28 Ağustos 2017

e-Devlet ne kadar güvenilir?

Türksat'ın açıklaması suçu vatandaşa atıyor

Mail kutularına bir dönem çokca gelen Nigeria-Libya vs kaynaklı maillerde, sorulan şey; banka hesap no ve kimlik bilgileri idi. Çünkü bunlarla çok şey yapılabiliyor. En çok korkulan çalınmalar bunlar. Ülkemizde ise sanki anlamsız olaylar gibi değerlendirilebiliyor. Örneğin; Başbakan Binali Yıldırım, 50 milyon kişinin kimlik bilgilerinin çalınmasına karşılık; “hemen soruşturma yapacağız” gibi bir ifade yerine “eee onlar eski haber, eskiden çalınmıştı” gibi bir yorum yapmıştı.

Bu nedenle, geçen hafta medyaya yansıyan ve bir vatandaşın “e-Devlet Güvenli değil” şeklindeki suç duyurusu dikkatimizi çekti. Önce bu haberi hatırlatalım;

Vatandaştan e-Devlet güvenli değil
suç duyurusu

Bir vatandaş e-Devlet Kapısı Hizmet Sistemi’ne daha önce oluşturduğu şifresi ile girmeye çalıştı. Birkaç denemeye rağmen sisteme giriş yapamayan vatandaş hemen 160 numaralı çağrı merkezini aradı. 

Bilgileri kontrol edilen vatandaşın, sistemde kayıtlı telefon numarasının farklı olduğu söylendi. Vatandaş PTT’ye ya da internet bankacılığına yönlendirdi. 

Bu sefer sisteme internet bankacılığı üzerinden giriş yapan vatandaş, sisteminde tanımadığı birisine ait telefon numarasının kayıtlı olduğunu gördü. Yani Turkiye.gov.tr adresinde kendisine ait bölüme, kendisinden başka birisinin giriş yaptığını ve iletişim bilgilerini bile değiştirdiğini anladı. 

Bu bilgilerde yer alan telefon numarasını aradığında ise, kullanılmayan yani boş bir hat olduğu ortaya çıktı.

Arkasından bu vatandaş Büyükçekmece Cumhuriyet Başsavcılığına verdiği suç duyurusu dilekçesinde, kendisine ait şifreyi aile yakınlarına bile vermediğini belirterek “Şifremin kırıldığını düşünüyorum” dedi ve e-Devlet Kapısı Sistemi’nde yer alan ‘özel’ bilgilere dikkat çekerek “Bu milyonlarca insanı ilgilendiriyor. Kötü niyetli insanlar, sisteme girerek birçok bilgimizi ele geçirebilir” uyarısından bulundu.

Türksat'ın açıklaması suçu vatandaşa atıyor

Olayın bu noktasında, Türksat’ın açıklama yaptığını gördük. e-Devlet kapısının geliştirilmesi ve yönetimi Türksat tarafından yapıldığı için, iddiaya karşı açıklamayı (ya da savunmayı) da onlar yaptı. Türksat'ın açıklaması şu şekilde :

“e-Devlet Kapısı sistemlerinde, en yüksek derecede sistemsel, yazılımsal, donanımsal ve fiziksel güvenlik önlemleri alınmaktadır. e-Devlet Kapısı'nı işleten Türksat, ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahiptir. Sertifikanın gerektirdiği denetlemeler her yıl düzenli olarak gerçekleştirilmektedir. e-Devlet Kapısı, Türksat Kurumsal Bilgi ve Siber Güvenlik birimi bünyesindeki sızma testi uzmanları tarafından sürekli olarak test edilmektedir. Ayrıca, bağımsız bilgi güvenliği firmalarınca yapılan güvenlik ve sızma testleriyle düzenli olarak sınanarak, doğrulama testlerinden başarıyla geçmektedir.

İlgili haberde bahsedildiği şekilde e-Devlet Kapısı sistemine herhangi bir “hacker” sızması sözkonusu değildir.
Haberde bahsedilen konu, vatandaşımızın e-Devlet Şifresinin, bir başkası tarafından (sistem üzerinden değil) ele geçirilerek e-Devlet Kapısı'nda yer alan iletişim bilgileri sekmesinde kendisine ait olmayan bir telefon numarasının kaydedilmesi olayıdır.

