• DOLAR
  • EURO
  • ALTIN
  • BIST
HES uygulaması bir yaşında. Sizce yeterli ki doğdu mu?

HES uygulaması bir yaşında. Sizce yeterli ki doğdu mu?

Laçin Yalçınkaya* 18 Nisan 2020 tarihinde kullanıma sunulan Hayat Meskene Sığar (HES) uygulaması bir yıldır hayatlarımızda. Bu birlikteliğin …

Laçin Yalçınkaya*

18 Nisan 2020 tarihinde kullanıma sunulan Hayat Meskene Sığar (HES) uygulaması bir yıldır hayatlarımızda. Bu birlikteliğin şimdi birinci günlerinde, Gazete Duvar müelliflerinden Mahmut Tezcan ve Murat Alan, BBC Türkçe’den Çağıl Kasapoğlu üzere isimler HES uygulamasının ferdî bilgilerin kapalılığı konusunda yaratabileceği mümkün tehlikeleri okurlarına aktarmıştı. Türkiye’nin ağır gündeminde kendine yer bulamasa da geçtiğimiz aralık ayında Ohio State Üniversitesi’nden bir küme araştırmacı HES uygulaması kullanıcılarının aygıt tanımlama bilgilerinin yakındaki başka cihazlarca açığa çıkartılabileceğini, bu yolla makul bir aygıtın takip edilmesinin mümkün olduğunu göstermişti [1]. Bilişim alanında çalışan kimi hukukçular HES uygulamasının aydınlatma metninin Şahsî Dataların Korunması Kanunu’nda belirtilen kıstasları karşılamadığını lisana getirmiş [2]; ortalarından kimileri bu durumu, ‘çözüme kavuşturulması gereken sıhhat krizinden doğan aceleye’ dayandırmıştı [3]. Ne var ki ortadan geçen bir yılda aydınlatma metninde, toplanan dataların “pandemi ile gayret müddetiyle sonlu olmak üzere” işleneceği sözünün eklenmesi dışında bir değişiklik yapılmadı. Bu hususa geri döneceğiz, öncesinde geçen bir yılı biraz daha hatırlayalım.

Uygulamanın birinci günlerinden itibaren dijital güvenlik uzmanları, HES uygulaması aracılığıyla toplanan bilgilerin temas takibi gerçekleştirmek için kâfi olacak data ölçüsünün çok üzerinde olduğunu savunmuştu. Yaklaşan sorunu erken tespit eden, ortalarında Türkiye’den Alternatif Bilişim Derneği’nin de yer aldığı, dünyanın birçok ülkesinden yüzün üzerinde sivil toplum örgütü 2 Nisan 2020 tarihinde ortak bir bildiri yayınlamıştı [4]. Sekiz ana husustan oluşan bildiride kısaca şirketler ve devletler, temas takip uygulamaları üzere dijital teknolojiler geliştirirken sıhhat hakkı ve mahremiyet hakkı üzere insan haklarına saygılı olmaya davet ediliyordu.

Öte yandan tesiri kanıtlanmış bir ilacın ya da aşının yokluğunda, Covid-19 krizi karşısında devletlerin elindeki araçlar mecburî izolasyon, okulların ve iş yerlerinin kapatılması, maske-mesafe-temizlik üçlüsü ve HES gibisi temas takip uygulamalarından oluşuyordu. Singapur Hükümeti, Dünya Sıhhat Örgütü’nün Covid-19 krizini pandemi ilan etmesinden sırf 9 gün sonra, 20 Mart 2020 tarihinde vatandaşlarına bir temas takip uygulaması sunarak bu alanda birinci oldu. Bugünse dünya genelinde 70’in üzerinde ülkede, 120’den fazla temas takip uygulamasının kullanımda olduğunu biliyoruz. Bu uygulamaların hepsinin emeli birebir olsa da çalışma prensipleri ve kullanıcılarından topladıkları datalar ortasında büyük farklılıklar var.

