E-İMZA UYGULAMALARINDA AB VE TÜRKİYE DE MEVCUT DURUM VE ÖNERİLER

Transkript

1 E-İMZA UYGULAMALARINDA AB VE TÜRKİYE DE MEVCUT DURUM VE ÖNERİLER SEZEN YEŞİL Telekomünikasyon Kurumu, Bilgi Teknolojileri ve Koordinasyon Dairesi Yeşilırmak Sok. No:16 Demirtepe/ANKARA, DOÇ. DR. MUSTAFA ALKAN Telekomünikasyon Kurumu, Kurum Başkan Yardımcısı Yeşilırmak Sok. No:16 Demirtepe/ANKARA, DR. TAYFUN ACARER Telekomünikasyon Kurumu, Kurul Başkanı Yeşilırmak Sok. No:16 Demirtepe/ANKARA, ÖZET: E-imza sahip olduğu kimlik doğrulama, bütünlük ve inkar edilemezlik özellikleri ile sanal ortamda gittikçe artan oranlarda ihtiyaç duyulan güvenlik, güvenilirlik ve hukuki açıdan geçerlilik ihtiyaçlarına cevap veren bir teknolojidir. AB de 1999 yılında çıkan E-imza Direktifini müteakip, AB ülkelerinin tümünde e-imza düzenlemeleri yürürlüğe girmiştir. Ancak, aradan geçen zamana rağmen, e-imza uygulamaları bazı istisnalar dışında istenen ölçüde yaygınlaşmamıştır. Türkiye de ise E-imza Kanunu yaklaşık olarak son 2,5 yıldır yürürlüktedir ve bazı AB ülkeleri ile karşılaştırıldığında bu kadar kısa sürede gelinen nokta umut vericidir. Bu çalışmanın amacı, elektronik imza uygulamalarında AB ülkelerindeki mevcut durumu incelemek, ülkemizdeki durumu değerlendirmek ve e-imzanın yaygınlaşması için bazı öneriler ortaya koymaktır. ANAHTAR KELİMELER: Elektronik İmza, Elektronik Sertifika, E-imza Uygulamaları, Yaygınlaşma CURRENT STATUS OF E-SİGNATURE APPLICATIONS IN EU AND TURKEY AND SUGGESTIONS ABSTRACT : E-signature with its authentication, integrity and non-repudiation properties is a technology that enables security, trust and legal recognition needed incrasingly in cyber world. After the publishment of E-Signature Directive in EU in 1999, e-signature regulations started to enter into force in all EU member states. However, since the adoption of Directive, e-signature applications have not diffused very well at desired levels with few exceptions. In Turkey, E- Signature Law has been in force for approximately 2.5 years and compared to some EU states, the situation is more promising in such a short period. The aim of this paper is to evaluate the current status of e-signature applications in EU states, to evaluate the situation in Turkey and to make some proposals for the diffusion of e-signature. KEYWORDS : Electronic Signature, Electronic Certificate, E-signature Applications, Diffusion 1. Giriş Bilgi teknolojilerinin günlük hayatımızda önemli ve vazgeçilmez bir unsur olarak ortaya çıkması çağımızın çarpıcı gelişmelerinden birisidir. İnternetin hızlı bir şekilde gelişmesi ve yayılması e-devlet ve e-ticaret uygulamalarını hızla arttırmıştır. Bu uygulamalar kaynakların etkin kullanımı, zaman ve mekana bağımlılığın azalması, açıklık, şeffaflık, hesap verilebilirlik, katılımcılık, hizmet kalitesi ve verimlilik artışı gibi fırsatlar sunmuştur. Öte yandan, teknolojik gelişmeler, sunduğu bu fırsatların yanısıra, bilgilerin yetkisiz değiştirilmesi, yok edilmesi, çalınması, kişi adına başkalarının işlem yapabilmesi, kişisel verilerin ele geçirilmesi gibi bazı tehditleri içinde barındırmaktadır. Elektronik imza sağlamış olduğu kimlik doğrulama, veri 1

2 bütünlüğü ve inkar edilemezlik gibi özellikler ile, sanal ortamda karşılaşılan söz konusu güvenlik ve güvenilirlik sorunlarının aşılmasına katkıda bulunmaktadır. Ayrıca e- imza, elektronik ortamdaki belge ve işlemlerin hukuki açıdan geçerli olmasını da mümkün kılarak verimlilik artışını beraberinde getirmiştir. Elektronik imza uygulamaları, 1990 lı yılların sonlarından itibaren tüm dünyada hayata geçirilmeye başlanmıştır. Ülkemizde ise Elektronik İmza Kanunu 2004 yılında yayımlanmıştır. Söz konusu Kanun, Avrupa Birliği (AB) ne uyum sürecinde 99/93/EC sayılı AB Direktifine uygun olarak hazırlanmıştır. Bu çalışmada, Türkiye den daha önce elektronik imza uygulamalarına başlanan AB ülkelerinde mevcut durum incelenmesini müteakip, ülkemizdeki durum değerlendirilecek ve e-imzanın yaygınlaşması için bazı öneriler ortaya koyulacaktır. 2. Avrupa Birliği nde Elektronik İmza AB Konseyi 13 Aralık 1999 da 99/93/EC sayılı Elektronik İmza Direktifini kabul etmiştir. Bu çerçevede, üye ülkelerin Direktifi ulusal hukuklarına yansıtması için konulan süre 19 Temmuz 2001 olarak belirlenmiştir. Söz konusu Direktif güvenlik ve sorumluluk ile ilgili asgari kurallar getirmekte, hizmetlerin serbest dolaşımı temelinde elektronik imzaların AB çapında hukuken tanınmasını sağlamayı amaçlamakta ve elektronik imzanın kullanılması ve hukuken tanınması için gereken çerçeveyi oluşturmaktadır. [1] Direktifte üç çeşit imzadan bahsedilmektedir. Birincisi çok geniş bir anlamı olan elektronik imza dır ve 2/1 maddesine göre diğer elektronik verilerle ilintili olan ya da onlara eklenen ve imza sahibinin kimliğini onaylayan bir yöntem olarak kullanılan elektronik veridir. Bir e- postanın sonuna kişinin adının yazılarak imzalanması ya da PIN numarası kadar basit