Kamu kurumları, sahte e-imza olayından hangi dersleri çıkarmalı!
Sahte e-imza soruşturmasına dair iddianame incelendiğinde, sahte kimlik belgeleriyle daire başkanı düzeyindeki kamu görevlileri adına fiziksel ofislerden elektronik imza çıkarıldığı, bu e-imzalarla YÖKSİS ve MEBBİS gibi sistemlere erişim sağlanarak not değiştirme, diploma oluşturma ve öğrenci kaydı gibi kritik işlemler yapıldığı görülmektedir. Kamu kurumlarının yaşanan sorunu aşabilmek amacıyla bazı tedbirler ele alması gerekmekte olup, memurlar.net tarafından hazırlanan bu yazıda söz konusu bu tedbirlere yer verilecektir.
Ankara Cumhuriyet Başsavcılığı, daire başkanı düzeyindeki kamu yöneticileri adına sahte kimlik belgeleriyle elektronik imza (e-imza) üretildiğini ve bu imzalarla kamu sistemlerine girilerek çok sayıda sahte diploma ve not değişikliği yapıldığını tespit etti. Soruşturma kapsamında 134 şüpheli hakkında kamu davası açıldı.
Bu olay, e-imza sisteminin zafiyetlerini ortaya koymakta ve çok katmanlı önlemlerin alınmasını zorunlu kılmaktadır.
İşte Sahte e-imza iddianamesine dayalı olarak kamunun alması gereken acil tedbirler
1. Kimlik Doğrulama Sürecinin Yeniden Yapılandırılması
Tespit: Şüpheliler, mağdurların gerçek T.C. kimlik bilgileri ile kendi
fotoğraflarını birleştirerek sahte belgeler üretmiş.
Çözüm:-Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü (NVİGGM) ile online
doğrulama entegrasyonu zorunlu hale getirilmeli.
Kimlik belgesi ve fotoğraf, NVİ sisteminden anlık sorgulanarak kişinin fiziken
başvuruda bulunup bulunmadığı doğrulanmalıdır.
-Kimlik doğrulamada "canlılık tespiti" yapılmalıdır (örneğin yüz tanıma + mimik
hareketi testi gibi).
2. Elektronik İmza Başvurusunda "Kurumsal Onay" Zorunluluğu
Tespit: Daire başkanları ve kamu üst yöneticilerinin bilgisi olmadan
e-imza çıkarılabilmiş.
Çözüm: -Kamu personeli adına yapılacak e-imza başvuruları, ilgili
kurumun e-Devlet kapısı üzerinden yapılacak "onay kodu" ile tamamlanmalıdır.
-E-imza üretim süreci, kişinin çalıştığı kurum tarafından tekil bir onay işlemine
(örneğin EYP ya da KEP üzerinden) bağlanmalıdır.
3. Ofis/Bayi Temelli E-İmza Üretiminin Sıkı Denetimi
Tespit: Şüpheliler, Adana, Hatay, İstanbul gibi illerdeki e-imza
sağlayıcı ofislerini kullanarak işlemleri gerçekleştirmiş.
Çözüm: Yetkili e-imza sağlayıcıların ofislerinde emniyet kayıt sistemleri
(kamera, giriş çıkış, işlem günlüğü) zorunlu hale getirilmeli.
BTK, her üretim işlemine ait logları, fiziksel başvuru anına dair biyometrik
verilerle eşleştirmeli ve denetlemelidir.
Her e-imza başvurusunda kişiye ait anlık fotoğraf alınarak başvuru belgesine
dijital olarak entegre edilmelidir.
4. Kurum Sistemlerine Erişimde IP/MAC Kısıtlaması
Tespit: Şüpheliler e-imzaları kullanarak internet bağlantısı üzerinden
sistemlere erişmiş.
Çözüm: YÖKSİS, MEBBİS, ÖSYM gibi sistemler; e-imza ile erişimi sadece
kurumsal IP ve MAC adresi ile sınırlı tutmalıdır.
Her erişim girişimi için 2 faktörlü doğrulama (e-imza + mobil onay) istenmelidir.
5. E-İmza ile Yapılan İşlemler İçin "Şeffaf İz Kayıtları"
Tespit: Sahte e-imzalarla yapılan işlemler, uzun süre fark edilmemiş.
Çözüm: Tüm kamu sistemlerinde e-imza ile yapılan işlemlerde;
İşlem anı, IP, lokasyon, imza sahibi, işlem türü açık şekilde loglanmalı.
Kurum içi sistem yöneticisi bu loglara haftalık periyotlarla erişip raporlama
yapabilmelidir.
Kamu personeli e-imzaları için anlık işlem bildirimi yapılmalıdır. (Örn: "Adınıza
şu sistemde e-imza ile işlem yapılmıştır" uyarısı.)
6. Merkezi Alarm Sistemi ve Anomali Tespiti
Tespit: AGNO(Ağırlıklı genel not ortalaması) değişimi, sahte mezuniyet,
diploma üretimi gibi uç işlemler yapıldığı halde sistemler alarm üretmemiş.
Çözüm: Kamu sistemleri, olağandışı işlemler için otomatik uyarı sistemi
içermelidir.
Örneğin: "Bir öğrenciye ait AGNO bir günde %100 artmışsa yöneticilere e-posta
bildirimi gitmeli."
YÖK, MEB gibi kuruluşlarda sahte mezuniyet sorgulaması için anomali tespit sistemleri
kurulmalıdır.
7. Kurumlara Sahte E-İmza İzleme Paneli
Tespit: Kurumlar, kendi personeli adına sahte e-imza çıkarıldığını fark
edememiştir.
Çözüm: TÜBİTAK KamuSM, e-İmzaTR gibi sağlayıcılar, kurumlara ait tüm
e-imzaları gerçek zamanlı izleyebilmektedir. E-Devlet üzerinden hali hazırda
sorgulama yapılabilmektedir. Personel adına yeni bir e-imza çıkarıldığında kurum
e-posta/KEP ile acil olarak bilgilendirilmelidir. Bilgilendirme süreci, adına sahte e-imza çıkarılan yöneticinin inisiyatifine bırakılmamalı, e-imza çıkaran kurumlarca mecburi olarak bilgilendirme yapılmalıdır.
Yukarıda sadece teknik yönden bilgi verilmiştir. Ancak adına sahte diploma çıkarmak için dolandırıcılarla iş yapanlara verilecek ceza Türk Ceza Kanununda çok azdır. Yapılacak yargılamanın caydırıcı olabilmesi açısından dolandırıcıların yanı sıra bu işe tevessül ettiği ispatlanan kişilerin daha ağır ceza almasına yönelik de düzenleme yapılmalıdır.