Önceki bölümlerde, bir partinin YSK'nın SEÇSİS sistemi üzerinden aldığı verilerle neler yapabildiğine bakmış, sonra SEÇSİS'in ne olduğunu, hem içeriği, hem de teknik özellikleri ile incelemiştik. Bu bölümde, Bilgisayar Mühendisleri Odası'nın 2017'de hazırladığı SEÇSİS raporundan da yararlanarak, SEÇSİS'e dair riskleri aktaracağız.

Seçmen, sorumsuz değil... Vatandaşlık görevi var...

Risklere geçmeden önce belirtelim, SEÇSİS'in doğru çalışması, yani seçimin adil bir şekilde tamamlanması için partiler kadar seçmenin de görevleri var.

Seçmenler, "tamam oyumu kullandım, görevim bu kadar" deme hakkına sahip değil. Hele hele "amaaannn oy kullanıp da ne olacak" hiç dememeli. Eğer ilçemizdeki konserin iptal edilmesine, ormanlarımızın madencilik adı altında tahrip edilmesine kızıyor, isyan ediyor, birtakım insanların yaşam tarzlarına dair garip söz ve hareketlerine karşı çıkıyorsak, "oy kullandım, görevim bitti" ya da "oy vermeyeceğim" deme hakkımız yok.

Seçmenler, kendilerinin ve sevdiklerinin yaşamları yani eğitimleri, sağlıkları, güvenlikleri, hakları, hukukları, para durumları (ekonomi), kültür ve hayatları vs ile ilgili diğer her türlü konunun, ülkeyi yönetmek için seçecekleri insanlara ve partilere bağlı olduğunu sürekli hatırlarında tutmak zorundalar.

Dediğimiz gibi seçmenin vatandaşlık görevi sadece bu "oy vermek"le sınırlı değil. Seçim sırasında hepimizin sorumluluk üstlenmesi ve aşağıda belirteceğimiz risklerden hangilerini bertaraf edebileceğimize, nasıl çalışabileceğimize bakmamız lazım. Çünkü yukarıda dediğimiz gibi "seçim" bizim dışımızda bir konu değil, tersine bizi içine alan bir konu.

O nedenle "oy vereceğiz" ve "oyumuzun tercihimiz doğrultusundaki doğru yere gittiğinden emin olacağız" ve sonrasında da "oyumuzu alan partileri denetleyeceğiz", "eleştireceğiz". Demokrasi ancak bu tür insanların (vatandaşların) hakkıdır.

Şimdi risk konusuna yakından bakalım.

SEÇSİS'in riskleri nelerdir?

SEÇSİS denildiğinde iki tür risk mevcut. Birisi SEÇSİS'in kendisi ile ilgili, diğeri SEÇSİS'e aktarılmak üzere dışında hazırlanan verilerle ile ilgili riskler.

Önceki bölümlerde de dediğimiz gibi SEÇSİS aslında bir yazılım. Uçtan-uca elektronik bir sistem değil. 'Hem seçmen bilgilerini, hem de verilen oyları topluyor. Dolayısıyla "risk" dediğimizde, içerideki yazılımın yanlış çalışması, veri girişi sırasında altyapıda kesinti olması (elektrik santralındaki kedi dahil), siber saldırı gibi durumlardan bahsediyoruz. Bu durumda içerideki verinin bütünlüğü bozulur.

İkinci olarak da, SEÇSİS'den bağımsız olarak dışarıda oluşan ama SEÇSİS'e aktarılacak olan verinin yanıltılması riski vardır. Bu da önce seçmen verilerinin, sonra sandık tutanaklarının hazırlanması ile ilgilidir. Hem seçmen, hem de sandık verilerinin bilinçli (kasıtlı) ya da bilinçsizce yanlış girilmesi söz konusu olabilir.

