I. GİRİŞ
IoT, fiziksel nesnelerin sensörler, yazılımlar ve diğer teknolojilerle donatılarak, insan müdahalesine gerek duymadan birbirleriyle, diğer sistemlerle ve internetle bağlantı kurarak veri alışverişi yaptığı dinamik bir küresel ağ yapısıdır. Hukuki açıdan bakıldığında bu kavram, eşyanın klasik anlamdaki pasif rolünden sıyrılarak, veri üreten, işleyen ve hatta belirli algoritmalar çerçevesinde karar veren aktif birer ajan haline gelmesini temsil eder. Günümüzde buzdolaplarından termostatlara, güvenlik kameralarından aydınlatma sistemlerine, bebek monitörlerinden akıllı prizlere kadar evimizdeki pek çok cihaz internete bağlanabilir ve uzaktan yönetilebilir hale gelmiştir. Bu dönüşümün temel amacı, sadece cihazları internete bağlamak değil, bu bağlantı üzerinden veriler üreterek insan hayatını kolaylaştırmak, enerji verimliliği sağlamak ve zaman tasarrufu yaratarak yaşam kalitesini yükseltmektir.
Akıllı ev sistemleri, kullanıcılara sunduğu konfor ve denetim imkânıyla modern yaşamın vazgeçilmez bir parçası haline gelmiştir. Örneğin, bir kullanıcının evine varmadan coğrafi konum verisini kullanarak ısıtma sistemini çalıştırabilmesi, tatildeyken güvenlik kamerasını kontrol ederek evinin durumunu izleyebilmesi veya buzdolabının azalan ürünleri otomatik olarak sipariş verebilmesi IoT teknolojisinin sağladığı somut ve ölçülebilir faydalardır. Bu sistemler, sadece konfor odaklı değil, aynı zamanda sosyal fayda odaklıdır; engelli veya yaşlı bireylerin bakımında proaktif çözümler sunarak, onların daha bağımsız bir yaşam sürmelerine olanak tanır. Düşme algılayan sensörler veya ilaç saatini hatırlatan asistanlar, teknolojinin insani boyutunu güçlendirmektedir. Bu teknolojiler, mülkiyet hakkının kullanımını kolaylaştıran, kaynakların verimli kullanılmasını teşvik eden ve bireyin yaşam alanındaki hakimiyetini artıran inovasyonlar olarak desteklenmektedir.
Ancak bu avantajlar, madalyonun sadece bir yüzüdür; diğer yüzünde ise cihazların sürekli, kesintisiz ve çoğu zaman kullanıcının farkındalığı dışında veri toplaması ve bu verileri dış dünyaya aktarması gerçeği yatmaktadır. Ev gibi mahremiyet beklentisinin en yüksek olduğu, anayasal koruma altındaki bir alanın dijitalleşmesi ve dış dünyaya açılması, hukuki koruma kalkanlarının da aynı hızla ve etkinlikte bu alana entegre edilmesini zorunlu kılmaktadır.
Bu bilgi notunun amacı; akıllı evlerdeki IoT teknolojisi kaynaklı veri ihlallerini hukuki ve teknik açıdan incelemek, ilgili mevzuat hükümleri, teknik zafiyet analizleri ve güncel sorunlar ışığında siber güvenlik risklerini değerlendirmek ve uluslararası uygulamalarla karşılaştırmalı bir değerlendirme sunmaktır.
II. IOT’NİN DEZAVANTAJLARI VE VERİ İHLALİ RİSKLERİ
IoT teknolojisinin sağladığı konforun gölgesinde, ciddi güvenlik zafiyetleri, mahremiyet erozyonu ve veri ihlali riskleri yatmaktadır. Hukuki perspektiften bakıldığında en temel ve yapısal dezavantaj, bu cihazların üretim ve tasarım aşamasında güvenliğin (security by design) ve gizliliğin (privacy by design) değil, işlevselliğin, pazara hızlı girişin ve maliyetin ön planda tutulmasıdır. Akıllı ev cihazları, kullanıcının yaşam alışkanlıklarını, evde bulunma saatlerini, uyku düzenini, ses ve görüntü kayıtlarını, hatta tüketim tercihlerini sürekli olarak işlemektedir. Bu durum, evin duvarlarının dijital anlamda şeffaflaşmasına ve evin bir veri fabrikasına dönüşmesine neden olmaktadır. Gerekli siber güvenlik tedbirleri alınmadığında, bu cihazlar kötü niyetli üçüncü kişiler için evin içine açılan, kilidi olmayan birer arka kapı niteliği taşımaktadır.
