Laçin Yalçınkaya*
18 Nisan 2020 tarihinde kullanıma sunulan Hayat Konuta Sığar (HES) uygulaması bir yıldır hayatlarımızda. Bu birlikteliğin şimdi birinci günlerinde, Gazete Duvar muharrirlerinden Mahmut Tezcan ve Murat Alan, BBC Türkçe’den Çağıl Kasapoğlu üzere isimler HES uygulamasının şahsî bilgilerin kapalılığı konusunda yaratabileceği mümkün tehlikeleri okurlarına aktarmıştı. Türkiye’nin ağır gündeminde kendine yer bulamasa da geçtiğimiz aralık ayında Ohio State Üniversitesi’nden bir küme araştırmacı HES uygulaması kullanıcılarının aygıt tanımlama bilgilerinin yakındaki öbür cihazlarca açığa çıkartılabileceğini, bu yolla makul bir aygıtın takip edilmesinin mümkün olduğunu göstermişti [1]. Bilişim alanında çalışan kimi hukukçular HES uygulamasının aydınlatma metninin Ferdî Dataların Korunması Kanunu’nda belirtilen kıstasları karşılamadığını lisana getirmiş [2]; ortalarından kimileri bu durumu, ‘çözüme kavuşturulması gereken sıhhat krizinden doğan aceleye’ dayandırmıştı [3]. Ne var ki ortadan geçen bir yılda aydınlatma metninde, toplanan dataların “pandemi ile gayret müddetiyle sonlu olmak üzere” işleneceği tabirinin eklenmesi dışında bir değişiklik yapılmadı. Bu bahse geri döneceğiz, öncesinde geçen bir yılı biraz daha hatırlayalım.
Uygulamanın birinci günlerinden itibaren dijital güvenlik uzmanları, HES uygulaması aracılığıyla toplanan dataların temas takibi gerçekleştirmek için kâfi olacak bilgi ölçüsünün çok üzerinde olduğunu savunmuştu. Yaklaşan sorunu erken tespit eden, ortalarında Türkiye’den Alternatif Bilişim Derneği’nin de yer aldığı, dünyanın birçok ülkesinden yüzün üzerinde sivil toplum örgütü 2 Nisan 2020 tarihinde ortak bir bildiri yayınlamıştı [4]. Sekiz ana unsurdan oluşan bildiride kısaca şirketler ve devletler, temas takip uygulamaları üzere dijital teknolojiler geliştirirken sıhhat hakkı ve mahremiyet hakkı üzere insan haklarına saygılı olmaya davet ediliyordu.
Öte yandan tesiri kanıtlanmış bir ilacın ya da aşının yokluğunda, Covid-19 krizi karşısında devletlerin elindeki araçlar zarurî izolasyon, okulların ve iş yerlerinin kapatılması, maske-mesafe-temizlik üçlüsü ve HES gibisi temas takip uygulamalarından oluşuyordu. Singapur Hükümeti, Dünya Sıhhat Örgütü’nün Covid-19 krizini pandemi ilan etmesinden sadece 9 gün sonra, 20 Mart 2020 tarihinde vatandaşlarına bir temas takip uygulaması sunarak bu alanda birinci oldu. Bugünse dünya genelinde 70’in üzerinde ülkede, 120’den fazla temas takip uygulamasının kullanımda olduğunu biliyoruz. Bu uygulamaların hepsinin maksadı tıpkı olsa da çalışma prensipleri ve kullanıcılarından topladıkları datalar ortasında büyük farklılıklar var.