olabilir. İkincisi, gelişmiş elektronik imzadır ve sadece imza sahibine ait olan, imza sahibini tanımlayabilen, imza sahibinin yetkisi ve kontrolüyle oluşturulmuş, diğer elektronik verilere herhangi bir değişikliği tespit edecek şekilde bağlanmış olan elektronik imzadır. Bu tanım temel olarak PKI (Açık Anahtar Altyapısı) tabanlı elektronik imzalara işaret eder. Üçüncüsü ise, Direktifin 5/1 maddesine göre nitelikli sertifikaya dayanan ve güvenli elektronik imza oluşturma araçları ile oluşturulan gelişmiş elektronik imzalardır ve ıslak imza ile aynı hukuki sonucu doğurur. [2] Direktifte doğrudan bir tanım olmasa da, bu üçüncü tip imza çeşitli kaynaklarda nitelikli elektronik imza olarak geçmektedir. [2,3] 2.1 Mevcut Elektronik İmza Uygulamaları Başta gelen e-imza uygulamaları, e-devlet ve bireysel e- bankacılık hizmetlerine ilişkin uygulamalardır. Bir çok üye ülke e-devlet uygulamalarını başlatmış ya da başlatmak üzere plan yapmış durumdadır. Bu e-devlet uygulamalarının bazıları elekronik kimlik (eid) kartlarının kullanımına dayalıdır. Genellikle eid kartları, kimlik tesbiti, kimlik doğrulama ve imzalama olarak üç işleve birden sahiptir. E-imza için diğer önemli uygulama olan bireysel e- bankacılık bir çok AB ülkesinde başlamak üzeredir. E- bankacılık hizmetlerinde kullanılan kimlik doğrulama sistemlerinin çoğu OTP (one-time-password) denilen sistem ile çalışır. OTP, Direktife göre e-imzanın en basit formudur. Bir çok e-bankacılık uygulaması bu teknolojiyi sadece kullanıcıların kimliklerinin doğrulanması amacıyla kullanmaktadırlar ancak yapılan işlemlerin elektronik olarak imzalanması uygulaması da artış göstermektedir. Kurumsal e-bankacılık (B2B) ve bankalar arası takas işlemlerinde akıllı kartların kullanımı daha yaygındır, çünkü bunların daha yüksek seviyede güvenlik sağladığı düşünülmektedir. [2] Bazı AB ülkelerinde e-imza uygulamaları ile ilgili durum aşağıda açıklanmaktadır. Danimarka: E-imza Kanunu 2000 yılında yürürlüğe girmiştir.[3] Danimarka Bilgi Teknolojileri ve Telekom Otoritesi tarafından yapılan açıklamaya göre Mayıs 2005 itibariyle, 350,000 adetten fazla sayısal imza dağıtılmış durumdadır ve 5,5 milyonluk bir nüfusa sahip olan ülkede hedef 2007 yılı itibariyle 1.3 milyon sayısal imzaya ulaşmaktır.[ 4 ] OECD nin bir raporunda Danimarka nın, Güney Kore ile birlikte sayısal imza konusunda diğer ülkelere göre kaydettiği gelişmelere dikkat çekilmiştir.[ 5 ] Ancak, iş dünyasında e-imza kullanımı çok kısıtlıdır. Bunun nedeni ticari alanda yasal çerçevenin iyi çalışmasından dolayı e-imzaya yatırım yapma isteğinin düşük olması olarak açıklanmaktadır. Ayrıca, mahkemeler, e-imza ile imzalanmış olan ticari sözleşmelerin geçerli olup olmadığını sorgulamakta serbesttir, bu durum ise şirketlerin e-imza kullanma isteğini azaltmaktadır. EDI (Electronik Data Interchange) gibi bilinen teknolojiler hala etkindir ve iş dünyasında yaygın olarak kullanılmaktadır. Bu durum e-imza için gereksinimi ve talebi azaltmaktadır. Ticari ilişkilerde çok az kullanılmasının aksine e-imza, kimlik tanımlama mekanizması olarak e-devlet hizmetlerinde sıklıkla kullanılmaktadır.[6] Finlandiya: E-imza Kanunu 2003 yılında yürürlüğe girmiştir.[3] 1998 yılında, Fin Hükümeti elektronik kimlik tanımlama, veri transferinde şifreleme ve elektronik işlemler için sayısal imza kullanımına imkan tanıyan bir sistem yaratmaya karar vermiş ve Nüfus Kayıt Merkezince PKI tabanlı sertifikasyon hizmetleri sunulmaya başlanmıştır. Vatandaşlar bu merkezden, üzerinde gizli anahtar ve sertifikaların yüklü olduğu bir eid kartı satın alabilmektedirler.[7] Nitelikli sertifikalara olan talep yavaş gelişmektedir ve bunun nedeni nitelikli sertifika gerektiren hizmetlerin henüz olmamasıdır. 2

3 Nitelikli sertifika gerektiren hizmetlerin eksikliğinin sebebi, kısmen internet bankacılığı hizmetlerinin yaygın olması ve Finli tüketicilerin bunların kullanımına alışmış olmasıdır. Örneğin, bir çok çevrimiçi alışveriş sitesi, yerel internet bankacılığı hizmetlerinin kimlik tanımlama fonksiyonlarını kullanmaktadır.[8] İsveç: E-imza Kanunu 2001 yılında yürürlüğe girmiştir. [3] E-imzanın, çok nadir olarak çevrimiçi sitelerden alışveriş yapan bir tüketici için hala çok pahalı ve karmaşık olduğu belirtilmektedir. [9] Hollanda: E-imza Kanunu 2003 yılında yürürlüğe girmiştir. [3] Hollanda da e-imza kanununa göre, ESHS (Elektronik Sertifika Hizmet Sağlayıcı) tarafından sertifika verilecek olan kişi, kimlik tespiti esnasında bizzat hazır bulunmak zorundadır. Bu durumun, e- imzanın kısıtlı kullanımı için bir sebep olabileceği belirtilmiştir.