İnternet Çağında Kişisel Veri Gizliliği Ne Denli Mümkün? 

WhatsApp’ın veri paylaşımıyla ilgili gizlilik sözleşmesi, veri güvenliğiyle ilgili yeni bir tartışmayı da gündeme getirdi. Çevrim içi mesajlaşma uygulamasını kullananlardan bazıları çözümü farklı uygulamalara geçmekte ve WhatsApp’ı telefonlarından kaldırmakta bulurken “güvenli internet mümkün mü?” sorusu da tartışmaların merkezine oturdu. Tartışmaların büyümesi ve uygulamayı bırakanların sayısının artması üzerine Facebook’un sahip olduğu WhatsApp, kullanıcı verilerini, ana şirketle paylaşacağına dair bir maddeyi de içeren sözleşmeyi yürürlüğe koyma tarihini 8 Şubat’tan 15 Mayıs’a erteledi. Şirket yaptığı açıklamada kullanıcıların 15 Mayıs'a kadar kademeli olarak kendi belirledikleri hızda bu değişikliği değerlendirmelerine olanak tanınacağını ifade etti.  İnternet güvenliği, bilişim teknolojileri gibi konularda çalışan uzmanlara ve derneklerle WhatsApp’tan yola çıkarak, “internet üzerinden haberleşmenin norm haline geldiği çağda mahremiyet ne kadar mümkün?” sorusunu yönelttik. 
Mehmet Tahir Sandıkkaya: Uçtan Uça Şifreleme, Tam Güvenlik Anlamına Gelmiyor
Mehmet tahir sıddıkkayaBilgisayar ağları ve bilgisayar güvenliği alanında çalışan akademisyen Mehmet Tahir Sandıkkaya’ya göre WhatsApp ve benzeri uygulamalar, yaptırım gücünü sosyal hayattaki yaygınlığından alıyor: “Sözleşme değişikliği dikte etmek bir güvence gerektirir sanıyorum. Bu güvence, sosyal hayatın içine yerleşmiş olmaktan alınıyor. Yaygın bir uygulamayı kullanmamanın getirdiği bir "sosyal borç" var. Kullanmazsanız sosyal iletişiminiz sekteye uğrayacak. Kullanmayı reddederseniz şirket sizi toplumdan ayrı bırakmakla tehdit ediyor diyebiliriz. Elbette burada geçmişten gelen toplumun her kesimine ait pek çok yanlış kararın birikimini görüyoruz. Düşünürseniz, bu uygulamanın ortaya çıkmasının nedeni bir başka tekelleşmeydi. İnsanların bilfiil kullanmak zorunda oldukları SMS için fahiş ücret tahsil ediliyordu. Bir tekeli yıkan uygulamanın kendisi de zamanla tekelleşti.”
“Kimi Kullanıcı Alışkanlıkları, Güvenlik Sorunu Yaratıyor”
Sandıkkaya, WhatsApp kullanım alışkanlıklarının getirdiği üç temel sorundan bahsediyor: “İnsanların çoğunlukla bir veri saklama alanı kullanarak iletişim geçmişlerini sakladıklarını görüyoruz. WhatsApp'ın kullandığı iletişim protokolüne dahil olan bir şey değil bu. Dolayısıyla güvenliğiyle ilgili bir kaygı da güdülmüyor. Daha açık söyleyelim; siz ya da iletişim kurduğunuz kişi gönderip aldığı iletileri yedekliyorsa tüm iletişim depo alanını aldığınız hizmet sağlayıcının (genelde Google ya da Apple) elindedir. Bunlar arasından Google daha önce bu yollarla topladığı pek çok veriyi reklâm amacıyla işlemişti. Özellikle bu yedeklerin kullanımı konusunda bir açıklama yaptılar mı, bilmiyorum. İkinci sorun yine kullanım alışkanlığıyla ilgili. Pek çok kişinin masaüstü bilgisayarda da iletişimi sürdürmek