Bilgisayar Mühendisleri Odası anlık mesajlaşma uygulamalarını karşılaştırdı

Facebook’a bağlı anlık iletileşme uygulaması WhatsApp’ın saklılık kontratını değiştirmesi ve kullanıcılarına 8 Şubat’a kadar müddet tanımasının akabinde oluşan yansılar sürerken Bilgisayar Mühendisleri Odası’ndan (BMO) hususa ait kıymetli bir açıklama geldi.

BMO açıklamasında, gündemdeki anlık iletileşme uygulamaları WhatsApp, Telegram ve Signal’in bilgi saklılığı siyasetleri ve kullandıkları teknolojiler konusunda merak edilenlere ışık tutmaya çalıştı ve kimi tavsiyelerde de bulundu. Açıklamada Signal’in bu hususta öne çıktığı belirtildi. Açıklamada, WhatsApp’ın kelam konusu saklılık mukavelesini AB’de zarurî tutamamasının sebebinin AB’deki data kapalılığı kanunları olduğu kaydedildi.

TBMM başta olmak üzere ilgili kurumlardan ve yetkililerden 3 başlık altında topladığı bilgi kapalılığı muhtaçlıkları için gerekli adımları atmalarını talep eden BMO, kullanıcılara 4 başlıkta tekliflerde bulundu.

‘HAKLI TELAŞ VE YANSILAR VAR’

Bilgisayar Mühendisleri Odası (BMO) 5. Periyot İdare Şurası tarafından yapılan açıklamanın tamamı şöyle:

“Uygulamasının Yeni Saklılık Siyaseti Dayatması, Alternatif Uygulamalar ve Ferdî Bilgilerimizin Korunması

Ülkemizde ve dünyada gezgin (mobil) aygıtlarda yaygın kullanılan bir anlık mesaj (mesajlaşma) aracı olan WhatsApp uygulamasının kullanıcıları, içinde bulunduğumuz ocak ayı başlarından bu yana uygulamanın kapalılık siyasetinin 8 Şubat 2021’den başlayarak değişeceği bildirimini almaktalar. WhatsApp uygulamasının sahibi olan Facebook şirketi bu değişikliği şöyle açıklıyor: WhatsApp kullanıcılarından toplanan ferdî datalar, Facebook’a ilişkin öbür uygulamalarda kullanılabilecek ve öbür şirketlerle de paylaşılabilecek. Aslında 2016 yılında birinci adımı atılmış olan bu siyasetin şimdiki adımıyla, uygulamayı kullanmaya devam etmek isteyen kullanıcılar bu şartları kabul etmek zorunda bırakılırken değişikliği onaylamayan kullanıcılar 8 Şubat 2021’den sonra uygulamayı kullanamayacaklar.

Yurttaşlarımızın bu mevzudaki haklı tasa ve yansıları başta toplumsal medya ortamları olmak üzere birçok mecrada geçtiğimiz hafta boyunca büyüyerek WhatsApp uygulamasını silme kampanyalarına ve alternatif uygulama arayışlarına dönüştü. Gerek toplumsal medya paylaşımlarında öne çıkan gerekse kullanıcı sayıları kayda kıymet artış gösteren “Telegram” ve “Signal” isimli anlık mesaj uygulamaları bu alternatif arayışlarında öne çıktı.

ŞİFRELEME VE ZIMNİLİK

WhatsApp, kullanıcılar ortası bilgi transferinde (transferinde) uçtan uca şifreleme (E2E) kullandığından kelam ederek, bu durumun değişmeyeceğini ve kullanıcıların inançta kalacaklarını açıklamakta; yeni zımnilik siyaseti sonrasında sadece üst bilgilerin (örneğin: kiminle ne vakit irtibat kurulduğu bilgisi, kullanılan aygıt bilgisi, pozisyon bilgisi, telefon numarası, IP adresi vb.) ortaklarıyla paylaşılacağını, kullanıcıların uygulama içindeki paylaşımlarının şifrelenmiş olarak aktarılmaya devam edeceğini belirtmektedir. Lakin WhatsApp uygulamasının istemci (client) ve sunucu (server) katmanlarındaki kaynak kodlarının tamamı kapalı olduğu için bu argüman bağımsız otoritelerce kesin olarak kanıtlanamamaktadır. İstemciler ortası irtibat tümüyle şifrelenmiş olarak gerçekleşse bile istemci seviyesinde gerçekleşen süreçlerin de şirketin denetiminde olduğu gözden kaçırılmamalıdır. Başka yandan, WhatsApp uygulamasının sahibi olan Facebook’un sicili, topladığı şahsî bilgileri kullanma konusunda pak değil. Geçmişte kullanıcılarından topladığı bilgileri resmi otoritelerle, ABD’de CIA ve NSA üzere istihbarat örgütleriyle paylaştığı çok sayıda habere bahis olmuş; dahası, bir evvelki ABD seçimlerinde bu bilgilerin lider adaylarından biri faydasına kullanıldığını gösteren “Cambridge Analytica” skandalı unutulmamıştır.

