Yazılım ve Tasarım: Bilgin Pro © 2025 Nefes Gazetesi Tüm Hakları Saklıdır
Nefes Gazetesi Yazarlar Deniz Zeyrek

Sahte e-imza nasıl mümkün?

Güncelleme: 05.08.2025 06:10

Deniz Zeyrek

Günlerdir e-sızıntı haberlerini okuyup duruyoruz. İddiaya göre bir çete bazı kamu görevlilerinin elektronik imzalarını bir şekilde ele geçirmiş ve o sahte elektronik imzalarla değişik kamu kurumlarında sahte belgeler üretmiş.

Bu faaliyet en çok da üniversitelerde yoğunlaşmış.

Hatta 14 üniversitede öğrenci işleri yetkililerinin e imzaları kullanılarak yüzlerce akademisyene diploma ve benzer belgeler hazırlanmış.

***

Peki bu nasıl gerçekleşiyor?

Öncelikle şu detayın altını çizmek lazım: Kamu yönetiminde dijital sistemlerin kolay kullanımı için elektronik imza uygulaması zorunlu hale getirilmişti.

Ulaştırma ve Altyapı Bakanlığı bünyesindeki Bilişim Teknolojileri Kurumu (BTK) da bu sistemin alt yapısını oluşturma görevi almıştı.

BTK, TÜBİTAK ve Emniyet Genel Müdürlüğü (EGM) Sertifikasyon Merkezi dışında şu şirketlere e-imza oluşturma lisansı vermişti:

E-Güven, TürkTrust A.Ş., E-TUGRA, E-İMZATR, Ayyıldız İmza, ARKİMZA

***

İddiaya göre sızıntı TÜBİTAK ve EGM’den olmamış. Elektronik imzalar iki özel sektör firmasından ele geçirilmiş.

Ancak konuştuğum uzmanlara göre bu iddiada şöyle bir çelişki var:

Çete genellikle üst düzey ve yetki sahibi kamu görevlilerinin elektronik imzalarını kopyalamış. Bu sayede kamu kurumlarında evrak üretmeye çalışmış.

Kamu görevlilerinin neredeyse tamamı da elektronik imzalarını kamu kuruluşlarından, özellikle de TÜBİTAK’tan temin etmiş.

Haliyle konunun e-imza veren kamu kuruluşlarıyla bağlantısı saklanıyor olabilir.

***

Çete üyeleri için e-imzayı çalmak yeterli değil. O imzayı kullanabilecekleri kamu veri tabanına da ulaşmaları gerekiyor. Bir kamu kuruluşunun elektronik veri tabanına iki yoldan ulaşılabiliyor:

1) E-devlet kapısı.

2) Doğrudan ilgili kamu kurumunun veri tabanı.

Örneğin bir kişinin üniversite belgelerinde değişiklik yapmak istiyorsanız, o üniversitenin veri tabanına girmeniz gerekir. Bunu da e-devlet üzerinden ya da doğrudan o üniversitenin veri tabanından yapabilirsiniz.

Böylece o veri tabanında kayıtlı olan e-imzayı kullanabilirsiniz.

***

Peki yetki sahibi kamu görevlilerinin elektronik imzaları klonlanırken ve kamu kurumlarının veri tabanlarında kullanılırken bunu tespit etmek mümkün değil miydi?

Elektronik güvenlik uzmanlarına göre mümkündü.

Zira güvenlik yazılımlarının en hassas olduğu konu klon işlemleridir. Bir klon imzayla yapılacak her işlem ise e-imza veren şirketlerin bilişimcilerince anında tespit edilebilir.

Eğer bu kadar çok sahteciliğe rağmen ilgili şirketler klon işlemleri fark edememişse bunun da iki nedeni olabilir:

1) Elektronik güvenlik kapasiteleri yeterli değildir.

2) İnsan kaynaklı sızıntı vardır.

***

Peki Bilişim Teknoloji Kurumu (BTK) bu gelişmelerin neresinde?

BTK, ikisi kamu kuruluşu olmak üzere sekiz kurum/şirkete elektronik imza lisansı veriyor. Lisans verirken de bu kurumların/şirketlerin elektronik güvenlik kapasitelerin yeterli olup olmadığını denetliyor.

Şirket elektronik güvenlik kapasitesi bakımından yetersizse, bunun lisanslama sırasında BTK tarafından tespit edilmesi gerekiyor.

Konuyu irdeledikten, sistemdeki hataların nereden kaynaklandığını gördükten sonra aklıma birçok soru geldi ama ben sadece beşini yazacağım:

- Bu lisansların maddi değeri ne kadardır?

- Bu lisanslar hangi yöntemle ne zaman dağıtıldı?

- Lisans alan özel şirketler kime aittir?

- Her canı isteyen E-Devlet kapısı üzerinden kamu kurumlarının veri tabanlarına erişebiliyor mu?

- Ortaya çıkan bu sahtekârlıklardan sonra bütün verilerimizin toplandığı e-devlet kapısına ne kadar güvenebiliriz?

Konuyla ilgili en yüksek makam kimse, zahmet edip bu sorularıma hepimizin anlayacağı dilden yanıt verirse mutlu olacağım.

Bu CV ile nasıl kaçırmış?

Bu arada Ulaştırma ve Altyapı Bakanlığı’nda BTK’yla Bakan Yardımcısı Ömer Fatih Sayan ilgilendiğini öğrendim.

Sayın Sayan’ın öyle bir CV’si var ki insanın başını döndürüyor:

Lisans Diplomaları-

İstanbul Üniversitesi Elektronik Mühendisliği, Bahçeşehir Üniversitesi Hukuk Fakültesi, Anadolu Üniversitesi İşletme bölümü, Anadolu Üniversitesi İktisat bölümü, Anadolu Üniversitesi Kamu Yönetimi bölümü, Anadolu Üniversitesi Uluslararası İlişkiler bölümü...

Yüksek Lisans Diplomaları- Münih Teknik Üniversitesi Haberleşme Mühendisliği, İstanbul Üniversitesi Biyomedikal Mühendisliği...

Doktora Diplomaları- İstanbul Üniversitesi Biyomedikal Mühendisliği

Ankara Yıldırım Beyazıt Üniversitesi Özel Hukuk

(Sertifika programlarını yazmaya takatim kalmadı.)

Bu CV’ye bakılırsa 18 Yaşında (1995’te) İstanbul Büyükşehir Belediyesi’nde çalışmaya başlayan Sayan, hayatı boyunca hep çalışmış ve okumuş.

Dile kolay 30 yılda altı fakülte iki yüksek lisans ve iki doktora ve sertifika programları...

İnsan bu CV’yi görünce, Sayın Sayan’a “Bu CV’yle bu sahtekarları nasıl gözünüzden kaçırdınız “ demeden edemiyor.

SON DAKİKA HABERLERİ

Deniz Zeyrek Diğer Yazıları

Geçmişle gelecek arasında... 05 Aralık 2025
CHP üzerinden Atatürk’e vurmak! 04 Aralık 2025
Kantarın topuzu! 03 Aralık 2025
Özel iddialı konuştu: Siyaset tarihinin en kalabalık kampanyasını yapacağız 02 Aralık 2025
Yeni CHP’nin yanıt bulması gereken soru! 01 Aralık 2025
Öcalan’a sorulan sorular! 28 Kasım 2025
Deniz Zeyrek Tüm Yazıları