Dolayısıyla "adil seçime yönelik risk" dediğimizde, SEÇSİS'e girilecek verilerin hazırlanmasından, girişine, en sonunda sunuluşuna kadar olan tüm safhalara bakılmalı ve bunlarla ilgili önlem alınmalıdır.

SEÇSİS risklerini aşmanın yolları "analiz" ve "denetim"dir

Bahsettiğimiz tüm riskleri aşmanın yolları var. Bunun için partilerin hepsinin SEÇSİS konusunda bilgili, tecrübeli ve uyanık olmaları ama asıl vatandaşın farkındalığının yüksek olması gerekir.

Twitter'daki tüm "burnu büyük" (alınan olursa hiç kusura bakmasın ama son gelişmeye bakmadan, sadece geçmişteki olaylarla, kolay eleştiriler yapmak bence bu sınıfa giriyor) eleştirilere rağmen, şu anda birtakım analizler yapılmış ve bu sayede düzeltmeler olmuş. Hem partiler daha iyi çalışmaya başlamış, hem de seçmenin İstanbul gönüllüleri türünden çalışmaları olmuş.

Sonuçta seçmen ve sandık verileri, sadece partilerin değil, vatandaşın da görmesi için açılıyor. Buna dair analizlerin yapılması gerekir. Örneğin geçmiş dönemde Bilgisayar Mühendisleri Odası bu konuda bir çalışma yapmış. Bilgehan Turhan üç kişilik bir ekiple yapılan bu çalışmayı şöyle anlatıyor:

"Sandık sonuçlarının Tüm sandık verileri özel bir yöntemle tarandıktan sonra, sonuçlarında problem olma olasılığı yüksek olarak 2.000 sandık saptandı. Bu 2.000 sandığa ait YSK verilerini manuel olarak detaylı kontroller yapıldığında, yaklaşık 70.000 seçmene karşılık gelen 250 sandıkta önemli yanlışlar ve tutarsızlıklar bulundu. (yaklaşık 14.000 tutarsız/yanlış oy)."

Turhan ve ekibi tarafından bir örnek bölümü seçilmiş ve bu bölüm üzerinden kurulan algoritmalarla sandık sonuçlarında 14 bin kişinin oylarının yanlış yere gittiği görülmüş (içinde AKP'nin yanlış yere gitmiş oyu da dahil). Bir örnekleme de olsa, yüzde 2'lik yanlışlık önemli. Turhan şöyle diyor:

"Uyguladığımız veri analizi yöntemindeki eşik değeri değiştirerek, detaylı analize tabi tutulabilecek çok daha fazla sandık elde edebilirdik. Ancak detaylı analizin gerektirdiği iş gücünü göz önüne alarak 2,000 gibi bir optimum sayıyı hedefledik.

Kısıtlı bir kaynakla, kısa süre içerisinde yapılan çalışmada, gözle kontrol edilmesi gereken sandık sayısını azaltmak için yüksek eşik değerleri kullanılmıştır. Yeteri kadar bilgi toplandığı için çalışma 250 hatalı sandık ile sonuçlandırılmıştır."

Bu analizler için herkesin gücünü, emeğini ortaya koyması lazım. Turhan, üç kişilik bir ekip olması nedeniyle anomali tespiti için kurdukları algoritmaların sınırlarını dar tuttuklarını, buna rağmen çalışmanın bir ay sürdüğünü söylüyor. Oysa sandık itirazı için süre bir hafta. Dolayısıyla Turhan'ın 10 bin kişilik bir ekiple aynı çalışmayı yapması bu konuda çok iyi bir iş olurdu. Var mı gönüllü 10 bin kişi?

Diğer yandan önceki yazıları okuyan bilişimci Soykan Özçelik, önemli bir hususu hatırlattı. O da "Loglar". Yani SEÇSİS sunucularına ne zaman ve nereden kayıt yapıldığını gösteren günlükler. Bunların da tüm siyasal partilerle paylaşımı bir başka (ve de bilişim güvenliğine dair) denetim unsuru olurdu.

