E-İmza Sisteminde Güvenlik Açığı: Kamu Çalışanlarının E-Devlet Hesapları Risk Altında

İstanbul Büyükşehir Belediyesi'ne yönelik operasyonların ardından açılan davada yargılanan Ulaş Yılmaz'ın avukatı Hüseyin Ersöz, veri sızıntısı iddialarını incelemek için Boğaziçi Üniversitesi'nden Prof. Tuna Tuğcu ve Prof. Cem Ersoy'dan bilimsel mütalaa talep etti. Hazırlanan raporda, Prof. Tuğcu e-imza sisteminde önemli bir güvenlik açığı tespit etti ve bu açığın kamu kurumlarında kullanılan e-imza aracılığıyla tüm kamu çalışanlarının e-Devlet hesaplarına erişilerek banka hesaplarına kadar ulaşılmasına olanak tanıyabileceğini belirtti.

Avukat Ersöz, bu güvenlik açığını TÜBİTAK ve Bilgi Teknolojileri ve İletişim Kurumu'na resmi olarak iletti. Raporda, TÜBİTAK sunucusunun HTTPS'ye geçiş yapmasının olumlu olduğu, ancak HTTP erişiminin hâlâ açık tutulmasının güvenlik zafiyeti oluşturduğu ve e-imza kullanımında risk doğurduğu vurgulandı. İstanbul 40. Ağır Ceza Mahkemesi'ne sunulmak üzere hazırlanan rapor sürecinde ortaya çıkan bu durum, 27 Mart'ta ilgili kurumlara bildirildi ve BTK konuyu Siber Güvenlik Başkanlığı'na sevk etti.

Uzmanlar, açığın giderilmesi için sistemin geçici olarak devre dışı bırakılmasının gerekebileceğini, bu durumun e-imza hizmetlerinin bir süre kullanılamamasına ve çok sayıda kişinin etkilenmesine yol açabileceğini belirtiyor. Raporda, katmanlı savunma modelinin uygulanması ve TÜBİTAK/KamuSM, EBYS yazılım firmaları ile kurum BT birimlerinin koordineli çalışmasının riskleri gidermek için gerekli olduğu ifade edildi.