Çevrimiçi kitlesel nezaret, internet kullanımının yaygınlaşması ve internet hakkındaki yasal düzenlemelerin yapıldığı devirden itibaren Türkiye’de tartışma konusu. Lakin Türkiye’de bağlantının kapalılığı ve bilgi mahremiyeti konusundaki en büyük tartışmalar internetin nezareti hakkında değil, adapsız telefon dinlemeleri sebebiyle ortaya çıkmıştı. 1999’da düzenlenen Telekulak Operasyonu ve 2013’teki 17-25 Aralık operasyonları, ülkenin en büyük telefon dinleme skandalları olarak kayda geçmişti.
BTK bir buçuk yıldır gözetliyormuş
Ancak Medyascope’tan Doğu Eroğlu’nun ulaştığı dokümanlar, geçmişte ortaya çıkan telefon dinleme skandallarından katbekat büyük bir kitlesel nezaretin, Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri ve Bağlantı Kurumu (BTK) tarafından yaklaşık bir buçuk yıldır gerçekleştirilmekte olduğunu gösteriyor.
1972’de ABD’deki Başkanlık seçimleri öncesinde Demokrat Parti’nin binasına ses kaydı yerleştirilmesi skandalı olan “Watergate” isminden yola çıkan Medyascope, BTK’nın fişlemesini “BTK-Gate” olarak tanımladı.
BTK daha evvel yalanlamamıştı
BTK’nın kullanıcı trafik datalarını nizamlı olarak internet servis sağlayıcılardan istediğini daha evvel CHP Genel Lider Yardımcısı Onursal Adıgüzel açıklamış, BTK rastgele bir yalanlamada bulunmamıştı.
‘İnternet trafiğini saat başı gönderin’ talebi
15 Aralık 2020 tarihli, 15 sayfadan oluşan evraklara nazaran BTK, internet servis sağlayıcılardan, tüm kullanıcıların internet trafiği kayıtlarının saat başı kendisine gönderilmesini istedi. BTK milyonlarca kullanıcının bilgilerinin hangi formatta kayıt altına alınacağı ve kendisine nasıl gönderileceğini, kurum yazısıyla birlikte gönderdiği teknik ayrıntı dokümanında internet servis sağlayıcılara detaylarıyla anlattı.
İSS Trafik Log Deseni başlıklı yazıda, kullanıcı datalarının anonim olarak değil, kullanıcının ismi soyadıyla birlikte kuruma gönderilmesi isteniyor.
WhatsApp, Telegram ya da Signal farketmiyor
BTK’nın nezareti, internet kullanıcılarının kimlikleriyle birlikte, hangi internet sitelerini ziyaret ettikleri ve hangi uygulamaları kullandıklarının kurum tarafından kaydedilmesini sağlıyor. Bilişim uzmanları, bu nezaret sayesinde elde edilecek bilgilerin karşılaştırılmasıyla, kullanıcıların WhatsApp, Telegram ya da Signal üzere uygulamalar üzerinden kimlerle yazıştığını ya da sesli-görüntülü görüşme yaptığının anlaşılacağını aktarıyor. Bu tip uygulamalardan yazışan ya da birbirini arayan kullanıcıların her ikisi de Türkiye’deki internet servis sağlayıcılardan hizmet alıyorsa, bu iki kişinin tespit edilebilmesi epeyce kolay.
Konum bilgisi savı teyit edilemedi
İnternet servis sağlayıcıları, taşınabilir telefon operatörlerinden BTK’ya giden datalar ortasında, kullanıcıların pozisyon bilgilerinin de olduğunu ileri sürüyor. Lakin Medyascope bu iddiayı tıpkı vakitte taşınabilir telefon hizmeti de sunan Turkcell, Vodafone ve Türk Telekom’dan teyit edemedi.
BTK’ya yollamayana ceza
Aralık 2020 tarihli evrakta, kullanıcıların internet trafik datalarını BTK’ya yollamayan internet servis sağlayıcılara ceza kesileceği uyarısı da yer alıyor.
