Hürriyet e imzayla ilgili bilinmeyenleri araştırdı... Artık SMS’le uyarı zorunlu

Son günlerin gündemini oluşturan e-imza skandalında bilinmeyenleri Hürriyet araştırdı. Yetkililerin verdiği bilgiye göre sıkıntı kimlik bilgilerinin ele geçirilmesiyle başladı. Yetkili şirket şubelerine giderek işlem yapan şüpheliler, kimlik bilgilerini kullanarak e-imza aldılar. Olayı BTK’nın fark ettiğini belirten yetkililer, SMS’le e-imza alan kişiye uyarı gönderme uygulamasını başlattıklarını belirtti.

BAŞKAN ADINA SAHTE İMZA

* Edinilen bilgiye göre, skandal süreçten haberdar olunması E-İmza Kanunu’nun uygulayıcısı ve denetçisi konumundaki BTK Başkanı’nın e-imzasının sahte kimlikle üretildiğinin tespitiyle başladı.

1 MART 2024’TE DURDURULDU

* 29 Şubat 2024’te durumu fark eden BTK, 1 Mart’ta e-imza üreticisi 7 şirkete sözlü talimat vererek fiziksel kimlikle veya evrakla e-imza üretim sürecini durdurdu ve resen inceleme başlattı. Peki ama neden e-imza üreticisi şirketlere yazılı değil de sözlü talimat gönderildi? Bu sorumuza yetkililer, “Sözlü olarak durdurdular çünkü soruşturmanın akamete uğramasından endişelendiler” yanıtını verdi.

ÜNİVERSİTELERE UZANDI

* BTK’nın idari ve adli makamlara delil oluşturmak üzere konuya ilişkin log kayıtları üzerinden başlattığı incelemesi devam ederken Gazi Üniversitesi’nden gelen bir başvuru olayın boyutunu değiştirdi. ‘Öğrenci bilgi sistemlerimizde bir gariplik var’ uyarısı üzerine BTK’nın olay müdahale ekibi olan Ulusal Siber Olaylara Müdahale Merkezi (USOM) ekibi fiziki olarak üniversiteye giderek sistemi inceledi.

Ekip bazı yetkililerin e-imzası kullanılarak sisteme girildiğini ve vefat eden mezunlar adına sahte diploma üretildiğini, bu diplomayı kullandıklarını tespit etti. Ardından konu adli makamlara aksettirilirken tüm üniversitelere resmi yazı gönderilerek sistemlerini kontrol etmeleri, aksaklık tespit edilmesi halinde adli makamlara bildirilmesi uyarısı yapıldı.

FİZİKİ E-İMZA YASAKLANDI

* BTK, ekim ayına kadar konuya ilişkin tahkikatını tamamlayarak, 10 Ekim 2024’ten itibaren fiziksel başvuru yapılarak e-imza alınması uygulamasını tamamen durdurduğunu bu kez resmi yazıyla e-imza üreticisi 7 şirkete bildirdi. Böylece 1 Mart 2024 tarihinden bugüne hiç kimse e-imza üreticisi şirketlerin şube veya bayilerine giderek e-imza alamadı.

BTK’NİN ZAFİYETİ Mİ

* “BTK’nın süreçte zafiyeti yok mu?” sorumuza ise yetkililer, “Zaten bunu ilk ortaya çıkaran, 29 Şubat 2024 tarihinden itibaren tahkikat yaparak delil toplayan, Gazi Üniversitesi’nin ölmüş mezunları adına diploma üretildiğini tespit eden de BTK bünyesindeki USOM. İlgili tüm kurumları uyaran da savcı iddianamelerindeki delilleri ortaya koyan da BTK. Yani baştan itibaren süreç BTK ile ilerledi, iddianamedekiler BTK’nın toplayıp savcıya teslim ettiği deliller” yanıtını verdi.

TÜM TELEFONLARA MESAJ

Peki artık e-imza nasıl alınıyor? Yetkili şirketlerin yapay zekâ görüntülü NFC kimlik doğrulaması veya e-Devlet üzerinden mobil imza veya dijital bankacılık üzerinden kimlik doğrulama yoluyla olmak üzere halen 3 şekilde e-imza sahibi olmak mümkün oluyor. Ayrıca ocak ayında BTK’nın aldığı bir kararla e-imza başvurusu yapıldığında kişinin üzerine kayıtlı tüm telefonlarına bilgilendirme mesajı (SMS) gönderilmesi ve e-imzanın mesajdan 6 saat sonra aktifleştirilmesi uygulaması başlatıldı.

Böylece kişiler, kendi bilgileri dışında adlarına sahte e-imza başvurusu yapıldığını öğrenme olanağına kavuşmuş oldu.

SORUŞTURMA kapsamında tutuklu bulunan çete lideri Ziya Kadiroğlu benzer bir yapılanmanın lideri olarak daha önce de yargılandı. 2016 yılında 16 kişilik sahte diploma şebekesinin başında yer aldığı gerekçesiyle tutuklanan Kadiroğlu hakkında ‘suç örgütü kurmak’, ‘resmi belgede sahtecilik’ ve ‘nitelikli dolandırıcılık’ suçlarından toplam 354 yıl hapis cezası istemiyle dava açıldı. Ancak bu davadan beraat eden Ziya Kadiroğlu’nun geçmişte de birçok kez benzer suçlamalarda adı geçtiği öğrenildi.

1999’dan bu yana farklı tarihlerde toplam 13 kez yargılandığı öğrenilen Kadiroğlu, 2010, 2012 ve 2016 yıllarında da ‘örgüt lideri’ suçlamasıyla soruşturma geçirdi.

