Turkey: Protect end-to-end encrypted services

ECPMF

20 April 2023

No Comments

Available in Turkish here.

 

As Turkey faces threats to its security and economy, the reliance of Turkey’s residents, businesses, and government services on strong encryption to keep themselves safe and protected has never been greater. It is vital that Turkish authorities both encourage and protect the use of strong, end-to-end encryption.

 

On October 13th 2022, the Grand National Assembly of Turkey passed legislation (the “Law”) amending several existing laws, including the Electronic Communication Law, Internet Law, the Press Law and the Turkish Penal Code. The Information and Communication Technologies Authority (BTK, in Turkish: Bilgi Teknolojileri ve İletişim Kurumu) is now tasked with drafting secondary legislation that would implement the amendments introduced in the Law. If BTK attempts to implement the surveillance and content disclosure requirements under the Electronic Communications Law for over-the-top services (OTTs) , this could have the unintended consequence of undermining the use of key cybersecurity tools including strong end-to-end encryption and the protection it brings.

 

The undersigned civil society organisations and companies, including members of the Global Encryption Coalition, urge the BTK to ensure that the right to secure and private communications, including  end-to-end encrypted communications are protected.



The Law expands the scope of existing laws, newly requiring that all OTTs fulfill new and existing requirements. OTT services encompass a broad range of Internet-based services previously not covered by the law, including email providers, social media companies, and providers of messaging services. Among the most concerning of these possible new requirements for OTTs, is a requirement to disclose user content and traffic data.  Cybersecurity experts agree, there is no way for OTTs to access the contents of their user’s end-to-end encrypted communications without drastically undermining the security and privacy of all their users. In effect, platforms offering end-to-end encryption may become inaccessible in Turkey as a result of sanctions for failing to comply with requirements that are technically impossible.  

 

End-to-end encryption provides the strongest level of security and trust, as only the intended recipients hold the key to decrypt the message. In end-to-end encryption, no third party — including the service provider or the government — can read users’ encrypted content. If secondary legislation were to require providers of end-to-end encrypted services to disclose users’ messages in decrypted form, it would force these providers to make the impossible choice between undermining the security of their users by building vulnerabilities into their systems or leaving the Turkish market.



Creating secondary legislation that will undermine secure and private communications will not only undermine the free flow of information accessed through these encrypted platforms, but will impact the security and privacy of Turkish citizens and businesses, weakening Turkish industry. In 2018, when Australia passed a similar law undermining end-to-end encryption, the Australian tech industry lost an estimated $AUS 1 billion in current and forecast sales as well as further losses in foreign investment because of decreased trust in their products. For Turkish businesses, weakened security and privacy will make them more susceptible to corporate espionage by foreign actors. In his speech at The National Cyber ​​Incidents Response Center, President Erdogan emphasized the importance of cybersecurity and the cybersecurity threats facing the country. This is particularly a concern for the growing Turkish defence industry, whose confidential corporate information can have not only economic but national defence ramifications.

 

Strong end-to-end encryption is vital to Turkey’s economic and security success. Any secondary legislation must be drafted in consultation with all stakeholders, including civil society, and must ensure that secure and private communications are not undermined, including end-to-end encryption. 

Signed:

Access Now

Africa Media and Information Technology Initiative (AfriMITI)

Article 19

Associação Portuguesa para a Segurança da Informação (AP2SI)

Betapersei SC

Blacknight

Cartoonists Rights Network International

Coalition For Women In Journalism (CFWIJ)

Committee to Protect Journalists

Center for Law and Society – University of San Andres, Buenos Aires, Argentina.

