Çevrimiçi kitlesel nezaret, internet kullanımının yaygınlaşması ve internet hakkındaki yasal düzenlemelerin yapıldığı periyottan itibaren Türkiye’de tartışma konusu. Lakin Türkiye’de bağlantının kapalılığı ve data mahremiyeti konusundaki en büyük tartışmalar internetin nezareti hakkında değil, yöntemsiz telefon dinlemeleri sebebiyle ortaya çıkmıştı. 1999’da düzenlenen Telekulak Operasyonu ve 2013’teki 17-25 Aralık operasyonları, ülkenin en büyük telefon dinleme skandalları olarak kayda geçmişti.
BTK bir buçuk yıldır gözetliyormuş
Ancak Medyascope’tan Doğu Eroğlu’nun ulaştığı evraklar, geçmişte ortaya çıkan telefon dinleme skandallarından katbekat büyük bir kitlesel nezaretin, Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri ve İrtibat Kurumu (BTK) tarafından yaklaşık bir buçuk yıldır gerçekleştirilmekte olduğunu gösteriyor.
1972’de ABD’deki Başkanlık seçimleri öncesinde Demokrat Parti’nin binasına ses kaydı yerleştirilmesi skandalı olan “Watergate” isminden yola çıkan Medyascope, BTK’nın fişlemesini “BTK-Gate” olarak tanımladı.
BTK daha evvel yalanlamamıştı
BTK’nın kullanıcı trafik datalarını tertipli olarak internet servis sağlayıcılardan istediğini daha evvel CHP Genel Lider Yardımcısı Onursal Adıgüzel açıklamış, BTK rastgele bir yalanlamada bulunmamıştı.
‘İnternet trafiğini saat başı gönderin’ talebi
15 Aralık 2020 tarihli, 15 sayfadan oluşan evraklara nazaran BTK, internet servis sağlayıcılardan, tüm kullanıcıların internet trafiği kayıtlarının saat başı kendisine gönderilmesini istedi. BTK milyonlarca kullanıcının bilgilerinin hangi formatta kayıt altına alınacağı ve kendisine nasıl gönderileceğini, kurum yazısıyla birlikte gönderdiği teknik ayrıntı dokümanında internet servis sağlayıcılara detaylarıyla anlattı.
İSS Trafik Log Deseni başlıklı yazıda, kullanıcı bilgilerinin anonim olarak değil, kullanıcının ismi soyadıyla birlikte kuruma gönderilmesi isteniyor.
WhatsApp, Telegram ya da Signal farketmiyor
BTK’nın nezareti, internet kullanıcılarının kimlikleriyle birlikte, hangi internet sitelerini ziyaret ettikleri ve hangi uygulamaları kullandıklarının kurum tarafından kaydedilmesini sağlıyor. Bilişim uzmanları, bu nezaret sayesinde elde edilecek bilgilerin karşılaştırılmasıyla, kullanıcıların WhatsApp, Telegram ya da Signal üzere uygulamalar üzerinden kimlerle yazıştığını ya da sesli-görüntülü görüşme yaptığının anlaşılacağını aktarıyor. Bu tip uygulamalardan yazışan ya da birbirini arayan kullanıcıların her ikisi de Türkiye’deki internet servis sağlayıcılardan hizmet alıyorsa, bu iki kişinin tespit edilebilmesi hayli kolay.
Konum bilgisi argümanı teyit edilemedi
İnternet servis sağlayıcıları, taşınabilir telefon operatörlerinden BTK’ya giden datalar ortasında, kullanıcıların pozisyon bilgilerinin de olduğunu ileri sürüyor. Lakin Medyascope bu iddiayı birebir vakitte taşınabilir telefon hizmeti de sunan Turkcell, Vodafone ve Türk Telekom’dan teyit edemedi.
BTK’ya yollamayana ceza
Aralık 2020 tarihli evrakta, kullanıcıların internet trafik datalarını BTK’ya yollamayan internet servis sağlayıcılara ceza kesileceği uyarısı da yer alıyor.