Alandaki uzmanların ezici çoğunluğu insan haklarına saygılı bir temas takip uygulamasının öncelikle “açık kaynak kodlu” olmasını, yani nasıl çalıştığını ve topladığı bilgileri nasıl kullandığını kamuoyuyla açık formda paylaşmasını savunuyor. Bununla birlikte uygulamanın merkezi olmayan bir yapıda olması, yani topladığı bilgileri tek bir merkezde depolamak yerine kullanıcıların kendi aygıtlarında saklayarak çalışması öneriliyor. Sebebi açık: Merkezi data tabanına gerçekleştirilebilecek bir siber hücum sonucu milyonlarca kullanıcının ferdî bilgilerinin sızdırılmasının önüne geçmek. Bir öbür teklif ise temas takibinde GPS tabanlı pozisyon servisleri yerine yalnızca Bluetooth teknolojisinin kullanılması: Bluetooth servisi açık iki aygıt birbirine gereğince yakınlaştığında, birbirlerini tanımak için ortalarında küçük birer data paketi takas eder. Bu paketler birbirine yakınlaşan aygıtlarda saklanır. Böylece aygıtınızda, gün içinde yakınlaştığınız öteki aygıtların sahiplerinin bir listesi tutulmuş olur; lakin bu yakınlaşmanın hangi mahallenin hangi sokağında gerçekleştiğinin kaydı tutulmaz. GPS teknolojisi ise hangi kullanıcılarla yakınlaştığınızın yanı sıra bu yakınlaşmanın nerede gerçekleştiğinin ve gün boyunca attığınız her adımın kaydını fiyat. Sonuç olarak iyi tasarlanmış bir uygulamanın temas takibi yapabilmesi için Bluetooth tek başına kâfi ve mahremiyetinize saygılı bir teknolojidir. Ayrıyeten internet kullanmaz ve daha az pil tüketir.
Bu çerçevede, 2020 yılının aralık ayında Prof. Dr. Cem Sefa Sütcü ile birlikte HES uygulamasını dünyadaki çeşitli temas takip uygulamalarıyla kıyasladık ve aşağıdaki tablo ortaya çıktı.
HES UYGULAMASI VE YURTTAŞLARDA UYANDIRDIĞI TELAŞLAR
HES uygulamasının tablo üzerindeki yalnızlığı, alandaki uzmanların telaş bildiren açıklamaları ile Twitter’da sıklıkla trending topic olan, HES uygulamasının kaldırılmasına ve HES kodunun iptal edilmesine yönelik hashtag’ler bir ortaya gelince; yurttaşların uygulamayla ilgili telaşlarını keşfetmeye yönelik bir araştırma gerçekleştirmeye karar verdik. Farklı yaş kümelerinden, cinsiyetlerden, mesleklerden ve gelir kümelerinden, büyük kısmı üniversite eğitimi almış ya da almakta olan toplam 457 iştirakçiyle uyguladığımız bir çevrimiçi anket tasarladık. Anket sorularını üstte kelamı edilen, memleketler arası sivil toplum örgütlerince imzalanan bildirinin içeriğinden hareketle şekillendirdik.
Araştırmamızın sonuçları, Türkiye’de yükseköğretimle tanışmış her 10 şahıstan yalnızca 3’ünün HES uygulamasına çeşitli düzeylerde inanç duyduğunu gösterdi. Kalan 7 kişi ise cinsiyetlerinden, mesleklerinden, gelir düzeylerinden bağımsız biçimde HES uygulamasına karşı telaş besliyor; bu tasanın düzeyi yaşla birlikte artıyor. Sonuçlara nazaran bireylerin HES uygulamasıyla ilgili telaşlarının ötesinde, daha baskın bir tasaları var: Pandeminin, devletin teknoloji aracılığıyla gerçekleştirebileceği süresiz nezaret için bir mazeret olarak kullanılması. Bu hususta kaygı taşımadığını belirten bireylerin oranı yüzde 18. Buna ek olarak, iştirakçilerin yarısından fazlası HES uygulamasının aygıtlarındaki şahsî datalarına kendi istekleri olmaksızın erişebildiğini düşünüyor.
