AB Parlamento Araştırma Servisi, VPN’leri “kapatılması gereken bir açık” olarak nitelendirdi

 (cyberinsider.com)
1 puan yazan GN⁺ 1 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • European Parliamentary Research Service(EPRS), VPN’lerin çevrimiçi yaş doğrulama sistemlerini aşmak için giderek daha fazla kullanıldığını belirterek bunu “kapatılması gereken bir yasal boşluk” olarak tanımladı
  • Avrupa ve diğer bölgelerdeki hükümetler, yetişkinlere yönelik veya yaş sınırı olan içeriklere erişmeden önce platformların kullanıcı yaşını doğrulamasını zorunlu kılan çevrimiçi çocuk güvenliği kurallarını genişletiyor
  • EPRS, Birleşik Krallık ve bazı ABD eyaletlerinde zorunlu yaş doğrulama yasaları yürürlüğe girdikten sonra VPN kullanımının hızla arttığını ve Birleşik Krallık’ta VPN uygulamalarının indirme listelerine hakim olduğunu açıkladı
  • EPRS belgesi782618_EN.pdf), bazı politika yapıcılar ile çocuk güvenliği savunucularının VPN erişiminin kendisi için de yaş doğrulama talep ettiğini, ancak VPN erişimi öncesinde kimlik doğrulamanın anonimlik korumasını zayıflatabileceğini ve gözetim ile veri toplama risklerini artırabileceğini belirtiyor
  • EPRS, AB siber güvenlik ve çevrimiçi güvenlik mevzuatını revize ederken VPN sağlayıcılarının daha sıkı incelemeye tabi tutulabileceğini ve gelecekteki EU Cybersecurity Act değişikliklerinde VPN kötüye kullanımını önlemeye yönelik çocuk güvenliği gerekliliklerinin getirilebileceğini söyledi

EPRS’nin VPN düzenleme boşluğu uyarısı

  • European Parliamentary Research Service(EPRS), VPN’lerin çevrimiçi yaş doğrulama sistemlerini aşmak için giderek daha fazla kullanıldığını belirterek bunu “kapatılması gereken bir yasal boşluk” olarak nitelendirdi
  • Avrupa ve diğer bölgelerdeki hükümetler, yetişkinlere yönelik veya yaş sınırı olan içeriklere erişmeden önce platformların kullanıcı yaşını doğrulamasını zorunlu kılan çevrimiçi çocuk güvenliği kurallarını genişletiyor
  • VPN, internet trafiğini şifreleyip bağlantıyı uzak sunucular üzerinden yönlendirerek kullanıcının IP adresini gizleyen bir gizlilik aracıdır
  • VPN’ler iletişimi koruma, gözetimden kaçınma ve güvenli uzaktan çalışma gibi meşru amaçlarla da yaygın biçimde kullanılıyor; ancak düzenleyiciler aynı teknolojinin reşit olmayanların konum tabanlı yaş doğrulamayı aşmasına imkan verdiğinden endişe ediyor

Yaş doğrulama yasalarından sonra VPN kullanımında artış

  • EPRS, Birleşik Krallık ve bazı ABD eyaletlerinde zorunlu yaş doğrulama yasaları yürürlüğe girdikten sonra VPN kullanımının hızla arttığını açıkladı
  • Birleşik Krallık’ta çevrimiçi hizmetlerin çocukların zararlı içeriklere erişimini engellemesi gerekiyor ve yasanın ardından VPN uygulamalarının indirme listelerine hakim olduğu bildirildi
  • EPRS paylaşımında, “VPN’ler çevrimiçi yaş doğrulamayı aşmak için giderek daha fazla kullanılıyor” denildi ve bazı hizmetlere erişim için asgari yaş şartı getiren yeni kuralların yürürlüğe girdiği belirtildi

VPN erişiminin kendisi için yaş doğrulama isteme eğilimi

  • EPRS belgesi782618_EN.pdf), VPN’leri bir düzenleme boşluğu olarak açıkça tanımlıyor ve bazı politika yapıcılar ile çocuk güvenliği savunucularının VPN erişiminin kendisi için de yaş doğrulamanın gerekli olduğunu düşündüğünü aktarıyor
  • England’s Children’s Commissioner da VPN hizmetlerinin yalnızca yetişkinlerle sınırlandırılması çağrısında bulundu
  • Ancak VPN erişiminden önce kimlik doğrulamasını zorunlu kılmak, anonimlik korumasını ciddi biçimde zayıflatabilir ve gözetim ile veri toplamayla ilgili yeni riskler yaratabilir
  • VPN sağlayıcıları ve gizlilik kuruluşları, Birleşik Krallık’taki politika yapıcılara gönderilen mektupta bu yaklaşıma zaten karşı çıktı

