Siber Güvenlik Uzmanı Tolga Ertürk Uyardı

 

 

 

TBMM’ye sunulan ve 15 yaş altındaki çocuklara sosyal ağ hizmeti verilmemesini, bunun için de yaş doğrulama dahil çeşitli tedbirler alınmasını öngören teklif tartışılırken, siber güvenlik uzmanı Mehmet Tolga Ertürk, çocuk güvenliği hedefinin meşru olduğunu ancak çözümün kimlik ve biyometrik veri biriktiren yeni bir gözetim katmanına dönüşmemesi gerektiğini söyledi.

TBMM’ye 4 Mart 2026’da sunulan kanun teklifi, sosyal ağ sağlayıcılarının 15 yaşını doldurmamış çocuklara hizmet sunamamasını, 15 yaşını doldurmuş çocuklar için ise ayrıştırılmış hizmet modeli ve ebeveyn kontrol araçları geliştirmesini öngörüyor. Teklifte, yaş doğrulama dahil gerekli tedbirlerin alınması ve yükümlülüklere uyulmaması halinde yaptırım mekanizmaları da yer alıyor.

Mesele çocuk güvenliğine karşı çıkmak değil

Konuyu değerlendiren siber güvenlik uzmanı Mehmet Tolga Ertürk, çocukların çevrimiçi ortamda korunmasının tartışmasız bir gereklilik olduğunu belirterek, “Burada asıl mesele çocuk güvenliğine karşı çıkmak değil; o hedefe giderken bütün toplumu kimlik göstermeye zorlayan, merkezi veri havuzları üreten ve yarın başka amaçlarla da kullanılabilecek bir denetim altyapısı kurup kurmayacağımızdır. Çocuğu koruyalım derken herkesi izlenen kullanıcıya çevirmemek zorundayız” dedi.

Dünyada tek tip bir yaş doğrulama modeli yok

Ertürk, dünyadaki düzenleyici eğilimin de tek tip bir model üretmediğine işaret etti. Avrupa Birliği, çocukların korunmasına yönelik DSA rehberini yayımlarken bir yandan da yalnızca “18 yaş üstü” bilgisini, başka kişisel veri paylaşmadan kanıtlamaya dönük bir yaş doğrulama yaklaşımı ortaya koydu. Birleşik Krallık’ta Ofcom özellikle pornografik içerik sunan hizmetler için güçlü yaş kontrolü isterken, Fransa’da CNIL yaş doğrulamada “double anonymat” yaklaşımını, yani sitenin kimliği, doğrulayıcının ise hangi siteye erişildiğini bilmemesini öne çıkarıyor. Avustralya ise 16 yaş altına sosyal medya kısıtları ve yaşa bağlı içerikler için daha sıkı yükümlülükler içeren bir çerçeve uyguluyor.

Bu tablonun Türkiye açısından önemli bir ders verdiğini söyleyen Ertürk, “Uluslararası örnekler bize şunu söylüyor: Devletin ve platformların çocuklar için koruma yükümlülüğü var; ama bunu yapmanın tek yolu herkesten kimlik fotoğrafı ya da yüz taraması toplamak değil. Doğru soru ‘yaş doğrulama olsun mu olmasın mı’ değil; ‘hangi bağlamda, hangi veriyle, ne kadar süreyle ve hangi güvencelerle olsun’ sorusudur” ifadelerini kullandı.

Teknoloji sanıldığı kadar kusursuz değil

Yaş tahmini ve biyometrik doğrulama teknolojilerinin çoğu zaman olduğundan daha kesin gösterildiğini vurgulayan Ertürk, “Yüz analizine dayalı yaş tahmini sihirli değnek değil. Bu sistemler olasılıksal çalışıyor. Özellikle 13-17 yaş bandı ve eşik yaşlar civarında hata payı büyüyor. Yanlış sınıflandırılan çocuk da mağdur oluyor, yetişkin de” dedi. NIST’in yaş tahmini değerlendirmeleri ile Avustralya’daki Age Assurance Technology Trial sonuçları da performansın görüntü kalitesi, cinsiyet, doğum bölgesi ve demografik temsile göre değişebildiğini; dolayısıyla bu araçların hatasız ve nötr sistemler olarak görülmemesi gerektiğini ortaya koyuyor.

