Koronavirüs temas takip uygulamaları

Kovid-19 salgını ile birlikte başta genel sokağa çıkma yasağından kaçınan ülkeler olmak üzere pek çok ülkede de temas takip uygulamaları kullanıma girmeye başladı. Bu uygulamaların temel amacı koronavirüsün yayılmasını engellemek. Ancak bu uygulamaların toplayabileceği verinin büyüklüğü ve detaylılığı hem verilerin güvenliği ile ilgili riskleri hem de bu sistemlerin haklar ve özgürlüklerle çelişen bir gözetim mekanizmasına dönüşebilme riskini beraberinde getiriyor. Bu riskler Kovid-19 çalışmalarındaki şeffaflığın eksikliği ile birlikte artıyor.

İki ana tip Kovid-19 temas takip uygulamasından bahsedebiliriz: Merkezi uygulamalar ve merkezi olmayan uygulamalar.  Merkezi uygulamalar telefonlardan topladıkları verileri merkezi bir sistemde bir araya getirerek temas takibini bu merkezi sistemde yürütüyor. Merkezi olmayan uygulamalarda ise hâlâ bir merkezi sunucu mevcut olmakla birlikte bu sunucuda sadece telefonların anonimize edilmiş kimlikleri mevcut. Eşleştirmeler ve temas takibi herkesin kendi telefonunda gerçekleştiriliyor. Pek çok ülke GPS, bluetooth ve ağ konumlarını toplayan merkezi uygulamalara yönelirken Google ve Apple özel hayatın gizliliği ve hükümetlerin vatandaşları hakkında bilgi toplaması olasılığını da vurgulayarak temas takibi için GPS konumlarını kullanmayan, sadece bluetootha dayanan yeni bir altyapının kurulumuna başladı ve bu altyapıyı kullanacak olanların GPS konumlarını kullanamayacaklarını duyurdu.

Her iki temas takip modelinin de ne kadar işe yarayabileceği henüz oldukça şüpheli. Bu modeller ile ilgili ilk sorun her iki modelin de akıllı telefonlara dayanması. Dünya genelinde akıllı telefon kullanıcılarının nüfusa oranı 2019 yılında yüzde 41.5. Yani dünyadaki tüm akıllı telefon kullanıcıları bu temas takip uygulamalarını kullansa dahi dünya nüfusunun yüzde 60’a yakınını bu uygulamalarla takip etmek mümkün olmayacak. Türkiye’de akıllı telefon kullanıcılarının nüfusa oranı da buna yakın seviyelerde. Newzoo’nun Küresel Mobil Pazar Raporu’na göre 2018’de Türkiye’de akıllı telefon kullanıcıları nüfusun yüzde 37.9’u kadardı. Hesaba bu temas takip uygulamalarını kaç kişinin yükleyeceği ve düzenli olarak çalışır durumda tutacağı gibi parametreleri de eklediğinizde bu uygulamalar ile muhtemelen nüfusun sadece küçük bir kısmını takip etmek mümkün olacak.

İkinci problem akıllı telefonlarda konumun hassas bir şekilde tespiti. Eğer akıllı telefonunuzda herhangi bir harita uygulaması kullandıysanız, muhtemelen en azından birkaç sefer kendinizi haritada olmanız gereken yerin 5-10 metre ötesinde görmüşsünüzdür. Akıllı telefonlarda kullanılan GPS düşük hassasiyeti dolayısıyla aşağı yukarı 10 metreye kadar yanılabilir. Konum tespitinde kullanılabilecek bir diğer kaynak olan baz istasyonu verileri ise genelde birkaç kilometrelik bir konum tahmin hassasiyetine sahiptir. Çevre şartlarını, cihazların durumunu ve yapısını vb. bilmeden sadece karşılıklı sinyal güçlerine bakarak iki bluetooth cihaz arasındaki mesafenin ne kadar düzgün tahmin edilebileceği de oldukça tartışmalı. Bütün bu metodlar birleştirilse dahi 2 metrelik temas takip mesafesinin içine girilip girilmediğini büyük bir başarı yüzdesi ile belirleyebilmek çok da mümkün olmayabilir.

Merkezi uygulamalar ile kurulan dev gözetim ağı da bir diğer problem. Neredeyse her devlet verilerin Kovid-19 takibi dışında kullanılmayacağını garanti ediyor. Herhangi bir devletin içinde bu verileri Kovid-19 dışı amaçlarla kullanmak isteyecek kimse çıkmayacağı gibi absürt bir varsayım bile verilerin güvenliğini sağlamak açısından yeterli değil. Pek çok ülkede verilerin saklandığı sunucuların durumuna ve güvenliğine dair şeffafça raporlara ulaşmak mümkün değil. Buna ek olarak kısa sürelerde ve muhtemelen geleneksel geliştirme basamaklarını atlayarak hazırlanmış uygulamaların ne kadar güvenli olduğuna dair bağımsız analiz ve raporlar da mevcut değil.

Bir işe yarayıp yaramayacağı şüpheli, güvenliği tartışmalı, kötüye kullanım ve veri sızıntısı olasılığı taşıyan bu sistemlere verilerimizi emanet edebilir miyiz? Bu uygulamaların hiçbir faydası olmayacağını iddia etmiyorum. Ancak bu faydalar böyle bir mekanizmayı kabul etmeye değecek kadar çok mudur?

Koronavirüsün yarattığı iklim bir önceki soruya vereceğiniz yanıta etki edebileceğinden üzerine biraz daha düşünmeniz için bir başka soru sorayım: Tüm telefon görüşmelerinin dinlenmesi, Internet trafiğinin ve yazışmalarının izlenmesi ile şifreli trafiğin yasaklanması gibi çeşitli tedbirler bazı suçların önüne geçilmesini sağlayabilir. Ancak bu “Bazı suçların önüne geçilebilmesi” faydası tüm herkesin iletişiminin gizliliğini feda edecek kadar büyük bir fayda mıdır?

İngiltere’den bilgi güvenliği ve gizlilik alanında çalışan 170 bilim insanı bir açıklama yayımlayarak Ulusal Sağlık Servisi tarafından geliştirilen merkezi temas takip uygulaması ile alakalı kaygılarını dile getirdiler.  Avrupa’dan 7 üniversiteden 25 güvenlik uzmanı merkezi sistemlere dair güvenlik ve gizlilik kaygılarını belirtip merkezi olmayan bir modeli öneren bir makale yayımladı. Merkezi temas takip uygulamalarında gizliliğe dair kaygılar ve uzman görüşleri ortada. Buna rağmen Türkiye de dahil olmak üzere pek çok ülkede merkezi uygulamalar öne çıkıyor. Bu uygulamaların kurulum ve kullanımı genelde zorunlu olmayıp gönüllülük temelinde olsa da hâlâ Kovid-19’a karşı alınacak tedbirler ile hak ve özgürlükler arasında bir denge ve ölçülülük tartışması yürütmemiz gerekiyor. Hükümetler eğer bu merkezi temas takip yazılımlarını kullanmamızı istiyorlarsa bu düzeylerde takibin ciddi ve değecek bir faydası olduğunu kanıtlamakla, sistemlerin durumunu ve güvenliğini şeffaflıkla açıklamakla da yükümlü olmalıdır.