Avrupalıların sağlık verileri, eski İsrail istihbarat görevlilerinin yönettiği bir ABD şirketine satıldı

 (ftm.eu)
2 puan yazan GN⁺ 2025-12-15 | 1 yorum | WhatsApp'ta paylaş
  • Hollandalı veri güvenliği şirketi Zivver'ın ABD'li Kiteworks tarafından satın alınmasıyla, Avrupalı vatandaşların hassas sağlık ve idari verileri bir ABD şirketinin kontrolü altına girdi
  • Kiteworks'ün üst yönetiminin büyük bölümü İsrail askeri istihbarat birimlerinden geliyor; CEO Jonathan Yaron da İsrail ordusunun siber uzman birliğinde görev yapmış bir geçmişe sahip
  • Zivver, AB ve Birleşik Krallık'taki hastaneler, mahkemeler, göç makamları vb. tarafından gizli belgelerin gönderiminde kullanılan bir hizmet ve şifreleme sunuyor; ancak yapılan inceleme, şirket içinden belge içeriklerinin görüntülenebildiğini ortaya koydu
  • Siber güvenlik ve istihbarat kurumu uzmanları, bu satın almanın önceden engellenmesi ya da sıkı biçimde incelenmesi gerektiği uyarısında bulundu
  • Avrupalıların hassas verilerinin ABD yasaları ile İsrail istihbarat ağlarının etki alanına girmesi, veri egemenliği ve güvenlik açısından ciddi kaygılar doğurdu

Zivver satın alımı ve veri devri

  • Kiteworks, Haziran 2025'te Zivver'ı satın aldı; CEO Yaron bunu “herkes için gurur verici bir an” olarak niteledi
    • Satın almayla birlikte “tüm iletişim kanallarındaki hassas verileri koruma misyonunda önemli bir dönüm noktasına ulaştıklarını” söyledi
  • Ancak bu anlaşma sonucunda Avrupa ve Birleşik Krallık vatandaşlarının kişisel verileri bir ABD şirketinin eline geçti
    • Zivver; Hollanda, Almanya, Belçika ve Birleşik Krallık'ta hastaneler, sigorta şirketleri, devlet kurumları ve göç makamları tarafından kullanılan başlıca güvenli mesajlaşma hizmetlerinden biri
  • Habere göre, Zivver'ın şifrelenmiş belgeleri bile şirket tarafından görüntülenebilecek bir yapıda bulunuyor

Kiteworks yönetiminin geçmişi

  • Kiteworks'ün üst düzey yöneticilerinin büyük bölümü İsrail Savunma Kuvvetleri'nden (askeri istihbarat birimleri) geliyor
    • CEO Jonathan Yaron dahil olmak üzere birçok yönetici, şifreli iletişim çözme ve dinleme konusunda uzmanlaşmış birliklerde görev yapmış bir geçmişe sahip
  • Bu insan kaynağı yapısı nedeniyle İsrail istihbarat kurumlarıyla bağlantılar açık biçimde ortaya çıkıyor

Uzmanların kaygıları

  • Siber güvenlik ve istihbarat uzmanları, bu satın almanın önceden engellenmesi ya da kapsamlı biçimde incelenmesi gerektiğini vurguluyor
  • Zivver'ın işlediği veriler, suç örgütleri veya yabancı istihbarat kurumları için son derece değerli bilgiler olarak değerlendiriliyor
  • Satın almanın ardından bu veriler ABD gözetim yasalarının kapsamına girdi ve İsrail istihbarat kurumlarıyla bağlantılı bir şirketin yönetimi altına geçti

İncelemenin yöntemi

  • Follow the Money, Zivver satın alım sürecini ve Kiteworks yönetiminin geçmişini inceledi
    • İstihbarat ve siber güvenlik uzmanlarıyla yapılan röportajlar üzerinden olgular doğrulandı
  • Bu haber, AB içindeki veri egemenliği sorunlarını ele alan ‘The EU Files’ serisinin bir parçası olarak yer alıyor

Avrupa içindeki etkileri

  • Avrupa kamu kurumlarının kullandığı güvenli iletişim altyapısının yabancı istihbarat ağlarıyla bağlantılanma riski ortaya çıktı
  • Veri koruma düzenlemeleri ile ulusal güvenlik arasındaki çatışmanın somutlaştığı bir örnek olarak, AB içinde dijital egemenlik tartışmalarının temel başlıklarından biri haline gelebilir

İlgili okumalar

1 yorum

 
GN⁺ 2025-12-15
Hacker News görüşleri

  • ABD'li teknoloji şirketinin CEO'sunun İsrail ordusunun seçkin siber biriminden geldiği söyleniyor; bu yüzden haberde Unit 8200'den bahsedilmiş gibi görünüyor
    Bu birimin sanki silah yerine bilgisayar tutmayı seçen bir alternatifmiş gibi tasvir edilmesi biraz tuhaf bir çerçeveleme gibi geliyor. Haberde daha fazla bağlam olması gerektiğini düşünüyorum

    • Unit 8200 yalnızca bir siber güvenlik birimi değil, sinyal istihbaratı toplama ve analizinden sorumludur
      Eğer Jack Ryan İsrailli olsaydı, CIA yerine bu birimde olurdu
      Hedef belirleme gibi analitik işler de yapıyorlar; ilgili konu 972mag yazısında iyi anlatılmış
    • Aslında bu bir “muafiyet” meselesi değil. Herkes askere alınıyor ve yeteneklerine göre birimlere atanıyor
      Yetenekliysen Gazze'de devriye gezmek yerine böyle bir birime girmek istersin
    • 8200'de hizmet etmek de sonuçta zorunlu askerlik hizmetinin bir parçası

