İnternetle ilgili olarak son yılların en popüler konularının başında “şifreni koru” geliyor. Çok sayıda sitede şifre kullanıyoruz ve bunların yönetimi bir hayli zor. Çünkü hatırlamak gerekiyor. Bu sefer hatırlama zorluğu nedeniyle ya kolay bir şifre seçiliyor ve/veya bir yerlere yazılıyor. Sonucunda nahoş olaylar mümkün.
Bu tür bir olay, bir vatandaşın başına gelmiş gibi gözüküyor. Daha doğrusu e-Devlet kapısını ve bazı uygulamaları 3cü parti yazılım firmaları veya kendi elemanları eliyle yaptırılmasını yöneten Türksat olayın bu tür olduğu iddiasında. Ama bu iddiayı Türksat sadece sözlü olarak veriyor. Açıklamalarına bakarak, vatandaşın sorununun arkasındaki olayın ne olduğunu araştırdıklarını göremiyoruz. Örneğin; bir IP adresi araştırması vs vermemişler.
Daha önce e-Devlet sisteminden, 50 milyon kullanıcının bilgilerinin –devletin yazılım sistemleri kurulurken olduğu iddia ediliyor– çalındığı düşünüldüğünde, sorumlu olan Türksat’ın açıklamasını ilk etapta normal olarak alsak da, yeterli olmadığını düşünüyoruz.
Türksat’ın daha derin bir araştırma yapması ve ondan sonra açıklama yayınlaması gerekiyor. Hatta Türksat’ın açıklama yapması da yeterli değil. Çünkü uygulamada hataları varsa, kendileri bunu saklayabilir. Denetleyici bir yapının bu konuyu incelemesi lazım. e-Devlet’in güvenliği tüm vatandaşların güvenliği anlamına geliyor.
Şimdi olayın ne olduğuna bakalım;
Vatandaştan e-Devlet Güvenli Değil Suç Duyurusu
Bir vatandaş e-Devlet Kapısı Hizmet Sistemi’ne daha önce oluşturduğu şifresi ile girmeye çalıştı. Birkaç denemeye rağmen sisteme giriş yapamayan vatandaş hemen 160 numaralı çağrı merkezini aradı.
Bilgileri kontrol edilen vatandaşın, sistemde kayıtlı telefon numarasının farklı olduğu söylendi. Vatandaş PTT’ye ya da internet bankacılığına yönlendirdi.
Bu sefer sisteme internet bankacılığı üzerinden giriş yapan vatandaş, sisteminde tanımadığı birisine ait telefon numarasının kayıtlı olduğunu gördü. Yani Turkiye.gov.tr adresinde kendisine ait bölüme, kendisinden başka birisinin giriş yaptığını ve iletişim bilgilerini bile değiştirdiğini anladı.
Bu bilgilerde yer alan telefon numarasını aradığında ise, kullanılmayan yani boş bir hat olduğu ortaya çıktı.
Arkasından bu vatandaş Büyükçekmece Cumhuriyet Başsavcılığına verdiği suç duyurusu dilekçesinde, kendisine ait şifreyi aile yakınlarına bile vermediğini belirterek “Şifremin kırıldığını düşünüyorum” dedi ve e-Devlet Kapısı Sistemi’nde yer alan ‘özel’ bilgilere dikkat çekerek “Bu milyonlarca insanı ilgilendiriyor. Kötü niyetli insanlar, sisteme girerek birçok bilgimizi ele geçirebilir” uyarısından bulundu.
Savcılık devrede
Şikayetin yapıldığı Cumhuriyet Savcılığı da konuyla ilgili soruşturma başlattı. Bilgi Teknolojileri Kurumu’yla (BTK) irtibata geçen Savcılık, söz konusu sisteme hangi IP numarasından girildiğinin tespit edilmesini istedi. Yani olayın nasıl gerçekleştiği BTK’dan gelen raporla netlik kazanacak.
Türksat’tan Açıklama Geldi
e-Devlet kapısının geliştirilmesi ve yönetimi Türksat tarafından yapıldığı için, iddiaya karşı açıklamayı (ya da savunmayı) Türksat yaptı. Türksat’ın açıklaması şu şekilde :
“e-Devlet Kapısı sistemlerinde, en yüksek derecede sistemsel, yazılımsal, donanımsal ve fiziksel güvenlik önlemleri alınmaktadır. e-Devlet Kapısı’nı işleten Türksat, ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahiptir. Sertifikanın gerektirdiği denetlemeler her yıl düzenli olarak gerçekleştirilmektedir. e-Devlet Kapısı, Türksat Kurumsal Bilgi ve Siber Güvenlik birimi bünyesindeki sızma testi uzmanları tarafından sürekli olarak test edilmektedir. Ayrıca, bağımsız bilgi güvenliği firmalarınca yapılan güvenlik ve sızma testleriyle düzenli olarak sınanarak, doğrulama testlerinden başarıyla geçmektedir.İlgili haberde bahsedildiği şekilde e-Devlet Kapısı sistemine herhangi bir “hacker” sızması sözkonusu değildir.
