Türkiye'ye de Gelmesi Beklenen Yeni Sistem: Sosyal Medya Kimlik Doğrulama

kimlik doğrulama, internet'te bir yeri ziyaret ederken ya da bir uygulamaya kayıt olurken sizin gerçekte kim olduğunuzun ya da en az kanunların gerektirdiği yaşta olduğunuzun doğrulanma işlemi. yeni yeni sözlüğümüze giriyor.

bu neden yapılıyor ve nasıl yapılıyor? 

ana gerekçe çocukları korumak, onlara zarar verecek içeriklere ya da sosyal etkileşimlere maruz kalmalarını engellemek. son yıllarda sosyal medyanın çocukların gelişimine olumsuz etki ettiğine dair çok sayıda çalışma çıktı. hatta geçtim sosyal medyayı, ekran kullanımının, cep telefonu erişiminin bile erken yaşlarda çocuk gelişimine zararlı olduğuna dair çok çalışma var. bunları çürüten başka bir çalışma da görmedim şimdiye kadar.

böyle bir sorunu elbette ebeveynler bugün de çözebilir. ebeveyn kontrol sistemleriyle (bkz: parental control) çocuklarının online offline tüm telefon, sosyal medya ıvır zıvır imkanlarını denetlemeleri mümkün. ama benim gördüğüm kadarıyla hiçbir ebeveyn bunu yapmıyor. zor mu geliyor, yoksa sadece bilmediklerinden mi, ya da çocuğu koruma işini ful devlete bırakmak mı kolaylarına geliyor bilmiyorum.

peki kimlik onaylama nasıl yapılıyor? 

uygulama tarzları ülkeden ülkeye değişse de şu anda yaygın kabul gören sistem üçüncü parti kimlik onaylama platformları. yani siz bir mecraya kaydolacaksanız onay platformuna yönlendiriliyorsunuz. o platform sizin yaşınızı ya da kimliğinizi onaylarsa girmek istediğiniz mecraya onay kodu yolluyor. böylece kullanıcı hesabınızı kullanabilir hale geliyorsunuz.

bu şu anda iki şekilde yapılıyor: yaş onayı ve/veya kimlik kartı onayı şeklinde. yaş onayı kameranızı açıyor, videonuzu çekiyor ve bir algoritmayla yeterince yaşlı olup olmadığınızı tespit ediyor. kimlik kartı onayı ise kimliğinizin fotoğrafını çektiriyor veya kimlik bilgilerinizi girmenizi istiyor. buradan doğum tarihinizi onaylıyor.

yani genelde giriş yapmaya çalıştığınız mecra sizin bu video kayıtlarına ya da çektiğiniz fotolara erişemiyor. ancak bu erişemez anlamına gelmiyor. uygulamanın nasıl çerçevesinin çizildiğine bağlı. o yüzden bir kullanıcının bu bilgilerin mecraların eline geçmesinin sakıncaları ve mecralara verilen imkanların dezavantajları üzerine farkındalık sahibi olması önemli.

bu üçüncü parti onay platformları bilgilerinizi saklamak ve korumakla yükümlü. genelde anında silemiyorlar çünkü kanun önünde doğru onaylama işlemi yaptıklarının geriye dönük teyit edilebilmesi gerekiyor. bu da doğal olarak onay platformlarının elinde çok ciddi ve özel bir veri setinin belki yıllara varan süreler tutulması anlamına geliyor.

peki kimlik onaylama sistemlerinin sakıncaları ne?

1) en başta elbette özel bilgilerin sızması problemi. mernis verilerinin uzun yıllardır ortalıkta paspas muamelesi gördüğü düşünüldüğünde bu verilerin "bu sefer çok iyi korunacağı"na ihtimal vermek zorlaşıyor. özel bilgiler sızınca kimlik hırsızlığından, sahte kredi başvurularına, dolandırıcılıklara kadar giden, sizi hacizlerden hacizlere sürükleyebilecek envai çeşit maraz yolları açılıyor. yurt dışında da bu kimlik doğrulama sistemlerinden bilgi sızıntıları yaşanıyor. en son discord'da yaşandı mesela: https://discord.com/…g-third-party-customer-service

2) kurunun yanında yaş da yanıyor ve çocuklarla birlikte yetişkinleri de "koruyor". yetişkinler birer yetişkin olarak sonsuz girme özgürlüğüne sahip oldukları mecralara kimlikleriyle eşleştirilme çekincesinden gir(e)miyorlar. söylemek istediklerini söyle(ye)miyorlar. bunun siyasi eleştiri olması da gerekmiyor, herhangi bir eleştiri, yargı yoluyla açığa çıkartılma, baskılanma riski taşıyor. anonimlik ve bireylere beraberinde getirdiği ifade alanı kapanıyor. (bkz: takma isimlerin arkasına saklanan ezik insanlar/#26926436)

hali hazırda türkiye'de bu otosansür atmosferi oluşmuş durumda zaten, ama bir kimlik doğrulama sisteminin bu etkileri katlayacağı da tartışılmaz.

3) onaylama sistemleri hata yapabiliyor ve kandırılabiliyorlar. tamamen bunlara güvenince ebeveyn denetiminde başa çıkılabilecek sıkıntılar devlet kontrolünde bir kimlik onay piyangosuna dönüyor ve daha büyük sıkıntılara dönüşmeye kapı aralıyor. internet filtresindeki problemlerden biri de buydu, bu yeni doğrulama sistemleri de çapını ve şiddetini büyütme potansiyeli barındırıyor.

4) erişim problemleri. mesela sadece yüz videosuyla yapılan onay sistemleri yaşı tutsa bile insanları mecralara erişimini haksız yere kısıtlayabiliyor, olması gerekenden daha kısıtlayıcı olabiliyor. onay platformunun insafına kalıyorsunuz.

5) veri simsarlarının genelde reklam hedefleme için kullandığı ama başka amaçlarda kullanabilmesine engel olmayan toplayabileceği veri miktarını ciddi ölçüde arttırmış oluyorsunuz.

bu problemlerin bazıları çözülebilir ama onaylama sisteminin nasıl uygulamaya konacağına bağlı.

mesela kriptografik olarak hem bağlanılan mecraya hem de kimliği onaylayan mecraya bilgilerinizi afişe etmeden anonim bir şekilde yaşınızı onaylatmanız aslında teorik olarak mümkün. (bkz: zero-knowledge proof)

avustralya gibi bazı ülkeler ve abd'de bazı eyaletler kimlik doğrulama uygulamasına geçti. ancak şu ana kadar özel bilgileri korucak şekilde geliştirildiği bir uygulamaya denk gelmedim. bunun elbette sebepleri muhtelif, en başta "doğrulamanın doğru yapıldığını geriye dönüp nasıl takip edicez, bir yanlışlık varsa takibini nasıl yapıcaz?" tarzı endişeler. bu da doğal olarak aslında "bu kişilerin yasal takibini nasıl yaparız?" ve sonuçta da "takip nasıl yaparız?"a iniyor ve devletler herkesi her yerde takip edebilme arzularını baskılayamıyor.

ayrıca eff gibi kurumlar zero-knowledge proof'un da kullanıcı gizliliğini korumakta yetersiz kaldığını söylüyor: https://www.eff.org/…cting-user-privacy?language=en

daha da önemlisi pandora'nın kutusunu açınca bunun geri dönüşü de yok. "ya bi uygulamayı getirelim sonra çözeriz" deyince işte 60 milyon kişinin mernis kaydı internetlerde elden ele belki on yıldan fazladır geziyor. şimdi bunu sızdıran problemi düzeltsen ne fayda artık?

bu yüzden bu sistemler kurgulanacaksa baştan çok dikkatli düşünülerek, hesaplanarak yapılmalı. "bi kurum koyduk o yapacak" ya da "mecralar kendileri yapsın nasıl yaparlarsa, sıkıntı çıkarsa ceza veririz" diye özel bilgilerin vaziyetini, akıbetini düşünmeden yapılırsa ortaya çıkacak zararın bilançosu ciddi olacaktır.