Singapur İşletme Lisanslama Kurumu (SLA), IBM tarafından yönetilen bulut ortamında meydana gelen bir siber güvenlik olayında yaklaşık 70 bin kişinin kişisel verilerinin tehlikeye girdiğini açıkladı. Olayda, etkilenen kişilerin adları, Ulusal Kimlik Kartı (NRIC) numaraları ve o döneme ait mülk adresleri gibi hassas bilgiler anonimleştirilmemiş halde ele geçirildi. SLA, IBM ile birlikte yürüttüğü soruşturmada, ihlalin IBM'in bulut altyapısındaki bir güvenlik açığından kaynaklandığını ve verilerin yetkisiz üçüncü taraflarca erişildiğini belirledi. Olay, Singapur'da kamu ve özel sektör arasındaki veri paylaşımının güvenliği konusundaki endişeleri yeniden gündeme taşıdı.
Gelişmenin Arka Planı
SLA, Singapur'da işletme lisanslaması, emlakçılık ve mülk yönetimi gibi alanlarda düzenleyici kurum olarak görev yapıyor. Kurum, 2023 yılında IBM ile bulut tabanlı bir veri yönetim sistemi kurmak için anlaşma yapmıştı. IBM'in Singapur'daki bulut veri merkezlerinde barındırılan sistem, lisans başvuru sahiplerinin ve mülk sahiplerinin kayıtlarını içeriyordu.
Siber olay, ilk olarak SLA'nın rutin güvenlik denetimleri sırasında fark edildi. IBM'in olay müdahale ekibi, 24 saat içinde ihlali kontrol altına aldı, ancak verilerin ne kadar süreyle erişime açık kaldığı ve hangi taraflarca indirildiği henüz tam olarak bilinmiyor. SLA, etkilenen 70 bin kişiye e-posta yoluyla bildirim gönderdi ve ücretsiz kimlik hırsızlığı izleme hizmeti sunacağını duyurdu. Ayrıca, Singapur Kişisel Veri Koruma Komisyonu (PDPC) olayla ilgili soruşturma başlattı.
IBM ise konuyla ilgili yaptığı açıklamada, güvenlik protokollerini güncellediğini ve etkilenen müşterilere destek sağladığını belirtti. Şirket, benzer olayların tekrarlanmaması için bulut altyapısına ek güvenlik katmanları eklediğini ifade etti. Bununla birlikte, veri ihlalinin Singapur'un ulusal güvenlik çerçevesine etkisi henüz netleşmiş değil.
Bölgesel ve Küresel Boyut
Olay, Asya-Pasifik bölgesinde artan siber tehditlerin bir yansıması olarak değerlendiriliyor. Singapur, dijital altyapısı ve yüksek internet penetrasyonu nedeniyle siber saldırılara sık sık hedef oluyor. 2018'de Singapur Sağlık Bakanlığı'na ait 1.5 milyon hastanın verisi çalınmış, 2020'de ise Singapur Üniversitesi'ne yönelik fidye yazılım saldırısı yaşanmıştı. IBM gibi küresel bir teknoloji devinin yaşadığı bu ihlal, bulut hizmet sağlayıcılarının güvenlik standartlarına olan güveni sarsıyor.
Küresel ölçekte, IBM'in kamu sektörü ile yaptığı veri yönetimi anlaşmaları benzer riskler taşıyor. Birçok ülke, pandemi sonrası dijital dönüşüm sürecinde bulut çözümlerine yönelmiş durumda. Bu olay, kamu verilerinin özel şirketlere emanet edilmesinin getirdiği güvenlik açıklarını bir kez daha gözler önüne serdi. Avrupa Birliği ve ABD'de de benzer durumlarda yaptırımlar uygulanırken, Singapur'un PDPC'sinin IBM'e nasıl bir ceza vereceği merak konusu.
Türkiye Açısından Değerlendirme
Türkiye, kamu hizmetlerinin dijitalleşmesi kapsamında bulut bilişim çözümlerine yatırım yaparken, IBM ve benzeri firmalarla işbirliği anlaşmaları imzalamaktadır. Singapur’daki bu veri ihlali, Türkiye’nin kamu veri yönetiminde özel sektör ortaklıklarının siber güvenlik boyutunu yeniden değerlendirmesine neden olabilir. Özellikle Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü gibi hassas veri barındıran kurumların, bulut altyapılarında anonimleştirme ve erişim denetimlerini sıkılaştırması beklenir. Türkiye’nin Kişisel Verileri Koruma Kurumu (KVKK), benzer olayların Türkiye’de yaşanmaması için uluslararası standartlara uygun denetim mekanizmaları geliştirmelidir. Ayrıca bu olay, Türkiye’deki yerli bulut sağlayıcılarının pazardaki konumunu güçlendirebilir.