HES uygulaması bir yaşında. Sizce iyi ki doğdu mu?
Hukukçulardan dijital güvenlik uzmanları ve bilim insanlarına kadar geniş çevrelerin endişeyle yaklaştığı HES uygulaması bir yaşında. Ancak kullanıcılar “iyi ki doğdun” şarkıları söylemekten uzak.
Laçin Yalçınkaya* @lacinyalcinkaya
18 Nisan 2020 tarihinde kullanıma sunulan Hayat Eve Sığar (HES) uygulaması bir yıldır hayatlarımızda. Bu birlikteliğin henüz ilk günlerinde, Gazete Duvar yazarlarından Mahmut Tezcan ve Murat Alan, BBC Türkçe’den Çağıl Kasapoğlu gibi isimler HES uygulamasının kişisel verilerin gizliliği konusunda yaratabileceği olası tehlikeleri okurlarına aktarmıştı. Türkiye’nin yoğun gündeminde kendine yer bulamasa da geçtiğimiz aralık ayında Ohio State Üniversitesi'nden bir grup araştırmacı HES uygulaması kullanıcılarının cihaz tanımlama bilgilerinin yakındaki diğer cihazlarca açığa çıkartılabileceğini, bu yolla belirli bir cihazın takip edilmesinin mümkün olduğunu göstermişti [1]. Bilişim alanında çalışan kimi hukukçular HES uygulamasının aydınlatma metninin Kişisel Verilerin Korunması Kanunu’nda belirtilen kıstasları karşılamadığını dile getirmiş [2]; aralarından bazıları bu durumu, 'çözüme kavuşturulması gereken sağlık krizinden doğan aceleye' dayandırmıştı [3]. Ne var ki aradan geçen bir yılda aydınlatma metninde, toplanan verilerin “pandemi ile mücadele süresiyle sınırlı olmak üzere” işleneceği ifadesinin eklenmesi dışında bir değişiklik yapılmadı. Bu konuya geri döneceğiz, öncesinde geçen bir yılı biraz daha hatırlayalım.
Uygulamanın ilk günlerinden itibaren dijital güvenlik uzmanları, HES uygulaması aracılığıyla toplanan verilerin temas takibi gerçekleştirmek için yeterli olacak veri miktarının çok üzerinde olduğunu savunmuştu. Yaklaşan sorunu erken tespit eden, aralarında Türkiye’den Alternatif Bilişim Derneği'nin de yer aldığı, dünyanın birçok ülkesinden yüzün üzerinde sivil toplum örgütü 2 Nisan 2020 tarihinde ortak bir bildiri yayınlamıştı [4]. Sekiz ana maddeden oluşan bildiride kısaca şirketler ve devletler, temas takip uygulamaları gibi dijital teknolojiler geliştirirken sağlık hakkı ve mahremiyet hakkı gibi insan haklarına saygılı olmaya davet ediliyordu.
Öte yandan etkisi kanıtlanmış bir ilacın ya da aşının yokluğunda, Covid-19 krizi karşısında devletlerin elindeki araçlar zorunlu izolasyon, okulların ve iş yerlerinin kapatılması, maske-mesafe-temizlik üçlüsü ve HES benzeri temas takip uygulamalarından oluşuyordu. Singapur Hükümeti, Dünya Sağlık Örgütü’nün Covid-19 krizini pandemi ilan etmesinden yalnızca 9 gün sonra, 20 Mart 2020 tarihinde vatandaşlarına bir temas takip uygulaması sunarak bu alanda ilk oldu. Bugünse dünya genelinde 70’in üzerinde ülkede, 120’den fazla temas takip uygulamasının kullanımda olduğunu biliyoruz. Bu uygulamaların hepsinin amacı aynı olsa da çalışma prensipleri ve kullanıcılarından topladıkları veriler arasında büyük farklılıklar var.
