Elektronik imza (e-imza) şifrelerinin bilgisayar korsanları tarafından ele geçirildiğine dair paylaşımlar Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yalanlandı. Kurum, e-imza verilerinin hiçbir şekilde toplu bir havuzda tutulmadığını ve sızıntının söz konusu olmadığını açıkladı.

T24 isimli haber sitesinde yayınlanan "BTK’daki e-imza şifrelerinin havuzunu patlattılar" başlıklı haberde, kurumun ülke genelinde tüm e-imza kullanıcılarının şifrelerini sakladığı veri havuzunun dışarı sızdırıldığı iddia edildi.

BULGULAR

BTK'nin sosyal medya hesabından yaptığı paylaşımda iddianın gerçeği yansıtmadığı belirtildi.

Açıklamada, Türkiye'de kullanılan tüm e-imzaların, BTK tarafından yetkilendirilen 8 Elektronik Sertifika Hizmet Sağlayıcı (ESHS) tarafından üretildiği, kurumun ilgili kanun kapsamında ESHS'leri denetleme ve sektörü düzenleme yetkisine sahip olduğu belirtildi.

Her bir "Nitelikli Elektronik Sertifika"nın, uluslararası standartlarda kriptografik algoritmalarla şifrelenmiş şekilde, yalnızca sertifika sahibinin elindeki USB e-imza cihazında bulunduğu aktarılan açıklamada, şunlar kaydedildi:

"e-İmza sisteminde, e-imza sahiplerinin pin kodları veya herhangi bir kişisel verisi dahil hiçbir verisi BTK bünyesinde tutulmamaktadır. ESHS ise sadece sertifikayı kullanan kişinin, başvuru esnasında sunduğu kişisel verilere sahiptir. Bu nedenle, sertifika ya da pin kodu bilgilerinin herhangi bir veri havuzundan çalınması veya bu tip bir veri sızıntısının yaşanması söz konusu değildir. Ayrıca Türkiye’de bulunan tüm e-imzalara ait bilgiler, (BTK ya da e-Devlet Kapısı dahil) toplu halde herhangi bir veri havuzunda barındırılmamaktadır. Bilindiği üzere, siber güvenlik alanında yanıltıcı ve yanlış bilgilerin yayılması, toplumda endişe, korku ve panik oluşturma potansiyeli taşımaktadır. Ayrıca elektronik imza gibi Türkiye'nin dijital sistemlerinin temelini oluşturan ve güven hizmeti olarak adlandırılan bu hizmetlerin güvenirliğini sarsıcı nitelikte algı yaymak, toplumda yıkıcı etkilere sahip olmaktadır."

SUÇ DUYURUSUNDA BULUNULDU

Bu tür eylemlerin Siber Güvenlik Kanunu kapsamında suç teşkil ettiğine dikkati çekilen açıklamada, kanundaki "Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara 2 yıldan 5 yıla kadar hapis cezası verilir." hükmüne atıfta bulunuldu.

Açıklamada, "e-İmza kullanıcılarını hedef göstererek ve kamuoyunu yanıltarak gerçek dışı veri sızıntısı iddialarını yayan, 2 milyon 500 bin üzerinde e-imza kullanıcısını asılsız haber ve paylaşımlar ile endişeye sürükleyen kaynaklar hakkında suç duyurusunda bulunulmuş ve yasal süreç başlatılmıştır." ifadesi kullanıldı.