Turkey: Protect end-to-end encrypted services

ECPMF

20 April 2023

No Comments

Available in Turkish here.

 

As Turkey faces threats to its security and economy, the reliance of Turkey’s residents, businesses, and government services on strong encryption to keep themselves safe and protected has never been greater. It is vital that Turkish authorities both encourage and protect the use of strong, end-to-end encryption.

 

On October 13th 2022, the Grand National Assembly of Turkey passed legislation (the “Law”) amending several existing laws, including the Electronic Communication Law, Internet Law, the Press Law and the Turkish Penal Code. The Information and Communication Technologies Authority (BTK, in Turkish: Bilgi Teknolojileri ve İletişim Kurumu) is now tasked with drafting secondary legislation that would implement the amendments introduced in the Law. If BTK attempts to implement the surveillance and content disclosure requirements under the Electronic Communications Law for over-the-top services (OTTs) , this could have the unintended consequence of undermining the use of key cybersecurity tools including strong end-to-end encryption and the protection it brings.

 

The undersigned civil society organisations and companies, including members of the Global Encryption Coalition, urge the BTK to ensure that the right to secure and private communications, including  end-to-end encrypted communications are protected.



The Law expands the scope of existing laws, newly requiring that all OTTs fulfill new and existing requirements. OTT services encompass a broad range of Internet-based services previously not covered by the law, including email providers, social media companies, and providers of messaging services. Among the most concerning of these possible new requirements for OTTs, is a requirement to disclose user content and traffic data.  Cybersecurity experts agree, there is no way for OTTs to access the contents of their user’s end-to-end encrypted communications without drastically undermining the security and privacy of all their users. In effect, platforms offering end-to-end encryption may become inaccessible in Turkey as a result of sanctions for failing to comply with requirements that are technically impossible.  

 

End-to-end encryption provides the strongest level of security and trust, as only the intended recipients hold the key to decrypt the message. In end-to-end encryption, no third party — including the service provider or the government — can read users’ encrypted content. If secondary legislation were to require providers of end-to-end encrypted services to disclose users’ messages in decrypted form, it would force these providers to make the impossible choice between undermining the security of their users by building vulnerabilities into their systems or leaving the Turkish market.



Creating secondary legislation that will undermine secure and private communications will not only undermine the free flow of information accessed through these encrypted platforms, but will impact the security and privacy of Turkish citizens and businesses, weakening Turkish industry. In 2018, when Australia passed a similar law undermining end-to-end encryption, the Australian tech industry lost an estimated $AUS 1 billion in current and forecast sales as well as further losses in foreign investment because of decreased trust in their products. For Turkish businesses, weakened security and privacy will make them more susceptible to corporate espionage by foreign actors. In his speech at The National Cyber ​​Incidents Response Center, President Erdogan emphasized the importance of cybersecurity and the cybersecurity threats facing the country. This is particularly a concern for the growing Turkish defence industry, whose confidential corporate information can have not only economic but national defence ramifications.

 

Strong end-to-end encryption is vital to Turkey’s economic and security success. Any secondary legislation must be drafted in consultation with all stakeholders, including civil society, and must ensure that secure and private communications are not undermined, including end-to-end encryption. 

Signed:

Access Now

Africa Media and Information Technology Initiative (AfriMITI)

Article 19

Associação Portuguesa para a Segurança da Informação (AP2SI)

Betapersei SC

Blacknight

Cartoonists Rights Network International

Coalition For Women In Journalism (CFWIJ)

Committee to Protect Journalists

Center for Law and Society – University of San Andres, Buenos Aires, Argentina.

