Bugünkü haberlere göre, Ankara Cumhuriyet Başsavcılığı, kamu yöneticilerinin e-imzalarını kopyalayarak sahte e-imza üreten 199 kişilik bir şebekeyi soruşturuyor. Bu kişiler, BTK, YÖK, MEB ve üniversite sistemlerine yetkisiz giriş yapmış.
TÜRKTRUST ve EİMZATR gibi yetkili elektronik sertifika sağlayıcılar (ESHS) üzerinden alınan e-imzalarda “yüz yüze kimlik tespiti” onayı yer alıyor. Ancak soruşturmada bu durumu şüpheye düşüren ciddi kanıtlar mevcut.
Soruşturmaya göre sahte e-imzalar aracılığıyla, 400 akademisyenin usulsüz atanması (doçent, profesör) gerçekleştirildi. Üniversite diplomaları, not ortalaması ve mezuniyet kayıtları, lise diplamaları gibi çeşitli kayıtlarda değişiklik ile dolandırıcılık yapıldı. Motorlu taşıt ehliyeti sınav sonuçları, başarısız olanların başarılı gibi düzenlendi. Yine soruşturmaya göre, depremde vefat eden avukatların diplomaları silindi ve yerine sahte kayıtlar oluşturuldu.
Belgelerin fiyatlarının 250 bin TL ile 2,5 milyon TL arasında değiştiği, bazı ödemelerin kripto para ile yapıldığı kaydediliyor.
Yürütülen soruşturmada 65 yeni şüpheli hakkında ikinci iddianame sunuldu. Şüpheliler arasında BTK yöneticileri, YÖK bürokratları, üniversite personelleri ve siyasetçiler bulunuyor. Hapis cezaları 5–50 yıl arasında talep ediliyor.
2012’deki TÜRKTRUST Ara Sertifika Skandalı
Olayın taraflarından biri Türktrust isimli elektronik imza hizmeti sağlayıcı firması olunca, aklımıza 2012’deki olay geldi. Çünkü bu olayda sorunun temelinde, elektronik sertifika güvenliği yatıyor. O zaman da Türktrust elektronik sertifika güvenliği konusunda bir sorun yaşamıştı.
2012 sonunda TÜRKTRUST tarafından üretilen iki adet ara sertifika (intermediate CA certificate) ile ilgili sorun ortaya çıkmıştı. Bunlardan biri, Google’a aitmiş gibi sahte bir SSL sertifikası üretmek için kullanıldı. Zaten olayı da Google ortaya çıkardı.
Google Chrome tarayıcısı, bu sahte sertifikayı HTTPS üzerinden Gmail trafiğini izlemeye çalışan bir saldırıyı tespit etti. Durumun fark edilmesi üzerine Google ve Mozilla gibi büyük tarayıcı üreticileri harekete geçti. Çünkü bu durum, “Ortadaki Adam Saldırısına (Man in The Middle)” müsade ediyor ve e-devlet, internet bankacılığı ve e-imza trafiğini sahte olarak yönlendirebiliyordu.
Google, Mozilla ve Microsoft gibi firmalar TÜRKTRUST kök sertifikasını geçici olarak engelledi. Chrome ve Firefox, yeni güvenlik güncellemeleriyle TÜRKTRUST’a ait şüpheli sertifikaları bloke etti. Uluslararası elektronik güven zincirinde Türkiye’ye duyulan güven ve BTK’nın denetimi sorgulandı.
Bu noktada hatırlatalım, 5070 sayılı elektronik imza kanunu çerçevesinde, elektronik sertifika hizmet sağlayıcılarına yani e-imza veren kurumlara yetkiyi BTK verir. Denetlemesi gereken kurum da BTK’dır.
Küresel anlamda sertifika üretimi ve dağıtımı süreçlerinde, genel anlamda daha sıkı kontrol ve bağımsız denetim talepleri arttı. Türkiye’de ise o dönem, BTK, TUBİTAK-UEKAE ve TÜRKTRUST arasında sorumluluk tartışmaları yaşandı.
Bu Olayın E-İmza Soruşturmasıyla İlgisi Var mı?
2012’deki olay, CA (sertifika yetkilisi) kurumların sorumluluğu ve şeffaflığı konusunu ilk kez geniş kitlelere taşıdı. Küresel anlamda elektronik güvenlik reformu yapıldı. Tarayıcıların ve işletim sistemlerinin sertifika yetkilisi güvenini nasıl ele aldığına dair güncellemeler yapıldı. Çünkü bu ihlalin, ülke düzeyindeki aktörlerin bile sertifika altyapısını kötüye kullanabileceğini gösterdiği düşünüldü.