Soykan Özçelik'in katkısı bize "ortak akıl"ın önemini de gösteriyor. Hepimiz bu konuları düşünmeli ve katkıda bulunmalıyız.

Yazının buraya kadar olan bölümü zaten ne olup bittiğini anlatıyor. Ama daha detay öğrenmek isteyenler için hala anlatacaklarımız var.

BMO'ya göre aktarım yapılan seçmen verilerinin oluşturulmasına yönelik riskler

Neler hatalı olabilir derseniz, BMO raporundan bir örnekleme yapalım:

SEÇSİS'e veri eklerken bilinçli (kasıtlı) ya da bilinçsiz olarak hata yapılabilir. Önceki iki bölümden görebileceğiniz üzere, SEÇSİS uçtan uca dijital bir sistem değildir. Hem seçmen kütüklerinin hazırlanmasında bazı verilerin fiziksel ortamlarla aktarımı söz konusudur. Hem de sandık tutanakları elle girilmektedir. Bunlar riskler getirir.

Siber riskler ise hem mevcut sistemlerin "felaket planlaması" yaparken bahsedilen olaylardan birisine maruz kalması ya da dışarıdan saldırıya uğrama riskidir.

Seçmen verilerinin oluşturulmasına yönelik aktarımdaki riskler

SEÇSİS'in seçmen verileri, çeşitli kurumlardan gelen verilerin aktarımı ile olmaktadır. Uzmanlar seçimi doğrudan etkileyebilecek, mükerrer oy kullanımına neden olabilecek riskleri şöyle sıralıyorlar:

• MERNİS'te gerçek kişiye ait olmayan kimlik (nüfus) kayıtlarının yer alması
• Ulusal Adres Veritabanında gerçekte olmayan yerler için adres tanımlanmış olması
• Kimlik (nüfus) kayıtlarının boş olan konutlarla ya da gerçekte olmayan adreslerle eşleştirilmesi
• Kimlik kayıtlarında, aynı kişi olmasına karşın birden çok TC Kimlik Numarası verilen kişilerin yer alması
• Ölen ya da yurttaşlıktan çıkarılan kişilerin kayıtlarının KPS'ye zamanında girilmemesi ya da KPS'den SEÇSİS'e zamanında aktarılmaması
• Fiziksel ortamda (CD/DVD) yapılan aktarımların riskleri

Bu risklerin ortadan kaldırılması, seçimin adil olması açısından önemlidir. Onursal Adıgüzel söyleşisinde anlatılan "big data analizi" bu risklerin bazılarını çözer. Bazıları ise boşlukta kalıyor.

Yanı sıra vatandaşlar da, seçim öncesi askıya çıkan listeleri inceleyerek, kendileri ve binalarındaki seçmenlerin niteliklerini dikkatle değerlendirerek bu risklerin azaltılması / yok olmasına katkıda bulunabilirler.

Oy kullanımı ve sayımı ile ilgili riskler

SEÇSİS uçtan-uca dijital bir seçim sistemi olmadığı için, oy kullanımı, oy sayımı ve sandık tutanaklarının sisteme eklenmesi hem manuel yani insanlar tarafından yapılan işlemlerdir. Dolayısıyla da bunlarda yanlışlık ve hilelerin oluşması riski bulunmaktadır. Uzmanlar bize bu riskleri şöyle sıralamış:

• Sandık başında, ilçe seçim kurulunda basılan sandık seçmen listesinden farklı bir listenin bulunması
• Sandık seçmen listesinde yer almayan kişilerin oy kullanması
• Bir seçmene birden çok oy pusulasının verilmesi
• Geçerli oyların geçersiz olarak sayılması.
• Parti/tercih oylarının farklı partilere/tercihlere yazılması
• Oyların yanlış sayılması
• Oy sayım sonucunun sandık sonuç tutanağına yanlış yazılması
• Oyların İlçe Seçim Kuruluna Taşınması ile İlgili Riskler
• Sandık sonuç tutanaklarının değiştirilmesi
• Oyların içinde bulunduğu torbanın değiştirilmesi
• Oyların içinde bulunduğu torbaya fazladan oy pusulası konması
• Oyların bir kısmının çalınması.

