Bilgi Teknolojileri ve İletişim Kurumu'nda (BTK) ülke genelinde tüm e-imza kullanıcılarının şifrelerinin saklandığı veri havuzunun patlatıldığı iddia edildi. Artık, bilgisayarına aparat takarak elektronik imzasıyla işlem yapan hiçbir kullanıcının güvende olmadığı öne sürüldü. Bu arada Bilgi Teknolojileri ve İletişim Kurumu (BTK), “BTK’da ülke genelinde tüm e-imza kullanıcılarının şifrelerinin saklandığı veri havuzunun patlatıldığı” bilgisi hakkında açıklama yayımladı.
Kısa bir süre önce Türkiye gündemi sahte imza skandalıyla çalkalanıyordu.
Elektronik imza (e-imza) skandalına ilişkin soruşturmada sahte imza çetesinin ülke genelinde e-imza kullanılarak para karşılığı sahte üniversite diploması ve sürücü belgesi başta olmak üzere kıymetli evrak üretip sattıkları ortaya çıkmıştı.
Savcılık soruşturmasında, e-imzası kullanılan kişiler arasında Bilgi Teknolojileri ve İletişim Kurumu (BTK) Başkanı’nın da bulunduğu da ortaya çıkmıştı.
"BTK'DA TÜM E-İMZA ŞİFRELERİ ÇALINDI"
Kıdemli gazeteci Tolga Şardan t24.com.tr'de yayımlanan yeni yazısında, BTK'da patlak veren yeni bir olayı paylaştı.
Şardan, BTK’da ülke genelinde tüm e-imza kullanıcılarının şifrelerinin saklandığı veri havuzunun patlatıldığını yazdı.
Şardan'ın aktardığına göre, eylemi kimin ya da kimlerin yaptığı henüz belli değil. Konuya ilişkin BTK’da idari incelemenin başlatıldığı ve kurumda ciddi bir panik havasının hakim olduğu ifade edildi.
Şardan, "Veri havuzundaki bilgilerin başkaları tarafından ele geçilmesinin anlamı, tüm ülkede e-imza kullanarak işlem yapan elektronik imza sahiplerine ait şifrelerin çalınmış olması!" dedi.
"ARTIK HİÇBİR KULLANICI GÜVENDE DEĞİL"
Buna göre, elektronik imza kullanıcılarını çok sıkıntılı günlerin beklediği belirtildi. Artık, bilgisayarına aparat takarak elektronik imzasıyla işlem yapan hiçbir kullanıcının güvende olmadığı belirtildi.
Şardan'ın yazısının ilgili kısmı şu şekilde:
"BTK’da ülke genelinde tüm e-imza kullanıcılarının şifrelerinin saklandığı veri havuzu patlatıldı.
Kim ya da kimlerin yaptığı henüz belirlenemedi. Yaşanan olayla ilgili BTK’da idari incelemenin başlatıldığı ifade ediliyor. Kurumda ciddi bir panik havası oluştuğu haberleri geliyor birkaç gündür.
Veri havuzundaki bilgilerin başkaları tarafından ele geçilmesinin anlamı, tüm ülkede e-imza kullanarak işlem yapan elektronik imza sahiplerine ait şifrelerin çalınmış olması!
Okuduğunuz gelişme, savcılığın yürüttüğü soruşturmadaki tespitlerin epeyce ötesinde bir durum maalesef.
Her kim veya kimler e-imza şifrelerini ele geçirdiyse, elektronik imza kullanıcılarını çok sıkıntılı günlerin beklediğini belirteyim.
Artık, bilgisayarına aparat takarak elektronik imzasıyla işlem yapan hiçbir kullanıcı güvende değil.
Bu arada e-imzanın nasıl çalıştığını da küçük bir dip notla anlatayım; e-imzanın üzerinde kullanıcılar için BTK tarafından üretilen, epeyce uzun rakam ve harflerden oluşan kişiye özel dijital kod bulunuyor. Bu kod, aynı zamanda e-imzanın da şifresi.
E-imza sahibi kullanıcı, işlem yapmak istediği zaman bilgisayarına taktığı USB’deki şifre yardımıyla elektronik imzasını kullanabilmekte.
BTK’nın veri havuzunun patlatılmasını engellemek elbette mümkündü. Sisteme “savunma ve dışarıdan müdahaleleri engelleyici” yatırım yapılması gerektiğini söylemek lazım. Yatırım yapılmayınca skandalla yüzleşildi.
BTK yönetimi, savcılıktaki adli soruşturma ve yargılamaya konu olan tabloyu savuşturmayı başarmıştı ama şimdi yaşanan problemin üstesinden nasıl gelinecek, göreceğiz."