Riskler sadece cihazın teknik olarak bozulması veya çalışmamasıyla sınırlı değildir. Bu durum tüketici hukuku kapsamında ayıplı mal veya hizmet olarak değerlendirilebilir. Ancak IoT dünyasında asıl ve telafisi güç olan tehlike, cihazların topladığı kişisel verilerin yetkisiz kişilerin eline geçmesi veya amacı dışında kullanılmasıdır. Bir akıllı süpürgenin evin detaylı haritasını çıkarması ve bu veriyi üreticinin sunucularına göndermesi, bir akıllı televizyonun ortam dinlemesi yaparak reklam profillemesi oluşturması, klasik anlamda konut dokunulmazlığının ihlali ve haberleşmenin gizliliğini ihlal kavramlarını dijital boyuta taşımaktadır. Türk hukukunda verilerin hukuka aykırı olarak ele geçirilmesi ve yayılması 5237 sayılı Türk Ceza Kanunu (“TCK”) kapsamında suç teşkil etse de IoT dünyasında bu ihlaller genellikle görünmez nitelikte olduğundan kullanıcı farkına varmadan, uzun süre devam edebilmektedir.
Teknik zafiyetlerin hukuki sorumluluk doğurduğu noktalardan biri, varsayılan şifrelerdir. Üreticilerin cihazlara koyduğu “admin/admin” veya “1234” gibi tahmin edilmesi son derece kolay şifreler, kullanıcıların teknik bilgi eksikliği veya ihmaliyle birleştiğinde, siber saldırganların ev ağına sızmasını çocuk oyuncağına çevirmektedir. Bu durum, kişisel verilerin korunması hukukundaki veri güvenliğini sağlama yükümlülüğünün (özen yükümlülüğü) hem üretici hem de kullanıcı açısından ne denli kritik olduğunu göstermektedir. Bir cihazın siber saldırılar sonucu ele geçirilmesi, domino etkisi yaratarak sadece o cihazın verisini değil, aynı ağa bağlı bilgisayarlardaki bankacılık bilgilerini, özel dosyaları veya diğer akıllı cihazları da tehdit etmektedir. Öğretide, bu tür bir zafiyetin üretici tarafından öngörülmesi gerektiği ve gerekli tedbirlerin - örneğin ilk kurulumda şifre değişikliğinin zorunlu tutulması - alınmamasının bir hizmet kusuru olduğu tartışılmaktadır.
III. somut olaylar kapsamında başkaca düzenlemeler
Teorik risklerin somutlaştığı ve hukuki sorumluluk tartışmalarına zemin hazırlayan çarpıcı bir örnek olarak, Kandır ve arkadaşlarının 2022 yılında gerçekleştirdiği teknik çalışma incelenebilir1. Bu çalışmada, piyasada yaygın olarak bulunan ve tüketiciler tarafından güvenli kabul edilen bir akıllı televizyon ve bir modem üzerinde sızma testleri ve güvenlik analizleri yapılmıştır. Araştırmacılar, bu cihazların internete ve yerel ağa bağlanmasını sağlayan bazı iletişim protokollerinin (özellikle UPnP - Evrensel Tak ve Çalıştır), fabrika çıkışlı olarak herhangi bir kimlik doğrulama mekanizması olmaksızın açık ve korumasız bırakıldığını tespit etmişlerdir.
