Sahte diploma skandalı e-devlet ve e-imza sistemlerini tartışmaya açtı. E-imza, flash belleği ve şifresi kimin elindeyse onun kontrolünde, iki faktörlü doğrulama yok. Peki ne yapmalı?
Yolsuzluk ve vergi adaleti üzerine haber yapan araştırmacı gazeteci olan Pelin ÜNKER'in Deutsche Welle Türkçe yaıyınında yayımlanan haberini alıntılayarak aktarıyoruz:
Türkiye'de son haftalarda ortaya çıkan sahte diploma ve kimlik dolandırıcılığı iddiaları, yalnızca akademik dünyada değil dijital devlet altyapısında da alarm zillerini çalıyor. İddialara göre bazı belgeler sahte olarak düzenlenip e-devlet kayıtlarında yer alıyor, hatta hayatını kaybetmiş kişilerin kimlik bilgileri kullanılarak elektronik imza alınıyor.
E-devlet'in omurgasını oluşturan e-imza sistemi, vatandaşların devletle olan işlemlerini hızlı ve güvenli şekilde yapabilmesi için tasarlanmış olsa da kötüye kullanıldığında ciddi sonuçlar doğuruyor.
Bilişim hukuku uzmanı ve Alternatif Bilişim Derneği Başkanı Avukat Faruk Çayır, sistemin işleyişini, risklerini ve alınabilecek önlemleri DW Türkçe'ye anlattı.
E-devlet nedir?
Türkiye'de e-devlet kapsamında yüzlerce hizmet çevrimiçi sunuluyor: Kimlik sorgulama, vergi borcu öğrenme, SGK hizmet dökümü, sınav sonuçları, araç tescil bilgileri bunlardan sadece birkaçı.
E-devlet, vatandaş-devlet, devlet-iş dünyası ve devlet-devlet ilişkilerini elektronik ortama taşıyarak bürokrasiyi azaltmayı, şeffaflığı artırmayı ve hizmetleri 7/24 erişilebilir kılmayı hedefliyor.
Ancak kamu kurumlarının veri tabanlarında tutulan büyük miktardaki bilginin paylaşımı, siber saldırılar ve veri sızıntıları karşısında önemli riskler barındırıyor.
Sahte kimlikten ölen kişilerin adına e-imza
Çayır, elektronik imza kanununun 2010'lu yıllarda çıktığını, ardından Bilgi Teknolojileri ve İletişim Kurumu'nun (BTK) Türktrust gibi şirketlere e-imza üretme yetkisi verdiğini hatırlatıyor.
Elektronik imzanın, çipli bir cihaz ve şifre aracılığıyla belgelerin dijital ortamda imzalanmasını sağladığını belirten Çayır, "Bu gündemdeki sahtecilik olayında sahte kimlik bilgileriyle sahte kimlik cüzdanlarıyla elektronik imza alınması gibi bir durum söz konusu. Ölen kişiler adına da e-imza alınıyor" diyor.
6 Şubat depremlerinde hayatını kaybeden avukatların kayıtlarının silinmesinin ardından bu kişilerin adına e-imza üretildiğini aktaran Çayır, "Soruşturmada ayrıca elektronik imzanın sahte olmasının yanında bir de bu elektronik imzaların başkalarının elinde bulunması, şifrelerini bilmeleri gibi bir durum var" ifadesini kullanıyor.
E-imza nedir?
Elektronik imza (e-imza), 5070 sayılı Elektronik İmza Kanunu'na göre ıslak imza ile aynı hukuki geçerliliğe sahip sayısal verilerle oluşturulan imza. Nitelikli e-imza, BTK tarafından yetkilendirilen Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) aracılığıyla veriliyor ve genellikle USB token ya da akıllı kart şeklinde kullanılıyor.
E-imza, belge imzalama, resmi kurumlarla yazışma, bankacılık ve ihale işlemleri gibi birçok alanda kullanılıyor. Ancak cihazın ve şifrenin üçüncü kişilerin eline geçmesi, sahibinin bilgisi dışında işlem yapılmasına yol açabiliyor.
Flash belleğin el değiştirmesi yeterli
Elektronik imzanın fiziksel bir USB bellek şeklinde olduğunu hatırlatan Çayır, bu cihazların ve şifrelerinin üçüncü kişilerin eline geçmesinin büyük tehlike yarattığını söylüyor:
"O elektronik imzanın flash diskini elinde bulunduran ve şifresini bilen bir kişi her türlü belgeyi imzalayıp gönderebiliyor."
Bu durum sadece sahte imzalarla sınırlı değil.
Çayır, geçerli imzaların da başkaları tarafından kullanıldığını, avukatların veya doktorların e-imzalarının sekreterlerinin elinde bulunabildiğini ve bunun sahte belge düzenlenmesi ya da ilaç dolandırıcılığı gibi suçlarda kullanıldığını aktarıyor. Özellikle hastanelerde pahalı kanser ilaçlarının sahte reçetelerle satılmış gibi gösterilip paraya çevrildiğini örnek veriyor.