[ 10 ] Ticari iş ilişkilerinde e-imza kullanımının çok az olmasına karşın, e-devlet hizmetlerinde kimlik tanımlama mekanizması olarak kullanımı gittikçe artmaktadır. Fransa: E-imza Kanunu 2000 yılında yürürlüğe girmiştir. [3] İş dünyasında e-imzanın çok kısıtlı kullanılmasının nedeni, ticari alanda delil hukukunun etkin bir şekilde işliyor olması, ve bu durumun e-imza teknolojisine yatırım eğilimini azaltmasıdır. Özellikle, mahkemeler, e-imza ile imzalanmış olan ticari sözleşmelerin geçerli olup olmadığını sorgulamakta serbesttir, ki bu durum e-imza kullanma isteğini azaltmaktadır. [11] Almanya: E-imza Kanunu 2000 yılında yürürlüğe girmiştir. [3] Nitelikli imza için talep hala düşüktür. Bu durumun sebeplerinden birisi, vatandaşların kendi arasındaki, vatandaş ile şirketler arasındaki ve şirketlerin kendi arasındaki bir çok işlemin kanunlara göre ıslak imza gerektirmemesidir. Dolayısıyla, nitelikli imzadan daha kolay ve ucuz olan çözümler kullanılır. Örneğin, bir çok banka işlemi nitelikli imza yerine şifreler ile yapılmaktadır. Devlet ile vatandaşlar arasındaki ve devlet ile şirketler arasındaki işlemler çoğunlukla ıslak imza gerektirse de devlet ile etkileşim az olduğundan nitelikli imzaya yatırım yapmak gereksiz görülmektedir. Dolayısıyla, nitelikli imza kullanıcılarının çoğu avukatlar veya belli devlet kurumları ile yüksek oranda işlem yapan şirketlerdir.e-imzanın yaygınlaşmasını engelleyen bir diğer önemli sebep de, orta ve uzun vadede e-imzalı belgelerin dosyalama sorunudur. Bu konuda standartların geliştirilmesinin gerektiği belirtilmektedir. Düşük seviyedeki nitelikli sayısal imza kullanım oranını arttırmak için e-imza kanununda bazı değişiklikler yapılmıştır. Bu değişiklik ile bizzat başvuru gerekliliği kaldırılmıştır. Buna göre kişinin daha önceden alınan bilgilerine dayanarak kimlik tanımlama yapılabilmekte (örn; banka müşterileri) ve internet üzerinden başvuru alınabilmektedir.başvuru prosedürünün kolaylaştırılması ile maliyetlerin azaltılması hedeflenmiştir. [12] İngiltere: E-imza Kanunu 2002 yılında yürürlüğe girmiştir. [3] En fazla gerçekleştirilen ticari elektronik işlem tipi bireysel elektronik bankacılıktır ve bu alanda şifreleme teknikleri kullanılmaktadır. İşlemlerin sertifika tabanlı kimlik doğrulama yöntemleri ya da güvenli elektronik imza oluşturma aracı ile güvenli şekilde yapılmasına çok az ihtiyaç duyulmaktadır. Elektronik imzaların yaygınlaşmasını engelleyen başlıca sebep talep eksikliğidir. Potansiyel kullanıcıların neye ihtiyaçları olduğu konusunda kafaları karışıktır. Sertifikalar kazanılacak olan faydaya göre çok pahalı (satın alım ücreti, yükleme, eğitim vs masrafları dahil) olarak algılanmaktadır ve tüketiciler şu an için gerçek bir fayda görememektedirler. Kullanıcının bu konudaki eğitim eksikliği de bir diğer faktördür. Bu durum için sorumluluk, teknoloji üstünde çok odaklanıp, yeterli seviyede e-imzanın faydalarını anlatmadıkları için, kısmen hizmet sağlayıcılara yüklenmiştir. Birbiriyle uyumlu çalışan uygulamaların eksikliği pazarın büyümesini engelleyen önemli bir faktör olarak değerlendirilmektedir. İş dünyası ise daha fazla güvenlik, bütünlük ve gizlilik olmadan iş yapmayı çok gerekli görmemektedirler. Zaman içinde şirketlerin risk analizi yapmayı öğrenip, güvenlik ile ilgili seçimleri konusunda bilinçli olacakları ve e-imzaya olan talebin artacağı değerlendirilmektedir. Devletin, e-imza kullanımından doğacak kazanımlar hakkında halkı ve iş dünyasını bilinçlendirme konusunda yetersiz kaldığı şeklinde eleştiriler de mevcuttur. [13] Yunanistan: E-imza Kanunu 2001 yılında yürürlüğe girmiştir. [3] 2004 yılında e-iş forumu, e-imzanın durumunu hukuki ve teknik açıdan tartışmak üzere özel bir çalışma grubu kurmuştur. Söz konusu grup aşağıdaki hususlara dikkat çekmiştir; E-imza uygulamasını desteklemek için gerekli olan teknik çerçevenin geliştirilmesi ve idamesi hala oldukça pahalıdır ve yatırımların dönüşü belirsizdir. Farklı e-imza ürünleri ve hizmetleri arasında uyumlu çalışabilirlik olmadığı için, e-imza kullanımında kritik kitle 1 ye henüz erişilememiştir. İhtiyari akreditasyonun nasıl organize olacağı, kamu sektöründe hangi çeşit imzanın 1 Bir yeniliği benimsemiş olan kişilerin sayısı belirli bir noktaya ulaştıktan sonra yeniliğin yayılımı kendiliğinden gerçekleşiyorsa bu nokta kritik kitledir. Kritik kitle noktası etkileşimli yeniliklerde çok önem kazanmaktadır. [25] 3

4 kullanılması gerektiği, e-imzanın uzun vadede geçerliliğinin nasıl sağlanacağı, bankacılık sektöründe e-imzanın uyumlu çalışabilirliğinin nasıl sağlanacağı, e-imza kullanıcısının kişisel verilerinin nasıl korunacağı gibi hususlar uygulamada yaşanan zorluklar olarak belirtilmiştir. Mayıs 2006 da Yunan Bankalar Birliği, e-bankacılık işlemlerinde yaşanan korsan saldırıları tartışmışlar ve önerilen diğer yöntemlerin yanısıra e-imza kullanımının desteklenmesini kararlaştırmışlardır. [14] İspanya: E-imza Kanunu 2003 yılında yürürlüğe girmiştir. [3] Kamu sektöründe e-imza kullanımını teşvik etmek için vergi iade işlemlerinde olduğu gibi bazı başarılı girişimler olduysa da, e-imza diğer sektörlerde yaygınlaşmamıştır. Elektronik kimlik kartlarının çıkmasının e-imza kullanımının yaygınlaşmasını sağlayabileceği belirtilmektedir. Özel sektördeki e-imza kullanımının düşük olmasının olası sebepleri şu şekilde ifade edilmiştir; [15] 1. E-imza kullanımının faydası sadece, gerçek dünyada prosedürlerin karmaşık ve bürokrasinin çok olduğu yerlerde görülebilmektedir. 