İstihbarat gözlemcisi: CSIS ve RCMP özel verileri elde etmede 'önemli zorluklarla' karşı karşıya

Kanada'nın güvenlik ve istihbarat örgütleri, özel mesajlara ne zaman ve nasıl erişebileceklerini sınırlayan yasal boşluklar ve güncel olmayan kaynaklar nedeniyle güvenlik tehditlerini tespit etme ve bunlara yanıt verme konusunda "önemli zorluklarla" karşı karşıya. Ülkenin istihbarat gözlemcilerinden biri uyarıyor.

Parlamento Ulusal Güvenlik ve İstihbarat Komitesi'nin (NSICOP) yakın zamanda sunduğu bir raporda, elektronik iletişimin mahkeme onaylı dinlenmesi olan yasal erişim konusu incelendi.

Raporda, meşru gizlilik endişelerine dikkat çekilirken, Kanada Güvenlik İstihbarat Servisi (CSIS) ve RCMP gibi kuruluşların, soruşturmalar sırasında iletişimlere yasal olarak erişmek için gerekli araçlara, politikalara ve yetkilere sahip olmadıkları için engellendiği tespit edildi.

Raporda, "Komite, güvenlik ve istihbarat topluluğu tarafından dile getirilen yasal erişim zorlukları ve ardışık hükümetlerin bunları ele alma konusundaki uzun süreli yetersizliğinden endişe duymaktadır" denildi.

"Şifreleme ve dijital olarak üretilen verilerin giderek artan hacmi, çeşitliliği ve hızı nedeniyle etkili soruşturmalar yürütmek için gereken bilgilerin toplanmasının zor, hatta bazen imkansız hale geldiği belirtiliyor."

Komite, eğer bu zorluklar ele alınmazsa "uzun vadede Kanada'nın ulusal güvenliğini tehlikeye atacağı" ve "Kanada'nın Beş Göz çabalarından faydalanma yeteneğini engelleyebileceği" konusunda uyarıda bulundu.

Rapor, Avam Kamarası'nın kolluk kuvvetlerine yasal erişim de dahil olmak üzere kapsamlı yeni yetkiler verecek bir hükümet tasarısını görüşmesi sırasında geldi.

Gizlilik hakkı ve kamu güvenliği

Raporun gizli bir versiyonu 4 Mart'ta başbakana sunuldu ve sansürlenmiş bir kamu versiyonu geçen hafta Avam Kamarası'na sunuldu.

Ulusal güvenlikteki en tartışmalı konulardan biri olan, bireyin mahremiyet hakkı ile kamu güvenliğinin korunması arasındaki dengeyi ele alıyor.

Raporda, güvenlik örgütlerinin özel mesajlar gibi kişisel bilgilere erişiminin "devletin en müdahaleci yetkilerinden biri" olduğu ve Kanadalıların yalnızca "yasayla öngörüldüğü, meşru bir amaca hizmet ettiği ve gerekli ve orantılı olduğu" durumlarda kullanılmasını beklediği belirtildi.

Kanadalıların ayrıca, bu tür bir erişim için "araçlara, politikalara ve yasal yetkilere" sahip olmalarını bekledikleri belirtildi.

"Kanadalılar, güvenlik ve istihbarat teşkilatlarının bunu yapmasının aslında ne kadar zor olduğunu öğrendiklerinde şaşıracaklardır" denildi.

Komite, Kanada'nın müttefiklerinden farklı olarak, bu ülkede, CSIS ve RCMP'nin yargısal yetkilendirmeyle kapıya gelmesi durumunda, hizmet sağlayıcıların bu bilgileri hızla sağlamak için sistemler geliştirmelerini, konuşlandırmalarını veya sürdürmelerini zorunlu kılan bir mevzuat bulunmadığını tespit etti.

NSICOP, söz konusu açığın gecikmeler, hukuki belirsizlik, mali yetersizlikler gibi riskler yarattığını ve "tüm taraflar için kafa karışıklığı ve hayal kırıklığına yol açtığını" söyledi.

