Çevrimiçi kitlesel nezaret, internet kullanımının yaygınlaşması ve internet hakkındaki yasal düzenlemelerin yapıldığı periyottan itibaren Türkiye’de tartışma konusu. Lakin Türkiye’de irtibatın kapalılığı ve data mahremiyeti konusundaki en büyük tartışmalar internetin nezareti hakkında değil, adapsız telefon dinlemeleri sebebiyle ortaya çıkmıştı. 1999’da düzenlenen Telekulak Operasyonu ve 2013’teki 17-25 Aralık operasyonları, ülkenin en büyük telefon dinleme skandalları olarak kayda geçmişti.
BTK bir buçuk yıldır gözetliyormuş
Ancak Medyascope’tan Doğu Eroğlu’nun ulaştığı dokümanlar, geçmişte ortaya çıkan telefon dinleme skandallarından katbekat büyük bir kitlesel nezaretin, Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri ve Bağlantı Kurumu (BTK) tarafından yaklaşık bir buçuk yıldır gerçekleştirilmekte olduğunu gösteriyor.
1972’de ABD’deki Başkanlık seçimleri öncesinde Demokrat Parti’nin binasına ses kaydı yerleştirilmesi skandalı olan “Watergate” isminden yola çıkan Medyascope, BTK’nın fişlemesini “BTK-Gate” olarak tanımladı.
BTK daha evvel yalanlamamıştı
BTK’nın kullanıcı trafik bilgilerini nizamlı olarak internet servis sağlayıcılardan istediğini daha evvel CHP Genel Lider Yardımcısı Onursal Adıgüzel açıklamış, BTK rastgele bir yalanlamada bulunmamıştı.
‘İnternet trafiğini saat başı gönderin’ talebi
15 Aralık 2020 tarihli, 15 sayfadan oluşan dokümanlara nazaran BTK, internet servis sağlayıcılardan, tüm kullanıcıların internet trafiği kayıtlarının saat başı kendisine gönderilmesini istedi. BTK milyonlarca kullanıcının bilgilerinin hangi formatta kayıt altına alınacağı ve kendisine nasıl gönderileceğini, kurum yazısıyla birlikte gönderdiği teknik ayrıntı dokümanında internet servis sağlayıcılara detaylarıyla anlattı.
İSS Trafik Log Deseni başlıklı yazıda, kullanıcı datalarının anonim olarak değil, kullanıcının ismi soyadıyla birlikte kuruma gönderilmesi isteniyor.
WhatsApp, Telegram ya da Signal farketmiyor
BTK’nın nezareti, internet kullanıcılarının kimlikleriyle birlikte, hangi internet sitelerini ziyaret ettikleri ve hangi uygulamaları kullandıklarının kurum tarafından kaydedilmesini sağlıyor. Bilişim uzmanları, bu nezaret sayesinde elde edilecek bilgilerin karşılaştırılmasıyla, kullanıcıların WhatsApp, Telegram ya da Signal üzere uygulamalar üzerinden kimlerle yazıştığını ya da sesli-görüntülü görüşme yaptığının anlaşılacağını aktarıyor. Bu tip uygulamalardan yazışan ya da birbirini arayan kullanıcıların her ikisi de Türkiye’deki internet servis sağlayıcılardan hizmet alıyorsa, bu iki kişinin tespit edilebilmesi epey kolay.
Konum bilgisi tezi teyit edilemedi
İnternet servis sağlayıcıları, taşınabilir telefon operatörlerinden BTK’ya giden datalar ortasında, kullanıcıların pozisyon bilgilerinin de olduğunu ileri sürüyor. Lakin Medyascope bu iddiayı tıpkı vakitte taşınabilir telefon hizmeti de sunan Turkcell, Vodafone ve Türk Telekom’dan teyit edemedi.
BTK’ya yollamayana ceza
Aralık 2020 tarihli dokümanda, kullanıcıların internet trafik bilgilerini BTK’ya yollamayan internet servis sağlayıcılara ceza kesileceği uyarısı da yer alıyor.