için telefonlarını bilgisayarlarıyla eşleştirdiğini biliyoruz. Bu da ilgili iletişim protokolüne dahil değil. WhatsApp'ın bunu nasıl işlettiğini ayrıntısıyla bilmiyoruz ancak bu eşleştirme bir kere yapıldıktan sonra iletişimin sızıyor olması olasıdır. Üçüncü ve yeni sorun, aynı grubun sahip olduğu farklı şirketlerin topladığı verilerin ilişkilendirilmesi. Veri ilişkilendirilmesi oldukça sağlıksız. Ayrıca, çoğu zaman ustaca yazılmış sözleşme maddeleriyle insanlar farkında olmadan bunu kabul ediyorlar. Örnek verelim; yaşınız, cinsiyetiniz ve oturduğunuz semt ayrı ayrı bilinirse sizin kim olduğunuzu bulmak zordur. Büyük bir kümenin içinde anonim kalırsınız. Ancak üçü birden bilindiğinde kim olduğunuz aşağı yukarı biliniyordur. Şu an olan, sizin anılarınızı, kim olduğunuzu ve geçmişinizi içeren bir veritabanı ile nerede olup kiminle görüştüğünüzü metre/saniye yaklaşıklıkta bilen bir başka veritabanının birleştirilmesi.” WhatsApp ve benzeri aplikasyonları kullanırken kişisel verilerimizi saklamamıza yardımcı olabilecek yolları sıralayan Sandıkkaya, her uygulama için farklı şifre tercihinin özellikle altını çiziyor: “Farklı alanlarda farklı kullanıcı adları ve şifreleri kullanın. Aynı şifreyi kesinlikle iki ayrı yerde kullanmayın. Buna yardımcı olan şifre yönetme uygulamalarını kullanmayı düşünebilirsiniz. Mozilla Vakfı'nın geliştirdiği tarayıcıları kullanın, Firefox en yaygın olanı. Çalışması için şifre girmeniz gerekmeyen bir tarayıcının sizi izlemesi daha zor. Çoğu kişi bunları yapmak istemeyecektir ama yapabilecekseniz tarayıcının oturum dışında çerez saklamamasını ve betik (script) çalıştırmamasını sağlayın. Zaman zaman, günde bir, haftada bir olabilir; tarayıcı geçmişinizi silin. Android kullanıyorsanız, benzer biçimde, günde bir, haftada bir olabilir; reklam bilgilerinizi sıfırlayın. Kişiye özel reklam ayarlarını etkinleştirmeyin (Ayarlar/Google/Reklam).
“İnternet Güvenli Değil, Hiçbir Zaman Da Olmadı”
İnternetin genel olarak ne kadar özgür ve güvenli olduğunu, veri gizliliğinin mümkün olup olmadığını sorduğumuz Sandıkkaya; veri gizliliğini sağlamayı sır tutmaya benzetiyor: “Özünde, birine söylediğiniz bir verinin gizli kalması artık mümkün değildir. Bu konuda karşınızdaki kişiye/firmaya/kuruma güven duyuyor olmanız gerekir. Güven duyamadığınız zamanlarda da yasal bir güvenceniz olmasını istersiniz. Sanırım etkin yasal güvencenin getirilmesi en yerinde önlem olacaktır. KVKK'nın kurulmuş olması önemli. Yakından izlemiyorum ama kısa zaman öncesine kadar alışveriş/reklam sektörüne yönelik bir karar aldıklarını duymadım. Alışveriş ya da başkaca önemi olduğu düşünülen sektörlerle ilgili karar alarak yaptırımda bulunabilirler sanırım. İnternet güvenli değil. Hiçbir zaman olmadı. Bunu çekinmeden söyleyebilirim. Özgürlük, engeller, sıkıntılar benim ilgi alanımın dışında. Haklar konusunda çalışan kişilerin yorum yapması doğru olur.”
