Türkiye'de son 1 aydır "Casus Yazılım" konuşuyoruz. Önce Sedat Peker'in tweetleriyle öğrendiğimiz Cihan Ekşioğlu'nun casus yazılım satışı [1], sonra Enis Berberoğlu'nun anlattığı ve Sezgin Baran Korkmaz'ın bir iş insanının Whatsapp yazışmalarını kendi telefonundan gördüğü iddiası [2] ve sonra Uluslararası Af Örgütü ve Forbidden Stories Örgütü’nün ortaya koyduğu 50 bin kişilik Pegasus takip listesi [3].

Konuşuyoruz, çünkü kendi isteğimiz dışında haberleşmemizi kimin gördüğü ya da hükûmetin neyi, nasıl ve niçin takip ettiğini anlamaya çalışıyoruz.

Ancak bunlar zaten "tavşanın suyunun suyu"…  AKP hûkümeti zaten uzun zamandır takip/izleme sistemi oluşturmuş durumda. Çünkü hükûmet terör/adi suçlar v.s. için telefonları dinler. Mesela her ülkede bir kural, gelen yabancının telefonu dinlemeye takılır. Bizim ülkede de, adi suçlar ve terör dışında bu kadar Suriyeli, Afgan, diğerleri geldiği için dinlenmenin yapılması gerekli olabilir. Örneğin Reina saldırısını düşünün.

Ama bunun gelişigüzel ve kitlesel yapılması bir yana, mutlaka denetlenme tarafı olmalı. Yani suçluları dinlerken acaba hükûmet BTK eliyle, vatandaşlarını takip etmeye mi uğraşıyor. Bir tek şunla ya da bunla değil. Zaman zaman neler yapıldığını yazdık. Hâlâ yazacağımız bir "abone deseni" konusu var.

Ama şimdi başka bir olay söz konusu; O da “TİB”in başlattığı (RTP (IL) ismiyle bilinen bir kitlesel takip uygulamasının 3. parti bir şirkete bakım yaptırılması olayı.

TİB neydi?

Hatırlamayanlarınız ya da bilmeyenleriniz olabilir. Bir zamanlar TİB (Telekomünikasyon İletişim Başkanlığı) vardı. Bu TİB 2005 yılında "Telefon Dinlemelerini Koordine"[4] için kurulmuş bir yapıydı. 2007'den kurulan "İnternet Dairesi" birlikte, bu görevine  5651 sayılı kanunun uygulamaları ve interneti takip de eklenmişti [5]. Ancak 17/25 Aralık tapeleri ortaya çıktığında, AKP hükûmeti bu TİB'i FETÖ iddiasıyla ve çeşitli soruşturmalar yaptıktan sonra ortadan kaldırdı[6].

TİB aslında Avrupa Birliği üyeliği çerçevesinde kurulmuş bir yapıydı[7]. Yani o zamana kadar 9 farklı kurum tarafından yapılan dinlemeleri (Sahil Güvenlik, Jandarma, İçişleri Bakanlığı, MİT v.s.), tek bir noktadan ve belli bir sistem ile yapması hedefleniyordu. Daha önce bu 9 kurumdaki dinlemelerin usulsüz yapılması söz konusuydu. Keyfince istediğini dinleyenler oluyordu. Avrupa Birliği sisteminde ise, dinlemelerin talebi, izni ve geliş tarzı ile bu keyfilik ortadan kalkıyor. TİB resmi talebi izinleri tamam olarak alıyor ve izni isteyen bölüme bir hat sağlıyordu. Daha doğrusu yapması gereken buydu.

Aslında TİB ilk günden itibaren dinleme yapmaktan çok disklere kayıt alıyordu. Bu kayıtların normalde 2 yıl içinde imha edilmesi gerekiyordu. Önemli düzeyde bir kayıt depolama cihaz stoğuna sahipti. Bunlar 17/25 aralık sonrasında görüldü ki, 2005'den beri gelen dinleme kayıtları var. Bunlar o dönemde imha edildiler denildi. Öyle mi bilmiyoruz.

Bu arada yeniden belirtelim; hükûmet bir yandan da telefonları dinlemek "suçu engellemek" ya da "teröre karşı önlem" amaçlı olarak takip etmek zorunda.  Ama bunun gelişigüzel ve kitlesel yapılması bir yana, mutlaka denetlenme tarafı olmalı. Bizde eksik olan bu.

Eskiden de öyleydi. Yani yukarıda da dediğimiz gibi TİB, AB üyeliği çerçevesinde oluşturulmuştu ama eksik yanı denetlenmesi oldu. Dolayısıyla güya dinlemelerin güvenliğini koruması gerekirken, bizzat dinlemeleri kendi menfaati (ya da FETÖ menfaati) için yaptığı anlaşıldı.

