Sahte diploma çetesinin iki iddianamesi var ama bana soracak olursanız savcılar eksik soruşturma yapmış.

Baktığınızda bu çetenin yaptığı işlerde iki önemli siber güvenlik unsuru öne çıkıyor.

Bunlardan birincisi, çetenin sisteme uzaktan erişmesi. Evet elbette bilgisayar sistemleri uzaktan erişime izin verdiği için bir verimlilik artışı sağlarlar ama diyelim Milli Eğitim Bakanlığı’nın diyelim herhangi bir üniversitenin hangi elemanlarına uzaktan erişim izni verdiğinin sınırları olması gerekir.

Çete gerçek bir veya daha fazla kullanıcının isim ve şifre bilgileriyle sisteme girdiğine (sızdığına) göre, burada basitçe önlenebilir çok ciddi bir güvenlik açığı görülüyor. Bir memur sürekli sisteme dışarıdan erişiyorsa sistemin normalde uyarı vermesi gerekirdi.

İkinci açık daha vahim. Çetenin bazı kamu yöneticilerinin e-imzalarını klonlamayı başardığı anlaşılıyor. Olabilir, e-imza şirketinde insanları parayla satın alır, onlara imzaları elektronik olarak klonlatabilirsiniz. Bu deliği kapatmak kolay değil.

Ama kolay olan bir şey var: Bütün elektronik cihazların, buna birer USB stick şeklinde olan e-imzalar da dahil, hepsinin kendilerine özgü birer kimliği var. Aynı imzanın iki ayrı cihazla kullanıldığını sistemin saptayamamış, bunu görür görmez her iki e-imzayı da kilitlememiş olması sahiden çocukça bir hata gibi duruyor.

Ben de milyarlarca insan gibi Gmail uzantılı bir mail kullanıyorum örneğin. Bu mailime farklı bir bilgisayardan erişmek istediğimde sistem bunu hemen görüyor ve hem bana uyarı gönderiyor hem de yeni bilgisayarın sisteme girmesi için çift aşamalı giriş istiyor.

Bu kadar basit ve temel bir güvenliğin e-imzada olmaması inanılması zor bir güvenlik açığı. Allah bilir sistem aynı kişinin Türkiye’nin iki ayrı yerinde aynı anda e-imza attığını bile fark etmedi.