AB yaş doğrulama uygulamasında güvenlik ve gizlilik sorunları

  • Geçen ay araştırmacılar, European Commission’ın resmi yaş doğrulama uygulaması yayımlandıktan hemen sonra birden fazla güvenlik ve gizlilik açığı tespit etti
  • Uygulama, DSA çerçevesi altında gizliliği koruyan bir araç olarak tanıtılmıştı; ancak hassas biyometrik görüntülerin şifrelenmemiş bir konumda saklandığı ortaya çıktı
  • Doğrulama kontrollerinin tamamen atlatılabilmesine imkan veren bir zafiyet de ortaya çıkarıldı

Teknik olarak zor yaş doğrulama ve alternatifler

  • EPRS belgesi, yaş doğrulamanın AB genelinde hâlâ teknik olarak zor ve parçalı olduğunu kabul ediyor
  • Öz beyan, yaş tahmini ve kimlik doğrulamaya dayanan mevcut sistemler reşit olmayanlar tarafından nispeten kolay aşılabiliyor
  • Fransa’da kullanılan “double-blind” doğrulama gibi yeni yaklaşımlar da öneriliyor
    • Web sitesi yalnızca kullanıcının yaş şartını karşıladığına dair onay alıyor, kullanıcının kimliğini öğrenmiyor
    • Doğrulama sağlayıcısı ise kullanıcının hangi web sitesini ziyaret ettiğini göremiyor

VPN’leri doğrudan ele almaya başlayan mevzuat

  • Utah, kısa süre önce çevrimiçi yaş doğrulamada VPN kullanımını açıkça hedef alan yasa çıkaran ilk ABD eyaleti oldu
  • Utah’ın SB 73 yasası, VPN veya proxy hizmetiyle konum gizlense bile kullanıcının konumunu görünen IP adresine göre değil, fiziksel varlığına göre tanımlıyor
  • EPRS, AB siber güvenlik ve çevrimiçi güvenlik mevzuatını revize ederken VPN sağlayıcılarının daha sıkı incelemeye tabi tutulabileceğini düşünüyor
  • Ayrıca gelecekteki EU Cybersecurity Act değişikliklerinde, yasal korumaların aşılmasına yol açan VPN kötüye kullanımını önlemeye yönelik çocuk güvenliği gerekliliklerinin getirilebileceğini belirtiyor

İlgili okumalar

1 yorum

 
GN⁺ 1 시간 전
Hacker News görüşleri

  • İnsanlar unutmuş olabilir diye söyleyeyim, Çin web sitesi işletmeden önce kayıt izni istemeye başladığında gerekçe yine çocukları korumak idi
    Bu basit politika sonunda bireysel yayıncıların ve bağımsız medyanın büyük bölümünü susturdu, sektörü birkaç elde topladı ve küçük girişimciler için kalan fırsatları da yok etti. Bu, çocukların internette porno görmesinden çok daha kötü sonuçlar doğurabilir. Çünkü insanların tüm yaşamı üzerinde olumsuz etki yaratır
    AB gerçekten VPN hizmetlerini yalnızca yetişkinlere sınırlamak istiyorsa, VPN kullanan çocuklara ya da buna izin veren ebeveynlere para cezası kesebilir. Trafik ihlallerinde yolun kendisine değil, sürücüye ceza kesilmesi gibi
    Yine de bunun yeterli olmadığını düşünüyorlarsa, Kuzey Kore gibi kabloları kesebilirler