“Yeni Açıklamada Aydınlanmayan Noktalar Var”
Son olarak, Whatsapp’ın yeni bir açıklama yaparak sözleşmeyi uygulama konma tarihini ertelemesini değerlendiren Sandıkkaya; “WhatsApp kişiler ve gruplar arasındaki iletişimi uçtan uca şifrelediğini sık sık belirtiyor. Bu doğru ve açıklamadaki vurgu yine bu yönde. Ancak uygulamanın bunun dışında bilgi toplamak için pek çok farklı yolu var. Bunlar bu açıklamada kapsam dışında kalmış. Öncelikle iletişimin kendinden söz edelim: Yedekleme veya aynı hesabı bir başka cihazla kullanma (örneğin, bilgisayardan) sırasında iletişimin sızıp sızmadığına dair bilgimiz yok. Bu yollarla iletişimin elde edilmesi mümkün. Edinilip edinilmediği, bildiğim kadarıyla, şimdiye dek açıklanmadı” diyor. Bu konuda dikkate alınması gereken bir diğer konunun üst veri paylaşımı olduğunu ifade eden Sandıkkaya, iletişimin kendisi olmasa da iletişim hakkındaki veriler konusunun netlikten uzak olduğunu ifade ediyor: “İletiler görülmese de kimin, kiminle, ne zaman ve nerede (paylaşılan konum bilgisiyle değilse de kaba yer belirleme ile) konuştuğu bilgisi buna örnektir. Anladığım kadarıyla sözleşmenin konusu temelde bu. Bu bilgi Facebook grubu ile ve WhatsApp üzerinden kampanya yürütecek şirketlerle paylaşılmaya başlanacak. Zaten açıklamanın ikinci kısmında da bunu sezdirir biçimde WhatsApp üzerinden alışverişe yönelik hizmetlerden söz edilmiş. Kullanıcıların alışveriş seçeneklerinden kendilerine uygun olanı seçebileceği söylenmiş. Bundan sonra da WhatsApp'ın gizlilik ve mahremiyete yaklaşımını açıklayacaklarını, gerçeklerin yayılmasını önemseyip dedikoduların ortadan kalkmasını istediklerini belirtmişler. Sözünü ettiğim konular açıklamalarda yer alırsa tüm konularda herkes kapsamlı bilgi edinir.” diyor.
Özgür Yazılım Derneği: Whatsapp İlk Fırsatta Terk Edilmeli
cemre demircioğluÖzgür Yazılım Derneği’nden Cemre Demircioğlu, WhatsApp'in Facebook ile veri paylaşımıyla ilgili yapacağı düzenlemeyi ertelediğini açıklamasını, başlayan göçü durdurmaya yönelik bir adım olarak yorumlamanın doğru olacağını söylüyor. Demircioğlu’na göre WhatsApp geri adım atmış değil, sadece zaman kazanıyorlar: “Yayınladıkları metinde "hatalı bilgileri" düzeltmek için çalışacaklarını ifade ediyorlar, bu demek oluyor ki mayıs ayına kadar "WhatsApp'in çok güvenli olduğu" propagandasına maruz kalacağız. Bu süreçte kamuoyunda tam olarak doğru olmayan bilgiler yayılmış olsa da, WhatsApp'in kişisel verilerimizin peşinde olduğu kanısı nihayet yaygınlık kazandı ve insanlar güvenli alternatiflere geçiş yapmaya başladı. Metinden anlaşıldığı üzere Facebook ile veri paylaşımı konusunda geri adım atmış değiller, atmayacaklar. Yalnızca kullanıcılarının gözünü sahte bir güvenlik algısı ile boyayacaklar. Politikalarını kabul ettirmek için yöntem değiştirecek, günün sonunda yine bildiklerini yapacaklar.” neslihan turanDerneğin diğer sözcüsü Neslihan Turan ise yaşanan son gelişmelerden bağımsız olarak, WhatsApp'ın her zaman mahremiyet düşmanı bir uygulama olduğunu ve ilk fırsatta terk edilmesi gerektiğini savunuyor. Demircioğlu da WhatsApp’ın ‘ya verilerini ver ya da terk et’ anlayışını dayattığını söylüyor: “WhatsApp, rehberinizdeki kişilerden cihaz kimliğinize, konum bilgilerinizden satın alma geçmişinize kadar pek çok veriyi uzun yıllardır topluyor ve işliyordu. 2016 yılından itibaren ise kullanıcılarına verilerin Facebook ile paylaşılıp paylaşılmaması konusunda bir seçenek sunmuştu. Şimdi gözlerini daha çok veri bürümüş olacak ki, verileri Facebook çatısı altındaki diğer şirketlere aktarmayı uygulamayı kullanabilmek için zorunlu tutuyor. Yani diyor ki "Ya verilerini ver ya terk et." Cambridge Analytica gibi skandallara imza atan bir şirket ile bu hassas verileri paylaşmak başlı başına bir sorunken gözden kaçan bir nokta var. WhatsApp mesajlarının uçtan uca (end to end) şifreli olduğu iddia edilse de mülk bir yazılım olduğu için aslında yazılımın cihazlarda ne yaptığını, sunucuya ne gönderdiğini bilemiyoruz çünkü kaynak kodunu inceleyemiyoruz.”
