Dosya e-İmza ve Güvenlik 14 NİSAN 2014 / 08:34

Her türlü imzada hassasiyeti korumak şart

Islak imzaya karşı çok daha güvenli bir yapı sunan elektronik imzada, yine de kullanıcı farkındalığı her zamanki gibi büyük önem taşıyor. Yasadışı adımlarda cezai müeyyideler de son derece net.

E imza, elle atılan imza ile aynı hukuki geçerliliğe sahip ve gerçek kişiler adına oluşturuluyor. “Kurum adına e imza oluşturulmaz” hatırlatmasını yapan İnnova Yönetim Sistemleri Danışmanlığı Yöneticisi Burak Bestel’in de belirttiği gibi, e imza, kullanıcıya hukuki olarak paylaştığı bir belgenin, mektubun veya benzeri bir evrakın gerçekten kendi imzası ile imzaladığını kanıtlamasını sağlıyor. Bu açıdan, özellikle devamında hukuki bağlayıcılığı olabilecek olan sözleşmeler, teklifler, personel akitleri gibi her tür elektronik yazışmanın e imza ile gönderilmesi ciddi bir hukuki güvence sağlıyor. Ayrıca dokümanın daha sonra değiştirilmediğini garanti altına alarak, e-imzalı dokümanlara ispat gücünü beraberinde getiriyor.
E imzanın sahtekârlık ve izinsiz kullanımı da, aynı ıslak imzanın taklit edildiği koşuldaki gibi hukuken bir suç teşkil ediyor. “E imza sahibinin de, aynı boş bir kâğıdın altını imzalamaması gerektiği gibi, e imza bilgilerini de güvenli tutması ve kimseyle paylaşmaması çok önemli” hatırlatmasını yapan Bestel’e göre, ‘güvenlik’ başlığındaki yasal yapılanma, yasanın yazıldığı günü göz önüne alırsak yeterli olarak görünebilir. Ancak teknoloji, özellikle de iletişim teknolojileri çok hızla gelişen ve değişen bir dinamiğe sahip. Dolayısıyla, bu süreçte oluşan yeni sayısal tehditlere, yeni kullanılmaya başlayan iletişim altyapılarına ve benzeri tüm değişime yönelik olarak kanunda da eksik kalan yanlara dair sürekli yeni düzenlemeler yapmak gerekiyor. Bestel’in de dikkat çektiği gibi, bu durum zaten sadece e imza ile ilgili değil. Siber suçları ve bilişim uygulamalarını düzenleyen bütün kanunlar, birçok diğer kanundan çok daha kısa bir sürede yeni düzenleme gereksinimi duyar hale geliyor.

