2021 yılında Google ve Amazon'un İsrail hükümetiyle 1,2 milyar dolarlık bir bulut bilişim anlaşması müzakere ettiği sırada, müşteri sıra dışı bir taleple geldi: daha sonra "göz kırpma mekanizması" olarak adlandırılacak bir düzenlemenin parçası olarak gizli bir kod kullanmayı kabul etmek zorundaydılar.
Bu talep, İsrail'in küresel teknoloji devlerinin bulut platformlarında saklanan verilere yabancı kanun uygulayıcılar tarafından erişilebileceği korkusundan kaynaklanıyordu. Bunu önlemek için İsrail, Google ve Amazon'un diğer ülkelerdeki yasal yükümlülüklerini atlamasını istedi.
Diğer büyük teknoloji firmaları gibi, Google ve Amazon'un bulut hizmetleri de polis, savcılar ve güvenlik kurumlarından gelen, soruşturmalar için müşteri verilerini teslim etme taleplerine düzenli olarak uyuyor. Bu süreç genellikle gizli olarak yürütülüyor ve şirketlerin, ya yasal yetkiler ya da mahkeme emirleri nedeniyle, verileri paylaşıldığında müşterilerini bilgilendirmesi genellikle yasaklanıyor.
Verilerinin kontrolünü denizaşırı yetkililere kaptırma endişesi taşıyan İsrail, gizli bir uyarı sistemi tasarladı. Şirketler, İsrail verileri yabancı mahkemelere veya soruşturmacılara her açıklandığında onları uyarmak için İsrail hükümetine yapılan ödemelere işaretler yerleştirecekti.
The Guardian tarafından incelenen ve +972 Dergisi ve Local Call ile ortak bir soruşturmanın parçası olan sızdırılmış belgelere göre, Google ve Amazon bu karlı sözleşmeyi güvence altına almak için bu "göz kırpma mekanizması"nı kabul etti. Bu belgelere ve İsrailli yetkililerin açıklamalarına dayanan soruşturma, şirketlerin 2021 anlaşması (Nimbus Projesi olarak bilinir) kapsamında bir dizi katı ve alışılmadık "kontrolü" nasıl kabul ettiklerini gösteriyor. Hem Google hem de Amazon herhangi bir yasal görevden kaçındıklarını reddetti.
Bu kontroller, Amerikan şirketlerinin çeşitli İsrail hükümeti kurumlarının, güvenlik servislerinin ve askeri birimlerin bulut hizmetlerini nasıl kullandığını kısıtlamasını önleyen hükümleri içeriyor. Anlaşmanın şartlarına göre, şirketler İsrail kullanım şartlarını ihlal etse bile İsrail'in teknolojilerine erişimini askıya alamaz veya geri çekemez.
İsrailli yetkililer bu önlemleri, öngörülen tehditleri ele almak için ekledi. Google veya Amazon'un, işgal altındaki Filistin topraklarında teknolojilerinin insan hakları ihlalleriyle bağlantılı olduğu tespit edilirse, çalışanları veya hissedarlarından gelen baskılara boyun eğerek İsrail'in erişimini kesebileceğinden endişe ediyorlardı. Ayrıca şirketlerin, özellikle Batı Şeria ve Gazze'nin askeri işgalinde teknolojilerinin kullanımı konusunda, yurtdışında yasal zorluklarla karşılaşabileceğinden korkuyorlardı.
Nimbus anlaşması, Google ve Amazon'un, Microsoft'un yakın zamanda İsrail ordusunun Filistinli telefon görüşmelerini ayırt etmeksizin izlemek için kullanılan teknolojiye erişimini devre dışı bıraktığı türden tek taraflı bir eylemde bulunmasını yasaklıyor gibi görünüyor. İsrail ordusuna ve kamu sektörüne bulut hizmetleri sağlayan Microsoft, Nimbus sözleşmesi için teklif vermiş ancak İsrail'in bazı taleplerini reddettikten sonra rakiplerine kaybetmişti.
Son yıllarda, Google ve Amazon'un bulut işletmeleri, tıpkı Microsoft'unki gibi, teknolojilerinin rolü – ve özellikle Nimbus sözleşmesinin – İsrail'in Gazze'ye yönelik iki yıllık savaşındaki etkisi nedeniyle incelenmeye tabi tutuldu. Bir BM soruşturma komisyonunun soykırım eylemleri içerdiği sonucuna vardığı bu saldırı sırasında, İsrail ordusu büyük miktarda veri ve istihbaratı depolamak ve analiz etmek için bulut sağlayıcılara ağırlıkla güvendi. Veri kümelerinden biri, Ağustos ayına kadar Microsoft'un bulut platformunda saklanan büyük bir kesilmiş Filistinli aramaları koleksiyonunu içeriyordu. İstihbarat kaynakları, İsrail ordusunun bu verileri Amazon Web Services (AWS) veri merkezlerine taşımayı planladığını belirtti.