Başkanlık yazısıyla tüm kullanıcıların internet trafiğini istediler
BTK’nın Türkiye’deki tüm kullanıcılara ilişkin internet trafiğini talep ettiği, İSS Trafik Log Deseni başlıklı ve bilinmeyen ibareli yazı, 15 Aralık 2020’de internet servis sağlayıcısı şirketlere gönderildi.
Belgede, “Kurumumuz isimli emelli irtibatın tespit edilmesi, dinlenmesi, sinyal bilgilerinin kıymetlendirilmesi ve kayda alınmasına yönelik süreçler kapsamında verilen misyonları müddetinde, eksiksiz ve rastgele bir aksamaya sebebiyet vermeyecek halde yerine getirmekle yükümlüdür. . . İnternet ortamında gerçekleşen faaliyetlere ait olarak isimli ve önleyici kapsamda daha ayrıntılı bilgilerin alınmasına gereksinim duyulmuştur” sözleri yer aldı.
BTK’dan internet servis sağlayıcılara gönderilen yazı, BTK Lideri ismine, Kurum Lider Yrd. titrine sahip Fethi Azaklı imzası taşıyor.
Bilgi Teknolojileri İrtibat Kurumu’nun karar organı, Bilgi Teknolojileri ve İrtibat Heyeti. Yani BTK ismine kararlar şura tarafından alınıp yöneticilerce icra ediliyor. Lakin İSS Trafik Log Deseni başlıklı yazıda, rastgele bir şura kararına atıfta bulunulmuyor. BTK’nın internet sitesinde, şura kararlarının yer aldığı kısımda de, heyet tarafından alınmış benzeri bir karara rastlanmıyor. Yani internet trafiğini gözetlemek için internet servis sağlayıcılara yollanan yazı, şura tarafından alınmış rastgele bir karara dayanmıyor.
Gizli ibareli ve İSS Trafik Log Deseni başlıklı evrakın Aralık 2020’de, farklı tarihlerde yüzlerce internet servis sağlayıcısı şirkete gönderildiği iddia ediliyor.
Veri akışı 2021 prestijiyle başlamış
BTK’nın bağlantı bölümündeki düzenleyici ve denetleyici pozisyonundan dolayı isimlerinin gizli kalması kaydıyla konuşan internet servis sağlayıcı firmaların yetkilileri, şirketlerden BTK’ya kullanıcı trafiği bilgi akışının 2021 prestijiyle başladığını ileri sürüyor.
Turkcell, Türk Telekom ve Vodafone, yani Türkiye’de abone sayısı bakımından en büyük üç internet servis sağlayıcısı, BTK’ya gönderilen bilgiler hakkındaki sorularımıza rastgele bir yanıt vermedi.
Trafik dataları anonim değil, kullanıcıların ismiyle birlikte bildiriliyor
Mobil uygulamalar, Facebook üzere toplumsal ağ platformları ya da Google üzere servisler, kullanıcılarından topladığı dataları eser ve hizmetlerin pazarlanmasında sıkça kullanabiliyor. Fakat Türkiye’de ve dünyada yürürlükte olan şahsî bilgilerin korunması kanunları uyarınca, bu bilgiler veri sahiplerinin kimliklerinin belirlenmesini önleyecek formda maskeleniyor. Yani toplanan datalar ile gerçek şahıslar ortasındaki bağlar koparılıyor.
BTK’nın internet servis sağlayıcılardan her saat başı temin ettiği bilgilerde ise bu türlü bir uygulama yok. Yani bilgiler anonimleştirilmeden, gelen tüm trafik bilgisi kullanıcıların kimlikleriyle birlikte kayıt altına alınıyor.
İnternet servis sağlayıcılar tarafından BTK’ya iletilen log’larda, yani trafik kayıtlarında, her bir satır abonenin ismiyle başlıyor.
