12 Haz 2011

Seçim Bilgi Sistemi Hakkında...




Yüksek Seçim Kurulu'nun (YSK), Bilgisayar Destekli Merkezi Seçmen Kütüğü Sistemi olan SEÇSİS hakkında Ulusal Kanal ve CNN Türk'un Ana Haber bültenlerine ve çeşitli programlara konuk edildim. Bu süreci yaşarken yaptığım araştırmalardan öğrendiklerimi aşağıda bulabilirsiniz.

Bunların bir kısmının doğruluğu, YSK'nın internet sitesinden alınan bilgilerle koşuttur.

SEÇSİS, 1986'da Hacettepe Üniversite'since oluru alınmış bir proje oldukça eskiye dayanıyor. 2004'e kadar çevrimdışı (offline) olarak çalışıyor. Yani sandık bilgileri Ankara'ya fiziksel olarak ulaştırılıyor ve burada veri girişi yapılarak, seçim sonuçları ve istatistikler merkezi olarak işlenip ortaya çıkıyor.

2005'den sonra web tabanlı ve çevrimiçi (online) olarak çalıştırılması için prensip kararı alınıyor ve projelendirilip hayata geçiriliyor. Bu süreçteki en önemli özelliklerden birisi MERNİS KPS sistemi ile bütünleşik çalışma özelliği. Ayrıca seçim sonuçlarının ilçelerden merkeze hızlı ve güvenilir aktarılması da bir hedef olarak belirlenmiş.

Sistem; Internet’e dayalı SEÇSİS Portal Sistemi ile SEÇSİS Kurum ağı olarak 2 bölümden oluşuyor yani birbirlerinden bağımsız iki ortam var. Portal yani www.ysk.gov.tr Internet'e açık olan, bazı kurum bilgilerinin ve duyuruların kamu ile paylaşıldığı altyapı, Kurum Ağı ise INTERNET'E KAPALI olan, Adalet Bakanlığı'nın kapalı ağı UYAP'ı kullanan bir başka altyapı.

Adalet Bakanlığı siyasi otoritenin kontolünde olan bir kurum, YSK ise siyasetten uzak olması gereken bir başka kurum. Bu bağlamda YSK hiç olmaması gerektiği halde, sadece finansal gerekçeler gösterilerek, VPN ve sertifika gibi teknik çözümler geliştirilerek, UYAP'ı kullanıyor. Her ne kadar VPN ve sertifika olanakları ile UYAP ağından yalıtık olduğu ve güvenli olduğu söylense de, gerçekten birbirinden fiziksel olarak apayrı olan ağların sağlayacağı güvenlik seviyesi ve yalıtımın oluştuğu söylenemez. Bu da şimdiye kadar her seçimde SEÇSİS'e getirilen eleştirilerden oldu.

Merkezi Bilgisayar sistemi Unix tabanlı ve virütik saldırılara kapalı olduğu söylense de uç noktalarda ki Windows tabanlı bilgisayarlar her zaman bu tip saldırılara açıktır. Bu da olası bir başka güvenlik açığını beraber getirmektedir.

Süreç kısaca; ilçelerdeki seçim kurullarında toplanan bilgilerin, UYAP üzerinden kurum ağına bağlı terminaller ile aktarılması, verilerin merkezde konsolide edilmesi ve sonuçların duyurulması olarak özetlenebilir. Sonuçlar portaldan (ysk.gov.tr) açıklanırken, bu iki sistem arasında TEK YÖNLÜ, yani kurum ağından, portala olan veri akışı vardır. Dolayısı ile Internet'e açık olan portala yapılacak bir siber saldırının kurum ağını etkilememesi gerekir. Herhangi bir anda "Siber atak" bahane edilerek sonuçların hesaplanması gecikti açıklaması, YSK'yı töhmet altında bırakır ve çelişkilidir.

Kurumun uygulama kodları ve veritabanı bağımsız denetime açık değildir. Başta finans alanı olmak üzere, bütün kritik veri merkezleri sistem altyapılarını, güvenlik sistemlerini bağımsız denetime açar. Bir kurumun kendi kendini denetliyor olması, denetim yaptığı anlamına gelmeyecektir. Bu anlamda özellikle seçim günleri, 24 saatlik veri tabanı loglarının bağımsız denetçiler ve uzmanlar tarafından incelenmesi veya incelenmeye açık olması gerekir. Bu loglar sistemde gerçekleşen bütün veri değişiklik hareketlerini kapsadığından olası veri değişikliği
ihlallerinin en azından caydırıcı olmasını sağlayabilir. Sisteme yapılacak saldırılar sadece dış kaynaklı olmaz. İçerden gelecek saldırıların da denetlenebilir olması için bu düzenlemenin yapılması önemlidir.

2009 yılında Internet Teknoloji'leri Derneği'nin bir tavsiye kararı vardır. Buna göre
özellikle seçimin yapıldığı gün şaibeleri ortadan kaldırmak için siyasi partilere sisteme giriş ve izleme yetkisinin verilmesinin doğru olacağı belirtilmiştir. 2011 Genel seçimlerinde ilk defa böyle bir düzenlemenin yapıldığı açıklandı. 2007 Genel - 2009 Yerel - 2010 Referandum seçimlerinde yapılmayanın 2011'de yapıldığı söylendi. Bunun nasıl işlediğini izleyeceğiz.

Yukarıda SEÇSİS sisteminin sadece bir kısmına değinmeye çalıştığım olası güvenlik açıkları hala mevcuttur. Bunlar nekadar azaltılırsa, YSK'nın seçim sürecinin güvenilirliği o kadar artacaktır.

Hiç yorum yok: