HES uygulaması bir yaşında. Sizce iyi ki doğdu mu?

Laçin Yalçınkaya*

18 Nisan 2020 tarihinde kullanıma sunulan Hayat Konuta Sığar (HES) uygulaması bir yıldır hayatlarımızda. Bu birlikteliğin şimdi birinci günlerinde, Gazete Duvar muharrirlerinden Mahmut Tezcan ve Murat Alan, BBC Türkçe’den Çağıl Kasapoğlu üzere isimler HES uygulamasının ferdî bilgilerin saklılığı konusunda yaratabileceği muhtemel tehlikeleri okurlarına aktarmıştı. Türkiye’nin ağır gündeminde kendine yer bulamasa da geçtiğimiz aralık ayında Ohio State Üniversitesi’nden bir küme araştırmacı HES uygulaması kullanıcılarının aygıt tanımlama bilgilerinin yakındaki öteki cihazlarca açığa çıkartılabileceğini, bu yolla belli bir aygıtın takip edilmesinin mümkün olduğunu göstermişti [1]. Bilişim alanında çalışan kimi hukukçular HES uygulamasının aydınlatma metninin Şahsî Bilgilerin Korunması Kanunu’nda belirtilen kıstasları karşılamadığını lisana getirmiş [2]; ortalarından kimileri bu durumu, ‘çözüme kavuşturulması gereken sıhhat krizinden doğan aceleye’ dayandırmıştı [3]. Ne var ki ortadan geçen bir yılda aydınlatma metninde, toplanan bilgilerin “pandemi ile çaba müddetiyle hudutlu olmak üzere” işleneceği tabirinin eklenmesi dışında bir değişiklik yapılmadı. Bu hususa geri döneceğiz, öncesinde geçen bir yılı biraz daha hatırlayalım.

Uygulamanın birinci günlerinden itibaren dijital güvenlik uzmanları, HES uygulaması aracılığıyla toplanan dataların temas takibi gerçekleştirmek için kâfi olacak bilgi ölçüsünün çok üzerinde olduğunu savunmuştu. Yaklaşan sorunu erken tespit eden, ortalarında Türkiye’den Alternatif Bilişim Derneği’nin de yer aldığı, dünyanın birçok ülkesinden yüzün üzerinde sivil toplum örgütü 2 Nisan 2020 tarihinde ortak bir bildiri yayınlamıştı [4]. Sekiz ana unsurdan oluşan bildiride kısaca şirketler ve devletler, temas takip uygulamaları üzere dijital teknolojiler geliştirirken sıhhat hakkı ve mahremiyet hakkı üzere insan haklarına saygılı olmaya davet ediliyordu.

Öte yandan tesiri kanıtlanmış bir ilacın ya da aşının yokluğunda, Covid-19 krizi karşısında devletlerin elindeki araçlar zarurî izolasyon, okulların ve iş yerlerinin kapatılması, maske-mesafe-temizlik üçlüsü ve HES gibisi temas takip uygulamalarından oluşuyordu. Singapur Hükümeti, Dünya Sıhhat Örgütü’nün Covid-19 krizini pandemi ilan etmesinden sadece 9 gün sonra, 20 Mart 2020 tarihinde vatandaşlarına bir temas takip uygulaması sunarak bu alanda birinci oldu. Bugünse dünya genelinde 70’in üzerinde ülkede, 120’den fazla temas takip uygulamasının kullanımda olduğunu biliyoruz. Bu uygulamaların hepsinin hedefi tıpkı olsa da çalışma prensipleri ve kullanıcılarından topladıkları datalar ortasında büyük farklılıklar var.