Başkanlık yazısıyla tüm kullanıcıların internet trafiğini istediler
BTK’nın Türkiye’deki tüm kullanıcılara ilişkin internet trafiğini talep ettiği, İSS Trafik Log Deseni başlıklı ve bilinmeyen ibareli yazı, 15 Aralık 2020’de internet servis sağlayıcısı şirketlere gönderildi.
Belgede, “Kurumumuz isimli hedefli bağlantının tespit edilmesi, dinlenmesi, sinyal bilgilerinin kıymetlendirilmesi ve kayda alınmasına yönelik süreçler kapsamında verilen misyonları müddetinde, eksiksiz ve rastgele bir aksamaya sebebiyet vermeyecek halde yerine getirmekle yükümlüdür. . . İnternet ortamında gerçekleşen faaliyetlere ait olarak isimli ve önleyici kapsamda daha ayrıntılı bilgilerin alınmasına muhtaçlık duyulmuştur” sözleri yer aldı.
BTK’dan internet servis sağlayıcılara gönderilen yazı, BTK Lideri ismine, Kurum Lider Yrd. titrine sahip Fethi Azaklı imzası taşıyor.
Bilgi Teknolojileri Bağlantı Kurumu’nun karar organı, Bilgi Teknolojileri ve İrtibat Konseyi. Yani BTK ismine kararlar konsey tarafından alınıp yöneticilerce icra ediliyor. Lakin İSS Trafik Log Deseni başlıklı yazıda, rastgele bir konsey kararına atıfta bulunulmuyor. BTK’nın internet sitesinde, heyet kararlarının yer aldığı kısımda de, heyet tarafından alınmış benzeri bir karara rastlanmıyor. Yani internet trafiğini gözetlemek için internet servis sağlayıcılara yollanan yazı, heyet tarafından alınmış rastgele bir karara dayanmıyor.
Gizli ibareli ve İSS Trafik Log Deseni başlıklı evrakın Aralık 2020’de, farklı tarihlerde yüzlerce internet servis sağlayıcısı şirkete gönderildiği iddia ediliyor.
Veri akışı 2021 prestijiyle başlamış
BTK’nın irtibat bölümündeki düzenleyici ve denetleyici pozisyonundan dolayı isimlerinin gizli kalması kaydıyla konuşan internet servis sağlayıcı firmaların yetkilileri, şirketlerden BTK’ya kullanıcı trafiği data akışının 2021 prestijiyle başladığını ileri sürüyor.
Turkcell, Türk Telekom ve Vodafone, yani Türkiye’de abone sayısı bakımından en büyük üç internet servis sağlayıcısı, BTK’ya gönderilen bilgiler hakkındaki sorularımıza rastgele bir yanıt vermedi.
Trafik bilgileri anonim değil, kullanıcıların ismiyle birlikte bildiriliyor
Mobil uygulamalar, Facebook üzere toplumsal ağ platformları ya da Google üzere servisler, kullanıcılarından topladığı dataları eser ve hizmetlerin pazarlanmasında sıkça kullanabiliyor. Fakat Türkiye’de ve dünyada yürürlükte olan şahsî dataların korunması kanunları uyarınca, bu datalar bilgi sahiplerinin kimliklerinin belirlenmesini önleyecek halde maskeleniyor. Yani toplanan bilgiler ile gerçek şahıslar ortasındaki bağlar koparılıyor.
BTK’nın internet servis sağlayıcılardan her saat başı temin ettiği bilgilerde ise bu türlü bir uygulama yok. Yani bilgiler anonimleştirilmeden, gelen tüm trafik bilgisi kullanıcıların kimlikleriyle birlikte kayıt altına alınıyor.
İnternet servis sağlayıcılar tarafından BTK’ya iletilen log’larda, yani trafik kayıtlarında, her bir satır abonenin ismiyle başlıyor.