Snowden itiraz etti… Bizde itiraz eden yok... Hatta farkında olan kaç kişi?

İşte bu TİB, 17/25 Aralık’tan 6 ay önce, 18 Temmuz 2013 tarihli ve 401 Sayı ile bir karar yayınladı[8]. Bu karar bakıldığında bunun aslında "Edward Snowden"in kendi ülkesine itiraz ettiği olayın aynısını görüyorsunuz. TİB bu kararla "Milli Güvenliği öne sürerek" şöyle diyor;

1. Tüm telekom operatörlerinin, kendi cebinden harcayacağı para ile, kendi sistemlerinin aynısını BTK için (o zaman TİB) kurması gerekliliği,
2. Bu sistemlerden geçecek trafiğin aynısının bu sunucular üzerinden geçirmesi ve BTK'nın (o zaman TİB'in) görmesini sağlaması
3. Aksi takdirde ceza alacakları...

Bu karar, 17/25 Aralık soruşturmaları v.s. arkasından bazı firmaların itirazları sonucu hemen yapılamasa da, bir süre sonra kuruldu. Yani BTK bugün operatörlerin üzerinden geçen tüm trafiği görebiliyor. Bunu da mahkeme kararı ya da başka bir tarafsız kontrol olmaksızın görüyor.

Bu yazıyı okuyanlardan birileri "Kişisel verilerin mahremiyeti"ni  soruyor olabilir. Başka birileri de "Ticari Sır"ı soruyor olabilir. Sonuçta, BTK bu verilere kimsenin iznini istemeden, ya da neye baktığına dair bir onay almadan ya da denetim olmadan bakabiliyor. Hem de 5-6 yıldan bu yana.

Bu verileri ilk isteyenin TİB yani FETÖ yapılanması olduğunu da düşünürseniz, sakıncayı daha iyi anlayabilirsiniz. Edward Snowden neye itiraz etmişti derseniz;

"Microsoft, Google, Facebook gibi 9 internet devinin tüm sunucularındaki verilere, muhtemelen tüm operatörlerin verilerine NSA (CIA) herhangi bir mahkeme izni olmaksızın, istediği gibi bakıyor."

NSA olayında olduğu gibi bizim ülkemizde de, BTK'nın gösterdiği neden, "Milli güvenlik" ama karşılığında şeffaflık ve denetim yok. Yani kim, bu verilere, ne nedenle bakıyor ve nasıl kullanıyor? Bunun iznini almış mı? Milli Güvenlik diyorsa da, bunu denetleyen var mı? Ya da bunu denetlendiği söylense, o yargıya --bugünkü koşullarımız içinde-- ne kadar güvenebileceğiz?

Ama şimdi daha trajikomik durum; bu verilere 3. parti şirketler bakacak

Ama şimdi daha acayip bir durum söz konusu. Mayıs sonunda “STH Yasal Takip Altyapısının Yenilenmesi Hakkında” konulu BTK yazısı ile 5397 sayılı Kanun, 5271 sayılı Kanun ve 5809 sayılı Kanun’un ilgili hükümleri doğrultusunda, işletmeciler tarafından tesis edilmesi gereken altyapının güncel teknolojilere cevap verebilecek şekilde tesis edilebilmesi için Kurum tarafından yürütülen teknolojik çalışmaların tamamlandığı, bu çerçevede gerekli entegrasyonun ivedilikle yapılması gerektiği belirtildi.

Arkasından da, bu süreci yönetebilecek 4 firmanın (Diligen, Digisecure, Voida ve Argela) bulunduğu, 30 Haziran tarihine kadar* bu firmalardan birisiyle sözleşme sürecinin tamamlanması ve BTK’ya bilgi verilmesi isteniyor.

Bunun anlamı şu; BTK diyor ki,

"Takip etmemiz için kurduğunuz sunuculara biz bakamıyoruz. 4 tane firmayı yetkilendirdik. Gelin bu firmalara para ödeyin. Onlar benim adıma yazılımı koysun ve yönetsinler".

Buradaki hukuki sorularımıza geçmeden önce ismini vermek istemeyen bir sektör uzmanı dedi ki;

"Bu dört firmadan fiyat talebine sadece 1 tanesi cevap verdi. O da Digisecure isimli firma. Bu firma ise fahiş fiyat istiyor (1 teklif gördük).  Üstelik işletmeciden işletmeciye değişen tutarlarda fiyat teklifi verildiği iddiası var. Kısacası tekel durumunda bir firma ve fahiş fiyatlar söz konusu deniliyor."

