Tuzağa düşmeyin – İsmail Göçüm

Son günlerde, Fecebook’a bağlı WhatsApp’ın kişisel veri paylaşımı ile ilgili çok şey yazılıp çizildi… Yağmurdan kaçayım derken, doluya yakalanmayın!..

Otoriter ülkelerde devletler her şeyin üzerindedir; kendi güvenlikleri için vatandaşlarının özgürlüklerini hiçe sayarlar.

Yağmurdan kaçayım derken, doluya yakalanmayın!…

WhatsApp uygulamalarına alternatif olarak geliştirilen; BİP, TELEGRAM, SİGNAL gibi benzeri uygulamalar da var. Kişisel verilerin üçüncü kişilere servis edilmesi konusunda, kullanıcılar açısından bunların hangisi daha güvenlidir?

Son günlerde, Fecebook’a bağlı WhatsApp’ın kişisel veri paylaşımı ile ilgili çok şey yazılıp çizildi.

Kişisel verilerin paylaşılması konusunda, Facebook’a bağlı bir şirket olan WhatsApp uygulamaları ile ilgili yeni anlaşma dayatması yolundaki haberler ve bu kuruluşlara üye olan bir çok kullanıcı açısından kafa karışıklığına neden oldu.

Bu yazıda, özellikle mesajlaşma, grup kurma, sesli ve görüntülü haberleşme alanında alternatif olarak sunulan BİP, Telegram gibi uygulamaların kullanılması yönündeki özendirici açıklamalar üzerinde durmak istiyorum.

Devletin üst düzey yöneticileri tarafından ballandıra ballandıra anlatılan BİP bilgileri kullanıcılar açısından ne kadar güvenilir; sorgulamak gerekir…

Bütün devletlerin şöyle bir özelliği vardır. Kendi güvenliklerini sağlam temellere bağlama; buradaki sağlam temeller kişilerin güvenliği için değil, devletin otoriter yapısının korunması içindir. Bu tür Devletler aldıkları kararları vatandaşlarının güvenliği için değil, özellikle kendi güvenliklerini sağlamak için kullanırlar.

O zaman şu iki şıkkı sormak gerekir;
a)- Devlet vatandaşlarının için güvenli için mi vardır?
Yoksa,
b)- Vatandaşlar devletin güvenliği için mi vardır?

Eğer, a)- şıkkı diyorsanız, devlet size güven duyuyor demektir. Bu yönü ile sizden herhangi bir kişisel veri istemesi saçma ve gereksizdir.

Eğer, b)- şıkkı diyorsanız, devlet size güven duymuyor demektir. Bununla birlikte, sizi kontrol altında tutmak için sizin her türlü hareket, davranış ve düşünce yapılanmanızdan haberdar olmasına ihtiyaç duymaktadır. Bu yönü ile her türlü kişisel veriniz devletle paylaşma gibi bir mecburiyet içine girmeniz gerekmektedir. Başka bir seçeneğiniz yoktur.

Daha önce kişisel veri haklarının korunması ile ilgili WhatsApp uygulamalarına yönelik bir paylaşımda bulundum. Kopyala, yapıştır şeklindeki bu paylaşımda ne deniyordu?

HERKES KOPYALAYIP YAPIŞTIRSIN
RESMILEŞTI DİKKAT!!!
T.C. Başbakanlık Personel ve Prensipler Genel Müdürlüğünün 16.02.2016 tarih ve 69471265-010-06/1955 sayılı Milli Güvenliği tehdit eden örgüt ve yapılarla irtibatlı kamu çalışanları hakkındaki Genelge (2016/4) Resmi Gazetede yayınlanmıştır. Ayrıca MİT Müsteşarlığı Sosyal Ağ Bildirgesi doğrultusunda Facebook’un güvenlik açığından ötürü hesabım üzerinde bulunan tüm verilerimin (IP, fotoğraflarım, paylaşımlarım vs.) çarpıtma yolu ve yasa dışı bir şekilde sahte kişilerce kullanılmasından ve doğabilecek tüm zararlardan ilgili Türk Ceza Kanunu maddeleri gereğince Facebook sorumludur. Bu hesabımdan başka bir hesabım olmadığını bildirir ve gereğinin buna göre yapılmasını tarafınıza arz ederim.

Sadece bu uyarıya dikkat çekmek…

Basit bir kopyala ve yapıştırmanın maliyeti yok, üzgün olmaktansa güvende olmak daha iyidir.