Sertifika üreticileri de sorumluluk sahibi
23 Ocak 2004 tarih ve 25355 sayılı Resmi Gazete’de yayımlanarak, 23 Temmuz 2004 tarihinde yürürlüğe girmiş bulunan 5070 sayılı Elektronik İmza Kanunu ile güvenli elektronik imzanın elle atılan ıslak imza ile aynı ispat gücüne sahip olduğu ve bu şekilde oluşturulan elektronik verilerin hukuken geçerli olacağı hususları düzenlendi. İlgili maddelere bakıldığında, 5’inci madde ”Elle atılan imza ile aynı hukuki sonucu doğurmaktadır.”, 22’inci madde “Elle atılan imza ile aynı ispat gücüne haizdir.” ve 23’üncü madde uyarınca da “Oluşturulan elektronik veriler senet hükmündedir” ibareleri var. TNB E-imza Kurumsal Satış Yönetici Berkan Çağlar’ın eklediği bilgi ışığında, 5070 sayılı kanunun 16. maddesinde de belirtildiği gibi, bu tarz yasadışı yollara başvuranlar bir yıldan üç yıla kadar hapis ve beş yüz milyon liradan aşağı olmamak üzere ağır para cezaları ile cezalandırılmakta. “Bu suçu işleyen eğer elektronik sertifika hizmet sağlayıcısı çalışanları ise bu suça getirilen ceza ağırlaşmış, cezanın yarısına kadar arttırılabileceği belirtilmiştir” bilgisini de ekleyen Çağlar, yasal yaptırımların yanında, burada sertifikayı üreten firmalara da önemli görevler düştüğünün altını çizdi.
Güvenilir bir araç
Türkiye’de elektronik imzaya ihtiyaç duyulmasının en önemli sebebi, hukuki işlemlerde güvenlik, kimlik tespiti, inkar edilmeme gibi özelliklerin sağlanmak istenmesi. Elektronik İmza Yasası’nda yer alan usullere göre güvenli elektronik imza ile oluşturulan elektronik veriler senet hükmünde. Bu veriler, aksi ispat edilinceye kadar kesin delil sayılıyorlar. Elektronik imzanın ıslak imza kadar bağlayıcı oluşu, hukuki gücünü de tescilliyor. “Elektronik imzanın izinsiz kullanımıyla ilgili yasada belirtilen 2-5 yıl arası hapis ve yüklü para cezaları bulunuyor” bilgisini veren Anadolu Bilişim Kurumsal Uygulama Hizmetleri Direktörü Atakan Karaman’ın da belirttiği gibi, elektronik imzada sahtecilik, ıslak imzada ve resmi evrakta sahtecilikle eşdeğer tutulan bir suç. “Elektronik imza pazarının oluşumu ve gelişimi aşamasında, sahte ve taklit elektronik sertifika oluşturma olasılığına karşın kanunda yer alan maddeler, bu tür olumsuz davranışların da önüne geçti” diyen Karaman’a göre, bu sebeple günümüzde elektronik imza, güvenilir bir araç olarak hayatımızda yer alıyor.

TAKLİT VE TAHRİBE KARŞI ÖNLEM

E-imza elektronik işlemlerde gönderilen bilginin yolda değişmediğini, gönderen kişiye ait olduğunu, inkâr edilemeyeceğini ve elektronik ortamda gerçekleşen işlemlerde kişilerin kimlik bilgilerinin doğruluğunu garantiliyor. Kullanıcılar, 5070 sayılı Elektronik İmza Kanunu kapsamında e-imza ile gerçekleştirdikleri işlemlerinde, tıpkı ıslak imzada olduğu gibi hukuki geçerliliğe sahip bir delil oluşturmuş oluyorlar. E-Güven Genel Müdürü Can Orhun’un da dikkat çektiği gibi, e-imzada sorumluluk belli aşamalarda farklı kurum ve kişiler üzerinde. Elektronik imzanın kullanıcıya teslimine kadar olan süreçteki tüm adımların güvenliğinden elektronik sertifika hizmet sağlayıcılar sorumlu. Kimlik doğrulamanın yapılmasından, elektronik imzanın üzerine yüklenmiş olan yüksek güvenli cihazların kullanıcıya ulaştırılması ve en son şifrelerin de güvenli kanallarda kullanıcıya ulaştırılmasına kadar olan sürecin sorumlusu da, bu konuda BTK tarafından yetkilendirilmiş elektronik sertifika hizmet sağlayıcılarda. Orhun’un belirttiği gibi, bu aşamaya kadar sorumluluk ve yaptırımlar 5070 sayılı elektronik imza kanunu kapsamında belirleniyor. “Elektronik imzaların kullanıcıya teslim aşamasından sonra ise sorumluluk imza sahibine geçer. Yani o aşamadan sonra ıslak imza için geçerli olan tüm yaptırımlar, elektronik imza için de geçerlidir” bilgisini veren Orhun, şu eklemeyi yaptı:  “Bunun yanı sıra, geçerli olarak oluşturulan elektronik sertifikaları taklit veya tahrip etmeye teşebbüs etmesi ihtimali de göz önünde bulundurduğumuz konulardan biri. Nitelikli elektronik sertifika pazarının bu tarz yasadışı işlem gerçekleştirenlere karşı kendini ağır para cezasıyla güvence altına alıyor.”

