Dijital Devletin Ele Geçirilmesi: Düzeltilmesi Hâlâ Mümkün

Kamuoyuna “diploma sahtekarlığı” diye yansıyan bir olay var: Yetkili kişilere ait sahte olduğu söylenen e-imzalar kullanılarak üniversiteye yerleştirme yapılmış, notlar yükseltilmiş, öğrencilerin bölümleri değiştirilmiş, mezun olmayan kişilere sahte diplomalar verilmiş.
Nedense bu olay kamuoyunda olması gerektiği kadar büyük bir infial yaratmadı. Ne de olsa burası Türkiye. Üniversite olduğunu iddia eden kuruluşlar üniversiteye yerleşemeyen adaylara hitaben “Merak etme, biz varız” diye boy boy ilanlar verir, herkes ne büyük iş adamı der. KPSS, LGS sınav soruları çalınır, ilkokul mezunu olduğu şüpheli kişiler yurtdışından diploma satın alıp üniversite mezunu olduğunu iddia eder, güler geçeriz. Ne de olsa eğitim bir formalite, diploma da iptal edilebilen bir kâğıt parçası; çok da önem vermiyoruz. Bu da böyle bir olay mı?
Teknoloji uzmanı gazeteci Füsun Sarp Nebil buna “Dijital devletin sanal olarak ele geçirilmesi” diyor . Neden bu kadar geniş bir ele geçirme olduğunu anlamak için dijital dönüşümden biraz bahsetmek gerek.

Dijital Dönüşümün Vatandaş Tarafı

Biliyorsunuz artık ülkemizde hemen hemen her işlem, bilgisayar üzerinden, uzaktan yapılabiliyor. Bir vatandaş olarak e-devlet kapısı adı verilen web portalına girip T.C. kimlik numaranızı ve şifrenizi giriyorsunuz, aklınıza gelen her tür işlemi masanızdan kalkmadan yapabiliyorsunuz. Son zamanlarda tüm vatandaşların T.C. kimlik numaraları çalındığı için buna ek bir güvenlik önlemi olarak cep telefonu ile doğrulama getirildi: Şifrenizi girdikten sonra, cep telefonunuza altı haneli bir sayı yollanıyor; bu sayıyı da girince kimliğiniz doğrulanmış oluyor.
Tabii ki bunun için bir akıllı telefonunuz olması, dijital okur yazar olmanız, şifrenizi hatırlayabilmeniz gibi şartlar var. Toplumun önemli bir bölümünü oluşturan yaşlılar ve imkanları kısıtlı insanlar başka kişilerin yardımı olmadan bu işlemleri yapamıyor ve bu da istismara açık bir alan . Ancak bu, dijital dönüşümün vatandaş tarafı. Bir de devlet tarafına bakalım.

Dijital Dönüşümün Devlet Tarafı

Devlet, imza ile işler. Bir yönetici, kendi altında yürütülen tüm işlemlere imza atar.
Örneğin bir üst yönetici, diyelim ki rektör ya da yetkilendirdiği yardımcısı, günde yüzlerce imza atar. Attığı imzaların hepsi sorumluluktur, imza bu işlemlerin doğruluğunu onaylarım demektir; onun için yöneticinin her işin ayrıntısına hâkim olması gerekir.
Eskiden, bu işlem şu şekilde yapılırdı: İmza defteri denen, sayfaları kartondan yapılmış bir defterin her sayfasına evraklar, kolay imzalanacak şekilde yerleştirilirdi. Üst yöneticinin atacağı imzalı kâğıdın hazırlanmasından sorumlu daire başkanı, sıra sıra imza defterleri ile imza atacak kişinin yanına gelir, her bir evrakın ne olduğunu söyler, yönetici de imzalardı.
Üst yönetici altındakine güven, altındaki de üst yöneticiye sorumluluk duyardı. Bu işler yüz yüze olduğunda, ses tonundan ya da vücut dilinden hangi işlemlerin sorunlu olduğu anlaşılırdı. Sorunlu bir işlem olduğunda, daire başkanı üst yöneticiye aktarır, üst yönetici, bazı durumlarda imza atmaz, ek işlemler yapılmasını isterdi.

E-imza ile bozulan sistem

Dijital dönüşüm sonrası, e-imzaya geçtik. Elle atılan imza yerine, bir USB çubuk sizin kimliğinizi doğruluyor. Bu çubuğu bir bilgisayara takıyorsunuz; size imza için yollanmış evrakları seçip toplu imzala deyince bir şifre soruyor; onu da girince imzalanmış oluyor.
Vücut dili; ses tonu, karşınızda sorumlu kişi yok; bir bilgisayar programı var. Hatta siz de yoksunuz; sadece bilgisayara takılan USB çubuk var. Çubuğu ve şifresini kime verirseniz yönetici o oluyor.
Başkası adına fiziksel imza atsanız, büyük suç; ama başkasının e-imzasını kullansanız kimsenin ruhu bile duymaz. Kamuda işlerin büyük bir kısmının bu şekilde yürüdüğünü tahmin ediyorum.

Dijital Devlet Nasıl Ele Geçirilir?

USB çubuğu bir firma veriyor; “dijital devletin ele geçirilmesi” denilen son olayda sorumlu daire başkanlarına ait sahte e-imza çubukları üretildiği söyleniyor. Hatta bu işin denetlenmesinden sorumlu BTK başkanına bile e-imza çıkartılmış!
Nasıl oluyor da kendileri adına e-imza çubuğu çıkartılan kişiler ya da onların üst yöneticileri bu durumdan habersiz olur sorusu benim aklımı çok kurcalıyor. Umarım soruşturmayı yürütenlerin ve bu işin denetlenmesinden sorumlu BTK yetkililerinin de aklını kurcalıyordur çünkü çok sistemik bir yanlış kurguya işaret ediyor. Düzeltilmezse, “devlet ele geçirildi” diyebiliriz.

Düzeltilmesi Mümkün

Düzeltilmesi için ne yapılması lazım? Öncelikle, bu sahteciliğin nasıl yapıldığının açığa çıkarılması lazım. Kimler fayda sağlamış? Bu kişilerin cezalandırılması lazım. Ancak bu işten fayda sağlamasa da denetleme görevini ihmal edenler var: Nasıl fark etmemişler? Onların hatası mı yoksa sistemin kurgusunda eksiklikler mı var? Mesela niye iki aşamalı doğrulama yok? Tahminim, yöneticilerin buna itiraz ettiği. Fiziksel imzadan e-imzaya geçiş, yöneticilere büyük yük getirdi. Sisteme gir, menülere gir, her bir evrakı aç, oku, imzala. Bir de iki aşamalı doğrulama olsa, bu sefer USB çubuğu özel kaleme verip sen imzala demek mümkün olmayacak!
Bu işlerin altın standardı, biyometrik doğrulama. Örneğin parmak izi ya da göz tarama. Öte yandan, Blockchain tabanlı değiştirilemez kayıt sistemi ehliyet, diploma, tapu, mahkeme kayıtları gibi resmi evrakların silinmesi ya da değiştirilmesini imkânsız hale getirir.
Son olarak da tüm sistemde yapay zekâ ile şüpheli işlemler, anomaliler tespit edilebilir. Dijital devlete sahip çıkmak için acilen bunların hayata geçirilmesi gerekiyor.