Eğitim-Sen İstanbul Şubesi, eğitim emekçilerinin kişisel bilgilerinin bir sitede yayınlanmasının nedenlerini sorarak, olayın açıklığa kavuşturulmasını istedi. Sendika, suç duyurusunda bulunacağını da kaydetti
Eğitim-Sen İstanbul 2 No’lu Şube Yönetim Kurulu, yaptığı yazılı açıklama ile Üsküdar ilçesinde çalışan eğitim emekçilerinin kişisel bilgilerinin stratejiuskudar.com adlı sitede neden yayınlandığının açıklığa kavuşturulmasını istedi. Milli Eğitim Bakanlığı veri tabanında olan personel bilgilerinin bu veri tabanı ile ilgisi olmayan bir sitede yer almasının kabul edilemez olduğu vurgulandı.
‘Yükümlülükler açıkça ihlal edildi’
Üsküdar İlçe Milli Eğitim Müdürlüğü Kişisel Verilerin Korunması Kanununun 12. Maddesinde belirtilen veri güvenliğine ilişkin yükümlüklerinin açıkça ihlal edildiğine dikkat çekilen açıklamada “Üsküdar ilçe Milli Eğitim Müdürlüğü adı geçen sitenin siber saldırıya uğradığını belirterek suç duyurusunda bulunulduğunu ifade etmektedir. Bizim açımızdan sorun ve sorulacak soru ise şudur: Öğretmen bilgilerinin o sitede yer almasını sağlayan ve güvenlik açığı oluşmasına neden olanlar hakkında bir soruşturma açılacak mıdır?” ifadeleri kullanıldı.
‘Personel bilgileri kimlere verildi?’
Açıklamada ayrıca “Üsküdar MEM “Kendini Geliştir Geleceği Değiştir“ projesi kapsamında yürütülen çalışmalarda işbirliği yapılacak kurum ve kuruluşlar bölümünde “Üsküdar Kaymakamlığı, Üsküdar Belediye Başkanlığı, Üsküdar İlçe Milli Eğitim Müdürlüğü, STK (hangi STK’lar olduğu belirtilmemiş), özel kurum ve kuruluşlar ve özel ve devlet üniversitelerine yer verilmiştir” sözlerini hatırlatılarak şu sorular soruldu: “İşbirliği yapılacak STK ve özel kurum ve kuruluşların hangileri olduğu genel bir ifadeyle neden geçiştirilmiştir? Özel kurum ve kuruluşlar diye ifade edilen kurum ve kuruluşlar hangileridir? Öğretmen bilgileri iş birliği yapılması düşünülen herhangi bir kuruluşa verilmiş midir? Hizmet alım yöntemiyle yazılım şirketiyle bir anlaşmaya neden ihtiyaç duyulmuştur? Bu şirkete Üsküdar ilçesinde çalışan personel bilgileri (telefon, e-mail, branş bilgileri v.s) verilmiş midir? Verildiyse bu bilgilere kimlerin erişim izni vardır? Üsküdar MEM ‘in yazılım üzerinde nasıl bir kontrolü vardır? Yeni bir yazılım kullanımı konusunda MEB’den izin alınmış mıdır? Bu projeye Üsküdar Belediyesi ve Üsküdar MEM’in kaynak aktarımı nasıl olmuştur? Ne kadar kaynak aktarılmıştır ve bu kaynak kimlere verilmiştir? Elbette ki bu soruları çoğaltmak mümkündür.”
‘Mail ve telefonlara mesaj nasıl geldi?’
Açıklamanın devamında şu ifadeler yer aldı: “Öğretmenler stratejiuskudar.com sitesine giriş yaparken kullanıcı adına TC kimlik numarasını, şifre kısmına da kurum kodu kullandıklarını, (her okulun bir kodu vardır ve aynı okulda çalışan öğretmenler aynı kodu kullanırlar) başkaca bir işlem yapmadıklarını belirtmektedir. Öğretmenler, siteye giriş yaptıktan sonra telefon ve e-mail bilgilerini isteyen bir ekranla karşılaşmadıklarını, giriş yaptıktan sonra telefona ve maile onay mesajı geldiğini ifade etmektedir. Öğretmeler bilgileri girmediklerine göre öğretmenlerin telefon ve e-maillerine onay mesajı gitmesi nasıl sağlanmıştır? MEB’in kullandığı yazılımla, şirketin kullandığı yazılım arasında bir uyum var mıdır? Uyum yoksa yazılım şirketine öğretmenlerin kişisel bilgileri daha öncesinden verilmiş midir? Verildiyse kişisel verilerin korunması kanunu ihlal edilerek suç işlenmemiş midir?”
Sendikadan soruşturma endişesi
Olayın basına yansıması üzerine ilçe Milli Eğitim Müdürü’nün yaptığı, “Bu tarihe kadar sistemdeki verilerin güvenliğinde herhangi bir zafiyet yaşanmamıştır. Maalesef bu ay içerisinde stratejiuskudar.com sayfamızın siber saldırıya maruz kalmış olduğunu öğrenmiş bulunuyoruz” açıklamasına da değinilen açıklamada, “Diğer taraftan sendika olarak yaptığımız araştırmada ücretli olarak çalışan öğretmenlerin, şubat ayında emekli olmuş, mart ayında kurum değişikliği yapmış olanların da deşifre edilen listede yer aldığını tespit etmiş durumdayız. Bu durum iddia edildiği gibi Nisan ayında hacklenmiş olduğu varsayıldığında hizmet satın alınmış olan yazılım şirketinde bilgilerin güncellenmediğini ya da daha öncesinden elde edilmiş olabilme şüphesini doğurmaktadır. Bilgileri paylaşan Üsküdar MEM olduğuna göre soruşturma sadece hacklendiği varsayımıyla mı yapılacak yoksa; öğretmenlerin kişisel bilgilerini korumakla görevli olanlar da Üsküdar Kaymakamlığı dahil olmak üzere soruşturmaya dahil edilecek midir?” sözleriyle tepki gösterildi.
Suç duyurusu hazırlığı
Olayın takipçisi olmaya devam edileceğinin belirtildiği açıklamada, sendika avukatlarıyla beraber hazırlıkların tamamlanması ardından ilgili kişi ve kurumlar hakkında suç duyurusunda bulunulacağı kaydedildi.
İSTANBUL