Centre for Democracy and Technology

Collaboration on International ICT Policy for East and Southern Africa (CIPESA)

Encrypt Uganda

European Centre for Press and Media Freedom (ECPMF)

Global Forum for Media Development (GFMD)

Global Partners Digital

Ikigai Innovation Initiative

Internet Freedom Foundation

Internet Society

Internet Society Ghana Chapter

Internet Society Tanzania Chapter

Kijiji Yeetu

Mailfence.com

Masayuki Hatta, Surugadai University

Media and Law Studies Association (MLSA)

Nameshop

Osservatorio Balcani Caucaso Transeuropa

OpenMedia

OPTF Ltd

PEN America

PEN Norway

Platform for Independent Journalism (P24)

Proton

Riana Pfefferkorn, Research Scholar, Stanford Internet Observatory

SecureCrypt

South East Europe  Media Organisation (SEEMO)

Stichting Mission Lanka 

Superbloom

Tech for Good Asia

Tutanota

Youth Forum for Social Justice

Yusif Amadu, University of Ghana 

Türkiye: Uçtan uca şifreleme korunmalı

Türkiye ülke güvenliği ve ekonomisine yönelik tehditlerle karşı karşıya olduğu bir dönemde bulunmakta, bu nedenle ülkede yaşayanlar, ülkede bulunan işletmeler ve kamu hizmetleri kendilerini güvende tutmak adına güçlü şifrelemeye ihtiyaç duymaktadır. Bu halde Türk makamlarının güçlü uçtan uca şifreleme kullanımını hem teşvik etmesi, hem de koruması gerekmektedir.

 

13 Ekim 2022 tarihinde Elektronik Haberleşme Kanunu, İnternet Kanunu, Basın Kanunu ve Türk Ceza Kanunu da dahil olmak üzere birçok kanunda değişiklik yapan bir yasa Türkiye Büyük Millet Meclisi tarafından kabul edilmiş, yine aynı yasayla Bilgi Teknolojileri ve İletişim Kurumu (BTK) yapılan bazı değişikliklerin uygulanmasını düzenleyecek ikincil mevzuatı [k1] hazırlamakla görevlendirilmiştir. BTK’nın Elektronik Haberleşme Kanunu kapsamındaki haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi koşullarını[1] şebekeler üstü hizmet sağlayıcılar hakkında uygulamaya kalkışması, güçlü uçtan uca şifreleme dahil olmak üzere temel siber güvenlik araçlarının kullanımının baltalanması sonucunu doğurabilecektir.

 

Küresel Şifreleme Koalisyonu[2]  üyeleri de dahil olmak üzere aşağıda imzası bulunan sivil toplum örgütleri ve şirketler, BTK’yı uçtan uca şifrelenmiş iletişim de dahil olmak üzere haberleşmenin gizliliğinin korunmasını sağlamaya davet etmektedir.

Kanun, tüm şebekeler üstü hizmet sağlayıcıların Elektronik Haberleşme Kanunu kapsamına alarak yeni ve kanunda mevcut bulunan yükümlülükleri yerine getirmesini zorunlu kılarak mevcut kanunların kapsamını genişletmektedir. “Şebekeler üstü hizmet sağlayıcılar”, e-posta sağlayıcıları, sosyal medya şirketleri ve mesajlaşma hizmetleri sağlayıcıları gibi, geniş bir yelpazedeki internet tabanlı hizmetleri kapsamaktadır. Şebekeler üstü hizmet sağlayıcıların bu kanun kapsamına alınmalarının sonucu olarak tabi olabileceği muhtemel yeni yükümlülükler arasında en endişe verici olan, kullanıcı içeriği ve trafik verilerini ifşa etme yükümlülüğüdür. Siber güvenlik uzmanları, şebekelerüstü hizmet sağlayıcıların kullanıcılarının uçtan uca şifrelenmiş iletişimlerinin içeriğine, tüm kullanıcılarının güvenliğini ve gizliliğini büyük ölçüde baltalamadan erişmenin bir yolu olmadığı konusunda hemfikirdir. Bu halde uçtan uca şifreleme sunan platformlar, kanunun getirdiği şartlara uymalarının teknik olarak imkansız olması nedeniyle kanuna uymamaları sonucunda uygulanacak yaptırımlar neticesinde Türkiye’de erişilemez hale gelebilecektir.