    • Rusya’da işlerin nasıl ilerlediğinin özeti şöyle
      2015 civarında korsan medya, özellikle torrents.ru, engellensin diye bir yasal çerçeve kuruldu ve ülke çapında DNS engelleme getirildi, ama 8.8.8.8 sorgulayarak bunu kolayca aşmak mümkündü
      Ardından hükümet, o yasal dayanağı kullanarak kumarhaneler, terör örgütleri gibi ek kalemleri engelleme listesine koydu ve IP engellemeyi de temkinli biçimde uygulamaya başladı
      Yasa daha da genişletildi; hükümet belirsiz ölçütlerle belli medyaları engelleyebilir hale geldi, bazı büyük sitelerde IP engelleme denendi ve ISS’lere HTTPS SNI tabanlı filtreleme için DPI ekipmanı kurma zorunluluğu getirildi
      2019 civarında, mahkeme kararı olmadan engelleme uygulayan devlet kurumu Roskomnadzor (RKN) oluşturuldu; 2021 civarında ise RKN talebi üzerine, Rus yasalarına göre içerik filtrelemeyen siteler engellenmeye başlandı ve VPN hizmetleri de DPI ile trafiği filtrelemek zorunda bırakıldı
      2023 civarında VPN baskısı başladı; popüler ticari hizmetler IP ile engellendi, OpenVPN ve IPSec bağlantıları DPI ile seçici biçimde yavaşlatıldı ve 2025 civarında vless, WireGuard gibi sistemlere karşı güçlü VPN filtrelemesi devreye alındı, ayrıca YouTube ve Twitter gibi belirli sitelerin performansı da düşürüldü
    • Siyasetçiler, kolluk kuvvetleri ve askerler de bu mahremiyet karşıtı yasaların etkisine aynen maruz kalacaksa buna destek vermek isterdim. Tabii ki gerçekten destek vermiyorum
      Muhalefet onların kirli çamaşırlarını ortaya dökerek gündelik yolsuzluğu görünür hale getirir, sonra da bu veriler birbirlerine karşı silah olarak kullanılırdı; ama böyle bir dünya gelmeyecek. Çünkü hukukun herkese adil uygulandığı bir dünyada yaşamıyoruz
      Yani mesele “kurallar size var, bana yok” demek
    • Fazla mantıklı sorular soruyorsun. 2026 dünyasının vatandaşı için fazla düşünüp fazla konuşuyorsun. Artık “akıl yürütme” yalnızca chatbot’lara ayrılmış bir anahtar kelime; insanlar bunu yapmamalı, botlar gibi itaat etmeli ve onların söylediği her yalanı doğruymuş gibi kabul etmeli
      Ben Türkiye’de yaşıyorum; hükümet 2008 civarında tüm yetişkin sitelerini yasakladı. Yetişkin olsan da erişemiyorsun. Bu yıl ise küresel eğilime uyarak VPN’i yasaklama, yaş doğrulama ve kimlik doğrulama getirme yönünde ilerliyor
      Bazı oyunları da yasaklıyorlar, sosyal medyayı kontrol ediyorlar ve internette herkesi kontrol edip izlemeyi yasallaştırıyorlar. Birden çok bağımsız ülkede aynı anda benzer girişimlerin ortaya çıkması ne büyük tesadüf
      Ve Türkiye’de 2008’den beri çocuklar fiilen korunmuş da değil
    • “Çocukları koruyalım” argümanı hep kullanılır. Çünkü düzenlemelere ya da yasalara karşı çıkanları, en iyi ihtimalle “çocukları tehlikeye atan kişi”, en kötü ihtimalle de “pedofil” diye damgalamaya yarar
      Sonuçta bu tür düzenleme ya da yasalara karşı çıkanlar, en iyi ihtimalle dinlemeye değmez insanlar, en kötü ihtimalle de hapse atılması gereken kişiler haline gelir
      https://en.wikipedia.org/wiki/Think_of_the_children
    • Çin’in web sitesi kayıt izin sisteminin “çocukları koruma” gerekçesiyle sunulduğunu hatırlamıyorum; ayrıca kamuya açık olarak böyle güçlü bir gerekçelendirme yapıldığına dair kanıt bulmak da zor
      Bana göre daha çok, hükümetin internet üzerinde daha fazla kontrole ihtiyaç duyduğuna karar verip kendisine daha fazla kontrol veren bir yasa çıkarmasına benziyor. https://www.gov.cn/gongbao/content/2000/content_60531.htm
      Yasada önce çocuklarla sınırlı olup sonra yetişkinlere genişletilen özel bir madde de yok. Öte yandan çocukların oyun süresine getirilen sınırlamalar bildiğim kadarıyla hâlâ yalnızca çocuklar için geçerli