Alandaki uzmanların ezici çoğunluğu insan haklarına saygılı bir temas takip uygulamasının öncelikle “açık kaynak kodlu” olmasını, yani nasıl çalıştığını ve topladığı bilgileri nasıl kullandığını kamuoyuyla açık biçimde paylaşmasını savunuyor. Bununla birlikte uygulamanın merkezi olmayan bir yapıda olması, yani topladığı bilgileri tek bir merkezde depolamak yerine kullanıcıların kendi aygıtlarında saklayarak çalışması öneriliyor. Sebebi açık: Merkezi bilgi tabanına gerçekleştirilebilecek bir siber hücum sonucu milyonlarca kullanıcının şahsî bilgilerinin sızdırılmasının önüne geçmek. Bir öbür teklif ise temas takibinde GPS tabanlı pozisyon servisleri yerine yalnızca Bluetooth teknolojisinin kullanılması: Bluetooth servisi açık iki aygıt birbirine gereğince yakınlaştığında, birbirlerini tanımak için ortalarında küçük birer data paketi takas eder. Bu paketler birbirine yakınlaşan aygıtlarda saklanır. Böylece aygıtınızda, gün içinde yakınlaştığınız öbür aygıtların sahiplerinin bir listesi tutulmuş olur; fakat bu yakınlaşmanın hangi mahallenin hangi sokağında gerçekleştiğinin kaydı tutulmaz. GPS teknolojisi ise hangi kullanıcılarla yakınlaştığınızın yanı sıra bu yakınlaşmanın nerede gerçekleştiğinin ve gün boyunca attığınız her adımın kaydını meblağ. Sonuç olarak yeterli tasarlanmış bir uygulamanın temas takibi yapabilmesi için Bluetooth tek başına kâfi ve mahremiyetinize saygılı bir teknolojidir. Ayrıyeten internet kullanmaz ve daha az pil tüketir.

Bu çerçevede, 2020 yılının aralık ayında Prof. Dr. Cem Sefa Sütcü ile birlikte HES uygulamasını dünyadaki çeşitli temas takip uygulamalarıyla kıyasladık ve aşağıdaki tablo ortaya çıktı.

Kimi temas takip uygulamaları ve çalışma prensiplerine nazaran konumlandırılışları. Görsel üzerinde sola ya da üst hareket edildikçe uygulamanın ferdî data güvenliğine yönelik oluşturduğu risk artmaktadır.

HES UYGULAMASI VE YURTTAŞLARDA UYANDIRDIĞI TELAŞLAR

HES uygulamasının tablo üzerindeki yalnızlığı, alandaki uzmanların korku bildiren açıklamaları ile Twitter’da sıklıkla trending topic olan, HES uygulamasının kaldırılmasına ve HES kodunun iptal edilmesine yönelik hashtag’ler bir ortaya gelince; yurttaşların uygulamayla ilgili kaygılarını keşfetmeye yönelik bir araştırma gerçekleştirmeye karar verdik. Farklı yaş kümelerinden, cinsiyetlerden, mesleklerden ve gelir kümelerinden, büyük kısmı üniversite eğitimi almış ya da almakta olan toplam 457 iştirakçiyle uyguladığımız bir çevrimiçi anket tasarladık. Anket sorularını üstte kelamı edilen, memleketler arası sivil toplum örgütlerince imzalanan bildirinin içeriğinden hareketle şekillendirdik.

Araştırmamızın sonuçları, Türkiye’de yükseköğretimle tanışmış her 10 bireyden yalnızca 3’ünün HES uygulamasına çeşitli düzeylerde inanç duyduğunu gösterdi. Kalan 7 kişi ise cinsiyetlerinden, mesleklerinden, gelir düzeylerinden bağımsız biçimde HES uygulamasına karşı kaygı besliyor; bu telaşın düzeyi yaşla birlikte artıyor. Sonuçlara nazaran bireylerin HES uygulamasıyla ilgili korkularının ötesinde, daha baskın bir telaşları var: Pandeminin, devletin teknoloji aracılığıyla gerçekleştirebileceği süresiz nezaret için bir mazeret olarak kullanılması. Bu mevzuda tasa taşımadığını belirten bireylerin oranı yüzde 18. Buna ek olarak, iştirakçilerin yarısından fazlası HES uygulamasının aygıtlarındaki şahsî datalarına kendi istekleri olmaksızın erişebildiğini düşünüyor.

