Sahte diploma skandalında, e-İmza hizmeti (ESHS) sunan firmaların pozisyonunu değerlendirmiştik. Konuya yakın ama ismini vermek istemeyen bir kaynakla konuştuk. Bize şunları anlattı.
İlk olarak 2011 ağustosundan itibaren meydana gelen ve Google tarafından ortaya konan “sahte sertifika olayını ve sonrasında neler olduğunu sorduk. Kaynağımız şöyle cevapladı ;
“Söz konusu olay e-imza konusundaki faaliyetlerimizden tamamen bağımsız bir konudur. 2011 yılında üretilen 2 adet SSL son kullanıcı sertifikasında (web sitelerinin güvenliğini sağlamak için kullanılan sertifikalar) teknik bir hata sonucu alt kök sertifika işareti bulunması nedeniyle gerçekleşmiştir. Sertifikalar iptal edilerek kullanımdan kaldırılmış, herhangi bir kurumun sisteminde herhangi bir zarar oluşmamıştır. Hiçbir şekilde TÜRKTRUST sistemlerinin hacklenmesi, veri sızıntısı ve benzeri bir olay değildir.
Sonrasında benzer hataların tekrarlanmaması için gerekli güncellemeler yapılmış ve önlemler alınmıştır. SSL sertifikaları Türkiye’de ESHS’lerin E-imza Kanunu ve BTK denetimi kapsamında yürüttüğü bir faaliyet değildir. Bağımsız, uluslararası standart ve kuralların takip edildiği bambaşka bir faaliyet alanıdır, ESHS’lerin bu faaliyeti mutlaka yürütmek gibi bir zorunluluğu da yoktur. Söz konusu olay kapsamında gerekli açıklamalar, kamuoyuna, web tarayıcı yazılımı üreten şirketler gibi uluslararası muhataplara ve kuruluşlara yapılmıştır.”
“Bugün meydana gelen olayla, o gün meydana gelen olay arasında bir benzerlik yok. Güncel olayda, belirli şahısların geçerli kimlik bilgilerini kullanarak sahte kimlik belgesi üreten bazı kimselerin, bu sahte kimlik belgelerini kullanarak çeşitli Elektronik Sertifika Hizmet Sağlayıcısı (ESHS) firmalardan e-imza sertifikası alması söz konusudur. 5070 sayılı e-imza kanununa göre e-imza başvurularında resmi kimlik belgesi ibraz edilerek işlem yapılabilmektedir, bu düzenleme kanunun ilk çıkışından beri bu şekildedir. Olay kapsamındaki sertifikalar için de başvuru süreçlerinin yüz yüze kimlik belgesi ibrazıyla gerçekleştiği, ancak ESHS firmalarına sahte kimlik belgelerinin sunulduğu anlaşılmaktadır. Olayda tarafımızda herhangi bir teknik sistem hatası, hacklenme veya veri sızıntısı bulunmamaktadır.”
Kaynağımız, basına “Sahte E-imza” başlığıyla yansıyan olayın esasen “Sahte Kimlik Belgeleriyle Alınan E-imzalar” şeklinde olduğunu ve TürkTrust’ın, soruşturma ve yargı süreci yaklaşık bir yıldır devam eden bu olayla ilgili tüm bilgi ve belgeler resmi makamlarla paylaştığını belirtiyor. Soruşturma aşamasında “bilgi alınan taraf” olarak savcılık makamınca istenilen her türlü bilgi/belgenin verildiğini ve ayrıca, konudan olumsuz etkilenen taraflardan biri olarak 2024 yılı içinde Ankara Cumhuriyet Başsavcılığı’na suç duyurusunda bulunulduğunu ekliyor.
Kaynağımızın özenle vurguladığı bir husus şu;
“Ayrıca bazı haber metinlerine yansıdığı şekilde söz konusu olayda herhangi bir e-imza “kopyalanmamıştır”. Böyle bir kopyalama teknik olarak da mümkün değildir.”
TurkTrust’ın gerekli tespitlerin, resmi makamlarla tam bir işbirliği halinde 2024 yılı içinde yapılarak tüm şüpheli e-imza sertifikaları iptal ettiğini belirten kaynağımız, olay kapsamındaki e-imza sertifika sayısısın son derece sınırlı olduğunu söylüyor ve geçerli e-imza sertifikalarına sahip yüzbinlerce kullanıcı ve bu kullanıcıların mevcut e-imzalarını kullanmalarıyla ilgili herhangi bir sorun bulunmadığını ekliyor.
Bir başka önemli konu da şu; TürkTrust’ın 11 Ekim 2024 tarihinden itibaren tüm satış noktalarında “kimlik kartıyla yüz yüze kimlik doğrulama” uygulaması kaldırıldığı ve yerine “e-devlet bağlantısı üzerinden elektronik ortamda kimlik doğrulama” uygulamasının zorunlu tutulması ile, sahte kimlik belgeleri konusunda önlem alındığını ekliyor.
Başka bir önlem olarak, BTK’nın talimatıyla, 5 Mayıs 2025 tarihinden itibaren, yapılan tüm e-imza başvurularında başvuru sahiplerinin GSM operatörlerinde kayıtlı cep telefonu numaralarının tamamına bilgilendirme için SMS gönderildiğini ve e-imza üretimi için 6 saat beklendiğini de belirtiyor.