Sıra geri döneceğimiz kısma geldi: Araştırmamıza katılan her yüz bireyden sırf 9’u HES uygulamasının aydınlatma metnine eklenen, bilgilerin “pandemi ile uğraş müddetiyle hudutlu olmak üzere” işleneceği tabirine inanıyor. Bu itimat sorunu, uygulamaya verilen yetkilerde belirginleşiyor: İştirakçilerin yarıdan fazlası HES uygulamasının Bluetooth erişim isteğini, çeyreği ise GPS tabanlı pozisyon datalarına erişme talebini reddettiğini belirtti. Uygulama bu yetkilere sahip olmadığında temas takibi gerçekleştirmesi teknik olarak mümkün olmuyor, hasebiyle en kıymetli vazifesini yerine getiremiyor. Böylelikle uygulamanın kamu sıhhatine hizmet etme amacı, uygulama geliştiriciye duyulan güvensizliğin kurbanı oluyor. Bu güvensizlik büyük oranda şeffaflık eksikliğiyle açıklanabilir: Her 5 iştirakçiden 4’ü, uygulamayla paylaştıkları bilgilerin hangi maksatlarla toplandığının ve ne biçimde kullanılacağının kendileriyle gereğince açık halde paylaşılmadığını düşünüyor. HES uygulaması deneyiminden sonra, gelecekte ortaya çıkabilecek yeni bir pandemide devletin sunacağı yeni temas takip uygulamasını hiçbir telaş duymadan kullanabileceğini tabir eden iştirakçilerin oranı ise yüzde 6 düzeyinde kaldı.
Pekala lakin devlet şahsî bilgilerimize zati sahip değil mi? HES uygulaması ile paylaşmanın ne sakıncası olabilir?
HES uygulamasıyla paylaştığınız bilgiler doğum tarihiniz ya da cep telefonu numaranız üzere halihazırda devletle paylaştığınız bilgilerin ötesinde, ferdî sıhhat bilgilerinizi ve tercihiniz doğrultusunda anlık pozisyon datalarınızı de içeriyor. Bu mevzu sıklıkla dar bir pencereden, “devlet beni neden gözetlesin?” sorusu etrafında bedellendiriliyor. Bu soru bilhassa geçtiğimiz yüzyılda tekraren, ayrıntılı formda yanıtlandı [5]. Bu yüzden bu defa bakış açımızı değiştirelim ve mevzuyu Ohio State Üniversitesi’nden Haohuang Wen ve arkadaşlarının çalışması üzerinden ele alalım. Dünyadan 41 temas takip uygulamasının incelendiği araştırma sonuçları, HES kullanıcılarının aygıtlarının Bluetooth tanımlama bilgilerinin açığa çıkartılabildiğini, daha da kıymetlisi bu bilgilerin sabit olduğunu göstermişti. Yani aygıtınızın Bluetooth servisi açıkken etraftaki başka aygıtlarla paylaştığı bir kod vardı ve bu kod hiç değişmediği için, aygıtın size ilişkin olduğunu bilen biri özel kodunuz üzerinden sizi takip edebilirdi. HES uygulaması, çalışma kapsamında incelenen 41 uygulama ortasında bu güvenlik açığına sahip 2 uygulamadan biriydi. Kelam konusu güvenlik açığının önüne geçmek için HES uygulamasının, dünyadaki pek çok örnekte gördüğümüz üzere, Bluetooth tanımlama bilgilerini saatte birkaç sefer yenileyecek biçimde güncellenmesi gerekiyordu. Wen ve arkadaşlarıyla yakın vakitte irtibata geçtiğimde bu güvenlik açığını yetkililere HES uygulamasının bağlantı adresleri aracılığıyla ilettiklerini, lakin karşılık alamadıklarını tabir ettiler. Uygulamanın daha aktüel versiyonlarında bu açığın giderilip giderilmediğini bilmiyoruz.