Sadece 2002 ve 2005 yıllarına ait davalardan hüküm giyen Ziya Kadiroğlu’nun yaklaşık 5 yıl cezaevinde kaldığı, diğer 10 davadan ise beraat ettiği öğrenildi.

Kadiroğlu’nun 2016 yılında adliyeye sevk edilmeden önce adli tıp biriminde sağlık kontrolünden geçirilirken kendisini görüntüleyen basın mensuplarına, “Devletimiz var olsun. Buradaki insanlar sıradan insanlar, hepsi gariban insanlar. Bu olayı cemaat yapıyor. Cemaatin komplosuyla karşı karşıyayız” dediği belirtildi.

7 Ocak’ta Ankara merkezli 23 ilde eşzamanlı düzenlenen operasyonlarda 126 şüpheli yakalandı, bunlardan 17’si tutuklandı. Soruşturmanın devamında 23 Mayıs’ta 16 ilde düzenlenen operasyonlarda 61 şüpheli yakalandı, bunlardan 20’si tutuklandı. Arananlardan 10 şüpheli de daha sonra yakalandı. Suç örgütünün 57 sahte diploma, 108 sahte sürücü belgesi ve 4 sahte lise mezuniyet belgesi düzenlediği tespit edildi.

HERKES KONTROL ETSİN

BTK, ocak ayında aldığı kararın ardından tüm vatandaşlara SMS göndererek adlarına kayıtlı ‘Nitelikli Elektronik Sertifika’ (NES) bulunup bulunmadığını sorgulamalarını, bilgileri dışında adlarına e-imza alınmışsa da bildirmeleri konusunda uyardı. Yetkililer, kişilerin halen e-Devlet üzerinden NES sorgulaması yapabildiklerini, dolayısıyla adlarına üretilmiş sahte NES olup olmadığını öğrenebileceklerini vurguladı.

MERKEZİ SINAVLARI ETKİLEDİ Mİ

E-imza skandalının LGS, YKS, KPSS gibi merkezi sınav sonuçlarını, sıralamasını, yerleştirmesini değiştirmiş olup olmayacağı sorusuna ise yetkililer, “Bu tür sınavlar ve sonuçları tamamen elektronik olarak sonuçlandırılıyor ve manuel herhangi bir veri girişi mümkün olmuyor. Dolayısıyla bunlara ilişkin bir sorun beklenmiyor ama üniversitelerin, kurumların kendi sınavlarında, manuel girişin olduğu yerlerde olmuş olabilir” karşılığını verdi.

ZAFİYET E-DEVLET’TE Mİ

Kişilerin kimlik bilgilerine rahatlıkla ulaşılmasıyla ilgili olarak ise yetkililer, “e-Devlet binanın giriş kapısı, içinde veri barındırmaz. Herkesin evi var, değerli ziynetler dairelerinin içinde. Burada bir zafiyet olsa kişi hiçbir bilgiye ulaşamaz. Mesela kişisel verilerinizi çaldırmanız Google’ın suçu değil; sizin android telefonunuza APK harici, ücretsiz uygulama indirdiniz ve adam da buradan sizin kişisel verilerinize ulaştıysa suç Google’da değil sizde” dediler.

YETKİLİ ŞİRKETLER İŞBİRLİKÇİ Mİ

Sahte e-imza skandalında yetkili şirket çalışanlarının da çeteyle işbirliği içinde olup olmadığı sorumuza ise yetkililer, “Hayır, şirketlere sızma yok. Ne merkezlerine, ne şubelerine. Onlar mevzuatın gerektirdiği şekilde, güvenlik yönergeleri doğrultusunda hareket etti” yanıtını verdiler.

PARMAK İZİ, FOTOĞRAF OLMASI GEREKMEZ Mİ

Yetkili 7 şirketin 81 ilde şubeleri ve bayileri olduğunu kaydeden yetkililer, “Biri sahte kimlikle geldiğinde şirketin elinde fotoğraflı kimlik bilgisi ya da parmak izi olsa karşılaştırma olanağı olurdu. Dolayısıyla bu bir güvenlik eksiği değil mi” sorumuza ise “Bunu bir internet ya da GSM şirketi gibi düşünün, eve kuruluma gelen internetçi ya da telefon bayiinde parmak izinizin olmasını ister miydiniz?” karşılığını verdiler.

E-İMZA NE ZAMAN BAŞLADI

Türkiye, 2004 yılı Ocak ayında kabul edilen 5070 sayılı Elektronik İmza Kanunu ile elektronik imza uygulamasına başlangıç yaptı. ‘Kimlik doğrulama amacıyla kullanılan elektronik veri’ olarak tanımlanan e-imzanın uygulama yönetmeliği, Ocak 2005’te Resmi Gazete’de yayımlanarak yürürlüğe girdi. Böylece dijital ortamda belge imzalayan kamu kurum mensupları, doktor, mali müşavir, muhasebeci, eczacı, avukat gibi meslek mensupları başta olmak üzere elektronik imza kullanımı için yasal altyapı oluşturulmuş oldu. Dönemin Çalışma ve Sosyal Güvenlik Bakanı Ömer Dinçer’in, 23 Temmuz 2010’da İçişleri Bakanı Beşir Atalay’a gönderdiği metinle ilk kez elektronik imzalı bir evrak iki bakanlığın sistemine girmiş oldu. Böylece elektronik imza ile yazışma ve evrak gönderimi yapabilir hale geldi.