Sahte diploma soruşturması kapsamında hazırlanan iddianame, çete faaliyetinin uydurma diploma ile sonlu kalmadığını, yetkili bireylerin e-imzalarının elde edilmesiyle diplomadan not yükseltmeye, ehliyetten kredi notuna kadar birçok alanda hukuksuz süreçler yapıldığını ortaya koydu. Pekala Türkiye e-imzaya dair ne biliyor, e-imza hakkında neler bilinmesi gerekiyor? Cumhuriyet, bu soruların izini sürdü ve uzmanlara sordu… İşte yanıtlar
1) E-İMZA NASIL ALINIYOR?
Bilişim Cürümleri Uzmanı Av. Dr. Ceren Küpeli, ıslak imzanın şahsa özel, hukuksal geçerliliği olan dijital imza olduğuna dikkat çekerken “Gerçek bireyler, Türkiye’de yetkilendirilmiş elektronik sertifika hizmet sağlayıcılarına başvurarak, kimlik doğrulaması yapıldıktan sonra bu imzayı alabilirler. Bilhassa e-Devlet süreçleri, şirket içi yazışmalar ve dijital kontratlarda etkin biçimde kullanılmaktadır” dedi.
2) E-İMZA NERELERDE KULLANILIYOR?
E-imzanın evlilik ve nüfus kaydı üzere süreçler dışında ticari kontratlardan SGK bildirimlerine, kamu ihalelerinden noter süreçlerine kadar birçok dijital süreçte kullanıldığını vurgulayan Küpeli,
“Eğer e-imza diğer biri tarafından yetkisiz biçimde kullanılmışsa, burada hem siber güvenlik açığı, hem de birçok vakit kurumsal ihmaller vardır. Yaşanan olay, dijital kimlik güvenliğinin sırf teknik sistemlerle değil, süreç kontrolüyle de direkt alakalı olduğunu açıkça ortaya koyuyor” tespitinde bulundu.
3) ÇETELER E-İMZAYA NASIL ULAŞTI?
Bu çetenin e-imza bayileri aracılığıyla geçersiz dokümanlar sunarak kamu vazifelileri ismine uydurma e-imzalar oluşturulduğunu belirten Küpeli, “Asıl zafiyet, müracaat sürecindeki kimlik doğrulama protokollerinde(özellikle biyometrik doğrulamanın eksikliği ve evrak doğrulama düzeneklerinin yetersizliği) ortaya çıkıyor” dedi. Küpeli “Ayrıca, hizmet sağlayıcı bayiler üzerindeki kontrol süreçlerinin zayıf olduğu da anlaşılıyor” sözlerini kullandı. Cumhuriyet’e konuşan diğer bir siber güvenlik uzmanı ise “Yaşanan siber taarruz değil, hırsızlık. Ölen bireyler üzerinden diploma ekleyip, sonra da bunları kopyalayarak çaldıkları e imzalar üzerinden onaylamışlar” sözlerini kullandı.
4) ARTIK NE YAPILMALI?
Bu cins olayların hem teknik hem de kurumsal güvenlik tedbirlerini mecburî kıldığını vurgulayan Bilişim Kabahatleri Uzmanı Av. Dr. Ceren Küpeli, “Alınması gereken en önemli tedbirler; e-imza müracaatlarında biyometrik kimlik doğrulaması zarurî hale getirilmesi, müracaat sürecinde ikincil teyit sistemleri ve kurum içi onay zinciri oluşturulması, hizmet sağlayıcı bayilere yönelik periyodik bağımsız güvenlik kontrolleri yapılması ve e-imza üretim ve kullanımına ait anlık bildirim ve izleme sistemleri geliştirilmesidir” dedi. Bu tedbirlere ek olarak bireylerin bilgisi dışında e-imza üretilmesi yahut kullanılması halinde anında ihtar sistemleri devreye alınmasının değerine değinen Küpeli, “Böylece kullanıcılar dijital kimlikleri üzerindeki denetimi kaybetmeden müdahale edebilir” dedi. Yaşananların dijital farkındalık eğitimine muhtaçlığı da ortaya çıkardığını söyleyen Küpeli, kelamlarına şöyle devam etti:
“Bu bağlamda, sırf yasa koyuculara değil; özel kesime, BTK’ye ve tüm hizmet sağlayıcılara kıymetli sorumluluklar düşmektedir. Dijital kimliğimizin ıslak imzası mahiyetindeki e-imzaların güvenliği, sadece bireyin değil; kamu güvenliğinin de temel taşıdır.”