İnternet servis sağlayıcılar tarafından BTK’ya saat başı gönderilen paketlerdeki her bir trafik satırı, şuna benziyor:
Abonenin adı-soyadı@Hizmet alınan servis sağlayıcı | Abonenin IP numarası | Özel Port | Gerçek IP | Gerçek port başlangıç | Gerçek port bitiş | Trafik başlama tarihi [Gün-ay-yıl-saat-dakika-saniye] | Trafik müddet [Bağlantının ne kadar devam ettiği, saniye cinsinden] | Maksat IP | Amaç port | App protokol [Bir uygulama için irtibat kurulduysa burada uygulamanın ismi, bir internet sitesine ilişki gerçekleştirildiyse sitenin adresi yazıyor. Örnek: WhatsApp ya da medyascope.com] | Network protokol | İndirilen ölçü [İndirilen datanın byte cinsinden miktarı] | Yüklenen ölçü [Gönderilen datanın byte cinsinden miktarı] | Temas PVC | Oturum ID | SSG IP | NAT aygıt | DPI aygıt | Termination cause | Packet type | Direction
Yani BTK’ya giden trafik kayıtlarının her bir satırında;
- Abonenin ismi ve soyadı (Tüzel bireyse resmi adı),
- Abonenin o sırada kullanmakta olduğu IP numarası,
- Hangi uygulamayla ya da internet sitesiyle data alışverişi yaptığı,
- İlgili data alışverişinin başlangıç tarihi ve saati, data alışverişinin ne kadar sürdüğü,
- Ne büyüklükte bilgi alıp ne büyüklükte bilgi gönderdiği
gibi bilgiler yer alıyor.
BTK’nın internet servis sağlayıcılardan istediği trafik bilgileri, e-postaların ya da WhatsApp yahut öbür uygulamalardan gönderilen iletilerin içeriği hakkında bilgi içermiyor. Lakin danıştığımız bilişim uzmanlarının tümü, Türkiye’nin tamamından data toplandığı için, bu büyük bilgi kullanılarak yazışmaların kimler ortasında yapıldığının anlaşılacağını aktarıyor.
“İstihbari” bilgi toplamanın birinci ayağı abone deseniydi
BTK trafik bilgilerini toplamaya başlamadan evvel, internet aboneleri hakkındaki detaylı bilgileri abone deseni ismi altında internet servis sağlayıcılardan edinmeye başlamıştı.
4 Aralık 2018’de işletmecilere Abone Desen Yapısı isimli bir evrak yollayan BTK, ortalarında internet kullanıcılarına ilişkin aşağıdaki şahsî bilgilerin de bulunduğu abone evraklarının kendisiyle paylaşılmasını istemişti:
- Abone adı-soyadı
- T.C. Kimlik ve pasaport numaraları, vergi ve MERSİS numaraları
- Cinsiyet ve uyruk
- Anne ve baba ismi ile anne kızlık soyadı
- Doğum yeri ve tarihi
- Meslek
- Kimlik cilt, kütük, sayfa no, kimlik seri no ve kimliğin verildiği yer
- Abonenin adresi
- Abonenin eski cep telefonu numarası
BTK ayrıyeten, bu ferdî bilgilerin aktüel hallerini içeren evrakların her ayın birinci günü kendisine tekrar gönderilmesini kaide koşmuştu.
Yani 2018’de Abone Desen Yapısı yazısıyla Türkiye’deki tüm internet kullanıcılarının şahsî datalarına ulaşan BTK, 2020’de İSS Trafik Log Deseni yazısıyla, aboneler hakkında sahip olduğu bilgilere internet trafiğini de arşivinde tuttuğu kullanıcı datalarına ekledi.
BTK’nın aboneler hakkında tuttuğu belgelerdeki (kimlik, meslek, adres içeren dosya) bilgiler, her ayın birinci günü internet servis sağlayıcılardan gelen datalarla güncelleniyor.
Abonelerin internet trafiği ise her saat başı internet servis sağlayıcılar tarafından BTK’ya gönderiliyor.
BTK topladığı bilgilerle ne yapacak?
BTK’nın 2022 yılının birinci çeyreği için hazırladığı Türkiye Elektronik Haberleşme Bölümü Üç Aylık Pazar Dataları Raporu’na nazaran, Türkiye’deki internet abone sayısı yaklaşık 89 milyon (88,847,744). İnternet kullanıcılarının 70 milyonu taşınabilir aygıtlarından, kalan kısmıysa sabit hizmetlerle internete bağlanıyor. Medyascope’un yayınladığı doküman, 89 milyon kullanıcının her birine ilişkin saatlik internet trafik datalarının, abonelerin kimlik bilgileriyle birlikte BTK’ya ulaştığını gösteriyor.