Üst düzey yetkililerin e-imzasını kopyalayarak resmi sistemlere yetkisiz erişim sağlandığı ve sahte diploma üretildiğini ortaya çıkaran soruşturmanın etkileri sürüyor.

Ankara Cumhuriyet Başsavcılığı tarafından hazırlanan iddianameye göre, sahte e-imza aracılığıyla 57 sahte üniversite diploması, 4 sahte lise diploması ve 108 sahte sürücü belgesi üretildiği tespit edildi.

Şuana dek 220 kişi hakkında işlem yapılan dosya kapsamında, 199 şüpheli hakkında kamu davası açıldı.

Cumhurbaşkanlığı İletişim Başkanlığı Dezenformasyonla Mücadele Merkezi'nin 6 Ağustos'taki açıklamasına göre, şu ana dek 35 kişinin e-imzasının kopyalandığı tespit edildi.

Bunların arasında Bilgi Teknolojileri ve İletişim Kurumu (BTK) Başkanı gibi üst düzey kamu yetkilileri de bulunuyor.

Cumhurbaşkanı Yardımcısı Cevdet Yılmaz 8 Ağustos Cuma günü X hesabından yaptığı açıklamada, "sahte e-imzalar üzerinden yapılan işlemler ve sahte diplomalar üzerinden yürütülen tartışmalar, manipülasyonların bir parçası olarak kullanılmak istenmektedir" ifadelerine yer verdi.

Elektronik İmza Nedir?

Elektronik imza, kamu ve özel sektördeki birçok resmi işlemde, hukuken ıslak imza kadar geçerli bir dijital kimlik doğrulama aracı.

Elle atılan ıslak imzayla yapılan her türlü resmi işlemin, internet üzerinden yapılmasına imkan veriyor.

Dolayısıyla Kullanım Alanı Oldukça Geniş:

Vergi beyannamesi, SGK bildirimi, adli sicil kayıt başvurusu

Tapu ve noter işlemleri, elektronik imzalı vekâletnameler, elektronik ihale (e-ihale) süreçleri

UYAP üzerinden gerçekleştirilen dava açılış işlemleri gibi yargısal işlemler

E-fatura, sözleşme ve resmi evrak onayları, kullanıcı kimliği doğrulama işlemleri.

Ayrıca, kamu ve özel sektörde elektronik belge yönetimi sistemlerindeki (EBYS) kimlik doğrulama işlemlerinde de e-imza kullanılabiliyor.

Kamu kurumu personel ve yöneticileri açısından ise durum biraz daha karmaşık.

Diploma düzenlemek, ehliyet vermek ve e-devlet sistemine veri girişi yapmak gibi pek çok idari işlemde e-imza kullanılabiliyor.

Dolayısıyla kamu kurumlarındaki yetkililer tarafından e-imza ile imzalanan belgeler, resmi belge niteliği taşıyor.

E-İmza Nasıl Alınır?

Kamu personeli ya da sivil vatandaş fark etmeksizin, herkes elektronik imza sahibi olabilir.

BTK tarafından e-imza vermek üzere yetkilendirilmiş bir Elektronik Sertifika Hizmet Sağlayıcı (ESHS) şirkete başvuruda bulunmak yeterli.

Vatandaşlar herhangi bir şirketten ücreti karşılığında bu hizmeti alabilirken, kamu çalışanları ise TÜBİTAK'a bağlı Kamu Sertifikasyon Merkezi tarafından sağlanan elektronik imzaları kullanıyor.

Yetkilendirilmiş Kuruluşların Rolü Ne?

Elektronik Sertifika Hizmet Sağlayıcısı şirketler; elektronik imzanın teknik olarak hazırlanmasını, güvenliğini, doğruluğunu ve sürdürülebilirliğini sağlıyor.

Ankara Cumhuriyet Başsavcılığının soruşturmasında ise, sahte e-imzaların elektronik sertifika sağlayıcı iki kuruluş aracılığıyla gerçekleştiği belirtiliyor.