Centre for Democracy and Technology

Collaboration on International ICT Policy for East and Southern Africa (CIPESA)

Encrypt Uganda

European Centre for Press and Media Freedom (ECPMF)

Global Forum for Media Development (GFMD)

Global Partners Digital

Ikigai Innovation Initiative

Internet Freedom Foundation

Internet Society

Internet Society Ghana Chapter

Internet Society Tanzania Chapter

Kijiji Yeetu

Mailfence.com

Masayuki Hatta, Surugadai University

Media and Law Studies Association (MLSA)

Nameshop

Osservatorio Balcani Caucaso Transeuropa

OpenMedia

OPTF Ltd

PEN America

PEN Norway

Platform for Independent Journalism (P24)

Proton

Riana Pfefferkorn, Research Scholar, Stanford Internet Observatory

SecureCrypt

South East Europe  Media Organisation (SEEMO)

Stichting Mission Lanka 

Superbloom

Tech for Good Asia

Tutanota

Youth Forum for Social Justice

Yusif Amadu, University of Ghana 

Türkiye: Uçtan uca şifreleme korunmalı

Türkiye ülke güvenliği ve ekonomisine yönelik tehditlerle karşı karşıya olduğu bir dönemde bulunmakta, bu nedenle ülkede yaşayanlar, ülkede bulunan işletmeler ve kamu hizmetleri kendilerini güvende tutmak adına güçlü şifrelemeye ihtiyaç duymaktadır. Bu halde Türk makamlarının güçlü uçtan uca şifreleme kullanımını hem teşvik etmesi, hem de koruması gerekmektedir.

 

13 Ekim 2022 tarihinde Elektronik Haberleşme Kanunu, İnternet Kanunu, Basın Kanunu ve Türk Ceza Kanunu da dahil olmak üzere birçok kanunda değişiklik yapan bir yasa Türkiye Büyük Millet Meclisi tarafından kabul edilmiş, yine aynı yasayla Bilgi Teknolojileri ve İletişim Kurumu (BTK) yapılan bazı değişikliklerin uygulanmasını düzenleyecek ikincil mevzuatı [k1] hazırlamakla görevlendirilmiştir. BTK’nın Elektronik Haberleşme Kanunu kapsamındaki haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi koşullarını[1] şebekeler üstü hizmet sağlayıcılar hakkında uygulamaya kalkışması, güçlü uçtan uca şifreleme dahil olmak üzere temel siber güvenlik araçlarının kullanımının baltalanması sonucunu doğurabilecektir.

 

Küresel Şifreleme Koalisyonu[2]  üyeleri de dahil olmak üzere aşağıda imzası bulunan sivil toplum örgütleri ve şirketler, BTK’yı uçtan uca şifrelenmiş iletişim de dahil olmak üzere haberleşmenin gizliliğinin korunmasını sağlamaya davet etmektedir.

Kanun, tüm şebekeler üstü hizmet sağlayıcıların Elektronik Haberleşme Kanunu kapsamına alarak yeni ve kanunda mevcut bulunan yükümlülükleri yerine getirmesini zorunlu kılarak mevcut kanunların kapsamını genişletmektedir. “Şebekeler üstü hizmet sağlayıcılar”, e-posta sağlayıcıları, sosyal medya şirketleri ve mesajlaşma hizmetleri sağlayıcıları gibi, geniş bir yelpazedeki internet tabanlı hizmetleri kapsamaktadır. Şebekeler üstü hizmet sağlayıcıların bu kanun kapsamına alınmalarının sonucu olarak tabi olabileceği muhtemel yeni yükümlülükler arasında en endişe verici olan, kullanıcı içeriği ve trafik verilerini ifşa etme yükümlülüğüdür. Siber güvenlik uzmanları, şebekelerüstü hizmet sağlayıcıların kullanıcılarının uçtan uca şifrelenmiş iletişimlerinin içeriğine, tüm kullanıcılarının güvenliğini ve gizliliğini büyük ölçüde baltalamadan erişmenin bir yolu olmadığı konusunda hemfikirdir. Bu halde uçtan uca şifreleme sunan platformlar, kanunun getirdiği şartlara uymalarının teknik olarak imkansız olması nedeniyle kanuna uymamaları sonucunda uygulanacak yaptırımlar neticesinde Türkiye’de erişilemez hale gelebilecektir.

