Ülkemizde uzun süredir tartışma konusu olan e-imza konusunda henüz bir yasa çıkarılamadı. Ancak Merkez Bankası dahil, dijital imza kullanan kişi ve kurumların sayısı her geçen gün artmakta. Devlet, özel sektör ve bütün sektörleri kapsayan müşterilere sunucu ve yazılım sertifikası verdiklerini söyleyen Tursign Genel Müdürü Mete Varas, turk-internet.com’un sorularını yanıtladı.
AB’nin elektronik imza konusunda çıkarmış olduğu 99’a 93 no’lu yönergenin içeriği nedir?
Mete Varas : AB’nin çıkarmış olduğu direktif genel olarak sertifikaların, sertifika mercilerinin, imzalama ve onaylama araçlarının minimum gerekliliklerini ve üye ülkeler arasındaki uyumun sağlanmasını amaçlamıştır. Bu yönerge çıkarılmadan önce bazı ülkelerde (Almanya, İtalya gibi) uygulanan yasalar vardı. Avrupa Birliği yönergesi, bunların üzerinde üye ülkeler arasındaki uyumun sağlanması amacıyla çıkarılmış ve 17 Temmuz 2001’de bütün üye ülkelerde aynı anda yürürlüğe girmiştir.
Ülkemizde elektronik imza ile ilgili yasanın son durumu nedir?
Varas : Türkiye’de, bunun üzerinde farklı birkaç kurum çalışıyor. Adalet Bakanlığı’nın bir taslak hazırladığını biliyorum. Son olarak da ETTK müdür yardımcısının “AB yönergesi ile uyumlu bir elektronik imza yasası çıkarmak için çalışmalar yapıyoruz” şeklinde basına yapmış olduğu bir beyan var. Hedeflerin bu şekilde olması bizleri sevindiriyor ancak ülke olarak diğer alanlarda olduğu gibi bu konuda da yeterince hızlı davranmadığımızı, gerek global, gerekse diğer AB adayı ülkeler ile olan rekabetimizde geride kaldığımızı söyleyebilirim. Örneğin, bir süre önce GlobalSign’ın Bulgaristan hükümeti ile yaptığı anlaşmanın basın bülteninde, bu anlaşma ile Bulgarsitan’ın hem NATO hem AB ile olan ilişkilerinde bir kilometre taşı olarak kabul edileceğini, bunun altyapısının da Bulgaristan parlementosunun geçen Mart ayında kabul ettiği Elektronik İmza Yasa tasarısıyla sağlandığı söyleniyordu.
Türkiye’de 1999 yılından beri bu hizmeti veren ilk ve tek kurum olarak hem bizim, hem de GlobalSign’ın yasal, teknik ve operasyonel alanlardaki derin bilgi ve tecrübelerinden ülkemizin çok daha fazla yararlanması gerektiğini düşünüyorum.
Avrupa Birliği’ne aday ülke olmamızın bizi bir şekilde disipline edeceğini düşünüyorum. AB’ye sunduğumuz ulusal programda orta vadede elektronik ticaretle ilgili düzenlemeler var. Elektronik imza yasası bunların başında gelmeli.
Bu konuda geç kalmış olmamız bir avantaj mıdır?
Varas : Bilişim 2001’de yapılan Telekom Forumu’na davet ettiğimiz GlobalSign’ın danışmanlarından Johan Sys, bugünkü duruma baktığında aslında Türkiye’nin geç kalmış olmasının avantaj olarak da kabul edilebileceğini, Almanya gibi ülkelerin çok önce davranarak geçirdiği ancak neredeyse üç kez değişikliğe uğrayan yasal süreçleri hızla atlayabileceğini belirtti. Ancak burada önemli olan, bundan sonraki adımlarda kararlı, hızlı ve global bir yasanın çıkarılması ve uygulanması.
Sizin fikriniz nedir
Varas : Hedefimizin ne olduğunu biliyor muyuz, büyük resime bakabiliyor muyuz önemli olan bu. Bana, ülkemizde yapılan uygulamalar (daha doğrusu uygulamamalar) “Türkiye’de digital sertifika gibi bir buluş yapıldı, onun için önce X senelik bir deneme süresinin geçmesi lazım“ havası veriyor.
Henüz internet için geliştirilmiş bir yasamız yok, e-imza yasası çıktığında yasal boşluklar doğacak mı, bu durumda ne tür sakıncalar yaşanabilir?