Araştırmacılar, cihazlarla herhangi bir fiziksel temas kurmadan, kablo bağlamadan, sadece kablosuz ağ üzerinden bu cihazların güvenlik duvarlarını aşmayı ve yönetici haklarına erişmeyi başarmışlardır. Öyle ki, televizyondaki yayını uzaktan değiştirerek kendi bilgisayarlarındaki bir videoyu televizyon ekranına yansıtabilmişlerdir. TCK bağlamında bu fiil, bilişim sistemine girme (m. 243) ve sistemi engelleme, bozma, verileri yok etme veya değiştirme (m. 244) suçlarının maddi unsurlarını barındırmaktadır. Ancak bu olayda risk boyutunu artıran ve özel hayatın gizliliğini doğrudan tehdit eden asıl unsur; bir saldırgan tarafından bu yöntemle ele geçirilen cihaz üzerindeki mikrofon veya kameranın da aktif hale getirilebileceği gerçeğidir.
Somut olayın, kullanıcının evine aldığı, parasını ödediği ve güvenli olduğunu varsaydığı kurumsal bir markaya ait cihazın bile, gerekli yazılım güncellemeleri, güvenlik yamaları ve doğru konfigürasyon ayarları yapılmadığında nasıl bir casusluk ve gözetleme aracına dönüşebileceğini kanıtlamaktadır. Burada, 6098 sayılı Türk Borçlar Kanunu ve 6502 sayılı Tüketicinin Korunması Hakkında Kanun anlamında ayıplı mal kavramının ötesinde, tasarımdan kaynaklı, gizli ve tehlikeli bir güvenlik kusuru söz konusudur. Üreticinin, cihazın bu kadar kolay manipüle edilebileceğini öngörmesi ve UPnP protokolünü daha güvenli bir yapıda sunması gerekmektedir. Olası bir ihmalin, yaşanabilecek bir veri sızıntısında üreticinin hukuki ve cezai sorumluluğunu doğuracak nitelikte olduğu kabul edilmelidir.
IV. HUKUKİ ÇERÇEVE VE VERİ İHLALLERİNE YÖNELİK DÜZENLEMELER
Akıllı evlerde yaşanan bu ihlaller ve güvenlik açıklarına yönelik düzenlemeler, teknolojinin sınır tanımaz ve küresel doğası gereği uluslararası, bölgesel ve ulusal düzeyde çok katmanlı bir yapıda şekillenmektedir.Dünya genelinde veri koruma standartlarını belirleyen düzenleme, Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”)’dür. GDPR, IoT cihazlarına yönelik maddeler halinde spesifik bir düzenleme içermese de getirdiği genel ilkelerle bu alanı disipline etmekte ve üreticileri dolaylı olarak zorlamaktadır. Bunların başında tasarımdan itibaren gizlilik ve varsayılan olarak gizlilik ilkeleri gelir. Bu ilkeler, bir cihaz üretilirken, daha mühendislik ve tasarım aşamasında kişisel verilerin korunması tedbirlerinin teknik yapıya entegre edilmesini ve cihazın kutudan çıktığı anda en kısıtlı veri paylaşım ayarlarıyla çalışmasını zorunlu kılar. Yani güvenlik ve gizlilik, sonradan eklenen bir özellik değil, ürünün ayrılmaz bir parçası olmalıdır.
Ayrıca Avrupa Birliği’ndeki 29. Madde Çalışma Grubu (“WP29”), yayınladığı görüş ve raporlarla cihaz üreticilerini, bu cihazlarla entegre çalışan mobil uygulama geliştiricilerini ve verilerin toplandığı sosyal platformları veri sorumlusu olarak nitelendirmekte ve kullanıcıların açık rızasının alınmasını şart koşmaktadır.
Amerika Birleşik Devletleri’nde ise Kaliforniya Tüketici Gizliliği Yasası (“CCPA”), daha somut teknik adımlar atarak üreticilere IoT cihazlarına makul güvenlik özellikleri ekleme ve her cihaza fabrikada atanmış (basit şifre yerine) benzersiz bir şifre koyma zorunluluğu getirmiştir. Bu zorunluluk, “admin/admin” döneminin kapanması anlamına gelmektedir.
