Üst düzey yetkililerin e-imzasını kopyalayarak resmi sistemlere yetkisiz erişim sağlandığı ve sahte diploma üretildiğini ortaya çıkaran soruşturmanın etkileri sürüyor.
Ankara Cumhuriyet Başsavcılığı tarafından hazırlanan iddianameye göre, sahte e-imza aracılığıyla 57 sahte üniversite diploması, 4 sahte lise diploması ve 108 sahte sürücü belgesi üretildiği tespit edildi.
Dosya kapsamında şu ana dek 220 kişi hakkında işlem yapıldı, 199 şüpheli hakkında kamu davası açıldı.
Cumhurbaşkanlığı İletişim Başkanlığı Dezenformasyonla Mücadele Merkezi’nin 6 Ağustos’taki açıklamasına göre, şu ana dek 35 kişinin e-imzasının kopyalandığı tespit edildi.
Bunların arasında Bilgi Teknolojileri ve İletişim Kurumu (BTK) Başkanı gibi üst düzey kamu yetkilileri de bulunuyor.
Cumhurbaşkanı Yardımcısı Cevdet Yılmaz ise 8 Ağustos Cuma günü X hesabından yaptığı açıklamada, “sahte e-imzalar üzerinden yapılan işlemler ve sahte diplomalar üzerinden yürütülen tartışmalar, manipülasyonların bir parçası olarak kullanılmak istenmektedir” dedi.
Peki, elektronik imza sahteciliği ile hangi işlemler yapılabilir? Vatandaşlar elektronik imzalarını nasıl koruyabilir?
Elektronik imza nedir?
Elektronik imza, kamu ve özel sektördeki birçok resmi işlemde, hukuken ıslak imza kadar geçerli bir dijital kimlik doğrulama aracı.
Elle atılan ıslak imzayla yapılan her türlü resmi işlemin, internet üzerinden yapılmasına imkan veriyor.
Dolayısıyla kullanım alanı oldukça geniş:
- Vergi beyannamesi, SGK bildirimi, adli sicil kayıt başvurusu
- Tapu ve noter işlemleri, elektronik imzalı vekâletnameler, elektronik ihale (e-ihale) süreçleri
- UYAP üzerinden gerçekleştirilen dava açılış işlemleri gibi yargısal işlemler
- E-fatura, sözleşme ve resmi evrak onayları, kullanıcı kimliği doğrulama işlemleri.
Ayrıca, kamu ve özel sektörde elektronik belge yönetimi sistemlerindeki (EBYS) kimlik doğrulama işlemlerinde de e-imza kullanılabiliyor.
BBC Türkçe’ye konuşan Bilişim Uzmanı Füsun Nebil Sarp, “Islak imzayla yaptığımız her türlü işlem e-imza ile de yapılabilir. Fiziksel olarak gidemediğiniz yerlerde, internet üzerinden imza atabilirsiniz” diyor.
Kamu kurumu personel ve yöneticileri açısından ise durum biraz daha karmaşık.
Diploma düzenlemek, ehliyet vermek ve e-devlet sistemine veri girişi yapmak gibi pek çok idari işlemde e-imza kullanılabiliyor.
Dolayısıyla kamu kurumlarındaki yetkililer tarafından e-imza ile imzalanan belgeler, resmi belge niteliği taşıyor.
E-imza nasıl alınır?
Kamu personeli ya da sivil vatandaş fark etmeksizin, herkes elektronik imza sahibi olabilir.
BTK tarafından e-imza vermek üzere yetkilendirilmiş bir Elektronik Sertifika Hizmet Sağlayıcı (ESHS) şirkete başvuruda bulunmak yeterli.
Vatandaşlar herhangi bir şirketten ücreti karşılığında bu hizmeti alabilirken, kamu çalışanları ise TÜBİTAK’a bağlı Kamu Sertifikasyon Merkezi tarafından sağlanan elektronik imzaları kullanıyor.
Bilişim uzmanı Sarp, vatandaşlar açısından elektronik imza edinme sürecini şöyle açıklıyor:
“Bu bir çeşit abonelik türüdür. Elektronik imzanızı belli bir süreliğine, ücreti karşılığında, yetkilendirilmiş firmalardan satın alırsınız.”
“Bu yazılım size USB [bellek çubuğu ]ile verilir ve bilgisayarınıza kurmanız gerekir. E-imzayı kullandığınız veri tabanıyla haberleşerek, e-imzanın size ait olduğunu onaylar.”
