Millenyum heyecanıyla bezeli 2000 yılında Türkiye Cumhuriyeti kendi tarihinin en uzun soluklu projesini tamamlayarak kullanıma sundu. MERNİS (Merkezi Nüfus İdare Sistemi) adlı bu çalışmanın en büyük çıktısı “TC kimlik numarası” adını taşıyordu. Başkentte gerçekleştirilen lansmanında ekibin heyecanı ve mutluluğu hepimizin dikkatini çekmişti. O güne kadar doğmuş (ve bir kısmı ölmüş) 120 milyon vatandaşın sayısallaştırmasının ne kadar hummalı bir çaba olduğunu fuaye alanındaki yetkililer ile sohbetimiz sayesinde anlamıştık. Bu hamle, o dönem kimsenin tam olarak neye derman olacağını anlamadığı “e-devlet” yapısının temelini oluşturuyordu. Toplantıdan ayrılırken aklımızda tek şey kalmıştı: “100000001” kimlik numaralı Mustafa Kemal Atatürk.
Bu satırları Kıbrıs’ta yazıyorum. Beni yazıhanemden alıp havaalanına bırakan transfer aracı (yönetmelik gereği) resmi kurumlara TC kimlik numaramı; saat kaçta, nereden nereye gideceğimi önceden bildirmişti. Uçak biletim ve kalacağım otelin rezervasyonu da yine bu sayı dizisiyle tanımlanmıştı. Hayatımızın merkezindeki bu verinin hayati derecedeki önemi malum. Ancak mahremiyeti epey tartışmalı.
Geçtiğimiz ayki bir söyleşisinde Ulaştırma ve Altyapı Bakanı Abdülkadir Uraloğlu, kimlik bilgilerimizin büyük bölümünün korsanlar tarafından ele geçirildiği kabul etti. Gerçi bunu öğrenmek için bakan onayına muhtaç değildik zira “ilgili kaynakların” hepsinde dilediğiniz kişinin tapu kayıtlarından banka hesaplarına, kimlik bilgilerinden seçmen pusulasına kadar hemen her şeyi üç otuza satın almak mümkün. Bunun “maliyetli” bir ispatına, MİT Başkanı olduğu dönemde Hakan Fidan’ın sosyal medyaya sızan pasaport bilgileriyle şahit olmuştuk.
Arka kapıdan sızanlar
Veri güvenliği konusunda Türkiye’ye dahi parmak ısırtacak bir gelişme bu hafta ABD’de yaşandı. Şüpheli bir izin peşinden giden güvenlik uzmanları, ülkenin internet altyapısını işleten Verizon, AT&T ve Lumen gibi birçok şirketin sistemlerine birilerinin sızarak büyük miktarda veri çaldığını ortaya çıkardı.
Çin istihbaratıyla çalıştığı bilinen “FamousSparrow” adlı hacker grubuna bağlanan saldırı (ABD kökenli) Cisco firmasına ait 200 bin yönlendirici (router) cihaza sızılarak başlamış. Fakat aylar süren bu hortumlama faaliyetini benzerlerinden ayıran dehşet verici bir ayrıntı var. ABD’de hizmet veren internet şirketleri, mahkeme kararıyla teknik takibe alınmasına karar verilen kişilerin verilerine erişilebilmesi için yetkili kamu kurumlarına özel “arka kapılar” bulundurmak zorunda. İştee bu kapıların anahtarını keşfeden Çinli hacker’lar, çatlaktan sızarak ilgi alanına giren sayısız kişiyi aylarca takip etmiş. Hasar raporu, FamousSparrow’un kamu kurumlarının büyük bölümünün yanısıra otel kayıtlarını dahi izlediğini gösteriyor.
Yerli ve milli fişleme
Türkiye’deki internet altyapı sağlayıcı şirketlerin çatısı, BTK olarak da bilinen Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri ve İletişim Kurumu. Ve aynı zamanda (resmi olarak kabul edilmese de) yukarıda değindiğim arka kapının da yerel işletmecisi.
İlk olarak CHP Milletvekili Onursal Adıgüzel tarafından ortaya atılan bu iddia, kamuoyuna sızan bir belgeyle ispatlanmıştı. İnternet servis sağlayıcılara gönderilen 15 Aralık 2020 tarihli bir yazı, tüm kullanıcıların internet trafiğinin “her saat başı”, adı ve soyadıyla eşleştirilerek BTK’ya yollanmasını zorunlu kılıyordu. İstenen bilgiler arasında sadece hangi saatte hangi siteleri ziyaret ettiğiniz değil, o kaynaklardan ne indirdiğiniz; hatta indirdiğiniz verinin dosya boyutu bile yer alıyordu.
BTK ayrıca 4 Aralık 2018’de aynı şirketlerden “Abone Desen Yapısı” adlı enteresan bir başlık altında ayrı bir bilgi talebinde daha bulunmuştu (PDF). İnternet kullanıcılarının ad, soyad, doğum tarihi, TC kimlik ve pasaport numaraları, cinsiyet, uyruk, anne-baba adı, anne kızlık soyadı, ikamet adresi, mevcut cep telefonu numarası, eski cep telefonu numarası şeklinde uzayan bu istek listesi, fişlemenin kayda geçen ilk adımıydı.
Bu bilgiler ve güncel gelişmeler ışığında şu soruyu sormak gayet makul görünüyor: Vatandaşlarının tüm dijital verilerini kaptıran ve internet altyapısını tamamen ABD, İsrail ve Çin menşeli yazılım ve donanımlar üstünde yürüten Türkiye’de kendimizi sahiden güvende hissedebilir miyiz?
Bence de.
(11 Ekim 2024 tarihli Oksijen gazetesindeki yazım.)
Görüşlerinizi paylaşın: