Dosya e-İmza ve Güvenlik 14 NİSAN 2014 / 08:32

Tek bir imza ile gelen avantajlar dizisi

Elektronik imza hem kurumsal hem de kamusal faydaları ve takip edilebilirliği beraberinde getiriyor. Bunun yaygınlık kazanması için yeni uygulama zorunluluklarının hayata geçmesi bekleniyor. Bir tarafta, süreç içinde çözüm bekleyen pürüzler de kendini gösteriyor.

Islak imza süreçlerinin sebep olduğu zaman problemlerini aşmanın güvenli bir yöntemi olarak uygulamaya konan e-imza, imza süreçlerini hızlandırarak, dokümanların ‘belge’ vasfı kazanmalarını sağlarken, zaman yönetimini kolaylaştırıcı bir rol üstleniyor. E-imza; sayı, karakter ve sembollerden oluşan, elektronik verilerle kimlik doğrulaması sağlayan güvenilir bir sayısal bilgi ve imza sahibinin kimliği ile imzalanan veri ilişkilendirilerek, imzalanan verinin değiştirilmediğini ispat ediyor. Bu sayede belgelerin güvenliğini ve imzanın güvenilirliğini izlemek mümkün. FIT Solutions Teknolojiden Sorumlu Genel Müdür Yardımcısı Koray Gültekin Bahar’ın da dikkat çektiği gibi, e-Dönüşüm kavramının gelişmesi ve bu kavramın çatısı altında bulunan tüm elektronik işlem ve uygulamaların yaygınlaşmasıyla birlikte, kamusal ve ticari iş ve işlemlerin geçerliliğinin, bütünlüğünün, erişilebilirliğinin ve inkar edilemezliğinin sağlanamaması endişesi ortaya çıktı. Gelişen bilişim teknolojilerinin vazgeçilmezliği, bu soruna hızlıca ve güvenilir bir çözüm bulunması gerekliliğini doğurdu. Elektronik imza uygulaması da bu sorunun çözümü olarak hayata geçirildi. e-Dönüşüm uygulamalarını güvenilir kılan e-imza sayesinde iş akışı, anlaşmalar, sözleşmeler, faturalama ve raporlama gibi süreçlerin sayısal ortamda yapılmasının olanaklı hale gelmesi, zaman kayıplarının önlenmesinin etkili bir yöntemi olarak karşımıza çıkıyor. “Günlük rutin işlerin kaybettirdiği zaman; zamanı iyi yönetmek ve iş zekâsı geliştirmek için kullanıldığında, şirketler, sektörler ve uluslararası pazarda kalkınma ve gelişme eğrilerinin yükseleceği inancındayım” yorumunu yapan Bahar, bu yapının faydalarını şöyle detaylandırdı:
“Maliyetlerin azaltılması ve iş gücü kayıplarının önlenmesi başlığında kamusal ve ticari iş ve işlemlerin süreçlerinin sayısal ortamda gerçekleştirilmesi, basılı belge ve dokümanların yol açtığı kağıt maliyeti ve gönderim bedelinin ortadan kalkması mümkün. Depolama sorunlarına pratik çözümle, sayısal ortamda imzalanmış bir belge güvenli bir biçimde herhangi bir veri merkezinde, sınırsız olarak saklanır. Değiştirilmeden yedeklenebilir olduğu için, belge kayıplarının önüne geçilir. Ayrıca alan tasarrufu sağlanmış olur. Kağıt israfını önleyerek doğanın korunması da cabası. ‘Güvenlik’ başlığında verilerin izinsiz veya yanlışlıkla değiştirilmesinin ve silinmesinin önlenerek ‘bilgi bütünlüğü’ sağlanması, ‘kimlik doğrulama ve onaylama’ ile mesajın ve mesaj sahibinin iletiminin geçerliliğinin sağlanması, kanun ile yasal bağlayıcılığı onaylanan e-imzanın, bireylerin elektronik ortamda gerçekleştirdikleri işlemleri inkâr etmelerinin önlenmesi yani ‘inkar edilemezlik’ temel güvenlik unsurları.”
KEP adresi kullanımı zorunlu olacak
Halihazırda e-Devlet, e-şirket, e-fatura, Kayıtlı Elektronik Posta (KEP), Ulusal Yargı Ağı Bilgi Sistemi (UYAP), Merkezi Sicil Kayıt Sistemi (MERSİS) gibi uygulamaların etkin bir şekilde kullanılabilmesi için e- imzaya sahip olmak gerekiyor. Önümüzdeki dönemde e-Reçete, e-Tebligat ve Elektronik Kimlik projelerinin hayata geçmesi ve Kayıtlı Elektronik Posta (KEP) Sisteminin yaygınlaşması ile Türkiye’nin e-Dönüşümü için büyük adımlar atılmış olacak. E-Güven Genel Müdürü Can Orhun’un da dikkat çektiği gibi, 2013 yılında başlayan e-tebligata geçiş sürecinin 2014 yılı içinde tamamlanmasıyla da kamu kurumları artık tebligatı elektronik ortamda göndermeye başlayacak ve KEP adresi kullanımı zorunluluk kazanacak. Bu zorunlulukla beraber e-imza kullanımının da artış göstermesi bekleniyor. En basit tabiriyle e-imza kullanıcıları, gerçekleştirdikleri her işlem için kendi kanıtlarını oluşturuyorlar. Hukuki geçerliliğe sahip olan kayıtlar, gönderilen elektronik postalar üzerinden kimlik ve teslimat tarihi tespiti yapılmasına olanak tanırken, e-postanın içerik bütünlüğü, güvenliği ve gizliliğini de güvence altına alıyor. Can Orhun’a göre, birçok şirket güvenlik unsurları konusunda yüksek farkındalığa sahip. Konvansiyonel işlemlerin elektronik ortama taşınmasıyla birlikte, bu farkındalığın artacağını düşündüklerini vurgulayan Orhun ekledi: “Çünkü elektronik ortamda yürütülen işlemlerin en büyük tehdidi güvenlik açığı. İnternet üzerinden işlem yapan kullanıcılar yaptıkları işlemin güvenli olduğundan emin olmak istiyorlar. Biz de bu noktada e-ticaret alanında faaliyet gösteren firmalara, çevrimiçi ödeme sistemlerini yüksek güvenlikli hale getirecek güvenlik sertifikası hizmetleri sunuyoruz.”

Zaman damgasına dikkat
Bu başlıkta son dönemin en önemli uygulaması, Gümrük ve Ticaret Bakanlığı tarafından yürütülen MERSİS (Merkezi Sicil Kayıt Sistemi) projesi. Bu projeye göre, sermaye şirketleri ticaret sicili işlemlerini uzaktan ve elektronik imzayla yapabilir hale geliyor. Uygulamanın ticari hayata da önemli değer katacağı aşikâr. “Proje oldukça kapsamlı ve zor bir proje olmasına karşın yaygınlaştırma faaliyetleri başarıyla devam etmekte” yorumunu yapan TürkTrust Genel Müdürü Dr. Tolga Tüfekçi’ye göre, hem ticaret odaları hem de yapılabilecek sicil işlemlerinin çeşitliliği bazında önümüzdeki 1-2 yıl içinde e-imza ticari hayatın yerleşmiş bir parçası haline gelmiş olacak. Tüfekçi’nin tahmini, e-imza için bir sonraki aşamanın, tüzel kişiliklerden sonra bireysel kullanımı teşvik edecek kolaylıklar olacak. Bunun da önümüzdeki yıllarda gerçekleşeceğini ve e-imza pazarının olgunlaşmış bir ticari sektöre dönüşeceğini düşündüğünü vurgulayan Tüfekçi, ‘zaman damgasının’ önemine dikkat çekerek, şu bilgileri paylaştı:
“E-imzanın sağladığı en önemli güvenlik hukuki. Bir elektronik işlemin neticesinin yasa önünde kesin bağlayıcı olmasının yolu, işlemin e-imza ile tesis edilmiş olması. Böylece işlemin kimin tarafından gerçekleştirildiği, işleme ilişkin bir tahrifat olup olmadığı anlaşılır. Elbette e-imzaya bu hukuki gücü kazandıran dayandığı güvenli teknolojiler ve e-imzayı sağlayan şirketlerin güvenilirliği. E-imza kadar bilinmemesine karşın, ‘zaman damgası’ hizmetimiz de göz ardı edilmemeli. Zaman damgası, belki de en az e-imza kadar önemli hukuki sonuçları olan ve kanunla düzenlenmiş bir diğer güvenli teknoloji. Bir elektronik veriye zaman damgası eklendiğinde, bu işlemin tarih ve saat olarak zamanı ve işlemde bir tahrifat olup olmadığı kesin olarak belirlenebilir.”
BTK’dan çözüm bekleniyor
Elektronik imza, süreçlerin elektronik ortamda güvenli ve yasal geçerli olarak yürütülmesine olanak sağladığı için gün geçtikçe kullanım alanı da artıyor. Öncelikle Dahilde İşleme Rejimi, E-Beyanname gibi devlet tarafından bireyler ya da şirketlerle yürütülen uygulamalarda kullanılan elektronik imza halihazırda şirketler arası veya banka ödeme talimatları, sözleşme imzalama, sipariş alma gibi birey-şirket arası işlemlerde de oldukça yoğun kullanılmaya başlandı. Elektronik imzanın kullanımının gün geçtikçe artacağına şüphe yok. Ancak bunun için, EGA Elektronik Genel Müdürü Muzaffer Yıldırım’a göre, önemli iki sorunun çözüme kavuşması, iki önemli yeniliğin sağlanması gerekiyor. Bunlardan ilki “kurumsal imza”. Kurum kaşesi ya da imzası yerine geçecek kurumsal imzanın ivedilikle yasallaştırılması ve temin süreçlerinin belirlenmesi gerekiyor. Zira başta Elektronik Belge Yönetim Sistemi (EBYS) gibi uygulamalar olmak üzere kurum ve kuruluşlarda elektronik imzalı belge oluşturulması hızla yaygınlaşıyor.

Ancak kurumsal imza olmadığı için bu belgeler sadece kişiler tarafından kendi imzaları ile imzalanıyor ve belgenin o kuruma aitliğine ilişkin herhangi bir yasal ispat barındırmıyor. Belgelerin gerçekten kuruma aitliğinin ispatlanması, o kurumdaki yetkili kişiler tarafından imzalandığının garanti alınması için kurumsal imza zorunlu.
“Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından konunun olabildiğince hızlı çözümlenmesini bekliyoruz” diyen Yıldırım’a göre, kurumsal imza konusunda BTK’nın çözümü geciktikçe, uygulamalar da kendi çözümlerini ve düzenlemelerini yaratma yoluna gidecekler. E-fatura uygulamasında bu amaçla mali mühür tanımlandı ve kurumlar e-fatura için mali mühür temini yaptılar. “Kurumsal imza sorunu çözülmediği sürece, uygulamalar kendi düzenlemelerini yapacaklar, kurumlar her uygulama için farklı isim altında mali mühür gibi bir kurumsal imza temin etmek zorunda kalacaklar” yorumunu yapan Yıldırım’a göre, ikinci önemli yenilik elektronik belgelerin paylaşımına ilişkin düzenlemeler. “Kağıt belgeye oranla çok daha kolay olması gereken elektronik belge paylaşımı konusu ne yazık ki hala çözülebilmiş değil” diyen Yıldırım, KEP bunun için bir çözüm olsa da, bu çözümün yeterli mevzuatsal düzenleme ve yaptırımlara sahip olmadığı kanısında. Bu temel iki yenilik sağlandığında, Yıldırım’a göre, elektronik imza kullanımının çok daha yaygın hale gelmesi kaçınılmaz.
“Sadece beyan alınıyor”
Elektronik imza, özellikle kimlik doğrulama konusunda yasal dayanağı olan, zorunlu mali sorumluluk sigortası ile desteklenmiş tek güvenlik aracı. Kullanıcı adı/şifre ya da tek kullanımlık şifre gibi yöntemlere alternatif, çok daha güvenli ve yasal geçerli olarak sağlayan tek yasal güvenlik aracı elektronik imza. Ayrıca, elektronik imzanın şifreleme, yani veri gizliliği konusunda herhangi bir katkısının olmadığı unutulmamalı. Ama konu ‘güvenlik’ olunca, Yıldırım şu eleştiriyi yapmadan geçmedi:
“Ne yazık ki şirketlerin çoğunda hala “Türk’e bir şey olmaz” inancı hakim. Sorun yaşayana kadar güvenlikle ilgili yatırım yapmak istemiyorlar. Elektronik imza, şirketleri oldukça güvenli ortama taşıyor ama şirketlerin doğru imzalama/doğrulama aracını kullandıklarından emin olmaları gerekiyor. Bu konuda sorunluluk kendilerinde. Zira güvenebilecekleri onaylı yazılımların listesini bulabilecekleri bir yer yok. BTK’nın bu konuda düzenleme yapması için uzun süre uğraşlar verildi ancak sahadaki tüm düzenlemeleri yapmak bir yana, sorumlu oldukları elektronik sertifika hizmet sağlayıcılarının sunduğu imzalama/doğrulama araçlarının bile standartlara uygunluğu denetlenmiyor, bu konuda sadece beyan alınıyor.”

KÜÇÜK VE ORTA BOY İŞLETMELER BİLGİLENDİRİLMELİ

Elektronik imza kavramının; toplumun geneli tarafından bilinen bir kavram haline geldiğini söylemek mümkün. Ancak, İnnova Yönetim Sistemleri Danışmanlığı Yöneticisi Burak Bestel’in de belirttiği gibi, kullanım yaygınlığı halen istenilen düzeye erişmiş değil. UYAP (Ulusal Yargı Ağı Bilişim Sistemi), turkiye.gov.tr e-Devlet portalı, Sanayi Bakanlığı E-Hizmetler, Kamu İhale Kurumu EKAP uygulaması, MERSİS – Merkezi Kayıt Sistemi gibi işlemlerinde elektronik imzanın kullanılması gereken kurumsal uygulamalar, bu hizmetlerden yararlanan ilgili kişilerin elektronik imza kullanımını da gerekli kılıyor. Bestel’e göre, son dönemde bazı sektörler için kullanılması zorunlu hale getirilen e-fatura ve kayıtlı elektronik posta (KEP) gibi uygulamaların da elektronik imzanın kullanımını artırdığını söylemek mümkün. Türkiye’de elektronik imza servisleri sunan tüm kurumlar 5070 sayılı Elektronik İmza Kanunu ve teknik kriterleri tanımlayan ilgili tebliğlerde belirtilen standartlara sahip olmakla yükümlü. Buna göre, güvenli elektronik imza, gerçek kişiler adına oluşturulur, ıslak imza ile aynı hukuki geçerliliğe sahip olur. Bu yapının güvenlik farkındalığı yaratıp yaratmadığı konusuna ise Bestel, şu yorumu yaptı:
“Büyük kurumları ve e-tebliğ gibi uygulamalar nedeni ile günlük hayatlarında sürekli kullanmaya başlayan avukatlar gibi meslek grupları mensupları bu güvenlik unsurlarının genel olarak farkındalar ve yoğun olarak elektronik imzadan yararlanıyorlar. Ancak elektronik imza henüz küçük ve orta boy işletmelerin bir önceliği haline gelmediği için bu konuyla ilgili yeterli bilgi sahibi oldukları söylenemez. Bu nedenle bilgilendirme ve özendirme çalışmalarının süreklilik arz etmesi gerek.”

BELGE GÖNDERİMİNDE NET KANIT

Bürokratik gerekliliklerin e-Devlet uygulamalarıyla hızlandırılması ve pratikleştirilmesi, toplumsal olarak vatandaş sorumluluklarının yerine getirilmesinde ve vatandaş haklarının korunmasında büyük bir hız ve güvenlik imkanı yaratıyor. “Kurumsal e-dönüşüm eğilimleri arasında en çok dikkat çeken ve en hızlı benimsenen kolaylığı elektronik imza uygulamaları olarak görüyoruz” diyen Anadolu Bilişim Kurumsal Uygulama Hizmetleri Direktörü Atakan Karaman, güvenlik yapısını ise şöyle detaylandırdı:
“5070 sayılı Elektronik İmza Kanunu’na göre, elektronik imza başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi ifade ediyor. Elektronik imza, elle atılan imza ile aynı hukuksal geçerliliğe sahip. Kurumsal bazda çözümlerimiz arasında yer alan e-fatura, e-defter ve e-reçete uygulamalarında, çalışanlar için izin talep formlarında, yöneticilerin ve çalışanların e-imzalı e-posta gönderimlerinde, her türlü sözleşmede e-imza, ıslak imzayla aynı hukuksal geçerliliği sağlıyor. Güvenlik açısından e-imza, belgenin bütünlüğünü ve kimlik doğrulamasını ıslak imzayla eş derecede güvence altına alıyor. Elektronik işlemlerde gönderilen ya da onaylanan bilginin kişiye ait olduğunu garantiliyor. Belge gönderiminin kanıtı ve arşivlenmesine zemin hazırlıyor. Belgelerin hukuksal açıdan zamanını ve tarihini doğrulayan bir imzaya dönüşüyor. Bunun için zaman damgası kullanılıyor. Ayrıca sayısal ortamda depolanmış mesajların değiştirilmediğini tasdikliyor. Erişim güvenliği alanında da internet ve yerel ağlara erişim kontrolü için elektronik imza kullanılabiliyor.”

E-DÖNÜŞÜM SÜRECİ HIZLANDI

İşlev ve içerik olarak ıslak imza ile aynı niteliğe sahip olan elektronik imzanın güvenlik açısından kazandırdıklarını üç başlıkta toplamak mümkün: Elektronik imza gönderilen bilginin yolda değişmediğini yani bilgi bütünlüğünü, gönderilen bilginin gönderen kişiye ait olduğunu yani kimlik doğrulamayı ve gönderilen bilginin inkar edilemeyeceğini garantiliyor. TNB E-imza Kurumsal Satış Yöneticisi Berkan Çağlar’ın da belirttiği gibi, günümüz itibarıyla neredeyse bir zorunluluk haline gelen elektronik imza, Türkiye’nin içinde olduğu e-Dönüşüm sürecini daha da hızlandırdı. Bu süreç içerisinde kamunun ve şirketlerin hizmet kaliteleri de giderek artıyor. Buna örnek yine Çağlar’dan geldi:
“2014 yılında il ve ilçeler bazında hızla yaygınlaşan MERSİS uygulaması ile şirketler, ticaret sicil müdürlüklerinde önceleri elle (manuel) yaptıkları adres değişikliği, unvan değişikliği, sermaye artırımı gibi işlemleri artık elektronik ortamda sahip oldukları e-imzalar ile bizzat yapabilmekte. Yine anonim şirketler ve kooperatifler de genel kurullarını elektronik imzaları ile MERSİS üzerinden beyan edebiliyorlar.”
Özel sektörde de elektronik imza kullanım alanı giderek yaygınlaşıyor. Bayi ağı iletişim ve sipariş süreçleri, elektronik belge yönetim sistemleri (EBYS), imzala gönder uygulamaları yoğun iş temposunda belge ve bilgi güvenliğini artırmakla beraber, Çağlar’ın da dikkat çektiği gibi, zaman ve maliyet tasarrufu da sağlıyor.
ETİKETLER : Sayı:967