Varas : Hukuk dediğiniz, toplumla ve hayatla beraber gelişen, kendini ona göre adapte eden bir olgu. İnternet için ayrı ve özel bir yasanın olması şart mı, o da ayrıca tartışılması gereken bir olgu. Ben hukukçu değilim ama anladığım kadarıyla yasal boşluktan kastınız, şöyle bir durum olabilir. Eğer kişinin bilgisayarı yoksa ve o şirket bütün iletişimini elektronik olarak yapıyorsa burada sorunlar çıkabilir. Örneğin “ben size faturanızı e-mail ile göndermiştim zaten“ gibi.. ABD’de yasa konusunda tartışmanın büyük bölümü tüketici haklarını koruma derneklerinden gelmişti.
Türkiye buna hazır mı?
Elektronik imza ne kadar güvenlidir, ne tür sorunlar yaşanabilir?
Varas : Elektronik ortama geçtiğimiz zaman, önceki uygulamalardan daha güvenli olduğunu göreceksiniz. Bunu size garanti edebilirim. Kağıt üzerindeki dökümanların kaybolma riski burada yoktur. Ancak, dijital setifikaların nereden alındığından kaynaklanan sorunlar olabilir.
Türkiye’de kaç tane sertifika otoritesi var ?
Varas : Türkiye’de yok. 1999 yılının başından itibaren ilk ve tek Sertifika ve Kayıt Mercii olarak hizmet vermekteyiz. Ancak daha önce de bahsettiğim gibi sertifikayı online olarak aldığınız için bunu dünyanın herhangi bir yerindeki merciden de alabilirsiniz. Burada önemli olan o sertifika merciinin kim olduğu, hangi yasa ve normlara göre hareket ettiği, sertifika uygulama prosedürlerinin (CPS) nasıl ve nerede olduğu gibi bir çok unsur vardır. Tarafsız ve Güvenilir bir Sertifika Mercii olarak, bizim aynı zamanda yaptığımız sertifikayı verdiğimiz kurumun gerçekten o olduğunun kontrollerini yapmak ve garanti etmektir. Böylece gerek gittiğiniz Web ya da Wap sitesinin gerekse e-mail mesajını aldığınız kişinin ardında gerçekten kim olduğunu size ve üçüncü kişilere karşı garanti ederiz.
Henüz yasa çıkmamış olmasına rağmen, kredi kartlarındaki uygulama gibi elektronik imza da kullanılıyor değil mi?
Türkiye’de kaç sertifika verdiniz?
Varas : Ne tür sertifikadan bahsettiğinize bağlı. Sertifikalar kişisel, sunucu, obje yazılım ve WAP sunucu sertifikaları olarak birden fazla çeşitli. Türkiye’de son döneme kadar ağırlıklı olarak sunucu sertifikası vermiştik. Ancak şirketlere sunduğumuz, kendi sertifika merciilerini kurmalarına yarayan Sanal SM hizmeti ile kişisel sertifikalarda da büyük artışlar olmaya başladı.
Bu sertifikaların ücretleri hakkında bilgi verir misiniz?
Kurumlar kendi digital sertifika altyapılarını kurabilecekler mi? Bu işlem tek bir merkezden mi yapılacak/yapılmalı mı?
Varas : Kurumlar kendi sertifika mercilerini kurabilecekler. Çünkü hem kendi çalışanlarının, iş ortakları ya da müşterilerinin güvenli iletişim kurmalarını isteyecekler hem de şu anda kullanılan kullanıcı adı ve şifre gibi çok düşük seviyeli güvenlik mekanizmalarından kurtulmak isteyecektir. Bunun için gerekli yazılımları üreten birçok şirket mevcuttur. Ancak bu altyapıyı kurmak için sadece yazılımı almak yetmiyor, ayrıca bunu yönetecek eleman, en yüksek güvenlik seviyesinde korunan fiziksel mekan, global uyumluluk vs. gibi bir çok faktörü de göze almak gerekiyor. Diğer bir yol ise, bizim gibi tarafsız ve güvenilir uluslararası sertifika mercilerinden bu hizmeti almak. Bunun avantajı kurumların çok düşük maliyet ile herhangi bir yazılım, donanım ve eleman maliyetine girmeden en kısa zamanda bu altyapıya sahip olmasıdır. Zaten son dönemde dünyadaki trende paralel olarak “Sanal Sertifika Mercii“ adlı bu hizmetimize talep giderek artmaktadır. Bunların tek bir yerden verilmesi gibi model hiç bir yerde yoktur ve mümkün de değildir.