Başkanlık yazısıyla tüm kullanıcıların internet trafiğini istediler
BTK’nın Türkiye’deki tüm kullanıcılara ilişkin internet trafiğini talep ettiği, İSS Trafik Log Deseni başlıklı ve kapalı ibareli yazı, 15 Aralık 2020’de internet servis sağlayıcısı şirketlere gönderildi.
Belgede, “Kurumumuz isimli maksatlı irtibatın tespit edilmesi, dinlenmesi, sinyal bilgilerinin kıymetlendirilmesi ve kayda alınmasına yönelik süreçler kapsamında verilen vazifeleri müddetinde, eksiksiz ve rastgele bir aksamaya sebebiyet vermeyecek halde yerine getirmekle yükümlüdür. . . İnternet ortamında gerçekleşen faaliyetlere ait olarak isimli ve önleyici kapsamda daha ayrıntılı bilgilerin alınmasına gereksinim duyulmuştur” sözleri yer aldı.
BTK’dan internet servis sağlayıcılara gönderilen yazı, BTK Lideri ismine, Kurum Lider Yrd. titrine sahip Fethi Azaklı imzası taşıyor.
Bilgi Teknolojileri Bağlantı Kurumu’nun karar organı, Bilgi Teknolojileri ve İrtibat Heyeti. Yani BTK ismine kararlar heyet tarafından alınıp yöneticilerce icra ediliyor. Lakin İSS Trafik Log Deseni başlıklı yazıda, rastgele bir heyet kararına atıfta bulunulmuyor. BTK’nın internet sitesinde, şura kararlarının yer aldığı kısımda de, konsey tarafından alınmış emsal bir karara rastlanmıyor. Yani internet trafiğini gözetlemek için internet servis sağlayıcılara yollanan yazı, şura tarafından alınmış rastgele bir karara dayanmıyor.
Gizli ibareli ve İSS Trafik Log Deseni başlıklı dokümanın Aralık 2020’de, farklı tarihlerde yüzlerce internet servis sağlayıcısı şirkete gönderildiği varsayım ediliyor.
Veri akışı 2021 prestijiyle başlamış
BTK’nın irtibat dalındaki düzenleyici ve denetleyici pozisyonundan dolayı isimlerinin gizli kalması kaydıyla konuşan internet servis sağlayıcı firmaların yetkilileri, şirketlerden BTK’ya kullanıcı trafiği bilgi akışının 2021 prestijiyle başladığını ileri sürüyor.
Turkcell, Türk Telekom ve Vodafone, yani Türkiye’de abone sayısı bakımından en büyük üç internet servis sağlayıcısı, BTK’ya gönderilen datalar hakkındaki sorularımıza rastgele bir yanıt vermedi.
Trafik bilgileri anonim değil, kullanıcıların ismiyle birlikte bildiriliyor
Mobil uygulamalar, Facebook üzere toplumsal ağ platformları ya da Google üzere servisler, kullanıcılarından topladığı dataları eser ve hizmetlerin pazarlanmasında sıkça kullanabiliyor. Lakin Türkiye’de ve dünyada yürürlükte olan ferdî dataların korunması kanunları uyarınca, bu bilgiler veri sahiplerinin kimliklerinin belirlenmesini önleyecek halde maskeleniyor. Yani toplanan bilgiler ile gerçek şahıslar ortasındaki bağlar koparılıyor.
BTK’nın internet servis sağlayıcılardan her saat başı temin ettiği datalarda ise bu türlü bir uygulama yok. Yani datalar anonimleştirilmeden, gelen tüm trafik bilgisi kullanıcıların kimlikleriyle birlikte kayıt altına alınıyor.
İnternet servis sağlayıcılar tarafından BTK’ya iletilen log’larda, yani trafik kayıtlarında, her bir satır abonenin ismiyle başlıyor.
