IndigoMandolin
Kayıtlı Kullanıcı
O an gelir çatar bazen, hani o telefonun ekranında "SIM bloke oldu" yazısını gördüğümüzde yüreğimizin hop ettiği an… PIN kodunu üç kez yanlış girmekle kalmayıp, cihazın o anki güvenlik protokolleri gereği SIM kartı tamamen kullanılamaz hale getirmesi ve bizden acil bir PUK kodu talep etmesi, işte o noktada başlıyor hikaye. Biliriz ki bu PUK, yani Personal Unblocking Key, aslında 8 haneli, operatör tarafından önceden belirlenmiş, SIM kartı kilitlendiğinde devreye giren hayati bir anahtardır; ve biz onu almak için, evet, o bizi sürekli arayan, faturalarımızı gönderen, dijital hayatımızın önemli bir parçası olan operatörümüzün kapısını çalmak zorunda kalırız. O devasa sistemle iletişime geçerken, acaba ne kadarını, hangi bilgimizi paylaştığımızı gerçekten düşünüyor muyuz hiç?
Onlara bağlandığımızda, o sesli yanıt sistemlerinin labirentinde kaybolup nihayet bir canlıya ulaştığımızda, ilk sordukları şey hep o kimlik doğrulama adımları, değil mi? Anne kızlık soyadı, T.C. kimlik numarası, hatta son ödediğimiz fatura tutarı… Sanki bizden çok daha fazlasını biliyorlarmış gibi hissettiren o sorular… Oysa bu bilgilerin her biri, parça parça da olsa, bizim dijital ayak izlerimizin en mahrem köşelerini işaret ediyor; ve bunları telefon üzerinden, kimin dinlediğini bilmediğimiz bir ortamda paylaşmak, vallahi içimizi bir tuhaf ediyor bazen. Hatta bazen, o anki telaşla, "abi yeter ki açın şu hattı!" deyip düşünmeden veriyoruz her şeyi.
Peki bu süreçte operatörün, o bizim verilerimizin hamisi olması beklenen kurumun, aslında ne gibi yükümlülükleri var? Hani o Kişisel Verilerin Korunması Kanunu (KVKK) denen, o hepimizin adını duyduğu ama derinliklerine pek inemediği o yasal çerçeve… Bu kanun, aslında operatörlerin bizden aldığı her bir bilginin, PUK kodu gibi hassas bir işlem için dahi olsa, "veri minimizasyonu" ilkesine uygun olarak, yani sadece gerekli olanı talep etmesini emrediyor. Fazlasını istemek, kayıt altına almak, o bilgileri PUK kodu verme amacı dışında kullanmak, işte o, sınırları aşmak demektir… Ve bizim o anki çaresizliğimizden faydalanmak gibi bir şey, kabul edin.
Aslında olay sadece PUK kodunu almak değil; o PUK kodu sürecinde paylaşılan bilginin, o bizim için adeta dijital DNA parçası olan verinin, doğru ellerde, doğru amaçla kalıp kalmadığı meselesi. Örneğin, müşteri temsilcisiyle paylaştığımız o kritik doğum tarihi, anne kızlık soyadı gibi bilgiler, operatörün güvenlik sistemleri içinde nasıl bir şifrelemeyle korunuyor, ne kadar süreyle saklanıyor ve hangi personele, hangi erişim yetkileriyle sunuluyor? Bu soruları sormak, hakkımız, hatta bir vatandaşlık görevi sayılır... Yoksa o bilgiler, sistemde bir yerlerde açıkta mı duruyor dersiniz, bir veri sızıntısı anında ilk hedef olacak şekilde?
Kimi zaman, o telaş anında, PUK kodunu alırken kimlik doğrulama adına sorulan sorular o kadar yüzeysel kalır ki, insan ister istemez şüpheleniyor, "Acaba benim adıma arayan başka biri olsa, bu bilgilere erişebilir miydi?" diye. Telefon numarasının son arama yaptığı numara, son yüklenen TL miktarı gibi bilgiler, evet, bir parça doğrulama sağlayabilir ama bunlar da her zaman yeterli mi? Gerçekten, o hattın tek sahibi olduğumuzu kanıtlamak için daha sağlam, daha modern kimlik doğrulama yöntemleri geliştirilemez miydi? Biyometrik doğrulama sistemleri ya da mobil uygulama üzerinden güvenli, tek kullanımlık kodlarla, daha az kişisel veri ifşa ederek bu işi çözmenin yolları olmalı sanki…
Unutmayalım ki bu mesele, sadece o anki PUK sorununu çözmekle bitmiyor, bilakis uzun vadede dijital kimliğimizin sağlamlığını, kırılmazlığını ilgilendiriyor. Operatörler, sadece PUK kodunu vermekle yükümlü değiller, aynı zamanda bu süreçteki veri alışverişinin her aşamasında en üst düzey güvenlik protokollerini, ISO 27001 gibi uluslararası standartları uygulamakla yükümlüler. Bu, onların bize karşı taahhüdüdür; ve biz, o hizmeti satın alan bireyler olarak, bu taahhüdün yerine getirilip getirilmediğini sorgulama, hatta talep etme hakkına sahibiz. Hani o güvendiğimiz dağlara kar yağmaz sanırdık hep…
Bizler, yani bu dijital çağın vatandaşları, o kilitlenen SIM kartımızın ardından aradığımız PUK koduyla birlikte, aslında daha büyük bir şeyi de istiyoruz: Güven! Kişisel bilgilerimizin, o bizim en mahrem parçacıklarımızın, ticari bir meta gibi değil, bir emanet gibi korunmasını istiyoruz. Bu, bir PUK kodu talep etmekten çok daha ötede bir talep; bu, dijital dünyanın insanca ve etik bir çerçevede yürümesi için hep birlikte yükselttiğimiz bir ses. Yoksa o anlık rahatlama, uzun vadede çok daha büyük gizlilik ihlallerine davetiye çıkarabilir, vallahi billahi… Ve biz bunu asla istemeyiz, istememeliyiz.