Asıl risk verinin kendisinde birikiyor

Ertürk’e göre daha büyük risk ise teknoloji kadar verinin kendisinde yatıyor. “Kimlik kartı, selfie, yüz verisi ya da biyometrik şablon topladığınız anda artık çocuk güvenliği tartışmasından çıkıp yüksek değerli veri deposu kurma problemine giriyorsunuz. Bu da kötüye kullanım, sızıntı ve hedefli saldırı riskini büyütüyor” diyen Ertürk, yaş doğrulama süreçlerinin üçüncü taraf tedarikçilere bırakıldığı modellerde riskin daha da arttığını kaydetti. 2025’te Discord’un yaş doğrulama süreçleriyle bağlantılı kimlik görsellerinin sızdırılması, bu tartışmanın teorik değil pratik bir güvenlik sorunu olduğunu gösteren örneklerden biri olarak öne çıktı.

Biyometrik veri sıradan veri değil

Türkiye’de biyometrik veri kullanımının ayrıca KVKK boyutu bulunduğunu hatırlatan Ertürk, “Biyometrik veri, sıradan veri değil. Hukuken daha sıkı korunan, teknik olarak daha hassas bir alan. Bir kere sızarsa şifre gibi değiştirilemiyor. O yüzden selfie ya da yüz taraması temelli kitlesel modeller çok daha ağır bir hukuki ve güvenlik yükü doğurur” değerlendirmesinde bulundu. KVKK rehberlerinde biyometrik verilerin özel nitelikli kişisel veri kapsamında ele alınması da bu hassasiyeti güçlendiriyor.

Çözüm yasakla serbestlik arasında sıkışmamalı

Ertürk, çözümün topyekûn yasak ya da sınırsız serbestlik ikileminde aranmasının yanlış olacağını söyledi. Ona göre yüksek riskli alanlarda daha güçlü yaş güvencesi gündeme gelebilir; ancak sosyal medya gibi geniş kullanım alanlarında asıl yük platform tasarımı, varsayılan gizlilik ayarları, ebeveyn kontrolleri, tavsiye sistemlerinin sınırlandırılması ve dijital okuryazarlık programlarında olmalı. “Çocuk koruması, tek başına yaş kapısı koyarak sağlanmaz. Zararlı içerik dolaşımını, bağımlılık üreten tasarım kalıplarını ve istenmeyen teması da sınırlamanız gerekir. Aksi halde vitrinde güvenlik konuşuruz, arkada aynı riskler çalışmaya devam eder” dedi. AB Komisyonu’nun çocukların korunmasına ilişkin DSA rehberi ile UNICEF’in yaş kısıtlarının tek başına yeterli olmayacağı yönündeki değerlendirmeleri de bu daha geniş yaklaşımı destekliyor.

Sağlıklı model: Sonucu gör, kimliği görme

Sağlıklı modelin, hizmetin yalnızca gerekli sonucu gördüğü, kimlik bilgisini ise görmediği sistemler olduğunu belirten Ertürk, “Platformun bilmesi gereken tek şey kullanıcının 15 yaş üstü ya da altı olup olmadığıysa, eline doğum tarihi, kimlik kartı görseli ya da yüz verisi vermemelisiniz. Token tabanlı, seçmeli açıklama yapan, kısa süreli ve denetlenebilir mimariler çok daha doğru yönde. Bunun yanında ebeveyn araçları ve kamusal dijital okuryazarlık yatırımı şart” diye konuştu.

 

Sorunun kaynağı da çözümü de teknoloji

Ertürk’e göre konunun psikolojik, sosyolojik, hukuki ve politik boyutları bulunsa da, yaş doğrulama gibi teknik bir alanda uygulanabilir modelin anahtarı doğru teknolojik yaklaşımın seçilmesinde yatıyor.

Kimlik belgesi ya da biyometrik verilerin doğrudan platformlarca toplanmasının veri sızıntısı, üçüncü taraflarla paylaşım ve ticari kullanım gibi ciddi riskler doğurduğunu belirten Ertürk, bu nedenle yaş doğrulama sistemlerinin platformların ham veriye erişmediği, erişim segmentasyonu ve token tabanlı doğrulama esasına dayanan mimarilerle kurulması gerektiğini söyledi. EDPB’nin risk temelli ve en az müdahaleci yaş güvencesi ilkeleri ile AB’nin yaş doğrulama yaklaşımı da bu modeli destekliyor.