Alandaki uzmanların ezici çoğunluğu insan haklarına saygılı bir temas takip uygulamasının öncelikle “açık kaynak kodlu” olmasını, yani nasıl çalıştığını ve topladığı verileri nasıl kullandığını kamuoyuyla açık şekilde paylaşmasını savunuyor. Bununla birlikte uygulamanın merkezi olmayan bir yapıda olması, yani topladığı verileri tek bir merkezde depolamak yerine kullanıcıların kendi cihazlarında saklayarak çalışması öneriliyor. Sebebi açık: Merkezi veri tabanına gerçekleştirilebilecek bir siber saldırı sonucu milyonlarca kullanıcının kişisel verilerinin sızdırılmasının önüne geçmek. Bir diğer öneri ise temas takibinde GPS tabanlı konum servisleri yerine sadece Bluetooth teknolojisinin kullanılması: Bluetooth servisi açık iki cihaz birbirine yeterince yakınlaştığında, birbirlerini tanımak için aralarında küçük birer veri paketi takas eder. Bu paketler birbirine yakınlaşan cihazlarda saklanır. Böylelikle cihazınızda, gün içinde yakınlaştığınız başka cihazların sahiplerinin bir listesi tutulmuş olur; ancak bu yakınlaşmanın hangi mahallenin hangi sokağında gerçekleştiğinin kaydı tutulmaz. GPS teknolojisi ise hangi kullanıcılarla yakınlaştığınızın yanı sıra bu yakınlaşmanın nerede gerçekleştiğinin ve gün boyunca attığınız her adımın kaydını tutar. Sonuç olarak iyi tasarlanmış bir uygulamanın temas takibi yapabilmesi için Bluetooth tek başına yeterli ve mahremiyetinize saygılı bir teknolojidir. Ayrıca internet kullanmaz ve daha az pil tüketir.
Bu çerçevede, 2020 yılının aralık ayında Prof. Dr. Cem Sefa Sütcü ile birlikte HES uygulamasını dünyadaki çeşitli temas takip uygulamalarıyla kıyasladık ve aşağıdaki tablo ortaya çıktı.
HES UYGULAMASI VE YURTTAŞLARDA UYANDIRDIĞI ENDİŞELER
HES uygulamasının tablo üzerindeki yalnızlığı, alandaki uzmanların kaygı bildiren açıklamaları ile Twitter’da sıklıkla trending topic olan, HES uygulamasının kaldırılmasına ve HES kodunun iptal edilmesine yönelik hashtag’ler bir araya gelince; yurttaşların uygulamayla ilgili endişelerini keşfetmeye yönelik bir araştırma gerçekleştirmeye karar verdik. Farklı yaş gruplarından, cinsiyetlerden, mesleklerden ve gelir gruplarından, büyük bölümü üniversite eğitimi almış ya da almakta olan toplam 457 katılımcıyla uyguladığımız bir çevrimiçi anket tasarladık. Anket sorularını yukarıda sözü edilen, uluslararası sivil toplum örgütlerince imzalanan bildirinin içeriğinden hareketle şekillendirdik.
Araştırmamızın sonuçları, Türkiye’de yükseköğretimle tanışmış her 10 kişiden sadece 3’ünün HES uygulamasına çeşitli seviyelerde güven duyduğunu gösterdi. Kalan 7 kişi ise cinsiyetlerinden, mesleklerinden, gelir seviyelerinden bağımsız şekilde HES uygulamasına karşı endişe besliyor; bu endişenin seviyesi yaşla birlikte artıyor. Sonuçlara göre bireylerin HES uygulamasıyla ilgili kaygılarının ötesinde, daha baskın bir endişeleri var: Pandeminin, devletin teknoloji aracılığıyla gerçekleştirebileceği süresiz gözetim için bir bahane olarak kullanılması. Bu konuda endişe taşımadığını belirten bireylerin oranı yüzde 18. Buna ek olarak, katılımcıların yarısından fazlası HES uygulamasının cihazlarındaki kişisel verilerine kendi rızaları olmaksızın erişebildiğini düşünüyor.
Sıra geri döneceğimiz kısma geldi: Araştırmamıza katılan her yüz kişiden yalnızca 9’u HES uygulamasının aydınlatma metnine eklenen, verilerin “pandemi ile mücadele süresiyle sınırlı olmak üzere” işleneceği ifadesine inanıyor. Bu güven problemi, uygulamaya verilen yetkilerde belirginleşiyor: Katılımcıların yarıdan fazlası HES uygulamasının Bluetooth erişim isteğini, çeyreği ise GPS tabanlı konum verilerine erişme talebini reddettiğini belirtti. Uygulama bu yetkilere sahip olmadığında temas takibi gerçekleştirmesi teknik olarak mümkün olmuyor, dolayısıyla en önemli görevini yerine getiremiyor. Böylece uygulamanın kamu sağlığına hizmet etme hedefi, uygulama geliştiriciye duyulan güvensizliğin kurbanı oluyor. Bu güvensizlik büyük oranda şeffaflık eksikliğiyle açıklanabilir: Her 5 katılımcıdan 4’ü, uygulamayla paylaştıkları verilerin hangi amaçlarla toplandığının ve ne şekilde kullanılacağının kendileriyle yeterince açık şekilde paylaşılmadığını düşünüyor. HES uygulaması tecrübesinden sonra, gelecekte ortaya çıkabilecek yeni bir pandemide devletin sunacağı yeni temas takip uygulamasını hiçbir endişe duymadan kullanabileceğini ifade eden katılımcıların oranı ise yüzde 6 seviyesinde kaldı.
Peki ama devlet kişisel verilerimize zaten sahip değil mi? HES uygulaması ile paylaşmanın ne sakıncası olabilir?
HES uygulamasıyla paylaştığınız veriler doğum tarihiniz ya da cep telefonu numaranız gibi halihazırda devletle paylaştığınız verilerin ötesinde, kişisel sağlık bilgilerinizi ve tercihiniz doğrultusunda anlık konum verilerinizi de içeriyor. Bu konu sıklıkla dar bir pencereden, “devlet beni neden gözetlesin?” sorusu etrafında değerlendiriliyor. Bu soru özellikle geçtiğimiz yüzyılda defalarca, detaylı şekilde yanıtlandı [5]. Bu yüzden bu kez bakış açımızı değiştirelim ve konuyu Ohio State Üniversitesi'nden Haohuang Wen ve arkadaşlarının çalışması üzerinden ele alalım. Dünyadan 41 temas takip uygulamasının incelendiği araştırma sonuçları, HES kullanıcılarının cihazlarının Bluetooth tanımlama bilgilerinin açığa çıkartılabildiğini, daha da önemlisi bu bilgilerin sabit olduğunu göstermişti. Yani cihazınızın Bluetooth servisi açıkken çevredeki diğer cihazlarla paylaştığı bir kod vardı ve bu kod hiç değişmediği için, cihazın size ait olduğunu bilen biri özel kodunuz üzerinden sizi takip edebilirdi. HES uygulaması, çalışma kapsamında incelenen 41 uygulama arasında bu güvenlik açığına sahip 2 uygulamadan biriydi. Söz konusu güvenlik açığının önüne geçmek için HES uygulamasının, dünyadaki pek çok örnekte gördüğümüz gibi, Bluetooth tanımlama bilgilerini saatte birkaç defa yenileyecek şekilde güncellenmesi gerekiyordu. Wen ve arkadaşlarıyla yakın zamanda iletişime geçtiğimde bu güvenlik açığını yetkililere HES uygulamasının iletişim adresleri aracılığıyla ilettiklerini, ancak yanıt alamadıklarını ifade ettiler. Uygulamanın daha güncel versiyonlarında bu açığın giderilip giderilmediğini bilmiyoruz.
