Devletleri harekete geçiren tehdit: Yabancı mesajlaşma uygulamaları

ADEO Cyber Security şirketinde siber güvenlik uzmanı Ersin Çahmutoğlu, pek çok devletin resmi kurumlarda WhatsApp gibi mesajlaşma uygulamalarını yasaklamasının ne anlama geldiğini ve Türkiye'nin bu konudaki mevcut çalışmalarını AA Analiz için kaleme aldı.

***

Dünyada bazı büyük devletler ve şirketler, dijital tahakküm inşa etmek ve bunu sürdürmek için geliştirdikleri teknolojilerini dünyanın her yerine yaymayı hedefliyor. Bu hedefle yola çıkan devletler ve şirketler bu sayede oldukça ciddi seviyelerde büyümeler kaydederken, geliştirdikleri teknolojilerle devlet kurumu çalışanı ya da sivil fark etmeksizin her kullanıcının verilerini de topluyor.

Bu faaliyetler özellikle mesajlaşma uygulamaları üzerinden çok etkin bir şekilde yürütülüyor. WhatsApp ve Telegram gibi şirketler dünya çapında milyarlarca kullanıcıya ulaşan uygulamalarıyla ücretsiz hizmet sunarlarken insanlardan ve devletlerden de veri ve istihbarat topluyor. Yıllardır devam eden bu faaliyetler günümüzde de yoğun şekilde sürüyor.

Bu sebeple pek çok devlet yabancı menşeli uygulamaların getirdiği tehlikelerden dolayı kendi mesajlaşma uygulamasını geliştirmeye karar verdi. Çünkü bu veri ve istihbarat toplama faaliyetleri artık ulusal güvenliği tehdit eder hale geldi. Sıradan vatandaşların yaptığı görüşmelerden ziyade kritik önemi haiz bir devlet kurumunun en üst düzey yöneticisinin kurum içi yazışmaları ve konuşmalarını da çoğu zaman yabancı menşeli uygulamalarla yapması ciddi risk ve tehlikelere yol açıyor.

Pek çok devlet kendi mesajlaşma uygulamasını geliştiriyor

Son zamanlarda birçok ülke devlet kurumlarında ve vatandaş nezdinde artık yerli uygulama kullanılmasını zorunlu kılmaya başladı. Bu ülkelerin bazıları WhatsApp ve Telegram gibi uygulamaları sadece devlet kurumlarında yasaklarken bazıları da ülke genelinde tamamen engelledi.

Örneğin Rusya yakın zamanda VK şirketi tarafından geliştirilen Max adlı mesajlaşma uygulamasının kullanımını tüm ülkede zorunlu hale getirdi. Geçtiğimiz günlerde ise Fransa, bakanlar dahil tüm kamu yöneticileri ve personeline 2019'da ülkenin bilgi güvenliği teşkilatı ANSSI tarafından geliştirilen Tchap uygulamasının kullanımını zorunlu kıldı.

Biraz daha geçmişe gidince başka ülkelerin de benzer kararlar aldıklarını görüyoruz. Örneğin Almanya'daki devlet kurumlarında artık 2020'de Alman Silahlı Kuvvetleri tarafından geliştirilen BwMessenger adlı mesajlaşma uygulaması kullanılıyor. 2022 ve 2023 yıllarından sonrasına bakıldığında ise Lüksemburg'daki devlet kurumlarında Luxchat4Gov, Polonya'daki devlet kurumlarında Merkury, İsviçre'deki devlet kurumlarında da Threema adlı uygulamalar zorunlu olarak kullanılıyor.

Siber güvenlik konusuna hassasiyetle önem veren bir örgüt olarak NATO da kritik birimlerinde iletişim ve yazışmalar için 2024 itibarıyla NI2CE adında bir uygulama geliştirip kullanmaya başladı. Tüm bunlara ilaveten Çin'in çok uzun yıllardır tüm ülke çapında Weixin adlı mesajlaşma uygulamasını kullanma şartı getirdiğini de hatırlatalım.

Devletler için esas kriter: Güvenlik ve gizlilik

Dünyada pek çok devletin mesajlaşma ve iletişim faaliyetlerini güvenle sürdürebilmek için yalnızca kendi geliştirdikleri uygulamalara itimat ettiklerini görüyoruz. Bu durum, devletlerin özellikle son yıllarda maruz kaldığı veri ihlalleri ve hedefli siber casusluk operasyonlarının bir sonucudur.

Avrupa başta olmak üzere pek çok bölgedeki devletlerin, yabancı menşeli mesajlaşma uygulamalarını yasaklamalarının birden fazla nedeni vardır. Ancak en temel neden ulusal güvenliğe yönelik oluşan riskler ve tehlikelerdir. Yabancı menşeli uygulamalarda, iletişimlerin takip edilmesi ve verilerin toplanması gibi güvenlik sorunlarından dolayı devletler en azından kritik kurumlarda kendi geliştirdikleri çözümlere yöneliyor.

