Bilgi Teknolojileri ve İletişim Kurumu’nda (BTK) ülke genelinde kullanılan tüm elektronik imza (e-imza) şifrelerinin saklandığı veri havuzunun ele geçirildiği ortaya çıktı.
Gazeteci Tolga Şardan son yazısında, geçtiğimiz hafta yaşanan veri havuzunun ele geçirilmesi sonrası kurumda ciddi bir panik havasının hakim olduğunu aktarırken, saldırının kim ya da kimler tarafından gerçekleştirildiğinin henüz belirlenemediğini, olayla ilgili idari inceleme başlatıldığını bildirdi.
BTK'nın e-imza veri tabanının da ele geçirilmesi, Türkiye'deki yüzbinlerce elektronik imza sahibinin şifrelerinin artık başkalarının elinde olması anlamına geliyor.
Skandalın Boyutu
E-imza, 5070 sayılı Elektronik İmza Kanunu’na göre ıslak imzayla aynı hukuki geçerliliğe sahip olan ve dijital ortamda kimlik doğrulaması için kullanılan elektronik veri durumunda. Kişiye özel üretilen, rakam ve harflerden oluşan uzun bir dijital koddan oluşan e-imza sistemi; genellikle USB ya da akıllı kart üzerinden çalışıyor. Resmî kurum başvurularından bankacılığa kadar birçok işlemde kullanılıyor ve sahibini teknik olarak inkâr edilemez biçimde temsil ediyor.
Veri tabanının ele geçirilmesiyle birlikte e-imzalı işlemler ve e-imza sahiplerinin güvenliği büyük tehlike altına girmiş durumda.
Uzmanlara göre, veri tabanının dış saldırılara karşı savunmasız bırakılması, açıkça sistemin korunmasına yatırım yapılmadığını gösteriyor. BTK’nın gerekli siber güvenlik önlemlerini almadığı, bu nedenle ülke çapında bir güvenlik krizine yol açtığı dile getiriliyor.
Suç Örgütlerinin E-İmza Sistemiyle Sahte Belge Ürettiği Ortaya Çıkmıştı
Kısa süre önce Ankara Cumhuriyet Başsavcılığı’nın yürüttüğü soruşturmada, suç örgütlerinin e-imza sistemi üzerinden sahte üniversite diploması ve sürücü belgesi ürettikleri ortaya çıkmıştı. Kurumun veri güvenliği konusundaki zaafları tartışma yaratmıştı.
E-İmza Kullanıcıları Büyük Risk Altında
E-imza şifrelerini ele geçiren kişi veya gruplar, sahte evrak üretiminden banka işlemlerine, resmi başvurulardan kurumsal süreçlere kadar sayısız alanda kullanıcıların yerine işlem yapabilecek. Bu da hem vatandaşlar hem şirketler hem de devlet kurumları için eşi görülmemiş büyük bir tehdit demek.
Türkiye’nin dijital altyapısında eşi benzeri görülmemiş bir güvenlik açığı yaşanıyor. Kamuoyu, BTK’nın ülke genelindeki tüm e-imza kullanıcılarını riske atan bu fiyaskonun sorumluluğunu nasıl üstleneceğini merakla bekliyor.
BTK'dan Yalanlama Geldi
Bilgi Teknolojileri ve İletişim Kurumu (BTK), sosyal medya hesabından yaptığı açıklamada e-imza havuzunda veri sızıntısı yaşandığı bilgisinin gerçeği yansıtmadığını duyurdu.
Açıklamada, Türkiye’de kullanılan tüm elektronik imzaların BTK tarafından yetkilendirilen 8 Elektronik Sertifika Hizmet Sağlayıcı (ESHS) tarafından üretildiği hatırlatıldı. BTK’nın yalnızca denetleme ve düzenleme yetkisine sahip olduğu vurgulanırken, her bir nitelikli elektronik sertifikanın yalnızca sahibinin elindeki USB cihazda bulunduğu ifade edildi.
BTK, e-imza sahiplerine ait pin kodları veya kişisel verilerin kurum bünyesinde tutulmadığını belirtti. ESHS’lerin ise sadece başvuru sırasında sağlanan kişisel verilere erişimi bulunduğu kaydedildi. Açıklamada, Türkiye’deki e-imzalara ait bilgilerin toplu halde herhangi bir veri havuzunda bulunmadığı vurgulandı.
