Bu çalışmada kamu kurumlarına ait web sitelerinin giriş sayfalarının, kişisel veriler bakımından genel durumu incelenmiştir. Çalışma aşağıdaki kapsam ve prensipler çerçevesinde hazırlanmıştır.
- Çalışmanın ilk versiyonu, sadece Bakanlık web sitelerini kapsamaktadır.
- Bu çalışmada, kişisel verilerin gizliliği ve güvenliği bakımından web sitelerini analiz etmek amacıyla oluşturulan açık kaynak kodlu bir araç kullanılmıştır. Araca ait kaynak kodlara GitHub sayfasından erişilebilir. Aracın çalışan şekline erişmek için lütfen buraya tıklayınız.
- Burada sunulan sayısal verilerin hesaplanma şekli ile bunun için kullanılan teknik yöntemlerin doğruluğu bakımından sorumluluk, tamamen söz konusu açık kaynak projeye aittir. Bu çalışmada, söz konusu proje verileri kullanılarak bir kıyaslama ve genel değerlendirme çalışması sunulmaktadır.
- Sunulan çubuk grafiklerde hangi çubuğun hangi Bakanlığa ait olduğu doğrudan ifşa edilmemiş olup her Bakanlık tüm çubuk grafiklerde (yatay eksende) aynı sıra numarası ile temsil edilmiştir.
- Sunulan grafiklere ilişkin veriler, söz konusu araç kullanılarak 07.04.2019 tarihinde sağlanmıştır.
Bu çalışma,"7 Nisan - Kişisel Verileri Koruma Günü" anısına ve farkındalık yaratmak amacıyla hazırlanmıştır
- Bu çalışma ile şu sorulara cevap aranmıştır:
- Bakanlık web sitesi giriş sayfasına erişilirken, güvenli iletişim teknolojileri arasında en başta gelen HTTPS standart olarak kullanılmakta mıdır? (HTTPS kullanılmayan web sitelerinden yapılan bilgi girişlerinin, özellikle herkese açık kablosuz internet erişim noktalarında çok kolayca izlenebildiği ve ele geçirilebildiği bilinmektedir)
- Bir ziyaretçi internet sitenize giriş yaptığı anda, bu ziyaretçinin nereden geldiğine dair bir takım bilgiler kayıt altına alınır, bu bilgiye referrer denir. "Referrer" bakımından söz konusu web sayfasında bilgi sızıntısına sebep olabilecek hatalı/eksik bir tanım/ayar var mıdır?
- Bir Bakanlık web sayfasını ziyaret ettiğinizde kaç tane çerez sizden bilgi toplar?
- Bu çerezlerin ne kadarı 3. taraflara aittir?
- Bakanlık web sayfasında 3. taraflara ait kodlar ile başka web sitelerine/sitelerinden ne kadar veri isteği yapılır?
- Bu veri istekleri ile 3. taraflar kaç farklı yabancı (yurtdışındaki) sunuyuca erişerek veri gönderir ya da alır?
- Bu veri istekleri ile 3. taraflar kaç farklı ülkedeki sunucuya erişir ?
- Çerezler vasıtasıyla en çok hangi ülkelerdeki sunucular ile veri alışverişi yapılmaktadır?
- Bu web sayfasına ziyaret ile, ABD'deki kaç farklı sunucu ile veri iletişimi yapılmaktadır?
ANALİZ SONUÇLARI
İncelenen web sitelerinin %70'inde güvenli protokol olan HTTPS'in standart olarak kullanıldığı görülmüştür.
İncelenen web sitelerinin %70'inde referrer bakımından veri sızıntısı riski bulunmaktadır. Mevcut sitelerin sadece %18'inde bu risk tamamen kaldırılmıştır.
Bakanlıkların giriş sayfalarında ağırlıklı olarak ortalama 5-8 adet çerez olduğu ve bu çerezlerle bilgi toplandığı görülmektedir.
Web sitelerinin yaklaşık %60'ında, bu çerezlerin sadece kuruma ait olduğu ve kurum tarafından bilgi toplandığı görülmektedir. Ancak sitelerin %30'unda 1-3 tane çerezin, üçüncü taraf yazılımlara ait olduğu dikkati çekmektedir.
Bakanlık Web sitelerinin giriş sayfasında yer alan 3. taraf yazılım kodlarına ait çerezler, sitelerin %60'ında, başka sunuculara 1-10 tane veri paylaşım isteği göndermektedir. Bu veriler ağırlıklı olarak, kullanıcıya ait kullanım verileri ve yarı tanımlayıcı dediğimiz (IP adresi, ziyaret zamanı, konum bilgisi ya da kullandığı tarayıcı gibi) kişisel verilerdir. 17 kurum web sitesinden bu şekilde yurtdışına yapılan toplam istek sayısının 499 olduğu görülmüştür. Bu istekler 5 farklı ülkede 96 farklı sunucuya yapılmaktadır.
Bakanlık Web sitelerinin giriş sayfasında yer alan 3. taraf yazılım kodlarına ait çerezlerin yaptığı veri alışveriş isteklerinin, sitelerin %47'sinde 1-3 farklı sunucuya, %30'unda ise 4-6 farklı sunucuya yapıldığı görülmüştür. Bakanlık web sitelerinin tamamının ana sayfalarından toplamda 96 tekil sunucuya veri alışveriş iletişimi olduğu görülmektedir.
Bakanlık Web sitelerinin giriş sayfasında yer alan 3. taraf yazılım kodlarına ait çerezlerin yaptığı veri alışveriş isteklerinin, genelde ABD, (%77) İngiltere (%8), Hollanda (%6), Fransa (%4) ve Lüksemburg'da (%1) konumlanmış sunuculara yapıldığı görülmektedir. Web sitelerinin %53'ünün 1 ülkedeki sunucu ile, %23'ünün ise 2 farklı ülkedeki sunucu ile veri iletişimi yaptığı görülmektedir.
3. taraf yazılım kodlarına ait çerezlerin en çok veri iletişiminde bulunduğu ülke bakımından, sitelerin %35'inin ABD'de 0-2 farklı sunucuya, %35'inin de ABD'de 3-4 farklı sunucuya eriştiği görülmektedir.
Bu çalışmanın ikinci bölümünde, analiz yapılan web sitelerinde kişisel veriler bakımından tespit edilen hususların hangi ihtiyaçlardan doğduğuna ilişkin bir analiz ve buna ilişkin yapılması gerekenler yer alacaktır.
İkinci bölüm, sadece Bilgilendirme Servisi Üyeleri'ne açık olacaktır.
Güncelleme Tarihi: 07.04.2019