BTK: “E-İmza Şifreleri Çalındı” İddiası Yalanlandı

Güncel bir köşe yazısında Tolga Şardan, Türkiye genelindeki tüm e-imza kullanıcılarının şifrelerinin saklandığı veri havuzunun hacklendiğine dair iddialarda bulundu. Yazıda, kimlerin yaptığı henüz belirlenemediğini belirten ifadeler yer alıyor ve BTK’da bu iddialarla ilgili idari bir incelemenin başlatıldığı öne sürülüyordu.

İddialara karşı BTK tarafından hızlı bir yalanlama yapıldı. Yapılan resmi açıklamada, “Elektronik imza veri havuzunun hacklendiğine dair iddialar tamamen asılsızdır ve gerçeği yansıtmamaktadır” denildi ve konuyla ilgili olarak hakkında suç duyurusunda bulunulduğu, yasal süreçlerin başlatıldığı bildirildi.

Tolga Şardan’ın yazısı kamuoyunda büyük yankı uyandırdı. Şardan şu ifadeleri kullandı: “BTK’da ülke genelinde tüm e-imza kullanıcılarının şifrelerinin saklandığı veri havuzu patlatıldı. Kim ya da kimlerin yaptığı henüz belirlenemedi. Yaşanan olayla ilgili BTK’da idari incelemenin başlatıldığı ifade ediliyor. Kurumda ciddi bir panik havası oluştuğu haberleri geliyor birkaç gündür. Veri havuzundaki bilgilerin başkaları tarafından ele geçmesinin anlamı, tüm ülkede e-imza kullanarak işlem yapan elektronik imza sahiplerine ait şifrelerin çalınmış olması! Okuduğunuz gelişme, savcılığın yürüttüğü soruşturmadaki tespitlerin epeyce ötesinde bir durum maalesef. Her kim veya kimler e-imza şifrelerini ele geçirdiyse, elektronik imza kullanıcılarını çok sıkıntılı günlerin beklediğini belirteyim. Artık, bilgisayarına aparat takarak elektronik imzasıyla işlem yapan hiçbir kullanıcı güvende değil.”

BTK’dan, Tolga Şardan’ın yazısı hakkında yalanlama geldi. Yapılan açıklamada şu ifadelere yer verildi: “Elektronik imza veri havuzunun hacklendiğine dair iddialar tamamen asılsızdır ve gerçeği yansıtmamaktadır. Bazı haber kaynaklarında yer alan ve e-imza hizmetleriyle ilgili olduğu iddia edilen ‘veri sızıntısı’ haberleri hakkında kamuoyunu doğru bilgilendirmek amacıyla bu açıklamanın yapılması zorunluluğu doğmuştur. Türkiye’de kullanılan tüm e-imzalar, Kurumumuz tarafından yetkilendirilen 8 Elektronik Sertifika Hizmet Sağlayıcı (ESHS) tarafından üretilmektedir. Kurumumuz ise 5070 Sayılı Elektronik Imza Kanunu kapsamında ilgili ESHS’leri denetleme ve sektörü düzenleme yetkisine sahiptir. Her bir Nitelikli Elektronik Sertifika, uluslararası standartlarda kriptografik algoritmalarla şifrelenmiş şekilde yalnızca sertifika sahibinin elindeki USB e-imza cihazında bulunmaktadır. Elektronik İmza (e-imza) sisteminde e-imza sahiplerinin pin kodları veya herhangi bir kişisel verisi dahil hiçbir verisi Bilgi Teknolojileri ve İletişim Kurumu (BTK) bünyesinde tutulmamaktadır. Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) ise sadece sertifikayı kullanan kişinin, başvuru esnasında sunduğu kişisel verilere sahiptir. Bu nedenle, sertifika ya da pin kodu bilgilerinin herhangi bir veri havuzundan çalınması veya bu tip bir veri sızıntısının yaşanması söz konusu değildir. Ayrıca, Türkiye’de bulunan tüm e-imzalara ait bilgiler, (BTK ya da e-Devlet kapısı dahil) toplu halde herhangi bir veri havuzunda barındırılmamaktadır. Bu kapsamda, siber güvenlik alanında yanıltıcı ve yanlış bilgilerin yayılması, toplumda endişe, korku ve panik oluşturma potansiyeli taşımaktadır. Ayrıca Elektronik İmza gibi Türkiye’nin dijital sistemlerinin temelini oluşturan ve güven hizmeti olarak adlandırılan bu hizmetlerin güvenirliğini sarsıcı nitelikte algı yayımlayanlar hakkında Siber Güvenlik Kanunu kapsamında yasal işlemler başlatılmıştır. Kanunun 16. maddesinin 5. fıkrasında belirtildiği üzere: “Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu içerikleri yayanlara iki yıldan beş yıla kadar hapis cezası verilir.” Bu bağlamda e-imza kullanıcılarını hedef gösteren ve kamuoyunu yanıltarak gerçek dışı veri sızıntısı iddialarını yayan, 2 milyon 500 bin üzerinde e-imza kullanıcısını endişeye sürükleyen kaynaklar hakkında suç duyurusunda bulunulmuş ve yasal süreç başlatılmıştır. Kamuoyuna saygıyla duyurulur.”