Türkiye: Uçtan uca şifreleme korunmalı

Türkiye: Uçtan uca şifreleme korunmalı - Digital

Photo: Rawpixel.com / Shutterstock

Türkiye ülke güvenliği ve ekonomisine yönelik tehditlerle karşı karşıya olduğu bir dönemde bulunmakta, bu nedenle ülkede yaşayanlar, ülkede bulunan işletmeler ve kamu hizmetleri kendilerini güvende tutmak adına güçlü şifrelemeye ihtiyaç duymaktadır. Bu halde Türk makamlarının güçlü uçtan uca şifreleme kullanımını hem teşvik etmesi, hem de koruması gerekmektedir.

13 Ekim 2022 tarihinde Elektronik Haberleşme Kanunu, İnternet Kanunu, Basın Kanunu ve Türk Ceza Kanunu da dahil olmak üzere birçok kanunda değişiklik yapan bir yasa Türkiye Büyük Millet Meclisi tarafından kabul edilmiş, yine aynı yasayla Bilgi Teknolojileri ve İletişim Kurumu (BTK) yapılan bazı değişikliklerin uygulanmasını düzenleyecek ikincil mevzuatı hazırlamakla görevlendirilmiştir. BTK’nın Elektronik Haberleşme Kanunu kapsamındaki haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi koşullarını1 5809 Sayılı Elektronik Haberleşme Kanunu m. 51/2 elektronik haberleşmenin ve ilgili trafik verisinin gizliliği esas olmakla birlikte ilgili mevzuat ve yargı kararlarının öngördüğü durumlarda haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesinin mümkün olduğunu düzenlemektedir. Şebekeler üstü hizmet sağlayıcıların Elektronik Haberleşme Kanunu’na dahil edilmesi, bu hükmün onlar hakkında da uygulanması tehlikesini doğurmaktadır. Elektronik Haberleşme Kanunu hükümlerinin şebekeler üstü hizmet sağlayıcılara uygulanması hakkında BTK tarafından bir yönetmelik çıkarılması beklenmektedir. şebekeler üstü hizmet sağlayıcılar hakkında uygulamaya kalkışması, güçlü uçtan uca şifreleme dahil olmak üzere temel siber güvenlik araçlarının kullanımının baltalanması sonucunu doğurabilecektir.

Küresel Şifreleme Koalisyonu2Dünyanın her yerinden 300’den fazla üyesiyle Küresel Şifreleme Koalisyonu, şifrelemenin tehdit altında olduğu ülkelerde ve çok taraflı forumlarda şifrelemeyi teşvik etmekte ve savunmaktadır. Bunun yanısıra şirketlerin kullanıcılarına şifreli hizmetler sunma girişimlerini desteklemektedir. https://www.globalencryption.org/ üyeleri de dahil olmak üzere aşağıda imzası bulunan sivil toplum örgütleri ve şirketler, BTK’yı uçtan uca şifrelenmiş iletişim de dahil olmak üzere haberleşmenin gizliliğinin korunmasını sağlamaya davet etmektedir.

Kanun, tüm şebekeler üstü hizmet sağlayıcıların Elektronik Haberleşme Kanunu kapsamına alarak yeni ve kanunda mevcut bulunan yükümlülükleri yerine getirmesini zorunlu kılarak mevcut kanunların kapsamını genişletmektedir. “Şebekeler üstü hizmet sağlayıcılar”, e-posta sağlayıcıları, sosyal medya şirketleri ve mesajlaşma hizmetleri sağlayıcıları gibi, geniş bir yelpazedeki internet tabanlı hizmetleri kapsamaktadır. Şebekeler üstü hizmet sağlayıcıların bu kanun kapsamına alınmalarının sonucu olarak tabi olabileceği muhtemel yeni yükümlülükler arasında en endişe verici olan, kullanıcı içeriği ve trafik verilerini ifşa etme yükümlülüğüdür. Siber güvenlik uzmanları, şebekelerüstü hizmet sağlayıcıların kullanıcılarının uçtan uca şifrelenmiş iletişimlerinin içeriğine, tüm kullanıcılarının güvenliğini ve gizliliğini büyük ölçüde baltalamadan erişmenin bir yolu olmadığı konusunda hemfikirdir. Bu halde uçtan uca şifreleme sunan platformlar, kanunun getirdiği şartlara uymalarının teknik olarak imkansız olması nedeniyle kanuna uymamaları sonucunda uygulanacak yaptırımlar neticesinde Türkiye’de erişilemez hale gelebilecektir. 

