Sahte diploma soruşturması kapsamında hazırlanan iddianame, çete faaliyetinin sahte diploma ile sınırlı kalmadığını, yetkili kişilerin e-imzalarının elde edilmesiyle diplomadan not yükseltmeye, ehliyetten kredi notuna kadar birçok alanda hukuksuz işlemler yapıldığını ortaya koydu. Peki Türkiye e-imzaya dair ne biliyor, e-imza hakkında neler bilinmesi gerekiyor? Cumhuriyet, bu soruların izini sürdü ve uzmanlara sordu... İşte yanıtlar
1) E-İMZA NASIL ALINIYOR?
Bilişim Suçları Uzmanı Av. Dr. Ceren Küpeli, ıslak imzanın kişiye özel, hukuki geçerliliği olan dijital imza olduğuna dikkat çekerken “Gerçek kişiler, Türkiye’de yetkilendirilmiş elektronik sertifika hizmet sağlayıcılarına başvurarak, kimlik doğrulaması yapıldıktan sonra bu imzayı alabilirler. Özellikle e-Devlet işlemleri, şirket içi yazışmalar ve dijital sözleşmelerde aktif biçimde kullanılmaktadır” dedi.
2) E-İMZA NERELERDE KULLANILIYOR?
E-imzanın evlilik ve nüfus kaydı gibi işlemler dışında ticari sözleşmelerden SGK bildirimlerine, kamu ihalelerinden noter işlemlerine kadar birçok dijital işlemde kullanıldığını vurgulayan Küpeli,
“Eğer e-imza başka biri tarafından yetkisiz şekilde kullanılmışsa, burada hem siber güvenlik açığı, hem de çoğu zaman kurumsal ihmaller vardır. Yaşanan olay, dijital kimlik güvenliğinin yalnızca teknik sistemlerle değil, süreç denetimiyle de doğrudan ilişkili olduğunu açıkça ortaya koyuyor” tespitinde bulundu.
3) ÇETELER E-İMZAYA NASIL ULAŞTI?
Bu çetenin e-imza bayileri aracılığıyla sahte belgeler sunarak kamu görevlileri adına sahte e-imzalar oluşturulduğunu belirten Küpeli, “Asıl zafiyet, başvuru sürecindeki kimlik doğrulama protokollerinde(özellikle biyometrik doğrulamanın eksikliği ve belge doğrulama mekanizmalarının yetersizliği) ortaya çıkıyor” dedi. Küpeli “Ayrıca, hizmet sağlayıcı bayiler üzerindeki denetim süreçlerinin zayıf olduğu da anlaşılıyor” ifadelerini kullandı. Cumhuriyet’e konuşan başka bir siber güvenlik uzmanı ise “Yaşanan siber saldırı değil, hırsızlık. Ölen kişiler üzerinden diploma ekleyip, sonra da bunları kopyalayarak çaldıkları e imzalar üzerinden onaylamışlar” ifadelerini kullandı.
4) ŞİMDİ NE YAPILMALI?
Bu tür vakaların hem teknik hem de kurumsal güvenlik önlemlerini zorunlu kıldığını vurgulayan Bilişim Suçları Uzmanı Av. Dr. Ceren Küpeli, “Alınması gereken başlıca önlemler; e-imza başvurularında biyometrik kimlik doğrulaması zorunlu hale getirilmesi, başvuru sürecinde ikincil teyit mekanizmaları ve kurum içi onay zinciri oluşturulması, hizmet sağlayıcı bayilere yönelik periyodik bağımsız güvenlik denetimleri yapılması ve e-imza üretim ve kullanımına ilişkin anlık bildirim ve izleme sistemleri geliştirilmesidir” dedi. Bu önlemlere ek olarak bireylerin bilgisi dışında e-imza üretilmesi veya kullanılması halinde anında uyarı sistemleri devreye alınmasının önemine değinen Küpeli, “Böylece kullanıcılar dijital kimlikleri üzerindeki kontrolü kaybetmeden müdahale edebilir” dedi. Yaşananların dijital farkındalık eğitimine ihtiyacı da ortaya çıkardığını söyleyen Küpeli, sözlerine şöyle devam etti:
“Bu bağlamda, yalnızca yasa koyuculara değil; özel sektöre, BTK’ye ve tüm hizmet sağlayıcılara önemli sorumluluklar düşmektedir. Dijital kimliğimizin ıslak imzası mahiyetindeki e-imzaların güvenliği, yalnızca bireyin değil; kamu güvenliğinin de temel taşıdır.”
