Türkiye'nin internet güvenliği için yerli güvenlik sistemi: e-Tuğra

İstanbul Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Enstitüsü Direktörü Leyla Keser Berber, e-devlet, e-ticaret, internet bankacılığı hakkındaki işlemler için çok önemli uyarılarda bulundu.

e-ticaret, internet bankacılığı, kamu kurumları tarafından sunulan hizmetlerin kullanımı gibi birçok alanda hayatımızda olan ve işlem güvenliğini ve gizliliğini sağlayan SSL'ler verilerin güvenliğini  ve  kişisel verilerin korunmasını sağlama alınması noktasında önem taşıdığını belirten Keser Berber, son günlerde TUBITAK SSL'lerine ilişkin kamuda yaşanan sorunu, sahip olduğu global sertifikasyonlarla ülke içinde çözmeye hazır e-tuğra’nın küresel alandaki zorlu serüvenini açıklıyor.

BİR BAŞARI HİKAYESİ: e-TUGRA

Güvenli Giriş Katmanı (Secure Sockets Layer) veya daha aşina olduğumuz ve sıklıkla kullandığımız kısaltmasıyla SSL, server ile alıcı iletişimi esnasında verilerin şifrelenmesi işlemi olarak tanımlanabilir. SSL, gönderilen verinin kesinlikle ve sadece doğru adreste deşifre edilebilmesini sağlar. Veri gönderilmeden önce otomatik olarak şifrelenir ve sadece doğru alıcı tarafından deşifre edilebilir. Her iki tarafta da doğrulama yapılarak işlemin ve verinin gizliliği ve bütünlüğü korunur. Güvenli veri iletişimi için birçok web sitesi SSL teknolojisini kullanmaktadır. SSL işleminin çalışması için, server tarafında bir anahtar ve alıcı tarafında çalışacak bir sertifika olması gerekmektedir.

Kısaca SSL:

• Gelen verinin kodlanması ve şifreyi çözülmesi esnasında güvenlik ve gizliliği sağlar,
• Veriyi gönderenin ve veriyi alanın doğru yerler olduğunu garanti eder,
• Doküman arşivi oluşturulmasını kolaylaştırır,
• İletilen dokümanların tarih ve zamanını doğrular.

Bu özellikleri dikkate aldındığında SSL; farklı açılardan veri güvenliğini ve kişisel verilerin korunmasını sağlamayı hedefleyen ISO/IEC 27001:2013, ISO/IEC 27032:2012, ISO/IEC 29100:2011 standartlarının, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu md. 12’nin (Veri Güvenliği) hayata geçirilmesinde önemli rol oynayacaktır.

SSL’in Kullanıldığı İşlemler

İnternet üzerinden gönderilen ve alınan tüm verilerin korunması için SSL kullanılmaktadır. Kullanım alanlarına örnek olarak;

1- e-ticaret işlemlerinde kredi kartı bilgilerinin ele geçirilmesini engellemek,

2- e-postalarımızın başka bir tarafından okunmasını engellemek,

3- web siteleri üzerinde alınan kişisel verilerin şifrelenip korunması,

4- sağlık hizmeti veren hastane ve diğer sağlık kuruluşlarının işlediği, kişisel sağlık verilerinin korunmasını sağlamak verilebilir.

SSL Sertifika Sağlayıcıları

Doç.Dr. Leyla Keser Berber, Bilgi Üniversitesi (lkeser@bilgi.edu.tr)

SSL, dünyada sertifikasyon kurumları aracılığıyla yürütülen bir iştir. SSL Trusted CA adı verilen kurumların, kendi root CA’lerini dünyada yaygın olan tarayıcılara sunup akredite edilmesini sağlamaları gerekmektedir.  Aksi takdirde tarayıcıların içine dahil olamayan bir CA tarafından oluşturulan bir SSL sertifikası, tarayıcı tarafından güvensiz olarak gösterilmekte ve bu siteye girilmesini engellemektedir.

Son bir kaç yıla kadar Türkiye’deki SSL desteği veren firmalar, yurt dışındaki firmaların temsilciklerini alarak bu işi yapabiliyorlardı. Bu yüzden sertifikaların oluşturulmasında gereken tüm kurum doğrulama ve belgelerini, yurt dışına gönderip yurt dışındaki firmaların onayına sunmaları gerekiyordu. Daha sonra eğer yurt dışından onay alınırsa, bu onay üzerine SSL sertifikasını oluşturup Türkiye’deki temsilcisine göndermekteydi. Türkiye’deki temsilcinin başkaca hiç bir rolü olmayıp sadece SSL satışı yapmaktaydı. Bu SSL’ler kullanıldığında ise tüm bilgilerin zorunlu olarak yurt dışındaki firmaya gönderilmekteydi. Söz konusu firmaların denetiminin de tamamen yurt dışında yapıldığı düşünüldüğünde, Türkiye’nin bahsedilen SSL iş modelinde herhangi bir kontrolü mevcut değildi. Bu durumda ise; yurt dışındaki firmaların bize ait bilgileri kullanarak sistemleri yönetebilmesi mümkün olmakla birlikte, ortaya çıkabilecek güvenlik sorunlarında Türkiye’ye karşı sorumluluklarını düzenleyen herhangi bir hukuki metin mevcut değildi.

