turk-internet.com/bogazicili-hocalari-durduramayan-akp-eposta-ve-bilgilerinde-acik-mi-ariyor/

close

Yeni yazılardan haberdar olun! Lütfen aboneliğinizi güncelleyin.

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

Bunları da beğenebilirsiniz...