Biyometrik İmza Yaralı mı Zararlı mı? (İnceleme)
Özet Bilgi:
Islak imzaya alternatif olarak düşünülen elektronik imzalama yöntem türleri, on beş yıldan fazladır gündemde. Özel ve kamusal belgelerin elektronik olarak imzalanması konusunda iki temel seçenek karşımıza çıkmakta: Dijital imza ve biyometrik imza.
Tüm dünyada olduğu gibi ülkemizde de açık anahtar altyapısına dayalı dijital imza, yasal açıdan ıslak imza gibi geçerli olan ve mevzuatı oturmuş seçenek. E-kimliklerin aradan geçen uzun zamana rağmen yaygınlaşmamış olması, vatandaşlara dijital imzalamada kullanacakları nitelikli e-imza sertifikalarını dağıtmada büyük engel teşkil ediyor. Bazı şirketler kağıt masraflarından kurtulmak ve iş süreçlerini tamamen otomasyona dönüştürmek için e-kimlik sürecini beklemek yerine biyometrik imzalama seçeneğini kullanmak arzusundalar. Ancak mevzuatı oluşmadan ve gerekli önlemler alınmadan yapılacak uygulamaların ülkemize özgü riskleri göze alınamayacak kadar büyüktür. Bu makalede söz konusu bu riskler irdelenmekte ve çözüm önerileri dile getirilmektedir.
Giriş:
Anayasamız ülkemizi bir hukuk devleti olarak tanımlamaktadır. Bunun anlamı hukukun üstünlüğü prensibidir. Bir başka deyişle sosyal, ekonomik, idari, adli, ticari, medeni, beşeri hayatımız; anayasamız, kanunlarımız ve çeşitli alanlar için belirlenmiş mevzuatlarımızdan oluşan bir hukuki çerçeve dâhilinde düzenlenir.
Hukuki çerçevede ise aslolan söz değil yazıdır. Anlaşmalar, sözleşmeler, taahhütnameler, ihbarlar, yönetmelikler, talimatlar ve iş süreçlerine dair aklımıza gelebilecek her adım yazıya dökülür. Günümüz hukuk sisteminin temelini atan Romalılar yüzyıllar önce “Söz uçar, yazı kalır” diyerek, önemli konuları yazıya dökmenin gerekliliğine işaret etmişlerdir. Yazının altına atılan imzalar ise yazılı metinlere bazen bir sahiplik bazen de resmiyet kazandırır.
Cumhuriyetimizin kuruluşundan bugüne imza işlemi belli bir gelişim süreci geçirmiştir. El yazısıyla atılan ıslak imzanın yaygınlaşması, okuma yazma seferberliğiyle paralel yürümüştür. O dönemde okuryazar olmayan büyük çoğunluğun parmak izleri, imza yerine geçmekteydi. Islak imzanın yaygınlaşması büyük bir gelişim hedefiydi. Zamanla mürekkepli parmak iziyle atılan imzaların oranı epeyce azalmış ve ıslak imza hâkim konuma gelmiştir. Bugün ise ıslak imzanın alternatifi olarak doğan e-imzanın yaygınlaşması bir gelişim hedefidir.
Günümüzde ıslak imza toplumsal hayatımıza egemen olan imza türü olmakla beraber artık belli riskleri de beraberinde getirmektedir. Örneğin gelişen teknolojiyi kötü amaçlı olarak kullanacak kişiler, ıslak imzaları robotik teknolojiyle, Adli Tıp Kurumu tarafınca aslından ayırt edilemeyecek şekilde atabilirler. Bu durum hukuk sitemini çaresiz bırakıp, hukuku işleyemez hale getirebilir ki, bu da hukuk devleti olma özelliğimizin kaybedilmesi anlamına gelir. Büyük şirketlerimiz biyometrik imza konusunda aceleci davranmaları da olası riskleri arttırmaktadır.
Türkiye’de e-imza konusunda son derece titiz bir çalışma yürütülmüş, e-imza konusunda çalışırken ıslak imzaya yönelik tehditlere karşı da doğru önlemleri alınmıştır. Bu konudaki adımlar dünyadaki yaygın tercihlerle uyumlu olmuş, yeri geldiğinde ülkemizin kendine özgü koşulları da göz önünde bulundurulmuştur. Nitekim günümüzde kamudaki e-imza uygulamaları makul bir hızla yaygınlaşmaktadır.
