Apple ve Google tarafından geliştirilen COVID-19 temas bildirimi özelliği Türkiye'de kullanılacak mı?

Takvimler 2019'un Aralık ayını gösterdiğinde dünya, COVID-19 adında yeni bir koronavirüs türüyle tanıştı. Merkez üssü Çin'in Wuhan kenti olan virüs, 3 ay gibi kısa bir süre içerisinde hızlıca yayılarak, Çin sınırlarını aştı ve tüm dünyayı etkisi altına aldı.

Ülkeler vaka sayılarını birbiri ardına açıklarken, virüse karşı herhangi bir aşı ya da ilacın bulunmuyor oluşu da COVID-19'dan korunmanın tek yolunu, sosyal izolasyonu sağlamak haline getirdi.

Ayrıca Bkz.iOS 13.5 güncellemesi çıktı! İşte yenilikler ve çözülen sorunlar

Bu noktada kısmi/tam karantina uygulamaları ve sosyal mesafenin sağlanması hayati derecede önem arz ediyor. Bunun için önleyici tedbirlere imza atan hükümetler, yeni nesil teknolojilerden de istifade ederek COVID-19'a karşı gardını almaya çalışıyor.

Konum izleme sistemleri koronavirüsle mücadelede ön saflarda

COVID-19 pandemisiyle olan mücadelerinde tüm dünyaya örnek teşkil eden Çin, Güney Kore ve Singapur; dijital altyapılarını kullanarak teknolojinin velinimetlerinden çokça faydalanıyor. Toplum sağlığının korunabilmesi için konum izleme teknolojilerini kullanan bu ülkeler, vaka tespiti ve temas takibi ile uyarı safhasına oldukça başarılı.

Çin hükümeti ülkedeki popüler uygulamalardan gelen verileri işliyor

Çin’de sokağa çıkma yasaklarının sona ermesiyle birlikte Tencent, WeChat ve Alipay üzerinden vatandaşların hareketleri kontrol edilerek virüsün daha fazla yayılması önlenmeye çalışılırken, olası bir yeni vaka durumunda ise aynı bölgede bulunmuş kişilere hızlıca bilgi veriliyor. Bu uygulama, vatandaşların kendi karekodlarını gittikleri her yerde okutmasını gerektirmektedir. Uygulama büyük veri teknolojisini kullanarak, insanların bulundukları yer, seyahat geçmişleri ve temel sağlık durumları gibi bilgileri baz alarak kişilere bir renk kodu (yeşil, sarı veya kırmızı) atamakta ve bu renkler ile kişilerin evden çıkabilme durumlarını belirlemektedir.

Çin'in önde gelen internet şirketi Qihoo360, Çin’in göç trendini görüntülemek için cep telefonları veya bilgisayarlar aracılığıyla erişebilen “Büyük Veri Taşıma Haritası” yayınlamıştır. 

Güney Kore'de kredi kartı işlemleri, akıllı telefonların konum verileri ve kameralarla takibat sağlıyor

Güney Kore’de yaşayan kişiler akıllı telefon yazılımları ile birlikte cep telefonlarından yakın markaja alınırken, aynı zamanda kredi kartı işlemleri ve kapalı devre kamera görüntülerinden de anlık olarak izlenerek, bu kişilerin yakın zamanda enfekte olmuş bir vakayla temas etmiş olma durumları tespit ediliyor ve buna karşın gerekli bilgilendirmeler yapılıyor.

Ayrıca birçok yerde, enfekte olmuş kişilerin hareketlerini gösteren ayrıntılı haritalar yayınlanmakta ve enfekte olmuş bir bireyle temasa geçen kişileri test yaptırmaya teşvik eden hatırlatmalar yapılmakta.

Singapur konum takibi için TraceTogether uygulamasını kullanıyor

Singapur hükümeti, izleme aracı olarak TraceTogether adlı bir uygulama geliştirdi. Gizliliğin hat safhada olduğu uygulama, GPS yerine Bluetooth verilerini kullanıyor. Böylelikle uygulamanın yüklü olduğu telefonun lokasyon bilgisine erişilemezken, yalnızca o telefonun menziline giren diğer telefonların bilgisi tutuluyor. Yani sadece kimin kiminle bir araya geldiği tespit ediliyor. Elbette tüm bu veriler, şifrlenmiş bir şekilde anonim olarak tutuluyor.

