AB'de casus yazılım çatlağı
15 Haziran 2023Casus yazılımların kimi Avrupa Birliği (AB) devletleri tarafından usulsüz kullanıldığı ve ihraç edildiğinin ortaya çıkmasının ardından Avrupa Parlamentosu (AP) bünyesinde oluşturulan özel komisyonunun yürüttüğü 14 aylık soruşturma temelinde hazırlanan rapor ve tavsiyeler bugün Strasbourg'da düzenlenen genel kurul oturumunda 97'ye karşı 411 oyla kabul edildi. Oylamada 37 parlamenter çekimser kaldı.
Kararda, AB üyesi devletlerde iktidarların veya kamu kurum veya makamlarının, "muhalefeti, karşıt görüşten olanları ve sivil toplumu gözetlemek, şantajla korkutmak, caydırmak, manipüle etmek ve itibarsızlaştırmak, demokratik kontrolü ve özgür basını etkisizleştirmek, seçimleri manipüle etmek ve siyasi amaçlarla hakimleri, savcıları ve avukatları hedef alarak hukuk devletini tehlikeye sokmak" için casus yazılım kullanmaları sert dille kınandı. Bu yazılımların meşru olmayan biçimde kullanılmasının "AB demokrasisinin bütünlüğünü ihlal ettiği" görüşü dile getirildi.
"Avrupa hukukuna aykırı"
AB devletlerinin, AB Konseyinin ve Avrupa Komisyonu'nun casus yazılımlar konusunda AP ile somut işbirliği yapmamakla eleştirildiği kararda, üye devletler Avrupa Adalet Divanı, Avrupa İnsan Hakları Mahkemesi ve Venedik Komisyonu'nun özel yaşama saygı ve kişisel verilerin korunmasıyla ilgili kararlarına uygun davranmaya çağrıldı. Casus yazılımlar konusunda üye devletlerin "ulusal güvenlik" gerekçesini öne sürdüğü, bu mazeretin AB hukukunun önüne geçemeyeceği, bu nedenle "net biçimde tanımlanmasının gerektiği" kaydedildi.
Kararda, casus yazılımların Avrupa hukukuyla uyumlu kullanımı için düzenleme yapılmaması halinde yasaklanmaları çağrısında bulunuldu.
AP, bu elektronik takip teknolojilerinin kullanımına devam edilmesi için usulsüz kullanıldıkları iddialarına ilişkin kapsamlı soruşturma yürütülmesini, AB hukukuyla uyumlu idari çerçeve hazırlanmasını, Avrupa Polis Teşkilatı EUROPOL'ün bu yazılımların usulsüz kullanıldığı iddialarıyla ilgili soruşturmalara dahil edilmesini ve AB hukukuna uygun olmayan çift kullanım ürünlerin ihracat lisanslarının iptal edilmesini istiyor.
5 AB ülkesine öneriler
Kabul edilen metinde casus yazılımlarla ilgili üşüsüzlüklerin tespit edildiği Polonya, Macaristan, İspanya, Kıbrıs Cumhuriyeti ve Yunanistan'a yönelik spesifik tavsiyelerde bulunuluyor. Polonya'dan konu hakkında soruşturma başlatması ve yurttaşlarını koruyucu yaşal düzenlemeye gitmesi isteniyor. Macaristan'a yargı bağımsızlığı konusunda Avrupa hukuku kararlarıyla uyumlu davranma çağrısında bulunuluyor. Katalan bağımsızlıkçılara karşı casus yazılım kullanmakla suçlanan İspanyol hükümetinden ulusal istihbarat reformu başlatması isteniyor. Casus yazılımlarda lider konumdaki İsrail şirketleri için üs haline gelen Kıbrıs Cumhuriyeti'ne topraklarından AB iç pazarına ihraç edilen yazılımlar konusunda envanter çıkarma çağrısında bulunuluyor. Casus yazılımların Başbakanlığa bağlı gizli servisler tarafından kullanıldığının ortaya çıktığı Yunanistan'dan ise istihbarat birimlerinin işleyişini parlamenter kontrol altına alıcı anayasal düzenlemeye gitmesi talep ediliyor.
Hangi ülkelerde geliştiriliyor?
Tavsiye kararı metninde, casus yazılım geliştiren şirketlerin birçok AB ülkesinde faaliyet gösterdiği, bunların başında Kıbrıs Cumhuriyeti, Lüksemburg, Hollanda ve Bulgaristan'da şubeleri olan İsrail merkezli NSO grubunun geldiği belirtiliyor. Bu gruba ek olarak İrlanda, Yunanistan, İsviçre ve Kıbrıs Cumhuriyeti'nde şubeleri mevcut İntellexa, Avusturya'da faaliyet gösteren DSIRF, İtalya merkezli Tykelab ve RCS Lab ve Fransa'da operasyonel Amesys ve Nexa Technologies gibi şirketler not ediliyor.
Amesys ve Nexa Technologies şirketleri hakkında Libya, Mısır ve Suudi Arabistan gibi ülkelere casus yazılım teknolojileri ihraç ettikleri gerekçesiyle Fransız yargısı önünde açılmış davalar olduğuna işaret edilen kararda, Yunanistan'daki Intellexa firmasının ürünlerini Bangladeş, Sudan, Madagaskar ve kimi Arap ülkelerine pazarladığı kaydediliyor.
Geçtiğimiz aylarda iflas eden Alman FinFisher firması tarafından geliştirilen casus yazılımların ise Angola, Suudi Arabistan, Bahreyn, Bangladeş, Mısır, Etyopya, Gabon, Ürdün, Kazakistan, Birmanya, Katar ve Türkiye gibi ülkelere satıldığı belirtilmekte.
Türkiye'ye de satıldı
Casus yazılım FinSpy'in geliştiricisi olan FinFisher firması hakkında hükümetin iznine tabi olduğu halde bu izni almadan "Türkiye'ye yasa dışı yollardan casus yazılım sattığı" iddiasıyla 2019 yılında Münih Savcılığı tarafından soruşturma başlatılmıştı.
FinSpy yazılımı, CHP lideri Kemal Kılıçdaroğlu'nun 2017'de başlattığı Adalet Yürüyüşü eylemi sırasında açılan ve eylemin destekleyicisi gibi görünen bir internet sitesinde tespit edilmişti. Muhalif görünümlü bu sitenin eylemi desteklemek veya gelişmeleri takip etmek isteyenlere indirmesi için tavsiye ettiği uygulamanın tıklanmasıyla, casus yazılımın aralarında CHP'li vekiller de olmak üzere binlerce kişinin cep telefonuna yerleştirildiği düşünülüyor.
AB'nin casus yazılım ihracatının sıkı kontrol altına alınmasını ve İsrail'le görüşmelere başlanmasını talep eden AP, bu yazılımların satıldığı Fas ve Ruanda gibi ülkelerin, aralarında "devlet başkanlarının" da olduğu kimi Avrupalı yöneticileri takibe aldıklarına işaret ediyor.
Skandal nasıl ortaya çıktı?
Casus yazılım skandalı80'den fazla araştırmacı gazeteci, sivil toplum kuruluşları ve uzmanların, Pegasus adlı yazılım aracılığıyla 50 binden fazla telefon numarasının elektronik takibe aldındığını ortaya koyan bir raporu Temmuz 2021'de yayımlamasıyla patlak verdi. Raporda, 189 gazeteci, 85 insan hakları savunucusu, 65 şirket yöneticisi ve aralarında devlet ve hükümet başkanlarının da olduğu 600 siyasinin Pegasus yazılımıyla hedef alındığı ortaya dökülmüştü.
Konu hakkında 10 Mart 2022 tarihinde bir soruşturma komisyonu oluşturan AP, İsrail merkezli NSO grubu tarafından geliştirilip pazarlanan Pegasus adlı yazılımın en az 14 AB ülkesine satıldığını ortaya çıkardı.
Pegasus yazılımının İsrail Savunma Bakanlığı tarafından verilen ihracat lisansıyla 2013 yılından bu yana pazarlandığı söyleniyor. İsrail devleti, "ulusal güvenlik" adına, bu yazılımın "Five Eyes" olarak tanımlanan ABD, Kanada, Birleşik Krallık, Avustralya ve Yeni Zelanda beşlisini hedef almasına izin vermiyor.
AP'nin bugün kabul ettiği karara rağmen, AB devletlerinin casus yazılımlar konusunda "ulusal güvenlik" mazeretinden geri adım atmaları beklenmiyor.
Casus yazılımlarla ilgili AP raportörü, Hollandalı liberal parlamenter Sophia In ‘t Veld ise AP kararının nasıl uygulanacağına dair AB Konseyi ve Avrupa Komisyonu’ndan rapor beklediklerini bildirdi.