Teknik Özet:
Konunun uzmanları da dahil olmak üzere elektronik imza konusunda bir kavram karmaşası yaşanmaktadır. Özellikle elektronik imza, dijital imza ve biyometrik imza konuları zaman zaman birbiriyle karıştırılmaktadır. Konuyla ilgili Türkçe terminoloji ile uluslararası terminoloji arasında oluşmuş farklılıkla da kafa karışıklığı yaratmaktadır. Makalenin sağlıklı anlaşılması için öncelikle temel terimlerin tanımlarında hemfikir olmak şarttır.
Elektronik İmza (e-imza): Literatürde elektronik imza ile ilgili en yaygın atıf ABD E-İmza Kanunu’nda yapılan tanımlamadır [1]. Bu tanıma göre elektronik imza; “Bir sözleşme veya belgeye (kayıta) bir kişi tarafından belgeyi imzalama amacıyla işlenmiş veya atılmış ve belgeye eklenmiş veya ilişkilendirilmiş elektronik ses, işaret veya süreçtir.”
Elektronik imza terimi çok genel bir terim olup, birçok uygulama türü vardır. Bu makalede sadece dijital imza ve biyometrik imza türlerine değinilecektir.
a.Dijital İmza: Dijital imza dünyadaki en geçerli ve yaygın elektronik imza türüdür. Ülkemiz de dâhil olmak üzere birçok ülkede e-imza denilerek aslında “dijital imza” kastedilir. Hatta ülkemizde dijital imza terimi bu nedenle pratik kullanımdan neredeyse tamamen kalkmış ve yerini e-imzaya bırakmıştır. O nedenle teknik makaleler kavram karışıklıklarına neden olmaktadır. Dijital imza popüler adıyla “Açık Anahtar Altyapısı” (AAA) veya Public Key Interface (PKI) olarak adlandırılan bir şifreleme mekanizmasına dayanmaktadır. Bu mekanizma kişilerin kart, cep telefonu veya USB belleklerde gizlilik içinde sakladığı elektronik imzalarını kullanmalarına dayanır. Dijital imza kişinin kredi kartı gibidir. Yanında taşır ve bir kart şifresiyle de koruma altına alır. İhtiyaç duyduğunda (imza atmak istediğinde) kredi kartı kullanımına benzer bir mantıkla kullanır. Kaybederse iptal ettirtip yenisini çıkartır. Dijital imza yeni yaygınlaşan e-kimliklerde de tutulabilir. Böylece vatandaşın e-imza için zaten yanında taşımakta olduğu e-kimlik dışında başka bir karta ihtiyacı kalmayacaktır.
b.Biyometrik İmza: The Free Dictionary’nin çevrim içi sözlüğünde biyometrik imza şöyle tanımlanmaktadır: Bir kişinin el yazısına dayalı imzasının tespitine dair bir yöntem.
Bir dokunmatik ekran veya dijital kalem tabanlı tablet üzerine bir kalem (stylus) ile gerçekleştirilen imzalama sürecindeki kalem basıncı ve sürelerinin bir algoritma olarak kaydedilmesi ve gelecekte atılan imzaların birbiriyle karşılaştırılmasıdır.2 [2].
Biyometrik imzada, ıslak imza sürecinin tüm ayırt edici öğeleri (basınç, hız, öncelik sırası, kalem tutuşu, kalem yönü, vb.) imzanın görüntüsüyle birlikte dijitalleştirilir ve kayıt altına alınır. Daha sonra aynı kişi tarafından atılan imzalardaki öğeler karşılaştırılarak imza sahibinin aynı kişi olup olmadığı tespit edilmeye çalışılır.
c.Tehdit: Teknoloji hızla gelişmektedir. Gordon Moore’un 1965 yılında ortaya koyduğu meşhur Moore Yasası ile daha net ifade etmek gerekirse aynı fiyata alınan standart bir işlemcinin transistor sayısı her iki yılda bir ikiye katlanır. Günümüzde buna ek olarak teknolojik bir devrim yaşanmaktadır. Nano-teknoloji, kuantum bilgisayarlar, makine öğrenmesi, yapay zeka, nesnelerin interneti, Endüstri 4.0, 3-B yazdırma, mobilite gibi konular artık hiçbir şeyin eskisi gibi olmadığı bir dünyanın kapılarını açmıştır. Çok akın bir zamana kadar gündemimizde olmayan birçok kavram ve uygulama artık günlük hayata girmiş durumda.