Sarp, tüm kamu çalışanlarının elektronik imzasının ise herhangi bir özel şirket dahli olmaksızın, doğrudan Kamu Sertifikasyon Merkezi tarafından hazırlandığını belirtiyor.
Yetkilendirilmiş kuruluşların rolü ne?
Elektronik Sertifika Hizmet Sağlayıcısı şirketler; elektronik imzanın teknik olarak hazırlanmasını, güvenliğini, doğruluğunu ve sürdürülebilirliğini sağlıyor.
Ankara Cumhuriyet Başsavcılığının soruşturmasında ise, sahte e-imzaların elektronik sertifika sağlayıcı iki kuruluş aracılığıyla gerçekleştiği belirtiliyor.
Peki, bu şirketler nasıl çalışıyor ve denetleniyor?
BBC Türkçe’ye konuşan Siber Suç Uzmanı Av. Dr. Ceren Küpeli, bu şirketlerin, “teknik altyapı yeterliliği, bilgi güvenliği sertifikasyonu, personel güvenliği ve süreç yönetimi” gibi kriterleri karşılamaları halinde BTK tarafından yetkilendirildiklerini söylüyor.
İlgili yasa gereği, e-imza sertifika sağlayıcı şirketlerin hem merkez hem de şubelerinin;
- kimlik kontrol protokollerine uyulup uyulmadığı,
- sertifika teslim prosedürlerinin güvenliği,
- iptal ve yenileme taleplerinin zamanında işlendiği,
- personel eğitimi ve log kayıtlarının tutulup tutulmadığı konularında,
BTK tarafından düzenli olarak denetlenmesi gerekiyor.
Küpeli, “BTK tarafından gerçekleştirilen denetimin kapsamına, ilgili sistemdeki kullanıcı izleri ve log kayıtlarının düzenli olarak izlenebilmesi için, detaylı sızma testi de eklenebilir” diyor.
Vatandaşlar kendisini nasıl koruyabilir?
Küpeli, e-imzanın çalınması halinde vatandaşların pek çok ciddi sorunla karşılaşabileceğini ifade ediyor:
- Kişi adına sahte sözleşmeler imzalanabilir,
- Resmi kurumlara yanlış beyanda (vergi beyanı, e-ihale başvurusu gibi) bulunulabilir,
- Hatalı/yalan beyanlar sonucunda idari para cezalarıyla karşılaşılabilir,
- E-imzası çalınan kişinin, kişisel verilerinin ifşa edilmesi söz konusu olabilir,
- E-imza kullanılarak işlenen bir suçta (örneğin dolandırıcılık, resmi evrakta sahtecilik) imza sahibi şüpheli konumuna düşebilir.
Buna karşı alınabilecek kişisel tedbirleri ise şöyle sıralıyor:
- E-imza başvurusu sonrasında verilen USB veya akıllı kart gibi donanımı güvenli yerlerde saklamak,
- E-imza PIN kodunun gizliliğini sağlayarak hiçbir koşulda başkalarıyla paylaşmamak,
- Cihazlarında güncel antivirüs yazılımı kullanmak,
- ESHS ve ilgili Kurumlardan gelmiş gibi gösterilebilecek şüpheli e-postalara veya taleplere karşı dikkatli olmak,
- Sertifikanın çalındığını düşünüldüğünde derhal iptal talebinde bulunmak,
- Şüpheli durumlarda ESHS ile hızlı iletişim kurmak,
- E-imza kullandığı sistemlerde çift faktörlü kimlik doğrulamayı aktif hale getirmek,
- ESHS’den gelen bildirimleri takip etmek ve sertifikanın kullanım süresi dolmadan yenileme işlemini yapmak.
Bunlara ek olarak, E-devlet üzerinden “Nitelikli Elektronik Sertifika Sorgulaması” ile kişinin adına üretilmiş bir e-imza olup olmadığı sorgulanabiliyor.
Küpeli, “Vatandaşlar bu e-imzaların geçerlilik durumlarını ve iptallerini, Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) üzerinden gerçekleştirebilirler” diyor.
Ayrıca, e-imza ile imzalanan belgelerin doğruluğunun “imza doğrulama” araçları ile teyit edilebildiğini kaydediyor:
“E-imza ile yapılan işlemler sonucunda, ortaya çıkan belgelerde imzacı bilgileri ve zaman damgası detayları incelenerek e-imzanın kullanılıp kullanılmadığı tespit edilebilir.”
Hangi tedbirler alındı?
BTK’nın 14 Ocak 2025 tarihli kararına göre, sertifika sağlayıcı şirketlerin e-imza başvurusunda bulunan kişilere “kısa mesaj ile bilgilendirme yapması” zorunlu hale getirildi.
