“İnternet geçmişime mi bakılıyor? O zaman konuşalım!”
Bir süredir güvenlik ve arşiv araştırmalarında “internet geçmişine” bakılıp bakılmadığı sorusuyla boğuşuyorum. Evet, tam olarak tarayıcı geçmişiniz, sosyal medya izleriniz, forum mesajlarınız, arama sorgularınız… Eğer kamu görevine başvururken, kritik bir pozisyona yükselirken ya da hassas bir izin peşindeyken birilerinin bunları inceleme ihtimali varsa, bence bunun üstünü örtmeyelim: Masaya yatıralım. Çünkü burada sadece “güvenlik” yok; mahremiyet, ifade özgürlüğü, veri doğruluğu, metodoloji ve güç asimetrisi var. “Bakarlar, normaldir” deyip geçmek kolay. Ben geçmiyorum. Gelin ateşi birlikte büyütelim.
“İnternet geçmişi” denince aslında neyi kastediyoruz?
Önce kavramları netleştirelim. “İnternet geçmişi” üç ayrı şey olabilir:
1. Tarayıcı geçmişi: Kişisel cihazınızdaki ziyaret ettiğiniz siteler listesi. Buna erişmek, genelde cihaz ve hesap erişimi gerektirir. Rızasız erişim ciddi bir mahremiyet sorunudur.
2. Açık kaynak izleri: Halkın görebildiği sosyal medya paylaşımları, forum yazıları, blog yazıları, imza kampanyaları, haber yorumları. Bu alan “gri”dir, çünkü kamuya açıktır ama bağlamdan koparma riski yüksektir.
3. Gölge veriler: Veri simsarları, reklam profilleri, çerez eşleştirmeleri, IP/cihaz parmak izi. Bu kısım hem hataya açık hem de şeffaflıktan uzaktır.
Peki güvenlik/arıştırma yapan birim “ne kadar, neye, nasıl” bakıyor? En çok tartışılması gereken yer tam burası. Çünkü “bakıldı” demek tek başına bir şey ifade etmez; kapsam, yöntem ve denetim belirleyicidir.
Güvenlik gerekçesi mi, kolaycılık mı?
Savunucular şöyle der: “Kritik bir göreve adam alıyorsak, kişinin uçlarda radikalleşmiş görüşleri, organize suça yakın bağları, şiddeti teşvik eden paylaşımları olup olmadığını bilmeliyiz.” Kağıt üzerinde makul. Ama pratikte ne oluyor? İşte zayıf noktalar:
- Bağlamdan koparma: 10 yıl önceki bir ironiyi bugün “kanıt” diye önümüze koymak kolay. Peki bağlam? O günün politik iklimi, o paylaşımın mizah dili, tartışmanın tümü?
- Yanlış atıf riski: Ortak IP, kafe Wi-Fi’ı, aynı kullanıcı adını kullanan başka biri, hacklenmiş hesap, deepfake ekran görüntüsü… “Sana ait” diye etiketlenen her iz gerçekten sana mı ait?
- Algoritmik önyargı: Arama motorları ve raporlama araçları belirli anahtar kelimeleri “risk” diye işaretleyebilir. Ama aynı kelime bir tezde akademik bağlamda geçiyor olabilir.
- Seçici okuma: Kurumun hoşuna gitmeyen görüşleri “risk”, hoşuna giden görüşleri “sadakat” diye kodlamak kolaydır. Bu, araştırmayı güvenlikten çok “uyumluluk taraması”na çevirir.
- Sonsuz hafıza: İnsan değişir. İnternet ise unutmamaya bayılır. 19 yaşında yazdıklarınız, 35’inizde kariyerinizi relansmanlarken karşınıza “sonsuz suç dosyası” gibi çıkmamalı.
Ölçülülük ve amaca bağlılık testini geçiyor mu?
Güvenlik araştırması “amaçla sınırlı, ölçülü ve denetlenebilir” olmalı. Şu soruların cevabı yoksa, o süreç şüphelidir:
- İnceleme zaman aralığı ne? Son 1 yıl mı, 5 yıl mı, 15 yıl mı? Sonsuz mu?
- Konuyla ilgisiz ama kişisel olan bulgular (sağlıkla ilgili aramalar, ilişki durumuna dair paylaşımlar vs.) otomatik olarak elensin diye teknik/organizasyonel bir güvence var mı?