Biyometrik imza açısından bakıldığında şöylesi önemli bir noktaya biraz hızlıca gelindi. Artık biyometrik imza verisine sahip olduğunuz bir kişinin ıslak imzasını bir Arduino kart, ucuz bir robot kol ile ilgili yazılım geliştirme araçları ve kütüphanelerini kullanarak taklit edebiliriz. Meraklı bir elektronik veya bilgisayar mühendisliği lisans öğrencisinin son derece düşük maliyetle evinde geliştirebileceği bu düzenek ile ıslak imzayı taklit etmesi mümkündür. Bütçe ve çalışma süresi arttırılarak imza taklidi daha da başarılı bir hale getirilebilir. Sonuç olarak adli tıp uzmanlarının ayırt edemeyeceği bir imza taklidi yapmak son derece kolaydır. Burada bahsedilen bileşenler birkaç yıl öncesine kadar piyasada yoktu. Şimdi ise yeterince gelişmiş sürümlerine düşük fiyatlara ulaşmak mümkün.
Artık bir vatandaşın ıslak imzasını robot kol ile taklit etmekteki zorluk, bu kişinin biyometrik imza verisini elde etmekten daha zor değildir. Biyometrik imza verisini elde etmenin en kolay yolu, kişiye biyometrik imza attırmaktır.
“Tabletin üzerini imzalayın lütfen.” şeklindeki bir rica ya da talimatı yerine getiren kişi, aslında kendisine ait çok önemli ve gizli bir veriyi karşısındaki şahıs ya da şirkete emanet etmektedir. Bu yolla elde edilen biyometrik imza verilerinin kötü niyetli kişilerin eline geçtiğini düşünelim. Kişinin ıslak imzası kullanılarak borçlandırılması, işlemediği suçları üstlenmiş gibi gösterilmesi mümkündür. Birçok davada ıslak imzalı belgeler kesin delil kapsamında değerlendirilmektedir. Dolayısıyla, yargı sürecinde gelinecek nokta Adli Tıp Kurumunun imzanın orijinalliğiyle ilgili vereceği karara bağlıdır. Biyometrik veriye dayalı olarak atılacak ıslak imzaların birçok durumda sahibinin imzasına adli tıp uzmanları tarafından bile ayırt edilemeyecek kadar benzeyebileceğini düşünürsek, konunun ciddiyeti anlaşılacaktır.
- Önlem: Yukarıdaki tehdit ile ilgili yapılabilecek tek şey biyometrik imza verilerinin güvenliğini sağlamaktır. Konuyla ilgili bir yasal mevzuat olmadığından, ülkemizde bu konuda güvenliğin nasıl sağlanacağıyla ilgili önerilerimiz de hukuki bir zeminden yoksun olacaktır.
5070 Sayılı E-İmza Kanunu dijital imza ile ilgili olarak belirli kriterlere göre kurulan, yapılanan ve denetlenen firmaların güvenli E-İmza Sertifika ve Hizmet Sağlayıcısı olabileceğini düzenlemekte. Benzer şekilde biyometrik verilerin güvenliği, saklanması ve doğrulanması ile ilgili hizmet sağlayıcı 3. taraf şirketler yeni bir yasal düzenlemeye müteakip kurulabilir. Ancak burada dikkat edilmesi gereken husus şudur: Biyometrik verilerin çalınması durumu nitelikli e-imza sertifikalarının çalınması durumundan daha vahim sonuçlar doğurur. Zira bir kişinin çalınan nitelikli sertifikası iptal edilip, yerine yenisi düzenlenebilir. Tıpkı kredi kartlarında olduğu gibi. Ancak biyometrik veri iptal edilemez, değiştirilemez. Bir kişinin parmak izini, sesini veya el yazısını değiştirmek kredi kartı değiştirmek gibi mümkün olan bir şey değildir.