Alandaki uzmanların ezici çoğunluğu insan haklarına saygılı bir temas takip uygulamasının öncelikle “açık kaynak kodlu” olmasını, yani nasıl çalıştığını ve topladığı bilgileri nasıl kullandığını kamuoyuyla açık biçimde paylaşmasını savunuyor. Bununla birlikte uygulamanın merkezi olmayan bir yapıda olması, yani topladığı dataları tek bir merkezde depolamak yerine kullanıcıların kendi aygıtlarında saklayarak çalışması öneriliyor. Sebebi açık: Merkezi data tabanına gerçekleştirilebilecek bir siber akın sonucu milyonlarca kullanıcının şahsî datalarının sızdırılmasının önüne geçmek. Bir öbür teklif ise temas takibinde GPS tabanlı pozisyon servisleri yerine yalnızca Bluetooth teknolojisinin kullanılması: Bluetooth servisi açık iki aygıt birbirine gereğince yakınlaştığında, birbirlerini tanımak için ortalarında küçük birer bilgi paketi takas eder. Bu paketler birbirine yakınlaşan aygıtlarda saklanır. Böylece aygıtınızda, gün içinde yakınlaştığınız öbür aygıtların sahiplerinin bir listesi tutulmuş olur; lakin bu yakınlaşmanın hangi mahallenin hangi sokağında gerçekleştiğinin kaydı tutulmaz. GPS teknolojisi ise hangi kullanıcılarla yakınlaştığınızın yanı sıra bu yakınlaşmanın nerede gerçekleştiğinin ve gün boyunca attığınız her adımın kaydını fiyat. Sonuç olarak düzgün tasarlanmış bir uygulamanın temas takibi yapabilmesi için Bluetooth tek başına kâfi ve mahremiyetinize saygılı bir teknolojidir. Ayrıyeten internet kullanmaz ve daha az pil tüketir.

Bu çerçevede, 2020 yılının aralık ayında Prof. Dr. Cem Sefa Sütcü ile birlikte HES uygulamasını dünyadaki çeşitli temas takip uygulamalarıyla kıyasladık ve aşağıdaki tablo ortaya çıktı.

Birtakım temas takip uygulamaları ve çalışma prensiplerine nazaran konumlandırılışları. Görsel üzerinde sola ya da üst hareket edildikçe uygulamanın ferdî bilgi güvenliğine yönelik oluşturduğu risk artmaktadır.

HES UYGULAMASI VE YURTTAŞLARDA UYANDIRDIĞI KAYGILAR

HES uygulamasının tablo üzerindeki yalnızlığı, alandaki uzmanların telaş bildiren açıklamaları ile Twitter’da sıklıkla trending topic olan, HES uygulamasının kaldırılmasına ve HES kodunun iptal edilmesine yönelik hashtag’ler bir ortaya gelince; yurttaşların uygulamayla ilgili tasalarını keşfetmeye yönelik bir araştırma gerçekleştirmeye karar verdik. Farklı yaş kümelerinden, cinsiyetlerden, mesleklerden ve gelir kümelerinden, büyük kısmı üniversite eğitimi almış ya da almakta olan toplam 457 iştirakçiyle uyguladığımız bir çevrimiçi anket tasarladık. Anket sorularını üstte kelamı edilen, milletlerarası sivil toplum örgütlerince imzalanan bildirinin içeriğinden hareketle şekillendirdik.

Araştırmamızın sonuçları, Türkiye’de yükseköğretimle tanışmış her 10 şahıstan yalnızca 3’ünün HES uygulamasına çeşitli düzeylerde itimat duyduğunu gösterdi. Kalan 7 kişi ise cinsiyetlerinden, mesleklerinden, gelir düzeylerinden bağımsız formda HES uygulamasına karşı tasa besliyor; bu tasanın düzeyi yaşla birlikte artıyor. Sonuçlara nazaran bireylerin HES uygulamasıyla ilgili telaşlarının ötesinde, daha baskın bir tasaları var: Pandeminin, devletin teknoloji aracılığıyla gerçekleştirebileceği süresiz nezaret için bir mazeret olarak kullanılması. Bu bahiste tasa taşımadığını belirten bireylerin oranı yüzde 18. Buna ek olarak, iştirakçilerin yarısından fazlası HES uygulamasının aygıtlarındaki şahsî datalarına kendi istekleri olmaksızın erişebildiğini düşünüyor.

