Girdiğiniz internet siteleri, WhatsApp’ta kimlerle yazıştığınız ya da telefonlaştığınız, konum verileriniz ve daha fazlası, her saat başı Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri ve İletişim Kurumu’na (BTK) gönderiliyor. Medyascope, daha önce ortaya çıkan kitlesel gözetim faaliyetinin belgelerine ulaştı. Belgelere göre internet servis sağlayıcıları, bilgisayar ya da mobil cihaz üzerinden internete bağlanan tüm kullanıcıların trafiğini, her saat başı BTK’ya iletiyor. BTK’ya giden bu veriler anonim hâle getirilmiyor. Yani her bir veri paketi, kullanıcının kimliğiyle birlikte kuruma gönderiliyor. “Adli ve önleyici tedbirler” gerekçesiyle internet trafiğini isteyen BTK’nın, tüm vatandaşların verilerini nasıl kullanacağı belirsiz.
Çevrimiçi kitlesel gözetim, internet kullanımının yaygınlaşması ve internet hakkındaki yasal düzenlemelerin yapıldığı dönemden itibaren Türkiye’de tartışma konusu. Fakat Türkiye’de iletişimin gizliliği ve veri mahremiyeti konusundaki en büyük tartışmalar internetin gözetimi hakkında değil, usulsüz telefon dinlemeleri sebebiyle ortaya çıkmıştı. 1999’da düzenlenen Telekulak Operasyonu ve 2013’teki 17-25 Aralık operasyonları, ülkenin en büyük telefon dinleme skandalları olarak kayda geçmişti.
Ancak Medyascope’un ulaştığı belgeler, geçmişte ortaya çıkan telefon dinleme skandallarından katbekat büyük bir kitlesel gözetimin, Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yaklaşık bir buçuk yıldır gerçekleştirilmekte olduğunu gösteriyor.
BTK’nın kullanıcı trafik verilerini düzenli olarak internet servis sağlayıcılardan istediğini daha önce CHP Genel Başkan Yardımcısı Onursal Adıgüzel açıklamış, BTK herhangi bir yalanlamada bulunmamıştı.
Medyascope’un ulaştığı 15 Aralık 2020 tarihli, 15 sayfadan oluşan belgelere göre BTK, internet servis sağlayıcılardan, tüm kullanıcıların internet trafiği kayıtlarının saat başı kendisine gönderilmesini istedi. BTK milyonlarca kullanıcının verilerinin hangi formatta kayıt altına alınacağı ve kendisine nasıl gönderileceğini, kurum yazısıyla birlikte gönderdiği teknik detay dokümanında internet servis sağlayıcılara ayrıntılarıyla anlattı.
İSS Trafik Log Deseni başlıklı yazıda, kullanıcı verilerinin anonim olarak değil, kullanıcının adı soyadıyla birlikte kuruma gönderilmesi isteniyor.
BTK’nın gözetimi, internet kullanıcılarının kimlikleriyle birlikte, hangi internet sitelerini ziyaret ettikleri ve hangi uygulamaları kullandıklarının kurum tarafından kaydedilmesini sağlıyor. Medyascope’un görüştüğü bilişim uzmanları, bu gözetim sayesinde elde edilecek verilerin karşılaştırılmasıyla, kullanıcıların WhatsApp, Telegram ya da Signal gibi uygulamalar üzerinden kimlerle yazıştığını ya da sesli-görüntülü görüşme yaptığının anlaşılacağını aktarıyor. Bu tip uygulamalardan yazışan ya da birbirini arayan kullanıcıların her ikisi de Türkiye’deki internet servis sağlayıcılardan hizmet alıyorsa, bu iki kişinin tespit edilebilmesi oldukça kolay.
Görüştüğümüz internet servis sağlayıcıları, mobil telefon operatörlerinden BTK’ya giden veriler arasında, kullanıcıların konum bilgilerinin de olduğunu ileri sürüyor. Ancak Medyascope bu iddiayı aynı zamanda mobil telefon hizmeti de sunan Turkcell, Vodafone ve Türk Telekom’dan teyit edemedi.
