ISTANBUL TİCARET ODASI ELEKTRONIK İMZA VE UYGULAMALARI. HAZIRLAYANLAR Doç. Dr. Şeref SAĞIROĞLU Doç. Dr. Mustafa ALKAN

Transkript

1

2 ISTANBUL TİCARET ODASI ELEKTRONIK İMZA VE UYGULAMALARI HAZIRLAYANLAR Doç. Dr. Şeref SAĞIROĞLU Doç. Dr. Mustafa ALKAN YAYIN NO: İstanbul, 2007

3 Copyright ÎTO Tüm haklar sakhdır. Bu yayının hiç bir bölümü, yazarın ve İTO'nun önceden yazılı izni olmaksızın mekanik olarak, fotokopi yoluyla veya başka herhangi bir şekilde çoğaltılamaz. Eserin bazı bölümleri veya paragrafları, sadece araştırma veya özel çalışmalar amacıyla, yazarın adı ve İTO belirtilmek suretiyle kullanılabilir. ISBN İTO ÇAĞRI MERKEZİ Tel: (212) İTO yayınları için ayrıntılı bilgi Bilgi ve Doküman Yönetimi Şubesi Dokümantasyon Servisi'nden alınabilir. Tel : (212) Faks : (212) E-posta : ito.yayin@ito.org.tr <nternet : Odamız yayınlarına tam metin ve ücretsiz olarak internetten ulaşabilirsiniz. YAYINA HAZIRLIK, BASKI, CİLT VİMEK AJANS Reklamcılık Matbaacılık Tel: Fax: ans.com

4 ÖNSÖZ Bilişim teknolojileri alanında meydana gelen gelişmelerin insan hayatmdaki yeri ve önemi her geçen gün artmaktadır. Bu teknolojiler sayesinde kişiler, kurumlar, sivil toplum örgütleri, devletler ve ülkeler birbirine bağlanmıştır. İnternetle beraber ortaya çıkan e-ticaret kavramı önce gelişip sonra iş dünyasında yerini bulmuş ve bunun bir kaçınılmazı olarak da elektronik imza gündeme gelmiştir. Elektronik imza, e-ticarette gerekli kullanıcı güveninin ve sistemin güvenirliliğinin sağlanması açısından, aynı zamanda da geleneksel ticaretin önemli unsurlarından olan ıslak imzanın yerini alması açısından çok önemli bir unsurdur. Dünyanın değişik ülkelerinde son yıllarda gündemdeki konulardan biri olan elektronik imza, Avrupa ve Amerika'da çeşitli hukuk kurallarıyla yasalaştırılırken diğer ülkelerde ise yasalaşma çabaları sürmektedir. Türkiye'de e-imzanm hukuki olarak anlam kazanması ve e-imza kullanımının hukuken geçerli sayılması 5070 Sayılı ve 23 Ocak 2004 tarihli E-imza Kanunu'nun çıkarılmasıyla sağlanmıştır. E-devletin ve elektronit ticaretin altyapısı olan e-imza; internetin hızlı gelişimiyle elektronik ortama aktarılan kamusal ve ticari alandaki birçok uygulamayı güvenilir, etkin, verimli ve tasarruflu hale getirmektedir. Elektronik imzaya ilişkin bilgileri kapsayan, elektronik imza uygulamalarının ve hukuksal boyutunun ele alındığı, "Elektronik İmza ve Uygulamaları" isimli bu çalışmanın tüm ilgililere faydalı olmasını diler. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Bilgisayar Mühendisliği Bölüm Başkanı Doç. Dr. Şeref Sağıroğlu'na ve Doç. Dr. Mustafa Alkan'a teşekkür ederim. Dr. Cengiz Ersun Genel Sekreter

5

6 İÇİNDEKİLER ÖNSÖZ 3 EKLER 9 TABLOLAR 10 ŞEKİLLER 11 GİRİŞ 13 KISIM I: TEMEL BİLGİLER 1. BİLGİ ÇAĞI, BİLGİ TOPLUMU VE E-DÖNÜŞÜM BİLİŞİM SİSTEMLERİ GÜVENLİĞİ BİLGİ, GÜVENLİK ve BİLGİ GÜVENLİĞİ KAVRAMLARI DÜNYADA BİLGİ TEKNOLOJİLERİ KULLANIMI BİLGİ GÜVENLİĞİNİN ÖNEMİ BİLGİ GÜVENLİĞİ İLE İLGİLİ BAZI İSTATİSTİKLER BİLGİ GÜVENLİĞİ NASIL SAĞLANMALI KARŞILAŞILABİLECEK TEHDİTLER İZİNSİZ DEĞİŞİM ZARAR VERME DEĞİŞİKLİK YAPMA ÜRETİM ALINMASI GEREKEN ÖNLEMLER KURUMSAL BİLGİ GÜVENLİĞİ ve BİLGİ GÜVENLİĞİ STANDARTLARI GENEL BİLGİLER TARİHÇE KURUMSAL BİLGİ GÜVENLİĞİ ISO/IEC KURUMSAL BİLGİ GÜVENLİĞİ STANDART SERİSİ ISO/IEC ORTAK KRİTERLER STANDARDI AÇIK ANAHTAR ALTYAPISI STANDARTLARI ELEKTRONİK İMZA TANIMLAR DÜNYADA E-İMZA ÇALIŞMALARI ÜLKEMİZDE E-İMZA ÇALIŞMALARI E-İMZA TÜRLERİ KİŞİ, KURUM ve SEKTÖR ÜZERİNE E-İMZANIN ETKİLERİ E-İMZA MEKANİZMALARI 65

7 E-İMZA İLE KİMLİK DOĞRULAMA VEYA İSPATLAMA E-İMZA MEKANİZMASI E-İMZA MEKANİZMASI (MESAJ BÜTÜNLÜĞÜ) E-İMZA MEKANİZMASI (DİĞER UNSURLAR) E-İMZA TEKNİK ALTYAPISI GİRİŞ AÇIK ANAHTAR ALTYAPISI KAYIT MAKAMI SERTİFİKA MAKAMI KÖK SERTİFİKA MAKAMI SERTİFİKALAR DİĞER AAA BİLEŞENLERİ TÜRKİYE AAA YAPISI AAA DONANIMLARI AAA İÇERİSİNDE GÜVENLİ E-İMZA OLUŞTURMA SERTİFİKALAR ve SERTİFİKA YÖNETİMİ TANIMLAR SERTİFİKALAR SERTİFİKA TÜRLERİ BİREYSEL SERTİFİKALAR SUNUCU SERTİFİKALARI YAZILIM SERTİFİKALARI ÇOK AMAÇLI (WILDCARD) SERTİFİKALAR SERTİFİKA YÖNETİMİ BİLEŞENLERİ ANAHTAR ve SERTİFİKA YÖNETİMİ SERTİFİKA İPTAL LİSTESİ SERTİFİKA YÖNETİM PRENSİPLERİ SERTİFİKA KULLANIM ALANLARI SERTİFİKA FİYATLARI MOBİL ELEKTRONİK İMZA GENEL BİLGİLER MOBİL ELEKTRONİK İMZA (ME-İMZA) MOBİL ELEKTRONİK İMZA ve AÇIK ANAHTAR ALTYAPISI SUNUCU TABANLI İMZALAR İSTEMCİ TABANLI İMZALAR ME-İMZA VE AAA UYGULAMA ÖRNEKLERİ ÜLKEMİZDE ME-İMZA ÇALIŞMALARI E-İMZA İLE ME-İMZANIN KARŞILAŞTIRILMASI 108

8 7.9. MOBÍL ELEKTRONİK İMZA STANDARTLARI L ITU-T RECOMMENDATION X ETSITR ETSITR ETSITS ETSITS DİKKAT EDİLMESİ GEREKEN ÖNEMLİ HUSUSLAR E-İMZA HİZMETİ SUNAN ŞİRKET VE KURUMLAR TÜBİTAK-UEKAE KAMU SERTİFİKASYON MERKEZİ E-GÜVEN SERTİFİKA HİZMET SAĞLAYICI TÜRKTRUST SERTİFİKA HİZMET SAĞLAYICI E-TUĞRA (EBG BİLİŞİM LTD. ŞTİ.) ESHS E-İMZA İLE İLGİLİ HİZMET VEREN BİLGİ PORTALLARI KAMU SERTİFİKAS YON MERKEZİ PORTALI e-imza.gen.tr PORTALI ve BÜLTENİ e-güven BÜLTENİ PORTALI BİLGİ EKONOMİSİ ve E-İMZA TANIMLAR BİLGİ EKONOMİSİ UNSURLARI BİLGİ EKONOMİSİ ve TÜRKİYE BİLGİ EKONOMİSİ ve E-İMZA ELEKTRONİK TİCARET ve E-İMZA ELEKTRONİK TİCARET ELEKTRONİK TİCARET UYGULAMALARI E-TİCARET'İN GÜNÜMÜZE ETKİLERİ E-İMZANIN E-TİCARET ÜZERİNDEKİ ETKİLERİ TÜRKİYEDEKİ DURUM VE GELECEK E-İMZA HUKUKU ve DÜZENLEMELER E-İMZA İLE İLGİLİ ULUSLARARASI DÜZENLEMELER E-İMZA İLE İLGİLİ ULUSAL DÜZENLEMELER SAYILI ELEKTRONİK İMZA KANUNU E-İMZA KANUNUN UYGULANMASINA İLİŞKİN UYGULANMASINA İLİŞKİN USUL ve ESASLAR HAKKINDA YÖNETMELİK SERTİFİKA MALİ SORUMLULUK SİGORTASI YÖNETMELİĞİ 144

9 E-İMZA ile İLGİLİ SÜREÇLERE ve TEKNİK KRİTERLERE İLİŞKİN TEBLİĞ BAŞBAKANLIK GENELGELERİ E-DEVLET UYGULAMALARINDA HUKUKİ ALTYAPI ve E-İMZA 147 KISIM II: UYGULAMALI BİLGİLER 14. E-İMZA ile İLGİLİ PRATİK BİLGİLER E-İMZA BAŞVURULARI AKILLI KARTLARI BİLGİSAYARA TANITMA SERTİFİKA BİLGİLERİNİ BİLGİSAYARA AKTARMA OUTLOOK'TA E-İMZA KULLANIMI WEBTEN NİTELİKSİZ SERTİFİKA ELDE ETME E-DEVLET UYGULAMALARINDA E-İMZA KULLANIMI KAMU HİZMETLERİ ve E-DEVLET KAVRAMI E-KURUM PROJELERİNDE HİZMETLER VE YAPILANDIRMA ÜLKEMİZDE E-DEVLET ÖRNEKLERİ SSK e-bildirge MALİYE BAKANLIĞI e-beyanname ADALET BAKANLIĞI ULUSAL YARGI AĞI PROJESİ SPK KAMU AYDINLATMA PLATFORMU DIŞ TİCARET MÜSTEŞARLIĞI DİR PROJESİ İNTERNET BANKACILIĞI UYGULAMALARI TELEKOMÜNİKASYON KURUMU E-KURUM PROJESİ DEĞERLENDİRMELER MEVCUT DURUM ANALİZİ BEKLENTİLER YAPILMASI GEREKENLER KAZANIMLAR KARŞILAŞILABİLECEK PROBLEMLER VE DİKKAT EDİLMESİ GEREKEN HUSUSLAR GENEL DEĞERLENDİRMELER ÖNERİLER SONUÇLAR 186