Uçtan uca şifreleme sistemi, mesajın şifresini çözecek anahtarın yalnızca hedeflenen alıcıda bulunması sayesinde yüksek güvenlik sağlayan bir sistemdir. Uçtan uca şifrelemede servis sağlayıcı ve devlet de dahil olmak üzere hiçbir üçüncü tarafın kullanıcıların şifrelenmiş içeriğini okuması mümkün olmamaktadır. BTK tarafından düzenlenecek ikincil mevzuatın uçtan uca şifrelenmiş hizmet sağlayıcıların kullanıcılarının mesajlarını deşifre ve ifşa etmelerini zorunlu kılması durumunda, bu sağlayıcılar sistemlerine güvenlik açıkları ekleyerek kullanıcılarının güvenliğini zayıflatmak ile Türkiye pazarından çıkmak arasında bir seçim yapmak durumunda bırakılacaktır.

İkincil mevzuatın haberleşmenin gizliliğini ve güvenliğini tehlikeye atacak şekilde hazırlanması yalnızca bu şifreli platformların sağladığı bilgi akışını ortadan kaldırmakla kalmayacak, aynı zamanda Türkiyeli vatandaş ve işletmelerinin güvenliğini ve mahremiyetini etkileyerek Türk sanayiini zayıflatacaktır. 2018 yılında Avustralya’nın uçtan uca şifrelemeyi sekteye uğratan benzer bir yasayı kabul etmesi üzerine Avustralya teknoloji endüstrisi, ürünlerine olan güvenin azalması nedeniyle tahmini 1 Milyar ABD Doları tutarında bir kayıp yaşamış, bunun yanısıra yabancı yatırımlarda daha da yüksek miktarda kayba uğramıştır. Türkiye’deki işletmeler de  güvenlik ve mahremiyetlerinin benzer şekilde zayıflaması halinde yabancı aktörlerin kurumsal casusluğuna açık hale getirecektir. Bu durum, bilhassa gizli kurumsal bilgileri sadece ekonomik değil ulusal savunma açısından da sonuçlar doğurabilecek olan ve giderek büyüyen Türk savunma sanayii3https://www.defensenews.com/top-100/2022/08/08/turkeys-defense-industry-eyes-export-expansion-as-government-navigates-geopolitical-stage/  açısından da endişe vericidir. Cumhurbaşkanı Erdoğan, Ulusal Siber Olaylara Müdahale Merkezi’nde yaptığı konuşmada siber güvenliğin önemini ve ülkenin karşı karşıya olduğu siber güvenlik tehditlerini vurgulamıştır4https://www.btk.gov.tr/haberler/cumhurbaskani-erdogan-yerli-5g-teknolojisi-altyapisini-kurmadan-5g-ye-gecemeyiz .

Güçlü uçtan uca şifreleme Türkiye’nin ekonomisi ve güvenliği bakımından hayati önem taşımaktadır. Her türlü ikincil mevzuat, sivil toplum da dahil olmak üzere tüm paydaşlar ile istişare edilerek hazırlanmalı ve uçtan uca şifreleme de dahil olmak üzere haberleşmenin gizliliğinin ve güvenliğinin tehlikeye atılmamasını temin etmelidir.

İmzalayanlar*

Access Now

Africa Media and Information Technology Initiative (AfriMITI) (Afrika Medya ve Bilgi Teknolojileri İnisiyatifi)

ARTICLE 19

Associação Portuguesa para a Segurança da Informação (AP2SI)

Betapersei SC

Cartoonists Rights Network International – Uluslararası Karikatürcüler Ağı 

Coalition For Women In Journalism (CFWIJ) – Gazetecilikte Kadın Koalisyonu

Center for Law and Society – Hukuk ve Toplum Merkezi – San Andres Üniversitesi, Buenos Aires, Arjantin.

Centre for Democracy and Technology – Demokrasi ve Teknoloji Merkezi

Collaboration on International ICT Policy for East and Southern Africa (CIPESA) – Doğu ve Güney Afrika’da Uluslararası BİT Politikası İşbirliği

Committee to Protect Journalists (CPJ) – Gazetecileri Koruma Komitesi

European Centre for Press and Media Freedom (ECPMF) – Avrupa Basın ve Medya Özgürlüğü Merkezi

Ikigai Innovation Initiative – İkigai Yenilik Girişimi

Internet Society – İnternet Toplumu

Internet Society Ghana Chapter

Mailfence.com

Media and Law Studies Association (MLSA) – Medya ve Hukuk Çalışmaları Derneği

Nameshop

Osservatorio Balcani Caucaso Transeuropa

OpenMedia

OPTF Ltd

PEN America – PEN Amerika

PEN Norway – PEN Norveç

Platform for Independent Journalism (P24) – Bağımsız Gazetecilik Platformu

Riana Pfefferkorn, Araştırma Görevlisi, Stanford İnternet Gözlemevi

SecureCrypt

Superbloom

South East Europe  Media Organisation (SEEMO) – Güney Doğu Avrupa Medya Örgütü

Tutanota

* Bağlı kuruluşlar yalnızca bilgilendirme amacıyla listelenmiştir