“Özgür Yazılıma Doğru Bir Göç Başlamalı”
Dijital uygulamalarla haberleşmenin bir norm halini aldığı çağımızda kişisel verileri korumanın kolay bir yolu olmadığını ifade eden Turan, en doğru yöntemin her özgürlük mücadelesinde olduğu gibi bütünlüklü politikalara dayandığının altının çiziyor. Turan sözlerine şöyle devam ediyor: “Kolayca söyleyebileceğimiz tek bir şey varsa o da kullanılan yazılımın özgür yazılım olması ön koşuluna uyulması olur. Çünkü özgür yazılımlar kullanma, araştırma, paylaşma ve geliştirme özgürlüğünü bize sunan; kaynak koduna erişebildiğimiz ve dolayısıyla verilerimizle ne yaptığını şeffaf bir şekilde görebildiğimiz yazılımlardır. Öte yandan mülk yazılımlar ise kullanıcının özgürlüğünü ihlal eden kapalı kutulardır; özgür yazılımlardakinin aksine verilerimizle ne yaptıklarını göremeyiz. Gündemdeki WhatsApp meselesi bir anlamda malumun ilamı olsa da insanların dijital güvenlik konusunda endişelerinin oluşmaya başladığını bize gösterdi. Kişisel verilerimizi korumak bu sistemlere olan bağımlılığımız nispetinde bir "göç" gerektiriyor.  Özgür Yazılım Derneği olarak "göç başlıyor!" dediklerini vurgulayan Neslihan Turan, önerilerini aktarıyor: “Kullandığımız bilgisayar ve mobil cihazlara kurulu işletim sistemlerinin, e-posta, mesajlaşma, harita, VPN servislerinin tümü özgür ve güvenli alternatiflere sahipler. Twitter yerine Mastodon, Instagram yerine Pixelfed, Zoom yerine Jitsi, WhatsApp yerine Signal, Chrome yerine Firefox, Slack yerine Zulip ve aklınıza gelen herhangi başka bir yazılım yerine aynı işi yapabileceğiniz özgür bir yazılım mevcut. Eğer siz de göç zamanı olduğunu düşünüyorsanız detaylı güvenlik rehberimizi (guvenlik.oyd.org.tr) incelemenizi ve mahremiyet düşmanı yazılımları hayatınızdan çıkartmanızı tavsiye ediyoruz.”
“Bir Yazılıma Körü Körüne Güvenmek Yanlış”
Cemre Demircioğlu, sosyal medya platformlarını tamamen terk edip özgür ve dağıtık sistemlere geçiş yapmadan önce mülk yazılımların yerine geçen özgür yazılımları tercih etmenin yerinde olacağını söylüyor. Demircioğlu, bir yazılıma veya sisteme körü körüne güvenmenin yanlış olduğunun altını çiziyor ve yapılması gerekenin dijital okuryazarlık seviyemizi artırarak, hayatımızın her yanını sarmış dijital araçlara dair farkındalığımızı geliştirip, kullanım pratiklerimizi sorgulamak olduğunu söylüyor: “Anlık mesajlaşma için yalnızca telefon numaranızı verip kullanabileceğiniz son kullanıcıya hitap eden, özgür bir yazılım olan Signal var. Ancak Signal bu alanda tek başına değil. Cihazda uçtan uca şifreleme yapan, mutlak gizlilik (perfect forward secrecy) sağlayan ve Signal'den farklı olarak telefon numarası gerektirmeyen bir şifreleme protokolü olan OMEMO'yu Conversations uygulaması ile kullanabilirsiniz. Nasıl yapılacağına ilişkin detaylı bilgi için Güvenlik Rehberi'mizden faydalanabilirsiniz.
