Daha önce kişisel verilerin çalınmasıyla gündeme gelen Bilgi Teknolojileri ve İletişim Kurumu (BTK) bu kez de on binlerce kişi ve kuruma ait e-imza şifrelerinin saklandığı veri havuzunun patlatılmasıyla gündemde.
İddiayı t24 yazarı Tolga Şardan bugünkü yazısında dile getirdi. Şardan, “BTK’daki e-imza şifrelerinin havuzunu patlattılar!” başlıklı yazısında BTK’da e-imza kullanıcılarının şifrelerinin saklandığı veri havuzunun patlatıldığını, şüphelilerin ise kimler olduğunun henüz bilinmediğini açıkladı.
"ARTIK HİÇBİR E-İMZA KULLANICISI GÜVENDE DEĞİL"
Artık, bilgisayarına aparat takarak elektronik imzasıyla işlem yapan hiçbir kullanıcının güvende olmadığının altını çizen Şardan, kurumda panik havası olduğunu ve konuyla ilgili idari inceleme başlatıldığını ifade etti.
Şardan'ın "BTK’nın veri havuzunun patlatılmasını engellemek elbette mümkündü. Sisteme 'savunma ve dışarıdan müdahaleleri engelleyici' yatırım yapılması gerektiğini söylemek lazım. Yatırım yapılmayınca skandalla yüzleşildi.
BTK yönetimi, savcılıktaki adli soruşturma ve yargılamaya konu olan tabloyu savuşturmayı başarmıştı ama şimdi yaşanan problemin üstesinden nasıl gelinecek, göreceğiz" ifadeleri dikkat çekti.
BTK İDDİALARI YALANLADI
Öte yandan BTK yaptığı açıklama ile elektronik imza (e-imza) veri havuzunun hacklendiğine dair iddiaların tamamen asılsız olduğunu belirterek iddiayı yalanladı.
BTK'nın NSosyal hesabından yapılan paylaşımda, konuya ilişkin bazı haber kaynaklarındaki iddialara işaret edilerek Türkiye'de kullanılan tüm e-imzaların, BTK tarafından yetkilendirilen 8 Elektronik Sertifika Hizmet Sağlayıcı (ESHS) tarafından üretildiği, kurumun ilgili kanun kapsamında ESHS'leri denetleme ve sektörü düzenleme yetkisine sahip olduğu bildirildi.
“BİLGİLERİN HERHANGİ BİR VERİ HAVUZUNDAN ÇALINMASI SÖZ KONUSU DEĞİLDİR”
Her bir "Nitelikli Elektronik Sertifika"nın, uluslararası standartlarda kriptografik algoritmalarla şifrelenmiş şekilde, yalnızca sertifika sahibinin elindeki USB e-imza cihazında bulunduğu aktarılan açıklamada, şunlar kaydedildi:
"e-İmza sisteminde, e-imza sahiplerinin pin kodları veya herhangi bir kişisel verisi dahil hiçbir verisi BTK bünyesinde tutulmamaktadır. ESHS ise sadece sertifikayı kullanan kişinin, başvuru esnasında sunduğu kişisel verilere sahiptir. Bu nedenle, sertifika ya da pin kodu bilgilerinin herhangi bir veri havuzundan çalınması veya bu tip bir veri sızıntısının yaşanması söz konusu değildir.
Ayrıca Türkiye’de bulunan tüm e-imzalara ait bilgiler, (BTK ya da e-Devlet Kapısı dahil) toplu halde herhangi bir veri havuzunda barındırılmamaktadır. Bilindiği üzere, siber güvenlik alanında yanıltıcı ve yanlış bilgilerin yayılması, toplumda endişe, korku ve panik oluşturma potansiyeli taşımaktadır.
Ayrıca elektronik imza gibi Türkiye'nin dijital sistemlerinin temelini oluşturan ve güven hizmeti olarak adlandırılan bu hizmetlerin güvenirliğini sarsıcı nitelikte algı yaymak, toplumda yıkıcı etkilere sahip olmaktadır."
SUÇ DUYURUSUNDA BULUNULDU
Bu tür eylemlerin Siber Güvenlik Kanunu kapsamında suç teşkil ettiğine dikkati çekilen açıklamada, kanundaki "Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara 2 yıldan 5 yıla kadar hapis cezası verilir" hükmüne atıfta bulunuldu.
Açıklamada, "e-İmza kullanıcılarını hedef göstererek ve kamuoyunu yanıltarak gerçek dışı veri sızıntısı iddialarını yayan, 2 milyon 500 bin üzerinde e-imza kullanıcısını asılsız haber ve paylaşımlar ile endişeye sürükleyen kaynaklar hakkında suç duyurusunda bulunulmuş ve yasal süreç başlatılmıştır" denildi.