BTK’dan e-imza iddialarına açıklama! "Yasal süreç başlatılmıştır"
Bilgi Teknolojileri ve İletişim Kurumu (BTK), “e-imza veri havuzunun hacklendiği” yönündeki iddiaların asılsız olduğunu açıkladı. Kurum, e-imza kullanıcılarının pin kodları veya kişisel verilerinin BTK bünyesinde tutulmadığını bildirdi.
“Elektronik imza veri havuzunun hacklendiğine dair iddialar tamamen asılsızdır ve gerçeği yansıtmamaktadır” denilen açıklamada, “Elektronik İmza (e-imza) sisteminde e-imza sahiplerinin pin kodları veya herhangi bir kişisel verisi dahil hiçbir verisi Bilgi Teknolojileri ve İletişim Kurumu (BTK) bünyesinde tutulmamaktadır. Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) ise sadece sertifikayı kullanan kişinin, başvuru esnasında sunduğu kişisel verilere sahiptir. Bu nedenle, sertifika ya da pin kodu bilgilerinin herhangi bir veri havuzundan çalınması veya bu tip bir veri sızıntısının yaşanması söz konusu değildir. Türkiye’de bulunan tüm e-imzalara ait bilgiler, (BTK ya da e-Devlet kapısı dahil) toplu halde herhangi bir veri havuzunda barındırılmamaktadır” denildi.
BTK’nın açıklaması şöyle:
Elektronik imza veri havuzunun hacklendiğine dair iddialar tamamen asılsızdır ve gerçeği yansıtmamaktadır.
Bazı haber kaynaklarında yer alan ve e-imza hizmetleriyle ilgili olduğu iddia edilen "veri sızıntısı" haberleri hakkında kamuoyunu doğru bilgilendirmek amacıyla bu açıklamanın yapılması zorunluluğu doğmuştur.
Türkiye’de kullanılan tüm e-imzalar, Kurumumuz tarafından yetkilendirilen 8 Elektronik Sertifika Hizmet Sağlayıcı (ESHS) tarafından üretilmektedir.
Kurumumuz ise 5070 Sayılı Elektronik İmza Kanunu kapsamında ilgili ESHS'leri denetleme ve sektörü düzenleme yetkisine sahiptir.
Her bir Nitelikli Elektronik Sertifika, uluslararası standartlarda kriptografik algoritmalarla şifrelenmiş şekilde yalnızca sertifika sahibinin elindeki USB e-imza cihazında bulunmaktadır.
Elektronik İmza (e-imza) sisteminde e-imza sahiplerinin pin kodları veya herhangi bir kişisel verisi dahil hiçbir verisi Bilgi Teknolojileri ve İletişim Kurumu (BTK) bünyesinde tutulmamaktadır. Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) ise sadece sertifikayı kullanan kişinin, başvuru esnasında sunduğu kişisel verilere sahiptir. Bu nedenle, sertifika ya da pin kodu bilgilerinin herhangi bir veri havuzundan çalınması veya bu tip bir veri sızıntısının yaşanması söz konusu değildir.
Ayrıca, Türkiye’de bulunan tüm e-imzalara ait bilgiler, (BTK ya da e-Devlet kapısı dahil) toplu halde herhangi bir veri havuzunda barındırılmamaktadır.
Bilindiği üzere, siber güvenlik alanında yanıltıcı ve yanlış bilgilerin yayılması, toplumda endişe, korku ve panik oluşturma potansiyeli taşımaktadır. Ayrıca Elektronik İmza gibi Türkiye'nin dijital sistemlerinin temelini oluşturan ve güven hizmeti olarak adlandırılan bu hizmetlerin güvenirliğini sarsıcı nitelikte algı yaymak, toplumda yıkıcı etkilere sahip olmaktadır. Bu tür eylemler, 7545 sayılı Siber Güvenlik Kanunu kapsamında suç teşkil etmektedir. Kanunun 16. maddesinin 5. fıkrasında açıkça belirtildiği üzere:
"Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara iki yıldan beş yıla kadar hapis cezası verilir."
Bu bağlamda, e-imza kullanıcılarını hedef göstererek ve kamuoyunu yanıltarak gerçek dışı veri sızıntısı iddialarını yayan, 2 milyon 500 bin üzerinde e-imza kullanıcısını asılsız haber ve paylaşımlar ile endişeye sürükleyen kaynaklar hakkında suç duyurusunda bulunulmuş ve yasal süreç başlatılmıştır.
Kamuoyuna saygıyla duyurulur."