Aksi takdirde tüm Facebook’u etkisi altına alan yanlış bilgi dalgası daha da yayılacak! Facebook konu ile ilgili birkaç ay önce bir açıklama yayınlamış, bu açıklamada kullanıcılardan bu tarz “kopyala yapıştır” içeriklere inanmamalarını istemişti.

Facebook, “Kontrol Sende” başlıklı açıklamasında şu ifadeleri kullanmıştı:

Facebook’ta paylaştığın şeylerin kontrolünü elinde bulundurmak için bir bildirimi kopyalayıp yapıştırman gerektiğini söyleyen bir gönderi görmüş olabilirsin. Buna inanma. Koşullarımızda çok net bir şekilde belirtiliyor: Facebook’ta paylaştığın bilgilerin ve içeriklerin tamamı senin mülkiyetindedir ve bu bilgilerin nasıl paylaşıldığını gizlilik ve uygulama ayarların aracılığıyla kontrol edebilirsin. Bu uzun süredir böyle ve değişmedi.

Facebook’ta paylaştıklarını kimlerin görebileceğini öğrenmek ve diğer konular hakkında bilgi almak için Gizlilikle İlgili Temel Bilgileri ziyaret edebilirsin.

Ayrıca Veri İlkesi’ni okuyarak hangi bilgileri topladığımızı ve bu bilgilerin nasıl kullanıldığını ve paylaşıldığını öğrenebilirsin. Facebook’taki deneyimin hakkında bilgi ve kontrol sahibi olmanı istiyoruz.

İddiaların dayandırıldığı “Kanal 13”ün hangi televizyon kanalı veya medya kuruluşu olduğu belirtilmezken, CBS13 televizyonu konuyla ilgili çok sayıda endişeli izleyiciden mesaj aldıklarını ifade ederek, Facebook’un gizlilik ayarları değişikliği ile ilgili son zamanlarda hiçbir haber yapmadıklarını açıkladı.

Ayrıca metinde geçen “Roma Statüsü” Birleşmiş Milletler Konferansı’nın 1998 yılında karara bağladığı Uluslararası Ceza Mahkemesi’nin (UCM) Kuruluş Statüsü’dür. Roma Statüsü’ne taraf olan 124 ülke, UCD’nin yetkisini tanımaktadır. Türkiye Statü’ye taraf değildir.

Statünün tam olarak konuyla nasıl bir bağlantısının kurulduğunun anlaşılamadığı metni kopyalayıp yapıştırmanın kullanıcılara herhangi bir hak kazandırmayacağı gibi sahtekarlığın önüne geçmesinin mümkün olmadığı da söylenebilir.

Facebook, kullanıcıların verilerini nasıl topladığını ve nasıl kullandığını Veri İlkesi’nde açıklıyor. Her kullanıcı Facebook’a üye olurken bu ilke ve kuralları kabul etmiş sayılıyor. Yani, yukarıdaki gibi bir metni, kullanıcıların duvarlarına yapıştırmasının hiçbir anlam taşımadığını söylemek mümkün.

Buraya kadar her şey çok anlaşılır.

Peki WhatsApp ile ilgili bu tür asparagas haberler neden sık sık gündeme geliyor. Gelin olayın iç yüzünü aşağıdaki bilgilerden öğrenelim.

“BiP, her şeyiyle bizim, her şeyiyle Türkiye’nin yerli uygulaması!”

Kişi;
“WhatsApp’ın yeni uygulamaya koyduğu politikadan dolayı ayrılıyorum” diyor. BİP’i indirerek bu uygulamaya katılıyor.

BİP, %100 Türk mühendisleri tarafından geliştirilen, ücretsiz iletişim ve yaşam platformu mu?

Google Arama motoru ve Microsoft uygulamalarının devamı olan bu kurumlar;
“BiP senin yol arkadaşın, mesajlaşmadan çok daha fazlası. Magazinden spora, hava durumundan döviz kurlarına, günlük hayatında hizmetler keşfetmen için seni bekliyor.

BiP’in çeviri özelliği sayesinde, sınır tanımayan iletişim parmaklarının ucunda. Arkadaşlarınla her dilde mesajlaşabilir, gelen mesajlarını istediğin dile çevirebilirsin. Arkadaşlarınla sınırsızca yazışabildiğin gibi, HD kalitesinde sesli ve görüntülü görüşmelerini ya da 10 kişiye kadar grup görüntülü görüşmelerini de BiP’ten yapabilirsin.”deniyor.