Aralık 2020 tarihli belgede, kullanıcıların internet trafik verilerini BTK’ya yollamayan internet servis sağlayıcılara ceza kesileceği uyarısı da yer alıyor.
BTK’nın internet trafik verilerini şirketlerden talep ettiği, İSS Trafik Log Deseni belgesine erişmek için tıklayınız.
Trafik verilerinin BTK’ya nasıl gönderilmesini ayrıntılarıyla aktaran Trafik İSS Trafik Logu Teknik Detay Dokümanına erişmek için tıklayınız.
Başkanlık yazısıyla tüm kullanıcıların internet trafiğini istediler
BTK’nın Türkiye’deki tüm kullanıcılara ait internet trafiğini talep ettiği, İSS Trafik Log Deseni başlıklı ve gizli ibareli yazı, 15 Aralık 2020’de internet servis sağlayıcısı şirketlere gönderildi.
Belgede, “Kurumumuz adli amaçlı iletişimin tespit edilmesi, dinlenmesi, sinyal bilgilerinin değerlendirilmesi ve kayda alınmasına yönelik işlemler kapsamında verilen görevleri süresinde, eksiksiz ve herhangi bir aksamaya sebebiyet vermeyecek şekilde yerine getirmekle yükümlüdür. . . İnternet ortamında gerçekleşen faaliyetlere ilişkin olarak adli ve önleyici kapsamda daha detaylı bilgilerin alınmasına ihtiyaç duyulmuştur” ifadeleri yer aldı.
BTK’dan internet servis sağlayıcılara gönderilen yazı, BTK Başkanı adına, Kurum Başkan Yrd. titrine sahip Fethi Azaklı imzası taşıyor.
Bilgi Teknolojileri İletişim Kurumu’nun karar organı, Bilgi Teknolojileri ve İletişim Kurulu. Yani BTK adına kararlar kurul tarafından alınıp yöneticilerce icra ediliyor. Ancak İSS Trafik Log Deseni başlıklı yazıda, herhangi bir kurul kararına atıfta bulunulmuyor. BTK’nın internet sitesinde, kurul kararlarının yer aldığı bölümde de, kurul tarafından alınmış benzer bir karara rastlanmıyor. Yani internet trafiğini gözetlemek için internet servis sağlayıcılara yollanan yazı, kurul tarafından alınmış herhangi bir karara dayanmıyor.
Gizli ibareli ve İSS Trafik Log Deseni başlıklı belgenin Aralık 2020’de, farklı tarihlerde yüzlerce internet servis sağlayıcısı şirkete gönderildiği tahmin ediliyor.
Medyascope’un görüştüğü ve BTK’nın iletişim sektöründeki düzenleyici ve denetleyici konumundan ötürü isimlerinin saklı kalması kaydıyla konuşan internet servis sağlayıcı firmaların yetkilileri, şirketlerden BTK’ya kullanıcı trafiği veri akışının 2021 itibarıyla başladığını ileri sürüyor.
Medyascope’un irtibat kurduğu Turkcell, Türk Telekom ve Vodafone, yani Türkiye’de abone sayısı bakımından en büyük üç internet servis sağlayıcısı, BTK’ya gönderilen veriler hakkındaki sorularımıza herhangi bir cevap vermedi.
Trafik verileri anonim hâlde değil, kullanıcıların adıyla birlikte bildiriliyor
Mobil uygulamalar, Facebook gibi sosyal ağ platformları ya da Google gibi servisler, kullanıcılarından topladığı verileri ürün ve hizmetlerin pazarlanmasında sıkça kullanabiliyor. Ancak Türkiye’de ve dünyada yürürlükte olan kişisel verilerin korunması kanunları uyarınca, bu veriler veri sahiplerinin kimliklerinin belirlenmesini önleyecek şekilde maskeleniyor. Yani toplanan veriler ile gerçek kişiler arasındaki bağlar koparılıyor.
