Veri havuzu ‘hack’lendi denildi… Gerçek ne çıktı
Bilgi Teknolojileri ve İletişim Kurumu (BTK), “BTK’da ülke genelinde tüm e-imza kullanıcılarının şifrelerinin saklandığı bilgi havuzunun patlatıldığı” tezi hakkında açıklama yayımladı. Kelam konusu argümanın gerçeği yansıtmadığı vurgulanan açıklamada, “Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) ise yalnızca sertifikayı kullanan kişinin, müracaat esnasında sunduğu şahsî bilgilere sahiptir. Bu nedenle, sertifika ya da pin kodu bilgilerinin rastgele bir bilgi havuzundan çalınması yahut bu tip bir bilgi sızıntısının yaşanması kelam konusu değildir” denildi. Bilgi Teknolojileri ve İletişim Kurumu’nun açıklaması şöyle:
“Elektronik imza bilgi havuzunun hacklendiğine dair tezler büsbütün asılsızdır ve gerçeği yansıtmamaktadır. Birtakım haber kaynaklarında yer alan ve e-imza hizmetleriyle ilgili olduğu argüman edilen “veri sızıntısı” haberleri hakkında kamuoyunu hakikat bilgilendirmek hedefiyle bu açıklamanın yapılması mecburiliği doğmuştur.
Türkiye’de kullanılan tüm e-imzalar, Kurumumuz tarafından yetkilendirilen 8 Elektronik Sertifika Hizmet Sağlayıcı (ESHS) tarafından üretilmektedir. Kurumumuz ise 5070 Sayılı Elektronik İmza Kanunu kapsamında ilgili ESHS’leri denetleme ve kesimi düzenleme yetkisine sahiptir.
Her bir Nitelikli Elektronik Sertifika, memleketler arası standartlarda kriptografik algoritmalarla şifrelenmiş biçimde sadece sertifika sahibinin elindeki USB e-imza aygıtında bulunmaktadır. Elektronik İmza (e-imza) sisteminde e-imza sahiplerinin pin kodları yahut rastgele bir ferdî verisi dahil hiçbir verisi Bilgi Teknolojileri ve İletişim Kurumu (BTK) bünyesinde tutulmamaktadır.
Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) ise yalnızca sertifikayı kullanan kişinin, müracaat esnasında sunduğu şahsî datalara sahiptir. Bu nedenle, sertifika ya da pin kodu bilgilerinin rastgele bir data havuzundan çalınması yahut bu tip bir bilgi sızıntısının yaşanması kelam konusu değildir.
Ayrıca, Türkiye’de bulunan tüm e-imzalara ilişkin bilgiler, (BTK ya da e-Devlet kapısı dahil) toplu halde rastgele bir bilgi havuzunda barındırılmamaktadır. Bilindiği üzere, siber güvenlik alanında aldatıcı ve yanlış bilgilerin yayılması, toplumda kaygı, endişe ve panik oluşturma potansiyeli taşımaktadır.
Ayrıca Elektronik İmza üzere Türkiye’nin dijital sistemlerinin temelini oluşturan ve inanç hizmeti olarak isimlendirilen bu hizmetlerin güvenirliğini sarsıcı nitelikte algı yaymak, toplumda yıkıcı tesirlere sahip olmaktadır. Bu cins aksiyonlar, 7545 sayılı Siber Güvenlik Kanunu kapsamında cürüm teşkil etmektedir. Kanunun 16. unsurunun 5. fıkrasında açıkça belirtildiği üzere:
‘Siber uzayda bilgi sızıntısı olmadığını bildiği halde halk ortasında kaygı, dehşet ve panik yaratmak ya da kurumları yahut şahısları gaye göstermek gayesiyle siber güvenlikle ilgili data sızıntısı olduğuna yönelik gerçeğe muhalif içerik oluşturanlara yahut bu amaçla bu içerikleri yayanlara iki yıldan beş yıla kadar mahpus cezası verilir’
Bu bağlamda, e-imza kullanıcılarını gaye göstererek ve kamuoyunu yanıltarak gerçek dışı data sızıntısı tezlerini yayan, 2 milyon 500 bin üzerinde e-imza kullanıcısını temelsiz haber ve paylaşımlar ile tasaya sürükleyen kaynaklar hakkında cürüm duyurusunda bulunulmuş ve yasal süreç başlatılmıştır”
