“Türkiye’de seçim sistemi her türlü müdahaleye açıktır”

HATİCE İKİNCİ

Artık geri sayımın başladığı 7 Haziran seçimlerine, yapılan her değerlendirmenin ardına “Sonuçlara hile karışmazsa…” denilerek gidiliyor. İktidar partisi AKP dışındaki tüm partiler, seçmenlerin büyük çoğunluğu, kullanılan oyların güvenli bir şekilde sonuçlara yansımayacağına ilişkin derin kuşkularını, hatta kesin öngörülerini dile getiriyor.

Önceki seçimlerde YSK’nin kullandığı program olan Bilgisayar Destekli Seçmen Kütüğü sistemi kısa adıyla SEÇSİS’in açıklarına ilişkin rapor hazırlayan Bilgisayar Yüksek Mühendisi Cüneyt Göksu ile yaptığımız röportajda “Neler olabilir, sistem güvenli mi?” sorusunun yanıtlarını aradık.

EKSİKLER GİDERİLMEDİ!

>>Daha önceki seçimlerin ardından SEÇSİS hakkında bir rapor hazırlayarak, kullanılan programın açıklarını ve açmazlarını anlatmıştınız. Bu seçimlere yenilenmiş bir sistemle mi giriyoruz?

Hayır, o raporda anlattığımız eksikliklerin hiçbiri giderilmedi.

>>Bu sisteme ne kadar güvenebiliriz?

Güvenemeyiz çünkü teknolojik ve işletim olarak sistemi güvensiz kılan iki temel nokta var. Sistemin altyapısı Ankara’da, Yüksek Seçim Kurulu içindeki bir data-center üzerinde kurulu. Bu altyapıda büyük bir problem yok. Ancak, İlçe Seçim Kurullarında kullanılan teknolojik altyapı yani Windows İşletim Sistemi için aynı şeyi söyleyemeyiz. Burada kullanılan yazılım teknolojileri, dünya standartlarında bakarsak; teknolojik güvenlik, virüs atakları ve insan hatalarından kaynaklanan güvenlik sorunlarına daha açıktır.

VİRÜS ATAĞI YAPILAN SİSTEM

>>Bu teknolojik açıklık neye sebep olabilir?

Dünya istatistiklerinde en çok virüs atağı yapılan işletim sistemi Windows’dur. Bu kadar hassas bir işlemin yapıldığı yerde kullanılan işletim sisteminin virüse açık olması, büyük bir problemdir. Kullanıcının oraya virüs bulaştıracağından bahsetmiyorum ama her türlü teknolojik yazılım atağının yapılacağı bir platformdur burası. Birinci açık buradan başlıyor. Diğeri ise UYAP ağıdır. Bütün SEÇSİS, UYAP ağı üzerinden çalışıyor ve bu da Adalet Bakanlığı’nın kapalı ağıdır. İdari olarak YSK bağımsız olmasına rağmen UYAP’ın ağının kullanılması, teknolojik problem yaratıyor. Adalet Bakanlığı üzerinden, kötü niyetli olarak bir şey yapılmak istenirse -ki tamamen nesnel bir şey söylüyorum- bu ağa girilebildiği için, teknolojik olarak müdahale yapılabilir.

'MÜDAHELE BİLİNEBİLİR'

>>Bu müdahaleleri tespit etmek mümkün mü?

Teknolojik olarak mümkün. Sistemin diğer önemli eksikliği ise seçim gecesi, İlçe Seçim Kurullarındaki görevlilerin bilgileri girmesiyle başlıyor. Girilen verilerin doğruluğunun denetlenmesi, ancak bu bilgiler girildikten sonra yapılıyor. Oysa bu bilgiler daha girilmeden, konsolidasyon aşamasında da elektronik olarak denetlenebilir. Böyle bir teknoloji de uygulayabilir devlet. Sandıklarda bu bilgiler teknolojik olarak ayrıştırıldıktan sonra, işte tam o noktada, İlçe Seçim Kurullarına veriler elle giriliyor. Burada manipülasyona uğrama riski var. Bir müşahitlik sistemi var fakat sandık korunduktan sonra ortaya çıkan döküman, elle sisteme dahil oluyor. Sandık dokümanı oluştuktan sonra da bunu elektronik olarak yapabilir ve manipülasyonu önlersiniz. Bunun da teknolojisi var aslında. Alt alta koyduğumuzda sistemde 7-8 kadar potansiyel güvenlik açığından söz edebiliriz. Ancak devlet bunları önlemek için bir şey yapmıyor ve sistem bütün açıklarıyla öyle ortada duruyor.

>>Kim denetleyebilir bu durumu?

Şu anda idari olarak böyle bir denetleme yok. YSK, ‘biz denetlemek için şunu, şunu, şunu yapıyoruz’ diyor ama söyledikleri şey, kendi kendilerini denetlemeleridir. Bir kurumun kendi kendini denetlemesi ne kadar uygundur? Dolayısıyla dışarıya açık bir denetim yok.

Seçim günü yapılan bütün işlemler, özellikle İlçe Seçim Kurullarında yapılan işlemlerde, sandıklar konsolide edildikten sonra bilgi girişi yapılır. Bütün bu bilgi girişlerinin denetimleri YSK’nin data-center’inde konsolide edilir ve o gece yapılan bütün veri tabanı işlemleri ayrıca loglanır. Yapılan bütün veri tabanı işlemleri, SEÇSİS uygulamasının dışında loglanabilir. Biz de diyoruz ki o veri tabanının logları bağımsız bir denetçi tarafından denetlensin.

>>Bu bağımsız denetimi nasıl bir organizasyon yapabilir mesela?

