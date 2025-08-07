Ankara Cumhuriyet Başsavcılığı, daire başkanı düzeyindeki kamu yöneticileri adına sahte kimlik belgeleriyle elektronik imza (e-imza) üretildiğini ve bu imzalarla kamu sistemlerine girilerek çok sayıda sahte diploma ve not değişikliği yapıldığını tespit etti. Soruşturma kapsamında 134 şüpheli hakkında kamu davası açıldı.

Bu olay, e-imza sisteminin zafiyetlerini ortaya koymakta ve çok katmanlı önlemlerin alınmasını zorunlu kılmaktadır.

İşte Sahte e-imza iddianamesine dayalı olarak kamunun alması gereken acil tedbirler

1. Kimlik Doğrulama Sürecinin Yeniden Yapılandırılması

Tespit: Şüpheliler, mağdurların gerçek T.C. kimlik bilgileri ile kendi fotoğraflarını birleştirerek sahte belgeler üretmiş.

Çözüm:-Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü (NVİGGM) ile online doğrulama entegrasyonu zorunlu hale getirilmeli.

Kimlik belgesi ve fotoğraf, NVİ sisteminden anlık sorgulanarak kişinin fiziken başvuruda bulunup bulunmadığı doğrulanmalıdır.

-Kimlik doğrulamada "canlılık tespiti" yapılmalıdır (örneğin yüz tanıma + mimik hareketi testi gibi).

2. Elektronik İmza Başvurusunda "Kurumsal Onay" Zorunluluğu

Tespit: Daire başkanları ve kamu üst yöneticilerinin bilgisi olmadan e-imza çıkarılabilmiş.

Çözüm: -Kamu personeli adına yapılacak e-imza başvuruları, ilgili kurumun e-Devlet kapısı üzerinden yapılacak "onay kodu" ile tamamlanmalıdır.

-E-imza üretim süreci, kişinin çalıştığı kurum tarafından tekil bir onay işlemine (örneğin EYP ya da KEP üzerinden) bağlanmalıdır.

3. Ofis/Bayi Temelli E-İmza Üretiminin Sıkı Denetimi

Tespit: Şüpheliler, Adana, Hatay, İstanbul gibi illerdeki e-imza sağlayıcı ofislerini kullanarak işlemleri gerçekleştirmiş.

Çözüm: Yetkili e-imza sağlayıcıların ofislerinde emniyet kayıt sistemleri (kamera, giriş çıkış, işlem günlüğü) zorunlu hale getirilmeli.

BTK, her üretim işlemine ait logları, fiziksel başvuru anına dair biyometrik verilerle eşleştirmeli ve denetlemelidir.

Her e-imza başvurusunda kişiye ait anlık fotoğraf alınarak başvuru belgesine dijital olarak entegre edilmelidir.

4. Kurum Sistemlerine Erişimde IP/MAC Kısıtlaması

Tespit: Şüpheliler e-imzaları kullanarak internet bağlantısı üzerinden sistemlere erişmiş.

Çözüm: YÖKSİS, MEBBİS, ÖSYM gibi sistemler; e-imza ile erişimi sadece kurumsal IP ve MAC adresi ile sınırlı tutmalıdır.

Her erişim girişimi için 2 faktörlü doğrulama (e-imza + mobil onay) istenmelidir.

5. E-İmza ile Yapılan İşlemler İçin "Şeffaf İz Kayıtları"

Tespit: Sahte e-imzalarla yapılan işlemler, uzun süre fark edilmemiş.

Çözüm: Tüm kamu sistemlerinde e-imza ile yapılan işlemlerde;

İşlem anı, IP, lokasyon, imza sahibi, işlem türü açık şekilde loglanmalı.

Kurum içi sistem yöneticisi bu loglara haftalık periyotlarla erişip raporlama yapabilmelidir.

Kamu personeli e-imzaları için anlık işlem bildirimi yapılmalıdır. (Örn: "Adınıza şu sistemde e-imza ile işlem yapılmıştır" uyarısı.)

6. Merkezi Alarm Sistemi ve Anomali Tespiti

Tespit: AGNO(Ağırlıklı genel not ortalaması) değişimi, sahte mezuniyet, diploma üretimi gibi uç işlemler yapıldığı halde sistemler alarm üretmemiş.

Çözüm: Kamu sistemleri, olağandışı işlemler için otomatik uyarı sistemi içermelidir.

Örneğin: "Bir öğrenciye ait AGNO bir günde %100 artmışsa yöneticilere e-posta bildirimi gitmeli."

YÖK, MEB gibi kuruluşlarda sahte mezuniyet sorgulaması için anomali tespit sistemleri kurulmalıdır.

7. Kurumlara Sahte E-İmza İzleme Paneli

Tespit: Kurumlar, kendi personeli adına sahte e-imza çıkarıldığını fark edememiştir.

Çözüm: TÜBİTAK KamuSM, e-İmzaTR gibi sağlayıcılar, kurumlara ait tüm e-imzaları gerçek zamanlı izleyebilmektedir. E-Devlet üzerinden hali hazırda sorgulama yapılabilmektedir. Personel adına yeni bir e-imza çıkarıldığında kurum e-posta/KEP ile acil olarak bilgilendirilmelidir. Bilgilendirme süreci, adına sahte e-imza çıkarılan yöneticinin inisiyatifine bırakılmamalı, e-imza çıkaran kurumlarca mecburi olarak bilgilendirme yapılmalıdır.

Yukarıda sadece teknik yönden bilgi verilmiştir. Ancak adına sahte diploma çıkarmak için dolandırıcılarla iş yapanlara verilecek ceza Türk Ceza Kanununda çok azdır. Yapılacak yargılamanın caydırıcı olabilmesi açısından dolandırıcıların yanı sıra bu işe tevessül ettiği ispatlanan kişilerin daha ağır ceza almasına yönelik de düzenleme yapılmalıdır.