Dünyadaki reformlara karşı, şu andaki e-imza soruşturması, ülke içinde bu sistemlerin denetiminin yapılmadığını ve halen kurum içi kötüye kullanıma açık olduğunu düşündürüyor. Her iki olay da Türkiye’de dijital kimlik altyapısının ve kamu anahtar altyapısının (PKI) hem teknik hem yönetişimsel zayıflıklarını ortaya koyuyor. Şunlar yapılmalıydı (ve halen yapılmalı) :
- Kimlik tespiti dijital loglarla izlenmeli, manuel kağıt imzalarla ikili kontrol yapılmalı.
- Erişim Güvenliği Sağlayıcıları (BTK, YÖK vb.) Sisteme Yakın Denetim yapmalı
- Yetkili kurumlarla entegrasyon denetimleri arttırılmalı.
- Sistemsel İzlenebilirlik ve Log Altyapısının Güçlendirilmesi
- E-imza logları, banka dekontu, IP-port kaydı ile ilişkilendirilerek sistemsel güvenlik sağlanmalı.
Çünkü bu olay, güvenli elektronik imzanın bile kötüye kullanıldığında sistem güvenliğini nasıl tehdit ettiğini gösteriyor. E-imzanın kanıt değeri taşımaya başlaması, aynı zamanda kötü niyetli üretim ve kullanım senaryolarını artırıyor. Kamu sistemlerine yüksek erişim gücü sağlayan bu altyapının yalın denetimsizlikle çalışması, kurumlar arası dijital egemenliğe zarar verebiliyor.
Uzmanlardan Yorumlar
2005’den itibaren uygulamaya alınan e-İmza konusunda, görüştüğüm hukukçu ya da e-İmza sektörü yetkilileri, o günden bu yana gereken geliştirmelerin yapılmadığı düşüncesinde. İsminin açıklanmasını istemeyen bir uzman şunları söyledi;
“Bizdeki e-imza sistemi tamamen USB üzerine kurulu. Yani fiziksel donanıma bağlı bir sistemiz. Haliyle USB sahibi (ismi üstünde e-Tuğra firması da var) tuğranın sahibi oluyor. AB’de özellikle uzaktan imzalama ve ilave kimlik doğrulama mekanizmalarıyla farklı bir güven sistemi inşa edilmeye çalışılıyor.
Bizde bu konuda uzun yıllardır yaprak kımıldamıyor. AB ideali yakalamadı ama biz usb ve dört haneli pin ile tüm güven hizmetlerimizi inşa ettik; erken uyarı mekanizmaları oluşturmadık. USB’ye güven üzerine kurulduğu için bilgi güvenliği için birçok husus ihmalen veya da risk olarak görülmediği için geliştirilmedi.
Bankada bile bir kuruşluk işlemde sms gelirken bir e-imza işlemi neden başka bir alarmı tetiklemez?
Kimlik doğrulama mevzuatının da konsolide edilmesi gerektiğini ve yapay zeka çağında büyük bir risk taşıdığını söyleyen uzman şöyle devam etti :
“Örneğin, tablete imza konusunda BTK kendi kurallarını çıkardı ve izin verdi ama bankalara izin verilmedi. Sonra MASAK uzaktan kimlik doğrulamaya izin verince tekrar bir kaos başladı. Şu an uzaktan kimlik doğrulama mevzuatlarının konsolide edilmesi, e-imza yöntemlerinin güncellenmesi acil bir konu. Ayrıca uzaktan kimlik doğrulama konusu yapay zeka çağında büyük bir risk”
Bir başka uzman Nüfus Müdürlüklerinin hatalı olduğunu belirtti :
“Nüfus Müdürlükleri görevini layıkıyla yapmıyor. Türktrust ve diğer ESHS’ler kimlik doğrulama işlemini olması gerektiği gibi yapıyor ve NVİ’nin online kimlik doğrulama sistemi kimliği doğruluyor. Çünkü kimlik resmi çipli TC Kimlik Kartı!
Fotoğraflı doğrulama hizmeti istiyorlar ama ona da izin vermiyor NVİ! Çünkü o da ayrı bir sorun oluşturur. Sahte kimlik ama resmi kimlik olarak doğrulanıyor yani. Türktrust, ESHS’ler veya bankalar, bu sebeple hizmetini verirken sahte kimlik olduğunu, kişinin dolandırıcı olduğunu anlayamıyor.
BTK konuyla ilgili uğraşıp duruyor, bas bas bağırıyor ama sesini dinletemiyor.
Diğer ESHS’lerden de sahte kimlikle e-imza alınmış diye duyuyoruz ama Türktrust en güvenilir olan olduğu düşünüldüğü için adetsel olarak en çoğu ordan alınmış görünüyor.”