Sıra geri döneceğimiz kısma geldi: Araştırmamıza katılan her yüz bireyden sadece 9’u HES uygulamasının aydınlatma metnine eklenen, bilgilerin “pandemi ile çaba müddetiyle sonlu olmak üzere” işleneceği tabirine inanıyor. Bu itimat sorunu, uygulamaya verilen yetkilerde belirginleşiyor: İştirakçilerin yarıdan fazlası HES uygulamasının Bluetooth erişim isteğini, çeyreği ise GPS tabanlı pozisyon bilgilerine erişme talebini reddettiğini belirtti. Uygulama bu yetkilere sahip olmadığında temas takibi gerçekleştirmesi teknik olarak mümkün olmuyor, hasebiyle en değerli misyonunu yerine getiremiyor. Böylelikle uygulamanın kamu sıhhatine hizmet etme gayesi, uygulama geliştiriciye duyulan güvensizliğin kurbanı oluyor. Bu güvensizlik büyük oranda şeffaflık eksikliğiyle açıklanabilir: Her 5 iştirakçiden 4’ü, uygulamayla paylaştıkları dataların hangi hedeflerle toplandığının ve ne halde kullanılacağının kendileriyle gereğince açık halde paylaşılmadığını düşünüyor. HES uygulaması deneyiminden sonra, gelecekte ortaya çıkabilecek yeni bir pandemide devletin sunacağı yeni temas takip uygulamasını hiçbir kaygı duymadan kullanabileceğini söz eden iştirakçilerin oranı ise yüzde 6 düzeyinde kaldı.

Pekala fakat devlet şahsî bilgilerimize esasen sahip değil mi? HES uygulaması ile paylaşmanın ne sakıncası olabilir?

HES uygulamasıyla paylaştığınız bilgiler doğum tarihiniz ya da cep telefonu numaranız üzere halihazırda devletle paylaştığınız bilgilerin ötesinde, ferdî sıhhat bilgilerinizi ve tercihiniz doğrultusunda anlık pozisyon datalarınızı de içeriyor. Bu bahis sıklıkla dar bir pencereden, “devlet beni neden gözetlesin?” sorusu etrafında bedellendiriliyor. Bu soru bilhassa geçtiğimiz yüzyılda tekraren, ayrıntılı biçimde yanıtlandı [5]. Bu yüzden bu kere bakış açımızı değiştirelim ve mevzuyu Ohio State Üniversitesi’nden Haohuang Wen ve arkadaşlarının çalışması üzerinden ele alalım. Dünyadan 41 temas takip uygulamasının incelendiği araştırma sonuçları, HES kullanıcılarının aygıtlarının Bluetooth tanımlama bilgilerinin açığa çıkartılabildiğini, daha da kıymetlisi bu bilgilerin sabit olduğunu göstermişti. Yani aygıtınızın Bluetooth servisi açıkken etraftaki başka aygıtlarla paylaştığı bir kod vardı ve bu kod hiç değişmediği için, aygıtın size ilişkin olduğunu bilen biri özel kodunuz üzerinden sizi takip edebilirdi. HES uygulaması, çalışma kapsamında incelenen 41 uygulama ortasında bu güvenlik açığına sahip 2 uygulamadan biriydi. Kelam konusu güvenlik açığının önüne geçmek için HES uygulamasının, dünyadaki pek çok örnekte gördüğümüz üzere, Bluetooth tanımlama bilgilerini saatte birkaç kez yenileyecek biçimde güncellenmesi gerekiyordu. Wen ve arkadaşlarıyla yakın vakitte irtibata geçtiğimde bu güvenlik açığını yetkililere HES uygulamasının irtibat adresleri aracılığıyla ilettiklerini, lakin cevap alamadıklarını tabir ettiler. Uygulamanın daha yeni versiyonlarında bu açığın giderilip giderilmediğini bilmiyoruz.