O şirketlerden alınan e-imzalar hâlâ geçerli
Çayır'a göre asıl dikkat çekici nokta, soruşturma kapsamındaki şirketlerden alınan e-imzaların hâlâ geçerli olması.
"Bir yıldan fazla süredir yürüyen bir soruşturma var ve halen o elektronik imza şirketinden alınmış elektronik imzalar geçerli. Buna nasıl bir güvenlik önlemi aldılar tartışılır. Belki de arka planda yine bu tarz olaylar yapılmaya devam ediliyor" diyor.
Geçmişten bugüne güvenlik açıkları
Çayır, geçmişte yaşanan güvenlik sorunlarının bugünkü tabloya işaret ettiğini belirtiyor. 2012 civarında Google'ın ortaya çıkardığı sertifika zinciri sorununu hatırlatıyor ve Türkiye'nin bu nedenle ciddi itibar kaybı yaşadığını söylüyor. Bu olaydan ders çıkarılması gerekirken benzer güvenlik açıklarının devam ettiğini vurguluyor.
Ayrıca, e-devlet sisteminin tamamen güvenli olup olmadığının kamuoyunca denetlenemediğine dikkat çekiyor:
"E-devlet sistemi hacklenebiliyor. 18-19 yaşında çocuklar bu sistemlerdeki bilgileri çalabiliyor."
Tapu değil, banka ve kripto hesapları risk altında
E-devlet üzerinden yapılan bazı işlemlerde sahte kimliklerin kullanılabileceğini belirten Çayır, tapu ve araç satışında hâlâ yüz yüze imza zorunluluğu olduğu için büyük risk olmadığını söylüyor. Ancak bankacılık ve kripto para işlemlerinde ciddi tehlike bulunduğuna dikkat çekiyor:
"Banka hesabı açılabiliyor, kripto para platformlarında hesap açılabiliyor. Yüz yüze imza şartı aranmayan sistemlerde sorun yaşanabiliyor."
Denetim eksikliği: Hangi kurumlar devreye girmeli?
Çayır, sorunun merkezinde denetim eksikliğinin bulunduğunu vurguluyor. "Denetim eksikliği çok fazla. BTK, Kişisel Verilerin Korunması Kurulu, Siber Güvenlik Başkanlığı bu işin içine dahil olmalı. Emniyetin de devreye girmesi gerekiyor" diyor.
E-devlet sisteminin kapalı ve şeffaflıktan uzak olduğunu söyleyen Çayır, "Kim yaptı, nasıl güvenliği alınıyor, nasıl denetleniyor bilmiyoruz" diyerek denetim mekanizmasının yetersizliğini eleştiriyor.
E-imza şirketlerinin de yeterince denetlenmediğini belirten Çayır, bu şirketlerin kritik altyapıya sahip olduğunu ve güvenlik açıklarının burada ortaya çıkmasının tüm sistemi riske soktuğunu ifade ediyor ve uyarıda bulunuyor:
"Yetkilendirilmiş bu şirketlerin kimlere, nasıl e-imza verdiği, hangi güvenlik adımlarını izlediği düzenli olarak denetlenmeli."
Blokzincir çözüm olur mu?
Doğrulama açısından blokzincir tabanlı sistemlerin dünyada yaygınlaştığını belirten Çayır, bu teknolojinin tek başına yeterli olmayacağını vurguluyor: "İmzalayan kişinin gerçekten o kişi olup olmadığını doğrulamaya yönelik bir sistem geliştirmeniz gerekiyor. Başka bir kişinin kullanmasını engelleyecek güvenlik tabanı oluşturmanız gerekiyor" diyor.
Ayrıca log kayıtlarının düzenli denetlenmesi, çok aşamalı kimlik doğrulama ve SMS veya e-posta ile ikinci onay mekanizmalarının getirilmesi gerektiğini ifade ediyor. Mevcut kanunda nitelikli elektronik imzalar için iki faktörlü doğrulama zorunluluğu bulunmadığını belirten Çayır, bu eksikliğin güvenlik açısından ciddi bir açık yarattığını söylüyor.
Çayır, iki faktörlü korumanın e-devlet sistemine yaklaşık iki yıl önce getirildiğini hatırlatıyor ancak aynı uygulamanın e-imza için geçerli olmamasının büyük bir zafiyet yarattığını vurguluyor.
Eski mevzuat, yeni riskler
Mevcut hukuki altyapının günümüz koşullarını karşılamadığını belirten Çayır, "Günümüz koşullarını, yapay zeka çağını karşılayabilecek bir hukuki altyapı yok. Kanun çok eski" diyerek mevzuatın güncellenmesi gerektiğini söylüyor.
Büyük ihmallerin olasılığına da dikkat çeken Çayır, soruşturmanın derinleştirilmesi halinde sadece akademisyen atamaları ya da diploma sahteciliğinin değil, üst düzey yetkililerin adına imza atılarak işlem yapılması gibi vakaların da ortaya çıkabileceğini belirtiyor. "Bu işin sonu daha ileriye gidebilir" uyarısında bulunuyor.