CSIS, komiteye, müdahale yeteneği mevzuatının eksikliğinin "bizden daha fazla başarıya sahip olan [Beş Göz] ortaklarımızla aramızdaki en büyük fark olduğunu" söyledi.

ABD verilerine erişim gecikmelere neden oluyor

Raporda değinilen bir diğer konu ise Kanada dışında saklanan bilgilere erişim oldu.

Gizlilik savunucuları komite üyelerine, özel sektör tarafından toplanan kişisel verilerin ifşa olma potansiyelinin, güvenlik ve istihbarat teşkilatları için kullanılmamış bir fırsat olduğunu söyledi.

CSIS ise bu bilgilere bazen erişemediğini, çünkü bu şirketlerin çoğunlukla Kanada dışında bulunduğunu söyledi.

Dünyanın en büyük teknoloji şirketlerinin çoğu ABD merkezlidir. Raporda belirtildiği gibi, ABD Saklı İletişim Yasası uyarınca, Amerikan şirketlerinin, kendilerine Amerikan mahkemeleri aracılığıyla bir emir tebliğ edilmediği sürece, iletişimlerin içeriğini yabancı yetkililere ifşa etmesi yasaktır.

Kraliyet Atlı Polisi, karşılıklı hukuki yardım anlaşması aracılığıyla bu verileri talep edebilir. Atlı Polis, Facebook veya Apple'dan bilgiye ihtiyaç duyarsa, Kanada Adalet Bakanlığı'na bir talep gönderir; Kanada Adalet Bakanlığı da bu talebi ABD Adalet Bakanlığı'na iletir. Başvuru kabul edilirse, bir ABD savcı yardımcısı, bir ABD hakimine arama emri çıkarmak için başvuruda bulunur. FBI, ABD hakimi tarafından çıkarıldıktan sonra arama emrini yerine getirebilir.

Şirket bilgileri FBI'a teslim ettikten sonra, bu bilgiler iki adalet bakanlığı aracılığıyla RCMP'ye aktarılıyor. RCMP'ye göre, süreç üç ila altı ay sürebiliyor ve bu gecikme soruşturmaları etkileyebiliyor.

NSICOP, hukuki sürecin başarılı olması durumunda bile, arama kararı gelmeden önce verilerin silinmiş olabileceğini kaydetti.

Şifrelemeyi aşma

Raporda, CSIS ve RCMP'nin hedeflerin faaliyetlerini gizlemek için şifreli iletişim ve karanlık ağı kullandığı "karanlığa geçme" yönteminin etrafından dolanma yolları incelendi.

Kraliyet Kanada Atlı Polisi, hedeflenen akıllı telefona veya bilgisayara yüklenen ve Atlı Polislerin şifrelenmeden önce veya şifresi çözüldükten sonra bilgilere doğrudan erişmesine olanak tanıyan bir "cihaz üstü soruşturma aracı" (ODIT) yazılımı kullanır.

RCMP bunu "sürdürdüğümüz en karmaşık ve pahalı teknik toplama programlarından biri" olarak tanımlıyor.

Raporda aktarılan başarılı bir vaka çalışmasına göre, 2018 yılında ABD Federal Soruşturma Bürosu (FBI), bir Kanadalının bomba yapıp bir yılbaşı kutlamasında saldırı planladığı iddiasıyla Kanada Kraliyet Atlı Polisi'ni (RCMP) uyardı. RCMP, bir düdüklü tencere bombası için mesajlar ve şemalar ortaya çıkaran bir ODIT konuşlandırdı.

Kanadalı sonunda dört terör suçundan yargılandı ve suçlu bulundu.

Komite üyeleri, "bu başarılı azaltma çalışmalarının ne kadarının şu anda CSIS ve RCMP'nin yaratıcılığına dayandığı ve araçların, yasal yetkilerin ve kaynakların doğru şekilde yapılandırılmamasından endişe duyduklarını" söyledi.

Raporda, ODIT'lerin özel iletişimleri dinlemek için telefon dinleme, genel arama izni ve iletim veri kayıt izni gibi çeşitli yetkilere ihtiyaç duyduğu belirtildi.

Bu teknik aynı zamanda güvenlik açıklarından başarılı bir şekilde faydalanmaya da dayanıyor; ancak bu her zaman garanti değil.