The Guardian, İsrail'in kitlesel gözetim verisini kendi bulutuna taşıma planından haberdar olup olmadığı sorulduğunda, Amazon yanıt vermedi. Bir şirket sözcüsü, Amazon'un "müşterilerimizin gizliliğine saygı duyduğunu ve onların rızası olmadan ilişkimizi tartışmadığımızı veya bulutta depolanan iş yüklerini görmediğimizi" ifade etti.
Hem Amazon hem de Google, göz kırpma mekanizması hakkında sorgulandıklarında, yasal olarak bağlayıcı emirleri atladıklarını reddetti. Bir Google sözcüsü, "ABD'li bir şirket olarak ABD hükümetine veya başka herhangi bir ülkeye olan yasal yükümlülüklerimizden kaçınacağımız fikri kesinlikle yanlıştır" dedi.
Bu hikayeyle ilgili bilginiz varsa, Harry Davies ve Yuval Abraham'a aşağıdaki güvenli yöntemlerle ulaşabilirsiniz:
- The Guardian uygulamasının, uçtan uca şifreli ve normal uygulama aktivitesi içinde gizli olan Güvenli Mesajlaşma özelliğini kullanın. Uygulamayı indirin, menüye gidin, 'Güvenli Mesajlaşma'yı seçin ve 'UK Investigations' ekibini seçin.
- Signal Messenger üzerinden hfd.90 kullanıcı adıyla Harry'ye mesaj atın.
- Daha az hassas iletişim için harry.davies@theguardian.com adresine e-posta gönderin.
- Tor ağını güvenle kullanabiliyorsanız, The Guardian'ın SecureDrop platformuna erişin.
- Daha fazla güvenli iletişim seçeneği ve rehberlik için theguardian.com/tips adresini ziyaret edin.
Google sözcüsü ayrıca, İsrail'in Google politikalarını takip etmeyi kabul ettiğine dair önceki açıklamalara atıfta bulunarak, "Nimbus sözleşmesi, amacı ve onu yöneten hizmet şartları ve kabul edilebilir kullanım politikası konusunda çok net olduk. Hiçbir şey değişmedi. Bu, yanlış bir şekilde aksini ima etmek için başka bir girişim gibi görünüyor" dedi.
Ancak, İsrail hükümeti belgeleri, şirketler iç süreçlerini ayarlamayı ve standart sözleşme şartları yerine İsrail'in taleplerini önceliklendirmeyi kabul ettikten sonra yetkililerin Google ve Amazon'dan önemli tavizler koparmayı başardıklarına inandıklarını ortaya koydu. Anlaşmanın imzalanmasından aylar sonra dolaşıma giren bir hükümet bildirisinde, "[Şirketler] İsrail hükümetinin hassasiyetlerini anlıyor ve gereksinimlerimizi kabul etmeye istekliler" deniyordu.
Yükselen bulut oluşumlarından adını alan Nimbus sözleşmesi, kamu sektörü ve askeri verileri ticari veri merkezlerinde depolamak için önemli bir İsrail hükümeti projesidir. Başlangıçta yedi yıl süreyle geçerlidir ve uzatılabilir. Veriler Google ve Amazon'un İsrail'deki yeni veri merkezlerinde barındırılmasına rağmen, yetkililer gelişen ABD ve Avrupa yasalarının kanun uygulayıcıların doğrudan talepler veya mahkeme celpleri yoluyla verilere daha kolay erişmesine izin verebileceğinden endişe ediyordu.
Bu riski ele almak için İsrailli yetkililer, Nimbus anlaşmasına özel kontroller ekledi. Nimbus anlaşması uyarınca, şirketlerin İsrail hükümetine "göz kırpma" olarak adlandırılan kodlanmış bir mesaj göndermesi gerekiyor. Bu mesaj, yasal olarak ifşa etmeleri yasaklansa bile, onları İsrail verilerini teslim etmeye zorlayan ülkenin kimliğini açığa vuracaktı. Anlaşmanın nihai halini içeren İsrail maliye bakanlığına ait sızdırılmış belgeler, bu gizli kodun şirketler tarafından İsrail hükümetine yapılan "özel tazminat" olarak etiketlenmiş ödemeler şeklinde olacağını gösteriyor.