10 EKLER EK-A: 5070 SAYILI ELEKTRONİK İMZA KANUNU 189 EK-B: ELEKTRONİK İMZA İLE İLGİLİ SÜREÇLERE VE TEKNİK KRİTERLERE İLİŞKİN YÖNETMELİK 199 EK-C: KAMU SERTİFİKASYON MERKEZİ OLUŞTURULMASI HAKKINDA BAŞBAKANLIK GENELGESİ 213 EK-D: ELEKTRONİK İMZA İLE İLGİLİ SÜREÇLERE VE TEKNİK KRİTERLERE İLİŞKİN TEBLİĞİ 217 EK-E: ELEKTRONİK İMZA İLE İLGİLİ SÜREÇLERE VE TEKNİK KRİTERLERE İLİŞKİN TEBLİĞ'DE DEĞİŞİKLİK YAPILMASINA DAİR TEBLİĞ 221 EK-F: ZORUNLU SERTİFİKA MALİ SORUMLULUK SİGORTASI TEBLİĞİ 223 EK-G: SERTİFİKA MALİ SORUMLULUK SİGORTASI YÖNETMELİĞİ 229 KAYNAKLAR 231

11 TABLOLAR Tablo 3.L ISO Serisi Standartları 48 Tablo 4.1. Dünyada Elektronik İmza Yasaları Uygulama Yılları 57 Tablo 4.2. Türkiye E-İmza Yol Haritası 60 Tablo 6.1. AAA Yazılımları Fiyat-Uç Karşılaştırması 98 Tablo 6.2. Sertifika Ücretleri 98 Tablo 7.1. E-İmza ve Me-İmza Karşılaştırması 109 Tablo 8.1. Tübitak Sertifika Özetleri 115 Tablo 8.2. E-Güven Sertifika Özeti 116 Tablo 8.3. Türktrust Sertifika ÖzeÜeri 117

12 ŞEKİLLER Şekil 2.1. Bölgelere Göre Dünya İnternet İstatikleri 29 Şekil 2.2. Ülkemizde Bilişim Teknolojileri Kullanımı 30 Şekil 2.3. Yıllara Göre Zaafiyet Sayıları 38 Şekil 2.4. İzinsiz Erişim 41 Şekil 2.5. Hizmet Durdurma ve Zarar Verme 41 Şekil 2.6. Değişiklik Yapma 42 Şekil 2.7. Veri Üretimi 42 Şekil 3.1. Bilgi Güvenliği Genel Konsepti 46 Şekil 4.1. Gizli (Özel) Anahtarlı Şifreleme 66 Şekil 4.2. Açık Anahtarlı (Asimetrik) Şifreleme 67 Şekil 4.3. Açık Anahtarlı Şifreleme İle Kimlik Doğrulama 68 Şekil 4.4. E-İmzalama Süreci 70 Şekil 4.5. Özetleme Algoritması Kullanılarak Mesaj İmzalama 72 Şekil 5.1. Sertifika Makamları ve Detayları 75 Şekil 5.2. AAA Donanımlarına Örnekler 81 Şekil 5.3. İdeal Bir ESHS Güvenlik Merkezi (Trust-Center) 83 Şekil 6.1. Genel Bir X. 509 Sertifika Formatı 87 Şekil 6.2. İTO Bilgi İşlem Merkezine Ait Bir Sertifika Örneği 88 Şekil 6.3. Sayısal Formda Açık Anahtar Sertifika Örneği 89 Şekil 6.4. Windows Ortamında Bir Sayısal Sertefika 90 Şekil 6.5. Sertifika Örneği 96 Şekil 7.1. Sunucu Tabanlı Me-İmza İşleyişi 102 Şekil 7.2. İstem.ci Tabanlı Me-İmza İşleyişi 103 Şekil 7.3. Vodafo'nun İngiltere Mobil Açık Anahtar Altyapısı 106 Şekil E-îmzalı Mesaj Gönderme Ekranı 157 Şekil E-İmzalı Mesaj Gönderme İşlemi Ekranı 158 Şekil E-İmzah Mesaj Alma Ekranı 158 Şekil E-İmzalı Mesaj Alma Ekranı 159 Şekil E-İmzah Mesaj Alma Ekranı 159

