“E-İmza Kullanıcılarının Şifreleri Çalındı” İddiasına BTK’dan Yalanlama Geldi

Tolga Şardan şu tabirleri kullandı: 

‘BTK’da ülke genelinde tüm e-imza kullanıcılarının şifrelerinin saklandığı bilgi havuzu patlatıldı.

Kim ya da kimlerin yaptığı şimdi belirlenemedi. Yaşanan olayla ilgili BTK’da idari incelemenin başlatıldığı söz ediliyor. Kurumda önemli bir panik havası oluştuğu haberleri geliyor birkaç gündür.

Veri havuzundaki bilgilerin öbürleri tarafından ele geçilmesinin manası, tüm ülkede e-imza kullanarak süreç yapan elektronik imza sahiplerine ilişkin şifrelerin çalınmış olması!

Okuduğunuz gelişme, savcılığın yürüttüğü soruşturmadaki tespitlerin oldukça ötesinde bir durum maalesef.

Her kim yahut kimler e-imza şifrelerini ele geçirdiyse, elektronik imza kullanıcılarını çok zahmetli günlerin beklediğini belirteyim.

Artık, bilgisayarına aparat takarak elektronik imzasıyla süreç yapan hiçbir kullanıcı inançta değil.”

“Elektronik imza bilgi havuzunun hacklendiğine dair argümanlar büsbütün asılsızdır ve gerçeği yansıtmamaktadır.

Bazı haber kaynaklarında yer alan ve e-imza hizmetleriyle ilgili olduğu sav edilen ‘veri sızıntısı’ haberleri hakkında kamuoyunu gerçek bilgilendirmek emeliyle bu açıklamanın yapılması mecburiliği doğmuştur. 

Türkiye’de kullanılan tüm e-imzalar, Kurumumuz tarafından yetkilendirilen 8 Elektronik Sertifika Hizmet Sağlayıcı (ESHS) tarafından üretilmektedir.

Kurumumuz ise 5070 Sayılı Elektronik İmza Kanunu kapsamında ilgili ESHS’leri denetleme ve bölümü düzenleme yetkisine sahiptir.

Her bir Nitelikli Elektronik Sertifika, milletlerarası standartlarda kriptografik algoritmalarla şifrelenmiş biçimde sırf sertifika sahibinin elindeki USB e-imza aygıtında bulunmaktadır.

Elektronik İmza (e-imza) sisteminde e-imza sahiplerinin pin kodları yahut rastgele bir şahsî verisi dahil hiçbir verisi Bilgi Teknolojileri ve İletişim Kurumu (BTK) bünyesinde tutulmamaktadır. Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) ise yalnızca sertifikayı kullanan kişinin, müracaat esnasında sunduğu ferdî bilgilere sahiptir.  Bu nedenle, sertifika ya da pin kodu bilgilerinin rastgele bir bilgi havuzundan çalınması yahut bu tip bir bilgi sızıntısının yaşanması kelam konusu değildir.

Ayrıca, Türkiye’de bulunan tüm e-imzalara ilişkin bilgiler, (BTK ya da e-Devlet kapısı dahil) toplu halde rastgele bir bilgi havuzunda barındırılmamaktadır.

Bilindiği üzere, siber güvenlik alanında aldatıcı ve yanlış bilgilerin yayılması, toplumda kaygı, dehşet ve panik oluşturma potansiyeli taşımaktadır. Ayrıyeten Elektronik İmza üzere Türkiye’nin dijital sistemlerinin temelini oluşturan ve inanç hizmeti olarak isimlendirilen bu hizmetlerin güvenirliğini sarsıcı nitelikte algı yaymak, toplumda yıkıcı tesirlere sahip olmaktadır. Bu cins aksiyonlar, 7545 sayılı Siber Güvenlik Kanunu kapsamında cürüm teşkil etmektedir. Kanunun 16. hususunun 5. fıkrasında açıkça belirtildiği üzere:

‘Siber uzayda data sızıntısı olmadığını bildiği halde halk ortasında telaş, kaygı ve panik yaratmak ya da kurumları yahut şahısları maksat göstermek emeliyle siber güvenlikle ilgili bilgi sızıntısı olduğuna yönelik gerçeğe alışılmamış içerik oluşturanlara yahut bu gayeyle bu içerikleri yayanlara iki yıldan beş yıla kadar mahpus cezası verilir.’

Bu bağlamda, e-imza kullanıcılarını gaye göstererek ve kamuoyunu yanıltarak gerçek dışı bilgi sızıntısı tezlerini yayan, 2 milyon 500 bin üzerinde e-imza kullanıcısını temelsiz haber ve paylaşımlar ile tasaya sürükleyen kaynaklar hakkında kabahat duyurusunda bulunulmuş ve yasal süreç başlatılmıştır.

Kamuoyuna hürmetle duyurulur.”