Son günlerde gündemi sarsan sahte diplomalarla ilgili e-imza skandalına ilişkin teknik detaylar netleşmeye başladı. Gazeteci Çağla Üren, sosyal medya hesabından yaptığı kapsamlı paylaşımda, sistemin nasıl suistimal edildiğini adım adım anlattı. Üren’e göre, sistem kırılmadı, ancak sahte kimlik bilgileriyle yasal yollar kullanılarak e-imza üretildi.
E-İmza Sistemi Nasıl Çalışıyor?
E-imza iki temel unsur üzerine kurulu:
E-imza sertifikası: İmzalayan kişinin gerçekten kim olduğunu kanıtlayan dijital kimliktir.
Açık anahtar altyapısı: Kullanıcının açık ve özel olmak üzere iki anahtarı bulunur. Belge, özel anahtarla şifrelenir; alıcı ise açık anahtarla belgenin doğruluğunu kontrol eder.
Bireysel kullanıcılar anahtarları bilgisayarlarında saklarken, kamu kurumlarında bu bilgiler özel güvenlik donanımlarında (USB token veya HSM) korunur.
Skandalda Ne Oldu?
Çağla Üren’e göre, bu olayda sistem hack’lenmedi; ancak gerçekte var olmayan veya ölmüş kişilere ait sahte kimlik bilgileriyle e-imza başvurusu yapılarak yasal yollarla geçerli e-imza sertifikaları üretildi. Yani, sahte bir kimlikle yasal şekilde "anahtar" temin edilip sistem içeriden kandırıldı.
E-İmza Nasıl Alınıyor?
Vatandaşlar e-imza almak için şu kurumlara başvurabiliyor:
Kamu SM (TÜBİTAK)
E-Güven
TurkTrust
E-İmzaTR
Başvuru formu dolduruluyor, kimlik ibraz ediliyor ve ödeme yapılıyor. Ancak bu süreçte yeterli güvenlik doğrulaması yapılmadığı için sistem kötü niyetli kişilerce suistimal edildi.
Olay Nasıl Önlenebilirdi?
Gazeteci Çağla Üren’in önerileri ise şu şekilde:
Çok faktörlü kimlik doğrulama (MFA) zorunlu hale getirilmeli. Sadece kimlik göstermek yeterli olmamalı; biyometrik veriler ve mobil doğrulama da sürece dahil edilmeli.
Aynı IP adresinden yapılan çoklu başvurular otomatik olarak tespit edilmeli. Sahte belgeler ve tekrar eden kimlik bilgileri yapay zeka desteğiyle engellenebilir.
Yüz yüze doğrulama (KYC) zorunlu hale gelmeli. Avrupa Birliği standartlarında olduğu gibi, kimlik sahibiyle canlı görüşme yapılmalı.
Kamu işlem kayıtları bağımsız log sistemlerinde saklanmalı. Tüm değişiklikler izlenebilir ve denetlenebilir olmalı. Geriye dönük iz bırakmadan işlem yapılması engellenmeli.
Liyakatli ve etik kadrolar sistemin merkezinde olmalı. Teknolojik çözümler kadar insan faktörü de güvenlikte kritik rol oynuyor.