2. SSL gibi basit ve halihazırda mevcut olan alternatif teknolojiler kullanıcıya az veya orta derecede değerli e-ticaret işlemleri için yeterli seviyede güvenlik ve rahatlık sağlamaktadır. 3. Hukuki açıdan geçerli olan e-imza elde etmek için prosedürler olarak daha uzundur ve bu gerekliliklerin maliyeti tüketiciye yansıyabilmektedir. 4. İspanyol e-imza kanununa göre hukuki açıdan tanınmış bir sertifika başvurusu esnasında kişinin bizzat bulunma zorunluluğu vardır. Estonya: E-imza Kanunu 2000 yılında yürürlüğe girmiştir. [3] Estonya devleti elektronik kimlik kartını tüm vatandaşlarına zorunlu hale getirmiştir. Bu kartlarda sayısal kimlik tanımayı ve sayısal imzayı sağlayan, Direktife göre nitelikli olan bir sertifika vardır. Yaklaşık 1.3 milyonluk bir nüfusa sahip olan Estonya da 900,000 kart basılmıştır ve bunların 800,000 adedi aktif olarak kullanılmaktadır. [16] Çek Cumhuriyeti: E-imza Kanunu 2000 yılında yürürlüğe girmiştir.[3] Enformatik Bakanlığı e-imza kullanımını teşvik etmeye çalışmaktadır. Belediyeler için E-imza projesi altında, Bakanlık yaklaşık 1850 adet belediye için, kendi idari işlerinde kullanmak üzere ücretsiz e-imza sağlamıştır. Bakanlık, e-imzanın kullanımını kamu idareleri ve vatandaşlar için daha kolay hale getirmek üzere bir uygulama hazırlamaktadır. [17] 2.2 E-İmzanın AB de Yaygınlaşmama Sebepleri Nitelikli e-imzaların kullanımı beklenenden daha az olmuştur ve günümüzde pazar pek fazla gelişmiş durumda değildir. [2] Bir önceki bölümde ülkeler bazında verilen bilgilerden de görüldüğü üzere, e-imza pazarının neden daha hızlı gelişmediği sorusunun tek ve basit bir cevabı yoktur. 99/93/EC sayılı Direktifin hazırlanma çalışmaları esnasında, Elektronik Ticaret ile ilgili UNCITRAL (Birleşmiş Milletler Uluslararası Ticaret Yasası Komisyonu) Model Kanunundan ve oldukça belirli bir teknolojiyi temel alan Utah Sayısal İmza Kanunundan etkilenilmiştir. Direktif, hem e-imzaya yasal tanınmayı sağlamak açısından UNCITRAL in teknoloji nötrlük prensibini benimsemiş, hem de PKI tabanlı hizmetler için düzenleyici çerçeve sunan Utah Kanununun bazı hükümlerini almıştır. Hukuki bir metinde, belirli bir teknolojiinin düzenlenmeye çalışılması uygunsuz bulunduğu için, Direkitifte kullanılan dilin ve içeriğin çoğunluğunun PKI a özgü olması eleştirilmektedir. [13] Avrupa da elektronik imzaların yavaş yaygınlaşmasının sebeplerinden birisi, sertifika başvurularının alınması, sertifika oluşturulması, yayınlanması, iptal edilmesi gibi sertifikasyon süreçleri ile iptal durum kaydının kontrolü gibi imza doğrulama süreçlerini içeren, PKI teknolojisinin karmaşıklığıdır. [2] Örneğin, kullanıcılar sertifikalarını iptal ettirmeyi unuturlar ya da üçüncü taraflar sertifika iptal listelerine erişimde güçlük çekerler. Bir elektronik imzanın güvenli bir şekilde kabul edilmesi için zaman damgası her zaman istenmelidir, ancak zaman damgasının eklenmesiyle e-imza kullnımı daha da karmaşık hale gelir. [3] Ayrıca, PKI gerektirdiği fiziksel altyapı nedeniyle yüksek maliyetli bir teknoloji olduğundan sertifika ücretleri, kullanıcılar tarafından sağladığı faydaya oranla pahalı bulunmaktadır.. E-imza doğrulama hizmetleri için gerekli kriterler ile ESHS lerin karşılıklı olarak birbirlerini tanımasıyla ilgili hükümlerin Direktifte eksik olması da e-imzanın yavaş yaygınlaşmasında diğer faktörler olarak belirtilmektedir. Ayrıca, ulusal ve uluslararası seviyede teknik uyumluluğun eksikliği e-imzanın kabul görmesi için diğer bir engeli oluşturmaktadır. Bu durum, sertifikaların tek bir uygulama için kullanılabildiği bir çok yalıtılmış e- imza uygulama adacıklarının oluşmasına sebep olmuştur. Kullanıcıların elektronik ortamdaki dokümanları imzalamak için, ıslak imzada olduğu gibi tek bir imzası yoktur. EESSI (European Electronic Signatures Standardization Initiative) ortak uyumluluk standartları konusunda çalışmaktadır, ancak üye ülkelerin bir çoğu uyumlu çalışabilirliği teşvik etmek için ulusal standartlar (örneğin; Almanya da e-imza ürünleri arasında uyumlu çalışabilirliği sağlamak için belirlenen ISIS-MTT spesifikasyonları) belirlemiştir. [2] 4