“Çevrim İçi Alışverişte Mahremiyet Kalkıyor”
Çevrim içi alışverişte mahremiyetin ortadan kalktığını söyleyen Demircioğlu, “Kanunlar gereği asgari düzeyde veriyi e-ticaret şirketlerine teslim ediyoruz. İnternetten alışveriş yaparken pek çok şirket ilgili kanun gereği fatura kesmek için toplaması gerekenler dışındaki verileri de toplamaya çalışıyor. Yine pek çok şirket Kişisel Verilerin Korunması Kanunu'nun altından girip üstünden çıkarak daha fazla veri toplamaya, bu verileri işlemeye ve satmaya çalışıyor. Bankalar ise neredeyse devletlerin bir uzantısı olarak tüm müşterilerini takip ediyor. Bizlerin bu noktada yapabileceği şey; okunamasın diye uzun paragraflar ve küçük puntolarla yazılan o kullanıcı sözleşmelerini okuyup gerektiğinde şikayette bulunmamız. Pek tabii Kişisel Verileri Koruma Kurumu da re'sen inceleme başlatarak görevini yapabilir” diyor.
“Sosyal Medya Yasası, Özgürlük Düşmanı ve Aşırı Müdahaleci Bir Kanundur”
Türkiye özelinde bilişim özgürlüğündeki temel sorunların en büyüklerinden birinin 5651 sayılı Sosyal Medya Yasası olduğunu söyleyen Turan; “Bağımsız medyanın yokluğunda Türkiye internetin haber almak ve örgütlenmek için etkin bir şekilde kullanıldığı bir ülkeyken, iktidarın benimsediği baskıcı ve muhafazakar siyasi tutumun öncelikli hedeflerinden biri de muhalif sesleri susturmak üzere İnternet özgürlüğü oluyor. Bilişimi, ifade özgürlüğüne alan açma potansiyeli üzerinden ele alırsak, bu alana yapılan saldırıların ülke demokrasisi için ne kadar zedeleyici olduğunu daha iyi algılayabiliriz. Sosyal Medya Yasası olarak bilinen, 5651 sayılı internet özgürlüğünün katili olan kanuna yapılan son düzenlemeyle, hükümet bu niyetini tekrar açıkça ortaya koymuştur. İfade özgürlüğü düşmanı her yasal düzenleme gündeme geldiğinde kılıfına uydurmak için öne sürülenin aksine, bireylere karşı işlenen suçlarda ise bu yasaların hiçbir faydasını görememekteyiz. Onun yerine 990 gün boyunca Vikipedi'nin engellenmesi gibi, binlerce web sitesinin halihazırda engelli olması gibi utanç dolu uygulamalara tanıklık etmekteyiz. Şu haliyle 5651 sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkındaki Kanun" sansüre yol açan, özgürlük düşmanı ve aşırı müdahaleci bir kanundur” sözleriyle düşüncelerini ifade ediyor.
Toplumsal Bilgi ve İletişim Derneği: İnternet Uzun Zamandır Karanlık Bir Yere Doğru Gidiyor
şevket uyanıkToplumsal Bilgi ve İletişim Derneği, ana konularını mahremiyet, dijital güvenlik ve gizlilik olarak açıklıyor. Dernek, WhatsApp’ın kullanıcılarına sunduğu yeni sözleşmenin, yıllardır ilgilendikleri konuları gündeme getirip insanları sorgulatması açısından iyi bir fırsat olduğunu söylüyor. Dernek sözcüsü Şevket Uyanık; “İnsanlar sorgulamaya başladı. Umarım bu WhatsApp konusu ile gündeme gelen konular unutulmaz ve herkes güvenliğine daha çok önem vermeye başlar. WhatsApp aslında benzer bir sözleşmeyi 2016 yılında yine kullanıcılarına sundu ama o zaman bu kadar sorgulanmadı. Şimdi ise verileri Facebook'un diğer ticari işletmelerine ve reklam verenlere açmayı öngörüyor. WhatsApp'ta konuşmalarımız yine uçtan uca şifreli bir şekilde olmaya devam edecek yani konuşmalarımızın içeriğini şirket göremeyecek ama metadata dediğimiz üst verileri reklam verenlere açacak. Yani ne konuştuğumuz değil hangi saatte hangi sıklıkla kiminle konuştuğumuz gibi örneğin. Bir de WhatsApp bir şirketin olduğu için sahiplik yapısından dolayı ve özgür yazılım / açık kaynak olmadığından dolayı her zaman riskli ve öngörülemez” diyor.