Bu bir kargaşa yaratmaz mı ?
Varas : Onun yöntemleri var. Sertifika Mercii’lerinin hangi spesifikasyonlara göre hizmet vereceği yasalar ile belirlenir. Önceleri ilk dönemlerde bankalar ve ticaret odaları biraraya gelerek bir mercii yaratmaya çalışmışlardı. Amerika modelinde, diğer ülke modellerinden farklı olarak bir federal kurum belirlenmiş diğerleri onun altına girmişti ancak bu çalışmadığından Avrupa modeline dönme kararı aldılar.
Elektronik imza konusunda devlette yetkili merci kimdir?
Varas : Türkiye’de yasa daha geçmediği için böyle bir şey yok şu anda. Bildiğimiz AB’nin e-imza yönergesi ile uyumlu bir yasanın çıkacağı. Almanya ve İtalya gibi erken yasalar çıkaran ülkelerin tecrübelerinden, gerek Amerika gerekse AB’nin e-imza yönergesinde dikkat edilen en önemli nokta özel sektörün ve ticaretin kuralları olmadan bu yasaların var olmadığı.
Sertifika almak için gereken prosedürler nelerdir?
Varas : www.globalsign.com.tr adresinden sertifika başvurusunu yapan kişi yada kurum, gerek sertifikada gözükecek gerekse bizim kontrollerini yapacağımız bir takım bilgiler girer. Daha sonra kendisinden bu bilgileri kanıtlayacak belgeler istenir. Örnek vermek gerekirse: Kişisel Sertifika için pasaport ya da nüfus kağıdı, Sunucu Sertifikaları için imza sirküsü, ticaret sicil gazetesi kaydı, faaliyet belgesi, vergi levhasıdır. Bütün bunları ve başka unsurları kontrol ettikten sonra doğru ise gerekli işlemleri yapıyor ve sertifikayı teslim ediyoruz. Ayrıca GlobalSign’ın bütün dünyadaki Kayıt Mercii’leri de aynı onaylama prosedürlerini takip etmektedir.
Uygulama nasıl oluyor?
Varas : Kişisel sertifika almışsanız, e-postanızı sertifika ile birlikte kullanıp bütün yazışmalarınızı imzalı ve şifreli olarak yapabilirsiniz. Şöyle anlatmaya çalışayım, diyelim ki mesaj programı olarak outlook express kullanıyorsunuz. Sertifikalı mesajlarda kurdela gibi bir işaret görürsünüz ve oraya tıklandığında gelen kişinin sertifikasını görürsünüz. Sertifikada görünen bilgiler o kişinin isim, soyadı, e- mail adresi, ülkesi, sertifikanın geçerlilik süresini ve hangi sertifika mercii tarafından yayınlandığını gösterir. Bu işlemi ister otomatik, ister her defasında seçmek üzere manuel yapabilirsiniz. Eğer iki tarafta da sertifika varsa gönderilen mesaj şifreli gideceğinden içerik değiştirilemez, başkası tarafından okunamaz ve sadece alıcı açabilir. Yani alıcı kimse, yazdığınızı bir tek o açabilir. Ya da onun özel anahtarını çalan kişi açabilir.
Biraz da PKI teknolojisinden bahsedelin, nedir bu PKI?
Varas : PKI (Public Key Infrastructure) bir güvenlik mimarisidir, “Anonim Anahtar Altyapısı”dır. 20 seneden beri var olan ve temeli kriptografi olan bu teknoloji: İnternet, intranet, extranet gibi açık ortamlarda iletişimin ve işlemlerin güvenli ve güvenilir şekilde yapılmasını sağlamak amacıyla kullanılmaktadır. Sertifika başvurusu yapılırken iki tane anahtar oluşur ve bunlardan biri anonim, diğeri özel anahtardır ve biri şifrelerken diğeri deşifre ederek çalışır.
İki ülke arasında olası bir iş birliği durumunda tek ülkede elektronik imza uygulanıyor, diğerinde uygulanmıyorsa nasıl bir prosedür izlenecek?
Varas : Bu tamamen tarafların arasında yaptığı sözleşmenin hükümlerine bağlı.
Anlaşmazlık çıktığında nereye başvurulacak ?
