Türkiye bu skandalı konuşuyor… E-imzayla ilgili bilmeniz gerekenler!

Sahte diploma soruşturması kapsamında hazırlanan iddianame, çete faaliyetinin uydurma diploma ile hudutlu kalmadığını, yetkili şahısların e-imzalarının elde edilmesiyle diplomadan not yükseltmeye, ehliyetten kredi notuna kadar birçok alanda hukuksuz süreçler yapıldığını ortaya koydu. Pekala Türkiye e-imzaya dair ne biliyor, e-imza hakkında neler bilinmesi gerekiyor? Cumhuriyet, bu soruların izini sürdü ve uzmanlara sordu… İşte yanıtlar

1) E-İMZA NASIL ALINIYOR?

Bilişim Hataları Uzmanı Av. Dr. Ceren Küpeli, ıslak imzanın bireye özel, hukuksal geçerliliği olan dijital imza olduğuna dikkat çekerken “Gerçek bireyler, Türkiye’de yetkilendirilmiş elektronik sertifika hizmet sağlayıcılarına başvurarak, kimlik doğrulaması yapıldıktan sonra bu imzayı alabilirler. Bilhassa e-Devlet süreçleri, şirket içi yazışmalar ve dijital mukavelelerde faal biçimde kullanılmaktadır” dedi.

2) E-İMZA NERELERDE KULLANILIYOR?

E-imzanın evlilik ve nüfus kaydı üzere süreçler dışında ticari mukavelelerden SGK bildirimlerine, kamu ihalelerinden noter süreçlerine kadar birçok dijital süreçte kullanıldığını vurgulayan Küpeli,

“Eğer e-imza öbür biri tarafından yetkisiz formda kullanılmışsa, burada hem siber güvenlik açığı, hem de birçok vakit kurumsal ihmaller vardır. Yaşanan olay, dijital kimlik güvenliğinin sırf teknik sistemlerle değil, süreç kontrolüyle de direkt alakalı olduğunu açıkça ortaya koyuyor” tespitinde bulundu.

3) ÇETELER E-İMZAYA NASIL ULAŞTI?

Bu çetenin e-imza bayileri aracılığıyla geçersiz dokümanlar sunarak kamu vazifelileri ismine düzmece e-imzalar oluşturulduğunu belirten Küpeli, “Asıl zafiyet, müracaat sürecindeki kimlik doğrulama protokollerinde(özellikle biyometrik doğrulamanın eksikliği ve doküman doğrulama sistemlerinin yetersizliği) ortaya çıkıyor” dedi. Küpeli “Ayrıca, hizmet sağlayıcı bayiler üzerindeki kontrol süreçlerinin zayıf olduğu da anlaşılıyor” sözlerini kullandı. Cumhuriyet’e konuşan diğer bir siber güvenlik uzmanı ise “Yaşanan siber atak değil, hırsızlık. Ölen şahıslar üzerinden diploma ekleyip, sonra da bunları kopyalayarak çaldıkları e imzalar üzerinden onaylamışlar” tabirlerini kullandı.

4) ARTIK NE YAPILMALI?

Bu tıp hadiselerin hem teknik hem de kurumsal güvenlik tedbirlerini zarurî kıldığını vurgulayan Bilişim Cürümleri Uzmanı Av. Dr. Ceren Küpeli, “Alınması gereken en önemli tedbirler; e-imza müracaatlarında biyometrik kimlik doğrulaması zarurî hale getirilmesi, müracaat sürecinde ikincil teyit sistemleri ve kurum içi onay zinciri oluşturulması, hizmet sağlayıcı bayilere yönelik periyodik bağımsız güvenlik kontrolleri yapılması ve e-imza üretim ve kullanımına ait anlık bildirim ve izleme sistemleri geliştirilmesidir” dedi. Bu tedbirlere ek olarak bireylerin bilgisi dışında e-imza üretilmesi yahut kullanılması halinde anında ikaz sistemleri devreye alınmasının değerine değinen Küpeli, “Böylece kullanıcılar dijital kimlikleri üzerindeki denetimi kaybetmeden müdahale edebilir” dedi. Yaşananların dijital farkındalık eğitimine gereksinimi da ortaya çıkardığını söyleyen Küpeli, kelamlarına şöyle devam etti:

“Bu bağlamda, sırf yasa koyuculara değil; özel kesime, BTK’ye ve tüm hizmet sağlayıcılara kıymetli sorumluluklar düşmektedir. Dijital kimliğimizin ıslak imzası mahiyetindeki e-imzaların güvenliği, sadece bireyin değil; kamu güvenliğinin de temel taşıdır.”