İnternet servis sağlayıcılar tarafından BTK’ya saat başı gönderilen paketlerdeki her bir trafik satırı, şuna benziyor:
Abonenin adı-soyadı@Hizmet alınan servis sağlayıcı | Abonenin IP numarası | Özel Port | Gerçek IP | Gerçek port başlangıç | Gerçek port bitiş | Trafik başlama tarihi [Gün-ay-yıl-saat-dakika-saniye] | Trafik mühlet [Bağlantının ne kadar devam ettiği, saniye cinsinden] | Gaye IP | Maksat port | App protokol [Bir uygulama için ilişki kurulduysa burada uygulamanın ismi, bir internet sitesine irtibat gerçekleştirildiyse sitenin adresi yazıyor. Örnek: WhatsApp ya da medyascope.com] | Network protokol | İndirilen ölçü [İndirilen datanın byte cinsinden miktarı] | Yüklenen ölçü [Gönderilen datanın byte cinsinden miktarı] | Temas PVC | Oturum ID | SSG IP | NAT aygıt | DPI aygıt | Termination cause | Packet type | Direction
Yani BTK’ya giden trafik kayıtlarının her bir satırında;
- Abonenin ismi ve soyadı (Tüzel şahıssa resmi adı),
- Abonenin o sırada kullanmakta olduğu IP numarası,
- Hangi uygulamayla ya da internet sitesiyle bilgi alışverişi yaptığı,
- İlgili bilgi alışverişinin başlangıç tarihi ve saati, data alışverişinin ne kadar sürdüğü,
- Ne büyüklükte data alıp ne büyüklükte data gönderdiği
gibi bilgiler yer alıyor.
BTK’nın internet servis sağlayıcılardan istediği trafik dataları, e-postaların ya da WhatsApp yahut öteki uygulamalardan gönderilen bildirilerin içeriği hakkında bilgi içermiyor. Lakin danıştığımız bilişim uzmanlarının tümü, Türkiye’nin tamamından data toplandığı için, bu büyük bilgi kullanılarak yazışmaların kimler ortasında yapıldığının anlaşılacağını aktarıyor.
“İstihbari” bilgi toplamanın birinci ayağı abone deseniydi
BTK trafik datalarını toplamaya başlamadan evvel, internet aboneleri hakkındaki detaylı bilgileri abone deseni ismi altında internet servis sağlayıcılardan edinmeye başlamıştı.
4 Aralık 2018’de işletmecilere Abone Desen Yapısı isimli bir evrak yollayan BTK, ortalarında internet kullanıcılarına ilişkin aşağıdaki şahsî bilgilerin de bulunduğu abone evraklarının kendisiyle paylaşılmasını istemişti:
- Abone adı-soyadı
- T.C. Kimlik ve pasaport numaraları, vergi ve MERSİS numaraları
- Cinsiyet ve uyruk
- Anne ve baba ismi ile anne kızlık soyadı
- Doğum yeri ve tarihi
- Meslek
- Kimlik cilt, kütük, sayfa no, kimlik seri no ve kimliğin verildiği yer
- Abonenin adresi
- Abonenin eski cep telefonu numarası
BTK ayrıyeten, bu ferdî bilgilerin aktüel hallerini içeren evrakların her ayın birinci günü kendisine tekrar gönderilmesini kural koşmuştu.
Yani 2018’de Abone Desen Yapısı yazısıyla Türkiye’deki tüm internet kullanıcılarının ferdî datalarına ulaşan BTK, 2020’de İSS Trafik Log Deseni yazısıyla, aboneler hakkında sahip olduğu bilgilere internet trafiğini de arşivinde tuttuğu kullanıcı bilgilerine ekledi.
BTK’nın aboneler hakkında tuttuğu belgelerdeki (kimlik, meslek, adres içeren dosya) bilgiler, her ayın birinci günü internet servis sağlayıcılardan gelen bilgilerle güncelleniyor.
Abonelerin internet trafiği ise her saat başı internet servis sağlayıcılar tarafından BTK’ya gönderiliyor.
BTK topladığı bilgilerle ne yapacak?
BTK’nın 2022 yılının birinci çeyreği için hazırladığı Türkiye Elektronik Haberleşme Dalı Üç Aylık Pazar Dataları Raporu’na nazaran, Türkiye’deki internet abone sayısı yaklaşık 89 milyon (88,847,744). İnternet kullanıcılarının 70 milyonu taşınabilir aygıtlarından, kalan kısmıysa sabit hizmetlerle internete bağlanıyor. Medyascope’un yayınladığı doküman, 89 milyon kullanıcının her birine ilişkin saatlik internet trafik datalarının, abonelerin kimlik bilgileriyle birlikte BTK’ya ulaştığını gösteriyor.