Sandık sonuçlarının SEÇSİS'e girişi ile ilgili riskler

Günümüzde sandık sonuçları, SEÇSİS'e 8 saat çalışan veri giriş elemanları tarafından yapılıyor. Bu elemanların yanlışlıkla ya da kasıtlı olarak veri girişi durumu önemli bir risktir. Ancak günümüzde partiler de, sandık sonuçlarını kendi sistemlerinde toplayarak, denetliyor. Bunun için ilgili partinin sandık sorumlusu, mobil telefondaki yazılım ile görüntüsünü aldığı tutanağı ana sisteme aktarıyor.

Sisteme girilmiş tutanak eğer sorunlu görülürse, ıslak imzalı sandık sonuç tutanağı ile karşılaştırılabiliyor.

Ancak 8 saat boyunca sisteme rakam giren insanların durumunun da bir sıkıntı yaratabileceği düşünülmelidir. Bu insanların bolca hata yapması şaşırılacak bir durum değildir.

Bilişim sistemine yönelik riskler

Seçim süreçlerinden bağımsız olarak tüm bilişim sistemleri için geçerli olan arıza, kesinti, siber saldırı ya da yıkım (doğal afet, felaket) gibi durumlar, SEÇSİS için de söz konusudur.

Uzmanlara göre, bilişim sistemi güvenliğine risk oluşturan durumlar şunlardır:

• Bilişim sistemindeki bir bileşenin (iletişim altyapısı, sunucu, güvenlik aygıtı vb.) aşırı yük ya da siber saldırı sonucunda arızalanması ya da yazılım olarak çökmesi
• Yangın, sel, saldırı vb. nedenlerle merkezdeki veritabanının ya da veri merkezinin çalışamaz duruma gelmesi
• Seçim sonuçlarının anlık paylaşımı sırasında SEÇSİS Portal Sisteminin siber saldırıya uğraması, çalışamaz duruma gelmesi ya da bir bütün olarak internet altyapısının çalışmaması ya da yavaşlaması

YSK, sistemin her an kullanıma açık olması (kullanılabilirlik) için verilerin eşzamanlı yedeklenip korunduğu işletim yapısının kurulduğunu, veri tutarlılığının (bütünlüğün) sağlandığını açıklamaktadır. YSK, bunların yanı sıra bilişim sistemi güvenliğini sağlamak amacıyla dönemsel olarak sızdırmazlık ve performans (yük, stres) testleri yapıldığını, seçim gününün hemen öncesinde bu testlerin yinelendiğini de belirtmektedir.

YSK, veri girişinin yapıldığı bu iletişim ağının güvenliği, dışarıdan erişim yapılmaması, başka bir ağ arayüzü bağlantısı (internet adaptörü vb.) kurulmaması için gerekli önlemlerin alındığını belirtmektedir.

Risklerin ortadan kaldırılması için bize düşen görevler

Seçmen tarafında, YSK'nın sitesindeki SEÇSİS'ten kendi kayıtlarınızı kontrol etmek dışında, devletin henüz seçmene sağladığı dijital bir olanak yok, ama bu da önemli ve mutlaka ihmal edilmemeli.

Seçmen tarafında dikkate değer bir husus, 2014'den itibaren ortaya çıkan seçmen inisiyatifleri oldu. "Oy ve Ötesi" ya da Ekrem İmamoğlu'nun seçildiği yerel seçimde ortaya çıkan "İstanbul Gönüllüleri" gibi gruplar, seçim sırasındaki çeşitli spekülasyonlardan rahatsızlık duyanların oluşturduğu yapılardı. Muhalefetin bir türlü yapamadığı "sandık güvenliği" konusunda organize olarak çalışmalar yaptılar. AKP'nin 2009'larda kullanmaya başladığı düşünülen "sonuçlara hızlı ulaşma" sistemi de ancak bu inisiyatifler sayesinde gerçekleşti. İmamoğlu'nun seçildiği 2019 İstanbul Büyükşehir Belediyesi seçimlerinde bunun sonuçlarını yakından gördük.