Ayrıca dijital imzanın (e-imzanın) aksine biyometrik imza ıslak imzayı tehdit etmektedir. Elektronik imzalama ile ilgili her türlü felaket senaryosunda dahi mevcut ıslak imza sistemi ayakta olduğu sürece hukukun sağlıklı işlemesi mümkün olacaktır. O nedenle biyometrik veri işlemeyle ilgili çalışmalar ve sistemler çok daha güvenli olmalıdır. Nitekim ülkemizde parmak izi, avuç içi damar izi gibi biyometrik verilerin, kişinin kimlik doğrulaması konusunda kullanılmasına yönelik TÜBİTAK’ın da dahil olduğu teknik ve yasal çalışmalarda bir noktaya gelinmiştir. Kanun Yapıcı imza için söz konusu biyometrik kimlik doğrulama ile uyumlu dijital imza seçeneğini tercih etmiştir. Yeni yeni dağıtımına başlanan e-kimliklerin teknolojisi ve içerikleri ile ilgili KEC cihazlarının ve sistemlerinin tasarımları ve standartları buna göre düzenlenmiştir. Islak imzayı tehdit etmeyen biyometrik kimlik doğrulama ile ilgili hassasiyet bu noktada iken, ıslak imzayı tehdit eden biyometrik imza ile ortaya çıkacak bir güvenlik zafiyetine neden olmamak gerekmektedir.
Bugünkü mevzuatla uyumlu pratik bir biyometrik imza uygulaması mümkün değil midir? Vatandaşın ıslak imzasını tehdit eden bir konuda güveneceği bir şirket olabilir mi? Bu şirket sözleşmeyi imzalayan tarafların dışında güvenilir bir 3. taraf olabilir mi? FETÖ ve PKK başta olmak üzere birçok güvenlik ve güvenilirlik tehdidi varken ülkemizde bu durumu vatandaşa izah edip, onları ikna etmek zor görünüyor. Her halükarda bu tarz güvenilir bir 3. taraf hizmet sağlayıcı şirketlerin kurulabilmesi ve faaliyetlerini sürdürebilmesi için yasal düzenleme ve kamu denetimi şarttır.
Belki de en güzel çözüm biyometrik imza ile dijital imzayı uygun bir şekilde ve birlikte kullanmaktır. Bir vatandaşın biyometrik olarak elle imzaladığı belgedeki biyometrik imza verisini işlem anında, cache’lemeden vatandaşın nitelikli e-imza sertifikasına ait açık anahtar (public key) ile imzalamak mümkündür. Bu durumda söz konusu biyometrik imza verisini ancak vatandaşın nitelikli imza sertifikası ile açmak mümkün olacaktır. Vatandaş e-imzasına sahip çıktığı sürece biyometrik verisi güvence altında olacaktır. Ancak bu çözümün bazı dezavantajları da vardır. Bu dezavantajları şöyle sıralayabiliriz:
- Taraflar imzaların fotokopisi gibi olan görüntüsüne sahip olmaktan öteye gidemeyecektir. Bir başka deyişle asıl biyometrik imza karşı tarafa açık olmayacaktır.
- Biyometrik imzanın orijinalliğinin ispatı için imza sahibinin e-imzasına ihtiyaç vardır. Bir tarafın e-imzasını kullanmakta imtina etmesi durumunda mahkeme kararı gerekebilir.
- Kişilerin e-imzalarının (dijital imzalarının) kullanılabildiği her durumda biyometrik veriye ihtiyaç yoktur. Zira dijital imza (e-imza) yasalken ve ispat konusunda tek başına ıslak imza gücünde iken, üzerine ilave edilen biyometrik imza yasal bile değildir.
Ülkemizdeki Durum ve Mevzuat
- Dijital İmza: Ülkemizde ıslak imzaya alternatif olarak hakkında yasal düzenleme yapılan tek elektronik imza türü dijital imzadır.