Örneğin, bir kişi kimlik numarası ile e-imza başvurusu yaptığında, kendisine aşağıdaki SMS gönderiliyor:
“[XX] kimlik numarası ile [ESHS unvanı]’de adınıza nitelikli elektronik sertifika başvurusu yapılmıştır. Güvenli elektronik imza oluşturmak için kullanılan nitelikli elektronik sertifika başvurusu, bilginiz/iradeniz dışındaysa [BTK İletişim Bilgisi] ile iletişime geçiniz.”
Karara göre, bu mesajın gönderilmesinden 6 saat sonra e-imza tanımlama işlemi gerçekleştirilebiliyor.
Küpeli, bu karar sayesinde, kötü niyetli kişilerin sahte başvuru yapmaları durumunda vatandaşların anlık olarak haberdar olabileceğini söylüyor:
“Bu karar, vatandaşların e-imza güvenliğinin artırılması açısından önemli bir adım olup, özellikle kimlik hırsızlığına karşı erken farkındalık ve müdahale imkânı yaratacaktır.”
“Ayrıca aktif NES (nitelikli elektronik sertifika) sahiplerine, kimlik numaraları üzerinden ESHS’lerce herhangi bir elektronik imza üretimi yapılırsa benzer şekilde SMS ile bilgilendirme yapılması ve kullanıcıların sertifikalarının kullanım geçmişini kontrol edebileceği e-Devlet entegrasyonlarının sağlanması da karara bağlanmıştır.”
Sarp’a göre ise bu önlemlerin alınması konusunda “oldukça geç kalındı”.
Hangi ihmaller sözkonusu olabilir?
Peki, iddianamede yer alan tespitlere göre, e-imza sisteminde hangi ihmaller söz konusu olabilir?
Uzmanlara göre bu sorunun yanıtını şimdiden verebilmek oldukça zor; çünkü ortada ispatlanmamış pek çok iddia ve ihtimal bulunuyor.
Küpeli, muhtemel bazı senaryoları şöyle sıralıyor:
“Sertifikanın özel anahtarının korunamaması, bilgisayarda zararlı yazılım bulunması ve iki aşamalı koruma veya cihaz sınırlaması yapılmaması gibi hallerde, siber güvenlik açıkları kapsamında meydana gelmiş olabilir.”
“Bunun yanı sıra, ESHS bayilerinin kimlik kontrolü yapmadan e-imza teslim etmeleri, işverenin çalışan adına e-imza alıp şifreyi paylaşması ve sertifika iptal sürecinin ihmal edilmesi (örneğin işten çıkan bir personelin sertifikasının iptal edilmemesi) gibi hallerde de yetkisiz e-imza kullanımları gerçekleşmiş olabilir.”
Küpeli, kamu kurumlarının ilgili mevzuat gereği kritik görevlerdeki personel için kimlik ve ehliyet denetim mekanizmalarını uygulamakla yükümlü olduğunu belirtiyor.
Küpeli, “Bu mekanizmaların işletilmemesi, sadece bir güvenlik açığı değil; aynı zamanda idari sorumluluk doğuran bir ihmaldir” diyor.
Yasal mevzuat yeterli mi?
Küpeli, devletin siber güvenliği konusunda çok sayıda detaylı ve etkili müdahaleler öngören yasaların olduğunu söylüyor:
“Bu konudaki yasal düzenlemelerimiz birçok ülke tarafından parmakla gösterilebilecek düzeyde titizlikle hazırlanmıştır. Sorun yasal düzenleme eksikliği değildir.”
“İhtiyaç olan bu mevzuatların uygulatılması, çok sıkı denetlenmesi ve en ufak bir ihlal tespitinde log kayıtları üzerinden muhatabına yönelik anlık ve ağır yaptırımlar ile müdahale edilmesidir.”
Yaşananların yalnızca diploma sahteciliği olmadığını söyleyen Küpeli, “bilgi güvenliği, kamu güvenliği ve kişisel veri güvenliği açısından” çalışma yapılması gerektiğini belirtiyor:
“Kritik altyapı sağlayıcıları dahil tüm kamu kurumlarının, yalnızca teknik önlemlerle değil, hukuki doğrulama ve personel güvenliği alanında da kapasitelerini güçlendirmesi gerekiyor.”
“Bu ihlallerle mücadelede öncelikle ele almamız gereken sorunlardan biri, sahte telefon hatlarıdır. Sahte telefon hatlarının açılabilmesi önlenemediği müddetçe siber suçlarla mücadele edilemiyor.”