 

Uçtan uca şifreleme sistemi, mesajın şifresini çözecek anahtarın yalnızca hedeflenen alıcıda bulunması sayesinde yüksek güvenlik sağlayan bir sistemdir. Uçtan uca şifrelemede servis sağlayıcı ve devlet de dahil olmak üzere hiçbir üçüncü tarafın kullanıcıların şifrelenmiş içeriğini okuması mümkün olmamaktadır. BTK tarafından düzenlenecek ikincil mevzuatın uçtan uca şifrelenmiş hizmet sağlayıcıların kullanıcılarının mesajlarını deşifre ve ifşa etmelerini zorunlu kılması durumunda, bu sağlayıcılar sistemlerine güvenlik açıkları ekleyerek kullanıcılarının güvenliğini zayıflatmak ile Türkiye pazarından çıkmak arasında bir seçim yapmak durumunda bırakılacaktır.

İkincil mevzuatın haberleşmenin gizliliğini ve güvenliğini tehlikeye atacak şekilde hazırlanması yalnızca bu şifreli platformların sağladığı bilgi akışını ortadan kaldırmakla kalmayacak, aynı zamanda Türkiyeli vatandaş ve işletmelerinin güvenliğini ve mahremiyetini etkileyerek Türk sanayiini zayıflatacaktır. 2018 yılında Avustralya’nın uçtan uca şifrelemeyi sekteye uğratan benzer bir yasayı kabul etmesi üzerine Avustralya teknoloji endüstrisi, ürünlerine olan güvenin azalması nedeniyle tahmini 1 Milyar ABD Doları tutarında bir kayıp yaşamış, bunun yanısıra yabancı yatırımlarda daha da yüksek miktarda kayba uğramıştır. Türkiye’deki işletmeler de  güvenlik ve mahremiyetlerinin benzer şekilde zayıflaması halinde yabancı aktörlerin kurumsal casusluğuna açık hale getirecektir. Bu durum, bilhassa gizli kurumsal bilgileri sadece ekonomik değil ulusal savunma açısından da sonuçlar doğurabilecek olan ve giderek büyüyen Türk savunma sanayii[3]  açısından da endişe vericidir. Cumhurbaşkanı Erdoğan, Ulusal Siber Olaylara Müdahale Merkezi’nde yaptığı konuşmada siber güvenliğin önemini ve ülkenin karşı karşıya olduğu siber güvenlik tehditlerini vurgulamıştır.[4]

 

Güçlü uçtan uca şifreleme Türkiye’nin ekonomisi ve güvenliği bakımından hayati önem taşımaktadır. Her türlü ikincil mevzuat, sivil toplum da dahil olmak üzere tüm paydaşlar ile istişare edilerek hazırlanmalı ve uçtan uca şifreleme de dahil olmak üzere haberleşmenin gizliliğinin ve güvenliğinin tehlikeye atılmamasını temin etmelidir.

Read news by categories:

Related news

Statement

Italy: Salvini’s video reignites debate over RAI independence

The Media Freedom Rapid Response (MFRR) backs concerns expressed over the editorial independence of Italian public broadcaster RAI.

READ MORE
Statement

Georgia: Family Values Bill imposes censorship on media

Press freedom organisations condemn Georgia's Family Values Bill, which censors media on LGBT+ issues, violating freedom of expression and international standards.

READ MORE
Statement

Actions must be taken to address mass pro-Russian spoofing of legitimate media outlets

The MFRR calls for action against pro-Russian spoofing of European media sites, spreading disinformation via fake domains, targeting Germany, France, and Ukraine.

READ MORE
Statement

Spain: barrage of online intimidation against journalists threatens safety

The MFRR condemns the online intimidation of investigative journalists working for La Sexta TV by Daniel Esteve, CEO of Desokupa.

READ MORE
Statement

Croatia: Major challenges ahead to improve media freedom

The MFRR media freedom mission to Croatia has highlighted several significant concerns regarding media law reform, transparency of state advertising, and the safety of journalists including SLAPPs.

READ MORE
Statement

More ambitious reform needed to secure media freedom in Poland

The MFRR expresses its full support for Greek journalist Stavroula Poulimeni and media outlet Alterthess ahead of their appeal on 19 September 2024.

READ MORE