Teknolojinin Şapkaları'nda sahte diploma skandalı üzerinden elektronik imzaların aslında çalınmadığını, ancak dolandırıcıların sahte kimliklerle yeni imzalar alarak sistemi nasıl istismar ettiklerini konuşuyor ve elektronik imzamızı korumak için yapmamız gerekenleri öğreniyoruz.
Sahtecilik haberleri arasında elektronik imza (e-imza) tekrar gündemde. Peki e-imza tam olarak nedir, nerede kullanılır ve hangi riskler konuşuluyor? Murat Lostar ve Banu Zeytinoğlu'nu dinlerken çıkan birkaç notta şöyle diyor;
Elektronik imza (e-imza): 5070 sayılı Kanun çerçevesinde üretilen, kimlik doğrulama ve bütünlük sağlayan imza.
Nitelikli/güvenli e-imza: Kanunun aradığı teknik ve idari şartları sağlayan e-imza; ıslak imza ile hukuken eşdeğer.
Mobil imza vs. USB/akıllı kart: Hukuken eşdeğer; fark sadece imzanın SIM üzerinde ya da kart/USB token üzerinde saklanması ve kullanım ergonomisidir.
Zaman damgası: Belgenin o anda imzalandığını kanıtlayan kayıt.
ESHS: Elektronik Sertifika Hizmet Sağlayıcısı; sertifikanızı veren kuruluş.
Nerelerde geçerli, nerelerde değil?
Nitelikli e-imza; dilekçeden sözleşmelere kadar çok geniş bir alanda geçerlidir. Ancak kanunun resmî şekle veya özel merasime tabi tuttuğu işlemler ile teminat sözleşmeleri kapsam dışıdır. Örneğin tapu devrinin nihai aşaması ve bazı noterlik işlemleri hâlâ yüz yüze/resmî şekil ister. Avukatların UYAP’ta e-imza kullanması gibi zorunlu kullanım örnekleri de vardır; bu pratikte ciddi kâğıt ve zaman tasarrufu sağlıyor.
Peki “Çalınan e-imza” ifadesi ne kadar doğru?
Günlük dilde “e-imzam çalındı” deniyor ama teknik olarak iki senaryo var:
Yetkisiz kullanım: Token/SIM ve PIN bir başkasının eline geçmiş.
İkinci bir sertifikanın haksız düzenlenmesi: Bir ESHS’nin süreç zafiyeti/istismarıyla kişinin adına ek bir nitelikli sertifika çıkarılmış.
İmzalı belgelerde görülen sertifika bilgileri ve zaman damgaları karşılaştırılarak aynı dönemdeki belgelerin kim tarafından, hangi sertifikayla imzalandığı analiz edilebilir; bu, olası usulsüzlükleri ortaya çıkarmada güçlü bir ipucudur.
Asıl risk nerede?
Teknoloji tarafı olgun; kırılganlık çoğu kez kurumsal süreçlerde: kimlik teyidi, sertifika verme zinciri, görev ayrılığı, PIN paylaşımı, vekâlet yönetimi, iç denetim. Liyakat ve denetim eksiklikleri e-imza tarafında da yankı bulabiliyor.
Bireyler için 6 hızlı önlem
- PIN’i paylaşmayın, not alıp bırakmayın; düzenli aralıklarla değiştirin.
- Token/SIM fiziksel güvenliği: kilitli çekmece, isim etiketi, kayıp/çalıntıda anında iptal talebi.
- Bildirimleri açın: Mümkünse her imzada e-posta/SMS uyarısı.
- Erişim delegasyonu: “Kısa yoldan” PIN vermek yerine resmî vekâlet/proxy süreçleri kullanın.
- Belge kontrolü: Kritik belgelere imza attıktan sonra PDF’nin imza panelinden sertifika ve zaman damgasını kontrol edin.
- Hesap envanteri: Hangi ESHS’den hangi tarihlerde sertifikanız var, bir liste tutun.
Kurumlar için yapılacaklar
- Görev ayrılığı ve iki kişi kuralı (kritik imzalarda).
- PIN politikası: Minimum uzunluk, deneme sayısı, değişim periyodu.
- Log ve denetim: İmza olay günlüklerini düzenli bağımsız denetime açın.
- Kimlik teyidi: Sertifika başvurularında yüz yüze/uzaktan kimlik doğrulama kayıtlarının saklanması.
- Şeffaflık katmanı: Personelin kendi adına düzenlenmiş tüm aktif/sonlanmış sertifikaları görebileceği bir iç panel. (Kamu düzeyinde e-Devlet’e benzer görünürlük yararlı olur.)