Peki bu uygulamada “kişisel veriler” nererede saklanıyor ve işleniyor?
Bunun yanıtını BİP şöyle veriyor;

“BiP sunucuları Türkiye’de bulunmakta olup, kullanıma ilişkin tüm veriler Türkiye’de saklanmaktadır.”diyor.

“Yurtdışında bulunan operatörlerin işbirliği kapsamında, kendi ülkelerinde BiP kullanımları doğrultusunda bu ülke kullanıcıları ile ilişkili veriler ilgili operatöre aktarılabilir ve o operatör sunucularında saklanabilir. BiP, Kişisel Verilerin güvenli bir şekilde ve bu Politika ile Veri Koruma Mevzuatına uygun olarak işlenmesini sağlamak için makul tüm tedbirleri almaktadır. Kişisel Verilerin aktarımı yalnızca yürürlükteki Veri Koruma Mevzuatına uygun olarak ve yürürlükteki yasaların gerektirdiği şekilde tarafların yeterli koruma düzeyini güvence altına alan uygun koruma önlemlerini alması halinde gerçekleştirilir.” deniyor.

Kişisel Veriler Kiminle ve Hangi Amaçlarla Paylaşılıyor?

“BiP, elde ettiği Kişisel Verileri bu Politikada yer verilen amaçlar ve düzenlemelere uygun olarak aşağıdaki taraflarla paylaşabilecektir:

*Kullanıcılar ya da kullanıcı;
Kullanıcı, uygulamanın bir parçası olarak Kişisel Verileri diğer kullanıcılarla (Resmi Hesaplar dâhil) paylaşabilir, böylece kullanıcılar hizmetin işlevselliği ve kendi tercihleri doğrultusunda ve yürürlükteki yasalar tarafından izin verildiği ölçüde diğer kullanıcılarla etkileşime girebilirler. Bir Kullanıcının başka bir ilgili kişiye ait Kişisel Verileri paylaşması durumunda, söz konusu Kullanıcı, bu paylaşımın tüm sorumluluğunu üstlenir.

*Yasal yükümlülükler doğrultusunda adli makamlar, düzenleyici kurumlar ve diğer taraflar:
BiP yasal bir yükümlülük dâhilinde Kişisel Verileri sunmakla yükümlü olduğu ve gerek kendi haklarını, mülkiyetini veya güvenliğini gerekse üçüncü kişilerin haklarını, mülkiyetini veya güvenliğini korumak amacıyla yetkili mercilerle paylaşabilir.”deniyor.

Allasen bunun neresi güvenli?. Aşağıdaki yazıyı okuyunca sorgulamadan edemiyor.

“DİJİTAL FAŞİZME ‘DUR’ DİYELİM”
Twitter üzerinden açıklamada bulunan BİP basın danışmanı Koç;
“Veri mahremiyeti açısından AB ve diğer ülkeler ayrımı kabul edilemez! Bilgi ve İletişim Güvenliği Rehberi’nde de belirttiğimiz gibi yabancı menşeli uygulamalar veri güvenliğine yönelik önemli riskler içeriyor. Bu sebeple dijital verimizi yerli ve milli yazılımlarla korumalı, kendi ihtiyaçlarımıza göre geliştirmeliyiz. Unutmayalım yerli milli çözümler sayesinde Türkiye’nin verisi Türkiye’de kalır. Yabancı menşeli muadillerinden çok daha fazlası, BİP ve Yaay gibi milli ürünlerimiz de var. Tüm vatandaşlarımızı yerli ve milli uygulamaları kullanmaya davet ediyoruz. Sayın Cumhurbaşkanımız Recep Tayyip Erdoğan’ın belirttiği gibi dijital faşizme hep birlikte karşı duralım” ifadelerini kullanıyor.

Bağımsız gözlemciler ise,
Türkiye’de WhatsApp’tan alternatif uygulamalara geçiş hızlanırken, tavsiye edilen yerli uygulamalardan biri olan BİP’in veri politikasının Whatsapp’tan pek te farklı olmadığını öne sürüyorlar.