Belgelere göre, bu ödemeler bilginin transfer edilmesinden sonraki 24 saat içinde yapılmalı ve ilgili yabancı ülkenin telefon arama koduyla eşleşmelidir. Tutarlar 1.000 ile 9.999 şekel arasında değişiyor. Örneğin:
- Google veya Amazon ABD makamlarına (arama kodu +1) bilgi sağlarsa ve işbirliğini açıklayamazsa, İsrail hükümetine 1.000 şekel ödemek zorundadır.
- İtalya'dan (arama kodu +39) İsrail verisi talebi alırlarsa, 3.900 şekel ödemek zorundadır.
Şirketler, hangi ülkenin veriyi aldığına dair en ufak bir imada bulunmaktan bile bir susturma emriyle engellenirlerse, İsrail hükümetine 100.000 şekel (yaklaşık 30.000 $) varsayılan bir tutar ödemek zorundadır.
Eski ABD savcıları da dahil olmak üzere hukuk uzmanları, bu düzenlemeyi şirketler için oldukça sıra dışı ve riskli olarak nitelendirdi. Bu tür kodlanmış mesajların, şirketlerin mahkeme celplerini gizli tutmasını gerektiren ABD yasalarını ihlal edebileceğini belirttiler. Eski bir ABD hükümeti avukatı, "Fazlasıyla kurnazca görünüyor ve eğer ABD hükümeti veya bir mahkeme bunu anlarsa, özellikle sempatik olacaklarını sanmıyorum" yorumunu yaptı.
Birkaç uzman, bu mekanizmayı yasanın lafzına uyabilecek ancak ruhuna uymayan "zekice" bir çözüm olarak tanımladı. Eski bir kıdemli ABD güvenlik yetkilisi, "Bir tür dahice, ama riskli" dedi.
İsrailli yetkililer bu endişeleri kabul etmiş görünüyorlar ve belgelerde, Google ve Amazon'un ABD emirlerine nasıl yanıt vereceğine dair taleplerinin ABD yasasıyla "çarpışabileceğini" not ediyorlar. Şirketler daha sonra "sözleşmeyi ihlal etmek veya yasal yükümlülüklerini ihlal etmek" arasında bir seçimle karşı karşıya kalacaktı.
Ne Google ne de Amazon, Nimbus sözleşmesi yürürlüğe girdiğinden beri bu gizli kodu kullanıp kullanmadıklarına dair The Guardian'ın sorularını yanıtladı. Bir Amazon sözcüsü, "Müşteri verileriyle ilgili yasal ve bağlayıcı talepler için yanıt verme konusunda titiz bir küresel sürecimiz var. Yasal olarak bağlayıcı emirler üzerindeki gizlilik yükümlülüklerimizi atlamak için herhangi bir sürecimiz yok" dedi. Google, İsrail'in hangi taleplerini kabul ettiği konusunda yorum yapmaktan kaçındı ancak "bizim bir şekilde yasa dışı faaliyetlere karıştığımızı ima etmeyi" "saçma" olarak nitelendirip "yanlış" olduğunu söyledi. İsrail maliye bakanlığı sözcüsü, makalenin "İsrail'in şirketleri yasayı ihlal etmeye zorladığı" imasını temelsiz bularak reddetti.
İsrailli yetkililer ayrıca, aktivistlerin ve hak gruplarının, teknolojileri insan hakları ihlalleriyle bağlantılı görülürse, Google ve Amazon'u baskı altına alabileceğinden veya İsrail'le olan işlerini kısıtlamak veya sonlandırmak için Avrupa ülkelerinde mahkeme emirleri arayabileceğinden endişe duyduklarını ifade etti. Bu riskleri azaltmak için İsrail, şirket politikaları değişse bile şirketlerin İsrail'in bulut platformlarına erişimini iptal etmesini veya kısıtlamasını yasaklayan hükümleri Nimbus anlaşmasına ekledi. Şirketler, İsrail'in teknolojilerini kullanımının kendi hizmet şartlarını ihlal ettiğine veya politikalarına aykırı olduğuna inanırlarsa hizmetlerini kısıtlayabilir. Ancak, bir maliye bakanlığı analizine göre, İsrail telif hakkını ihlal etmediği veya teknolojiyi yeniden satmadığı sürece, hükümetin İsrail yasalarına göre izin verilen herhangi bir hizmeti
