sark kurnazi turk aklinin dijital caga ayak uyduramamasindan kaynaklanir. hani su bilinen, "matbaa'yi gec getiren zihniyet"in eseridir de diyebiliriz.
zamaniniz varsa gozatarsiniz, aciklayayim; *
evvel zaman icinde yillarca access, excel ve hatta csv formatinda tutulan veriler devlet daireleri tarafindan coklanip ilgili kurum ve kuruluslara dagitilmistir. birbirlerinden bagimsiz olarak rahatca calistigini zanneden bu kurumlar, guncellenen bilgileri hep lokalindeki veritabanlarinda saklamistir.
merkezi veritabanindan veri okuyacak ve sunacak bir soa mimarisi yok, erisim denetimi yok, senkronizasyon hak getire. bunu goren masum koyluler "e hadi su verileri bir merge edelim" diyerek merkezi nufus idare sistemi'ni yani mernis'i olusturmuslar. insanlik icin olmasa bile turkiye icin cok buyuk bir adim.
ancak sark kafasi bu ya, dogru durust servis yapisi bile kuramadan "ne olacak haci, readonly bir db user veririz, veritabanina erisirler" diyerek sistem yoneticilerinin "cok gizli" etiketiyle baskanlarina ilettigi text dosyalariyla bu bilgiler yer alir ve sen sag ben selamet bir sekilde kurumlar artik verilerini mernis uzerinden alirlar. turk kafasi buna entegrasyon der, avrupali gorse bi siktir gitder. peki kurumlar yerinde durur mu hic; "peki verileri nasil guncelleyecegiz?" diye sorar. el-cevap gecikmez;
- guncellenecek verileri sizlerden kagit uzerinden alacagiz.
bak sen su ise. ulan veritabani merkezi, sistem "super" veri guncellemesi resmi evrak uzerinden. niye ki? sebebi ortada, kurumlarin hepsine read-write erisimi verilirse verilerin dogruluguna iliskin kontrol mekanizmasi gerekecek. dahasi, dijital ortamda yapilan islemlere iliskin "bu veriler ne zaman ve kim tarafindan degistirilmis", "hangi kurumda hangi islem yapilmis da bu kisinin ikameti falanca mekana tasinmis" gibi sorularin yanitlari icin bir history-log yapisinin tutulmasi gerekecek. kim ugrasir bununla ki? elinde resmi evrak var, is emri boyle buyurmus, merkezden bilgisayar basindaki yetkili de bunu bu sekilde guncellemis, is emrini de zaten arsiv klasorune dosyalamis. nitekim turkiye'nin kalbi gunumuzdeki e-devlet uygulamasina birer birer eklenen hizmetlerin gelisimi de bu sekilde ilerlemektedir.
iyi, eyvallah. eyvallah da hani dijital cag? neyse ki uc dort yila vizyonu o kadar dar olmayan fakat zekasi da pek iyi sayilmayan birileri cikar ve artik bu evrak isine bir son verilmesi gerektigini buyurur; ardindan da "kurumlar veritabanina direkt erismeyecek, soap servisi yazacagiz, verileri buradan getirecekler ve artik verilerin guncelleme gecmisini de tutacagiz" diye sozune devam eder ve calismalar baslatilir.
turkiye cumhuriyeti nufus isleri mudurlugune bagli olarak gelistirilen bu projeye bir cok kod adi verildikten sonra "milli proje" olarak adlandirilir ve iki yillik gelistirme suresinde tamamlanir. bu gelistirmeler e-devlet altyapisinin da temelini olusturur, "entegrasyon"lar yavas yavas senkronize edilir ve sisteme ek servis araciligiyla dahil edilir. yapilan entegrasyonlar neticesinde sadece devlet kurumlari degil, artik bankalar, sigorta sirketleri gibi ozel kurumlar da mernis sistemi sayesinde bilgilerin dogrulugunu devlet guvencesiyle teyit edebilmekte ve erisim saglayabilmektedirler.
peki devletin verilerinin guvenligi, kullanimi, dagitimi bu durumda nasil yurumektedir? yaniti basit: "oyle bir sey yok." boyle bir islemin yapilabilmesi icin butun verilerin kriptolanmasi gerektireceginden yakin bir zamana kadar hic kimse bu ise bulasmadan isini gormeye devam etmistir. ek olarak kullanimi deneteyleyen ve yaptirimlari uygulayan bir mekanizma olmadigi icin "guvenli" entegrasyon saglansa da son kullanicinin kullandigi uygulama icerisindeki acikliklar bu verilere erisimi mumkun kilmistir.
nasil mi? dedim ya hani, vizyonu dar olmayan fakat zekasi pek iyi sayilmayan birileri yuzunden. yine bunun gibi bir grup kisi ozel sektor entegrasyonlari yaparken bilmedigi ve hesaba katmadigi bir sey vardi. oldukca cok yakin bir zamana kadar marka degeri ve is hacmi yuksek bir kac banka ve sigorta sirketindeki bu aciklar neticesinde; bu kadar kritik veriler ile nasi boyle bir bastan savma is yapilabilecegi benim icin hep bir merak konusu olmustur. dusunun hele, kredi alacaksiniz, herhangi bir bankanin internet sitesindeki text girisine tc kimlik no bilginizi yaziyorsunuz, size krediye uygun olup olmadiginizi bildiriyor. ve bu bildirimi yaparken bana telefon numarami, adresimi, dogum yerimi ve diger kutuk bilgilerimi islem sonucu olarak getiriyor sadece on planda gostermiyor. devekusu misali kafayi kuma gommek gibi de diyebiliriz. buna benzeyen bir suru sistem acigi bildiriliyor fakat nafile, dinleyen yok. devlet baba zaten verisini verir gerisine karismaz, onun da bir yaptirimi olmuyor.
peki bu acik nelere mal olabilir?
kimlik numarasi belirli bir algoritmaya gore uretildiginden, veriyi almak isteyen kisiler algoritmaya uyan butun kimlik numaralarini bu gibi aciklari olan sistemlerde sorgulatir, donen bilgileri saklarlar. gayet legal.
suclu kim?
veriyi denetimsiz bir sekilde kullanima sokan mi? sistem acigi bulunan kurum mu? yoksa veriyi alan kullanici mi?