BTK’nın internet servis sağlayıcılardan her saat başı temin ettiği verilerde ise böyle bir uygulama yok. Yani veriler anonimleştirilmeden, gelen tüm trafik bilgisi kullanıcıların kimlikleriyle birlikte kayıt altına alınıyor.
İnternet servis sağlayıcılar tarafından BTK’ya iletilen log’larda, yani trafik kayıtlarında, her bir satır abonenin adıyla başlıyor.
İnternet servis sağlayıcılar tarafından BTK’ya saat başı gönderilen paketlerdeki her bir trafik satırı, şuna benziyor:
Abonenin adı-soyadı@Hizmet alınan servis sağlayıcı | Abonenin IP numarası | Özel Port | Gerçek IP | Gerçek port başlangıç | Gerçek port bitiş | Trafik başlama tarihi [Gün-ay-yıl-saat-dakika-saniye] | Trafik süre [Bağlantının ne kadar devam ettiği, saniye cinsinden] | Hedef IP | Hedef port | App protokol [Bir uygulama için bağlantı kurulduysa burada uygulamanın adı, bir internet sitesine bağlantı gerçekleştirildiyse sitenin adresi yazıyor. Örnek: WhatsApp ya da medyascope.com] | Network protokol | İndirilen miktar [İndirilen verinin byte cinsinden miktarı] | Yüklenen miktar [Gönderilen verinin byte cinsinden miktarı] | Bağlantı PVC | Oturum ID | SSG IP | NAT cihaz | DPI cihaz | Termination cause | Packet type | Direction
Yani BTK’ya giden trafik kayıtlarının her bir satırında;
Abonenin adı ve soyadı (Tüzel kişiyse resmi adı),
Abonenin o sırada kullanmakta olduğu IP numarası,
Hangi uygulamayla ya da internet sitesiyle veri alışverişi yaptığı,
İlgili veri alışverişinin başlangıç tarihi ve saati, veri alışverişinin ne kadar sürdüğü,
Ne büyüklükte veri alıp ne büyüklükte veri gönderdiği
gibi bilgiler yer alıyor.
BTK’nın internet servis sağlayıcılardan istediği trafik verileri, e-postaların ya da WhatsApp veya diğer uygulamalardan gönderilen mesajların içeriği hakkında bilgi içermiyor. Ancak danıştığımız bilişim uzmanlarının tümü, Türkiye’nin tamamından veri toplandığı için, bu büyük veri kullanılarak yazışmaların kimler arasında yapıldığının anlaşılacağını aktarıyor.
“İstihbari” veri toplamanın ilk ayağı abone deseniydi
BTK trafik verilerini toplamaya başlamadan önce, internet aboneleri hakkındaki ayrıntılı bilgileri abone deseni adı altında internet servis sağlayıcılardan edinmeye başlamıştı.
4 Aralık 2018’de işletmecilere Abone Desen Yapısı adlı bir belge yollayan BTK, aralarında internet kullanıcılarına ait aşağıdaki kişisel bilgilerin de bulunduğu abone dosyalarının kendisiyle paylaşılmasını istemişti:
Abone adı-soyadı
T.C. Kimlik ve pasaport numaraları, vergi ve MERSİS numaraları
Cinsiyet ve uyruk
Anne ve baba adı ile anne kızlık soyadı
Doğum yeri ve tarihi
Meslek
Kimlik cilt, kütük, sayfa no, kimlik seri no ve kimliğin verildiği yer
Abonenin adresi
Abonenin eski cep telefonu numarası
BTK ayrıca, bu kişisel bilgilerin güncel hallerini içeren dosyaların her ayın ilk günü kendisine tekrar gönderilmesini şart koşmuştu.