Onlara bağlandığımızda, o sesli yanıt sistemlerinin labirentinde kaybolup nihayet bir canlıya ulaştığımızda, ilk sordukları şey hep o kimlik doğrulama adımları, değil mi? Anne kızlık soyadı, T.C. kimlik numarası, hatta son ödediğimiz fatura tutarı… Sanki bizden çok daha fazlasını biliyorlarmış gibi hissettiren o sorular… Oysa bu bilgilerin her biri, parça parça da olsa, bizim dijital ayak izlerimizin en mahrem köşelerini işaret ediyor; ve bunları telefon üzerinden, kimin dinlediğini bilmediğimiz bir ortamda paylaşmak, vallahi içimizi bir tuhaf ediyor bazen. Hatta bazen, o anki telaşla, "abi yeter ki açın şu hattı!" deyip düşünmeden veriyoruz her şeyi.
Peki bu süreçte operatörün, o bizim verilerimizin hamisi olması beklenen kurumun, aslında ne gibi yükümlülükleri var? Hani o Kişisel Verilerin Korunması Kanunu (KVKK) denen, o hepimizin adını duyduğu ama derinliklerine pek inemediği o yasal çerçeve… Bu kanun, aslında operatörlerin bizden aldığı her bir bilginin, PUK kodu gibi hassas bir işlem için dahi olsa, "veri minimizasyonu" ilkesine uygun olarak, yani sadece gerekli olanı talep etmesini emrediyor. Fazlasını istemek, kayıt altına almak, o bilgileri PUK kodu verme amacı dışında kullanmak, işte o, sınırları aşmak demektir… Ve bizim o anki çaresizliğimizden faydalanmak gibi bir şey, kabul edin.
Aslında olay sadece PUK kodunu almak değil; o PUK kodu sürecinde paylaşılan bilginin, o bizim için adeta dijital DNA parçası olan verinin, doğru ellerde, doğru amaçla kalıp kalmadığı meselesi. Örneğin, müşteri temsilcisiyle paylaştığımız o kritik doğum tarihi, anne kızlık soyadı gibi bilgiler, operatörün güvenlik sistemleri içinde nasıl bir şifrelemeyle korunuyor, ne kadar süreyle saklanıyor ve hangi personele, hangi erişim yetkileriyle sunuluyor? Bu soruları sormak, hakkımız, hatta bir vatandaşlık görevi sayılır... Yoksa o bilgiler, sistemde bir yerlerde açıkta mı duruyor dersiniz, bir veri sızıntısı anında ilk hedef olacak şekilde?
Kimi zaman, o telaş anında, PUK kodunu alırken kimlik doğrulama adına sorulan sorular o kadar yüzeysel kalır ki, insan ister istemez şüpheleniyor, "Acaba benim adıma arayan başka biri olsa, bu bilgilere erişebilir miydi?" diye. Telefon numarasının son arama yaptığı numara, son yüklenen TL miktarı gibi bilgiler, evet, bir parça doğrulama sağlayabilir ama bunlar da her zaman yeterli mi? Gerçekten, o hattın tek sahibi olduğumuzu kanıtlamak için daha sağlam, daha modern kimlik doğrulama yöntemleri geliştirilemez miydi? Biyometrik doğrulama sistemleri ya da mobil uygulama üzerinden güvenli, tek kullanımlık kodlarla, daha az kişisel veri ifşa ederek bu işi çözmenin yolları olmalı sanki…
Unutmayalım ki bu mesele, sadece o anki PUK sorununu çözmekle bitmiyor, bilakis uzun vadede dijital kimliğimizin sağlamlığını, kırılmazlığını ilgilendiriyor. Operatörler, sadece PUK kodunu vermekle yükümlü değiller, aynı zamanda bu süreçteki veri alışverişinin her aşamasında en üst düzey güvenlik protokollerini, ISO 27001 gibi uluslararası standartları uygulamakla yükümlüler. Bu, onların bize karşı taahhüdüdür; ve biz, o hizmeti satın alan bireyler olarak, bu taahhüdün yerine getirilip getirilmediğini sorgulama, hatta talep etme hakkına sahibiz. Hani o güvendiğimiz dağlara kar yağmaz sanırdık hep…
Bizler, yani bu dijital çağın vatandaşları, o kilitlenen SIM kartımızın ardından aradığımız PUK koduyla birlikte, aslında daha büyük bir şeyi de istiyoruz: Güven! Kişisel bilgilerimizin, o bizim en mahrem parçacıklarımızın, ticari bir meta gibi değil, bir emanet gibi korunmasını istiyoruz. Bu, bir PUK kodu talep etmekten çok daha ötede bir talep; bu, dijital dünyanın insanca ve etik bir çerçevede yürümesi için hep birlikte yükselttiğimiz bir ses. Yoksa o anlık rahatlama, uzun vadede çok daha büyük gizlilik ihlallerine davetiye çıkarabilir, vallahi billahi… Ve biz bunu asla istemeyiz, istememeliyiz.
