E-İmza Nedir? Ne İşe Yarar?
Elektronik imza (e-imza), dijital ortamdaki belgeleri imzalamak için kullanılan, kişiye özel bir elektronik veridir. Tıpkı ıslak imza gibi hukuki geçerliliği vardır ve 5070 Sayılı Elektronik İmza Kanunu kapsamında yasal zemine sahiptir. E-imza sayesinde bir belgeye imza atıldığında, o belgenin kime ait olduğu, ne zaman imzalandığı ve sonradan değiştirilip değiştirilmediği tespit edilebilir.
Kamu kurumlarından özel şirketlere kadar birçok alanda kullanılır: e-Devlet işlemleri, vergi bildirimleri, SGK başvuruları, üniversite sistemleri, ihale teklifleri, noter işlemleri gibi pek çok kritik alanda e-imza aktif rol oynar. Güvenlik açısından ise, imzalanan belgenin sahibine ait olduğunu kanıtlamak ve o belgenin değiştirilmediğini garanti altına almak için kullanılır.
Sistem Nasıl İşliyor? E-İmza Nasıl Alınır?
Türkiye’de e-imza hizmeti yalnızca BTK tarafından lisans verilmiş Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) tarafından sunulur. Kişi, e-imza almak için bu kuruluşlara başvurur. Normal şartlarda, başvuru sırasında başvuranın kimliğiyle bizzat orada bulunması gerekir. Bu doğrulama süreci “yüz yüze kimlik kontrolü” ile yapılır.
Doğrulama tamamlandığında kişiye özel bir sertifika oluşturulur. Bu sertifika, USB token ya da akıllı kart ile birlikte kişiye teslim edilir. Artık kişi, bu e-imzayla resmi belgeleri dijital olarak imzalayabilir. Kurumlar da bu imzalı belgeleri sisteme işleyebilir. Her şey güvenli ve şeffaf görünür – ta ki sistem dışından biri bu süreci taklit edene kadar.
Çete Sistemi Nasıl Kırdı?
E-imza sisteminin teknik tarafı sağlam olsa da zayıf halka, sürecin insan eliyle işleyen kısmıydı: başvuru ve kimlik kontrolü.
Sahte e-imza çetesi, başvuruları sahte kimlik belgeleriyle yaptı. Gerçek kişilerin T.C. kimlik numaraları kullanıldı, ancak başvuran kişi başkasıydı. Bazı durumlarda bu kişiler sahte fotoğraf ve sahte belge taşıyorlardı. ESHS bayilerinde çalışan bazı görevliler de bu durumu görmezden geldi. Yani “yüz yüze kimlik kontrolü yapıldı” kaydı sisteme gerçeğe aykırı biçimde işlendi.
Bu şekilde, çete üyeleri gerçekte hiç e-imza almamış kişiler adına e-imza üretmeyi başardı. Bu sahte e-imzalar daha sonra devlet sistemlerine giriş yapmak ve resmî belge üretmek için kullanıldı. Üretilen belgeler, sistemlerde tıpkı gerçek belgeler gibi kayıt altına alındı.
Hangi Belgeler Üretildi? Nereye Sızıldı?
Çete sadece sahte diploma üretmekle kalmadı. Aşağıdaki işlemlerin tamamı e-imza ile hazırlanmış sahte belgelerle gerçekleştirildi:
- Üniversite mezuniyet diplomaları ve not dökümleri
- Öğrenci durum belgeleri ve aktif öğrenci kaydı
- Lise mezuniyet belgeleri
- Ehliyet sınav sonuçları (başarısız → başarılı)
- Kamu personeli atamaları
- Askerlik tecil belgeleri
- Disiplin cezalarının kaldırılması
- Dönem notlarının yükseltilmesi
Bu belgelerin büyük kısmı YÖKSİS (Yükseköğretim Bilgi Sistemi), MEBBİS (Milli Eğitim Bakanlığı Bilgi Sistemi) ve e-Devlet altyapısına işlendi. Böylece kişi gerçekten mezun olmuş ya da bir sınavı geçmiş gibi görünüyordu.
Süreç Nasıl Fark Edildi?
İlk şüphe, bazı kamu görevlilerinin belgelerinde çelişkili bilgiler çıkmasıyla başladı. Ardından savcılık tarafından yürütülen soruşturmada 100’den fazla şüpheli tespit edildi. Belgeler sahte olmasına rağmen, sistemlerde gerçek gibi kayıtlı olması dikkat çekti. Çetenin 35 kişilik bir ana kadrosu olduğu, bugüne kadar 400’e yakın sahte işlem yaptığı tespit edildi.
Elde edilen gelir ise çok yüksekti. Bir diploma için 100.000 TL’ye kadar ödeme alındığı, bazı ödemelerin kripto para ile yapıldığı belirlendi.
Sistem Gerçekten Bu Kadar Açık mı?
Aslında hayır. E-imza sistemi kriptografi temelli, oldukça güvenli bir altyapıya sahip. Ancak işin zayıf noktası insan faktörüydü. Kimlik doğrulama süreçlerinde yapılan ihlaller, görevli personelin rüşvet karşılığı sürece göz yumması ve kontrollerin eksik yapılması bu yapıyı kırılabilir hâle getirdi.
Kamu sistemlerinin çoğu dışa kapalı, yani internetten erişilemeyen ağlar üzerinde çalışıyor. Ancak e-imza ile oluşturulmuş sahte belgeler, bu sistemlerin kapısını içeriden açar hale geldi. Özellikle YÖK, SGK ve üniversite bilgi sistemleri gibi kurum içi yazılımlara bu sahte belgeler başarıyla işlendi.
Neden Bu Kadar Kritik Bir Sorun?
Bu olay sadece bir dolandırıcılık vakası değil. Türkiye’nin dijitalleşen kamu sistemlerine, dijital kimlik doğrulama yöntemlerine ve vatandaş verilerinin güvenliğine duyulan güveni sarsıyor.
Bir kişi sahte e-imza ile başkası adına belge üretebiliyorsa;
- Üniversitede öğretim görevlisi olabilir
- Bir kamu ihalesine teklif verebilir
- Sahte mezuniyetle memur olabilir
- Vergi ya da sigorta kaydını manipüle edebilir
Yani sahte bir dijital kimlik, sistemin içinden devleti kandırabilir hale geliyor.
Çözüm Ne Olabilir?
Birkaç temel adım bu tür olayların tekrarını önleyebilir:
- E-imza başvurularında biyometrik doğrulama zorunlu hale getirilmeli
- Sertifika başvurularında tekil cihaz ve QR kod doğrulaması yapılmalı
- Devlet kurumları, e-imzalı belgeler için anlık doğrulama altyapısı oluşturmalı
- Vatandaşlar, adlarına e-imza üretildiğinde SMS/mail ile uyarılmalı
Sertifika sağlayıcılarının denetimi artırılmalı, sahte işlemlerde doğrudan sorumlu tutulmalı
Türkiye dijitalleşme yolunda güçlü adımlar attı. Ancak bu sistemlerin gücü, onu kullanan insanlar kadar sağlam. Sahte e-imza çetesi olayı, dijital devlet altyapısına değil, denetimsiz süreçlere ve zayıf insan faktörüne karşı alınması gereken önlemleri gündeme getiriyor.
Bugün diploma, yarın sertifika, sonra bir ihale…
Kilit noktada olan sistemler, dijitalde kırılmaya karşı yalnızca “doğrulama” ve “şeffaflık” ile korunabilir.
