Yanıltıcı araçlar kullanarak kişilerin özel bilgilerini veya şifrelerini elde etme yöntemine phishing denir. Bu yöntem genellikle kötü niyetli kişiler tarafından kişilerin bankaların web sitelerine girmek için kullandıkları kullanıcı adı ve şifrelerini elde etmek için kullanılır.
Bilgi Teknolojileri ve İletişim Kurumu'nun (BTK) kendi çalışanlarının dikkatlerini ölçmek amacıyla phishing yöntemi kullandığı açıklandı. Açıklamayı BTK Başkanı Dr. Ömer Fatih Sayan, Kamu Bilişimcileri Derneği tarafından 6-7 Nisan tarihlerinde Ankara'da düzenlenen Kamu Siber Güvenlik Zirvesi'deki konuşmasında yaptı. Sayan phishing yönteminin tehlikelerine dikkat çektikten sonra, bir ay kadar önce kendisinin phishing yöntemi karşısında kurum çalışanlarının davranışının öğrenilmesi amacıyla tatbikat yapılmasını istediğini söyledi. Yapılan tatbikatta kurumdan mail gönderilmiş gibi sahte bir mail gönderilerek kurum sitesine girilmesinin istendiği aktardı. Bu durumu fark etmeyen çok az sayıda kişinin bilgi girişi yaptığını belirtti. Bu kadar az kişinin olmasından duyduğu memnuniyeti dile getirdi.
Şifreler kişilerin kişisel verisidir. Bir çok kişinin aynı şifreyi birden fazla sisteme girişte kullandığını düşünürsek şifrelerin kabul eden sistemlerde de şifrelenmiş haliyle saklanması ve hiç kimse tarafından okunamaması gerekir. Aksi takdirde bir kişinin elde edilen şifresi ile o kişinin kullandığı diğer web sitelerine giriş sağlanabilir. Ayrıca şifre tek başına da özel bir bilgi olabilir. Alışkanlık gereği unutmamak için şifreler önemli olan bilgilerden oluşur. Bu durumda şifrelerin elde edilmesi doğrudan kişisel verinin elde edilmesi olarak değerlendirilmelidir.
BTK'nın kendi çalışanları üzerinde yaptığı bu tatbikat için çalışanlarından izin alıp almadığı bilinmiyor. İzin alınmış olsa kişilerin dikkatli olacağını ve giriş yapmayacakları düşünüldüğünde izin alınmamış gibi görünüyor. Bu durumun hukuki bazı sorunları da beraberinde getireceği açıktır. Şirketler ve kurumlar çalışanları üzerinde kişisel verilerini riske atan tatbikatlar ya da çalışmalar yapamazlar. Kişisel Verilerin Korunması Kanunu veri sorumlularına kişisel verilerin güvenliği için sorumluluklar yüklemekte ve bu tür çalışmalara izin veren bir hüküm içermemektedir.
Şirket ve kurumların kendi çalışanlarının kişisel verilerini ortaya çıkartacak tatbikat ve benzeri tutum ve davranışları suç oluşturabilecek eylemlerdir. BTK gibi bir kurumun dahi çalışanların kişisel verilerinin korunmasına göstermesi gereken hassasiyetten uzak olması üzüntü vericidir.