Elbette devletlerin kendi geliştirdikleri bu çözümlerin de yüzde yüz güvenlik sağladığını söyleyemeyiz. Gelişmiş seviyedeki casus yazılımlar akıllı telefonlara sızdığında bu mesajlaşma uygulamalarının tüm güvenlik katmanları çöküyor. Bu noktada, özellikle İsrail menşeli casus yazılımların günümüzde neden oldukları tehdide dikkati çekmek gerekiyor.

Geçtiğimiz günlerde, ABD Göçmenlik ve Gümrük Muhafaza Dairesinin İsrailli Paragon şirketinden geçtiğimiz yıl satın aldığı Graphite adlı casus yazılıma ilişkin sözleşmeyi yeniledikleri ortaya çıkmıştı. Dünyada pek çok istihbarat servisine satıldığı bilinen bu casus yazılım, marka ve model fark etmeksizin her türden akıllı telefondan sınırsız veri toplayabiliyor ve hatta telefonun kontrolünü ele geçirebiliyor.

Eski İsrail Başbakanı Ehud Barak'ın 2019'da kurduğu Paragon şirketinin geliştirdiği Graphite'i, oldukça gelişmiş niteliklere sahip sofistike bir siber silah olarak tanımlayabiliriz. Tıpkı diğer İsrailli siber casusluk şirketi olan NSO Group'un Pegasus'u gibi Graphite de son derece tehlikeli bir siber silahtır.

İşte bu siber silahların herhangi bir belirti ve işaret vermeden her türlü akıllı telefona sızabilmesinden dolayı bağımsız, güvenli ve yerli mesajlaşma uygulamaları üzerinden iletişim kurmak risk ve tehlikeleri tamamen ortadan kaldırmayacaktır. Bu gibi siber silahlar, çoğu zaman "0-day" gibi kritik ve tehlikeli güvenlik açıklarını istismar ettikleri için bunların önüne geçmenin bir yolu yok.

Dolayısıyla resmi iletişim faaliyetlerinde, özellikle de kritik kurumlarda mümkün olduğunca akıllı telefon kullanımının büyük oranda sınırlandırılması elzemdir. Bu anlamda, Türkiye'nin de bu tehlike ve riskleri değerlendirerek kayda değer adımlar atması ve kamusal alanda kullanılacak bir uygulama geliştirme gibi spesifik çalışmalar yapması gerekiyor.

Türkiye ne yapmalı?

Türkiye, geliştireceği mesajlaşma uygulamasının yerli ve milli olmasından ziyade, uygulamanın tamamen güvenli ve bağımsız bir yapıda olmasına odaklanmalıdır. Bu noktada, Fransa, Almanya ve NATO'daki örneklerde olduğu gibi Matrix tabanlı bir uygulamanın geliştirilmesi mümkün olabilir. Açık kaynaklı iletişim protokolü olarak Matrix gibi bir altyapı üzerine özgün bir mesajlaşma uygulamasının geliştirilmesi ve buna ilaveten verilerin yer aldığı sunucuların da tamamen Türkiye'nin siber vatanı içerisinde kalması, güvenlik ve bağımsızlık için önemlidir.

Devlet kurumlarında resmi yazışmalarda kullanım için WhatsApp, Telegram ve diğer mesajlaşma uygulamalarının aksine merkeziyetsiz bir yapıya sahip olan, veri merkezlerinin farklı ülkelere dağılmadığı ve bağımsız sunucuların kurulabildiği bir mesajlaşma uygulaması kritik önemdedir. Bu şekilde inşa edilen bir uygulama, bakanlıklar ve diğer kamu kurum ve kuruluşlarının kendi bağımsız sunucularını kurabileceği ve yalnızca kendi personelinin kaydolabileceği bir platforma da olanak sağlayacaktır.

Ayrıca tıpkı Lüksemburg örneğinde olduğu gibi hem devlet kurumları içerisinde hem de toplum genelinde kullanılabilecek şekilde iki farklı versiyon da geliştirilebilir. Böylece sadece devlet kurumları çalışanlarının değil, vatandaşların da gizlilik ve güvenlik noktasında risk altında olma ihtimallerinin önüne geçilebilir.

Son olarak Türkiye'de yabancı menşeli mesajlaşma uygulamaları gibi ürün ve hizmetlerin devlet kurumlarında kısıtlanması ve hatta yasaklanması için hassasiyet gözeterek çalışma yapılmalıdır. Dünyadaki örnekler, devlet kurumları için bir mesajlaşma ve iletişim platformu geliştirmenin ve bu platformu bakanlar dahil tüm seviyedeki personel için zorunlu tutmanın ne derece önem arz ettiğini gösteriyor.

Bu hassas konu özelinde gereken denetimleri yapacak, koordinasyonu sağlayacak ve standartları belirleyecek olan esas kurum, geçtiğimiz ocak ayında kurulan Siber Güvenlik Başkanlığı (SGB) olabilir. Hatta ilgili platformun veya uygulamanın sadece kullanımıyla ilgili değil, geliştirilmesiyle ilgili süreçlerde de SGB doğrudan belirleyici otorite olarak faaliyet yürütebilir.

[Ersin Çahmutoğlu, ADEO Cyber Security şirketinde siber güvenlik uzmanıdır.]

Makalelerdeki fikirler yazarına aittir ve Anadolu Ajansının editoryal politikasını yansıtmayabilir.