Seçim sistemi müdahaleye açık

Artık geri sayımın başladığı 7 Haziran seçimlerine, yapılan her değerlendirmenin ardına “Sonuçlara hile karışmazsa…” denilerek gidiliyor. İktidar partisi AKP dışındaki tüm partiler, seçmenlerin büyük çoğunluğu, kullanılan oyların güvenli bir şekilde sonuçlara yansımayacağına ilişkin derin kuşkularını, hatta kesin öngörülerini dile getiriyor.

Önceki seçimlerde YSK’nin kullandığı program olan Bilgisayar Destekli Seçmen Kütüğü sistemi kısa adıyla SEÇSİS’in açıklarına ilişkin rapor hazırlayan Bilgisayar Yüksek Mühendisi Cüneyt Göksu ile yaptığımız röportajda “Neler olabilir, sistem güvenli mi?” sorusunun yanıtlarını aradık.



EKSİKLER GİDERİLMEDİ!

Daha önceki seçimlerin ardından SEÇSİS hakkında bir rapor hazırlayarak, kullanılan programın açıklarını ve açmazlarını anlatmıştınız. Bu seçimlere yenilenmiş bir sistemle mi giriyoruz?

Hayır, o raporda anlattığımız eksikliklerin hiçbiri giderilmedi.

Bu sisteme ne kadar güvenebiliriz?

Güvenemeyiz çünkü teknolojik ve işletim olarak sistemi güvensiz kılan iki temel nokta var. Sistemin altyapısı Ankara’da, Yüksek Seçim Kurulu içindeki bir data-center üzerinde kurulu.

Bu altyapıda büyük bir problem yok. Ancak, İlçe Seçim Kurullarında kullanılan teknolojik altyapı yani Windows İşletim Sistemi için aynı şeyi söyleyemeyiz. Burada kullanılan yazılım teknolojileri, dünya standartlarında bakarsak; teknolojik güvenlik, virüs atakları ve insan hatalarından kaynaklanan güvenlik sorunlarına daha açıktır.

VİRÜS ATAĞI YAPILAN SİSTEM

Bu teknolojik açıklık neye sebep olabilir?

Dünya istatistiklerinde en çok virüs atağı yapılan işletim sistemi Windows’dur. Bu kadar hassas bir işlemin yapıldığı yerde kullanılan işletim sisteminin virüse açık olması, büyük bir problemdir.

Kullanıcının oraya virüs bulaştıracağından bahsetmiyorum ama her türlü teknolojik yazılım atağının yapılacağı bir platformdur burası.

Birinci açık buradan başlıyor. Diğeri ise UYAP ağıdır. Bütün SEÇSİS, UYAP ağı üzerinden çalışıyor ve bu da Adalet Bakanlığı’nın kapalı ağıdır.

İdari olarak YSK bağımsız olmasına rağmen UYAP’ın ağının kullanılması, teknolojik problem yaratıyor. Adalet Bakanlığı üzerinden, kötü niyetli olarak bir şey yapılmak istenirse -ki tamamen nesnel bir şey söylüyorum- bu ağa girilebildiği için, teknolojik olarak müdahale yapılabilir.

'MÜDAHELE BİLİNEBİLİR'

Bu müdahaleleri tespit etmek mümkün mü?

Teknolojik olarak mümkün. Sistemin diğer önemli eksikliği ise seçim gecesi, İlçe Seçim Kurullarındaki görevlilerin bilgileri girmesiyle başlıyor.

Girilen verilerin doğruluğunun denetlenmesi, ancak bu bilgiler girildikten sonra yapılıyor. Oysa bu bilgiler daha girilmeden, konsolidasyon aşamasında da elektronik olarak denetlenebilir. Böyle bir teknoloji de uygulayabilir devlet.

Sandıklarda bu bilgiler teknolojik olarak ayrıştırıldıktan sonra, işte tam o noktada, İlçe Seçim Kurullarına veriler elle giriliyor. Burada manipülasyona uğrama riski var.

Bir müşahitlik sistemi var fakat sandık korunduktan sonra ortaya çıkan döküman, elle sisteme dahil oluyor. Sandık dokümanı oluştuktan sonra da bunu elektronik olarak yapabilir ve manipülasyonu önlersiniz. Bunun da teknolojisi var aslında. Alt alta koyduğumuzda sistemde 7-8 kadar potansiyel güvenlik açığından söz edebiliriz. Ancak devlet bunları önlemek için bir şey yapmıyor ve sistem bütün açıklarıyla öyle ortada duruyor.

Kim denetleyebilir bu durumu?

Şu anda idari olarak böyle bir denetleme yok. YSK, ‘biz denetlemek için şunu, şunu, şunu yapıyoruz’ diyor ama söyledikleri şey, kendi kendilerini denetlemeleridir. Bir kurumun kendi kendini denetlemesi ne kadar uygundur? Dolayısıyla dışarıya açık bir denetim yok.

Seçim günü yapılan bütün işlemler, özellikle İlçe Seçim Kurullarında yapılan işlemlerde, sandıklar konsolide edildikten sonra bilgi girişi yapılır. Bütün bu bilgi girişlerinin denetimleri YSK’nin data-center’inde konsolide edilir ve o gece yapılan bütün veri tabanı işlemleri ayrıca loglanır. Yapılan bütün veri tabanı işlemleri, SEÇSİS uygulamasının dışında loglanabilir. Biz de diyoruz ki o veri tabanının logları bağımsız bir denetçi tarafından denetlensin.

Bu bağımsız denetimi nasıl bir organizasyon yapabilir mesela?

TÜBİTAK olabilir ya da bankalar örneğinden gidersek; bankalar BDDK kurallarına tabidir ve kullanıcıların bankalarda yaptığı tüm işlemler, içerideki başka yazılımlar tarafından denetlenir.

Hem banka tarafından hem de banka dışından denetlenir. Bankalar, BDDK tarafından buna zorlanır ve onlar da bankacılık yapabilmek için bu denetimi yaptırırlar.

Devlet bütün kurumlarını, BDDK benzerindeki gibi bu çeşitli güvenlik koşullarını yapmaya zorlarsa YSK de kendi sisteminde bu koşulları oluşturmak zorunda kalacaktır.

O zaman da denetlenebilir olacaktır. Bağımsız bir bilgi işlem denetimi organizasyonunun mutlaka olması ve bu kurumun sadece YSK değil, SGK, Adalet Bakanlığı, UYAP, Sağlık Bakanlığı gibi önemli yerlerin sistemlerini de denetleyebilmesi lazım.

‘DENETLEME SİYASİ KARAR’

Bu denetleme kuruluşlarının oluşturulmaması siyasi bir karar mı yoksa teknolojik bir yetersizlik mi söz konusu?

Asla teknik yetersizlik olduğunu düşünmüyorum. Bir sürü kamu organizasyonunun teknik altyapıları oldukça iyi altyapılardır ve personeli de yeterlidir. Bunun yapılmamasının siyasi bir karar olduğunu düşünüyorum.

Avatar
Adınız
Yorum Gönder
Kalan Karakter:
Yorumunuz onaylanmak üzere yöneticiye iletilmiştir.×
Dikkat! Suç teşkil edecek, yasadışı, tehditkar, rahatsız edici, hakaret ve küfür içeren, aşağılayıcı, küçük düşürücü, kaba, pornografik, ahlaka aykırı, kişilik haklarına zarar verici ya da benzeri niteliklerde içeriklerden doğan her türlü mali, hukuki, cezai, idari sorumluluk içeriği gönderen Üye/Üyeler’e aittir.