60 bin Boğaziçili suistimale açık
Türkiye’nin dünya çapında sayılı bilgi işlem uzmanlarından Prof. Dr. Tuna Tuğcu, “Boğaziçili öğrenciler, akademisyenler ve mezunlar dahil 60 bin …
Türkiye’nin dünya çapında sayılı bilgi işlem uzmanlarından Prof. Dr. Tuna Tuğcu, “Boğaziçili öğrenciler, akademisyenler ve mezunlar dahil 60 bin Boğaziçilinin yazışmaları izlenip, sahte deliller üretilip, örgüt üyeliğiyle bile suçlanabilirler” diye uyardı.
Boğaziçi Üniversitesi’ne, 33 yıl önce 1989’da öğrenci olarak girdi. Bilgisayar Mühendisliği Bölümü’nde, 18 yıldır 20 binden fazla öğrenci yetiştirip, uluslararası bilimsel projeler yönetti. Üniversitesi 3 yıl önce, ‘Öğretimde Üstün Başarı Ödülü’ verdi. Bir firmaya öğrencilerin kişisel verilerinin erişim izni verildiğini ortaya çıkarınca, başına gelmeyen kalmadı. BÜ Bilgi Teknolojileri Kurulu (BTK) Başkanı Prof. Dr. Tuna Tuğcu’yu rektörlük, önce 3 ay görevden uzaklaştırdı. Soruşturma bitmeden, uzaklaştırma 3 ay daha uzatıldı. Prof. Dr. Tuna Tuğcu yaşananları ve risklerini SÖZCÜ’ye anlattı:
“LAV EDİLDİ”
“BTK’ya, gelen bir duyum üzerine, kurul üyesi 3 hocamızla Bilgi İşleme gittik. Doğruluğunu tespit ettik. Bir firmaya 60 bin Boğaziçi mensubunun kişisel verilerine erişim imkanı verilirken, İhale Kanunu’nun 21/f maddesi ile davet usulü ve ‘gizli’ yapılan ihaleyi alan başka bir firma da üniversitenin tüm bilgi sistemlerinin yönetici şifrelerini istemişti. Kurul olarak toplanıp, rektöre bir tavsiye raporu hazırlamayı planlarken, aynı gün içinde biz görevden alındık ve BTK kurulu da lav edildi. Boğaziçi Üniversitesi’nde, şu anda BTK diye bir kurul yok. Yasaya göre 2 ayda tamamlanması gereken hakkımdaki soruşturma, 3 ay geçtiği halde tamamlanmadığı gibi, 3 ay daha uzatıldı. ”
“GASPLA SUÇLANDIK”
“Bize, ‘rektörlüğün bu konuyu Güvenli Veri Yönetimi Komisyonu (GVYK) ile görüştüğü, kurulumuzun inceleme yetkisi olmadığı’ söylendi. GVYK Başkanı’na, ‘Gizli’ olduğu söylenilen veriler ve dokümanlar, WhatsApp’dan gönderilmişti. Komisyon, WhatsApp üzerinden gelen belgelerle inceleme yapılamayacağını, resmi yolla gönderilmesini isteyince, o da yapılmamış. Yani, bu konu hiç incelenmemiş oldu. Bilgi İşlem personelini tehdit ederek, toplantıda bize verilen belgeleri, gasp etmekle bile suçlandık. Bazı gazeteler, TV’ler de haber yapıp, bizi eşkıyalıkla suçladı. Biz, ‘eşkıya’ değil üniversite mensuplarının güvenliği için gerekeni yapan bilim insanlarıyız. Boğaziçi mensubu 60 bin kişinin haklarını, kişisel verilerini, sahte delillerle olası suçlamalara karşı koruduğumuz için suçlandık. Rektörlük; akademisyenler, öğrenciler ve mezunlar dahil, 60 bin mensubunun kişisel bilgilerinin nasıl bir firmaya açıldığı ve tüm sistemlerinin güvenliğini yok edecek riski, yönetici şifresini isteme olayını incelemek yerine, bunu ortaya çıkaran öğretim üyelerine soruşturma açtı.”
“VERİ GÜVENLİĞİ İHLALİ”
“Kurul üyesi 3 akademisyen görevine iade edildi. Ben, bu yıl üniversiteyi kazanan öğrencilerin kişisel verilerinin de işgal edildiğini ortaya çıkardıktan sonra hakkımdaki uzaklaştırma kararı, 3 ay daha uzatıldı. Üniversiteden uzaklaştırılsam da, aldığım bir ceza yok, soruşturma sürüyor. Yasaya göre 2 ayda tamamlanması gereken soruşturma, 3 ay geçtiği halde sonuçlandırılmadığı gibi, ikinci kez 3 ay daha uzaklaştırıldım. Uzaklaştırma, ‘delil karartma’ veya ‘kuruma zarar verme’ gerekçesiyle verilebilir. Delil karartmam mümkün değil. Çünkü, bilgi işlemde çalışmıyorum. Derslerimi verip, öğrencilerimin tezlerini yönetemediğim için üniversite zarar görüyor. ”
İşte o riskler!
“Sahte delil oluşturulabilir”
“İnsanların kişisel verileri ancak onay verirse paylaşılabilir. Boğaziçi’nde, yasaya aykırı olarak kimsenin onayı alınmadı. Bir firma, BÜ Bilgi İşlem Birimi’nde çalışan tüm sunucuların, yönetici şifrelerini istiyor. Bu, ‘canınızın istediğini yapabilmeniz’ demektir. Sadece kişisel veri ihlali değil, rektör adına mesaj gönderip, sahte deliller oluşturabilirler.”
“Yazışmaları izleyebilirler”
“İnsanların, tüm yazışmaları izlenebilir. Yapılmamış bir yazışma, yapılmış gibi gösterebilir. Bireyler adına, cumhurbaşkanına çok ağır ifadeler kullanılıp, başları belaya sokulabilir. Bu imkan şu anda, bir şirkete verildi. İsterlerse yapabilirler. E-posta adreslerine erişip, tüm yazışmaları takip edip, mesajların içine dosyalar koyup, suç oluşturulabilir, adlarına web sayfası kurulabilirler.”
Örgüt bağlantısı riski!
“Örneğin; Bu birinin banka hesaplarının şifresini bilip, izni olmadan başkasına vermek gibidir. Kişi, hesabından yasa dışı örgütlere para aktarmış veya aktarmamış fark etmez. Aktarabilme imkanı verilmiştir. Bu da, istenilen kişiler adına sahte deliller üretilip, haklarında, örgüt üyeliği dahil her türlü suçlamanın yapılması gibi ciddi bir risk taşıyor.”
Prof. Dr. Tuna Tuğcu
ÖĞRENCİLER MAĞDUR
Prof. Tuğcu, “Zorunlu dersim (İşletim Sistemleri), verdirilmiyor. 13 lisansüstü öğrencimin master ve doktora tezleri aksadı. Araştırma projem durduruldu. Öğrencilerimiz ve üniversite kaybediyor.
Yönetici şifreleri ne amaçla istendi?
“Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nce kurulan Bilgi ve İletişim Güvenliği Rehberi’ne BÜ’nün de yıl sonuna kadar uyum sağlaması gerekiyor. Üsküdar Belediyesi’nden Bilgi İşlem Daire Başkanlığı görevine getirilen kişi, ilk iş yönetici şifrelerini istedi. Bunu ortaya koyduğum için, görevden uzaklaştırıldım.”