Yani 2018’de Abone Desen Yapısı yazısıyla Türkiye’deki tüm internet kullanıcılarının kişisel verilerine ulaşan BTK, 2020’de İSS Trafik Log Deseni yazısıyla, aboneler hakkında sahip olduğu bilgilere internet trafiğini de arşivinde tuttuğu kullanıcı verilerine ekledi.
BTK’nın aboneler hakkında tuttuğu dosyalardaki (kimlik, meslek, adres içeren dosya) bilgiler, her ayın ilk günü internet servis sağlayıcılardan gelen verilerle güncelleniyor.
Abonelerin internet trafiği ise her saat başı internet servis sağlayıcılar tarafından BTK’ya gönderiliyor.
BTK topladığı verilerle ne yapacak?
BTK’nın 2022 yılının ilk çeyreği için hazırladığı Türkiye Elektronik Haberleşme Sektörü Üç Aylık Pazar Verileri Raporu’na göre, Türkiye’deki internet abone sayısı yaklaşık 89 milyon (88,847,744). İnternet kullanıcılarının 70 milyonu mobil cihazlarından, kalan kısmıysa sabit hizmetlerle internete bağlanıyor. Medyascope’un yayınladığı belge, 89 milyon kullanıcının her birine ait saatlik internet trafik verilerinin, abonelerin kimlik bilgileriyle birlikte BTK’ya ulaştığını gösteriyor.
Peki, BTK bu verilerle ne yapıyor?
Medyascope beş parçalık araştırma dizisinin kalan kısımlarında,
BTK’nın topladığı veriler nasıl kullanılabilir? İstihbari önleme, profilleme, şantaj ve siyasal manipülasyon olasılıkları,
BTK’nın daha önce gerçekleştirdiği gözetim girişimlerinin akıbeti, BTK’nın genişbant pazarının genel yapısının durumu, BTK’ya giden veriler nasıl bir zümrenin kontrolü altında?
BTK’ya giden internet trafiği verileri kullanıcılar hakkında neler söylüyor?
Kitlesel gözetime karşı yargı yolu açık mı? Kullanıcılar kendi mahremiyetlerini güvence altına alabilir mi?
sorularına yanıt arayacak.
Araştırma dizisi için sözlük:
BTK: Bilgi Teknolojileri ve İletişim Kurumu. Ulaştırma ve Altyapı Bakanlığı’na bağlı. Türkiye’deki 11 düzenleyici ve denetleyici üst kuruldan biri. Kamuoyunun tanıdığı diğer bazı üst kurullar arasında, BDDK (Bankacılık Düzenleme ve Denetleme Kurumu), SPK (Sermaye Piyasası Kurulu), RTÜK (Radyo Televizyon Üst Kurulu), EPDK (Enerji Piyasası Düzenleme Kurumu), Rekabet Kurumu ve KİK (Kamu İhale Kurumu) bulunuyor.
BTK-gate: 1972’de ABD’deki Başkanlık seçimleri öncesinde Demokrat Parti’nin Watergate binasında bulunan bürosuna giren beş kişi, Demokrat Parti telefonlarına dinleme cihazları yerleştirmeye çalışırken yakalandı. Watergate binasına giren beş kişiyi, Cumhuriyetçi Parti’nin ve Başkan Nixon yönetiminin yönlendirdiği anlaşılınca, olay büyük bir skandala dönüştü. Demokrat Parti ofisinin bulunduğu Watergate binası, skandalın da ismine dönüştü. Bu tarihten itibaren dünya basını, yolsuzluk ve usulsüz dinleme-gözetim skandallarına ya da büyük sızıntılara, Watergate skandalına referansla, -gate eki eklemeye başladı. Örneğin Wikileaks’in ABD Dışişleri yazışmalarını sızdırdığı olay Cablegate adıyla, Nokia’nın IŞİD’e verdiği rüşvetlerin ortaya çıkmasıyla Nokiagate yakıştırmasıyla anıldı. Türkiye’de, eski Emlak Bankası Genel Müdürü Engin Civan’ın vurulmasıyla ortaya çıkan, siyaset, iş dünyası ve mafyanın dahil olduğu rüşvet ağını ortaya çıkaran olaylar da Civangate ismiyle anılmıştı. Bu geleneğe istinaden, BTK’nın herhangi bir yasal düzenleme olmaksızın tüm toplumu kitlesel biçimde gözetlediğini gösteren bu olayı Medyascope, BTK-gate olarak nitelendirdi.