Bir tür kısır döngü olarak adlandırabileceğimiz bu durumu kırmak ise hiç de kolay değildir. Çünkü; eğer Türkiye’den bir firma güvenli bir CA olmak istiyorsa birçok uluslararası bağımsız denetim kurumları tarafında denetlenip sertifika alması ve sonrasında çok zorlu ve uzun bir süreçte Google, Microsoft, Apple, ve Mozilla gibi dünya devlerine ait olan tarayıcılara kendini dahi etmesi gerekmektedir.

Bu kriterler dikkate aldındığında en iyimser tahminle süreci bugün başlatan bir CA’in, beş yıldan (2022) önce tüm süreçleri finalize etmesi mümkün gözükmemektedir. Tabi Tekel olan bu firmalar bu sürecin sonunda seni kabul etmeleri gerekiyor. Öte yandan sürecin tamamlanmış olması CA’in yüzde yüz sisteme dahil olacağı anlamına da gelmemektedir.

Türkiye’de bu süreci bilen ve şimdiye kadar girişimde bulunan sadece üç kurum mevcuttur. Bunlardan Türktrust firması maalesef büyük bir problem yaşamış, sahte sertifika üretilmesi konusu Google tarafından tespit edilmiş ve Microsoft ve Mozilla gibi tarayıcılardan çıkarılması yönünde o dönem karar alınmıştır.

Bu konuda girişimde bulunan ikinci kurum ise TÜBİTAK’tır. TÜBİTAK uzun zamandır yaptığı yoğun çalışmalar sayesinde bazı tarayıcılara kabul edilmiştir. Ancak TÜBİTAK geçtiğimiz günlerde kamu kurumlarına gönderdiği bilgilendirme amaçlı e-postalarda; CA/B Forum’un ilan ettiği üzere SHA-2’li yeni kök sertifikasının tarayıcıların güvenilir köklerine kabul edilmesi amacıyla başlattığı çalışmaların; mobil ortamda kullanılan Android ve IOS işletim sistemlerinde çalışan Google Chrome ve Apple Safari gibi tarayıcılarda sebebi bilinmeyen bir şekilde iki yıldır bekletildiği ve taleplerine cevap verilmediğini belirterek, ürettiği SSL sertifikaların mobil uygulamalarda çalışmadığını bildirmiştir. Temennimiz Google ve Apple gibi firmaların hızla TÜBİTAK gibi doğrudan özellikle kamu kurum ve kuruluşlarına SSL, mali mühür, elektronik imza ve zaman damgası gibi hizmetler sunan değerli bir kurumu hızla tekrar sistemlerine kabul etmeleri olacaktır.

Türkiye’nin SSL yolculuğunda yukarıdaki tabloya rağmen, son olarak değineceğim bir kurum ise hepimiz için umut ışığı olmaktadır. Bu kurum Bilgi Teknolojileri ve İletişim Kurumu’nun 5070 Sayılı Elektronik İmza Kanunu ve ilgili ikincil mevzuatı kapsamında regüle ettiği e-TUGRA’dır.

e-TUGRA; ülkemizin BTK tarafından onaylamış e-imza üretmeye yetkili kurumlarından biridir. Ancak e-TUGRA’nın emsallerinden farkı, BTK’nın kendisine çizdiği regülatif çerçeve ile yetinmeyip; SSL konusunda hem Avrupa hem de Amerika’da pazara girebilmek amacıyla uluslararası alanda öngörülen standart, teknik ve güvenlik kriterlerine harfiyen uyma kararıdır. CA/B Forum tarafından global güvenilir SSL sistemine dahil olmak amacıyla gerek ETSI gerek Webtrust standartlarına uyum sürecini bundan tam sekiz yıl önce başlatan e-TUGRA titizlikle gerekli uluslararası bağımsız denetim kurumlarının denetimlerinden tam not alarak geçmiş,  gerekli teknik ve yazılımları milli bir yapıda üretmiş ve dünyadaki tüm tarayıcılara başvurmuştur. Zorlu ve ancak bu işe gerçekten gönül verebilen kişiler tarafından katlanılacak bir süreci başarı ile geçip kendisini Google, Microsoft, Apple, ve Mozilla gibi kurumlara hem masa üstü tarayıcılarına hem mobil tarayıcılarına kabul ettirmiştir.

Bir ”Çılgın Türk Şirketi”’nin elde ettiği bu başarı; içinde bulunduğumuz günlerde TÜBİTAK’ın yaşadığı yukarıda değindiğimiz sıkıntılı süreç dolayısıyla, tüm kamu kurum ve kuruluşlarının Google Chrome ve Safari tarayıcılarda yaşadıkları SSL sorunlarına çözüm olacaktır. e-TUGRA tamamen kendi kontrolünde olan CA sistemi sayesinde, hiçbir yurt dışı firmaya bağlı kalmadan, yüzde yüz Türkiye’ye ait bir yapıda SSL sertifikalarını üretebilmektedir. E-TUGRA’nın SSL sertifikaları sayesinde tüm kamu kurum ve kuruluşlarının verilerinin yurt dışına gönderilmeden e-TUGRA tarafından onaylanabilmekte ve bu sayede kamu verileri açısından oluşabilecek bilgi güvenliği, siber güvenlik ve vatandaşa ait kişisel verilerin korunmasına ilişkin sorunlar ortadan kaldırılmış olacaktır. Fakat ne yazık ki e-TUGRA’nın global ölçekte tanınan SSL sertifikalarından haberdar olmayan bazı kamu kurumları, bu sancılı süreci tam olarak anlayamadıklarından olsa gerek yabancı firmaların SSL sertifikalarını kullanmaktadırlar. Tekrar altını çizmek isterim ki bu durum; kamuya ait her türlü verinin başkaları tarafından görülebilmesi sonucunu doğuracağından, çok büyük bir milli güvenlik meselesi haline de dönüşebilecektir.

Ne yapmak lazım?

Hepimizin bildiği üzere 2004/21 Sayılı Başbakanlık Genelgesi[5] güvenli elektronik imzaya ilişkin olarak pazarı ikiye bölüp, Kamu Sertifikasyon Merkezi üzerinden kamunun “güvenli elektronik imza” ihtiyacının karşılanmasını öngörmektedir. Dolayısıyla bu Genelge SSL pazarını düzenleyen bir nitelikte değildir.

İç hukukumuzda henüz net kurallarla regüle edilmeyen ancak bilgi güvenliği, siber güvenlik ve kişisel verilerin korunması gibi alanlarda kritik önem taşıyan SSL’in; uluslararası standart, teknik ve güvenlik kriterleri ve akreditasyon sistemleri CA/B Forum tarafından yürütülmektedir.

Yukarıda kısaca uluslararası bu ağ’a dahil olma öyküsünü aktardığımız e-TUGRA’nın SSL’lerinin özel sektör dışında, kamu sektörü tarafından kullanılmasının önünde hiçbir engel mevcut değildir.  Ancak değindiğimiz üzere birçok kamu kurumu e-TUGRA’nın bu sorunu çözebileceğini bilmediğinden, TÜBİTAK’ın global olarak yaşadığı sıkıntılar giderilene kadar tüm kamu kurumlarını tekrar bir e-mail ile bilgilendirmesinin faydalı olacağı kanaatindeyim.

2013 Hedeflerimiz, Hükümet programları, bilgi toplumu/e-devlet/siber güvenlik strateji raporları gibi belgelerinde sıklıkla tekrarlandığı üzere; Ülkemizin bilişim alanında da yerli şirketlere ve onların ürünlerine destek vermesi, global pazarlarda faaliyet gösterecek şekilde bu şirketlerin büyümesini sağlamak amacıyla politikalar geliştirmesi önem taşımaktadır.

Sanırım bir çoğumuz bu yazı ile e-TUGRA’nın, SSL pazarında global alanda bir Türk şirketi olduğu öğrendi. Bizler henüz SSL alanındaki başarısını keşfetmekle meşgul iken, e-TUGRA şu an henüz daha iç hukukumuza aktarmadığımız AB’nin e-ID and Trust Services Regulasyonuna (eIDAS) uyumluluk akreditasyonunu neredeyse tamamlamak üzere!

Zamanının önünde giden, kendisine çizilen çerçeveye sığmayı reddeden bir çılgın Türk Şirketi olan “e-TUGRA”’yı bütün kalbimle tebrik ediyor, Ülkemizde daha çok e-TUGRA’lar görmeyi diliyorum.