Üstelik bu güvenlik açığı muhtemel makus senaryolardan sırf biri. Biraz durup HES uygulamasıyla paylaşılan bilgileri korumakla yükümlü kişi ve kurumların bir formda, milyonlarca vatandaşın bilgilerinin sızmasına sebep olduğunu düşünelim. Bu durum şaşırtan olmaktan uzak olurdu, zira örneklerine daha evvel tekraren şahit olduk. Yalnızca geçtiğimiz ay toplumsal medya devi Facebook yüz milyonlarca, Yemeksepeti ise on milyonlarca kullanıcısının ismi, soyadı, adresi, telefon numarası, doğum tarihi üzere ferdî bilgilerini sızdırdı. Artık de emsal formda HES uygulamasının merkezi bilgi tabanından bir sızıntı gerçekleştiğini düşünelim ve bu dataların, örneğin iş aramak için kullandığınız dijital platformların eline geçtiğini varsayalım. Bir ilana başvurduğunuzda, müracaat yaptığınız şirketin ne vakit uyuyup ne vakit uyandığınızı bilmesini ister miydiniz? Zira bir sızıntı olursa, sızan datalarınız ortasında aygıtınızın hareketlerini kaydeden sensör bilgileri de yer alacak. Şayet aygıtınız istikrarlı halde sabahları saat 11’den evvel yerinden oynamıyorsa bu durum, bilginizi elinde bulunduranlara uyanış saatinizle ilgili güzel bir fikir verecektir. Dijital bilgilerin çağdaş dünyada ne kadar değerli bir hammadde olduğunu bir kere kavradığımızda, bu cins olumsuz senaryoların nerelere uzanabileceğini hayal etmek güç değil.

Her şeye karşın bugün, dijital teknolojilerin sunduğu imkanlardan bütünüyle uzak durmak da onları şartsız kabul etmek kadar problemli bir yaklaşım. Bu sebeple, HES uygulamasının birinci yaş günü için kaleme aldığım bu yazıyı yeni yaşı için birtakım temennilerde bulunarak sonlandıracağım. Dilerim uygulama bir an evvel, alandaki uzmanların tavsiyeleri göz önünde bulundurularak şeffaflığın, denetlenebilirliğin ve ferdî bilgi güvenliğinin öncelendiği bir yapıda yine organize edilir. Olay sayılarının daima rekor tazelediği, iktisadın yakın periyodun en kırılgan vakitlerini geçirdiği bugünlerde HES uygulaması, tam kapanma üzere tedbirlerin toplumsal ve ekonomik sonuçlarına katlanmaksızın krizden çıkabilmeye yardımcı olabilecek, umut vadeden bir araç. Potansiyelini ortaya koyabilmesi ise yurttaşların uygulamayı tasayla değil, itimatla kullanabilmelerine bağlı.

* Araştırmacı – @lacinyalcinkaya

[1] Haohuang Wen, Qingchuan Zhao, Zhiqiang Lin, Dong Xuan, Ness Shroff (12 Aralık 2020). A Study of the Privacy of COVID-19 Contact Tracing Apps.

[2] Ahmet Demirci (18 Nisan 2020). “Sağlık Bakanlığının hazırlamış olduğu Hayat Konuta Sığar isimli uygulama ağır şahsî bilgi toplamakta, aydınlatma metni ekte görüldüğü üzere KVKK’nun istediği kriterlerden mahrum, ayrıyeten açıkça bilgi işlenmesine dair istek almadan, şahsî data işlemektedir.” [Tweet].

[3] Sinan Sami Akkurt (28 Haziran 2020). Şahsî sıhhat datalarının işlenmesine ve COVID-19 pandemisi sürecinde taşınabilir uygulamalarla paylaşılmasına hukuksal bir bakış.

[4] Faruk Çayır (12 Ekim 2020). COVID-19 ile uğraşta dijital hak ve özgürlüklere hürmet.

[5] Hususa ilgi duyan okuyucular nezaret tartışmalarının geniş bir özetini şurada bulabilirler.