İKİ KRİTİK KONUDA DÜZENLEMEYE İHTİYAÇ VAR

E-imza, 5070 Sayılı Elektronik İmza Kanunu ile sıkı bir biçimde düzenleniyor. Hizmet veren şirketlerin yetki ve sorumlulukları yanında, e-imza sahipleri ile diğer kişilerin sorumlulukları da kanunla belirleniyor. Türk Ceza Kanunu genel hükümleri yanında, sahtekârlık, izinsiz kullanım ve benzeri haller elektronik imza kanunda da ayrıca ağır cezai yaptırımlarla karşılanıyor. “Burada, özellikle e-imza sahibi vatandaşlarımıza, e-imzalarını kesinlikle başkalarına vermemeleri ve kullandırmamaları gereğini hatırlatmak isterim. Sonuçlarından ciddi mağduriyetler ve zararlar doğabileceği hiç akıldan çıkarılmamalı” diyen TürkTrust Genel Müdürü Dr. Tolga Tüfekçi, “Bir diğer önemli husus da şu: E-imza şirketleri dünyada olduğu gibi ülkemizde de rekabete açık bir pazarda ticari faaliyet yürütüyor. Ancak, bankacılık sektöründe olduğu gibi e-imza pazarında da rekabetin sıkı sıkıya belirlenmiş sınırlar içinde yürütülmesi, hizmet kalitesi ve güvenirlikten taviz olmadan hizmet verilmesi son derece önemli. Aksi halde, kamusal zararlarla karşılaşılması kaçınılmaz” uyarısını yaptı. Tüfekçi’ye göre, bilgi güvenliği, düzenlenmesi çok zor bir alan. E-imza, güvenlik başlığı altında pek çok alandan sadece birisi ve Tüfekçi’nin tabiriyle bizim hukuk sistemimizde de en iyi düzenlenmiş alan. E-imza dışında, 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ile Türk Ceza Kanunu dışında “güvenlik” yönüyle elektronik ortamı ele alan fazla bir düzenleme bulunmuyor. Bu bağlamda, Tüfekçi, öncelikle iki kritik konuda düzenlemeye ihtiyaç olduğu kanısında. Bunlardan birisi “kişisel verilerin korunması”, diğeri de “siber güvenliğe ilişkin kurumsal yapılanma”. “Bu düzenlemelerin sadece “suç ve ceza” perspektifiyle yapılması istenen sonuçları vermeyecektir” hatırlatmasını da yapan Tüfekçi, yorumunu şöyle devam ettirdi:
“Düzenlemelerin amacı öncelikle birey hak ve özgürlüklerinin korunması olmalı. İnsanlarımızın bilişim teknolojilerinden en üst düzeyde yarar sağlamasına imkân tanınırken, genel kamu düzeninin de ancak bu biçimde sağlanabileceği unutulmamalı. Bu alandaki bilgi birikiminin ve bilincin arttırılması yönünde yapılacak çalışmalar, pek çok yasal düzenlemeden daha fazla yarar sağlayacaktır.”

SAHADAKİ RİSKLERE KARŞI DİKKATLİ OLUNMALI

Elektronik imza kişiye elektronik ortamda kendini ve yaptığı işlemi yasal olarak ispatlama, saldırılara karşı korunma gücünü sağlıyor. Elektronik imza, doğru kullanıldığı sürece, halihazırda en güvenli yasal yöntem. EGA Elektronik Genel Müdürü Muzaffer Yıldırım, bu yapıyla ilgili dikkat edilmesi gereken şu detaylara işaret etti:
“Elektronik imzanın kullanım sorumluluğu kişilerdedir. İmza ve erişim şifresi iyi korunduğu sürece taklit edilmesi, sahtekârlık yapılması mümkün değil. Elektronik imzada, kişi doğru kullandığı sürece ve şifresini kimseyle paylaşmadığı sürece, herhangi bir sahtekârlık ya da izinsiz kullanım söz konusu olmaz. Ancak elektronik imzada konuya sertifikaların başvuru ve üretim süreçleri açısından bakmakta fayda var. ESHS’lerin doğru kimlik tespiti yapmadan sertifika üretmeleri, kuryelerin sertifikaları hatalı kişilere teslim etmesi gibi durumlar oluşabilir. Bu süreçlerin doğru yönetildiğinin kontrolü BTK’da olmakla birlikte, sahada oluşabilecek özel durumlar için kişilerin dikkatli olması gerekir.”
ETİKETLER : Sayı:967