TraceTogether uygulamasına kendi numaraları ile kayıt olan kullanıcıların kimlerle temas halinde olduğu izlenmekte ve herhangi bir bireyin enfekte olduğu tespit edildiğinde, yetkililer telefon numarası ile kişinin kimlik bilgilerini eşleştirerek hızlı bir şekilde bilgilendirme sağlamaktadır.

Apple ve Google, temas izleme için küresel çaplı bir çözüm sunuyor

Yeni tip koronavirüse karşı ilaç ve aşı çalışmaları tüm hızıyla devam ederken, mevcut şartlar altında virüsle mücadelenin en etkili ve belki de tek çıkar yolu, COVID-19 testi pozitif vakaların tespit edilerek, izole edilmesinden ve bununla birlikte temaslı kişilerin de belirlenerek uyarılmasından geçiyor. 

Vahametin farkında olan Apple ve Google da koronavirüsün yayılımını azaltmak için iş birliği yaparak, COVID-19 temas bildirimi özelliği üzerinde çalıştıklarını duyurdu. Global ölçekli bu sistem, devletler için oldukça etkili ve pratik bir çözüm olarak karşımıza çıkıyor. Zira toplum sağlığı için bu denli önem taşıyan bir sistem geliştirebilmek ciddi emek ve zaman gerektirmekte.

İki aşamalı olan bu çalışmanın ilk fazında, yalnızca kamu sağlığı yetkililerinin kullanımına sunulacak bir API (uygulama programlama arayüzü) yayınlanacak. Mayıs ayı içerisinde yayınlanacak bu API'nın ardından ise ikinci faza geçilecek ve API ile birlikte kullanıma sunulan temas bildirimi özelliği, bir işletim sistemi güncellemesiyle Android ve iOS işletim sistemlerine dahil edilecek. Böylelikle kullanıcıların üçüncü parti yazılımlar indirmesine gerek kalmayacak. 

COVID-19 temas bildirimi nasıl çalışacak?

İki teknoloji devinin geliştirmiş olduğu sistem; halihazırda kapalı alan takibi, sağlık uygulamaları ve topluluk yardımlarında kullanılan konumlandırma çözümü olan BLE (Bluetooth Low Energy) teknolojisiyle çalışıyor. Bluetooth LE; iOS platformu için iPhone 4 ve daha yeni iPhone modellerinde, Android tarafında ise Android 4.3 ve daha üstü sürümlere sahip tüm Android telefonlarda bulunan, düşük maliyetli ve düşük güç tüketen bir bağlantı teknolojisi olarak karşımıza çıkıyor.

Aslına bakarsanız Apple ve Google'ın geliştirdiği sistemin çalışma mantığı kayıp eşya bulma cihazlarıyla oldukça benzer. Peki sistemin arka planı nasıl işliyor?

Gizlilik ve güvenliğin merkeze oturtulduğu projede, AES (Advanced Encryption Standard – Gelişmiş Şifreleme) standardı ile güçlendirilen kriptolama algoritması tarafından, her telefonu temsilen tanımlayıcı anahtarlar oluşturulup, bu anahtarlar şifreleniyor. Örneğin: 9I8VPeQeWDofj39c8dPySoUXLqh2

Rastgele oluşturulan anahtarlar, ortalama her 15 dakikada bir sistem tarafından değiştiriliyor ve her telefonun kendi içerisinde anonim olarak saklanıyor. Alınan bu güvenlik önlemleri ise kullanıcıların konumunun herhangi bir şekilde izlenmesine müsamaha göstermemek için uygulanıyor. 

Kullanılıp kullanılmaması tamamen kullanıcı inisiyatifinde olan temas bildirimi özelliğini örnek bir senaryo ile izah edecek olursak;

Alice ve Bob'un COVID-19'dan daha iyi korunmak ve hükümetin koronavirüsü yayılmasını azaltmasına yardımcı olmak için, kullanım şartları ve gizlilik metnini okuyup kabul ederek, temas bildirimi özelliğini aktif ettiğini varsayalım. Ardından temas bildirimi özelliğini kullanabilmek için Bluetooth bağlantılarını açan ikilinin bir gün buluştuğunu düşünelim.

Her ikisinin telefonu da birbirlerinin Bluetooth menziline girince, telefonlar karşılıklı olarak Bluetooth sinyalleri aracılığıyla haberleşiyor. Her iki telefon da içerisinde şifreli bir şekilde bulunan tarih, bağlı kalma süresi ve sinyal gücünden oluşan Bluetooth meta verilerinin yer aldığı tanımlayıcı anahtarları, karşılıklı olarak birbirine gönderiyor. Yani o an Bob'un telefonunu temsil eden ve içerisinde şifreli olarak tutulan Bluetooth meta verilerinin yer aldığı anahtar, Alice'ın telefonuna gönderiliyor, Alice'ınki de Bob'un telefonuna gönderiliyor.

Böylece veriler telefonlarda anonim bir şekilde saklanmış oluyor. Yani resmi kuruluşlar da dahil herhangi bir kişi ya da kurumla veri paylaşımı söz konusu değil. Ancak etkileşime giren taraflardan biri COVID-19'a yakalanırsa işler değişiyor.

Alice ve Bob'un buluşmasından 9 gün sonra, Bob'un COVID-19 testinin pozitif sonuçlandığı ve ilgili halk sağlığı kuruluşunun da bu test sonucunu, sağlık sistemine (Örneğin: e-Nabız) kaydettiğini düşünelim. 

Bu noktada sistem; halk sağlığı kuruluşundan aldığı onayla (doğrulama) birlikte, şimdiye kadar Bob'un telefonunu temsil eden bütün tanımlayıcı anahtarları (bu anahtarlar güvenlik gerekçesiyle ortalama 15 dakikada bir değiştiriliyor) bir sunucuya yüklüyor.

Alice'ın telefonu da sistemin çalışma mantalitesinin bir gereği olarak her 24 saatte bir, sunucuya bağlanıyor ve Bob gibi yalnızca COVID-19 testi pozitif olan vakaların tanımlayıcı anahtarlarının yer aldığı listeyi indiriyor. Ardından telefonda saklanan anahtarlar -şimdiye kadar etkileşime girilen kişilerin tanımlayıcı anahtarları- ile sunucudan indirilen anahtarlar, telefonun içerisinde karşılaştırılıyor. (Burada karşılaştırma işlemi sona erdikten sonra sunucudan indirilen anahtar listesinin telefondan silinip silinmediği belirtilmemiştir.)

Herhangi bir eşleşme bulunmuyorsa zaten sorun yok demektir. Ancak Bob, enfekte olduğu için bir eşleşme yakalanıyor ve Alice'ın telefonuna şuna benzer bir mesaj gönderiliyor:

"Son zamanlarda COVID-19 testi pozitif olan birine maruz kaldınız. Daha fazla bilgi için https://www.saglik.gov.tr/ adresini ziyaret ediniz "

Gizlilik endişeleri üzerine yeni önlemler alındı

10 Nisan'da "COVID-19 temas izleme" adıyla duyurulan bu özellik, gizlilik ve güvenlik endişeleri üzerine COVID-19 temas bildirimi olarak yeniden adlandırıldı ve sisteme bir dizi güvenlik önlemi daha eklendi. Bunlardan öne çıkanlar:

• Merkezi sunucuya yüklenen COVID-19 vakalı kişilerin verisi, yalnızca 14 gün saklanacak ve bu sürenin dolmasına müteakip, veriler sistem tarafından otomatikman silinecek. (Verilerin 14 gün saklanmasının nedeni, virüsün 14 günlük kuluçka süresinin olmasından kaynaklanıyor.) Bunun dışında hiçbir veri paylaşılmayacak olup veriler tamamen cihazda tutulup, işlenecektir.  


• Sistemin bir eşleşme yakalayıp, kaydedebilmesi için halk sağlığı kuruluşu tarafından bir maruz kalma eşiğinin (5 dakikadan az olamaz) belirlenmesi gerekiyor. Ayrıca kullanıcı mahremiyetinin sağlanabilmesi için 30 dakikadan fazla izleme yapılamıyor. Keza cihazlar arası haberleşme de 5 dakika aralıklarla sağlanacak, sürekli bağlantıya izin verilmeyecek. 


• İçerisinde tarih, temas süresi ve etkileşim anında Bluetooth sinyallerinin gücünü tutan kriptolu anahtarlar, bir kişinin COVID-19'a yakalanması halinde bu verilerle birlikte anonim olarak paylaşılacaktır. Böylelikle her sağlık kuruluşu kendi algoritmasını geliştirerek, daha net önlemler alabilecek. (Örneğin: Bluetooth sinyalinin gücünden mesafe tahmini yapılarak, gereksiz yere uyarılar yapılmayacak.) 


• Bu anahtarlar içerisinde kesinlikle özel nitelikli kişisel veriler yer almayacak. 


• Sistemin kullanımı yalnızca devletlerin ilgili halk sağlığı kuruluşlarıyla sınırlandırılıp, API'nin dahil edileceği uygulamadan gizlilik, güvenlik ve veri denetimi ile ilgili belirli ölçütleri karşılaması beklenecek. (Örneğin: Veriler, yetkili bir tıbbi makamın imzasıyla sunucuya teslim edilmeden önce anahtar kümesine zaman damgası vurulmalı ve kriptografik olarak imzalanması gerekir.)


• Kullanıcının uygulamayı kapatması/silmesi halinde telefonda yerel olarak tutulan tüm veriler silinecektir. (Bu noktada kişi COVID-19 pozitif olduğu takdirde, uygulamayı cihazından kaldırırsa telefonda (yerel) tutulan ve sunucudaki veriler silinecek mi bilinmiyor!)


• Bir kişinin COVID-19 pozitif olup olmadığının doğrulanması, yetkili halk sağlığı kuruluşu tarafından yapılacaktır. 


• Sistemin kullanımına gerek kalmaması durumunda -salgının sona ermesi- temas bildirimi özelliği, Apple ve Google tarafından bölgesel olarak devre dışı bırakılabilir.

İlk fazın tamamlanıp, API'nın halk sağlığı kuruluşları için yayınlanmasına günler kalmış durumda. İki teknoloji devi tasarladıkları bu sistemle ilgili ülkelerin halk sağlığı yetkilileriyle görüşme halinde olduğunu belirtiyor.

Sistem Türkiye'de kullanılacak mı?

T.C. Sağlık Bakanlığı'nda görevli yetkililerden edindiğimiz bilgilere göre; geliştirilen bu sistem Türkiye'de de kullanılmak isteniyor. Öyle ki yurt dışı temaslarının başladığı ve bakanlığın ilgili mercilerle iletişim halinde olduğu bilgisine ulaştık. 

Bakanlıkta görevli üst düzey bir bürokrattan edindiğimiz bilgi, Mayıs ayında yayınlanacak olan API için Hayat Eve Sığar uygulamasına entegrasyon planlarının yapıldığı yönünde oldu. Bu bağlamda verilerin gizliğinin ve güvenliğinin kişisel verilerin korunması kapsamında değerlendirildiği tarafımıza iletildi. Ayrıca sistem kapsamında, enfekte olmuş kişileri temsil eden anahtarların 14 gün boyunca merkezi bir sunucuda tutulacağını size aktarmıştık. Buna ilişkin paylaşılan bilgi ise verilerin, T.C. Sağlık Bakanlığı'nın Türkiye Cumhuriyeti sınırlarında bulunan sunucularında tutulacağı şeklinde. 

Ayrıca bu hafta itibariyle Hayat Eve Sığar uygulamasına, Bluetooth tabanlı kişiler arası etkileşim durum takibi özelliği eklendiğini de belirtelim. Ancak bakanlık yetkilileri, salgının küresel olduğunu dolayısıyla buna karşı geliştirilen çözümün de küresel olması gerektiği düşüncesiyle Apple ve Google'ın geliştirmiş olduğu sisteme dahil olmak istediklerini açık bir şekilde ifade ediyor. 

Hayat Eve Sığar uygulamasını indirmek için: