Son günlerde kamuoyunda tartışılan e-imza odaklı olaya yönelik gelişmeleri izliyoruz. Adım adım konuyu açıklamaya çalıştım.

Resmi kaynaklara göre doğru tanım, “sah­te kimlik ve belgelerle e-imza üretici şirketlere başvuru yapılması” şeklinde açıklanmakta. Olay sahte kimlik belgeleriyle e-imza başvuru yoluyla gerçekleşmiştir.

Yani bir altyapı ihlali ya da veri sızıntısı değil; kimlik doğrulama süreçlerinin kötüye kullanıl­masıyla yapılan organize bir sahtecilik. Prosedür ve mevzuat boşlukları kandırılarak yanlış kişiye yeni e-imza sertifika ürettirilmiş.

E-imza; kurum içi yazışmalar, ihale/teklif, sözleşme onayı, resmî başvuru-cevap gibi bel­ge ve işlem onayı gerektiren akışlarda kullanıl­makta. Kapalı kurumların sistemlerine “kulla­nıcı girişi” çoğu yerde yalnızca e-imza ile yapıl­maz; bu sistemler ayrıca rol-yetki kontrolü, ağ/ IP kısıtları, ikinci doğrulamalar gibi katmanlar çalıştırır. E-imza, “bu işlemi şu kişi, şu zamanda şu kişi yaptı” bilgisini hukuken ispatlayan anah­tar işlevi görür.

BTK’dan yetkili ESHS’lerce verilir. Birey­sel sertifikada yalnızca T.C. kimlik numarası ve ad-soyad bulunur; görev/ünvan yazılmaz. ESHS, başvuru sahibinin hangi kurumda hangi yetkiy­le işlem yapacağını bilmez, yönetmez; bu yetkiler e-imza ile işlemin yapılacağı ilgili kurumun ya­zılımında kurallar ve prosedürler ile tanımlanır.........

© Dünya