“5 Ocak 2004 tarih ve 5070 numaralı Elektronik İmza Kanunu [3] elektronik imza konusunda temel yasal düzenlemedir. Bu kanun ile elektronik imzanın hukuki yapısı, elektronik sertifika hizmet sağlayıcılarının faaliyetleri ve elektronik imzanın kullanımına ilişkin bağlayıcı temel hususlar düzenlenmektedir. Kanun, düzenleyici kurum olarak Bilgi Teknolojileri ve İletişim Kurumunu atamakta ve ikincil düzenleme yetkisini bu kuruma bırakmaktadır. Kanun yayımı tarihinden altı ay sonra (23 Temmuz 2004) yürürlüğe girmiş ve ikincil düzenlemeler için bir yıl süre (23 Ocak 2005) tanımıştır.” [4]
Düzenleyici kurum olarak atanan BTK’nın İnternet Sitesi’nde E-İmza başlıklı sayfada dijital imzanın ülkemizdeki durumu aşağıdaki şekilde özetlenmektedir:
“Kamusal ve ticari iş ve işlemlerin elektronik ortamda yapılmaya başlaması ile birlikte, bu iş ve işlemlerin geçerliliğinin, bütünlüğünün, erişilebilirliğinin ve inkâr edilemezliğinin sağlanması sorunu ortaya çıkmıştır. Bu sorunu çözmek için en uygun çözüm olarak elektronik imza uygulaması başlatılmış ve tüm dünyada kullanılmaya başlanmıştır.
Ülkemizde bu konudaki yasal boşluğu gidermek için 5070 sayılı Elektronik İmza Kanunu hazırlanmış ve 23 Temmuz 2004 tarihinde yürürlüğe girmiştir.
Kanuna göre elektronik imza, başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veri olarak tanımlanmaktadır.
Kanunda tanımlanan güvenli elektronik imzanın, elle atılan imza ile aynı hukukî sonucu doğurması, elle atılan imza ile aynı ispat gücünü haiz olması, usulüne göre güvenli elektronik imza ile oluşturulan elektronik verilerin senet hükmünde olması ve bu verilerin aksi ispat edilinceye kadar kesin delil sayılması
Kanunun hukuki açıdan getirmiş olduğu en önemli yeniliklerdir.” [5]
Ülkemizde on yılı aşkın geçmişi bulunan dijital imza mevzuatı kanun, yönetmelikler, tebliğler, genelgeler, tarifeler, kurul kararları, rehberler vb. metinlerle olgunluk dönemine erişmiş olup sektörel uygulamaların yaygınlaşması aşamasına gelebilmiştir.
İlgili mevzuata düzenleyici kurum olarak atanan BTK’nın web sitesinden erişilebilir: https://www.btk.gov.tr/tr-TR/Sayfalar/e-imza-Mevzuat .
- Biyometrik İmza: Biyometrik imza ile ilgili ülkemizde yasal bir düzenleme bulunmamaktadır. Ayrıca, hiçbir ticari şirkete veya kamu kurumuna vatandaşların el yazısı imzasının biyometrik verisini alma yetkisi veya izni de verilmiş değildir.
Ancak şirketlerin elektronik otomasyon sistemlerindeki verimliliği arttırmaları ve kâğıda dayalı süreçlerin maliyetlerini azaltmaları için elektronik imza süreçleri gereklidir. Yasal açıdan geçerli dijital imzanın yaygınlaşmasındaki yavaşlık bazı büyük şirketleri alternatif arayışına itmektedir. Ülkemizde bugüne kadar biyometrik imza ilk akla gelen seçenek olmuştur.
Biyometrik imza ile ilgili ilk çalışmalar bankalar ve kurye firmalarında başlamıştır. O dönemde teknolojik seviye ıslak imza için ciddi bir tehdit oluşturmamaktaydı. Bazı kurye firmalarının kullandığı cihazların kalitesi çok düşüktü ve gerçek anlamda biyometrik imza yeteneklerine sahip değildi. Bankalar ise gördükleri riskler, teknolojinin ve çözüm sağlayıcı firmaların henüz olgunlaşmamış olması ve mevzuata dair çekinceleri nedeniyle projelerini rafa kaldırdılar. Sonunda telekomünikasyon firmaları da biyometrik imza kervanına katıldılar. Birkaç defa projeler denenip rafa kaldırıldıktan sonra bu yıl ilk kez bir telekomünikasyon firması bir pilot proje başlattığını duyurdu.