Varas : Hangi ülke yasalarına göre kabul edileceği yine taraflar arasındaki anlaşmaya bağlıdır. Karşı taraf ile yaptığınız sözleşmede bunu Türkiye olarak seçebileceğiniz gibi ABD, İngiltere, Şili vs.’ de seçebilirsiniz.
Ayrıca son dönemde sadece internet üzerinde oluşan uyuşmazlıkları çözmek için oluşmuş ve uzmanlaşmış arbitrasyon kurumlarını da görüyorum.
AB ile ABD yasaları bir standart oluşturacak mı? Daha da öenmlisi küresel bir yasa oluşacak mı?
Varas : Standart bir yasa oluşacak mı sorusunu herkes düşünüyor sanırım. Kaldı ki bu konuda uluslararası kurumlar da çalışmalar yapmakta. Birleşmiş Milletler, Dünya Ticaret Örgütü, OECD’yi buna örnek gösterebiliriz. Ancak AB ile ABD arasında tek fark elektronik imza yasasından kaynaklanmıyor. AB’nde kişisel bilgilerin korunması ve gizlilik yasal bir zorunluluk iken ABD’de tarafların kendi insiyatifinde. Burada her ülkenin Temel taşlarda bir yasanın uygulama açısından herhangi bir farklılığı yok. Burada önemli olan, sertifikaların kişiler tarafından alındıktan sonra nereden alındığı, bunu veren kurumların herhangi bir şekilde hem lokal hem global dünyada aynı standartlara göre kabul olması gerektiği.
Globalsign ismi buradan mı geliyor, tüm dünyada global bir merci olmak gibi bir hedef mi taşıyorsunuz?
Varas : Ilginç bir soru bu. Şirket ilk olarak Belçika’da BelSign ismi ile kuruluyor. Bir yıl sonra bakılıyor ki yapılan başvurunun %98’i Belçika dışından geliyor ve sonrasında GlobalSign olarak değiştiriliyor. Ilk başta Pan-Avrupa Sertifika Mercii Ağı olarak kurulan şirket şu anda 22 ülkeden oluşan ve Latin Amerika’dan, Asya’ya kadar uzanan global bir oyuncu konumunda. Bu arada TurSign olarak biz GlobalSign’ın ağına dahil olan ilk ülkelerden biriyiz.
Dijital Sertifikalar ne gibi kolaylıklar sağlayacak?
Varas : Öncelikle maliyetlerde çok büyük bir tasarruf sağlanacak. Zamandan büyük ölçüde kazanç sağlayacağınız gibi güvenli arşivleme yapabilecek, güvenli iletişim ve işlemler gerçekleştirebileceksiniz. Uygulama alanları ise çok çeşitli, vergi beyannamelerinizi, sigorta hasarlarınızı, raporlarınızı, ya da herhangi bir alım-satım işlemlerinizi vs… yasal bağlayıcı olarak internet üzerinden yapabilirsiniz.
Elektronik noterler olacak mı?
Şirket Hakkında Bilgi :
1999 yılında kurulan TurSign “Internet Güven Hizmetleri” konusunda Türkiye ve bölgenin lider kuruluşudur. Kurulduğu günden itibaren dünyanın yüksek teknoloji üreten şirketleri ile ortaklıklar gerçekleştiren TurSign Avrupa ve dünyanın lider Sertifika Mercii GlobalSign’ın Türkiye Kayıt Mercii olarak kişi, kurum ve hükümetlere dijital sertifikalar konusunda komple hizmetler sunmaktır.
TurSign ayrıca elektronik imza ve onay yönetimi sistemi Silanis, dünyanın en hızlı “yeni nesil SSL Hızlandırıcısı” AEP, internet “Altyapı İstihbaratı Sağlayıcısı” Quova, Visa’nın yeni global ödeme programı 3-D Secure’ün dünyadaki ilk ve tek uygulayıcısı ve yine dünyanın yazılım bazlı tek akıllı kart sağlayıcısı Arcot’un Türkiye ortağı olarak görev yapmaktadır.
Şirket ortaklıkları, sahip olduğu yasal, operasyonel ve teknoloji alanlardaki tecrübelerini yurt içi ve dışındaki müşterilerine sunan TurSign ayrıca Crea-world Istanbul’un Teknoloji ortağıdır. Müşterilerinde bazıları T.C. Merkez Bankası, Turkcell, Başarı Telekom, Alcatel, IBM Turk, Maliye Bakanlığı,.. sayılabilir.