Sıra geri döneceğimiz kısma geldi: Araştırmamıza katılan her yüz şahıstan sadece 9’u HES uygulamasının aydınlatma metnine eklenen, dataların “pandemi ile gayret müddetiyle hudutlu olmak üzere” işleneceği sözüne inanıyor. Bu inanç sorunu, uygulamaya verilen yetkilerde belirginleşiyor: İştirakçilerin yarıdan fazlası HES uygulamasının Bluetooth erişim isteğini, çeyreği ise GPS tabanlı pozisyon bilgilerine erişme talebini reddettiğini belirtti. Uygulama bu yetkilere sahip olmadığında temas takibi gerçekleştirmesi teknik olarak mümkün olmuyor, hasebiyle en kıymetli misyonunu yerine getiremiyor. Böylelikle uygulamanın kamu sıhhatine hizmet etme amacı, uygulama geliştiriciye duyulan güvensizliğin kurbanı oluyor. Bu güvensizlik büyük oranda şeffaflık eksikliğiyle açıklanabilir: Her 5 iştirakçiden 4’ü, uygulamayla paylaştıkları dataların hangi gayelerle toplandığının ve ne halde kullanılacağının kendileriyle gereğince açık halde paylaşılmadığını düşünüyor. HES uygulaması deneyiminden sonra, gelecekte ortaya çıkabilecek yeni bir pandemide devletin sunacağı yeni temas takip uygulamasını hiçbir kaygı duymadan kullanabileceğini tabir eden iştirakçilerin oranı ise yüzde 6 düzeyinde kaldı.

Pekala fakat devlet şahsî bilgilerimize aslında sahip değil mi? HES uygulaması ile paylaşmanın ne sakıncası olabilir?

HES uygulamasıyla paylaştığınız datalar doğum tarihiniz ya da cep telefonu numaranız üzere halihazırda devletle paylaştığınız bilgilerin ötesinde, ferdî sıhhat bilgilerinizi ve tercihiniz doğrultusunda anlık pozisyon datalarınızı de içeriyor. Bu bahis sıklıkla dar bir pencereden, “devlet beni neden gözetlesin?” sorusu etrafında bedellendiriliyor. Bu soru bilhassa geçtiğimiz yüzyılda tekraren, ayrıntılı formda yanıtlandı [5]. Bu yüzden bu defa bakış açımızı değiştirelim ve mevzuyu Ohio State Üniversitesi’nden Haohuang Wen ve arkadaşlarının çalışması üzerinden ele alalım. Dünyadan 41 temas takip uygulamasının incelendiği araştırma sonuçları, HES kullanıcılarının aygıtlarının Bluetooth tanımlama bilgilerinin açığa çıkartılabildiğini, daha da değerlisi bu bilgilerin sabit olduğunu göstermişti. Yani aygıtınızın Bluetooth servisi açıkken etraftaki öbür aygıtlarla paylaştığı bir kod vardı ve bu kod hiç değişmediği için, aygıtın size ilişkin olduğunu bilen biri özel kodunuz üzerinden sizi takip edebilirdi. HES uygulaması, çalışma kapsamında incelenen 41 uygulama ortasında bu güvenlik açığına sahip 2 uygulamadan biriydi. Kelam konusu güvenlik açığının önüne geçmek için HES uygulamasının, dünyadaki pek çok örnekte gördüğümüz üzere, Bluetooth tanımlama bilgilerini saatte birkaç kere yenileyecek biçimde güncellenmesi gerekiyordu. Wen ve arkadaşlarıyla yakın vakitte bağlantıya geçtiğimde bu güvenlik açığını yetkililere HES uygulamasının irtibat adresleri aracılığıyla ilettiklerini, fakat cevap alamadıklarını söz ettiler. Uygulamanın daha yeni versiyonlarında bu açığın giderilip giderilmediğini bilmiyoruz.

