BTK'dan Net Yalanlama: E-imza Şifreleri Hacklendi İddiası Gerçek Değil

Bugün köşe yazısında gazeteci Tolga Şardan, BTK’da ülke genelinde e-imza kullanıcılarının şifrelerinin saklandığı veri havuzunun patlatıldığı iddiasını gündeme getirdi. İddianın kimler tarafından yapıldığı henüz belirlenemediğini ve BTK’da bu konuya ilişkin idari bir incelemenin başlatıldığını öne sürdü. Bu iddiaların ardından BTK’dan net bir yalanlama geldi: “Elektronik imza veri havuzunun hacklendiğine dair iddialar tamamen asılsızdır ve gerçeği yansıtmamaktadır. Kaynaklar hakkında suç duyurusunda bulunulmuş ve yasal süreç başlatılmıştır.” Şardan’ın ifadeleri şu minvalde ilerledi: ülke genelinde e-imza şifrelerinin ele geçirildiğini söyleyen haberin, hangi kişi ya da kişiler tarafından yapıldığının henüz bilinmediği; BTK’da idari incelemenin başlatıldığı ve kurumda ciddi bir panik havası oluştuğu yönünde haberler çıktığı. BTK açıklamasında, Türkiye’de kullanılan tüm e-imzaların, kurum tarafından yetkilendirilmiş 8 Elektronik Sertifika Hizmet Sağlayıcı (ESHS) tarafından üretildiği; kurumun bu sağlayıcıları denetleme ve sektörü düzenleme yetkisine sahip olduğu vurgulandı. Ayrıca her bir Nitelikli Elektronik Sertifika’nın, uluslararası standartlarda kriptografik algoritmalarla şifrelenmiş biçimde yalnızca sertifika sahibinin USB e-imza cihazında bulunduğu belirtildi. Elektronik İmza (e-imza) sisteminde e-imza sahiplerinin PIN kodları veya herhangi bir kişisel verinin BTK bünyesinde tutulmadığı; ESHS’lerin ise sadece başvuru sırasında sunulan kişisel verileri elinde bulundurduğu ifade edildi. Bu nedenle, sertifika ya da PIN kodu bilgilerinin herhangi bir veri havuzundan çalınması veya bu tip bir veri sızıntısının yaşanması söz konusu değildir. Ayrıca Türkiye’de bulunan tüm e-imzalara ait bilgilerin (BTK ya da e-Devlet kapsayıcılığı dahil) topluca herhangi bir veri havuzunda saklanmadığı belirtildi. Siber güvenlik alanında yanlış ve yanıltıcı bilgilerin yayılmasının yol açacağı toplumsal endişelerin farkında olan BTK, bu tür içeriklerin suç teşkil ettiğini hatırlattı. 7545 sayılı Siber Güvenlik Kanunu’nun 16. maddesi 5. fıkrası çerçevesinde, veri sızıntısı olduğuna dair yanlış içerik oluşturanlara iki yıl ile beş yıl arasında hapis cezası öngörüldüğü hatırlatıldı. Bu bağlamda, e-imza kullanıcılarını hedef göstererek ve kamuoyunu yanıltarak gerçek dışı veri sızıntısı iddialarını yayan, 2 milyon 500 bin üzerinde e-imza kullanıcısını endişeye sürükleyen kaynaklar hakkında suç duyurusunda bulunuldu ve yasal süreç başlatıldı. Kamuoyuna saygıyla duyurulur.