2021'de T.C. Kimlik numaraları dahil 50 milyon Türk vatandaşının verilerinin sızdırıldığı iddia edildi. O dönemde haberi okuyan çoğu kişi "ne yapabilirim ki" deyip geçti. İşte asıl sorun tam da bu tepkisizliğin içinde yatıyor.
Veri ihlalinin bireysel zararı görece somuttur: kimlik hırsızlığı, banka dolandırıcılığı, hedefli phishing saldırıları. Ama toplumsal etkisi çok daha sinsi bir şekilde işliyor. İnsanlar sisteme olan güvenini yitiriyor. Sağlık verilerini dijitale aktarmaktan kaçınan, e-devlet'e kaydolmayı erteleyen, online alışverişte kredi kartı yerine kapıda ödemeyi tercih eden bir kitle oluşuyor. Bu bir rasyonalite değil, kümülatif güvensizliğin yarattığı bir davranış bozukluğu.
Akademik literatürde buna "chilling effect" deniyor, yani caydırıcı etki. İnsanlar sağlık bilgilerini paylaşmaktan çekindiğinde teşhis gecikmesi yaşanıyor. Siyasi görüşlerini dijital ortamda ifade etmekten kaçındıklarında demokratik katılım zayıflıyor. Bunlar spekülatif senaryolar değil; 2019'da Pew Research'ün yayımladığı veriler, veri ihlali mağdurlarının %49'unun çevrimiçi davranışlarını değiştirdiğini gösteriyordu.
Türkiye özelinde bir başka boyut daha var. Kurumsal şeffaflık eksikliği, ihlallerin kaç kişiyi etkilediğini, verinin nereye gittiğini, ne zaman fark edildiğini öğrenmeyi neredeyse imkânsız kılıyor. KVKK (Kişisel Verileri Koruma Kurumu) 2016'da kuruldu ama verilen cezalar caydırıcılıktan çok sembolik düzeyde kaldı. 2023'te bir bankanın müşteri verilerini sızdırdığı ortaya çıktığında kurum yalnızca idari para cezasıyla yetindi. Bu tablo, şirketlerin veri güvenliğine yatırım yapması için gerçek bir teşvik yaratmıyor.
Belki de en az konuşulan etki, sosyal güven erozyonu. Kişisel verilerin ifşa edilmesi insanları birbirinden şüphelenir hale getiriyor; kim bu veriyi kullandı, kim sattı, kim aldı? LinkedIn sızıntıları, Getir müşteri veritabanı iddiaları, çeşitli e-ticaret platformlarının kayıpları... Bunların hepsi birikiyor ve insanların dijital ekonomiye katılım isteğini törpülüyor.
Çözümün teknik boyutu var elbette: şifreleme standartları, veri minimizasyonu, düzenli güvenlik denetimleri. Ama asıl mesele kültürel. Şirketler veriyi bir yükümlülük olarak değil, varlık olarak görmeye devam ettiği sürece bu ihlaller kaçınılmaz olmaya devam edecek. Kullanıcı tarafında da gerçekçi olmak lazım; "bedava" diye sunulan her uygulamanın aslında kişisel veriyle ödendiğini anlayan bir toplum henüz oluşmadı.
Veri ihlalinin bireysel zararı görece somuttur: kimlik hırsızlığı, banka dolandırıcılığı, hedefli phishing saldırıları. Ama toplumsal etkisi çok daha sinsi bir şekilde işliyor. İnsanlar sisteme olan güvenini yitiriyor. Sağlık verilerini dijitale aktarmaktan kaçınan, e-devlet'e kaydolmayı erteleyen, online alışverişte kredi kartı yerine kapıda ödemeyi tercih eden bir kitle oluşuyor. Bu bir rasyonalite değil, kümülatif güvensizliğin yarattığı bir davranış bozukluğu.
Akademik literatürde buna "chilling effect" deniyor, yani caydırıcı etki. İnsanlar sağlık bilgilerini paylaşmaktan çekindiğinde teşhis gecikmesi yaşanıyor. Siyasi görüşlerini dijital ortamda ifade etmekten kaçındıklarında demokratik katılım zayıflıyor. Bunlar spekülatif senaryolar değil; 2019'da Pew Research'ün yayımladığı veriler, veri ihlali mağdurlarının %49'unun çevrimiçi davranışlarını değiştirdiğini gösteriyordu.
Türkiye özelinde bir başka boyut daha var. Kurumsal şeffaflık eksikliği, ihlallerin kaç kişiyi etkilediğini, verinin nereye gittiğini, ne zaman fark edildiğini öğrenmeyi neredeyse imkânsız kılıyor. KVKK (Kişisel Verileri Koruma Kurumu) 2016'da kuruldu ama verilen cezalar caydırıcılıktan çok sembolik düzeyde kaldı. 2023'te bir bankanın müşteri verilerini sızdırdığı ortaya çıktığında kurum yalnızca idari para cezasıyla yetindi. Bu tablo, şirketlerin veri güvenliğine yatırım yapması için gerçek bir teşvik yaratmıyor.
Belki de en az konuşulan etki, sosyal güven erozyonu. Kişisel verilerin ifşa edilmesi insanları birbirinden şüphelenir hale getiriyor; kim bu veriyi kullandı, kim sattı, kim aldı? LinkedIn sızıntıları, Getir müşteri veritabanı iddiaları, çeşitli e-ticaret platformlarının kayıpları... Bunların hepsi birikiyor ve insanların dijital ekonomiye katılım isteğini törpülüyor.
Çözümün teknik boyutu var elbette: şifreleme standartları, veri minimizasyonu, düzenli güvenlik denetimleri. Ama asıl mesele kültürel. Şirketler veriyi bir yükümlülük olarak değil, varlık olarak görmeye devam ettiği sürece bu ihlaller kaçınılmaz olmaya devam edecek. Kullanıcı tarafında da gerçekçi olmak lazım; "bedava" diye sunulan her uygulamanın aslında kişisel veriyle ödendiğini anlayan bir toplum henüz oluşmadı.
00