Telegram uygulamasında ön tarifli mesajlaşmada bilgiler istemciden sunucuya şifrelenmiş olarak iletilmekte ve şifrelenmiş data sunucuda çözülüp alıcının istemcisine yine şifrelenerek gönderilmektedir. Telegram, sunucularında bulunan kullanıcı bilgilerine erişilmek istendiği takdirde bilgiye erişim için birçok farklı hukuk sisteminden müsaade alınması gerektiğini öne sürmektedir. Uygulamada saklı iletileşme seçeneği kullanıldığında ise uçtan uca (E2E) şifreleme yapılmakta, yani göndericinin iletisi şifrelenmiş olarak alıcıya iletilmekte ve alıcının uygulamasında çözülmektedir. Telegram’ın özgür yazılım olan taşınabilir, web, masaüstü uygulamalarına rağmen tüm bağlantının akışını sağlayan sunucu yazılımları özgür yazılım değildir, yani kaynak kodları kamusal erişime açık değildir. Ayrıyeten bu uygulamanın da bir şirketin sahipliğinde olması ileride zımnilik siyasetini değiştirme riskini taşımaktadır.

Signal uygulaması, gerek istemci ve sunucu yazılımları seviyesinde bütün olarak özgür yazılım olmasıyla gerekse yazılı, sesli ve manzaralı bilgi transferinde uçtan uca (E2E) şifreleme kullanmasıyla şahsî dataların korunması istikametinden daha inançlı bir seçenek olarak görünmektedir. Signal’in, kimin kiminle mesajlaştığı üstverisi (metadata) üzere dataları sadece kullanıcı uygulamasında tutması, zımnilik özellikleri için kıymetli bir avantajdır. Kâr gayesi gütmeyen bir vakfın denetiminde olması nedeniyle de şirketlerin kâr odaklı değişen siyasetlerinin oluşturduğu risklerle karşı karşıya değildir. Özgür yazılım olması, kamusal erişime açık olan kaynak kodlarının gelecekte de erişilebilir olacağının ve yeni sürümlerinin de tıpkı özellikleri taşıyacağının teminatıdır. Hasebiyle saydamlığı ve sürekliliği teminat altındadır.

Güvenlik ve saydamlık konusunda doyurucu açıklamaları bulunmayan, “yerli” olma argümanıyla ortaya çıkan ve dünya genelinde olmasa da ülkemizde gündeme gelen “Bip” ve “Dedi” üzere birtakım uygulamalar, açık kaynak kodlu ya da özgür yazılım olmamaları nedeniyle kullanıcılara inanç verememektedir. Ayrıyeten hiçbir üçüncü tarafla bilgi paylaşmamak üzere bir taahhütleri de kelam konusu değildir.

AVRUPA BİRLİĞİ’NDE NEDEN UYGULANMIYOR?

Yurttaşlarımızın, WhatsApp uygulamasının yeni kapalılık siyaseti dayatmasına reaksiyonlarının ağırlaştığı bir diğer nokta ise bu değişikliğin Avrupa Birliği (AB) ülkelerinde zarurî değilken ülkemizde zarurî tutulmasıdır. Birçok yurttaşımız şirketin bu tavrını “çifte standart” olarak kıymetlendirerek reaksiyonlarını şirkete yöneltmiştir. Halbuki uygulamanın birebir dayatmayı AB üyesi ülkelerde yapmamasının nedeni keyfi bir tercih değil; AB vatandaşlarının şahsî bilgilerinin, kısaca GDPR (General Veri Protection Regulation) olarak bilinen, kişi hak ve özgürlükleri temel alınarak oluşturulan, 1990’lı yıllardan bu yana güncellenerek geliştirilen yasal düzenlemeyle sıkı biçimde korunuyor olmasıdır. Beri yandan ülkemizde 2016’dan bu yana yürürlükte olan Şahsî Bilgilerin Korunması Kanunu (KVKK), GDPR’nin birinci düzenlemeleri baz alınarak oluşturulduysa da sonrasındaki teknolojik ve hukukî gelişmeler doğrultusunda gerekli güncellemeler yapılamamıştır. Münasebetiyle KVKK, GDPR’nin AB vatandaşlarına sağladığı muhafaza seviyesini yurttaşlarımıza sağlamaktan uzaktır.

Bağlantı ve ferdî dataların saklılığı, her birey için temel bir ihtiyaç ve korunması gereken bir haktır. Ferdî seviyede toplanan bilgiler kitlesel seviyede işlenip nezaret, kontrol ve üretim düzeneklerini besledikleri için tıpkı vakitte toplumsal olarak da tasa duyulması gereken bir kamusal sorundur. Kamu otoritesi pozisyonundaki yasa yapıcılar ve uygulayıcılar, bireylerin ve toplumun datalarının saklılığının korunması için gerekli düzenlemeleri yapmalı ve uygulamalıdır. Yurttaşların ferdî bilgileri, monopolleşmiş yazılım şirketlerinin insafına bırakılamayacak seviyede değerlidir. TBMM başta olmak üzere ilgili kurumlardan ve yetkililerden aşağıdaki hususlarda acele adımlar atılmasını istiyoruz:

1) Şahsî bilgiler üzerinden büyük çıkarların elde edilmesinin engellenmesi, bu alanda tekelleşmenin önüne geçilmesi için KVKK’nin iyileştirilmesi başta olmak üzere gerekli yasal düzenlemeler yapılmalıdır.