13

14 GÎRÎŞ Günümüz dünyasmda gelişmelerin gerektirdiği değişim insanlığm artan ihtiyaçları ve beklentileri arttırmış, yeni değişimler ve gelişmeler de dolayısıyla yeni teknolojileri de beraberinde getirmiştir. Değişimin yönetilebilmesi için yönetimin değiştirilmesi, dinamik politikalar yürütülmesi ve yönetim ile karar alma süreçlerinin esnekleştirilmesi gereklidir. Dönüşüm sürecinin iyi yönetilebilmeli için klasik reflekslerin, davranış biçimlerinin ve yönetim anlayışının değiştirilmesi zorunludur. Çağa adını veren bilişim teknolojileri, bu beklentilere cevap verebilecek ve ihtiyaçları karşılayabilecek gelişmelerin başında yer almaktadır. Bilişim teknolojilerindeki gelişmeler; insan, toplum ve dolayısıyla devlet yapısında değişimleri, dönüşümleri ve gelişmeleri zorunlu kılmaktadır. Bu zorunluluk, bilişim teknolojilerinin kamu hizmetlerinin ve özel hizmetlerin; daha hızlı sunulması, yaygınlaştırılması, doğru ve yeterli bilgiye hızlıca ulaşabilme, teknolojileri güvenle ve güvenli olarak kullanabilme, düşük maliyet ve şeffaflaşma gibi beklentileri de beraberinde getirmiştir. Bilişim teknolojilerinin hayatımıza girmesi ve kullanılması ile iş ve işlemleri yapış şeklimiz değişmeye başlamış, verimlilik artışı sağlanmış, bilgilerin üretimi, kullanımı ve yaygınlaştırılması kolaylaşmış, bilgilerin depolanması, aktarımı ve tekrar elde edilmesi kolaylaşmış, işlemler hızlanmış ve sonuçta üretkenlik arttığı gibi hizmet kalitesi de doğal olarak yükselecektir. Bilişim toplumu olmak için bilişim teknolojileri üretimini arttırmak, kullanımını yaygınlaştırmak, etkin bilişim teknolojileri kullanımı bilincini oluşturmak, politikalar ve hedefler ortaya koymak, yöntemler geliştirmek, örgütsel yapılar kurmak ve bu tür projeleri kısa sürede hayata geçirmek gerekmektedir. Bilginin sürekli olarak kullanıma açık olması sebebiyle güvenliğinin de sağlanması çok önemlidir. Bunun için, bilginin bir varlık olarak karşılaşılabilecek tehlikelerden her şekilde korunması ve bu korumanın yasal olarak ta desteklenmesi gerekmektedir. Günümüzde bilgi güvenliğini sağlamak için birçok teknik, yaklaşım, metot ve metodolojiler bulunmaktadır. Arzu edilen bir seviyede güvenliği sağlamak için; gizlilik, bütünlük ve erişilebilirlik temel gereksinimler olsa da bilgi bulunduran ortamlarda kimlik kanıtlama veya doğrulama, inkâr edememe, fiziksel güvenlik, insan faktörü (sosyal mühendislik), güvenlik duvarları.

15 anti-casus ve anti-virüs yazılımlar, atak tespit sistemleri, sayısal imza, şifreleme ve açık anahtar altyapısı gibi çözümlerin kullanılması gerekmektedir. Elektronik ortamda gönderilen veya alman bilgilerin, bunları gönderen kişi veya kuruma ait olduğunun doğrulanması, iletilen veya alman verilerin bildiğimiz (tanıdığımız) kişiler tarafından gönderildiğinin belirlenmesi, verileri gönderenlerin gönderdiğini ve alanların da aldığını inkâr edememesi, gönderilen veya alman bilgilerin içeriğinin değiştirilmediğinden emin olunması, başkaları tarafından elde edilse bile içeriğinin anlaşılamamasınm garanti edilmesi gerekmektedir. Bütün bunlar için, elektronik ortamda güvenli haberleşmeye ihtiyaç vardır. ELEKTRONİK İMZA ve AÇIK ANAHTAR ALTYAPISI bu güvenli haberleşme ortamını sağlayan çözümlerin başında gelmektedir. Açık anahtar altyapısının, elektronik imza (e-imza) ile kullanılmasıyla hukukî açıklar kapatılacak, yasal zorunluluklar yerine getirilecek, kayıplar en aza indirilebilecek, bilgi toplumu olma süreci kısalacak ve yukarıda belirtilen hususlar yerine getirilebilecek ve sonuçta arzu edilen seviyede bir bilgi güvenliği sağlanabilecektir. Elektronik İmza Kanunu'nun ülkemizde Ocak 2005'den itibaren artık yürürlükte olması, güvenli elektronik imzanın elle atılan imza ile aynı hukukî sonucu doğuracağı ortadadır. Elektronik imzanın hukukî yapısı, elektronik sertifika hizmet sağlayıcılarının faaliyetleri ve her alanda elektronik imzanın kullanımına ilişkin işlemlerin nasıl yapılması gerektiği bu kanunda yer almaktadır. E-imza uygulamaları, dünyada olduğu gibi ülkemizde de Elektronik İmza Kanunu'nun yürürlüğe girmesiyle yeni yeni kullanılmaya başlanmıştır. Bu konuda, dünyada yaşanan olumsuzlukların ülkemizde de yaşanmaması için dünya tecrübelerinden faydalanmak, akademik çalışmalar yapmak, kamu-üniversite-sanayi işbirliğini sağlamak, e-imza veya daha geniş anlamıyla bilgi güvenliği konusunda toplumsal duyarlılığı arttırmanın sadece kişisel ve kurumsal bilgi güvenliğimize değil ulusal bilgi güvenliğimize de katkılar sağlayacağı değerlendirilmektedir. Bugüne kadar vermiş olduğumuz seminerler, içinde bulunduğumuz e-imza çahşma grupları, katıldığımız paneller, konferanslarda sunmuş olduğumuz bildiriler, düzenlemiş olduğumuz ulusal sempozyumlar ve uluslararası kongreler bu alanda daha fazla bilgi birikimine, kaynaklara ve işbirliğine

