CANAN COŞKUN
canancoskun@diken.com.tr
@canancoskun
Boğaziçi Üniversitesi’nde görevli dört akademisyen iktidar yanlısı Sabah, A Haber, Takvim ve Yeni Şafak gazeteleri tarafından hedef gösterildi. İsim ve fotoğraflarının kullanıldığı haberlerde akademisyenlerin ‘Bilgi İşlem Merkezi’ni basarak bazı evrakları gasp ettiği’ iddia edildi.
Hedef gösterilen akademisyenlerden Boğaziçi Üniversitesi Bilgi Teknolojileri Kurulu Başkanı Prof. Dr. Tuna Tuğcu, görevleri gereği bilgi işlemde oluşan bir güvenlik riski duyumu üzerine Bilgi Teknolojileri Kurulu’ndan dört hocanın bilgi almak amacıyla bilgi işlemi ziyaret ettiklerini söyledi.
Prof. Tuğcu’nun aktarımına göre 10 Haziran Cuma günkü ziyarette güvenlik çerçevesinde danışmanlık hizmeti alınan firmaya Boğaziçi Üniversitesi öğrencileri, mezunları, akademisyenleri ve idari personelin kişisel bilgilerinin bulunduğu veritabanlarına erişim hakkı verildiği ortaya çıktı.
İktidar yanlısı gazete ve internet sitelerinin hedef gösterdiği dört akademisyen aslında Boğaziçi Üniversitesi Bilgi Teknolojileri Kurulu üyesi. Üniversitenin bilgi teknolojisi altyapısını yazılım ve donanım açısından düzenli olarak çalışmasını sağlayacak kararlar almak ve bu kararın uygulamalarını takip etmek kurulun görevleri arasında yer alıyor.
Üsküdar Belediyesi’nden atanan başkan
Bilgi Teknolojileri Kurulu’nun denetlediği Bilgi İşlem Müdürlüğü (BİM), kısa bir süre önce yapılanma değişikliğiyle yeni kurulan Bilgi İşlem Daire Başkanlığı’na bağlandı. Başkanlık koltuğuna da Üsküdar Belediyesi’nin bilgi işlem bölümü müdürü Faruk Yakaryılmaz getirildi.
Kurul başkanı Tuğcu ve kurulun üyelerinden üç akademisyen, üniversitenin Bilgi İşlem Müdürlüğü’nde bir bilgi güvenliği zaafiyeti duyumu aldığı için 10 Haziran Cuma günü Bilgi İşlem Merkezi’ne giderek bu konuda merkez çalışanlarından bilgi aldı. Prof. Tuğcu’nun anlatımına göre denetim sırasında iki önemli ve tehlikeli durum tespit edildi.
Doğrudan ve pazarlık usulüyle ihale
Bilgi İşlem Müdürlüğü’ndeki denetimde yeni kurulan başkanlığın doğrudan ve Kamu İhale Kanunu’nun 21’nci maddesinin ‘f’ bendindeki yöntemle hizmet alımı yaptığı anlaşıldı. Yasa maddesine göre, idare pazarlık usulüyle yaklaşık maliyeti 50 milyar TL’ye kadar olan mal, malzeme ve hizmet alımı yapabiliyor.
Doğrudan yapılan hizmet alımı çerçevesinde bir firmaya akademik personel, idari personel, öğrenci ve mezunların kişisel bilgilerini de barındıran dört veritabanına erişim hakkı verildiği anlaşıldı.
‘Bu bilgiler iyi niyetli olarak istenemez’
Davetiye ve pazarlık usulüyle yapılan diğer hizmet alımı da Bilgi ve İletişim Güvenliği Rehberi çerçevesinde alınan bir danışmanlıkla ilgiliydi. Burada da ilgili firma, BİM’deki sunucuların yönetici şifresini istedi.
Firma ayrıca vereceği SSL sertifikalarının BİM sunucularına yüklenerek BİM sunucularına firma yetkililerinin istedikleri zaman şifresiz girebilmesinin sağlanmasını, ek olarak üniversitenin veri trafiğinin başka bir porta yansıması alınarak kaydedilmesini talep etti. Prof. Tuğcu’nun aktardığına göre firma tarafından istenilen bu hakların alınan hizmetle alakası yok.
Söz konusu ilk hizmet alımında firmanın istemesi gereken bilginin kullanıcıların gerçek bilgilerinin değil de veritabanında ad-soyad, telefon, ev adresi, anne-baba adı, annenin evlenmeden önceki soyadı gibi bilgiler olduğunu belirten Tuğcu “Bu bilgiler iyi niyetli olarak istenemez. Tutulan her bilgi risktir. Gereksiz bilgiyi tutmazsınız ki olası bir hacking olayı minimum hasarla atlatılabilsin” diyor.
Tuğcu, bu taleplerin Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nin hazırladığı Bilgi ve İletişim Güvenliği Rehberine de aykırı olduğunu söylüyor. Kişisel Verileri Koruma Kanunu’na göre bu bilgiler ancak her kullanıcı izin verirse paylaşılabilir.
Rektörlük güvenlik açığını duyurmadı
Prof. Dr. Tuğcu, söz konusu güvenlik açığını tespit eder etmez kurul olarak riskleri Boğaziçi Üniversitesi rektörlüğüne anlatmak istediklerini ancak rektörlüğün buna izin vermediğini söyledi.
Bu aşamadan sonra Sabah, A Haber, Takvim ve Yenişafak’ta hedef gösteren haberler yayınlandı. Kurul üyeleri, 10 Haziran Cuma günü öğleden sonra hiçbir haber verilmeksizin rektörlük tarafından görevden alındı, ardından kurul lağvedildi. Prof. Tuğcu, Boğaziçi Üniversitesi yönetiminin herhangi bir açıklama yapmadığını belirterek şöyle dedi: “Hakkımızda soruşturma açıldığına ya da açılacağına dair en ufak bir bilgimiz yok. Bu bilgiyi gazeteden okuduk. Biz bu işte yetkili bir kuruluz. Bize sorulmadan jet hızıyla görevden alındık. Hakkımızda dayanaksız bir şekilde belge gasp etme gibi bir suç uydurulduğunu basından öğrendik. Şu ana kadar rektörlük bir açıklama yapmadı.”
‘Rektörlük hâlâ bilgilendirmedi’
Prof. Tuğcu, halen rektörlük tarafından kişisel veri güvenliğinin ihlal edildiği o bilgilerin sahiplerine bildirilmediğini, rektörlüğün tüm akademik ve idari personeli, öğrencileri ve tüm mezunları bilgilendirmesi ve bu bilgi güvenliği ihlalinin asıl sorumlularını tespit edip cezalandırması gerektiğini söyledi.
Öğretim üyesi, Bilgi İşlem Merkezi’ndeki görüşmenin de iktidar yanlısı gazete ve sitelerde aktarıldığının aksine ‘saygı ve olumlu tavır çerçevesinde bir toplantı olduğunu’ söyledi.
Merkezde çalışan kişilerin kendisinin eski çalışma arkadaşları olduğunu söyleyen Tuğcu, “Kurul olarak bilgi işlemde bir sıkıntı varsa bununla ilgilenmek bizim asli görevimiz. Asıl bunu yapmasaydık suç işlemiş olurduk” dedi.