 

Uçtan uca şifreleme sistemi, mesajın şifresini çözecek anahtarın yalnızca hedeflenen alıcıda bulunması sayesinde yüksek güvenlik sağlayan bir sistemdir. Uçtan uca şifrelemede servis sağlayıcı ve devlet de dahil olmak üzere hiçbir üçüncü tarafın kullanıcıların şifrelenmiş içeriğini okuması mümkün olmamaktadır. BTK tarafından düzenlenecek ikincil mevzuatın uçtan uca şifrelenmiş hizmet sağlayıcıların kullanıcılarının mesajlarını deşifre ve ifşa etmelerini zorunlu kılması durumunda, bu sağlayıcılar sistemlerine güvenlik açıkları ekleyerek kullanıcılarının güvenliğini zayıflatmak ile Türkiye pazarından çıkmak arasında bir seçim yapmak durumunda bırakılacaktır.

İkincil mevzuatın haberleşmenin gizliliğini ve güvenliğini tehlikeye atacak şekilde hazırlanması yalnızca bu şifreli platformların sağladığı bilgi akışını ortadan kaldırmakla kalmayacak, aynı zamanda Türkiyeli vatandaş ve işletmelerinin güvenliğini ve mahremiyetini etkileyerek Türk sanayiini zayıflatacaktır. 2018 yılında Avustralya’nın uçtan uca şifrelemeyi sekteye uğratan benzer bir yasayı kabul etmesi üzerine Avustralya teknoloji endüstrisi, ürünlerine olan güvenin azalması nedeniyle tahmini 1 Milyar ABD Doları tutarında bir kayıp yaşamış, bunun yanısıra yabancı yatırımlarda daha da yüksek miktarda kayba uğramıştır. Türkiye’deki işletmeler de  güvenlik ve mahremiyetlerinin benzer şekilde zayıflaması halinde yabancı aktörlerin kurumsal casusluğuna açık hale getirecektir. Bu durum, bilhassa gizli kurumsal bilgileri sadece ekonomik değil ulusal savunma açısından da sonuçlar doğurabilecek olan ve giderek büyüyen Türk savunma sanayii[3]  açısından da endişe vericidir. Cumhurbaşkanı Erdoğan, Ulusal Siber Olaylara Müdahale Merkezi’nde yaptığı konuşmada siber güvenliğin önemini ve ülkenin karşı karşıya olduğu siber güvenlik tehditlerini vurgulamıştır.[4]

 

Güçlü uçtan uca şifreleme Türkiye’nin ekonomisi ve güvenliği bakımından hayati önem taşımaktadır. Her türlü ikincil mevzuat, sivil toplum da dahil olmak üzere tüm paydaşlar ile istişare edilerek hazırlanmalı ve uçtan uca şifreleme de dahil olmak üzere haberleşmenin gizliliğinin ve güvenliğinin tehlikeye atılmamasını temin etmelidir.

Read news by categories:

Related news

Statement

MFRR partners call for lifting ban on journalists’ access to Georgian parliament

MFRR condemns the barring of journalists from reporting within the Parliament of Georgia.

READ MORE
Statement

Unterstützung auch für freie Journalist*innen: ECPMF und EFJ stärken Forderung des DJV nach Schutzkodex

ECPMF und EFJ stärken DJV's Aufruf, dass mehr Medienunternehmen den Schutzkodex für Journalisten beitreten.

READ MORE
Statement

Solidarity with Journalists in Gaza

The European Centre for Press and Media Freedom (ECPMF) expresses its steadfast solidarity with journalists working under unprecedentedly deadly conditions in Gaza.

READ MORE
Statement

ECPMF remembers Christophe Deloire

The European Centre for Press and Media Freedom (ECPMF) extends its deepest condolences to the family of Christophe Deloire, director general of Reporters without Borders (RSF).

READ MORE
Statement

Media freedom groups call on Slovakia’s Parliament to reject public broadcasting bill

Journalists and media freedom groups are urging Slovakia’s MPs to reject the proposed public service broadcasting bill.

READ MORE
Statement

Germany: Journalist Ignacio Rosaslanda was physically assaulted by police while covering a police operation

On 23 May 2024, Ignacio Rosaslanda was physically attacked at the Humboldt University's Institute of Social Sciences when covering protests by pro-Palestinian activists.

READ MORE