Üstelik bu güvenlik açığı muhtemel berbat senaryolardan sadece biri. Biraz durup HES uygulamasıyla paylaşılan bilgileri korumakla yükümlü kişi ve kurumların bir formda, milyonlarca vatandaşın bilgilerinin sızmasına sebep olduğunu düşünelim. Bu durum şaşırtan olmaktan uzak olurdu, zira örneklerine daha evvel tekraren şahit olduk. Yalnızca geçtiğimiz ay toplumsal medya devi Facebook yüz milyonlarca, Yemeksepeti ise on milyonlarca kullanıcısının ismi, soyadı, adresi, telefon numarası, doğum tarihi üzere ferdî bilgilerini sızdırdı. Artık de misal halde HES uygulamasının merkezi data tabanından bir sızıntı gerçekleştiğini düşünelim ve bu dataların, örneğin iş aramak için kullandığınız dijital platformların eline geçtiğini varsayalım. Bir ilana başvurduğunuzda, müracaat yaptığınız şirketin ne vakit uyuyup ne vakit uyandığınızı bilmesini ister miydiniz? Zira bir sızıntı olursa, sızan datalarınız ortasında aygıtınızın hareketlerini kaydeden sensör dataları de yer alacak. Şayet aygıtınız istikrarlı formda sabahları saat 11’den evvel yerinden oynamıyorsa bu durum, bilginizi elinde bulunduranlara uyanış saatinizle ilgili yeterli bir fikir verecektir. Dijital bilgilerin çağdaş dünyada ne kadar kıymetli bir hammadde olduğunu bir kez kavradığımızda, bu tıp olumsuz senaryoların nerelere uzanabileceğini hayal etmek güç değil.

Her şeye karşın bugün, dijital teknolojilerin sunduğu imkanlardan bütünüyle uzak durmak da onları şartsız kabul etmek kadar sıkıntılı bir yaklaşım. Bu sebeple, HES uygulamasının birinci yaş günü için kaleme aldığım bu yazıyı yeni yaşı için birtakım temennilerde bulunarak sonlandıracağım. Dilerim uygulama bir an evvel, alandaki uzmanların tavsiyeleri göz önünde bulundurularak şeffaflığın, denetlenebilirliğin ve ferdî data güvenliğinin öncelendiği bir yapıda yine organize edilir. Hadise sayılarının daima rekor tazelediği, iktisadın yakın devrin en kırılgan vakitlerini geçirdiği bugünlerde HES uygulaması, tam kapanma üzere tedbirlerin toplumsal ve ekonomik sonuçlarına katlanmaksızın krizden çıkabilmeye yardımcı olabilecek, umut vadeden bir araç. Potansiyelini ortaya koyabilmesi ise yurttaşların uygulamayı tasayla değil, inançla kullanabilmelerine bağlı.

* Araştırmacı – @lacinyalcinkaya

[1] Haohuang Wen, Qingchuan Zhao, Zhiqiang Lin, Dong Xuan, Ness Shroff (12 Aralık 2020). A Study of the Privacy of COVID-19 Contact Tracing Apps.

[2] Ahmet Demirci (18 Nisan 2020). “Sağlık Bakanlığının hazırlamış olduğu Hayat Meskene Sığar isimli uygulama ağır ferdî data toplamakta, aydınlatma metni ekte görüldüğü üzere KVKK’nun istediği kriterlerden mahrum, ayrıyeten açıkça bilgi işlenmesine dair istek almadan, şahsî bilgi işlemektedir.” [Tweet].

[3] Sinan Sami Akkurt (28 Haziran 2020). Şahsî sıhhat bilgilerinin işlenmesine ve COVID-19 pandemisi sürecinde taşınabilir uygulamalarla paylaşılmasına tüzel bir bakış.

[4] Faruk Çayır (12 Ekim 2020). COVID-19 ile gayrette dijital hak ve özgürlüklere hürmet.

[5] Hususa ilgi duyan okuyucular nezaret tartışmalarının geniş bir özetini şurada bulabilirler.

Sosyal Medyada Paylaşın:
Etiketler:
2020 gün tek uygulama Yakın

BİRDE BUNLARA BAKIN

Düşüncelerinizi bizimle paylaşırmısınız ?

Yorum yazmak için giriş yapmalısın

  • ÇOK OKUNAN
  • YENİ
  • YORUM