Son olarak da konuyu Forseti Hukuk Bürosu kurucusu ve teknoloji konularında uzman Gökhan Candoğan’a sordum. Şunları belirtti :
“Ankara Cumhuriyet Başsavcılığı tarafından yürütülen soruşturma, Türkiye’de dijital kimlik altyapısının en kritik güvenlik açığını gözler önüne serdi. İddialara göre, 199 kişilik organize bir yapı, kamu yöneticilerine ait -ki içlerinden birisi bu süreçleri denetlemesi gereken/beklenen BTK başkanı- elektronik imzaları kopyalayarak BTK, YÖK, MEB ve üniversite sistemlerine yetkisiz giriş sağladı; yüzlerce akademik atamayı, ehliyet sınavı sonucunu, diploma kaydını ve hatta vefat eden kişilere ait sicilleri sahte verilerle değiştirdi. Olay sadece dolandırıcılık ya da bir “bilişim suçu” değil; adeta dijital devletin sanal olarak ele geçirilmesi niteliğinde.
Bu sahtekârlığın fiziksel karşılığı, devlet matbaasının organize suç örgütleri tarafından kullanılması, toplu kimlik üretimi ve kamu sistemlerine sızma şeklinde düşünülebilir. Bu noktada, sadece bireylerin değil, devletin kurumsal bütünlüğü ve dijital egemenliği zarar görmüştür. Daha da çarpıcısı, bu sistemin temeli olan e-imza sağlayıcılarının — TÜRKTRUST ve EİMZATR gibi — kimlik doğrulama yükümlülüklerinin kağıt üzerinde kalması, BTK’nın yıllardır denetim fonksiyonunu etkili biçimde yerine getirmemesiyle birleşince, denetimsizlik neredeyse sistematik hâle gelmiştir.
Bu kırılganlığın en kritik tezahürlerinden biri, avukat e-imzalarının potansiyel istismarıdır. Avukatların çok büyük bir çoğunluğu Türkiye Barolar Birliği (TBB) ile anlaşması olan Türktrust sertifikalı e-imzaları kullanarak E-Devlet ve UYAP sistemlerine giriş yapmaktadır. Türkiye’de avukatlar, tüm dava, icra, itiraz ve savunma süreçlerini UYAP üzerinden yürütmektedir. E-imza, yalnızca dosya gönderme aracı değil; adli işlemlerde vekil iradesini ve beyanını temsil eden, hukuki sonuç doğuran dijital kimliktir. Eğer bu imzalar kötüye kullanılmışsa, sadece bireysel işlem güvenliği değil, mahkemelerin karar süreçleri, delil bütünlüğü ve adil yargılanma hakkı da ciddi şekilde zedelenmiştir. Ayrıca, müvekkil belgelerine erişim, savunma stratejileri ve iletişim güvenliği gibi meslek sırrı içeren alanların da ihlali söz konusudur.
Bu noktada, TBB’den de bir açıklama yapılmalıdır. Avukatlara yöneltilen e-imza altyapıları, kullanım rehberleri, güvenlik eğitimi ve denetim mekanizmaları yeniden değerlendirilmelidir. Kurumsal anlamda da UYAP erişimi ve e-imza kullanımı, kişisel sorumluluğun ötesinde yapısal güvenlik protokollerine bağlanmalıdır.
Aslında bu olay, 2012’deki TÜRKTRUST ara sertifika skandalının bir tür devamı olarak da değerlendirilebilir. O dönem Google’ın ortaya çıkardığı sahte SSL sertifikası olayı, Türkiye’nin uluslararası elektronik güven zincirinde ağır bir güven kaybı yaşamasına yol açmıştı. Ancak bu krizden sonra dahi ne BTK ne de kamu otoriteleri gereken reform adımlarını attı. Ne biyometrik doğrulama sistemleri zorunlu kılındı, ne e-imza sistemine entegre edilmiş kamu hizmetleri için çapraz log izleme altyapısı geliştirildi. Dahası, Elektronik İmza Kanunu hâlâ 2004 tarihli versiyonuyla uygulanmakta; oysa Avrupa Birliği eIDAS sisteminde ikinci nesil güncellemeye geçilmiş durumda. AB’nin eIDAS 2.0 sistemi, çoklu biyometrik doğrulama (parmak izi, yüz tanıma, iris tarama), blockchain tabanlı değiştirilemez kayıt sistemi, yapay zeka destekli anomali tespiti ve “European Digital Identity Wallet” ile vatandaşların kendi dijital kimliklerini kontrol edebilmelerini sağlıyor. Türkiye’nin ise hâlâ “yüz yüze görüşme” adı altında kağıt üzerinde kalan, teknolojik olarak 20 yıl geriden gelen bir sistemi kullanması, bu kırılganlığın temel nedenidir.