İnternet servis sağlayıcılar tarafından BTK’ya saat başı gönderilen paketlerdeki her bir trafik satırı, şuna benziyor:
Abonenin adı-soyadı@Hizmet alınan servis sağlayıcı | Abonenin IP numarası | Özel Port | Gerçek IP | Gerçek port başlangıç | Gerçek port bitiş | Trafik başlama tarihi [Gün-ay-yıl-saat-dakika-saniye] | Trafik mühlet [Bağlantının ne kadar devam ettiği, saniye cinsinden] | Amaç IP | Maksat port | App protokol [Bir uygulama için ilişki kurulduysa burada uygulamanın ismi, bir internet sitesine irtibat gerçekleştirildiyse sitenin adresi yazıyor. Örnek: WhatsApp ya da medyascope.com] | Network protokol | İndirilen ölçü [İndirilen datanın byte cinsinden miktarı] | Yüklenen ölçü [Gönderilen datanın byte cinsinden miktarı] | İlişki PVC | Oturum ID | SSG IP | NAT aygıt | DPI aygıt | Termination cause | Packet type | Direction
Yani BTK’ya giden trafik kayıtlarının her bir satırında;
- Abonenin ismi ve soyadı (Tüzel şahıssa resmi adı),
- Abonenin o sırada kullanmakta olduğu IP numarası,
- Hangi uygulamayla ya da internet sitesiyle data alışverişi yaptığı,
- İlgili bilgi alışverişinin başlangıç tarihi ve saati, data alışverişinin ne kadar sürdüğü,
- Ne büyüklükte bilgi alıp ne büyüklükte data gönderdiği
gibi bilgiler yer alıyor.
BTK’nın internet servis sağlayıcılardan istediği trafik dataları, e-postaların ya da WhatsApp yahut öbür uygulamalardan gönderilen iletilerin içeriği hakkında bilgi içermiyor. Fakat danıştığımız bilişim uzmanlarının tümü, Türkiye’nin tamamından data toplandığı için, bu büyük data kullanılarak yazışmaların kimler ortasında yapıldığının anlaşılacağını aktarıyor.
“İstihbari” bilgi toplamanın birinci ayağı abone deseniydi
BTK trafik datalarını toplamaya başlamadan evvel, internet aboneleri hakkındaki detaylı bilgileri abone deseni ismi altında internet servis sağlayıcılardan edinmeye başlamıştı.
4 Aralık 2018’de işletmecilere Abone Desen Yapısı isimli bir doküman yollayan BTK, ortalarında internet kullanıcılarına ilişkin aşağıdaki şahsî bilgilerin de bulunduğu abone belgelerinin kendisiyle paylaşılmasını istemişti:
- Abone adı-soyadı
- T.C. Kimlik ve pasaport numaraları, vergi ve MERSİS numaraları
- Cinsiyet ve uyruk
- Anne ve baba ismi ile anne kızlık soyadı
- Doğum yeri ve tarihi
- Meslek
- Kimlik cilt, kütük, sayfa no, kimlik seri no ve kimliğin verildiği yer
- Abonenin adresi
- Abonenin eski cep telefonu numarası
BTK ayrıyeten, bu ferdî bilgilerin yeni hallerini içeren evrakların her ayın birinci günü kendisine tekrar gönderilmesini kural koşmuştu.
Yani 2018’de Abone Desen Yapısı yazısıyla Türkiye’deki tüm internet kullanıcılarının şahsî datalarına ulaşan BTK, 2020’de İSS Trafik Log Deseni yazısıyla, aboneler hakkında sahip olduğu bilgilere internet trafiğini de arşivinde tuttuğu kullanıcı bilgilerine ekledi.
BTK’nın aboneler hakkında tuttuğu evraklardaki (kimlik, meslek, adres içeren dosya) bilgiler, her ayın birinci günü internet servis sağlayıcılardan gelen datalarla güncelleniyor.
Abonelerin internet trafiği ise her saat başı internet servis sağlayıcılar tarafından BTK’ya gönderiliyor.
BTK topladığı datalarla ne yapacak?
BTK’nın 2022 yılının birinci çeyreği için hazırladığı Türkiye Elektronik Haberleşme Dalı Üç Aylık Pazar Dataları Raporu’na nazaran, Türkiye’deki internet abone sayısı yaklaşık 89 milyon (88,847,744). İnternet kullanıcılarının 70 milyonu taşınabilir aygıtlarından, kalan kısmıysa sabit hizmetlerle internete bağlanıyor. Medyascope’un yayınladığı doküman, 89 milyon kullanıcının her birine ilişkin saatlik internet trafik datalarının, abonelerin kimlik bilgileriyle birlikte BTK’ya ulaştığını gösteriyor.