“Ne Kadar Az Ayak İzi Bırakırsak O Kadar İyi”
Uyanık, güvenli yazışma, mesajlaşma uygulamaları kullanarak mahremiyetin korunabileceğini ama hiçbir zaman yüzde yüz güvenlik olmayacağını vurguluyor. Bununla birlikte amacın güvenliğin yüzde yüze getirilmesi olduğunu belirtiyor: “Ne kadar az ayak izi bırakırsak internette o kadar yararımıza olur. Birçok kaynak var insanların yararlanabileceği ama derneğimizin dijitalguvenlik.org isimli web sitesinden de insanlar yararlanabilir. Tabii sadece mesajlaşma uygulamaları değil, şu an telefonlarımızda birçok verimizi paylaştığımız sayısız uygulama kurulu. Bunların da özgür yazılım (open source) alternatiflerini kullanarak güvenlik önlemlerimizi alabiliriz. Asıl mesele bağımlı olduğumuz "araçlar, uygulamalar" değil, mahremiyet ve güvenlik olmalı." Uyanık, güvenli internet için uygulanabilecek bazı basit yöntemleri aktarırken interneti güvensiz bir yer olmaktan çıkarmak için bizlerin de bir şeyler yapabileceğini söylüyor: “Örneğin online alışveriş yaparken "üye olmadan devam et" seçeneği varsa en azından e-posta bilginizi vermemiş olursunuz. Bunun dışında e-ticaret güvenliği çok ayrı bir konu. 3d secure kullanmak, sanal klavye kullanmak gibi basit önlemler çok etkili olabilir. Sosyal medyada da güvenli kalmak belli bir yere kadar mümkün. Örneğin kullandığınız tüm platformlarda iki adımlı doğrulama özelliği var, bunu mutlaka aktif etmeniz gerekiyor. İnternet uzun zamandır karanlık bir yere doğru gidiyor. Devletlerin, şirketlerin bir oyun alanına dönmüş durumda. Gözetim, sansür ve buna yapılan yatırımlar gün geçtikçe artıyor. Şimdiki internet güvensiz bir yere doğru gidiyor, bizlerin de suçu var bunda. Ama Korsan Parti Hareketi'nin çevirdiği 10 Aralık İnsan Hakları gününde TBİD'in de sitesinde yayınladığı "İnternette İnsan Hakları ve İlkeleri Şartı" isimli kitapçık vardır. Burada internetin nasıl daha özgür, insan haklarını gözeten bir yer olması gerektiğine dair öneriler var. Bunlar uygulanırsa gelişmeler yaşanabilir ve internet özgür/güvenli/eşit bir yer olabilir.” 
“İnternet Kamuya Ait Olmalı”
Uyanık, son olarak internetin iktidarın mülkiyeti altında olmasının yanlışlarına değinirken günü yakalamayan yasaların varlığından bahsediyor: “Türkiye’de gözetim, sansür ve güvenliğe dair sorunların yanında yasalara dair günü yakalayamamış anlayışlar mevcut. İnternet, iktidarların mülkiyeti altına alınabilecek bir yapı değildir, olmamalıdır. İnternet kamuya ait olmalıdır. Örneğin hukuki anlamda AB'de GDPR var ama bizim KVKK bu standartlarda değil. Bu sebeple biraz da WhatsApp bu sözleşmeyi dayatabiliyor.” 

İlgili İçerikler