Anlaşıldığı kadarıyla, biyometrik imzaların yasal geçerliliği olmadığından sözleşmeler için olmayıp; adres değişikliği, kampanya değişikliği gibi basit talimat işlemleri için ses imzasının kullanılması planlanmakta. Ses de bir tür biyometrik imzadır. Sesin en büyük avantajı dinamik olmasıdır. Bir kişinin sesinin ayırt edici özelliklerinin belirli bir sözcük için elde edildiğini varsayalım. Telefonda çağrı merkezi operatörü ile yapılacak telefon görüşmesi dinamiktir. Ancak o kişi, kendi sesiyle karşılıklı bir telefon görüşmesini sürdürebilir. Seste sistemi kandırmak için dar kalıplı bile olsa bir nevi Turing testinden geçecek bir yapay zekâya da ihtiyaç duyulacaktır. Biyometrik imza bu anlamda dinamik değildir. İmza her yerde aynı sözcüğün aynı şekilde yazılmasıdır. Kanun yapıcının basit işlemler için ıslak imzalı belge yerine çağrı merkezlerine yönlendiren düzenlemeleri, biyometrik imzanın önündeki bu son kapıyı da kapatmaktadır.
Ülkemizin Özgün Durumu
Ukrayna’ya giden bir arkadaşım büfeden 5 Dolara içi kontör dolu GSM kartı aldığını, kimsenin kimlik veya pasaport sormadığını anlatıp, ülkemizdeki hat alma sürecindeki evrak işinden şikâyet etmişti. Ben de Katar’da bir AVM’den aynı şekilde bir SIM kartı almıştım. Bu devletler ülkelerindeki cep telefonu hatlarının sahiplerinin kim olduğuyla ilgili bir kayıt tutma ihtiyacı duymuyorlar. Belçika’da hat başvurusunda bir miktar evrak işi olmakla beraber uygulamanın sıkı olmadığını deneyimlemiştim.
Bizim ise bu konuda işi Almanya, Fransa, İngiltere, ABD gibi gelişmiş ülkelere göre daha sıkı tuttuğumuz görülüyor. Ülkemizde 2008 yılına kadar hat sahibi olma süreçlerinde bir gevşeklik vardı ancak 2008 itibariyle cep telefonu hat kayıt işlemleri son derece sıkılaştırıldı. Dahası tüm operatörler BTK’dan gelen talimatla kısa bir süre zarfında tüm kayıtlarını TC kimlik numarası doğrulamasına tabi tutmak zorunda bırakıldı. Uygulamaya uyulması için ağır para cezalarını içeren yaptırımlar getirildi. Bu, Türkiye’nin telefon hatları konusunda sıkı bir politika uygulama kararı aldığı anlamına gelmektedir. Bu tarz kararlar ve politikalar ülkelerin içinde bulunduğu koşulların bir tecellisi olarak karşımıza çıkmaktadır. Sektörde, 2008 yılındaki uygulamanın terör örgütleri ve organize suçlarla mücadelenin bir sonucu olarak çıktığı düşüncesi hâkim. Ayrıca devletimizin e-devlet stratejilerinin temel unsurlarından biri de cep telefonları hatlarının ve SIM kartlarının sahiplerinin yasal olarak kayıt edilmesine dayanmakta. Toplumu sarsıcı birçok davada telefon görüşmeleri ve tapelerin yasal delil olarak kullanılmasının temel dayanaklarından biri de, yasal takip yapılan telefon hatlarının yasal olarak kime ait olduğu bilgisinin, yasal delil teşkil edecek şekilde kayıt altında olmasıydı.
Ülkemiz toprak bütünlüğünü mütemadiyen tehdit eden PKK terör örgütünün varlığı, FETÖ ve farklı suç örgütleriyle mücadele kapsamında görülen davaların çokluğu, terör örgütlerini de barındıran dünyanın en aktif savaş bölgesiyle olan sınır uzunluğu ve sayısı milyonları bulan mülteciler nedeniyle güvenliğe dair konularda çok daha hassas olmak durumundadır. Bu yüzden devletimizin cep telefonu hatlarının sahiplerini kayıt altına alma ihtiyacı son derece makul görülmektedir. Aynı durum biyometrik imza konusunda da geçerlidir. Gelişmiş bir Avrupa ülkesinde bir vatandaşın biyometrik imzasından ıslak imzasının taklidine giderek birtakım suçların işlenmesi ihtimali çok düşük olabilir. Birçok ülkede ıslak imzası taklit edilen Albay Dursun Çiçek vakasına benzer bir vaka yaşanmamıştır. Bu yüzden bu ülkeler biyometrik imzanın ıslak imza üzerinde oluşturduğu risklere daha rahat göze alabilip, biyometrik imzanın getirdiği kolaylıklardan yararlanmayı tercih edebilirler.