BİP’in resmi sitesinde kişisel veri toplama politikasıyla ilgili yer alan ifadeler şöyle:

*Kimlik ve İletişim Bilgileri:
Telefon numarası, kullanıcı adı (rumuz), avatar, GSM operatörü, e-posta adresi ve diğer benzer veriler, üyelik bilgileri, Uygulamada (varsa) kimlik doğrulama ve hesaba erişim için kullanılan şifreler gibi veriler;

*Kullanım Bilgileri ve Favoriler:
Cihazınızdan teknik ekipmanlar yoluyla toplanan çeşitli teknik veriler, (içeriği hakkında hiçbir bilgi toplamaksızın) gönderilmiş iletilerin türü (yazılı mesaj, video vb.), tercih ettiğiniz dil, aktif kullanılan zamanlar, kullanılan hizmetlerin türü, Uygulama arayüzüne ilişkin kullanım alışkanlıkları, Uygulamaya en son giriş yapılan tarih, Uygulamanın kullanımı sırasında meydana gelen hatalar dâhil, ancak bunlarla sınırlı olmamak kaydıyla, Uygulama aracılığıyla yapılan memnuniyet anketi veya benzer anketlerin sonuçlarına ilişkin veriler;

*Konum Bilgileri:
Kullanıcıların (yaklaşık) konumlarına ilişkin veriler. Bunlar, tarafınızca kontrol edilen cihaz ayarlarına bağlı olarak, GPS verilerinin yanı sıra yakınlardaki baz iletim istasyonları, etkin Wi-Fi noktaları ve IP adreslerinden alınan konum ve navigasyon verilerini kapsamaktadır.

*Ödeme Bilgileri:
Herhangi bir Uygulama içi satın alma işlemi gerçekleştirmeniz durumunda ilgili fiyat, fatura, fatura numarası, vergi tutarı ve ödeme yöntemini içeren ödeme bilgileri.

*Cihaz Bilgileri:
Cihaz modeli, cihazın işletim sistemi, tercih edilen telefon dili, kullanıcıların hangi operatörü kullandığına ilişkin bilgiler, ülke bilgileri gibi veriler.

*Trafik Bilgileri:
İletişim türü (BiP Çağrıları, anlık mesajlar vb.), iletişimin süresi, tarihi ve tarafları, iletişim kurulan kişiler ile ilgili veriler. BiP, Uygulama üzerinden kurulan iletişiminizin içeriğiyle ilgili herhangi bir veri toplamaz.

*Yedekleme Bilgileri:
Kullanıcıların talep etmesi durumunda, iletişim verileri BiP tarafından yedeklenebilir.

*Adres Defteri Bilgileri:
Telefon numaraları, kişi adları, soyadları ve kullanıcının cihazında depolanan ilgili ayrıntıları içeren Kişi Listesi.

*Rumuz, Profil Fotoğrafı, Durum Bilgisi, Engellenen Numaralar.

Gizlilik Politikasına gelince:

“BiP Uygulamasının tüm yasal haklarının sorumluluğu Turkcell Şirketi’ne aittir. Bununla ilgili bilgi almak için turkcell.com.tr bakabilirsiniz.”deniliyor

Turkcell, BiP Uygulaması’nın kullanımı ve dağıtılmasını serbest bırakmıştır. Üzerinde geliştirme hakları tamamen kendilerini ait olup;
“tüzel olmayan herhangi kişiler tarafından bir müdahaleye izin vermemektedirler.”deniliyor.

Bu uygulamayı sitelerde tanıtmak, dağıtımını yapmak ise serbesttir. Ancak bu tarz sitelerin uygulama hakkında herhangi bir sorumluluğa sahip tutulması ve doğacak sorunlardan suçlu gösterilmesi söz konusu bile değildir. Yalnız;
“Yasal hak ve hukuk çerçevesinde tüm haklara sahip olan Turkcell’dir.” deniliyor.

Fakat; şu nokta çok önemli. “tüzel olmayan herhangi kişiler tarafından bir müdahaleye izin vermemektedirler.”
Peki, bu tüzel kişiler kimler?… Devlet mi, Şirketler mi belirtilmiyor.

KİŞİSEL VERİLER KİMLERLE PAYLAŞIYOR?

*Kullanıcılar:
BiP ve kullanıcı, Uygulamanın bir parçası olarak Kişisel Verileri diğer kullanıcılarla (Resmi Hesaplar dâhil) paylaşabilir, böylece kullanıcılar hizmetin işlevselliği ve kendi tercihleri doğrultusunda ve yürürlükteki yasalar tarafından izin verildiği ölçüde diğer kullanıcılarla etkileşime girebilirler. Bir Kullanıcının başka bir ilgili kişiye ait Kişisel Verileri paylaşması durumunda, söz konusu Kullanıcı, bu paylaşımın tüm sorumluluğunu üstlenir.