16 ihtiyaç duyulduğunu bizlere göstermiştir. İstanbul Ticaret Odası'nm bu konuda bir kitap hazırlanması yönündeki teklifi bizde büyük bir heyecan yaratmıştır. Bu kitabın belirtilen ihtiyaçları karşılayacak bir kaynak olması ve bunun geniş kitlelere ulaştırılmasını sağlama yönündeki desteği için İTO'ya teşekkür ederiz. Bu kitap, e-imza'nm farklı açılardan kolaylıkla değerlendirilmesini sağlamak amacıyla geniş bir bakış açısıyla hazırlanmıştır. Ayrıca, e-imzaya ilgi duyanların ufkunu açmak, e-imzaya olabilecek ilgiyi arttırmak, e-imzanm kazanımıarmı farklı açılardan sunabilmek ve kullanıcılarmm merak ettiği her konuyu bulabilmelerini sağlamak bu kitabın ana hedefleri arasındadır.. Genel olarak bu kitapta, Bölüm l'de, bilgi çağı, bilgi toplumu ve e-dönüşüm kapsamlı bir şekilde değerlendirilmiştir. Bölüm 2'de bilişim sistemleri güvenliği konusunda temel kavramlar açıklanmış, bilgi güvenliğinin önemi bazı istatistikler ile vurgulanmış, bilgi güvenliğinin nasıl sağlanması gerektiği üzerinde durulmuş, karşılaşılabilecek tehditler ile alınması gereken önlemler sunulmuştur. Bölüm 3'te kurumsal bilgi ve sistem güvenliği konusunda kullanılan uluslararası standartlardan ISO/IEC serisi ve ISO/IEC ana hatları ile açıklanmış, kurumsal bilgi güvenliği ve tarihçesi özetlenmiştir. Açık anahtar altyapısında (AAA) kullanılan standartlar kısaca tanıtılmıştır. Bölüm 4'te, ıslak imza ve e-imza türleri, e-imza yapılanmasının tarihçesi, dünya uygulamaları, ülkemizdeki e-imza çahşmaları, e-imzanm çalışma mekanizması örneklerle açıklanmış, kişi, kurum ve sektör üzerine etkileri ve beklentiler ile e-imza'nm farklı güvenlik seviyelerinde uygulamaları sunulmuştur. Bölüm 5'de, A A Anın önemi, üstünlükleri, oluşturulması, önemli bileşenleri, makamlar, sertifikalar, kullanılan yapılar, ülkemizin AAA yapısı, AAA içerisinde güvenli e-imza oluşturma yaklaşımları özetlenmiştir. Bölüm 6'da güvenli bir haberleşmenin temel unsurlarından olan sertifikalar, sertifika ve anahtar yönetimi, sertifika yönetim prensipleri ve bileşenleri, iptal listesi ve kullanım alanları sunulmuştur. Bölüm 7'de günümüzün en güncel konularından olan mobil elektronik imza ayrıntılı bir şekilde ele alınmıştır.

17 Bölüm 8'de e-imza hizmeti sunan şirket ve kurumlar ile ilgili detaylı bilgiler verilmiştir. Bölüm 9'da e-imza konusunda kendisini geliştirmek isteyen okuyucularımızın e-imza ile ilgili hizmet veren bilgi portallarına kolaylıkla erişmelerini sağlamak için detaylı bilgiler verilmiştir. Bölüm lo'da bilgi toplumunun temel unsurlarından olan bilgi ekonomisi, farklı yönleriyle değerlendirilmiş, ülkemizde bilgi ekonomisi analiz edilerek dünya ülkeleriyle karşılaştırması yapılmaya çalışılmıştır. Bilgi ekonomisine, e-imzanm katkısı yine bu bölümde değerlendirilmiştir. Bölüm irde e-imzanın en önemli uygulama alanlarından olan e-ticaret farklı boyutuyla ele alınmıştır. Ülkemizdeki mevcut durum ve e-ticaretin ülkemizde yaygınlaşması için yapılması gerekenler ile bunlara e-imzanm katkısı da bu bölümde ayrıca değerlendirilmiştir. Bölüm 12'de elektronik imza'nm hukuki ve teknik düzenlemeleri ile ilgili kanun, yönetmelik ve tebliğler sunulmuştur. Bölüm 13'de e-devlet uygulamaları ile bu uygulamalarda e-imza kullanımı incelenmiştir. Bölüm 14'de e-imza ile ilgili pratik bilgiler ve uygulama örnekleri verilmiştir. Bölüm 15'de e-devlet uygulamaları ile ilgili ülkemizde yapılan çalışmalar sunulmuştur. Bölüm 16'da ise e-imza ile ilgili genel bir değerlendirme yapılarak, mevcut durum analizi yapılmış, beklentiler, kazanımlar, yapılması gerekenler özetlenmiş, karşılaşılabilecek problemlerden bahsedilerek çözüm önerileri geliştirilmeye çalışılmıştır. Kitabın ekler bölümünde ise; çıkarılan E-İmza Kanunu, bu kanun ile ilgili olarak çıkan Yönetmelik, Başbakanlık Genelgesi, Tebliğler sırasıyla Ek-A, Ek-B, Ek-C, Ek-D, Ek-F ve Ek-G'de sunulmuştur. Bu kitabın hayata geçirilmesi esnasında kaynaklarından faydalandığımız araştırmacılara, kurum ve kuruluşlara, bizlerden desteklerini esirgemeyen kişilere ve kuruluşlara şükranlarımızı sunuyoruz.