Üstelik bu güvenlik açığı mümkün makûs senaryolardan sadece biri. Biraz durup HES uygulamasıyla paylaşılan dataları korumakla yükümlü kişi ve kurumların bir biçimde, milyonlarca vatandaşın datalarının sızmasına sebep olduğunu düşünelim. Bu durum şaşırtan olmaktan uzak olurdu, zira örneklerine daha evvel tekraren şahit olduk. Yalnızca geçtiğimiz ay toplumsal medya devi Facebook yüz milyonlarca, Yemeksepeti ise on milyonlarca kullanıcısının ismi, soyadı, adresi, telefon numarası, doğum tarihi üzere ferdî bilgilerini sızdırdı. Artık de emsal biçimde HES uygulamasının merkezi bilgi tabanından bir sızıntı gerçekleştiğini düşünelim ve bu bilgilerin, örneğin iş aramak için kullandığınız dijital platformların eline geçtiğini varsayalım. Bir ilana başvurduğunuzda, müracaat yaptığınız şirketin ne vakit uyuyup ne vakit uyandığınızı bilmesini ister miydiniz? Zira bir sızıntı olursa, sızan datalarınız ortasında aygıtınızın hareketlerini kaydeden sensör bilgileri de yer alacak. Şayet aygıtınız istikrarlı biçimde sabahları saat 11’den evvel yerinden oynamıyorsa bu durum, bilginizi elinde bulunduranlara uyanış saatinizle ilgili iyi bir fikir verecektir. Dijital dataların çağdaş dünyada ne kadar değerli bir hammadde olduğunu bir sefer kavradığımızda, bu tıp olumsuz senaryoların nerelere uzanabileceğini hayal etmek güç değil.
Her şeye karşın bugün, dijital teknolojilerin sunduğu imkanlardan bütünüyle uzak durmak da onları şartsız kabul etmek kadar problemli bir yaklaşım. Bu sebeple, HES uygulamasının birinci yaş günü için kaleme aldığım bu yazıyı yeni yaşı için birtakım temennilerde bulunarak sonlandıracağım. Dilerim uygulama bir an evvel, alandaki uzmanların tavsiyeleri göz önünde bulundurularak şeffaflığın, denetlenebilirliğin ve ferdî bilgi güvenliğinin öncelendiği bir yapıda tekrar organize edilir. Hadise sayılarının daima rekor tazelediği, iktisadın yakın periyodun en kırılgan vakitlerini geçirdiği bugünlerde HES uygulaması, tam kapanma üzere tedbirlerin toplumsal ve ekonomik sonuçlarına katlanmaksızın krizden çıkabilmeye yardımcı olabilecek, umut vadeden bir araç. Potansiyelini ortaya koyabilmesi ise yurttaşların uygulamayı telaşla değil, itimatla kullanabilmelerine bağlı.
* Araştırmacı – @lacinyalcinkaya
[1] Haohuang Wen, Qingchuan Zhao, Zhiqiang Lin, Dong Xuan, Ness Shroff (12 Aralık 2020). A Study of the Privacy of COVID-19 Contact Tracing Apps.
[2] Ahmet Demirci (18 Nisan 2020). “Sağlık Bakanlığının hazırlamış olduğu Hayat Konuta Sığar isimli uygulama ağır ferdî data toplamakta, aydınlatma metni ekte görüldüğü üzere KVKK’nun istediği kriterlerden mahrum, ayrıyeten açıkça data işlenmesine dair istek almadan, ferdî bilgi işlemektedir.” [Tweet].
[3] Sinan Sami Akkurt (28 Haziran 2020). Şahsî sıhhat bilgilerinin işlenmesine ve COVID-19 pandemisi sürecinde taşınabilir uygulamalarla paylaşılmasına türel bir bakış.
[4] Faruk Çayır (12 Ekim 2020). COVID-19 ile uğraşta dijital hak ve özgürlüklere hürmet.
[5] Mevzuya ilgi duyan okuyucular nezaret tartışmalarının geniş bir özetini şurada bulabilirler.
Gazete Duvar