5 E-imza uygulamalarının kullanılmasındaki isteksizliğin bir nedeni de, elektronik olarak imzalanmış dokümanların arşivlenmesi ve bu dökümanların uzun dönemde doğrulanması sürecinin çok karmaşık ve belirsiz olarak değerlendirilmesidir. [2,3] Nitelikli elektronik imzaların arşivlenmesi konusunun Direktif te dikkate alınmadığı ve Direktifin bu konu dikkate alınarak gözden geçirilmesi gerektiği belirtilmektedir. [18] Dokümanları 30 yıl gibi uzun süreler için saklama konusundaki yasal yükümlülükler, bu süre boyunca okunabilirliği ve doğruluma yapılmasını sağlayabilmek için pahalı ve karmaşık teknoloji ile süreçleri gerektirmektedir. [2] Konunun karmaşıklığı nedeniyle bu konuda pek çalışma yapılmamıştır. Elektronik imzanın uzun süreler boyunca saklanabilmesini sağlamanın tek etkin yolunun, dokümanın orjinal ikili (binary) gösteriminin arşivlenmesi olduğu belirtilmektedir. Bu çözüm EESSI tarafından hazırlanan TAS (Güvenilir Arşiv Hizmetleri) çalışma raporunda önerilmiştir. Bir TAS ın, arşivlenmiş bir dökümanın yıllar sonra, imza oluşturma anında kullanılan uygulamalar artık kullanımda olmasa bile, geçerliliğinin sağlanabileceğini garanti etmesi gerekmektedir. Diğer bir deyişle, dokümandaki imzanın yıllar sonra da doğrulanabilmesini sağlamak için TAS, uygulama setini (imza doğrulama ve görüntüleme uygulamaları) ilgili platformlarla (donanım ve işletim sistemi) birlikte bulundurmalıdır ya da en azından bu tür uygulamaların ve/veya ortamın bir benzerini bulundurmalıdır. Bu tür bir çözüm için ihtiyaç duyulan uzmanlık ve maliyet, bu işin TAS gibi bağımsız bir üçüncü tarafa verilmesini gerektirmektedir. Bu doğrultuda, TAS için yasal çerçevenin belirlenmesi ve bu konudaki belirsizliği giderecek standardizasyon çalışmaları yapılması önerilmektedir. [18] Direktifin eleştirildiği diğer bir nokta da güvenli elektronik imza oluşturma araçları için sağlamanın zor olduğu çok yüksek kriterlerin koyulmuş olması, bunun sonucunda da piyasada çeşitli ve çok sayıda uygun cihaz bulmanın zor olduğudur. Ayrıca ortak bir e-imza yazılımının eksikliği de e-imzaların yavaş yaygınlaşma nedenlerinden birisi olarak değerlendirilmektedir. Örneğin, her bir akıllı kart için, karta özel yazılımın yüklenmesi gerekmektedir ve bu durum ortalama bir kullanıcı için zorluk oluşturmaktadır. [3] 2.3 AB de Gelecekteki Durum Gelecekteki uygulamalardan bazıları pazarın büyümesini tetikleyebilecektir. E-devlet hizmetlerindeki e-imza kullanımı belli bir hacime ulaşmış durumdadır ve büyük olasılıkla gelecekte de önemli bir itici güç olacaktır. E- devlet uygulamalarının stratejik rolü, bilgi ve iletişim teknolojilerinin özel sektörde ve kamu sektöründe etkin bir şekilde kullanımını teşvik eden i2010 inisiyatifinde de tanınmıştır. Kamu hizmetlerine erişim ve hizmetlerin kullanımı için gerekli olan güvenli elektronik kimlik tesbiti araçlarına olan ihtiyaç vatandaşlar ve şirketler için zaruridir ve e-imzanın kullanımını teşvik edecektir. Farklı formlarda eid kartları ortaya çıkacak ve bu durum uyumlu çalışabilirliği gerektirecektir. E-tedarik eylem planı ya da seyahat dokümanlarının güvenlik özelliklerinin uyumunun sağlanması, birleşik Avrupa e- devlet hizmetleri içi eid lerin uyumlu çalışabilirlik özellikleri hakkında IDABC (Interoperable Delivery of European egovernment Services to public Administrations, Businesses and Citizens) programı eylemleri, IST (Information Society Technologies) veya eten (Avrupa çapında e-hizmetlerin kullanımını arttırmak için hazırlanan bir program) programları ile, AB Komisyonu eid inisiyatiflerine yüksek öncelik vermiş durumdadır. Avrupa Komisyonu, özellikle uyumlu çalışabilirlik ve e-imzanın ülkeler arası kullanımı başta olmak üzere, e-imza hizmetlerinin ve uygulamalarının gelişimini desteklemeye ve pazarı izlemeye devam edeceğini ve nitelikli e-imza için her türlü teknolojinin kullanımı konusunda standardizasyon çalışmalarını teşvik edeceğini belirtmiştir. [2] 3. Türkiye de Elektronik İmza 5070 sayılı Elektronik İmza Kanunu tarihli ve sayılı Resmi Gazete de yayımlanmış ve tarihinde yürürlüğe girmiştir. Söz konusu Kanunun 20 nci maddesi uyarınca Telekomünikasyon Kurumunun, ilgili tüm taraflarla yaptığı çalışmalar neticesinde hazırlanan Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (Yönetmelik) ile Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ 6 Ocak 2005 tarihli ve sayılı Resmi Gazete de yayımlanarak yürürlüğe girmiştir. Müteakiben, söz konusu ikincil düzenlemelerin bazı hükümlerinde görülen lüzum ve Telekomünikasyon Kurul unun onayı üzerine kısmi değişiklikler yapılmıştır sayılı Elektronik İmza Kanununda iki tür elektronik imza tanımlıdır. Birincisi, genel anlamdaki elektronik imzadır ve AB Direktifinde geçen tanım ile uyumludur. İkincisi ise güvenli elektronik imza dır ve Direktifteki nitelikli elektronik imza ya karşılık gelmektedir. Elektronik imza hususunda ülkemizde ilk uygulamaların başlatılması, farkındalık yaratılması, kamuoyunun konuya dikkatinin çekilerek bilgilendirilmesi ve elektronik sertifika hizmet sağlayıcılarının tanıtılması amacıyla Telekomünikasyon Kurumu tarafından tarihinde bir tören düzenlenmiştir. Törene üst düzey devlet görevlilerinin yanısıra, farklı kesimlerden çok sayıda davetli ve basın mensupları katılmıştır. Törende elektronik imza konusunda yapılan çalışmalar hakkında bilgi verilmiş ve Türkiye deki ilk güvenli e- imza Başbakan Yardımcısı tarafından atılmıştır. 5

6 2005 yılı içinde üç adet olan ESHS sayısı, 2006 yılı içinde dörde yükselmiştir yılı içinde toplam 1402 adet nitelikli elektronik sertifika üretilmiş olup 2006 yılının ilk 3 ayı içindeki miktar ise 2005 yılındaki toplam satış miktarını geçmiş durumdadır. Elektronik imza düzenlemelerinin tamamlanması ve ESHS lerin faaliyete geçmeleri neticesinde güvenli elektronik imzanın kullanılabilir hale gelmesiyle birlikte kamu kurum ve kuruluşları, kamu hizmetlerini vatandaşlara azami kalite ile asgari maliyette sunabilmek ve bürokratik işlemleri azaltabilmek amacıyla, ilgili taraflarla olan işlemlerini elektronik ortamda e-imzalı olarak yürütebilmek için projeler geliştirmeye başlamışlardır tarihinde Devlet Bakanı tarafından pilot olarak başlatılan ve kamudaki ilk e-imza uygulaması olan Dış Ticaret Müsteşarlığı (DTM) nın Dahilde İşleme Rejimi (DİR) Otomasyon Projesi kapsamında, ihracatçı firmalara nitelikli elektronik sertifika dağıtılmıştır. DİR uygulaması dan itibaren DTM tarafından zorunlu hale getirilmiştir.[19] Mevcut durumda 21 adet kamu kurumu nitelikli sertifika temin etmiş durumdadır. Telekomünikasyon Kurumu, Maliye Bakanlığı Mali Suçlar Araştırma Kurulu, Bankacılık Düzenleme ve Denetleme Kurumu, Devlet Demiryolları, Çalışma ve Sosyal Güvenlik Bakanlığı Türkiye İş Kurumu, Gazi Üniversitesi Rektörlüğü, Türkiye İstatistik Kurumu, Bakırköy Kaymakamlığı İlçe Milli Eğitim Müdürlüğü ve Dış Ticaret Müsteşarlığı bu kurumlardan bazılarıdır.[ 20 ] Finans kuruluşlarından Koçbank elektronik sertifika ve dijital imza uygulamasına geçeceğini duyurmuştur. Doğalgaz projelerinin, doğalgaz şirketlerine elektronik ortamda tesliminin e-imzalı olarak yapılması yönünde bir pilot proje 2005 yılı içerisinde Bursa da başlatılmış ve görülen başarı üzerine söz konusu e-imza uygulaması 2006 yılı içinde Balıkesir, Bandırma, Çorum, Kayseri ve Samsun'da da kullanılmaya başlanmıştır. Diğer bir uygulama, e-imza ile entegre olarak geliştirilen ve piyasaya sunulan kurumsal kaynak planlama (ERP) uygulamasıdır. Bu tür kurumsal uygulamaların dışında, bireysel ihtiyaç ya da merak nedeniyle elektronik sertifika temin edenler de olmuştur CeBIT Bilişim Fuarında, Türkcell ve e-güven AŞ ortak çalışması ile önümüzdeki yıllarda sunulması planlanan mobil imza konusunda tanıtım yapılmıştır. Söz konusu uygulama, mobil teknolojilerin sağlamış olduğu mekandan bağımsızlık ve kullanım kolaylığı ile e-imzanın yaygınlaşmasını sağlayabilecek çok önemli ve olumlu bir gelişme olarak değerlendirilmektedir. Daha önce de belirtildiği üzere, 5070 sayılı Elektronik İmza Kanunu AB ye uyum sürecinde 99/93/EC sayılı AB Direktifine uygun olarak hazırlandığı için, Direktif ten kaynaklanan bazı sorunlar Türkiye de de benzer şekilde yaşanabilecektir. Örneğin, PKI teknolojisinden kaynaklanan sorunlar ülkemizde de görülmektedir. Kanunun, teknoloji nötr hazırlandığı ifade ediliyor olsa da, Direktifin bire bire çevirisine çok yakın olan hükümler nedeniyle bunu kabul etmek kolay değildir. Öte yandan, bazı görüşlere göre bu yaklaşım yanlış değildir. Gelişmekte ve geçiş sürecinde olan pazar ekonomilerinde, katı bir teknoloji nötrlük kafa karıştırıcı olabilir. Eğer yasal sistem önceden, ileride kabul görecek teknolojileri belirlemekte başarısız olursa, konu mahkemeler tarafından davalar ortaya çıktıkça belirlenecek şekilde bırakılmış olur ve potansiyel pazar oyuncuları işlem yapmadan önce istedikleri netliğe sahip olamazlar. Bu nedenle, politika yapanlar, kesinlik ihtiyacı nedeniyle belli teknolojilerin uygun bulunduğu düzenleyici sistemler kurarlar. Dolayısıyla, gelişmekte olan bir pazar ekonomisi için PKI tabanlı e-imzaların yasal olarak tanınmasını sağlayan politikaların seçilmesi uygunsuz değildir. Ancak, elektronik ve sayısal imza teknolojilerinin evrimi devam etmektedir. Bu nedenle, PKI ın e-imza oluşturmak için mümkün olan tek yöntem olarak tanımlandığı mevzuat yapmaktan kaçınılmalıdır. [21] Diğer AB ülkelerinde, e-imzanın yaygınlaşmasının önünde bir engel olarak belirtilen pahalı sertifika fiyatları faktörü ülkemiz için de geçerlidir. Özel ESHS ler tarafından sunulan sertifikaların bir yıllık fiyatı YTL arasındadır, kurulum ücreti, akıllı kart ve kart okuyucu gibi ek kalemlerle birlikte ücret 200 YTL nin üzerine çıkmaktadır. Kamuya sunulan nitelikli sertifikaların fiyatı ise üç yıl için yaklaşık 100 YTL olarak belirlenmiştir. Diğer AB ülkelerinde e-imzanın yaygınlaşmasının önünde bir engel olarak belirtilen bir diğer unsur olan, sertifika verilmeden önce gerçekleştirilen kayıt sürecine ilişkin zorluklar Türkiye için geçerli değildir. Almanya da e-imza kanununun revize edilmesine yol açan kimlik tespiti esnasında kişinin bizzat bulunması zorunluluğu hususu, ülkemizde e-imzaya ilişkin ikincil düzenlemelerde uygulama kolaylığı sağlanacak şekilde ele alınmıştır. Buna göre; Yönetmeliğin 9. maddesinde kişinin bizzat bulunması belirli haller için zorunlu tutulmamış ve sorumluluk ESHS ye bırakılmıştır. Bu sayede, örneğin halihazırda sistemde güvenli bir şekilde tanımlı olan banka müşterileri için ikinci bir kimlik tanımlama yapılmasına gerek olmayabilecek, böylece süreç kolaylaşmış ve maliyet azalmış olacaktır. Kayıt aşamasında uygulamada görülen bazı diğer zorluklar da, sektörden gelen talep üzerine Telekomünikasyon Kurumu tarafından dikkate alınmış ve söz konusu Yönetmelikte bazı değişiklikler yapılmıştır. Buna göre, ESHS lerin nitelikli elektronik sertifika talep eden kişi ile yapacakları sözleşmenin Kuruma sunulması gerekliliği hükmü değiştirilerek, sözleşme ile tesis 6