TÜBİTAK olabilir ya da bankalar örneğinden gidersek; bankalar BDDK kurallarına tabidir ve kullanıcıların bankalarda yaptığı tüm işlemler, içerideki başka yazılımlar tarafından denetlenir. Hem banka tarafından hem de banka dışından denetlenir. Bankalar, BDDK tarafından buna zorlanır ve onlar da bankacılık yapabilmek için bu denetimi yaptırırlar.

Devlet bütün kurumlarını, BDDK benzerindeki gibi bu çeşitli güvenlik koşullarını yapmaya zorlarsa YSK de kendi sisteminde bu koşulları oluşturmak zorunda kalacaktır. O zaman da denetlenebilir olacaktır. Bağımsız bir bilgi işlem denetimi organizasyonunun mutlaka olması ve bu kurumun sadece YSK değil, SGK, Adalet Bakanlığı, UYAP, Sağlık Bakanlığı gibi önemli yerlerin sistemlerini de denetleyebilmesi lazım.

‘DENETLEME SİYASİ KARAR’

>>Bu denetleme kuruluşlarının oluşturulmaması siyasi bir karar mı yoksa teknolojik bir yetersizlik mi söz konusu?

Asla teknik yetersizlik olduğunu düşünmüyorum. Bir sürü kamu organizasyonunun teknik altyapıları oldukça iyi altyapılardır ve personeli de yeterlidir. Bunun yapılmamasının siyasi bir karar olduğunu düşünüyorum.

SERTİFİKASIZ SİSTEM

>>Tam 11 yıldır, verilen onca soru önergesine rağmen yanıtlanamayan SEÇSİS’in sertifika meselesine gelmek istiyorum. Şu ana kadar YSK’den SEÇSİS’in, Ulusal Yazılım Sertifikasyon Merkezi Sertifikasyonu’na sahip olduğuna dair bir açıklama gelmedi. Bu bize neyi gösterir?

Bunların hepsi bize sistemde potansiyel güvenlik açığı bulunduğunu gösterir. O sertifikasyonu almak demek, muhtemelen hem güvenlik kuralları
hem de yazılım kalitesi gibi gereklilikleri yerine getirmek demektir. Ulusal Yazılım Sertifikasyonu’nun şartları içinde belli güvenlik kuralları vardır. Sertifikasyonu yoksa, düz mantık olarak bile bu güvenlik kurallarının ihlal edildiğini düşünürüz.

‘HAYALİ VERİLER GİRİLEBİLİR’

>>Anlattığınız tüm bu tabloda, sisteme hayali veriler girmek mümkün mü?

Kesinlikle mümkün. Bakın, dünyanın en güvenli bilgisayar sistemlerinin bile hacklendiğini, kırıldığını biliyoruz. Sistem ne kadar güvenli olursa olsun, ‘iç hacker’ denilen bir şey vardır. Kurum içi ve kurum dışı çalışan birlikteliğiyle en güvenli sistem bile kırılabilir. Teorik olarak SEÇSİS’de de her kurumda olduğu gibi iç çalışan ve dış kaynak bir araya gelerek bu sistemi hackleyebilir ve verileri değiştirebilir.

***

‘İzlemenin anlamı yok’

>>Birkaç gün sonra seçim var ve bugün Türkiye’nin bu meseleyi konuşuyor olması gerekmiyor muydu?

Seçim söz konusu olduğunda biz genellikle sandık güvenliğini konuşuyoruz. Bu da çok haklı bir şey, bunun da sonuna kadar sağlanması gerek. Özellikle son iki seçimdir Türkiye olarak sandık güvenliğinin örgütlenmesini ve organizasyonunu sağlamaya çalışıyoruz. Çünkü vatandaş olarak müdahil olabildiğimiz tek yer orası. Ama sistemin uçtan uca, sandıktan daha Ankara’daki konsolidasyona kadar, parçalarına baktığımda, en yumuşak karnı İlçe Seçim Kurulları. Buralarda ve data-center’e müdahil olabileceğimiz nokta yok. Özellikle data-center’da YSK dışında müdahil olan hiç kimse yok ve bu çok büyük problem. Bu sistemin yumuşak karnı, ki manüpülasyon yapılıyorsa en çok yapıldığı yer, sandıklar değil, merkez ve ilçelerdeki seçim kurullarıdır. Biz sandığı koruyoruz ve sandıktan bir tutanak çıkarıyoruz. Sandık belki doğruyu yansıtıyor ama İlçe Seçim Kurulu’na gidip bu bilgi bozulduğunda biz bunu ancak ve ancak seçimden sonra görüyoruz ve o da sandık tutanakları elimizde varsa.

Bu tartışmaları önlemek için, son iki seçimde partilere birer şifre vererek veri akışını görebilmeleri sağlanmıştı. Seçime giren partiler o gece, yapılan işlemin trafiğini görsünler diye yapıldı bu, fakat şunu unutmayın bu bir zincirdir. Size verilen izleme izni İlçe Seçim Kurulu’ndan bilgiler girildikten sonrasına ait. Ankara’ya veri akarken, Ankara’daki konsolidasyon verilerini size izletiyorlar. Bakın burada da güvenlik açığı var ve eksiklik var. İlçe Seçim Kurulu’nda bu veriler manipüle ediliyorsa, siz o gece manipüle edilmiş veriyi görüyorsunuz aslında. Kaldı ki, bu veriyi görüyor olmanız, sandıktaki verilerle tuttuğu anlamına da gelmiyor. Sadece siz önünüzden akanı bir nehirden akan su gibi izliyorsunuz. Ama o suyun başında, suya bir müdahale yapılmışsa, bir şey katılmışsa bunu göremezsiniz.