*Hizmet sağlayıcılar, ortaklar ve danışmanlar:
BiP’e veya BiP’in ortaklarına pazarlama ve diğer ticari faaliyetler alanında hizmet veren, BiP’e danışmanlık eden veya diğer ticari faaliyetlerde BiP’in birlikte çalıştığı üçüncü şahıslar. BiP, hukuka uygun olması durumunda, Kişisel Verileri pazarlama ve diğer iş ortaklarına, ayrıca BiP veya üçüncü şahıslarca ilginizi çekebileceği düşünülen farklı ürün veya hizmetleri size sunmak isteyen özenle seçilmiş diğer üçüncü şahıslara iletebilir. Söz konusu üçüncü şahısların Kişisel Verileri yalnızca BiP’in talimatlarına veya kullanıcıların (varsa) pazarlama tercihlerine uygun olarak kullanmasına izin verilir ve uygulanabilir olduğu ölçüde söz konusu şahıslarla imzalanan veri işleme anlaşmalarına uygun olarak bu bilgileri güvende tutmaları gerekir.

*Yasal yükümlülükler doğrultusunda adli makamlar, düzenleyici kurumlar ve diğer taraflar:
BiP’in yasal bir yükümlülük dâhilinde Kişisel Verileri sunmakla yükümlü olduğu ve gerek kendi haklarını, mülkiyetini veya güvenliğini gerekse üçüncü kişilerin haklarını, mülkiyetini veya güvenliğini korumak, yasa dışı faaliyetleri veya sizinle yapmış olduğumuz herhangi bir anlaşmaya ilişkin ihlalleri tespit etmek ve araştırmak adına Kişisel Verileri ifşa etmek zorunda olduğu üçüncü şahıslar.

Bakın, yukarıdaki pasajdan da anlaşılacağı gibi, kişisel verilerin üçüncü kişilerle paylaşılması konusunda BİP’in hiç bir güvenilirliği sözkonusu değildir. Kaldı ki; BİP kendi güvenilirliğini devletin güvenliğinde görmektedir. Bu açıdan yukarıda da belirtildiği gibi, burada tekrarlamak gerekirse;
“Roma Statüsü” Birleşmiş Milletler Konferansı’nın 1998 yılında karara bağladığı Uluslararası Ceza Mahkemesi’nin (UCM) Kuruluş Statüsü’dür. Roma Statüsü’ne taraf olan 124 ülke, UCD’nin yetkisini tanımaktadır. Türkiye Statü’ye taraf değildir.

Bir Rus uygulaması olan ve türk devlet yetkililerinin ve özellikle de Başkan Erdoğanın kullandığı TELEGRAM ağı ne kadar güvenli?

Uzmanlar, TELEGRAM da uçtan uca şifrelendirme uygulamasının olmadığı görüşünde.
Peki uçtan uca şifrelendirme nedir?
Uçtan uca şifrelendirme; kullanıcıların her iki tarafında da verilerin herhangi bir veri havuzunda toplanmaması anlamına geliyor.

Peki bu uçtan uca şifrelendirme hangi uygulamada var. Yine bağımsız gözlemci ve uzmanların belirttiğiniz göre uçtan uca şifrelendirme SİGNAL uygulamasında bulunduğu, en güvenli haberleşmenin bu kurum aracılığı ile yapılabileceği görüşündeler.

SIGNAL neden güvenli?
Bu yazılımın sahiplerinin bağımsız, her hangi bir devlet va da şirketlerden bağımsız gönüllü mühendislerden alternatif bir uygulama.

Signal, Veri Güvenliği açısından kullanılabilir en uygun uygulama.

Telegram; Veri Güvenliği açısından en güvensiz bir kurum.

Kişisel verilerin paylaşılması konusunda BİP, kendi güvenilirliğini devletin güvenliğinde görmektedir.

Kullanıcılar, yukarıdaki uygulamalardan her hangi birisini seçmek durumundalar! Tabii, devletler ve şirketlerden (Tüzel kişiler) önce kendi güvenlikleri önemli.

İsmail Göçüm – 15.01.2021