Sözkonusu durumun oluşması için birkaç ihtimal bulunmaktadır. Bunlar;

  • Kişinin bilgisayarında yer alan bir güvenlik açığı,

  • Ortak bilgisayar kullanılması, (internet cafe, işyeri vb.)

  • e-Devlet Şifresinin başkasıyla paylaşılması,

Vatandaşlarımız bu gibi durumlarla karşılaştığında savcılığa başvurmaktadır. Savcılık, işlem yapılan tarih ve IP bilgisini talep ederek işlemi yapan kişilere ulaşmaktadır. Bundan önce de benzer olaylarla karşılaşılmış olup savcılıklara gerekli bilgi gönderilerek sorumluların tespit edilmesi sağlanmıştır.

Haberin son paragrafında yer alan kredi başvurusunda bulunulması ve yeni kimlik çıkarılması gibi durumlar söz konusu değildir.

Haberde de belirtildiği üzere IP numarası tespiti ve bu IP'yi kullanan kişi bilgilerinin belirlenmesinden sonra olay açığa kavuşturulacaktır.

e-Devlet Kapısı olarak tüm güvenlik önlemlerini almış olmakla birlikte, kişisel bilgilerinin güvenliği konusunda kullanıcıların da hassasiyet göstermesi gerekmektedir. Teknik olarak tüm önlemler yerinde olsa dâhi, sosyal mühendislik teknikleriyle kişilerin güvenlik zafiyetleri ortaya çıkabilmektedir. Kuruluşumuz için tek bir vatandaşın, basit bir konuyla ilgili bilgisinin dâhi korunması çok önemlidir. Bunun için kullanıcıların e-Devlet Şifrelerini kimseyle paylaşmamaları, tahmin edilmesi zor şifreler kullanmaları şarttır. İşe giriş, kredi, kayıt v.b. işlemler için kendilerinden şifre zarflarını ya da şifrelerini isteyen kişilere itibar etmemeleri gerekmektedir.”

e-Devlet uygulamaları ve e-Devlet Kapısı Gerektiği Kadar Güvenli Korunuyor mu?

e-Devlet uygulamalarının güvenliği konusunda daha önce Devlet Denetleme Kurulu’nun yaptığı bir inceleme ve rapor var [1]. Bu raporda, devlete yazılım geliştiren ya da donanım satan firmaların bayilerinin yetkisiz elemanlarının bile işlem yapabildiği kaydedilmişti. Zaten çalınan 50 milyon kimlik bilgisinin de bu yolla çalındığı “zannediliyor”.

e-Devlet Kapısı, Türkiye'deki kamu kurumlarında vatandaşın yaptığı işlemleri ve sorduğu soruları kapsayacak şekilde oluşturulan sistemin, tek bir noktadan yani "kapıdan" ulaşılabilir hale gelmesi için 2006 yılında devreye alındı [2]. Kapı'nın amacı; “kamu hizmetlerini, vatandaşlara, işletmelere, kamu kurumlarına bilgi ve iletişim teknolojileriyle etkin ve verimli bir şekilde sunmak” olarak veriliyordu. 

Bu sistem, vatandaşa olduğu kadar, devlete de zaman ve rahatlık sağlıyor, çünkü vatandaşın örneğin "sigorta günüm ne kadar", “tapu bilgilerim doğru mu?”, “adıma açılmış dava var mı?” gibi soruları ile uğraşmak zorunda kalmıyor. Vatandaş da, neyin ne olduğunu kendisi ve anında takip edebiliyor. 

Başbakanlık ve Ulaştırma Bakanlığı’nın sorumluluğundaki sistem, "Türkiye’de en iyi korunan servislerin başında geliyor" şeklinde tanımlanıyor ama bu tanımlamanın arkası dolu değil. Örneğin e-Devlet uygulamaları, aynen banka hesaplarında olduğu gibi neden çift faktör korumalı değil (mobil telefona SMS ile gelen şifre gibi)? Bugün simkart değişikliği bile yapsanız, banka güncelleme ister.