Bu Durumdan Nasıl Korunabiliriz

e-imzanın çalınması halinde vatandaşların pek çok ciddi sorunla karşılaşabileceği ifade ediliyor.

Bu sorunların başında;

Kişi adına sahte sözleşmeler imzalanabilir, e-imzası çalınan kişinin, kişisel verilerinin ifşa edilmesi söz konusu olabilir. Hatalı/yalan beyanlar sonucunda idari para cezalarıyla karşılaşabilir aynı zamanda resmi kurumlara yanlış beyanda (vergi beyanı, e-ihale başvurusu gibi) bulunulabilir.

Alınabilecek Kişisel Tedbirlerden Bazıları Şu Şekilde;

E-imza başvurusu sonrasında verilen USB veya akıllı kart gibi donanımı güvenli yerlerde saklamak,

E-imza PIN kodunun gizliliğini sağlayarak hiçbir koşulda başkalarıyla paylaşmamak,

Cihazlarında güncel antivirüs yazılımı kullanmak,

ESHS ve ilgili Kurumlardan gelmiş gibi gösterilebilecek şüpheli e-postalara veya taleplere karşı dikkatli olmak,

Sertifikanın çalındığını düşünüldüğünde derhal iptal talebinde bulunmak,

Şüpheli durumlarda ESHS ile hızlı iletişim kurmak,

E-imza kullandığı sistemlerde çift faktörlü kimlik doğrulamayı aktif hale getirmek,

ESHS'den gelen bildirimleri takip etmek ve sertifikanın kullanım süresi dolmadan yenileme işlemini yapmak.

E-devlet’ten Sorgulanabilir

Bunlara ek olarak, E-devlet üzerinden "Nitelikli Elektronik Sertifika Sorgulaması" ile kişinin adına üretilmiş bir e-imza olup olmadığı sorgulanabiliyor.

E-imza ile yapılan işlemler sonucunda, ortaya çıkan belgelerde imzacı bilgileri ve zaman damgası detayları incelenerek e-imzanın kullanılıp kullanılmadığı tespit edilebilir.

Alınan Tedbirler Neler?

BTK'nın 14 Ocak 2025 tarihli kararına göre, sertifika sağlayıcı şirketlerin e-imza başvurusunda bulunan kişilere "kısa mesaj ile bilgilendirme yapması" zorunlu hale getirildi.

Örneğin, bir kişi kimlik numarası ile e-imza başvurusu yaptığında, kendisine aşağıdaki SMS gönderiliyor:

"[XX] kimlik numarası ile [ESHS unvanı]'de adınıza nitelikli elektronik sertifika başvurusu yapılmıştır. Güvenli elektronik imza oluşturmak için kullanılan nitelikli elektronik sertifika başvurusu, bilginiz/iradeniz dışındaysa [BTK İletişim Bilgisi] ile iletişime geçiniz."

Alınan karara göre, bu mesajın gönderilmesinden 6 saat sonra e-imza tanımlama işlemi gerçekleştirilebiliyor.

Bu kapsamda ise kötü niyetli kişilerin sahte başvuru yapmaları durumunda vatandaşların anlık olarak haberdar olabilecek.

Vatandaşların e-imza güvenliğinin artırılması açısından önemli bir adım olarak değerlendirilen bu karar, özellikle kimlik hırsızlığına karşı erken farkındalık ve müdahale imkânı yaratacak.

E-devlet Entegrasyonları Sağlanacak

Bu kapsamda aktif NES (nitelikli elektronik sertifika) sahiplerine, kimlik numaraları üzerinden ESHS’lerce herhangi bir elektronik imza üretimi yapılırsa benzer şekilde SMS ile bilgilendirme yapılması ve kullanıcıların sertifikalarının kullanım geçmişini kontrol edebileceği e-Devlet entegrasyonlarının sağlanması da karara bağlanmıştır.