18 Kitabımızın sadece "Elektronik İmza ve Açık Anahtar Altyapısının" ülkemizde yaygınlaştırılması değil, yeni yaklaşımların ve sistemlerin geliştirilmesi başta olmak üzere, tüm bilgi güvenliği ve e-dönüşüm süreçlerine önemli katkılar sağlamasını diler, bu çalışmamızın büyük kitlelerle ulaştırılmasına katkı sağlayan İstanbul Ticaret Odasına teşekkür ederiz. Ankara, Temmuz Doç. Dr. Şeref Sağıroğlu Doç. Dr. Mustafa Alkan

19

20 KISIM I: TEMEL BİLGİLER

21

22 1. BİLGİ ÇAĞI, BİLGİ TOPLUMU VE E-DÖNÜŞÜM "Ekonomisi bilgiye dayalı toplumlar" bilgi toplumları olarak tanımlanmıştır [14]. Bilgi teknolojileri (BT) üretken teknolojiler olması sebebiyle ekonomik olarak gelişmişliğin yanı sıra toplumsal hayatın tüm alanlarını değiştirmeye aday teknolojilerdir. BT'ler beraberinde bilgi toplumlarını da yaratmışlardır. Bilgi toplumlarının bilgiyi paylaşma ihtiyacı etkileşimli iletişimi, bu da tüm bilgi ve verilerin elektronik ortama taşınmasını sağlamıştır. Bu gelişmeler bir takım "e-" gibi tanımların doğmasına sebep olmuştur. E-Devlet bu tanımlardan sadece birisidir. E-Devletin birçok defa tanımı yapılmıştır, bu tanımların sonucu olarak anlaşılması gereken; "Devletin vatandaşlara karşı yerine getirmekle yükümlü olduğu görev ve hizmetler ile vatandaşların buna karşılık devlete karşı olan görev ve hizmetlerinin karşılıklı olarak elektronik ortamda kesintisiz ve güvenli olarak yürütülmesidir." Bu hizmetlerin gerçekleştirilebilmesi devlet yapısının yeniden şekillenmesi köklü ve yapısal değişikliklerin gerçekleştirilmesiyle mümkün olacaktır. İnsanlık tarihi esas itibariyle değişimlerin, dönüşümlerin ve gelişmelerin tarihidir. Tarih boyunca devam eden değişim, son yıllarda baş döndüren bir hıza ulaşmıştır. Bu büyük ve hızlı değişimin arkasında pek çok sebep var olsa da en önemlisi şüphesiz ki bilgi ve iletişim teknolojileri alanındaki hızlı gelişmelerdir. Tarihi boyunca tarım çağı ve sanayi çağını yaşayan insanoğlu BT'lerin bu son derece hızlı gelişimi ve yayılımı ile birlikte üçüncü bir dalga ile karşı karşıya kalmış ve Bilgi Çağını yaşamaya ve toplumlar Bilgi Toplumuna dönüşmeye başlamıştır [21,22,25]. Bilgi ve iletişim teknolojilerinin son yıllardaki hızlı gelişimi ve yayılımı, bilim, sanat, edebiyat, sosyal iletişim, güvenlik, politika, eğlence ve ticaret dahil yaşamı ilgilendiren her alanı etkilemiş ve dünya çapında ekonomik, politik, sosyal ve kültürel dönüşümlere yol açmıştır. Bu dönüşüm ile birlikte klasik çalışma, düşünme, eğlenme metotları değişime uğramış ve yaşam yeni şekilleriyle sanal ortama taşınmıştır. Yazılı bilgilerin yerini elektronik ortamdaki bilgiler almaya başlamış, işler ve işlemler elektronik ortamda yapılır hale gelmiştir. Günümüzde iş ve işlemler her yönüyle sayısallaşmada büyük yol kat edilmiş ise de bu süreçte varılacak son nokta istisnasız her şeyin sayısallaştığı, uluslar arası protokollerin ve standartların hayatın tüm evrelerine nüfuz ettiği siber dünya olacaktır [22].