Partilere düşen görevler

Partilerin seçimin adil olmasıyla ilgili 3 görevi:

1. Seçim öncesinde, seçmen verilerinden analiz yaparak, seçmen kütüklerinin doğruluğunu denetlemesi (Adıgüzel söyleşisinde bu anlatılıyordu)
2. Seçim sırasında, 200+ bin sandıkta, en az 1 asil, 1 yedek görevli olarak 500 - 600 bin kişinin önceden hazırlanması ve eğitilmesi (ki bugüne kadar hep eksik kaldı. 30-40 bin sandıkta görevli olmadığı gibi bilgiler aldık. Bu seçimde çok dikkat edilmesi gereken bir husus bu)
3. Seçim bitiminde tutanakların doğru kayıt alınmasının sağlanması ve bunun da sisteme girişte hata olmamasının denetlenmesi

Türk demokrasisi 20 yılda ders aldı

Her şeye rağmen, bu 20 yıllık demokrasiden katlanarak artan ve adeta bir yalan rüzgarı yaşatan dönemin iyi yönü şu; Türk demokrasisinin önemi son 20 yılda ortaya çıktı.

Atatürk'ün hediye ettiği Cumhuriyet'in temellerini ve demokrasimizi yükseltemediğimizi acı bir şekilde anladık. Ama yine de demokrasi 20 yıl içinde aldığı bütün hasarlara rağmen ayakta. Ne kadar da güçlüymüş. Değil mi? Üstelik artık herkes demokrasinin önemini biliyor, anlıyor. Atatürk'ün anlamını önceden bilmeyen ama şimdi anlayan ne kadar çok insan var. AKP'nin bize istemeden hediye ettiği en önemli şey bu oldu.

Bu nedenle de seçimlere artık her zamankinden daha fazla sahip çıkmamız lazım. Bu süreçte öğrendiğimiz bir konu da bu; seçimler ve sandık, sadece partilerin "iş"i değil, hepimizin "iş"i ve "görev"i. Hepimizin bu konuda üzerine düşeni yapması gerekiyor. Bu nedenle herkesin;

• Oy vermesi
• Oyunun yerini bulup, bulmadığını kontrol etmesi
• Sadece kendi oyunu değil, herkesin oyunun güvenliğini takip etmesi
• Devletin olanaklarının bir parti lehine seçim için kullanılmasının engellenmesi
• Seçim sonrasında da, seçilenlere "üstün olduğu" için değil, "hizmet yapması" için seçildiğini hatırlatılması
• Siyasi partilerin neler yaptığını ve tek tek her seçilen kişinin, kendi bölgesindeki temsilcilerin ne kadar ve ne yaparak çalıştığını takip edilmesi lazım.

Ama yaklaşan seçim için de şunları yapmalıyız:

• Demokrasiyi korumak için örgütlenmeliyiz
• Seçim öncesinde, sırasında ve sonrasında kurallara uyulmasını takip etmeli ve zorlamalıyız (mühürlü zarflar gibi konular dahil)
• Sandık güvenliğini sadece partilere bırakmamalı, hepimiz görev üstlenmeliyiz
• Sandık güvenliği yetmez, Veri güvenliğini de kontrol altına almamız lazım.
• Bu nedenle SEÇSİS sistemine aktarımların doğruluğunu kontrol etmeliyiz. Bunu BMO kısıtlı kaynağı ile yapmış. Çok daha büyük bir insan kaynağı ve zamanlamayı kullanarak (itiraz süresi içinde) tüm sandık sonuçlarını kontrol edebilecek bir sistem kurmalıyız.