Haberde bahsedilen konu, vatandaşımızın e-Devlet Şifresinin, bir başkası tarafından (sistem üzerinden değil) ele geçirilerek e-Devlet Kapısı’nda yer alan iletişim bilgileri sekmesinde kendisine ait olmayan bir telefon numarasının kaydedilmesi olayıdır.Sözkonusu durumun oluşması için birkaç ihtimal bulunmaktadır. Bunlar;
- Kişinin bilgisayarında yer alan bir güvenlik açığı,
- Ortak bilgisayar kullanılması, (internet cafe, işyeri vb.)
- e-Devlet Şifresinin başkasıyla paylaşılması,
Vatandaşlarımız bu gibi durumlarla karşılaştığında savcılığa başvurmaktadır. Savcılık, işlem yapılan tarih ve IP bilgisini talep ederek işlemi yapan kişilere ulaşmaktadır. Bundan önce de benzer olaylarla karşılaşılmış olup savcılıklara gerekli bilgi gönderilerek sorumluların tespit edilmesi sağlanmıştır.
Haberin son paragrafında yer alan kredi başvurusunda bulunulması ve yeni kimlik çıkarılması gibi durumlar söz konusu değildir.
Haberde de belirtildiği üzere IP numarası tespiti ve bu IP’yi kullanan kişi bilgilerinin belirlenmesinden sonra olay açığa kavuşturulacaktır.
e-Devlet Kapısı olarak tüm güvenlik önlemlerini almış olmakla birlikte, kişisel bilgilerinin güvenliği konusunda kullanıcıların da hassasiyet göstermesi gerekmektedir. Teknik olarak tüm önlemler yerinde olsa dâhi, sosyal mühendislik teknikleriyle kişilerin güvenlik zafiyetleri ortaya çıkabilmektedir. Kuruluşumuz için tek bir vatandaşın, basit bir konuyla ilgili bilgisinin dâhi korunması çok önemlidir. Bunun için kullanıcıların e-Devlet Şifrelerini kimseyle paylaşmamaları, tahmin edilmesi zor şifreler kullanmaları şarttır. İşe giriş, kredi, kayıt v.b. işlemler için kendilerinden şifre zarflarını ya da şifrelerini isteyen kişilere itibar etmemeleri gerekmektedir.”
e-Devlet Kapısı Gerektiği Kadar Güvenli Korunuyor mu?
e-Devlet Kapısı, Türkiye’deki kamu kurumlarında vatandaşın yaptığı işlemleri ve sorduğu soruları kapsayacak şekilde oluşturulan sistemin, tek bir noktadan yani “kapıdan” ulaşılabilir hale gelmesi için 2006 yılında devreye alındı. Kapı’nın amacı; “kamu hizmetlerini, vatandaşlara, işletmelere, kamu kurumlarına bilgi ve iletişim teknolojileriyle etkin ve verimli bir şekilde sunmak” olarak veriliyordu.
Bu sistem, vatandaşa olduğu kadar, devlete de zaman ve rahatlık sağlıyor, çünkü vatandaşın örneğin “sigorta günüm ne kadar” gibi soruları ile uğraşmak zorunda kalmıyor. Vatandaş da, neyin ne olduğunu kendisi ve anında takip edebiliyor.
Başbakanlık ve Ulaştırma Bakanlığı’nın sorumluluğundaki sistem, “Türkiye’de en iyi korunan servislerin başında geliyor” şeklinde tanımlanıyor ama sistemin geliştirilmesi de dışarıda yapılmıştı [2]. Daha önceki 50 milyon kişinin kimlik bilgilerinin çalınması olayını Başbakan Binali Yıldırım, “eski olay” diyerek, gerekli ciddiyet ve önemi vermeden “yazılımın geliştirilmesi sırasında çalındığını” şeklinde kaydetmişti. Şimdi benzer bir durum söz konusu mudur? Vatandaş PTT’den aldığı ilk şifreyi değiştirmiş midir? Değiştirmiş olsa da, e-Devlet’te daha önceden bırakılmış ya da sonradan ortaya çıkan bir açık var mıdır? Buraları soru işareti.
Ek olarak, Türksat açıklamasında e-Devlet Kapısı sistemindeki bilgilerle kredi işlemi ya da yeni kimlik çıkarma gibi durumların söz konusu olamayacağı savunuldu. Doğrudur, e-Devlet sisteminden kredi alınmıyor ya da kimlik çıkartılmıyor. Ama online ortamda çalınan bilgilerle, fiziksel ortamda kredi alınması ya da kimlik çıkarılması engellenebilir mi? Emin değiliz. Bu kimlik bilgilerinin çalınma nedenleri arasında, bahsedilen bu tehlikeler yer alıyor. Tüm dünyada..
Devletten biraz daha ciddiyet bekliyoruz.. Anında açıklama yapmak güzel ama bu açıklamanın dayandığı bilgi ve belgeler ya da soruşturmalar da ortaya konulmalı. Aksi takdirde açıklamanın sadece laftan ibaret olduğu düşünülüyor. Bunlar ciddi konular !!!