23 Tarım toplumundan sanayi toplumuna dönüşümün 200 yıllık bir geçmişi bulunmaktadır. Sanayi toplumundan bilgi toplumuna geçiş de akşamdan sabaha gerçekleşecek bir olay değil, belki yüzyıllar sürecek bir dönüşüm sürecidir. Sanayi toplumuna dönüşümün ulusal niteliğine karşılık bilgi toplumuna dönüşümün küresel bir nitelik taşıdığı ve daha karmaşık bir süreç olduğu da unutulmamalıdır [21]. Bu sürecin gerektiği gibi değerlendirilmemesi halinde tıpkı sanayi çağında olduğu gibi ülkeler, gruplar ve bireyler arası farklılıklar ortaya çıkacak, bu durum düşmanlıkları körükleyecek, küresel ve yerel barış sağlanamayacak ve tüm dünya çapında insanların bir kısmı bilgi toplumuna adapte olurken diğer kısmı sanayi toplumunun ve belki de tarım toplumunun öngördüğü bir hayat standardını yaşamak zorunda kalacaklardır. Bu durum da küresel bir dönüşüme değil, küresel sorunlara yol açacak ve insanlığı derinden sarsan bunalımlara sebep olacaktır [82]. Tüm bu hususlar göz önüne alınarak, sanayi toplumuna dönüşümü tam olarak gerçekleştiremeyen, süreci geriden takip eden ve bu yüzden o dönemin muhtemel katkılarından faydalanamayan ülkemizin yeni şekillenmekte olan küresel bilgi toplumuna adapte edilmesi ve gerektiğinde yönlendirebilmesi sağlanmalıdır. Değişimin yönetilebilmesi için yönetimin değiştirilmesi, dinamik politikalar yürütülmesi ve yönetim ile karar alma süreçlerinin esnekleştirilmesi gereklidir. Dönüşüm sürecinin iyi yönetilebilmesi için klasik reflekslerin, davranış biçimlerinin ve yönetim anlayışının değiştirilmesi zorunludur. Köydeki yaşamı, şehirde aynı şekilde devam ettirmek şehirleşmek olarak görülemeyeceği gibi önceki çağların değerleriyle, anlayışlarıyla ve kabulleriyle bilgi çağını takip etmek, yorumlamak ve yönlendirmek de bilgi toplumuna dönüşüm olarak görülmemelidir. Tarım ve sanayi çağının yerleşik kalıpları, inanışları, kabulleri bir kenara bırakılmalı, bu süreçte paradigmaların dahi değiştiği dikkate alınmalı ve stratejik zihniyet ürünü yepyeni bir vizyon ve misyon ile toplumun karşısına çıkılmalı, liderlik yapılmalı ve ekonomik, sosyal ve politik dönüşüm sağlanmalıdır [27]. Bunun için toplumun tüm kesimlerinin katılımıyla bilgi toplumuna top yekûn bir dönüşüm sağlanmalıdır. Bu dönüşümün, asgari maliyetle, azami fayda sağlanarak ve en kısa sürede tamamlanması beklenen yararların elde edilebilmesi bağlamında olmazsa olmaz bir şart olarak görülmektedir. Bunu teminen stratejik planlama tabanlı çalışmalar yapılmalıdır.

24 Tüm ülke çapmda bir dönüşüm ve hareketlilik sağlayacak, tüm kurum ve kuruluşlar ile birlikte tüm vatandaşları da çok yakından etkileyecek olan böyle bir stratejik planın uygulamasında sorun yaşanmaması için siyasi idarenin açık ve net bir şekilde desteği sağlanmalıdır. Siyasi iradenin teşvik ettiği kurum ve kuruluşların, toplumun tüm kesimlerinin katkıda bulunduğu ve desteklediği bir dönüşüm süreci başarıya ulaşmayı sağlayacaktır [177]. Ülkemizin bilgi toplumuna dönüşümünün sağlanabilmesi ve bilgi çağma öncülük edebilmesi yukarıda da ifade edildiği üzere stratejik zihniyet, stratejik planlama ve siyasi irade ile yakından ilgilidir. Bu üç unsur da karar alma süreçleriyle doğrudan ilişkilidir [27]. Politik ve idari açıdan güçlü olmayan, istikrarlı bir yapıya sahip olmayan ve karar alma ve alman kararları uygulama mekanizmaları sağlıklı çalışmayan ülkelerin amaçlarına ve hedeflerine ulaşabilmesi mümkün değildir. Karar alma ve uygulama konumu gerektiği gibi değilse sonuç da istendiği gibi olamamaktadır. Beklenen yararlara ve arzulanan hedeflere ulaşmayı sağlayacak kararların alınabilmesi ise her şeyden önce "doğru bilgiye" "kısa sürede" ulaşabilmekle mümkün olabilmektedir [21-29]. Bu noktada bilgi ve iletişim teknolojileri; Tam ve doğru bilgilere çok kısa süreler içinde ulaşılmasını ve bunlara dayanarak karar verilmesini, Alman kararların en kısa sürede ilgililere duyurulmasını, Karar alma süreçlerinde katılımcılığın sağlanmasını, Alman kararların uygulanmasını, koordinasyonunu ve takibini, Bürokratik engellerin, keyfiliğin ve hantallığın aşılmasını, Alınan kararlar konusunda kamuoyunun bilgilendirilmesi ve ikna edilmesini ve Kamuoyunun farklı konulardaki görüşlerini politik ve idari gücü elinde bulunduran karar vericilere iletebilmelerini sağlamakta ve bu itibarla hayati bir önem arz etmektedir. Günümüzde toplumumuz değişim karşısında ani refleksler geliştirip geri çekilen bir yapıya değil tam tersine değişimi ilgiyle izleyen ve hızla uyum sağlayan bir yapıya sahiptir. Buna paralel olarak toplumumuz bilgi toplumuna dönüşüm sürecini büyük bir ilgi ve merakla izlemekte ve takip etmektedir. Değişime açık kültürel ve toplumsal yapımızın bir sonucu olarak