  • Bu başlık yanıltıcı görünüyor
    Avrupa Parlamentosu belgesi, VPN konusunda bir tartışmanın varlığına işaret ediyor gibi duruyor
    İlgili ifade şu minvalde: “Bazıları bunun yasanın bir açığı olduğunu ve VPN’lerde de yaş doğrulama istenmesi gerektiğini savunuyor. Buna karşılık bazı VPN sağlayıcıları, üçüncü taraflarla bilgi paylaşmadıklarını ve hizmetlerinin zaten çocukların kullanımı için tasarlanmadığını söylüyor. İngiltere Çocuk Komiseri ise VPN’in yalnızca yetişkin kullanımına sınırlandırılması çağrısı yaptı.”
    Elbette bu, AB’nin VPN’leri düzenlemeyeceği anlamına gelmiyor; ama bu belgenin hiçbir yerinde “AB”, VPN’lerin kapatılması gerektiğini söylemiyor

    • Bu aptal insanlar, yalnızca AB’den söz etmiyorum, gençlerin porno izlemesini gerçekten engellemeye çalışıyor ve bunun için internet altyapısını bozmaya hazırlar. Bu, yaşlanan toplumun kasvetli bir belirtisi
    • O başlık aslında belgedeki bölümün tam başlığı
      Genel olarak konunun dengeli ele alındığına dair tespit doğru, ama o özel cümle seçimi kötü olmuş ve öfke makinesine yem veren bir ifade haline gelmiş
      https://www.europarl.europa.eu/RegData/etudes/ATAG/2026/7826...
    • Çocuklara çıplak insan göstermek korkunç bir suçtur
      Çocukları bombalamak ise sorun değildir ve bunun için gereken tüm silahlar memnuniyetle üretilip sevk edilir
      Hasta bir toplumun örüntüsü bu
    • “Children's Commissioner for England” AB değil. Gerçekten AB değil. Birleşik Krallık, seçimler ve yıllara yayılan bir sürecin ardından AB’den ayrıldı
    • Yeni bir “manşetler yasası” lazım. Başlıkta AB bir şey söyledi deniyorsa, gerçekte AB söylememiştir

  • Bence tüm kimlik doğrulama düzenleri önce şirketlerin nihai faydalanıcılarıyla başlamalı
    Hükümetler, şüpheli işler yapan şirketlere sahip zenginlerin tam anonimliklerini koruması için lobi baskısı altında kaldı; sıradan insanlar ise market alışverişinde bile kimlik göstermek zorunda bırakılıyor

    • Evet. Daha kötüsü, neredeyse hiç kimse hükümetleri mahremiyeti koruyan yaş doğrulama yönüne itmeye çalışmıyor
      Bunun yerine teknologlar sadece hiçbir şeyi düzenlememeleri için ikna etmeye çalışıyor, ama bu yaklaşım işe yaramayabilir
    • Böyle açıklamaların zorunlu olduğu bir yargı alanında yaşayan biri olarak söyleyebilirim ki bu, küçük işletmeler için ciddi bir külfet ve genel kamu için pek az fayda sağlıyor
    • Yönetici sınıfa paravan şirketler, köylülere ise giderek azalan anonimlik

  • VPN’i gerçekten engellemek isteyen taraf ticari yayın platformları, özellikle de canlı spor tarafı
    Hangi devlet ya da hangi iktidar partisi olursa olsun, eninde sonunda iş paraya dönüyor

    • Bunun daha çok vurgulanması lazım
      Mesele sadece hükümetler değil. Parası olan bazı büyük şirketler de bunu sessizce ittiriyor

  • Vergi açıkları neden aynı ölçüde denetlenmiyor
    İnternette zorunlu yaş doğrulama bence zararlıdır ve yasaklanmalıdır