Raporda, "Komite, hedefler siber güvenlik konusunda giderek daha bilgili hale geldikçe ve şirketler işletim sistemlerindeki ve şifreleme platformlarındaki güvenlik açıklarını tespit edip gidermek için çalıştıkça, bu araçların pahalı ve çoğu zaman güvenilir olmadığını öğrendi" denildi.

Gizlilik savunucuları komiteyi, polis ve istihbarat teşkilatlarına şifreli iletişimleri veya verileri engelleme yetkisi veren her türlü adımın "genel olarak siber güvenliği zayıflatacağı, kamu güvenini zedeleyeceği ve temel demokratik değerleri tehdit edeceği" konusunda uyardı.

CSIS ve RCMP, ulusal güvenlik soruşturmalarında şifreleme gibi teknolojik zorluklarla ne sıklıkla karşılaştıklarını sistematik olarak takip etmiyor; rapora göre bu "önemli bir ihmal", çünkü "hükümete tavsiyelerde bulunuyorlar ve Kanadalıları yeni mevzuat ve kaynakların gerekli olduğuna ikna etmeye çalışıyorlar."

Raporda, ajansların "sadece anekdotlar sunabildiği, somut rakamlar sunamadığı" belirtildi.

Yine de NSICOP üyeleri, CSIS ve RCMP'nin ilgili ve zamanında dijital delillere ve istihbarata erişim becerisinde "önemli zorluklar" olduğuna inanıyor.

Raporda, "Bu zorluklar yeni değil. Üst üste gelen hükümetler bir süredir bunların farkındaydı" ifadesine yer verildi.

"Hükümetin harekete geçip güvenlik ve istihbarat camiasına ihtiyaç duydukları araçları, politikaları ve yasal yetkileri sağlamasının zamanı geldi... Bu, onların mahremiyetine duyarlı ve onları koruyan bir yaklaşımdır."

Raporda, hükümetin Kanada'nın yasal erişim zorluklarını ele almak için kapsamlı bir strateji geliştirmesi ve uygulaması ve raporda, ABD yasalarının "uzun süredir var olan yargı yetkisi engellerini" ortadan kaldıracağı belirtilen Kanada-ABD Veri Erişim Anlaşması'nın imzalanması ve uygulanmasına öncelik verilmesi de dahil olmak üzere yedi tavsiye yer alıyor.

Ayrıca hükümete, şifrelemeyle korunan iletişime istisnai erişim konusundaki tutumunu kamuoyuna açıklama çağrısında bulundu.

CSIS, yaptığı açıklamada, NSICOP'un önerilerinin çoğunluğuna katıldığını belirtti.

RCMP, CSIS'in yanıtını gördüğünü ve ekleyecek başka bir şeyi olmadığını söyleyen Kamu Güvenliği Departmanına başvurdu.

Tartışmalı sınır tasarısı yasal erişim hükümlerini içeriyor

Yasal erişime ilişkin değişiklikleri içeren Liberallerin C-2 Tasarısı'nın bu sonbaharda Parlamento'da zorlu bir süreçten geçmesi bekleniyor.

Hizmet sağlayıcılarını, yargı onayı olmadan temel bilgileri polise ve CSIS'e vermeye zorlayacaktır. Ayrıca, cezai soruşturma sırasında yargı onayıyla daha ayrıntılı abone bilgilerinin sunulmasını zorunlu kılan yeni bir düzenleme getirecektir.

Yasa tasarısı, kişisel mahremiyet ve Haklar ve Özgürlükler Şartı'nı ihlal eden yeni gözetleme yetkileri yarattığını savunan sivil özgürlükler grupları, akademisyenler ve bazı muhalif milletvekillerinden tepki aldı.

NSICOP, üst düzey gizli bilgileri görüp duyabilmek için üst düzey bir güvenlik izninden geçen milletvekilleri ve senatörlerden oluşuyor.

Yasal erişim raporunun yazılmasından bu yana komite, NDP'nin artık Meclis'te tanınmış bir statüsü olmaması nedeniyle sesini kaybetti.