2) Şahsî bilgilerin korunması için yapılacak düzenlemelerde, uygulamalarda ve kontrollerde başta meslek odalarımız olmak üzere bahisle ilgili demokratik kitle örgütleriyle işbirliği yapılmalıdır.

3) Milyonlarca yurttaşın bilgilerini içermesi prestijiyle kamusal varlık olarak değerlendirdiğimiz büyük data kümelerini işleyen kamu bilişim sistemleri (örneğin: sıhhat bilişim sistemleri, UYAP, MERNİS, SEÇSİS), anayasal sorumluluklarından biri kamusal kontrol olan meslek odalarımızın bağımsız kontrolüne açılmalıdır.

Ferdî bilgilerin saklılığının kozmik standartlarda garanti altına alınabilmesinin yolu, İnternet altyapısına ve uygulamalarına “ağ tarafsızlığı” unsurlarına uygun formda yaklaşan, demokratik, özgürlükçü, saydam, hesap verebilirlik prensiplerine uygun bir hukuk devleti olmaktır. Yurttaşlarımız, “verilerim nereye/kimlere gidiyor”, “başıma bir iş gelecek mi” üzere tasalar içinde olmadan irtibat kurabilmelidir.

“DUYARLILIĞIMIZI ARTIRMALIYIZ”

WhatsApp uygulaması nedeniyle gündeme gelmiş olması ve yurttaşlarımızca bu derece önemsenmiş olması sevindirici olmakla birlikte, ferdî dataların korunması konusunda bu bilgilerin sahibi olan yurttaşlarımızın dikkat etmesi gereken öteki kıymetli noktalar da bulunmaktadır. WhatsApp uygulaması dışında da yurttaşlarımızca yaygın olarak kullanılan birçok uygulama, emsal halde ferdî dataları kaydetmekte, işlemekte ve diğer kişi ya da kurumlarla paylaşmaktadır. Birçok uygulama hiçbir paylaşım yapılmasa bile kullanıcılarını işaretlemekte; ekranlardaki gezinmeleri, hangi sayfaya ya da paylaşıma ne kadar mühlet bakıldığını, nelerin beğenilip nelerin süratle geçildiğini, ne kadar müddet bağlı kalındığını, nelerin aratıldığını, kimlerle etkileşime girildiğini izlemektedir. Münasebetiyle bu farkındalığın kullanılan tüm aygıt ve uygulamalar için sürdürülmesi gerekmektedir. Kelam konusu durum aslında şahsî bilgilerimizi satan, güvenliğimizi hiçe sayan ve kullanıcıları sırf kâr aracı olarak gören uygulamalardan kurtulmak için bir baht oluşturmuştur.

Özel hayatlarımızın saklılığı (mahremiyet) ve ferdî datalarımız kıymetlidir; bu bağlamda yurttaşlarımıza şunları öneriyoruz:

1) Aygıtlarınıza (bilgisayarınıza, telefonunuza, tabletinize vb.) kurduğunuz uygulamaların erişmek istediği bilgileri ve müsaadeleri kesinlikle denetim edin; vermek istemediğiniz bilgileri ve müsaadeleri edinmek isteyen uygulamaları kurmaktan kaçının. Halihazırda şurası olan uygulamalarınıza verilmiş müsaadeleri nizamlı aralıklarla gözden geçirin. 2) Data transferi sağlayan anlık mesaj uygulamaları ve toplumsal medya uygulamalarında, gerekli ya da zarurî olmadıkça kritik ferdî bilgilerinizi (örneğin: sıhhat bilgileri, kredi kartı bilgileri, mesken adresiniz vb.) paylaşmaktan kaçının. Şahsî sır ya da ticari sır olarak değerlendirdiğiniz bilgileri, anlık mesaj ve toplumsal medya ortamlarında paylaşmaktan kaçının. Bu çeşit bilgileri paylaşmanızın gerekli olduğu durumlarda ise gereklilik ortadan kalktığında paylaşımınızı silin. 3) Çocuklarınızın kullandıkları aygıt ve uygulamaları denetim ve takip edin, onları şahsî dataların saklılığının ehemmiyeti konusunda bilgilendirin. 4) Özgür yazılımları tercih edin. İhtiyaç duyacağınız birçok uygulamanın özgür yazılım olan bir alternatifini bulabilirsiniz. Özgür yazılımlar herkesin katılabildiği saydam bir geliştirme süreciyle, kaynak kodları tüm insanların erişimine açık olarak geliştirilirler; sahipleri ise kişi ya da şirketler değil tüm insanlıktır.”

Cumhuriyet