İSS: İnternet servis sağlayıcı (Eng. Internet service provider, ISP). En basit tanımıyla, kullanıcılara internet hizmeti veren kuruluşlar, İSS olarak nitelendirilebilir. Bir vatandaş sabit adresinde internet kullanmak için örneğin Türksat’tan aylık internet aboneliği hizmeti aldığında, Türksat bir İSS hizmeti gerçekleştirmiş oluyor. Yurttaşlar mobil cihazlarında da hizmet aldıkları telekomünikasyon şirketleri vasıtasıyla internet kullanıyor. Bu durumda, mobil telefon hattı ve bağlı hizmetleri müşterilere sunan Turkcell, Vodafone ve Türk Telekom gibi şirketler de, abonelerine aynı zamanda internet erişimi de sağladıkları için İSS niteliği taşıyor.
IP: İnternet protokolü. İnternette veya yerel ağda yer alan cihazların sahip olduğu benzersiz adres. Noktalarla ayrılmış sayı dizilerinden oluşur (Örnek: 192.168.1.1). Bu sayı dizilerine genellikle, IP adresi adı verilir.
Dinamik IP: Bir cihaz internete bağlandığında, İSS tarafından bu cihaza atanan IP adresi. Bir cihaza statik ya da sabit bir IP atanmadığı takdirde, cihazın IP adresi internete her bağlandığında değişir.
Statik IP: Sabit ya da özel IP adresi. Genellikle sunuculara, yani internet kullanıcılarının sıkça eriştiği yerlere statik IP atanır ve böylece diğer cihazlardan bu sunuculara yönelen iletişim kolaylaşır. İSS değiştirmedikçe, statik IP sahibi cihazlar internete her bağlandıklarında aynı IP adresine sahip olurlar.
Application ya da app: Uygulama. Özellikle mobil cihazlarda, belirli fonksiyonları yerine getirmek için hazırlanan yazılımlar. İnternet tarayıcısı aracılığıyla herhangi bir adresle iletişim kurmaya gerek olmaksızın, uygulamalar kullanıcıların istekleri doğrultusunda ya da sürekli, bazı adreslerle iletişime geçebilir.
Kullanıcı internet trafiği: İnternete bağlı bir cihazın (bilgisayar ya da mobil cihaz), bağlantısı üzerinden yaptığı tüm veri alışverişleri. Örneğin bir bilgisayar ya da cep telefonunun internet tarayıcısı (Firefox, Chrome vb.) üzerinden ziyaret ettiği internet siteleri, uygulamalar üzerinden gerçekleşen veri alışverişleri (Spotify, mobil banka uygulamaları, vb.), bir kullanıcının internet trafiğini oluşturuyor.
Log: Sistem günlüğü. Bir kullanıcının internet trafiği belirli periyotlarda (saatlik, günlük ya da haftalık) kaydedildiğinde, kullanıcı internet trafiği kayıtlarından oluşan bu belgeye log deniyor. BTK’ya İSS’ler tarafından gönderilen log’lar, kullanıcıların bir saatlik internet trafiğini içeriyor. 5651 sayılı Kanunda 2020’de yapılan değişiklikle birlikte İSS’lere, abonelerine sağladıkları internet trafiğini iki yıla kadar saklama zorunluluğu getirilmişti.
Medyascope / 21.07.22