Bakan Yardımcısı Sayan e-imza skandalı hakkında konuştu: BTK’nın teknik anlamda bir sorumluluğu yok, bir güvenlik açığı yoktu

BTK’dan sorumlu Ulaştırma Bakan Yardımcısı Ömer Fatih Sayan, e-imza skandaklı ile ilgili Hürriyet Genel Yayın Yönetmeni Ahmet Hanak’ın sorduğu yedi soruya yanıt verdi. Sayan, “Açık konuşmak gerekirse burada BTK’nın teknik anlamda bir sorumluluğu yok. (…) Olayların çıkış noktası teknik bir zaaf değil, kimlik doğrulama sürecinde kullanılan sahte belgeler. Yani bu iş, sistemin içine teknik bir şekilde sızmak değil, insan unsurunu kandırmak üzerine kurulmuş bir dolandırıcılık yöntemi,” dedi.

Sayan ayrıca, “İncelemelerin ve delillendirme çalışmalarının tamamlanmasının ardından 10.10.2024 itibarıyla tüm e-imza sağlayıcılarına gönderilen resmi yazıyla yüz yüze kimlik ibrazı ile başvuru alımı kesin olarak durduruldu,” dedi.

Sayan’ın yanıtlarından bazıları şöyle:

Olup bitenlerde BTK’nın hiç sorumluluğu yok mu?

– FATİH SAYAN: Açık konuşmak gerekirse burada BTK’nın teknik anlamda bir sorumluluğu yok. Çünkü BTK tarafından yetkilendirilen Elektronik Sertifika Hizmet Sağlayıcıları’nın (ESHS) sistemleri, güvenli elektronik imza üretim süreçleri ve altyapıları en yüksek güvenlik standartlarında çalışıyor. Ancak şunu da söylemem lazım: Olayların çıkış noktası teknik bir zaaf değil, kimlik doğrulama sürecinde kullanılan sahte belgeler. Yani bu iş, sistemin içine teknik bir şekilde sızmak değil, insan unsurunu kandırmak üzerine kurulmuş bir dolandırıcılık yöntemi. Biz BTK olarak işin şu kısmında varız: Düzenlemeleri yapar, gerekli önlemlerin alınmasını sağlar ve sonrasında bazı yetkileri güvenliğinden emin olduğumuz, teminatlarını tam olarak bizlere sunabilen firmalara izin veririz.

Şimdi kendinizi yetkilendirilmiş bir firma gibi düşünün. Karşınıza bir kişi geliyor ve e-imza almak istediğini söylüyor. Siz de ‘kimliğinizi alabilir miyim?’ diyorsunuz. Kimliğe bakıyoruz, her şey normal. Kimlik her şeyi ile hatta hologramına kadar orijinal görünüyor. Ne yaparsınız? Hele kimlikteki fotoğraf, başvuruyu yapan kişinin fotoğrafı ise. Bu durumda gerekli kontrolleri yapıyor ve işleme izin veriyorlar. Süreç bu şekilde ilerliyor. 

Ve şunun özellikle altını çizmek istiyorum: Bu olayları ortaya çıkaran da yine biziz. BTK ve USOM olarak hem dijital izleri topladık hem de bunları delil haline getirip adli mercilere sunduk. Bugün okuduğunuz iddianameye kaynak olan verilerin tamamı bizim tespitlerimiz.

BTK, ‘Bir güvenlik açığı yoktu’ diyebiliyor mu?

– FATİH SAYAN: Evet, rahatlıkla diyebilirim. Teknik olarak sistemin kırılması, e-imzanın kopyalanması ya da taklit edilmesi mümkün değil. Aslında şu konuya da açıklık getirmek istiyorum: 5070 sayılı yasaya uygun üretilmiş güvenli elektronik imza, zaten kriptografik olarak çok güçlü ve teknik müdahaleyle kopyalanması imkânsız. O yüzden burada bir yazılım veya donanım zafiyeti söz konusu değil.

Buradaki olayda dolandırıcılar, sahte belgelerle kimlik doğrulama sürecini kandırmaya çalıştı. Yani sistemin dijital tarafı kırılmış değil. Sorun insan faktörünün devreye girdiği fiziksel doğrulama adımında yaşandı.

– Bu olay ortaya çıktıktan sonra BTK, hangi somut adımları attı?

FATİH SAYAN: İncelemelerin ve delillendirme çalışmalarının tamamlanmasının ardından 10.10.2024 itibarıyla tüm e-imza sağlayıcılarına gönderilen resmi yazıyla yüz yüze kimlik ibrazı ile başvuru alımı kesin olarak durduruldu.

BTK tarafından re’sen denetimler başlatıldı ve sahte kimliklerle üretilmiş e-imzalar iptal edildi. 14.01.2025 tarihli BTK Kurul Kararı ile, NES başvuru sahibine ait tüm mobil hatlara işlem bilgisini içeren SMS gönderilmesi zorunlu hale getirildi ve sertifikaların, SMS gönderiminden en az 6 saat sonra üretilebilmesi kuralı getirildi. Başvuru sahiplerinin adlarına düzenlenen NES’leri e-Devlet Kapısı üzerinden sorgulayabilecekleri bildirildi. Ayrıca BTK vatandaşları bilgilendirmek için konuyla ilgili web sitesinde de bir basın açıklaması yayımlandı.”

Yazının tamamı için .