İstanbul Büyükşehir Belediyesi ve “Terörsüz Türkiye” gündemini adeta solladı bu konu.
İddianamelerin gün ışığına çıkmasıyla birlikte, kimlerin e–imza ve mobil imza sahtekârlığı yaptığı, kimlerin bu sahtekârlıktan hangi koşullar altında faydalandığı, hangi alanlarda dijital usulsüzlük yapıldığı ve nasıl gerçekleştirildiği konuşuluyor.
Konu başlıkları elbette çok önemli. Ancak bu aşamada konuşulması gereken asıl konunun; bu yolsuzluk, usulsüzlük ya da sahtekârlığın alt yapısının nasıl oluşturulduğu olması gerektiği kanaatindeyim.
Yazının içeriği biraz teknik olmakla birlikte hemen herkesin anlayabileceği yazı dilini kullanmaya çalışacağım.
Önce e–imza ve mobil şifre alımı konusuna bakalım.
Ülkedeki mevzuat ve uygulamalar çerçevesinde e–imza veya mobil şifre alımı, ihtiyaç sahibinin TC kimlik numarasıyla edindiği bir GSM hattı sahipliği üzerinden yapılıyor. Kişi birden fazla GSM numarası abonesiyse bile sadece birini dijital imza sahibi olmak için kullanıyor.
Ülkede GSM aboneliği yöneten üç ana operatör şirket var; Türk Telekom, Turkcell ve Vodafone.
Bu firmalar, alt yapılarını kullanırken Bilgi Teknolojileri vKurumu’na (BTK) karşı sorumlular.
Üç firmayla çalışan ülke genelinde telekomünikasyon alanında servis sağlayan tam 237 farklı şirket var!
Bu “aracı” firmalar da üç ana şirketten hat satın alarak ya da kiralayarak, kişilere GSM hattı üzerinden servis sağlıyorlar. Bu işlemlerin hepsi BTK’dan alınan lisanslarla gerçekleşiyor doğal olarak.
Ülke genelindeki tüm bilişim ve internet sisteminin kurulumdan ve işletiminden sorumlu tek bir devlet kurumu var: BTK.
Devam ediyorum.
GSM hattı üzerinden dijital imza / kimlik sahibi birey, işlem yapabilmek amacıyla nereden işlem yapıyor?
“e–Devlet kapısı”ndan.
Tüm kamu kurumları ve işletmeleri, yarı özel yarı devlete ait olan kurumlar, belediyeler, kısacası bütün devlet organizasyonuna “e–Devlet kapısı”ndan ulaşılıyor, e–imza ve mobil imza. Hatta, e–imza ya da mobil şifre sahibi olmayanlar da TC Kimlik Numaraları kullanarak önce e–Devlete giriyor, sonrasındaki basamak olarak da işlem yapmak istediği kurumun / kurumların dijital alt yapısına ulaşıyor.
Bitmedi; e–Devlet şifresi ve Z anahtarla da e–Devlete giriş yapmak mümkün.
Bir örnekle anlatayım; UYAP’a girmeniz gerekti, eğer hakim / savcı iseniz, e–imza, mobil imza, TC kimlik numarası, e–Devlet şifresi ya da Z anahtarla girmek mümkün.
Şimdi başka bir aşamaya geçeyim.
e–imza ve mobil imzayı vermekle yetkili tek devlet kurumu yine BTK.
Kişi, servis sağlayıcı firmalardan edindiği GSM hattı ile BTK’ya başvuru yaparak e–imza ya da mobil imza sahibi oluyor, bu da tamam.
BTK’dan aldığı yetkiyle e–Devlet kapısından içeri giriyor ve istediği iş / işlemleri yönetiyor.
BTK’nın kontrol etmediği / edemediği sistem
İşte şimdi asıl soruya sıra geldi.
Bir e–imza ya da mobil şifre sahibinin kimlik bilgileriyle – sahibin haberi olmaksızın – alınan ikinci, üçüncü, dördüncü GSM hatları üzerinden e–imza ya da mobil imza alınıyor mu?
Yanıt; evet!
Bu “evet” yanıtı, işte bugünkü tabloyu karşımıza çıkardı.
Çünkü, yasal olarak bir adet GSM hattıyla BTK’dan e–imza ya da mobil imza alan kişi, kurumla herhangi bir resmi anlaşma yapmazken, kendisinden habersiz yine kendisine ait kimlik bilgileriyle oluşturulan e–imzalar / mobil imzalar, dolandırıcılar tarafından kullanılmaya başlanıyor.
Zira bu konuda BTK’da imza sahibine yönelik “dikkat, ikinci imzan var” alarm / uyarı sistemi yok maalesef.
Ortaya çıkan vahim tablo
Araştırmalarım sonucunda ortaya çıkan tabloyu şöyle özetlemek mümkün:
- Tüm devletin, tek bir veri kullanım noktasına yani e–Devlet kapısına bağlanması doğru değil. Dünyada bu kadar açık olan sistem yok.
- Bir kapının bir kilidi, bir kilidin de bir anahtarı olur. Ama, şimdi bir kapının 5 ayrı anahtarı var! Ve bu beş anahtar, bir kilidi açıyor!
- Tüm devletin e–Devlet’le tek çatıya alınması, insanların günlük hayatını kolaylaştırmayı hedefliyor ancak aynı zamanda suçlulara da akıl almaz bir hareket alanı yarattı maalesef.
- e–Devlet kapısı uygulaması bir veri depolama alanı değil, sadece giriş kapısı. Ayrıca, dünyada siber güvenliğin sağlanması amacıyla kullanılan modüler VPN sistemi var. Ülkemizin kurumlarının VPN alt yapısı yeterli değil.