- Riske işaret eden bir bulguya karşı itiraz ve düzeltme hakkı nasıl işliyor? “Bu hesap benim değil”, “Bu ironi”, “Bu bağlamı eksik” dediğinizde ikinci bir hakem heyeti var mı?
- Delil niteliği nasıl korunuyor? Ekran görüntüsü yeterli mi, zaman damgası, kaynak doğrulaması, zincirleme teyit zorunlu mu?
- Veriler ne kadar saklanıyor, kimlerle paylaşılıyor, hangi koşulda siliniyor?
Bu sorulara net yanıt alamadığınız yerde, “güvenlik” kelimesi maalesef “her şeyi meşrulaştıran sihirli parola”ya dönüşüyor.
Stratejik/analitik ve empatik/insan odaklı lensleri birlikte kullanalım
Tartışmayı zenginleştirmek için sıklıkla atfedilen iki yaklaşımı genelleme tuzağına düşmeden birlikte düşünelim:
- Stratejik ve problem çözme odaklı lens (çoğu zaman “analitik” diye anılan):
Bu lens “risk matrisi” ister. Kriterler tanımlı mı? Skorlama nasıl? Eşik nerede? Doğruluk-yanlış pozitif oranı ne? Denetim mekanizması kimde? Bu yaklaşım veriye düzen ve tutarlılık getirir; dağınık izlerden “test edilebilir bir model” kurar. Ancak insani nüans kaçabilir; bir espri cümlesi “risk anahtar kelimesi” diye yanlış renklenebilir.
- Empatik ve insan odaklı lens (çoğu zaman “ilişkisel” diye anılan):
Bu lens “insan değişir” der. Bağlam, niyet, pişmanlık, gelişim, mizah ve kültürel kodları önemser. Bir başvuruda, tek bir eski paylaşımı değil, tüm hikâyeyi dinler. Güçlü yanı bu bütüncüllüktür; zayıf yanı ise ölçülebilirlik ve tutarlılık talebine direnç göstermesidir.
İyi bir güvenlik/arıştırma süreci, bu iki lensi birlikte kullanır: ölçülebilir kriterler + hak temelli istisna değerlendirmesi. Ne yalnızca soğuk bir tablo, ne de yalnızca sıcak bir hikâye.
Provokatif ama gerekli sorular
- İnternet geçmişinizin “tamamı”na erişimi meşrulaştırmak için hangi somut risk eşiği gerekiyor? Yoksa “yarın lazım olur” diye mi çekmeceye atıyoruz?
- Bir paylaşımı “sakıncalı” ilan eden kurulun çeşitliliği ne durumda? Aynı düşünsel havuzda yüzen insanlar, farklı bağlamları görmeden topluca “risk” damgası vuruyor olabilir mi?
- Yanlış atfın kariyer yıkıcı sonuçları kimin sorumluluğunda? Bu hatanın telafisi nasıl olacak; “özür dileriz, sistem uyardı” mı, yoksa gerçek bir onarım mı?
- Kurum içi sadakati ölçmek için kamusal alandaki fikirlerinize bakmak, kendini sansüre zorlayan bir iklim yaratmıyor mu? Uzun vadede bu, kurumsal zekâyı köreltmez mi?
- Veri setinizin demografik önyargıları var mı? Hangi dilsel/kültürel gruplar “risk anahtar kelimeleri” yüzünden daha çok false positive üretiyor?
Yanlışı azaltmak için asgari ilkeler
- Açık, yazılı kapsam: Ne bakılır, ne bakılmaz; hangi tarihten itibaren; hangi bağlamlarda; yalnızca açık kaynak mı, yoksa rızayla sağlanan cihaz/veri mi.
- Amaca bağlılık: Görevle ilgisiz, mahrem veri otomatik dışarı. Filtreleme ve maskeleme teknik bir zorunluluk olmalı.
- Çifte teyit ve delil standardı: Tek ekran görüntüsüyle “olumsuz” karara gidilmesin. Kaynak, tarih, bağlam ve bütün mesaj dizisi görülsün.
- Karar şeffaflığı ve itiraz hakkı: Aday “Hangi içeriğim sorun oldu?” sorusuna anlamlı yanıt almalı. İtiraz bağımsız kurulda, belirli sürede sonuçlanmalı.