Türkiye’de ise temel yasal dayanak, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili ikincil düzenlemelerdir. IoT cihazlarının topladığı veriler (IP adresi, mac adresi, konum, ses, görüntü, kullanım alışkanlıkları) Kanun kapsamında tartışmasız bir şekilde kişisel veri olarak kabul edilmektedir. KVKK’nın 12. maddesi, veri sorumlusuna (bu bağlamda veri işleme amaç ve araçlarını belirleyen cihaz üreticisi veya hizmet sağlayıcıya) verilerin hukuka aykırı işlenmesini önleme, verilere hukuka aykırı erişimi engelleme ve verilerin muhafazasını sağlama konusunda mutlak bir özen yükümlülüğü getirmektedir. Bu yükümlülük, teknik ve idari tedbirlerin tamamını kapsamaktadır.Ancak Türkiye’deki mevzuat, henüz doğrudan IoT cihazlarının güvenliğini, üretim standartlarını veya siber güvenlik sertifikasyonunu belirleyen spesifik ve bağlayıcı bir yönetmelik içermemektedir. Bilgi Teknolojileri ve İletişim Kurumu’nun stratejik planlarında ve siber güvenlik eylem planlarında IoT güvenliğine değinilse de akıllı ev cihazlarına yönelik cezai yaptırım içeren özel bir düzenleme eksikliği, uygulamada belirsizliklere yol açmaktadır. Mevcut durumda ihlaller, genel hükümler, Kişisel Verileri Koruma Kurulu’nun ilke kararları ve TCK’nın bilişim suçları başlığı altındaki maddeleri çerçevesinde çözümlenmeye çalışılmaktadır. Bu da önleyici hukuktan ziyade, olay olduktan sonra devreye giren cezalandırıcı bir mekanizmanın işlediğini göstermektedir.
V. GÜNCEL SORUNLAR VE EMSAL DURUMLAR
Hukuki düzenlemelerin varlığına rağmen, uygulamada karşılaşılan sorunlar, teknik yetersizlikler ve emsal niteliğindeki olaylar, riskin büyüklüğünü ve hukuki korumanın yetersiz kaldığı alanları ortaya koymaktadır.Dünya genelinde ve özellikle ABD’de yaşanan ve büyük yankı uyandıran Ring kamera vakaları, konunun ciddiyetini gözler önüne sermektedir. Bilgisayar korsanlarının, internete bağlı bebek monitörlerine ve ev içi güvenlik kameralarına sızarak çocuklarla sesli iletişim kurdukları, onları korkuttukları veya ebeveynleri yatak odalarında izledikleri olaylar kayıtlara geçmiştir. Hukuki açıdan bu durum, sadece bir veri ihlali veya yetkisiz erişim değil, aynı zamanda taciz, şantaj ve özel hayatın en mahrem alanına yapılan ağır bir saldırı niteliğindedir. Bu olaylarda temel sorunun, kullanıcıların cihazları varsayılan şifrelerle kullanmaya devam etmesi, ancak üreticilerin de iki aşamalı doğrulama (2FA) gibi güvenlik önlemlerini zorunlu tutmayarak bu zafiyete zemin hazırlaması olduğu görülmüştür. Bu durum, üreticinin ürün sorumluluğu kapsamında değerlendirilip değerlendirilemeyeceği tartışmalarını getirmektedir.
Bir diğer hukuki ve etik tartışma konusu, akıllı robot süpürgelerin sensörleri ve kameraları aracılığıyla evin detaylı haritasını çıkarması, eşyaların yerini belirlemesi ve bu verileri üretici firmanın bulut sunucularına göndermesidir. Bu veriler, evin büyüklüğü, eşya düzeni, evde yaşayan kişi sayısı ve hatta evdeki yaşam standardı hakkında derinlemesine ve ticari değeri yüksek bilgiler vermektedir. Bu verilerin anonimleştirilmeden üçüncü taraflara (örneğin reklam şirketleri, mobilya satıcıları, sigorta firmaları) satılması veya aktarılması bir risk teşkil etmektedir. Kullanıcılar genellikle kurulum aşamasında önlerine gelen uzun, karmaşık ve küçük puntolu aydınlatma metinlerini okumadan onayladıkları için, evin planını paylaşmaya rıza gösterdiklerinin farkında bile değildirler. Bu durum, KVKK’daki açık rıza kavramının, IoT dünyasında ne kadar işlevsel ve gerçekçi olduğu sorusunu akıllara getirmektedir. Rızanın, özgür iradeyle, belirli bir konuya ilişkin ve bilgilendirmeye dayanarak verilmiş olması şartı, teknik detaylara boğulmuş dijital sözleşmelerde çoğu zaman şekli bir onaya dönüşmektedir.