Bireyler için herhangi bir şirket tarafından üretilen tüm e-imzaların, e-devlet üzerinden e-imza sahibi tarafından sorgulanabildiğini kaydeden TurkTrust, bu bağlamda, Haziran ayında, kayıtlı aktif e-imzası olan tüm kişilere SMS gönderilerek e-imzalarını e-devlet üzerinden kontrol edebileceklerini hatırlatan bilgilendirme de yapıldığını not ediyor :
“Yukarıda da belirtildiği gibi bireyler için herhangi bir şirket tarafından üretilen tüm e-imzalar, e-devlet üzerinden e-imza sahibi tarafından sorgulanabilmektedir. Bu uygulama BTK talimatıyla gerçekleştirilmiş olup uzun süredir devrededir. Tüm kullanıcılarımız bu sorgulamayı yaparak kendileri için üretilmiş tüm e-imza sertifikalarını kontrol edebilirler.”
TurkTrust’on ESHS faaliyetleri kapsamında BTK tarafından her 2 yılda bir denetlendiğini, ayrıca ISO 27001 Bilgi Güvenliği Yönetim Sistemi, ISO 9001 Kalite Yönetim Sistemi ve ISO 10002 Müşteri Memnuniyeti Yönetim Sistemi denetimleri akredite denetim kuruluşları tarafından her yıl gerçekleştirildiğini belirten kaynak, bu denetimlerde faaliyetlerin özüne ilişkin hiçbir majör bulgu tespit edilmediğini belirtiyor.
BTK Görevlerini Yapmıyor
Şüpheliler arasında eski ya da mevcut TürkTrust çalışanı olmadığını belirten e-imza sürecini şöyle özetledi :
Bu uygulamada sırasıyla:
E-imza sertifikası başvurusu yapmak isteyen kişinin, kendisi veya bir kayıt yetkilisi tarafından TÜRKTRUST sistemine kaydı yapılır.
Başvuru sahibi, e-devlet sistemine “müşterisi olduğu herhangi bir bankanın internet bankacılığı veya mobil bankacılık uygulaması” veya “T.C. kimlik kartı ve bu kartın PIN’i” aracılığıyla giriş yapar.
Başvuru sahibi, e-devlet sisteminin ilgili menüsünde gerekli e-imza başvuru onayını verir ve otomatik olarak oluşturulan “kayıt onay verisi” elektronik ortamda TÜRKTRUST’a iletilir.
Kimlik doğrulama verisi olarak bu veri TÜRKTRUST tarafından arşivlenir ve e-imza sertifikası üretimi gerçekleştirilir.
Şu anda yönetmelikte tanımlı şekliyle başvurularda uygulamakta olduğumuz, e-devlet sistemine “müşterisi olduğu herhangi bir bankanın internet bankacılığı veya mobil bankacılık uygulaması” veya “T.C. kimlik kartı ve bu kartın PIN’i” aracılığıyla giriş yapılması uygulaması, çok faktörlü doğrulama koşullarını sağlamakta ve yeteri kadar pratik biçimde uygulanabilmektedir.
Doğrulama faktörleri, bankacılık üzerinden giriş yapıldığında kişinin banka tarafından doğrulanmış numarası ve cihazı ile banka sistemine girişteki parola, tek kullanımlık SMS, mobil onay vb. faktörlerdir.
“T.C. kimlik kartı ve bu kartın PIN’i” aracılığıyla giriş yapıldığında ise kartın çipi, bu çipe güvenli şekilde gömülü veriler ve kart sahibine devlet tarafından teslim edilen PIN faktörleri devrededir.
Bir üst seviye güvenliğe çıkılması istenirse biyometrik veri (parmak izi) kullanımı gündeme gelebilir, ancak bu uygulamanın da pratikliği tartışma konusu olabilir.
Son olarak, “e-imza süreçlerinde güncellenmesi gereken neler var?” diye sorduk ;
“Artık kullanılmayan ve kullanılmaması gereken “resmi kimlik belgesi ibrazıyla yüz yüze kimlik doğrulama” yönteminin e-imza kanunu ve tüm bağlı mevzuattan çıkartılması önemli bir güncelleme olacaktır.”
diye cevapladı. Belirtmeden geçmeyelim, biz olayın boyutunu araştırdığımız için sorularımızı gönderdik ve gelen bilgileri, “cevap hakkı” kapsamında aynen yayınladık. Ancak bu bilgilerin içinde yanlış olanları da biliyoruz. Örneğin, şüpheliler arasında herhangi bir TürkTrust çalışanı yok ifadesi doğru değil. Adana şubesinden H.E. ismini dava soruşturmasında görüyoruz.
Diğer bir konu da, sistem işliyor ve BTK denetimleri yapıyor denilmesine karşın, ortaya çıkarılan bu çok kapsamlı dolandırıcılık, e-İmza sistemindeki sorunlara işaret ediyor. BTK fiber altyapının geliştirilmesinde, internet fiyatlarının ucuzlatılmasında, ülkede bir trafik değişim noktası yaratılmasında nasıl başarısız olmuşsa, bu konuda da görevini yapmamış durumda. Norm kadroya göre çalışan 600+ kişi (ki bunun bir kaç katı ATM memuru eski İBB mensupları olduğunu da duyuyoruz) ve halkın telefon faturalarından aldıkları (bu sene 25 milyar TL) para bu ülkeye hiçbir şey kazandırmıyor. Yaptıkları en önemli şey, kişisel verilerin gizliliği kanununa karşın, parti lehine halkın ne yaptığını izlemek (abone deseni, log deseni vsvs). Bu kurumun bir an önce elden geçirilmesi ve görevlerine döndürülmesi, başına da liyakatlı, telekom sektöründen anlayan birisinin getirilmesi şart.
Kaynak : 