  • Eskiden Zivver'ın ilk mühendislerinden biriyle (Scala geliştiricisi) takılırdım, bu yüzden konu hakkında biraz bilgim var
    Temel fikir uçtan uca şifrelemeydi; dolayısıyla yeni satın alan kuruluşun müşteri verilerini doğrudan görememesi gerekir
    COVID döneminde Hollanda'da dijital rapor gönderimi zorunlu hale gelince büyük başarı yakaladı
    Ama bugünkü satın alma, Hollanda'daki dijital egemenlik tartışmalarını olumsuz etkileyebilir

    • Şifrelemenin metadata'yı da kapsayıp kapsamadığını merak ediyorum. Örneğin kimin kime gönderdiği gibi bilgiler de korunuyor mu, bunu bilmek isterim

  • Hizmet AB merkezli olsa bile, yabancı bir şirket satın aldığında hassas verilerin başka yargı alanlarına maruz kalma riski vardır. Oldukça endişe verici

  • Bunun için bir vazgeçme (opt-out) yolu olup olmadığını merak ediyorum. Avrupa Komisyonu'nun halkın görüşünü almadan toplu bir sözleşme yapmış olması mümkün mü diye düşünüyorum

  • ABD'li büyük teknoloji şirketleri, Google'dan bu yana mahremiyetin taban çizgisini sürekli aşağı çekti
    Sonunda “mahremiyet diye bir şey yoktur” algısını sermaye çıkarı uğruna normalleştirdiler
    Avrupa'da da alternatif hizmetler var, ama vatandaşlar bilinçli olarak tercih etmezse yan etkiler ortaya çıkacaktır

    • HN verilerinin de Y Combinator girişimleriyle paylaşıldığını ve lisanslandığını hatırlamak gerekir
      Hesabınızı silseniz bile veriler tamamen silinmez. Böyle gerçekler kayıt sırasında açıkça bildirilmez
    • Çoğu insan onlarca yıl boyunca Google hizmetlerini bedava kullandı, ama ücretli model çıkınca öfkeleniyor
      “Ücretsiz internet” takıntısı sonunda bir mahremiyet kâbusu yarattı
      Avrupa vergiyle finanse edilen EuroTube ya da EuroGram gibi kamusal hizmetler kurmadıkça, pratikte alternatif üretmek zor
    • Apple, mahremiyet savunucusu olarak oldukça iyi iş çıkarıyor olmasına rağmen, bazen kablo standardı ya da UI sorunları yüzünden eleştiriliyor
      Belli şirketlerden nefret etmenin ‘moda’ haline gelmiş olması ilginç bir çifte standart gibi
    • AB hükümetleri, GDPR'nin eksikliklerinin ötesinde, vatandaşları kişisel verilerini ABD şirketlerine zorunlu olarak vermeye zorluyor
      Proton gibi ücretli alternatifler var, ama çoğu insan ücretsiz hizmetleri tercih ediyor
      Devlet doğrudan bir ‘egemen kanal’ kurmadıkça, sonuçta FANG bağımlılığı daha da artacak
      Şu an biraz ucuz görünse de sonunda felaketle bitecek bir yapı bu
    • Özellikle İrlanda'nın gevşek GDPR uygulaması, Avrupa şirketlerinin zarar görmesine yol açtı ama gerçek anlamda bir mahremiyet iyileşmesi neredeyse hiç sağlamadı
      Yine de veri erişim talebi hakkını (subject access request) kullanmak ilginç bir deneyimdi

  • Bu haber sayfası hesap oluşturmayı zorluyor
    HTML'de "quickSubscribe" sınıfını silerseniz ücretsiz şekilde kaydırabilirsiniz

    • Ya da yorumlardan arşiv bağlantısını bulmak daha kolay olabilir

  • Özetle, AB'deki bir sağlık verisi şirketi belgeleri eski askerî kripto uzmanlarının yönettiği bir web portalı üzerinden şifreliyor
    Ama bu yapı sonuçta ABD hukukuna tabi olabilir ve yükleme anında teknik olarak erişim ihtimali vardır
    Sırf İsrail kökenli oldukları için güvenilirliklerini sorgulamak aşırı bir çerçeveleme gibi duruyor

    • Temelde bu modelin güvenliği tarayıcı kodunun değiştirilmesiyle bile bozulabilir
      Benim de sağlık çalışanlarının iznim olmadan bu hizmet üzerinden mektup göndermesi canımı sıkmıştı
    • Başlıkta ‘İsrail’ vurgusunun yapılması kasıtlı bir kışkırtma gibi görünüyor. Yazar muhtemelen tıklama peşindeydi

  • Eskiden sağlık kurumlarından sık sık Zivver mesajı alırdım ama satın alma duyurusundan sonra tek bir tane bile gelmedi

  • Alman sağlık sisteminde Zivver'i hiç görmedim
    Almanya zaten sağlık alanında Matrix tabanlı mesajlaşma ve S/MIME e-postayı kullanıma alıyor
    Hatta eski sağlık bakanının sağlık verilerini OpenAI gibi şirketlere vermeye çalışması daha büyük bir sorundu
    İlgili ayrıntılar için Heise haberine bakılabilir

    • Uzun vadede elektronik sağlık kaydında tam anlamıyla opt-out mümkün olmayacak gibi görünüyor
      Bu yüzden dijital çağın ‘Neuland’ını anlayan ve teknik sezgisi olan siyasetçileri seçmek önemli
    • Dışarıdan bakınca Zivver kullanılmıyor gibi görünse de, sigorta şirketlerinin içinde Office 365 ya da SAP gibi arka planda kullanılıyor olma ihtimali var
      Sonuçta kullanıcılar tüm iç yazılımları bilemez