25 milletimiz bilgi ve iletişim teknolojilerine ciddi bir ilgi duymuş ve kullanım oranları ciddi boyutlara ulaşmıştır. Bugün ülkemizde 20 milyonun üzerinde sabit hat, 55 milyon civarında GSM ve 20 milyon civarında internet kullanıcısı bulunmaktadır. Ülkemizin Büyükşehirlerinde de en ücra köşelerinde de genci-yaslısı, erkeği-kadım tarafından bu teknolojiler yoğun ve etkin olarak kullanılmaktadır [146]. Bilgi ve iletişim teknolojileri bize, bilgiye ulaşma imkanı sunmaktadır. Böylehkle, bilgiye ulaşma, onu kullanma, dağıtma ve yeniden üretme, dolayısıyla bilimsel açıdan gelişme imkanını bizlere sunmaktadır. Ülkemizin kısa sürede bilgi toplumuna dönüştürülmesi ve e-dönüşüm Türkiye projelerinin ve stratejilerinin hayata geçirilmesi için DPT Bilgi Toplumu Dairesinin oluşturulması ve yapılan çalışmaların web sitelerinde yayımlanması, içerisinde stratejik birçok dokümanın bulunması, Lizbon Stratejisi ve bilgi toplumu, e-devlet projeleri, dünya bilgi toplumu zirvesine ait birçok dokümanın bu web sitesinde yayınlanması sevindiricidir [20]. Ulu Önder Mustafa Kemal ATATÜRK "Hayatta en hakiki mürşit ilimdir" demiştir. Bilgi ve iletişim teknolojileri tarihin hiçbir döneminde olmadığı şekilde bize en hakiki mürşit olan ilim alanında gelişme imkânları sunduğunun farkında olunmalı ve bilgi toplumu olma yolunda daha çok çaba harcamalı, yeni hedeflere kısa sürede ulaşmak için gerekli adımlar atılmalıdır. 2, BİLİŞİM SİSTEMLERİ GÜVENLİĞİ Kurum ve kuruluşlarda bilgi ve bilgisayar sistemleri güvenliğinin sağlanması, güvenlik kavramlarını iyi anlamak, uygulamak, denetlemek ve iyileştirmekle sağlanabilir. Yüksek seviyede bir bilgi güvenliğinin sağlanabilmesi için güvenlik farklı başlıklar altında bu bölümde incelenmiş, tanıtılmış ve değerlendirilmiştir. 2.L BıLGL GÜVENLIK ve Bilişim telcnolojilerinin kullanımının hızla arttığı ve kullanım alanlarının yaygınlaştığı günümüzde, bilgi, bilgisayar ve bilgisayar sistemleri güvenliği en önemli konuların başında yer almaktadır. Kurum, kuruluş ve şirketlerde "Bilgi ve Bilgisayar Sistemleri Güvenliğini" sağlamanın yolu "veri", "bilgi", "özbilgi" ve "güvenlik" gibi bu alandaki

26 temel kavramları anlamak ve kavramaktan geçmektedir. İlk önce bu kavramları aşağıda birer birer açıklayalım. Türk Dil Kurumumuzun web sitesinde [1] bilgi; 1. insan aklının erebilecegi olgu, gerçek ve ilkelerin bütünü, bili, malumat. 2. Öğrenme, araştırma veya gözlem yolu ile elde edilen gerçek, malumat, vukuf. 3. İnsan zekâsının çalışması sonucu ortaya çıkan düşünce ürünü, malumat, vukuf. 4. Bilim: ''Doğa bilgisir-. 5. bilişim Kurallardan yararlanarak kişinin veriye yönelttiği anlam. olarak tanımlanmaktadır. Sözlük anlamıyla bilginin, "öğrenme, araştırma ve gözlem yoluyla elde edilen her türlü gerçek, malumat ve kavrayışın tümü" olduğu ifade edilmektedir. Bilgi tanımını yapan kaynaklara bir göz atıldığında, bilginin yapılan tanımlarında bazı farklılıklar olduğu görülebilir. Sahip olunan bilgi birikimi, alman eğitim, yaşanılan kültürün bu tanımları etkilediği görülmüştür. Bilginin literatürde farklı tanımları da mevcuttur. Bazı bilim insanlarına göre bilgi; "doğruluğu ispatlanmış inançlardır." [2], "sosyal varlık olan insanlar arasındaki iletişim sırasında paylaşılan, aktarılan ve yeniden şekillendirilen tecrübe ve bilgiler" [3], bazılarına göre ise "insanların ve organizasyonların etkin bir biçimde eylem gerçekleştirmeleri için sahip olmaları gereken kapasitedir [4]. TDK web sitesinde [4] verinin tanımıda aşağıda verildiği yapılmaktadır. şekliyle 1. Bir araştırmanın, bir tartışmanın, bir muhakemenin temeli olan ana öğe, mute, done: "İstatistik veriler.''-. 2. Bir sanat eserine veya bir edebi esere temel olan ana ilkeler: ''Bir romanın verileri.''-. 3. Bilgi, data. 4. matematik Bir problemde bilinen, belirtilmiş anlatımlardan bilinmeyeni bulmaya yarayan şey. 5. bilişim Olgu, kavram veya komutların, iletişim, yorum ve işlem için elverişli biçimli gösterimi.