7 edilecek hukuki ilişkinin, tarafların hak ve yükümlülüklerine halel getirmeksizin, aynı zamanda taahhütname ile de yapılabilmesine imkan tanınmıştır. Bu değişiklik ile, ESHS ile sertifika talep eden kişinin farklı mekanlarda bulunması durumunda yaşanabilecek zorluklar azaltılmaya ve böylece nitelikli elektronik sertifika kullanımının yaygınlaşmasına katkı sağlanmaya çalışılmıştır Bilgi Toplumu Stratejisi Eylem Planı nda yer alan 83 no.lu eylem e-imza Kullanımının Artırılması olarak belirlenmiş ve açıklama kısmında şu ifadeye yer verilmiştir; e-imza kullanımının kamu kurumlarında otomasyonu destekleyecek şekilde yaygınlaştırılması amacıyla sadece kişilerce değil yazılımlar tarafından da imza atılmasına yönelik çalışmalar yapılacaktır. [ 22 ] AB ülkelerinde de, nitelikli sertifikaların otomatik imzalama yapan sistemler için kullanılıp kullanılmayacağı sorusu çok sık sorulmaktadır. Genelde bu soru, tüzel bir kişilik adına bir sunucu tarafından nasıl imza oluşturulabileceği sorusu ile ilişkilidir. Direktifteki tanımlara göre, sadece gerçek kişiler imza sahibi olabilirler, bir makine ya da tüzel kişilik imza sahibi olamaz. Bazı ülkeler bu genel kurallar için istisnalar içeren düzenlemeler yapmışlardır. Örneğin, Avusturya da tüzel kişi olan ESHS de imza sahibi olabilir, ve tüzel kişi imzası ile sertifikaları ve SİL leri imzalar. Çek Cumhuriyeti nde nitelikli sertifikalar, sadece nitelikli sertifika ve SİL leri imzalamak amacıyla, sistemlere de verilebilir. Bazı ülkelerde ise otomatik olarak imzalama yapan sistemler için nitelikli sertifikalarla ilgisi olmayan özel düzenlemeler yapılmıştır. [23] Ülkemizde 5070 sayılı Kanuna göre de sadece gerçek kişiler güvenli elektronik imza sahibi olabilecekleri için, söz konusu eylem ile ilgili olarak, sorumlu kuruluş olarak belirlenen Adalet Bakanlığı tarafından kanun değişikliği yapılması ya da başka düzenlemeler yapılması gündeme gelebilecektir. Türksat A.Ş. tarafından yürütülmekte olan ve 2007 yılı içinde başlatılması öngörülen E-devlet Kapısı projesi kapsamında bazı hizmetlerin e-imzalı olarak sunulması gündemdedir. Söz konusu uygulamaların e-imzanın yaygınlaşmasına büyük katkılar sağlayacağı değerlendirilmektedir. OECD tarafından yayımlanan bir raporda, Kore de oldukça yüksek orandaki sayısal imza kullanımına bakarak, işlem yapmak için İnternet kullanımının gelişmiş olduğu sonucunun çıktığı belirtilmiştir. [ 24 ] Buradan haraketle, e-imzanın yaygınlaşma oranının, Türkiye de İnternet kullanımının nitelik ve nicelik açısından geliştirilmesi ile ilişkili olduğu sonucu çıkarılabilecektir. 4. Sonuç Elektronik imza bazı ülkelerde başarılı bir şekilde uygulamaya geçirilirken bazı ülkelerde yaygınlaştırılamamıştır. Yeni bir teknoloji ortaya çıktığında çoğunlukla bu teknolojinin avantajları sayesinde kendiliğinden kabul göreceği ve yaygınlaşacağı düşünülür, ancak durumum böyle olmadığı gözlenmektedir. Bir yeniliğin yaygınlaşması, söz konusu yeniliğin göreceli ekonomik avantajı, belirsizlik engeli karşısında fayda-maliyet analizi, kullanım kolaylığı, uyumluluğu, denenebilirliği, toplumun sosyal yapısı, normları, regülasyon ortamı gibi parametrelere bağlı olarak gerçekleşir. Söz konusu süreçleri etkileyen faktörlerin uygun teknoloji politikaları ile yönetilmesi gerekmektedir. [25] Elektronik imza, son birkaç yıldır yoğun olarak gündemde yer almakta olup, ülkemiz için yeni bir konudur ve çeşitli faydalarına rağmen hangi alanlarda ne ölçüde kullanılacağı henüz netlik kazanmamıştır. Elektronik imzanın yaygınlaşmasının önündeki en önemli engellerin başında elektronik sertifika fiyatlarının yüksek olması gelmektedir. Bu durum, özünde maliyetli bir teknoloji olan açık anahtar altyapısının beklenen bir sonucu olmakla birlikte, ortalama son kullanıcı tarafından, sertifikaların, getireceği faydalara kıyasla pahalı olarak değerlendirilmesine yol açmaktadır. Bu nedenle ücretlerin düşürülmesi yönünde kamu ve özel sektörden ilgili taraflar bir araya gelerek çalışmalar yapmalıdır. Örneğin, Belçika, Danimarka, Çek Cumhuriyeti, Estonya ve Letonya gibi bazı ülkelerde elektronik hizmetlere herkesin erişebilir olması ilkesinden haraketle e-imza maliyetlerinin bir kısmının devlet tarafından sübvanse edilmesi kararlaştırılmıştır. [26] PKI dan kaynaklanan problemler kısa vadede çözülemeyecek gibi görünmektedir, zira alternatif teknolojiler tam olarak gelişmiş değildir. Bununla birlikte, sadece PKI ın düzenleyici açıdan onaylanması, diğer teknolojilerin kabul edilmesini, dolayısıyla da e- ticaretin gelişimini engelleceğinden, düzenlemelerde teknolojik değişimlerin farkında olunmalıdır. Türkiye deki sektör oyuncularının, her türlü detay düzenlemeyi Telekomünikasyon Kurumu nundan beklemek yerine, bazı AB ülkelerinde de görüldüğü üzere bir araya gelip kendi inisiyatifleriyle ortak çözümler üretme yeteneğini geliştirmesi gerekmektedir. Örneğin, E-devlet Kapısı çerçevesinde kullanılacak olan elektronik sertifikalar için ortak bir sertifika profili geliştirilmesi hususu çok önemlidir ve ESHS lerin ileride yaşanacak teknik uyumsuzluk problemlerinden olumsuz yönde etkilenmemek için ivedi olarak, Türksat A.Ş. ve Telekomünikasyon Kurumu ile bağlantı halinde, ortak 7

