BTK Açıklaması: E-imza Veri Girişleri Hakkında Yanıltıcı İddialara Net Yanıt

Elektronik imza veri havuzunun hacklendiğine dair iddialar tamamen asılsızdır ve gerçeği yansıtmamaktadır. Bazı haberlerde e-imza hizmetleriyle ilgili veri sızıntısı iddiaları olduğuna dair haberler kamuoyunu yanlış yönlendirmektedir. Bu nedenle kamuoyunun doğru bilgilendirilmesi amacıyla bu açıklama yapılmıştır.

Türkiye’de kullanılan tüm e-imzalar, yetkilendirilmiş 8 Elektronik Sertifika Hizmet Sağlayıcı (ESHS) tarafından üretilmektedir. Kurumumuz ise 5070 sayılı Elektronik İmza Kanunu kapsamında ilgili ESHS’leri denetleme ve sektörü düzenleme yetkisine sahiptir. Her bir Nitelikli Elektronik Sertifika, uluslararası standartlarda kriptografik algoritmalarla şifrelenmiş biçimde yalnızca sertifika sahibinin elindeki USB e-imza cihazında bulunmaktadır.

Elektronik İmza (e-imza) sisteminde e-imza sahiplerinin PIN kodları veya herhangi bir kişisel verisi BTK bünyesinde tutulmamaktadır. ESHS’ler ise sadece sertifikayı kullanan kişinin, başvuru esnasında sunduğu kişisel verilere sahiptir. Bu yüzden sertifika ya da PIN kodu bilgilerinin herhangi bir veri havuzundan çalınması ya da bu tip bir veri sızıntısının yaşanması söz konusu değildir.

Ayrıca, Türkiye’de bulunan tüm e-imzaların bilgileri toplu halde) herhangi bir veri havuzunda barındırılmamaktadır (BTK ya da e-Devlet Kapısı dahil).

Bilindiği üzere, siber güvenlik alanında yanlış bilginin yayılması toplumda endişe ve panik yaratma potansiyeli taşımaktadır. Ayrıca, Türkiye’nin dijital altyapısını oluşturan güven hizmetlerinin güvenirliğini zedeleyen bu tür içerikler, yıkıcı etkiler doğurabilir ve 7545 sayılı Siber Güvenlik Kanunu kapsamında suç teşkil etmektedir. Kanunun 16. maddesinin 5. fıkrasında şu ifadeler açıkça yer almaktadır:
“Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu içerikleri yayanlara iki yıldan beş yıla kadar hapis cezası verilir.”

Bu bağlamda, e-imza kullanıcılarını hedef göstererek ve kamuoyunu yanıltarak gerçek dışı veri sızıntısı iddialarını yayan, 2 milyon 500 bin üzerinde e-imza kullanıcısını asılsız haber ve paylaşımlar ile endişeye sürükleyen kaynaklar hakkında suç duyurusunda bulunulmuş ve yasal süreç başlatılmıştır.