BTK, “e-imza havuzu hacklendi” iddialarını yalanladı

Sabah saatlerinde ortaya çıkan söylentiler, BTK’daki e-imza şifrelerinin mevcut olduğu havuzun hacklendiğine dair korkutucu iddialarda bulundu. T24’ten Tolga Şardan’ın haberinde aktarılan ayrıntılar, bilgisayar korsanlarının sisteme sızdığına işaret etmişti. Fakat BTK’dan konuya ilişkin yapılan resmi açıklama ile birlikte bu dedikodular yalanlandı.

Söz konusu haberde hackerların kimliğine dair bir bilgiye rastlanılmadığı belirtilirken, BTK’nın idare inceleme başlattığı söylenmişti. Fakat BTK tarafından yapılan açıklamada bu iddiaların herhangi bir şekilde gerçeği yansıtmadığı, tamamen asılsız olduğu vurgulandı.

“İddialar gerçeği yansıtmamaktadır”

Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından Next Sosyal Teknofest platformunda yapılan açıklamada, söz konusu iddialar tümüyle yalanlandı.

Ülkemizdeki bütün e-imzaların BTK’nın yetkilendirdiği 8 ESHS kuruluşu tarafından üretildiği belirtildi. Kurumun ise bu noktada yalnızca ESHS’leri denetleme ve sektöre ilişkin düzenlemelerde bulunma yetkisine sahip olduğu aktarıldı.

BTK’nın konuya dair paylaştığı açıklama metni şu şekilde karşımıza çıkıyor:

“Elektronik imza veri havuzunun hacklendiğine dair iddialar tamamen asılsızdır ve gerçeği yansıtmamaktadır.

Bazı haber kaynaklarında yer alan ve e-imza hizmetleriyle ilgili olduğu iddia edilen “veri sızıntısı” haberleri hakkında kamuoyunu doğru bilgilendirmek amacıyla bu açıklamanın yapılması zorunluluğu doğmuştur.

Türkiye’de kullanılan tüm e-imzalar, Kurumumuz tarafından yetkilendirilen 8 Elektronik Sertifika Hizmet Sağlayıcı (ESHS) tarafından üretilmektedir.

Kurumumuz ise 5070 Sayılı Elektronik İmza Kanunu kapsamında ilgili ESHS’leri denetleme ve sektörü düzenleme yetkisine sahiptir.

Her bir Nitelikli Elektronik Sertifika, uluslararası standartlarda kriptografik algoritmalarla şifrelenmiş şekilde yalnızca sertifika sahibinin elindeki USB e-imza cihazında bulunmaktadır.

Elektronik İmza (e-imza) sisteminde e-imza sahiplerinin pin kodları veya herhangi bir kişisel verisi dahil hiçbir verisi Bilgi Teknolojileri ve İletişim Kurumu (BTK) bünyesinde tutulmamaktadır. Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) ise sadece sertifikayı kullanan kişinin, başvuru esnasında sunduğu kişisel verilere sahiptir.  Bu nedenle, sertifika ya da pin kodu bilgilerinin herhangi bir veri havuzundan çalınması veya bu tip bir veri sızıntısının yaşanması söz konusu değildir.

Ayrıca, Türkiye’de bulunan tüm e-imzalara ait bilgiler, (BTK ya da e-Devlet kapısı dahil) toplu halde herhangi bir veri havuzunda barındırılmamaktadır.

Bilindiği üzere, siber güvenlik alanında yanıltıcı ve yanlış bilgilerin yayılması, toplumda endişe, korku ve panik oluşturma potansiyeli taşımaktadır. Ayrıca Elektronik İmza gibi Türkiye’nin dijital sistemlerinin temelini oluşturan ve güven hizmeti olarak adlandırılan bu hizmetlerin güvenirliğini sarsıcı nitelikte algı yaymak, toplumda yıkıcı etkilere sahip olmaktadır. Bu tür eylemler, 7545 sayılı Siber Güvenlik Kanunu kapsamında suç teşkil etmektedir. Kanunun 16. maddesinin 5. fıkrasında açıkça belirtildiği üzere:

“Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara iki yıldan beş yıla kadar hapis cezası verilir.”

Bu bağlamda, e-imza kullanıcılarını hedef göstererek ve kamuoyunu yanıltarak gerçek dışı veri sızıntısı iddialarını yayan, 2 milyon 500 bin üzerinde e-imza kullanıcısını asılsız haber ve paylaşımlar ile endişeye sürükleyen kaynaklar hakkında suç duyurusunda bulunulmuş ve yasal süreç başlatılmıştır.

Kamuoyuna saygıyla duyurulur.”

Son olarak geçtiğimiz haftalarda Türkiye gündemine “sahte diploma hırsızlığı” olayı oturmuştu. Bu skandal olayda suçluların e-imza aracılığıyla sistemlere sızdığı söylenmişti.