Bir diğer önemli sorun, IoT cihazlarının donanım ömürleri ile yazılım destek süreleri arasındaki uyumsuzluktur. Bir buzdolabı veya çamaşır makinesi 10-15 yıl kullanılabilirken, üreticiler bu cihazların akıllı özelliklerine yönelik güvenlik güncellemelerini 2-3 yıl içinde kesmektedir. Güncelleme almayan cihazlar, bilinen güvenlik açıklarına karşı savunmasız hale gelmekte ve ev ağında birer “zombi cihaz” olarak kalmaktadır. Hukuki açıdan, üreticinin cihazın beklenen ömrü boyunca güvenlik yamalarını sağlama yükümlülüğü olup olmadığı, tüketicinin korunması mevzuatı kapsamında yeni bir tartışma alanıdır.
VI. SONUÇ
Akıllı ev teknolojileri ve IoT, geri döndürülemez bir teknolojik dönüşüm olarak modern yaşamın merkezine yerleşmiştir. Ancak bu dönüşüm, evimizin kapılarını sadece misafirlere değil, aynı zamanda siber tehditlere, veri avcılarına ve gözetleme kapitalizminin aktörlerine de açmaktadır. Yapılan teknik incelemeler, akademik çalışmalar ve somut olaylar açıkça göstermektedir ki, bu ekosistemdeki en zayıf halka genellikle alınmayan basit güvenlik tedbirleri ve hukuki belirsizliklerdir. Bir akıllı cihazın güvenliğinin ihlal edilmesi, sadece o cihazın işlevini yitirmesiyle değil, tüm özel hayatın ifşa edilmesiyle, finansal kayıplarla ve manevi zararlarla sonuçlanabilmektedir.
Hukuki değerlendirme neticesinde, sorumluluğun sadece son kullanıcıya/tüketiciye yüklenmesi, hakkaniyet ilkesiyle bağdaşmamaktadır. Veri sorumlusu sıfatını taşıyan, veriden ekonomik değer elde eden üreticilerin, tasarımdan itibaren gizlilik ilkesini yasal ve etik bir zorunluluk olarak görmeleri gerekmektedir. Türkiye’de de KVKK’nın genel koruma şemsiyesinin altına, IoT cihazlarına özgü, teknik standartları (şifreleme, kimlik doğrulama, güncelleme garantisi) belirleyen ve üreticileri güvenlik zafiyetleri konusunda doğrudan sorumlu tutan spesifik, güncel ve caydırıcı düzenlemelerin eklenmesi de bu noktada önem taşımaktadır. Aksi takdirde, akıllı evler, kullanıcıları için konforlu bir sığınak olmaktan çıkıp sürekli gözetlendikleri, verilerinin pazarlandığı ve mahremiyetlerinin ihlal edildiği dijital birer panoptikona dönüşme riskiyle karşı karşıyadır. Geleceğin hukukunun, bağlanma hakkı ile bağlantıyı kesme hakkı, konfor ile mahremiyet arasındaki bu hassas dengeyi kurmak ve korumak üzerine yoğunlaşması gerekmektedir.
B. ANA ÇIKARIMLAR
(i) Akıllı ev teknolojileri, sundukları operasyonel kolaylık ve konforun karşılığında, mahremiyetin en yüksek olduğu yaşam alanı olan konutu sürekli bir veri toplama merkezine dönüştürmekte; bu durum, teknolojik fayda ile anayasal güvence altındaki özel hayatın gizliliği ve konut dokunulmazlığı hakları arasında temel bir çatışma yaratmaktadır.