Nereden bakalım? Rekabet, kişisel veriler, ticari sır?

Bu olayın hukuki tarafını önümüzdeki günlerde bir hukukçu ile tartışacağız ama aldığımız bilgide, hukukçu olmadan da aklımıza gelenler şöyle;

1. BTK firmalara zorla kendi altyapılarını 2'ye katlayan bir altyapı yaptırmış. Bu dolaylı olarak telekom fiyatlarının tüketiciye yansıyan tarafını etkilemiştir. Yani halkın cebinden, halkı takip yatırımı yaptırılmış. (BTK'nın kendi maaşlarını, benzin paralarını vs ödediği ve kendisi dışındaki 10 üst kurulun toplam bütçesinin 2 katına ulaşan bütçesi olduğunu, bu bütçenin de operatörlerden, dolayısıyla bizim cebimizden çıktığını bir kez daha hatırlatalım).
2. BTK, kitlesel takip yapıyor. Bunu yaparken de izin ya da onay aldığı hukuki bir yer yok. Daha kötüsü denetlendiği bir yer yok. Yani "6698 sayılı "Kişisel Verileri Koruma" kanununu ihlal ediyor mu, etmiyor mu?" bilen, eden yok.
3. Bu verilere kimler erişiyor acaba? Verilere erişen kişilerin, bu verileri kötüye kullanmadığı ya da kendi menfaatine kullanmadığından nasıl emin olunur (sonuçta bu ilk olarak FETÖ tabanlı TİB tarafından alınmış bir kararla kurulmuş ve önümüzde neler yaptığına dair örnek var.)
4. Bu veriler arasında şirketlerin ticari sırları da var. Acaba bu ticari sırlar kötüye kullanılıyor mu?
5. Şimdi yine operatörlerin sırtına başka bir maliyet yükleniyor. Bu maliyet tüketicinin sırtına yansımayacak mı?
6. En önemlisi, BTK kendi ellediği, gördüğü kişisel verileri/ticari sırları şimdi "ben güveniyorum" diyerekparti bir şirket kullanıyor. Bu tamamen reddedilmesi gereken bir yaklaşım değil mi? Bu firmanın koyduğu yazılımın, tüm haberleşmenin bir kaydını alıp almadığını nasıl bileceğiz.

Anlayacağınız kimin, ne casus yazılımı varmış, Türkiye'ye satılmış v.s. araştırmaktan önce bunlar var. Biz zaten çoktandır ıcık-cıcık takip ediliyor ve kayda alınıyoruz. Bunun kullanıcılar/tüketiciler tarafından reddedilmesi ve mahkemelere taşınması gerekliliği açıktır.

En azından dinleme yapılması gerekiyorsa, arka planda denetlendiğini görmemiz gerekiyor. Tarafsız olduğuna kanaat getireceğimiz bir hukuki yapı tarafından. Bu TBMM çatısı altındaki muhalefet partileri ya da tarafsız olduğuna ikna olduğumuz yargıçlar tarafından yapılmalıdır.

Bugün ve geçmişten gelen yapısıyla BTK'ya güvenebilir miyiz? Üstelik geçen hafta bir hacker forumunda satışa çıkarılan BTK Veri tabanını da düşünürseniz. Bu veri tabanının üstelik, en önemli konu olan "Siber Güvenlikçilerin" bilgileri olduğunu da farkındaysanız [9].

Bu konu, hepimizi ilgilendiriyor. Herkesin casus yazılımlardan önce bunu farkında olması ve itiraz etmesi, takip-izleme sistemlerinde denetimin kurulmasını sağlamak için uğraşması lazım.

* 30 Haziran’a kadar bu işlem tamamlanamadı. Hâlâ sürüyor.

[1] Cihan Ekşioğlu’nun MİT’e Sattığı Yazılım Ne Yapar?

[2] Numara Girerek Whatsapp Mesajlaşma Nasıl Görülür?

[3] Af Örgütü : NSO Group Android ve iPhone Casus Yazılımı, Çeşitli Ülkelerde Muhaliflerin Öldürülmesiyle Bağlantılı

[4] TK, İletişim Başkanlığı Yönetmeliği Yayınlandı

[6] Tartışmalı Kurum TİB Kapatıldı, Yetkileri ve Personeli BTK’ya Devroldu

[7] TİB’in Geleceği Ne Olacak? TİB’in Geçmişine Bir Bakış

[8] BTK’dan Mahkeme Kararı Olmadan Dinleme Yapmaya Yönelik Karar (18 Temmuz ve 401 Sayılı Karar)

[9] BTK’nin Hacklendiği, Verilerinin Sızdığı İddia Ediliyor