- Silme ve saklama sınırı: Pozitif bulgu yoksa veriler kısa sürede silinsin. “Belki lazım olur” çukuru güvenlik değil, rehavet üretir.
- İnsan gözetimi + eğitim: Analistler kültürel bağlam, mizah, gençlik jargonu, politik çeşitlilik gibi konularda eğitilmeli; tek tonda karar çıkmasın.
- Düzenli denetim ve raporlama: Yılda bir bağımsız denetim; yanlış pozitif oranları, itiraz başarı yüzdesi, silme süreleri kamuya açık özet raporda.
“Güvenlik” her şeyi meşrulaştırmaz
Güvenlik gerekçesi, hakları askıya almak için çekip çıkan bir joker değildir. Aksine, ne kadar hassas alanlarda çalışıyorsak, o kadar hak temelli, ölçülü ve denetlenebilir olmalıyız. İnternet geçmişi; yani kimliğimizin dalgalı, bazen hatalı, bazen alaycı, bazen öfkeli, bazen değişmiş izleri… Bunları tek tuşa basıp “profil”e indirgeyen her model, hem bizi hem kurumu fakirleştirir.
Son çağrı: Tartışmayı büyütelim
Benim net pozisyonum şu: İnternet geçmişi ancak kısıtlı, amacına sıkı bağlı, itiraz mekanizmalı ve bağlamı zorunlu bir çerçevede ele alınırsa anlamlıdır; aksi takdirde hatayı, önyargıyı ve otosansürü kurumsallaştırır. Şimdi top sizde:
- Sizce hangi içerikler “mutlak risk” sayılmalı, hangileri bağlam olmadan asla kullanılmamalı?
- Eski paylaşımların zaman aşımı nasıl tanımlanmalı? 3 yıl mı, 5 yıl mı, konuya göre mi?
- Bir itirazda “ben değiştim” demek hangi kanıtlarla inandırıcı hale gelir?
- Kurumların “uyum taraması” refleksini kırmak için hangi yapısal frenler şart?
Sert fikirlere açığım, eleştiriyi bekliyorum. Eğer gerçekten daha güvenli ve daha adil kurumlar istiyorsak, bu soruları kaçırmanın değil, ısrarla didiklemenin tam zamanı.
Bir süredir güvenlik ve arşiv araştırmalarında “internet geçmişine” bakılıp bakılmadığı sorusuyla boğuşuyorum. Evet, tam olarak tarayıcı geçmişiniz, sosyal medya izleriniz, forum mesajlarınız, arama sorgularınız… Eğer kamu görevine başvururken, kritik bir pozisyona yükselirken ya da hassas bir izin peşindeyken birilerinin bunları inceleme ihtimali varsa, bence bunun üstünü örtmeyelim: Masaya yatıralım. Çünkü burada sadece “güvenlik” yok; mahremiyet, ifade özgürlüğü, veri doğruluğu, metodoloji ve güç asimetrisi var. “Bakarlar, normaldir” deyip geçmek kolay. Ben geçmiyorum. Gelin ateşi birlikte büyütelim.
“İnternet geçmişi” denince aslında neyi kastediyoruz?
Önce kavramları netleştirelim. “İnternet geçmişi” üç ayrı şey olabilir:
1. Tarayıcı geçmişi: Kişisel cihazınızdaki ziyaret ettiğiniz siteler listesi. Buna erişmek, genelde cihaz ve hesap erişimi gerektirir. Rızasız erişim ciddi bir mahremiyet sorunudur.
2. Açık kaynak izleri: Halkın görebildiği sosyal medya paylaşımları, forum yazıları, blog yazıları, imza kampanyaları, haber yorumları. Bu alan “gri”dir, çünkü kamuya açıktır ama bağlamdan koparma riski yüksektir.
3. Gölge veriler: Veri simsarları, reklam profilleri, çerez eşleştirmeleri, IP/cihaz parmak izi. Bu kısım hem hataya açık hem de şeffaflıktan uzaktır.
Peki güvenlik/arıştırma yapan birim “ne kadar, neye, nasıl” bakıyor? En çok tartışılması gereken yer tam burası. Çünkü “bakıldı” demek tek başına bir şey ifade etmez; kapsam, yöntem ve denetim belirleyicidir.
Güvenlik gerekçesi mi, kolaycılık mı?