(ii) Bilgi notu, IoT cihazlarındaki güvenlik zafiyetlerinin temel nedenini, üreticilerin ürün geliştirme süreçlerinde tasarımdan itibaren güvenlik (security by design) ve tasarımdan itibaren gizlilik (privacy by design) ilkeleri yerine işlevsellik, maliyet ve pazara hızlı çıkma gibi ticari önceliklere ağırlık vermesine bağlamaktadır.
(iii) Türkiye’deki mevcut hukuki çerçevenin genel nitelikte olduğu ve IoT cihazlarına özgü teknik standartları, asgari güvenlik gerekliliklerini (örneğin, zorunlu şifre güncellemesi, şifreleme protokolleri) ve üretici sorumluluklarını düzenleyen spesifik bir mevzuat boşluğunun bulunduğu tespit edilmektedir.
(iv) Hukuki sorumluluk, yalnızca son kullanıcıya yüklenemez; zira varsayılan ve kolay tahmin edilebilir şifreler gibi öngörülebilir risklere karşı önlem almayan üreticilerin, Borçlar Hukuku ve Tüketici Hukuku anlamında hizmet kusuru ve ürün sorumluluğu çerçevesinde mesuliyeti bulunmaktadır.
(v) IoT ekosisteminde açık rıza kavramının işlevselliği sorgulanmaktadır. Kullanıcıların, karmaşık ve uzun aydınlatma metinlerini anlamadan onaylaması, rızanın bilgilendirmeye dayalı ve özgür iradeyle verilmesi şartını zedelemekte ve robot süpürgelerin ev haritasını çıkarması gibi durumlarda rızanın geçerliliğini tartışmalı hale getirmektedir.
(vi) Cihazların uzun donanım ömrü ile üreticilerin sağladığı kısa süreli yazılım ve güvenlik güncelleme desteği arasındaki uyumsuzluk, zamanla bu cihazları siber saldırılara karşı savunmasız “zombi cihazlara” dönüştürerek ev ağları için kalıcı bir güvenlik riski oluşturmaktadır ki bu durum, üreticinin süreklilik arz eden bir güvenlik sağlama yükümlülüğü tartışmasını gündeme getirmektedir.
(vii) Akıllı cihazların (örneğin, akıllı TV, modem) uzaktan ele geçirilerek mikrofon ve kameralarının aktive edilebilmesi, geleneksel hukuki kavramları aşan yeni bir tehdit boyutu sunmaktadır. Bu durum, fiilin TCK kapsamında bilişim suçlarının yanı sıra özel hayatın gizliliğini ihlal, taciz ve şantaj gibi çok daha ağır suçlara zemin hazırladığını göstermektedir.
(viii) Bilgi notu, Avrupa Birliği’nin GDPR’ı ve ABD’nin CCPA’sı gibi uluslararası düzenlemeleri, Türkiye için birer emsal olarak sunmaktadır. Özellikle GDPR’ın getirdiği tasarımdan itibaren gizlilik ilkesi ve CCPA’nın zorunlu kıldığı benzersiz şifre uygulaması, proaktif ve önleyici hukuk mekanizmaları olarak öne çıkmaktadır.
(ix) Veri ihlali riski, sadece cihazın kendisiyle sınırlı kalmayıp, bir cihazın ele geçirilmesinin domino etkisi yaratarak aynı ağa bağlı diğer tüm cihazlardaki (bilgisayarlar, telefonlar) finansal bilgiler ve özel veriler için de ciddi bir tehdit oluşturduğu vurgulanmaktadır.
(x) Bilgi notu, etkili yasal düzenlemeler ve üretici sorumluluğu mekanizmaları oluşturulmadığı takdirde, akıllı evlerin konforlu yaşam alanları olmaktan çıkıp, kullanıcıların sürekli gözetlendiği, verilerinin pazarlandığı ve mahremiyetlerinin sistematik olarak ihlal edildiği dijital birer panoptikona dönüşme tehlikesi taşıdığı uyarısında bulunmaktadır.