Ülkelere biyometrik imzanın girmesinin ve devletlerinin konuyla ilgili politik kararlarının tarihi bile bu konuda bazı farklılıkları beraberinde getirmektedir. Nitekim biyometrik imzadan ıslak imzanın taklit edilmesi hususu bugün yakın geçmişe göre çok daha ciddi ve bariz bir tehdittir.
Sonuç:
Ülkemiz bu konuyla ilgili belli kararlar alacaktır. Biyometrik imzanın kullanımına dair bir karar alınması durumunda ilgili veri güvenliği günümüzün koşullarına göre düşünülmeli ve gerekli yasal düzenlemeler mutlaka yapılmalıdır. Uygulamaların ilgili yasal düzenlemelere uygunluğu ise sıkı denetime tabi tutulmalıdır.
Biyometrik imza konusunda ülkemizin birçok gelişmiş ülkeye kıyasla geç karar aldığı bir gerçektir. Ancak zamanlamamızın bir açıdan muhteşem olduğunu da düşünebiliriz. Çoğu erkenci ülkelerde biyometrik imzaya geçiş hızla yaşanırken, gündemde olmayan bazı teknolojik tehditler zamanla ortaya çıkmıştır. Dolayısıyla bu ülkeler erken davrandıkları için ileride bazı pişmanlıklar yaşayabilirler. Bu ülkelerde ıslak imzaya itirazı içeren davalardaki artış olup olmadığına dair bir araştırma yapılması durumunda manidar sonuçlarla karşılaşılma ihtimalinin yüksek olduğunu düşünüyorum. Biyometrik imzanın geç gündeme geldiği bir ülke olarak biz şu anda daha doğru ve güncel kararlar alma şansına sahip durumdayız.
Devletimiz bugüne kadarki çalışmalarıyla biyometrik kimlik tespiti (parmak izi, avuç içi damar izi, vb.) ve e-imza (dijital imza) ile ilgili bir yola girmiş gibi görünüyor. Bu yolda biyometrik imzanın yasal uygulamalarına yakın vadede yer yok gibi. Bu politikanın en önemli stratejisi ıslak imzayı asla riske atmamak şeklinde özetlenebilir.
Ancak özel sektörde bazı firmalar maliyetleri kısma arzusuyla konunun tüm boyutlarını düşünmeden ve yasal mevzuatı dahi göz önünde bulundurmadan aceleci bazı projeler yapmaya yeltenerek devletin bu yöndeki resmi politikasıyla ciddi manada çelişiyor. Yapılan bazı münferit ufak çaplı pilot projelerin derhal durdurulması ve konudan habersiz vatandaşlardan elde edilen biyometrik imza verilerinin derhal imha edilmesi gerektiğini düşünüyorum.
Türk Dil Kurumu “Dimyat’a pirince giderken eldeki bulgurdan olmak” deyimini “Aşırı hırs göstererek elindekini de yitirmek” olarak tanımlamakta. Biyometrik’e, e-imzaya giderken elimizdeki ıslak imzadan olmayalım. Sonra toparlayamayız.
Ersin Taşkın
Biyomedikal Y. Müh. Elektrik-Elektronik Müh. Kod-A Bilişim Baş Yazılım Mimarı
Kaynakça
[1] ABD Senatosu ve Temsilciler Meclisi, Federal ESIGN Act, 2000.
[2] The Free Dictionary, [Çevrimiçi]. http://encyclopedia2.thefreedictionary.com/biometric+signature
[3] «5070 Sayılı Elektronik İmza Kanunu,» [Çevrimiçi]. http://www.resmigazete.gov.tr/eskiler/2004/01/20040123.htm#1
[4] Kamu Sertifikasyon Merkezi, [Çevrimiçi]. http://www.kamusm.gov.tr/dokumanlar/mevzuat/#
[5] Bilgi Teknolojileri ve İletişim Kurumu, [Çevrimiçi]. Available: https://www.btk.gov.tr/trTR/Sayfalar/e-imza-genel-bilgi