Bir önceki yazımda, e-imza sahteciliğinin geniş kapsamı ve arkasındaki faktörler üzerine yazmıştım. Kısaca özetlersem, e-imza, kişiye teslim edilen bilgisayara takılacak bir USB çubuk ve onun üzerinde tanımlanan altı haneli bir sayıdan oluşan şifreden oluşuyor. Elektronik bir sistemde imza atmak istediğinizde, çubuğu bilgisayara takıp imzala düğmesine basıp bu altı haneli sayıyı giriyorsunuz. Dolayısıyla elektronik çubuğu ve şifrenizi bir başkasına kaptırırsanız, sizin yerinize rahat rahat imza atabiliyor. Bu, kötü ellerde sahte diploma, sertifika, ehliyet, sahte tapu, değiştirilmiş mahkeme kaydı, artık aklınıza ne tür sahtekarlık gelirse o demek.
Elektronik çubuk nasıl kaptırılıyor da bu sahtekarlıklar yapılıyor? Davaya konu olan ve basından okuduğumuz dolandırıcı çetesi, kişiler adına mükerrer e-imza çıkartıp bunu teslim alıyor. Bunun yapılabilmesi için kişiler adına sahte kimlik, bu sahte kimlikle telefon hattı, vs. de çıkartıyorlar. Bunun bu kadar kolay olmasına şaşırmıyoruz, çünkü geçmişte, tüm Türk vatandaşlarının kimlikte yer alan tüm kişisel verileri çalındı; dolayısıyla iş, sizin kimlik bilgilerinizle dolandırıcının fotoğrafını taşıyan bir kimlik kartı basma düzeneğine bakıyor.
O zaman başka sorular soralım. Kişilerin neden birden çok e-imzası olur? Meğer bu mümkünmüş; hatta e-devlete girip “elektronik imzalarımı göster” diyebiliyormuşsunuz. Fiziksel imzamız bir tane; niye elektroniği birden çok? Bunun cevabını ben de yazdım; başka kişiler de yazdı: İmzanızı başka kişilere, örneğin sekreterinize, özel kalem müdürünüze, ya da başka kişilere dağıtıp “benim adıma sen imza at” demek isterseniz, birden çok imza pratik oluyor. Peki bu yasal mı? Yasal olmaması, başkası adına imza atmanın bir suç olması lazım. Demek ki burada bir boşluk oluşmuş. Bu yasal boşluğun bir an önce yamanması gerekiyor; ama kimse bunu tartışmıyor.
e-imzanın sadece sahibi tarafından kullanılmasının yolu: Biyometrik Doğrulama
Bir adım geri gidelim, e-imzanın sadece ait olduğu kişi tarafından kullanılabilmesini nasıl sağlarız, bunu tartışalım: Bir kişinin kimliğinin doğrulanması için üç temel yöntem kullanılır: Birincisi, sahip olduğunuz bir şey: Örneğin nüfus kağıdınız. İkincisi, bildiğiniz bir şey, örneğin şifreniz. Üçüncüsü, biyometrik özellikleriniz, yani değiştirilemeyen, sizi siz yapan özellikler: parmak iziniz, iris örüntünüz, yüz görüntünüz. E-imza şu anda ilk ikisini kullanıyor: Bir USB çubuk ve bir şifre. Üçüncüsü, yani biyometrik özellikler kullanılmıyor.
Biyometrik doğrulama niye e-imzada kullanılmıyor? Oysa 2016 Ocak ayında çipli kimlik kartı uygulamasına geçildi. Neredeyse on yıl! Kimlik kartının ve pasaportlarımızın içindeki çipte herkesin parmak izi, yüz fotoğrafı saklı. Yurtdışına çıkarken otomatik kapılarda, bu özelliklerle kimliğimizi doğrulayarak, hızla kimlik kontrolünden geçebiliyoruz. Üstelik bu geçiş kapısı sistemlerini de yerli mühendislik firmaları üretiyor. Bankalar, marketler biyometrik doğrulamaya hemen geçti; oysa biyometrik özelliklerin her yerde kullanılmasının da sakıncaları var.
Tabii ki her teknolojinin sakıncaları, avantaj ve dezavantajları, ek donanım gerektirip gerektirmemesi gibi pratik faktörler, kullanımının kolay olup olmaması, ne kadar eğitim gerektirdiği gibi kullanıcı faktörleri var. Mevcut e-imza sistemleri teknolojik olarak geri, güvenlik açıkları açısından çok eksik, kullanım kolaylığı açısından çok kötü ve kullanıcılara verilen (verilmesi ihmal edilen) eğitim açısından ise yokluk seviyesinde.
Şu anda saldırılar karşısında yapılan yamalar, getirilen ek güvenlik tedbirleri sistemi kullanılamaz hale getirmiş durumda. Bu da kullanıcıların sistemi kendi kullanamaması, başka kişilerden yardım almak zorunda kalmasına neden olarak, güvenlik açıklarını büyütüyor. Bir an önce daha gelişkin teknolojik yöntemler kullanan yeni bir sistem dikkatle tasarlanmalı ve kullanıcı testleri ve eğitimleri sonrasında eskisinin yerini almalı.
Lale Akarun
*Bu yazı, HBT Dergi 486. sayıda yayınlanmıştır.