Bu noktada, Dijital Medya Merkezi’nin (DMM) konuyla ilgili yaptığı açıklama da dikkate alınmalıdır. DMM, “400 akademisyenin usulsüz şekilde atandığı” iddiasının “kamuoyunu yanıltmaya yönelik açık bir dezenformasyon” olduğunu belirtmiş ve Ankara Cumhuriyet Başsavcılığı kaynaklarına dayanarak, soruşturma kapsamında şüpheli sıfatıyla işlem yapılan kişiler arasında hiçbir akademisyen bulunmadığını açıklamıştır. DMM’e göre, bu iddia sadece “dosya şüphelilerinden birinin soyut beyanına” dayanmaktadır. Ancak bu açıklama, sistemin güvenlik açıklarının ciddiyetini azaltmamaktadır; aksine ne kadar kolay manipüle edilebileceğini ve kamunun doğru bilgilendirilmesinin ne kadar kritik olduğunu göstermektedir.
Özellikle dikkat çekici olan nokta, bu operasyonda ödemelerin kripto para ile yapılmasıdır. Bu durum, olayın uluslararası boyut taşıdığını ve devlet destekli APT (Advanced Persistent Threat) gruplarının karakteristik özelliklerini göstermektedir. Kripto para kullanımı, yerel dolandırıcılık çetelerinin tipik davranış kalıbı değildir; aksine Lazarus Group (Kuzey Kore) ve APT41 (Çin) gibi sofistike siber saldırı gruplarının para aklama ve finansman yöntemlerini andırmaktadır. Bu bağlamda, sadece bireysel dolandırıcılık değil, muhtemelen daha geniş kapsamlı bir dijital istihbarat operasyonunun parçası olarak değerlendirilmelidir.
Tüm bu tablo, 2025 yılında yürürlüğe giren yeni Siber Güvenlik Kanunu’nun (Kanun No. 7545) önemini de bir kez daha göstermektedir. Kanun ile kurulan Siber Güvenlik Başkanlığı ve getirilen zorunlu güvenlik standartları, denetim yükümlülükleri ve kritik altyapı tanımları, bu tür olaylara karşı daha güçlü bir çerçeve oluşturma potansiyeline sahiptir. Ancak şu anda yaşanan krizin büyüklüğü, bu yasanın da etkili uygulanmadığı takdirde yetersiz kalabileceğini göstermektedir. Kanunun caydırıcı hükümleri ile teknik uyum standartlarının, özellikle e-imza sağlayıcıları ve adli sistem entegrasyonları bakımından hızla devreye alınması hayati önem taşımaktadır.
Bu tabloda sadece teknik açıklar değil, yönetişim eksiklikleri de çok belirgin. BTK’nın kamuoyunu bilgilendirme sorumluluğunu yerine getirmemesi, Adalet Bakanlığı’nın UYAP kullanıcılarını uyarmaması, KVKK’nın proaktif bir pozisyon almaması gibi boşluklar, krizin çapını büyütüyor. Türkiye’de her geçen gün daha fazla hizmetin e-imzaya entegre edilmesiyle (e-ihracat, sağlık, noterlik işlemleri vb.), bu tür bir güvenlik zafiyeti zincirleme etkiler yaratabilir.
Bugünkü olay, artık sadece adli bir vaka olarak değil, ulusal güvenlik ve egemenlik düzeyinde ele alınması gereken yapısal bir kriz. Sadece sorumlular değil, sistemin tamamı sorgulanmalı ve reform edilmeli. Siber Güvenlik Kanunu’nun uygulanışı bu süreçte kritik bir testten geçmektedir.
Bu kriz, Türkiye’nin dijital dönüşümünde bir dönüm noktası. Ya bu olaydan ders çıkararak dünya standartlarında güvenli bir dijital devlet inşa edeceğiz, ya da dijital kolonileşme sürecine gireceğiz. Seçim yapmak için zamanımız yok. Türkiye’nin dijital egemenliği, bugün alınacak kararlara bağlı. O nedenle, bu süreç kamuoyuna açık/şeffaf bir şekilde yürütülmeli, sadece savcılık değil siber güvenlik başkanlığı dahil tüm ilgili kurumlar soruşturmayı derinleştirmeli, alınması gereken tedbirler ivedlikle açıklanmalı ve özellikle ismi geçen e-imza şirketleri, hata/kusurları kapsamında kullanıcıların ın daha fazla mağdur olmaması için, kullanılan tüm e imza sertifikalarının yenilenmesi dahil tedbirleri hızla uygulamaya geçmelidir. Özel önem taşıyan işlemlerle ilgili log kayıtlarının E-Devlet üzerinden ilgililerin bilgisine açılması (tıpkı adınıza mevcut telefon aboneliklerinin erişime açılması gibi) bu tür kritik altyapılara yönelik işlemler konusunda duyarlılığı artıracaktır.”
Kaynak : 