Türkiye'de kamuoyunu sarsan para karşılığı sahte üniversite diploması ve sürücü belgesi düzenlenmesi skandalının yankıları sürerken, dijital altyapıya yönelik çok daha büyük bir endişe dalgası yaratan yeni bir iddia ortalığı karıştırdı. Sosyal medya ve bazı platformlarda hızla yayılan ve milyonlarca vatandaşı doğrudan ilgilendiren "BTK bünyesinde ülke genelindeki tüm e-imza kullanıcılarının şifrelerinin tutulduğu veri havuzunun hacklendiği" yönündeki söylentiler, dijital güvenlik konusunda büyük bir panik yarattı. Bu ciddi iddia üzerine harekete geçen Bilgi Teknolojileri ve İletişim Kurumu (BTK), konuya ilişkin yaptığı sert ve net açıklamayla iddiaları temelden çürütürken, kasıtlı olarak dezenformasyon yayanlar hakkında hukuki sürecin başlatıldığını duyurdu.
Toplumu sarsan iddia: Şifre havuzu patlatıldı mı?
Her şey, elektronik imza kullanılarak yasa dışı yollarla resmi belge düzenlendiğinin ortaya çıkmasıyla başladı. Bu skandalın yarattığı güvensizlik ortamı, çok daha tehlikeli bir söylenti için uygun zemini hazırladı. Kısa sürede yayılan iddiaya göre, Türkiye'deki yaklaşık 2,5 milyon e-imza kullanıcısının PIN kodları ve kişisel verilerinin saklandığı merkezi bir sistem saldırıya uğramış ve tüm bilgiler çalınmıştı. Bu iddia, e-imzayı bankacılık işlemlerinden resmi başvurulara, şirket sözleşmelerinden e-Devlet hizmetlerine kadar hayatın her alanında kullanan milyonlarca insan için adeta bir kâbus senaryosuydu. Kimlik hırsızlığı, banka hesaplarının boşaltılması ve adlarına şirketler kurulması gibi risklerle karşı karşıya olduklarını düşünen vatandaşlar, büyük bir endişe ve korku yaşadı. Söylentinin yayılma hızı, dijital çağda dezenformasyonun ne kadar yıkıcı olabileceğini bir kez daha gözler önüne serdi.
BTK'dan net yanıt: Böyle bir veri havuzu yok
Vatandaşları paniğe sevk eden iddialar üzerine vakit kaybetmeden kapsamlı bir açıklama yayımlayan BTK, söylentilerin teknik gerçeklikle hiçbir bağının olmadığını vurguladı. Kurum, yaptığı açıklamada, e-imza sisteminin mimarisi gereği iddia edildiği gibi merkezi bir "şifre havuzunun" mevcut olmadığını kategorik bir dille belirtti. Açıklamada, "e-İmza sisteminde, e-imza sahiplerinin pin kodları veya herhangi bir kişisel verisi dahil hiçbir verisi BTK bünyesinde tutulmamaktadır" denilerek, sistemin temel güvenlik prensibi ortaya kondu. Bu teknik gerçek, "hacklenme" iddiasını temelden çürütüyordu. Çünkü var olmayan bir veri tabanının çalınması veya sızdırılması teknik olarak mümkün değildi. BTK, bu açıklamayla bilgi kirliliğinin önüne geçmeyi ve vatandaşları doğru bilgilendirerek paniği sonlandırmayı hedefledi.
Güvenlik zinciri nasıl işliyor?
BTK, kamuoyunu rahatlatmak amacıyla e-imza sisteminin nasıl çalıştığını da detaylı bir şekilde anlattı. Sistemin güvenliği, tek bir merkezde toplanan veriler yerine, dağıtık bir yapıya ve katmanlı bir güvenlik anlayışına dayanıyor. Süreç şu şekilde işliyor: Vatandaş, e-imza başvurusunu BTK tarafından yetkilendirilmiş Elektronik Sertifika Hizmet Sağlayıcıları'na (ESHS) yapıyor. Kimlik doğrulaması yapıldıktan sonra, e-imza sertifikası, kişiye özel bir akıllı kart veya USB cihazı (token) içinde teslim ediliyor. Kullanıcının belirlediği ve sadece kendisinin bildiği PIN kodu ise bu cihazın içinde korunuyor ve hiçbir şekilde ne ESHS ne de BTK tarafından bilinmiyor veya saklanmıyor. ESHS'ler, sadece başvuru esnasında sunulan kimlik verilerine sahip olurken, BTK ise bu hizmet sağlayıcıları denetleme ve düzenleme rolünü üstleniyor. Dolayısıyla, ne BTK'da ne de e-Devlet Kapısı'nda tüm e-imzalara ait PIN kodu gibi kritik bilgilerin toplu halde bulunduğu bir veri havuzu kesinlikle mevcut değil. Bu yapı, tek bir noktadan yapılabilecek bir saldırıyla tüm sistemin çökertilmesi riskini ortadan kaldırıyor.
Sadece yalanlama değil, suç duyurusu da geldi
BTK, konuyu sadece teknik bir açıklama ile geçiştirmedi ve dezenformasyonun kasıtlı olarak yayıldığını değerlendirerek hukuki adımlar attı. Yapılan açıklamada, bu tür asılsız iddiaların yayılmasının basit bir söylentiden ibaret olmadığı, Türkiye'nin dijital sistemler temelini oluşturan ve "güven hizmeti" olarak adlandırılan elektronik imza gibi kritik bir altyapının güvenirliğini sarsmaya yönelik bir eylem olduğu vurgulandı. Toplumda endişe, korku ve panik oluşturmanın yanı sıra, ülkenin dijital ekonomisine ve kamu hizmetlerine olan güveni de zedeleyici nitelikte olduğu belirtildi. Bu gerekçelerle, "e-İmza kullanıcılarını hedef göstererek ve kamuoyunu yanıltarak gerçek dışı veri sızıntısı iddialarını yayan, 2 milyon 500 bin üzerinde e-imza kullanıcısını asılsız haber ve paylaşımlar ile endişeye sürükleyen kaynaklar hakkında suç duyurusunda bulunulmuş ve yasal süreç başlatılmıştır" ifadeleri kullanıldı.
Yayanlara 5 yıla kadar hapis yolu göründü
BTK'nın açıklamasında, bu tür eylemlerin ciddi yasal sonuçları olduğuna da dikkat çekildi ve ilgili kanun maddesi hatırlatıldı. Siber Güvenlik Kanunu'na atıfta bulunulan açıklamada, kanundaki "Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara 2 yıldan 5 yıla kadar hapis cezası verilir" hükmü paylaşıldı. Bu uyarı, sosyal medyada veya diğer platformlarda doğruluğunu teyit etmeden bu tür hassas bilgileri paylaşmanın ağır sonuçları olabileceğini net bir şekilde ortaya koydu. Başlatılan yasal süreçle birlikte, savcılığın dezenformasyonun kaynağını tespit ederek sorumluları yargı önüne çıkarması bekleniyor. Bu olay, dijital okuryazarlığın ve siber alanda yayılan bilgilere karşı teyit mekanizmalarını kullanmanın önemini bir kez daha acı bir şekilde hatırlattı.