Savunucular şöyle der: “Kritik bir göreve adam alıyorsak, kişinin uçlarda radikalleşmiş görüşleri, organize suça yakın bağları, şiddeti teşvik eden paylaşımları olup olmadığını bilmeliyiz.” Kağıt üzerinde makul. Ama pratikte ne oluyor? İşte zayıf noktalar:
- Bağlamdan koparma: 10 yıl önceki bir ironiyi bugün “kanıt” diye önümüze koymak kolay. Peki bağlam? O günün politik iklimi, o paylaşımın mizah dili, tartışmanın tümü?
- Yanlış atıf riski: Ortak IP, kafe Wi-Fi’ı, aynı kullanıcı adını kullanan başka biri, hacklenmiş hesap, deepfake ekran görüntüsü… “Sana ait” diye etiketlenen her iz gerçekten sana mı ait?
- Algoritmik önyargı: Arama motorları ve raporlama araçları belirli anahtar kelimeleri “risk” diye işaretleyebilir. Ama aynı kelime bir tezde akademik bağlamda geçiyor olabilir.
- Seçici okuma: Kurumun hoşuna gitmeyen görüşleri “risk”, hoşuna giden görüşleri “sadakat” diye kodlamak kolaydır. Bu, araştırmayı güvenlikten çok “uyumluluk taraması”na çevirir.
- Sonsuz hafıza: İnsan değişir. İnternet ise unutmamaya bayılır. 19 yaşında yazdıklarınız, 35’inizde kariyerinizi relansmanlarken karşınıza “sonsuz suç dosyası” gibi çıkmamalı.
Ölçülülük ve amaca bağlılık testini geçiyor mu?
Güvenlik araştırması “amaçla sınırlı, ölçülü ve denetlenebilir” olmalı. Şu soruların cevabı yoksa, o süreç şüphelidir:
- İnceleme zaman aralığı ne? Son 1 yıl mı, 5 yıl mı, 15 yıl mı? Sonsuz mu?
- Konuyla ilgisiz ama kişisel olan bulgular (sağlıkla ilgili aramalar, ilişki durumuna dair paylaşımlar vs.) otomatik olarak elensin diye teknik/organizasyonel bir güvence var mı?
- Riske işaret eden bir bulguya karşı itiraz ve düzeltme hakkı nasıl işliyor? “Bu hesap benim değil”, “Bu ironi”, “Bu bağlamı eksik” dediğinizde ikinci bir hakem heyeti var mı?
- Delil niteliği nasıl korunuyor? Ekran görüntüsü yeterli mi, zaman damgası, kaynak doğrulaması, zincirleme teyit zorunlu mu?
- Veriler ne kadar saklanıyor, kimlerle paylaşılıyor, hangi koşulda siliniyor?
Bu sorulara net yanıt alamadığınız yerde, “güvenlik” kelimesi maalesef “her şeyi meşrulaştıran sihirli parola”ya dönüşüyor.
Stratejik/analitik ve empatik/insan odaklı lensleri birlikte kullanalım
Tartışmayı zenginleştirmek için sıklıkla atfedilen iki yaklaşımı genelleme tuzağına düşmeden birlikte düşünelim:
- Stratejik ve problem çözme odaklı lens (çoğu zaman “analitik” diye anılan):
Bu lens “risk matrisi” ister. Kriterler tanımlı mı? Skorlama nasıl? Eşik nerede? Doğruluk-yanlış pozitif oranı ne? Denetim mekanizması kimde? Bu yaklaşım veriye düzen ve tutarlılık getirir; dağınık izlerden “test edilebilir bir model” kurar. Ancak insani nüans kaçabilir; bir espri cümlesi “risk anahtar kelimesi” diye yanlış renklenebilir.
- Empatik ve insan odaklı lens (çoğu zaman “ilişkisel” diye anılan):
Bu lens “insan değişir” der. Bağlam, niyet, pişmanlık, gelişim, mizah ve kültürel kodları önemser. Bir başvuruda, tek bir eski paylaşımı değil, tüm hikâyeyi dinler. Güçlü yanı bu bütüncüllüktür; zayıf yanı ise ölçülebilirlik ve tutarlılık talebine direnç göstermesidir.
İyi bir güvenlik/arıştırma süreci, bu iki lensi birlikte kullanır: ölçülebilir kriterler + hak temelli istisna değerlendirmesi. Ne yalnızca soğuk bir tablo, ne de yalnızca sıcak bir hikâye.