    • Katılıyorum. Web’de yaş doğrulama %100 yasaklanmalı
      Ebeveynler ebeveynlik yapmayı öğrenmeli; devlet şirketleri zorla çocuk yetiştirmenin yerine koymamalı
    • Vergi “açıkları” sadece senin katılmadığın kasten tasarlanmış politikadır
    • Denetlenmediğini neden düşünüyorsun? Özellikle Double Irish Dutch Sandwich uygulamasına müdahale edildi
    • Neden böyle düşünüyorsun? Ehliyet yenilerken ya da Amazon’dan bir şey alırken de yaş doğrulaması yapılmıyor mu?
      Ben çocukken çocuk programları ve reklamlar sıkı biçimde denetlenirdi. Şimdi ise herhangi bir çocuk internette porno, şiddet ve dolandırıcılığa erişebiliyor. Zarar yaş doğrulamadan değil, bundan kaynaklanıyor
    • Vergi açığını nasıl tanımlarsın? “Vergi açığı” denen tek bir eylem yok; bunların her biri tamamen yasal uygulama kümelerinin optimizasyon amacıyla kullanılması, bu yüzden tanımlaması zor, dolayısıyla denetlemesi de zor
      Sonsuz bir köstebek vurma oyunu

  • Eğer bunu bir AB hükümet yetkilisi okuyorsa, kısa bir mesaj vermek isterim
    Lütfen internette çocukları düşünmeyi bırakın. Bunun yerine çok daha acil olan şu işlere odaklanın
    Büyük şirketlerden daha fazla vergi alın, aşırı zenginleri daha fazla vergilendirin ve AB menşeli açık kaynak teknoloji ve altyapıya fon sağlayın
    Ebeveynlerin çocuklarıyla daha fazla zaman geçirmesini sağlayın ki çocuklarını herhangi bir aptal yasadan daha iyi koruyabilsinler ve onları istismarcılardan uzak tutabilsinler
    Ve daha fazla tren yapın

  • Aklıma takılıp duran bir soru var
    Yaş doğrulama neden kimlik doğrulamayla bağlantılı hale geliyor?
    İlkinin ikincisi olmadan neden mümkün olmadığını anlıyorum, ama doğrulamayı yapan kurum diğer ayrıntıları vermeden sadece yaş doğrulama sonucunu iletemez mi?
    Ben mi yanlış anlıyorum? Eğer bu mümkünse VPN kullanılmaya devam edilebilir gibi görünüyor

    • “Çift kör” doğrulama tam olarak buna benziyor
      Rapor, Fransa’da kullanılan çift kör doğrulama sistemi gibi yeni yaklaşımları öne çıkarıyor. Bu modelde web sitesi, kullanıcının kimliğini bilmeden sadece yaş şartını sağlayıp sağlamadığını öğreniyor; doğrulama sağlayıcısı da kullanıcının hangi siteyi ziyaret ettiğini görmüyor
    • En azından AB gibi kendi sistemini dayatmaya çalışıp bağımsız üçüncü taraflara dayanmak istemeyen yapılarda, sorun hükümetin yaş doğrulama uygulamasını kontrol ederken buna saygı göstereceğine körü körüne güvenmek zorunda olman
    • Teknik açıdan bu, DID yani merkeziyetsiz kimlik ve onun doğrulanabilir kanıtlarıyla yaklaşık 10 yıl önce çözülmüş bir sorun
      AB dijital cüzdan çerçevesi de bunun üzerine kuruldu ve senin anlattığın senaryo temel kullanım alanlarından biri
      Konu artık akademi ve araştırma alanından çıkıp siyaset alanına geçti; ticari gruplar ile siyasi gündemlerin geri besleme ve baskısı ise tabloyu bulandırıyor
      Standart belgelerinin bağlantıları burada. Daha kısa ve daha kolay anlatan kaliteli videoları da rahatça bulabilirsin
      https://www.w3.org/TR/did-1.0/
      https://www.w3.org/TR/vc-data-model-2.0/
      Bu arada bu, blockchain döneminin sağlıklı yan ürünlerinden biri; dolayısıyla kripto para pazarlamacılarının abartılı videolarına kapılmamak iyi olur
    • Evet. Mahremiyeti koruyan yaş doğrulama mümkün. Bu fikre çok sert karşı çıkan çoğu kişinin bunu bilmediği hissine kapılıyorum
      Buradaki şikâyetlerin çoğu, yaş doğrulamanın otomatik olarak takip anlamına geldiğini varsayıyor
      İnsanlar şikâyet etmeden önce biraz araştırmış olsaydı, mahremiyeti koruyan yaş doğrulama hakkında daha ilginç bir tartışma yapılabilirdi