- e–Devlet şifresini oluşturup kullanmak kişinin sorumluluğudur. Çünkü kişi, şifresini kendisi oluşturur. Şifresinin sağlamlığıyla kendisini korumaya alır. Oysa, e–imza ve mobil imza doğrudan devletin sorumluluğudur. Nedeni, şifrelemeyi ve kodlamayı devlet yapmaktadır. Güvenliğinde de devlet sorumludur, doğal olarak!
Asıl kara delik: Sağlık Bakanlığı
Yaşananların temelinde olup biteni anlamak için araştırmalarım sonucu ulaştığım bir bilgi; çok ürkütücü:
Diploma konusu buzdağının görünen boyutu. Kuşkusuz diploma konusu önemli. Ancak, tespit edilen diplomalar iptal edilerek tedbir alınabilir. Asıl sorun, sağlık sisteminde. Kara delik Sağlık Bakanlığı. Bu ülkenin TC kimlik numarasını taşıyan herkesin Sağlık Bakanlığı’ndaki verileri tehlike altında. Örnek vermek gerekirse, bir doktorun e–imzası yasa dışı kullanılarak kırmızı / yeşil reçeteler hazırlanması, medikal cihazların kullanımı. Bunların hepsi büyük paralar.
Sorun nasıl çözülecek?
Sorunun cevabı için yaptığım araştırmada ulaştığım sonuç şu:
- Kişisel Verilerin Korunması Kanunu acilen yenilecek!
- BTK’nın yapısı, yönetimi ve faaliyet gösterdiği yerleşke acilen değiştirilecek!
Birinci madde yeterince açık.
İkinciyle ilgili şöyle bir bilgi vereyim; BTK’nın halen Ankara Gölbaşı’nda kullandığı yerleşkenin ilk sahibi Telekomünikasyon İletişim Başkanlığı (TİB) idi. TİB, FETÖ’nün devlette kurduğu ve büyük önem verdiği kurumların önde gelenlerindendi. Şimdi BTK’da olan ülkenin bilişim alt yapısı TİB’deydi. İnternette küçük bir aramayla TİB’in ülkenin temeline nasıl işlediğini görmek mümkün.
Bu bina FETÖ’yle mücadelenin başladığı dönemde Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Dairesi’ne tahsis edildi. Emniyet’in yerleşkeyi boşaltmasıyla tesise bu kez BTK yerleşti.
BTK halen FETÖ döneminden kalan altyapıyı kullanıyor. Sistem aynı. Ülkenin internet alt yapısının çökeceği gerekçesiyle BTK sistemi yenilemiyor. Yenilenmeyen sistem, tıpkı e–imza skandalında olduğu gibi patlıyor. Büyük sıkıntıya neden oluyor.
BTK’ye yeni şekil verilirken yönetim sistemindeki görev alan kamu personelinin yenilenmesi gerekiyor kuşkusuz. “Liyakat” diyeceğim ama yeni Türkiye’de yok ne yazık ki.
* * *
Son olarak bu konuda AKP Sözcüsü Ömer Çelik’in konuyla ilgili açıklamasına dikkat çekmekte fayda var.
Çelik, önceki gün yaptığı açıklamada şöyle dedi:
“Sahte diploma, sürücü belgeleri konusunda devlet içinde bu faaliyetleri yürütmeye çalışan suç şebekesi vardır. Bu konu devlet kurumları tarafından bir yıl önce tespit edilmiş ve Ankara Savcılığı’nca bu soruşturmalar yürütülmüştür.”
Ortaya çıkan tablo Çelik’in söylemiyle pek örtüşmüyor. Çelik, bir yıl önce olayın anlaşıldığını belirtiyor ama dosyanın önemli ismi Ziya Kadiroğlu’nun aynı işi 2022’de de yaptığı ortaya çıktı.
Bugün olayı bulan BTK, 2022’de uyumuş demek ki!
Çelik, aynı konuşmasında “kurumlarımız görevini yapmaktadır. Gereği yapılacaktır ve bütün bu yapılar jiletle kazınacaktır” dedi.
İktidar “jiletle kazıma” işlemi kapsamına BTK’yı da alsa büyük hayır işler.
Zira, geçmiş yaşananlardan da bilinir ki; Türkiye’de içinde kamu personelin olmadığı hiçbir yapı gün ışığı göremez.
Tolga Şardan kimdir?
Tolga Şardan, 1988’deyerelolarak yayınlanan Ankara Ulus gazetesinde mesleğe başladı. 1989’dan 2018’ekadar Milliyet gazetesinde polismuhabirliği, Ankara Temsilci Yardımcılığı ve köşe yazarlığı yaptı.
Haber ve yazılarıyla, 1992’denitibarenÇetin Emeç, Muammer Yaşar Bostancı, Abdi İpekçi’ninadınıtaşıyan gazetecilik ödüllerini aldı. Yanı sıra, haberler Çağdaş Gazeteciler Derneği ve Türkiye Spor Yazarları Derneği’nceödülelayık görüldü.
Ayrıca Türkiye Gazeteciler Cemiyeti’nceverilen2021 Yılı Basın Özgürlüğü Ödülü’nün sahibi oldu.
Şardan, 2019’da Doğan Kitap’ta yayımlanan “Komonist Masası’nda Nazım Hikmet” adlı araştırma sürecindeki kitabını kaleme aldı.
2019’dan bu yana T24’teençok güvenlik konularını ele aldığı Büyüteç adlı köşeyi yazıyor.
|
News