8 elektronik sertifika profili oluşturmak için çalışmalara başlaması gerekmektedir. E-imza standartları konusunda çalışmaları bulunan ve ülkemizdeki ikincil düzenlemelerde de büyük oranda dikkate alınan ETSI (Avrupa Telekomünikasyon Standartları Enstitüsü) nin çalışmalarına ve toplantılarına, ESHS lerin ve e-imzaya ilişkin ürünler sunan diğer sağlayıcıların teknik temsilcilerinin etkin bir şekilde katılması gerektiği düşünülmektedir. E-imza kanunlarının çıkarılmasının altında, elektronik ortamlardaki işlemler için duyulan güven, güvenilirlik, doğrulama, hukuki geçerlilik gibi ihtiyaçlar yatmaktadır. Amaç, e-ticareti, e-iş yapmayı ve e-devleti kolaylaştırmak, böylece yaygınlaşmalarını sağlamaktır. Bu nedenle, sadece e-imza teknolojilerine ve süreçlerine odaklanmanın, e-imzanın yaygınlaşması açısından bir getiri sağlamayacağı değerlendirilmektedir. E-imza konusu, e-ticaret, e-devlet gibi öncelikli konular kapsamında bir bütün olarak değerlendirilmelidir. Örneğin, genellikle ifade edildiği gözlemlenen eimzanın yaygınlaşması için e-devlet yaygınlaşmalı gibi bir söylem çok doğru olmayacaktır, zira e-imza bir amaç değil araçtır. Elektronik imzaya talep yaratmak için kanun ve düzenlemelerin tamamlanmış olması tek başına yeterli değildir. E-imza fikrinin olgunlaşması ve günlük iş hayatında kullanılması için zamana ihtiyaç vardır. Ulusal Elektronik İmza Sempozyumu gibi etkinlinliklerin e- imza konusunda farkındalık yaratma adına çok önemli olduğu değerlendirilmektedir. 5. Kaynaklar [1] İnalöz A., Telekomünikasyon Regülasyonları Çerçevesinde Elektronik Ticaretin İncelenmesi, Telekomünikasyon Kurumu Uzmanlık Tezi, 2003 [2] Commission of The European Communities, Report From The Commission To The European Parliament And The Council Report On The Operation Of Directive 1999/93/EC On A Community Framework For Electronic Signatures, Brussels, [3] Dumortier, J., Kelm, S., Nilsson, H., Skouma, G., Eecke, P.V., Legal and Market Aspects of Electronic Signatures, Study for European Commission, icri, Katholieke Universiteit Leuven, 2003 [4] [5] OECD, ICT Diffusion To Business: Pursuing Policy Reform, DSTI/ICCP/IE(2005) [6] European Commission/DG Enterprise and Industry, practices, Country Report Denmark, 2006 [7] Köngäs, O., efinland Aim of public management: Further development of electronic transactions, Finnish Ministry of Finance, 10 June 2002 [8] European Commission/DG Enterprise and Industry, practices, Country Report Finland, 2006 [9] European Commission/DG Enterprise and Industry, practices, Country Report Sweden, 2006 [10] European Commission/DG Enterprise and Industry, practices, Country Report Netherlands, 2006 [11] European Commission/DG Enterprise and Industry, practices, Country Report France, 2006 [12] European Commission/DG Enterprise and Industry, practices, Country Report Germany, 2006 [13] Wilsher, R.G., Hill, J., The impact in the United Kingdom of The EU Electronic Signatures Framework Directive, A report prepared on behalf of The Department of Trade and Industry, Ref: DTI TFBJ/C/003/0061X, Extenden Version, London, 2003 [14] European Commission/DG Enterprise and Industry, practices, Country Report Greece, 2006 [15] European Commission/DG Enterprise and Industry, practices, Country Report Spain, 2006 [16] European Commission/DG Enterprise and Industry, practices, Country Report Germany, 2006 [17] European Commission/DG Enterprise and Industry, practices, Country Report Czech Republic, 2006 [18] Dumortier, J., Van den Eynde, S., Electronic Signatures and Trusted Archival Services, K.U.Leuven ICRI, in Proceedings of the DLMForum 2002, Barcelona 6-8 May

9 [19] Telekomünikasyon Kurumu 2005 Faaliyet Raporu, 2006 [20 ] TÜBİTAK, UEKAE-Kamu Sertifikasyon Merkezi, almusteriler.jsp, [21]Dempsey, J.X., Creating the Legal Framework for ICT : The Example of E-Signature Legislation in Emerging Market Economies, 2003 [22] DPT, Bilgi Toplumu Stratejisi Eylem Planı ( ), tarih ve sayılı Resmi Gazete [23] FESA (Forum of European Supervisory Authorities for Electronic Signatures), Working Paper on Qualified Certificates for Automatically Signing Systems,2004 [24] OECD, ICT Diffusion To Business: Lessons So Far, DSTI/ICCP/IE(2004)6, [25] Özaygen, A.Ş., Yenilik olarak Özgür-Açık kaynak kodlu yazılımların yayılımı: ODTÜ Örneği, Tez, 2004 [26] 9