  • İnsanlar sadece tüketiciye yönelik mahremiyet VPN’lerine bakıyor ama AB içinde çok daha geniş bir ticari VPN kullanım alanı var
    İki noktayı tek bir ağ gibi birleştiren uçtan uca tüneller, dizüstü ve mobil cihazlardan kurumsal kaynaklara erişim, ayrıca bugün birçok kişinin mecburen kullandığı berbat internetin tek yönlülüğünü telafi etme gibi kullanım alanları söz konusu
    Temelde uzaktan biraz olsun çalışıyorsan şu anda mutlaka VPN kullanıyorsun demiyorum ama olasılık yüksek. Belki siyasetçilerin kendi BT altyapısı bile yürütmenin yasama organını fazla gözetleme kapasitesi hakkında bazı düşünceler doğuruyordur

  • Hükümet zaten herkesin kimlik bilgilerine, doğum tarihi de dahil, sahip. Sorunun reşit olmayanların yetişkin siteleri ve hizmetlerine erişmesi olduğu söyleniyorsa, sitelerin tek bilmesi gereken kullanıcının 18 yaşından büyük olup olmadığı ya da devletin belirlediği yaşın üzerinde bulunup bulunmadığıdır
    Kullanıcının talep ettiği site veya hizmete sadece yaşını ya da seçtiği bilgileri açıklamasına izin veren standart bir devlet kimlik hizmeti/API’si olmalı. Devlet kimlik hizmeti uygun iki aşamalı doğrulama ve güvenliğe sahipse gereken tek şey budur
    İstekler ve yanıtlar uygun şekilde anonimleştirilirse devlet hangi sitenin talep ettiğini bilmez, site de kişinin kimliğini öğrenmez
    Neden hâlâ böyle bir şey yok? Benim bildiğim kadarıyla kimse önermedi

    • Bu konu geniş biçimde tartışıldı ve ilk uygulamalar da var. AB dijital cüzdanı tam olarak bunu yapıyor. https://ec.europa.eu/digital-building-blocks/sites/spaces/EU...
      Teoride tüm AB ülkeleri yakında bunu desteklemek zorunda olacak ve kullanıcılar bunu internette yaşlarını özel biçimde kanıtlamak için kullanabilecek. Gerçek dağıtıma kadar hâlâ yapılacak işler var, ama teknik kısım zaten ilerliyor ve dağıtım planı da netleşmiş görünüyor
    • Hayır. Hükümetin nasıl çalıştığını anlamıyor gibisin. Bu asla anonim olmayacak, dolayısıyla korkunç bir fikir. Fiilen hesabı pasaporta bağlamayı önermiş oluyorsun
    • Alman devlet kimliği bunu destekliyor. PKI var ve kimlik kartı, sertifika ile özel anahtar içeren bir akıllı kart [0]
      “18 yaşından büyük mü” sorusuna sıfır bilgi ispatıyla yanıt verebiliyor. Sonuçta sadece geçerli bir kimlik kartına sahip olduğunu ve PIN’ini bildiğini kanıtlamış oluyorsun, ama bu kadarı yeterli görünüyor. Makaleye göre Fransa’da da bu özellik var
      [0] https://www.personalausweisportal.de/Webs/PA/EN/government/t..., https://www.bsi.bund.de/EN/Themen/Oeffentliche-Verwaltung/El...
    • Evet. Örneğin Fransa’da yapılan bu ve genel olarak AB’de tartışılan yaklaşım da bu yönde
    • Evet. Eğer bir hükümet yaş doğrulamayı gerçekten önemsiyorsa, bunun aracını sağlamalı. Mahremiyeti ihlal etmeden de bunu yapmanın yolları var
      Hollanda’daki DigiD gibi hizmetler bunun için mükemmel bir temel olabilir. Herkes karşı çıkmasına rağmen ABD’ye satılmaya çalışılan tam da o hizmet. Buna sadece bir yaş doğrulama servisi eklemek yeterli olurdu. Hükümet zaten en hukuki anlamıyla senin kim olduğunu biliyor

  • Eskiden ebeveynler çocukların erişebileceği web sitelerini kontrol ederdi
    Şimdi ise politikacıların bizim erişebileceğimiz web sitelerini kontrol ettiği bir dönemdeyiz