BTK, e-imza veri havuzu iddialarını yalanladı
Açıklamanın kapsamı ve dayanağı
Bilgi Teknolojileri ve İletişim Kurumu (BTK), elektronik imza (e-imza) veri havuzunun hacklendiğine dair çıkan haber ve paylaşımları tamamen asılsız olarak nitelendirdi. Kurum, konuya ilişkin açıklamayı kamuoyunu doğru bilgilendirmek amacıyla BTK'nin NSosyal hesabından duyurdu.
Açıklamada, Türkiye'de kullanılan tüm e-imzaların BTK tarafından yetkilendirilen 8 Elektronik Sertifika Hizmet Sağlayıcı (ESHS) tarafından üretildiği ve BTK'nin ilgili kanun kapsamında ESHS'leri denetleme ve sektörü düzenleme yetkisine sahip olduğu hatırlatıldı.
Sertifikaların saklanma biçimi ve kişisel veriler
BTK açıklamasına göre her bir "Nitelikli Elektronik Sertifika", uluslararası standartlarda kriptografik algoritmalarla şifrelenmiş şekilde yalnızca sertifika sahibinin elindeki USB e-imza cihazında bulunuyor. Kurum, bu bağlamda şu ifadeyi paylaştı: "e-İmza sisteminde, e-imza sahiplerinin pin kodları veya herhangi bir kişisel verisi dahil hiçbir verisi BTK bünyesinde tutulmamaktadır."
ESHS'lerin ise yalnızca sertifikayı kullanan kişinin başvuru esnasında sunduğu kişisel verilere sahip olduğu, dolayısıyla sertifika veya pin kodu bilgilerinin herhangi bir veri havuzundan çalınması veya bu tip bir veri sızıntısının yaşanmasının söz konusu olmadığı vurgulandı. Ayrıca, Türkiye’de bulunan tüm e-imzalara ait bilgilerin BTK ya da e-Devlet Kapısı dahil toplu halde herhangi bir veri havuzunda barındırılmadığı bildirildi.
BTK açıklamasında, siber güvenlik alanında yanıltıcı ve yanlış bilgilerin yayılmasının toplumda endişe, korku ve panik oluşturma potansiyeline sahip olduğuna dikkat çekildi ve elektronik imza hizmetlerinin güvenilirliğini zedeleyici algılar yaratılmaması gerektiği ifade edildi.
Yasal süreç ve suç duyurusu
Açıklamada ayrıca bu tür eylemlerin Siber Güvenlik Kanunu kapsamında suç teşkil ettiği hatırlatıldı ve kanundan şu hükme atıfta bulunuldu: "Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara 2 yıldan 5 yıla kadar hapis cezası verilir."
BTK, 2 milyon 500 bin üzerinde e-imza kullanıcısını asılsız haber ve paylaşımlar ile endişeye sürükleyen kaynaklar hakkında suç duyurusunda bulunulduğunu ve yasal sürecin başlatıldığını duyurdu.
BTK'nin açıklaması; e-imza altyapısının saklanma biçimi, sorumluluk dağılımı ve mevzuat çerçevesinde kamuoyunu bilgilendirmeyi amaçlıyor.