Provokatif ama gerekli sorular
- İnternet geçmişinizin “tamamı”na erişimi meşrulaştırmak için hangi somut risk eşiği gerekiyor? Yoksa “yarın lazım olur” diye mi çekmeceye atıyoruz?
- Bir paylaşımı “sakıncalı” ilan eden kurulun çeşitliliği ne durumda? Aynı düşünsel havuzda yüzen insanlar, farklı bağlamları görmeden topluca “risk” damgası vuruyor olabilir mi?
- Yanlış atfın kariyer yıkıcı sonuçları kimin sorumluluğunda? Bu hatanın telafisi nasıl olacak; “özür dileriz, sistem uyardı” mı, yoksa gerçek bir onarım mı?
- Kurum içi sadakati ölçmek için kamusal alandaki fikirlerinize bakmak, kendini sansüre zorlayan bir iklim yaratmıyor mu? Uzun vadede bu, kurumsal zekâyı köreltmez mi?
- Veri setinizin demografik önyargıları var mı? Hangi dilsel/kültürel gruplar “risk anahtar kelimeleri” yüzünden daha çok false positive üretiyor?
Yanlışı azaltmak için asgari ilkeler
- Açık, yazılı kapsam: Ne bakılır, ne bakılmaz; hangi tarihten itibaren; hangi bağlamlarda; yalnızca açık kaynak mı, yoksa rızayla sağlanan cihaz/veri mi.
- Amaca bağlılık: Görevle ilgisiz, mahrem veri otomatik dışarı. Filtreleme ve maskeleme teknik bir zorunluluk olmalı.
- Çifte teyit ve delil standardı: Tek ekran görüntüsüyle “olumsuz” karara gidilmesin. Kaynak, tarih, bağlam ve bütün mesaj dizisi görülsün.
- Karar şeffaflığı ve itiraz hakkı: Aday “Hangi içeriğim sorun oldu?” sorusuna anlamlı yanıt almalı. İtiraz bağımsız kurulda, belirli sürede sonuçlanmalı.
- Silme ve saklama sınırı: Pozitif bulgu yoksa veriler kısa sürede silinsin. “Belki lazım olur” çukuru güvenlik değil, rehavet üretir.
- İnsan gözetimi + eğitim: Analistler kültürel bağlam, mizah, gençlik jargonu, politik çeşitlilik gibi konularda eğitilmeli; tek tonda karar çıkmasın.
- Düzenli denetim ve raporlama: Yılda bir bağımsız denetim; yanlış pozitif oranları, itiraz başarı yüzdesi, silme süreleri kamuya açık özet raporda.
“Güvenlik” her şeyi meşrulaştırmaz
Güvenlik gerekçesi, hakları askıya almak için çekip çıkan bir joker değildir. Aksine, ne kadar hassas alanlarda çalışıyorsak, o kadar hak temelli, ölçülü ve denetlenebilir olmalıyız. İnternet geçmişi; yani kimliğimizin dalgalı, bazen hatalı, bazen alaycı, bazen öfkeli, bazen değişmiş izleri… Bunları tek tuşa basıp “profil”e indirgeyen her model, hem bizi hem kurumu fakirleştirir.
Son çağrı: Tartışmayı büyütelim
Benim net pozisyonum şu: İnternet geçmişi ancak kısıtlı, amacına sıkı bağlı, itiraz mekanizmalı ve bağlamı zorunlu bir çerçevede ele alınırsa anlamlıdır; aksi takdirde hatayı, önyargıyı ve otosansürü kurumsallaştırır. Şimdi top sizde:
- Sizce hangi içerikler “mutlak risk” sayılmalı, hangileri bağlam olmadan asla kullanılmamalı?
- Eski paylaşımların zaman aşımı nasıl tanımlanmalı? 3 yıl mı, 5 yıl mı, konuya göre mi?
- Bir itirazda “ben değiştim” demek hangi kanıtlarla inandırıcı hale gelir?
- Kurumların “uyum taraması” refleksini kırmak için hangi yapısal frenler şart?
Sert fikirlere açığım, eleştiriyi bekliyorum. Eğer gerçekten daha güvenli ve daha adil kurumlar istiyorsak, bu soruları kaçırmanın değil, ısrarla didiklemenin tam zamanı.