Neden önemli: Türkiye’de 2,5 milyondan fazla kişinin kullandığı elektronik imza sistemine ilişkin “veri sızıntısı” iddiaları tartışma yarattı. İddiaların ardından BTK, söz konusu haberleri yalanladı ve asılsız iddiaları yayanlar hakkında suç duyurusunda bulunulduğunu açıkladı.
Türkiye’nin dijital güvenlik gündemini sarsan “e-imza şifreleri çalındı” iddiası yeni bir boyuta taşındı. T24 yazarı Tolga Şardan’ın BTK’da e-imza kullanıcılarının şifrelerinin saklandığı havuzun ele geçirildiğini öne sürmesinin ardından, kurumdan açıklama geldi. BTK, iddiaların gerçeği yansıtmadığını belirterek “asılsız” dedi ve kamuoyunu yanıltan kaynaklar hakkında suç duyurusunda bulunulduğunu duyurdu.
İddialar: “Şifre havuzu patlatıldı”
Yayımlanan yazıda, BTK bünyesinde ülke genelindeki tüm e-imza kullanıcılarının şifrelerinin saklandığı veri havuzunun ele geçirildiği öne sürüldü.
Aktarılan bilgilere göre:
- BTK’da e-imza şifrelerinin bulunduğu havuz hacklendi.
- Olayın kimler tarafından gerçekleştirildiği bilinmiyor, ancak idari inceleme başlatıldığı ileri sürüldü.
- Kurumda panik havası oluştuğu iddia edildi.
- Bu gelişme, tüm e-imza sahiplerinin şifrelerinin çalınmış olabileceği anlamına geliyor.
Ayrıca Ankara Cumhuriyet Başsavcılığı’nın yürüttüğü soruşturmada suç örgütlerinin çalınan e-imzaları kullanarak sahte diplomalar ve sürücü belgeleri düzenlediği, belgelerde BTK başkanının e-imzasının da bulunduğu iddia edildi.
BTK’nın açıklaması: “Tamamen asılsız”
BTK ise iddialara sert bir açıklamayla yanıt verdi. Kurumun resmi duyurusunda şu noktalar öne çıktı:
- Elektronik imza sahiplerinin pin kodları ya da kişisel verileri BTK bünyesinde tutulmuyor.
- Türkiye’de kullanılan tüm e-imzalar, BTK’nın yetkilendirdiği 8 Elektronik Sertifika Hizmet Sağlayıcısı (ESHS) tarafından üretiliyor.
- Her bir e-imza, sadece sahibinin USB cihazında, uluslararası standartlara uygun kriptografik algoritmalarla şifrelenmiş şekilde bulunuyor.
- Dolayısıyla merkezi bir “şifre havuzu”nun hacklenmesi mümkün değil.
BTK ayrıca, e-imza verilerinin toplu halde ne kurumda ne de e-Devlet’te saklandığını vurguladı.
Hukuki süreç ve cezai yaptırımlar
Kurum, “asılsız veri sızıntısı” iddialarının toplumda panik yarattığını ve dijital güveni zedelediğini belirterek suç duyurusunda bulundu.
7545 sayılı Siber Güvenlik Kanunu’nun 16. maddesine göre, siber uzayda veri sızıntısı olmadığını bildiği halde buna dair gerçeğe aykırı içerik üreten ya da yayan kişilere iki ila beş yıl hapis cezası öngörülüyor. BTK, bu kapsamda e-imza kullanıcılarını yanıltan kaynaklar hakkında yasal sürecin başlatıldığını açıkladı.