Üstelik bu güvenlik açığı olası kötü senaryolardan yalnızca biri. Biraz durup HES uygulamasıyla paylaşılan verileri korumakla yükümlü kişi ve kurumların bir şekilde, milyonlarca vatandaşın verilerinin sızmasına sebep olduğunu düşünelim. Bu durum şaşırtıcı olmaktan uzak olurdu, çünkü örneklerine daha önce defalarca şahit olduk. Sadece geçtiğimiz ay sosyal medya devi Facebook yüz milyonlarca, Yemeksepeti ise on milyonlarca kullanıcısının adı, soyadı, adresi, telefon numarası, doğum tarihi gibi kişisel bilgilerini sızdırdı. Şimdi de benzer şekilde HES uygulamasının merkezi veri tabanından bir sızıntı gerçekleştiğini düşünelim ve bu verilerin, örneğin iş aramak için kullandığınız dijital platformların eline geçtiğini varsayalım. Bir ilana başvurduğunuzda, başvuru yaptığınız şirketin ne zaman uyuyup ne zaman uyandığınızı bilmesini ister miydiniz? Çünkü bir sızıntı olursa, sızan verileriniz arasında cihazınızın hareketlerini kaydeden sensör verileri de yer alacak. Eğer cihazınız istikrarlı şekilde sabahları saat 11’den önce yerinden oynamıyorsa bu durum, verinizi elinde bulunduranlara uyanış saatinizle ilgili iyi bir fikir verecektir. Dijital verilerin çağdaş dünyada ne kadar önemli bir hammadde olduğunu bir defa kavradığımızda, bu tür olumsuz senaryoların nerelere uzanabileceğini hayal etmek güç değil.
Her şeye rağmen bugün, dijital teknolojilerin sunduğu olanaklardan bütünüyle uzak durmak da onları koşulsuz kabul etmek kadar sorunlu bir yaklaşım. Bu sebeple, HES uygulamasının birinci yaş günü için kaleme aldığım bu yazıyı yeni yaşı için bazı temennilerde bulunarak sonlandıracağım. Dilerim uygulama bir an önce, alandaki uzmanların tavsiyeleri göz önünde bulundurularak şeffaflığın, denetlenebilirliğin ve kişisel veri güvenliğinin öncelendiği bir yapıda yeniden organize edilir. Vaka sayılarının sürekli rekor tazelediği, ekonominin yakın dönemin en kırılgan zamanlarını geçirdiği bugünlerde HES uygulaması, tam kapanma gibi önlemlerin sosyal ve ekonomik sonuçlarına katlanmaksızın krizden çıkabilmeye yardımcı olabilecek, umut vadeden bir araç. Potansiyelini ortaya koyabilmesi ise yurttaşların uygulamayı endişeyle değil, güvenle kullanabilmelerine bağlı.
*Araştırmacı
[1] Haohuang Wen, Qingchuan Zhao, Zhiqiang Lin, Dong Xuan, Ness Shroff (12 Aralık 2020). A Study of the Privacy of COVID-19 Contact Tracing Apps.
[2] Ahmet Demirci (18 Nisan 2020). “Sağlık Bakanlığının hazırlamış olduğu Hayat Eve Sığar isimli uygulama yoğun kişisel veri toplamakta, aydınlatma metni ekte görüldüğü gibi KVKK’nun istediği kriterlerden yoksun, ayrıca açıkça veri işlenmesine dair rıza almadan, kişisel veri işlemektedir.” [Tweet].
[3] Sinan Sami Akkurt (28 Haziran 2020). Kişisel sağlık verilerinin işlenmesine ve COVID-19 pandemisi sürecinde mobil uygulamalarla paylaşılmasına hukukî bir bakış.
[4] Faruk Çayır (12 Ekim 2020). COVID-19 ile mücadelede dijital hak ve özgürlüklere saygı.
[5] Konuya ilgi duyan okuyucular gözetim tartışmalarının geniş bir özetini şurada bulabilirler.