Son günlerde kamuoyunun en çok konuştuğu ve SÖZCÜ Televizyonu ekranlarından tüm ülkeye yansıyan e-imza skandalında [NEW YOUTUBE SOURCE], sözcü.com.tr'de yer alan bir haberle Ulaştırma ve Altyapı Bakan Yardımcısı Ömer Fatih Sayan'ın, BTK'nın teknik anlamda bir sorumluluğu veya güvenlik açığı olmadığını kesin bir dille belirtmesi, Ahmet Hakan'a verdiği demeçte ise elektronik imzanın kopyalanmasının veya taklit edilmesinin teknik olarak mümkün olmadığını savunması, 2004-2005'ten bu yana hiç güncellenmediği belirtilen bir sistemde yaşanmasıyla, BTK'nın sonradan 44 sahte elektronik imzanın iptal edildiğini duyurması ve başlangıçta tespit edilen 35 sahte imzanın ardından yapılan çalışmalarla 9 sahte imza daha bulunarak toplamda 44 sahte imzanın kopyalandığının ifade edilmesiyle birlikte kamuoyunda derin bir şaşkınlık ve ciddi bir güven sarsıntısı yarattı, zira sosyal medyada bu haberin altında yer alan "Onlar 44 diyorsa kim bilir kaç milyon" şeklindeki yorumlar, olayın gerçek boyutunun çok daha büyük olabileceği endişesini tetikleyerek durumu akıllara durgunluk veren bir noktaya taşıdı.
Makale devam ediyor: SÖZCÜ Televizyonu'nun konuğu olan Adli Bilişim Uzmanı Profesör Doktor Ali Murat Kırık, konuya tarafsız bir gözle yaklaşarak, iddianameye göre kişilerin kimlik bilgileri ve verilerinin ele geçirilip fotoğraflarda değişiklik yapıldığı, ancak kimlik bilgisinin devlette çalışan, öğrenci işleri daire başkanı ya da emniyet müdürü gibi kişilerin adına kullanılarak e-imza alındığı bir senaryonun bulunduğunu ifade etti, ki bu durum e-imza başvurularında yüz yüze kimlik tespitinin nasıl yapıldığı sorusunu gündeme getirirken, görüntülerde "Mıhyetli Yakışır" lakaplı kişinin başvuru yaptığı ve oradaki personelin yüzüne bile doğru dürüst bakmadan e-imzayı verdiğinin görülmesi, BTK tarafından lisans verilmiş yaklaşık 8 e-imza sertifika sağlayıcısından ikisinin adının iddianamede geçmesiyle e-imza dağıtım sürecindeki inanılmaz güvenlik zafiyetlerine işaret etti.
Makale devam ediyor: Profesör Kırık, ıslak imzanın kriminal incelemeyle sahte olup olmadığının tespit edilebilmesine karşın, e-imzanın eskiden çok güvenli olduğu söylenirken artık hiçbir şekilde güvenli olacağının söylenemeyeceğini, taklit edilmesinin çok zor hatta imkansız olduğunu belirtmesiyle birlikte, e-devlete girişteki ciddi sistemsel sorunlara ve çoğu kullanıcının üzülerek söylemek gerekirse iki faktörlü doğrulamayı açık hale getirmediği yaygın hatasına dikkat çekerek, vatandaşlarımızın öncelikle turkiye.gov.tr adresine girerek arama çubuğuna "nitelikli elektronik sertifika sorgulama" yazıp adlarına alınmış eski ve yeni sertifikaları ile şirketlerini görmelerini, ardından "kullanım geçmişi" diyerek kendi adlarına e-devlete girip işlem yapan kişilerin olup olmadığını kontrol etmelerini, şüpheli bir log kaydı gördüklerinde ise hemen Alo 160'ı arayarak durumun kendilerine ait olmadığını bildirmelerini ve Cumhuriyet Savcılığına suç duyurusunda bulunmalarını tavsiye etti, ki bu kritik adımların çipli kimlik kartlarıyla başvuru yapılması ve biyometrik veri sistemlerinin (el parmak izi, yüz tanıma) devreye alınması gibi radikal güvenlik önlemleriyle desteklenmesi gerektiğini de ekleyerek olayın boyutunu gözler önüne serdi.
Makale devam ediyor: Skandalın giderek daha da karmaşık bir hal almasıyla, Prof. Dr. Ali Murat Kırık, iddianamede bir e-imza sertifika sağlayıcısı içerisinde yer alan bir personelin de yüz yüze kimlik tespiti yapılmıştır diyerek bu sahte e-imzaları çıkarttığına dair iddiaların soruşturma süreçlerinde devam edeceğini dile getirirken, bir öğrenci işleri daire başkanlığının e-imzasının çıkartılmasının çok ötesinde, bu e-imzalarla sisteme veri girişi yapılması, not ortalamalarının 1.29'dan 3.29'a çıkarılması gibi veri manipülasyonları ve hatta Hatay depreminde vefat etmiş iki avukatın isimleri silinerek çetenin üye bulmasıyla o kişiler adına sahte diploma ve not dökümü hazırlanması ve daha sonra bunların YÖKSIS dediğimiz sisteme aktarılması gibi işlemlerin organize bir suç şebekesi tarafından yapıldığını kesin bir dille belirtti, zira öğrenci işleri daire başkanı ya da admin gibi üst düzey yöneticilerin tüm yetkilere haiz olduğunu ve onların paneline yetkili ya da yetkisiz giriş yapıldığında direkt YÖKSIS aktarım sürecine girilip otomatik olarak e-Devlette yarım saat sonra not giriş dökümü veya transkript görülebileceğini vurguladı, ayrıca bu sistemde karşı tarafın onay mekanizması söz konusu olmadığını, bununla birlikte yazılım şirketlerinin güvenilirliği, log kayıtlarının tutulup tutulmadığı, güvenlik önlemleri ve bilgi yönetim sistemlerinin yazılımcıları tarafından iki faktörlü doğrulamanın geliştirilip geliştirilmediği gibi kritik soruların da cevapsız kaldığını ve iddianamede 14 farklı üniversitenin adının geçmesinin bu işin sadece birkaç kişinin değil, mutlak suretle içeriden bilgi alınmadan bu kadar organize bir şekilde gerçekleştirilemeyeceğini kanıtlar nitelikte olduğunu gözler önüne serdi.
Tüm bu gelişmeler ışığında, e-imza skandalının sadece basit bir taklit vakası olmadığını, aksine Profesör Doktor Ali Murat Kırık'ın da defalarca işaret ettiği gibi, içeriden alınan kritik bilgilerle ve sistemdeki yıllardır süregelen derin güvenlik zafiyetlerinin organize bir şekilde istismar edilmesiyle ortaya çıkan, BTK'nın sadece 44 sahte imzanın iptal edildiğini açıklamasına rağmen kamuoyunda sosyal medyadaki o ürkütücü "kim bilir kaç milyon" sahte işlemin yapılmış olabileceği endişesini tetikleyen ve milyonlarca vatandaşın dijital güvenini kökten sarsan, Türkiye'nin dijital dönüşümünü ve geleceğini derinden etkileyecek, organize ve sistemli bir dolandırıcılık şebekesinin karanlık yüzünü tüm çıplaklığıyla gözler önüne sererek akıllardaki en büyük soruyu, yani bu devasa skandalın gerçek sorumlusunun ve arkasındaki görünmez güçlerin kim olduğunu tüm ülkenin gözleri önünde bekleten, tarihin en büyük dijital dolandırıcılık vakalarından biri olabileceği gerçeğini ortaya koyuyor.