Diper yandan Türksat’ın hemen açıklama yayınlaması olumlu ama bu açıklamanın da arkası dolu değil. Vatandaşa “sen şifreni koruyamamışsın” şeklinde topu atarken, bunu nasıl dediklerini açıklamıyorlar. “şöyle oluyor, böyle oluyor” tarzında, genel ifadeler kullanmışlar. Ama kendi loglarından bir sonuç çıkarmak ya da IP numarası incelemesi veya başka bir soruşturma sonucunu açıklıyor değiller.

Vatandaşın belirttiği konu ciddi; çünkü e-devlet kapısında, çok önemli bilgiler, mesela tapu bilgileri var. Böylesine önemli bir ortamda, 2006’dan bu yana gelen sistemlerde zaman içinde bazı değişikliklerin yapılması gerekmez mi? Örneğin vatandaşın kaydında değiştirilen cep telefonu için BTK’dan otomatik sorgu yapılabilir. Adını taşımayan (ya da yaşlıysa birinci dereceden bir akrabası olabilir) bir telefon değişikliği kabul edilmeyebilirdi.

Onların açıklamalarına karşın, biz de şunları soralım; Mesela PTT’den verilen şifreler konusu var. Sunucularda bu şifreler nasıl yer alıyor? Yazılım ya da donanım sağlayıcı bunu bir şekilde alıyor olabilir mi? e-Devlet'te daha önceden bırakılmış ya da sonradan ortaya çıkan bir açık var mıdır?

Ek olarak, Türksat açıklamasında e-Devlet Kapısı sistemindeki bilgilerle kredi işlemi ya da yeni kimlik çıkarma gibi durumların söz konusu olamayacağı savunuluyor. Doğrudur, e-Devlet sisteminden kredi alınmıyor ya da kimlik çıkartılmıyor. Ama online ortamda çalınan bilgilerle, fiziksel ortamda kredi alınması ya da kimlik çıkarılması engellenebilir mi? Emin değiliz. Bu kimlik bilgilerinin çalınma nedenleri arasında, bahsedilen bu tehlikeler yer alıyor. Tüm dünyada..

İş sürekliliği planlaması zayıf

e-Devlet ile ilgili bir başka sorunu, bir önceki hafta yaşadık. Üniversite kayıtları söz konusu olduğunda, sistem çöktü, cevap veremez hale geldi. Burada da bir planlama eksikliği olduğu anlaşılıyor. Demek ki, yüksek sayıda girişler olduğunda cevap alınamayabiliyor. İş sürekliliği planlamasının zayıf olduğu anlaşılıyor.

Oysa bunun çözümü online olması bile gerekmiyor. TC Kimlik numarası son hanesine göre, gün verilse bu karmaşa da çözülebilirdi.


[1] http://turk-internet.com/portal/yazigoster.php?yaziid=45018

[2] http://www.turk-internet.com/portal/yazigoster.php?yaziid=14865

Yazarın Diğer Yazıları

Neden internetten bihaber bakanlar atanıyor?

Bu fiber altyapı ile çoktan dijital uçuruma düşmüş durumdayız. AKP ekonomiyi beceremediği gibi, telekom - internet sektörünü yönetmeyi de beceremiyor

Uydudan telefon görüşmesi yakınlaştı

Mevcut fiber altyapımızla, beklenen İstanbul depreminde, haberleşmenin yine çökmesi şaşırtıcı olmaz. Bu duruma bir çözüm uydudan mobil telefona teknolojilerinin gelişiyor olması. Acaba ülkemizde ne zaman kullanabiliriz?

Depremde bant daraltma yapan BTK nedenini açıklasın

Kahramanmaraş merkezli depremde, bant daraltma kararının nasıl verildiğini veya neden böyle bir karar verilebildiğini öğrenmemiz, bir daha aynı hatanın tekrarlanmaması için çok önemli. O nedenle BTK'nın binlerce belki on binlere kişiyi etkileyen bu kararı nasıl verdiğini ya da uyguladığını açıklaması lazım