Seçim Güvenliği Raporu 1:
Yüksek Seçim Kurulu – SEÇSİS Sistemi hakkında değerlendirme ve öneriler
Giriş
Seçim güvenliği kavramı üç başlıkta ele alınabilir:
1) Seçmen kütüklerinin hazırlanması
2) Oy kullanılması
3) Kullanılan oyların sayılması, toplanması, değerlendirilmesi ve saklanması.
Seçim güvenliğinin yukarıdaki bütün altbaşlıklarıyla beraber ne kadar fazla gerçekleşip gerçekleşmeyeceği siyasi karar ve beraberinde iyi bir örgütlenme gerektirir. Özellikle birinci ve üçüncü aşamalarda bilgi işlem sisteminin çok özel bir yeri vardır. Bu raporda özellikle üçüncü aşamada, bilgi işlem seviyesinde, karşılaşılan eksiklikler ve çözüm önerilerine odaklanılmıştır.
Geçtiğimiz yıllarda ve seçimlerde, sonuçların değiştirildiği veya yeniden düzenlendiği şüphesiyle karşılaştık. Hatırlanırsa 2007 Temmuz ayında yapılan seçimlerde gece saat 23.00’den sonra oy dağılımının süratle iktidar partisi lehine çevrilmesi akıllarda önemli şüpheler bırakmıştı. Şehir dışındaki tarlalarda üzerinde “evet” oyu basılmış oy pusulalarının bulunması da bu şüpheleri arttırmıştı.
Geçmiş seçimler geçmişte kaldı ve sonuçlar YSK tarafından onaylandı. Bu nedenle, eskiden olanları değil önümüzdeki seçimleri düşünerek mevcut seçim sistemi teknolojisini inceleyen ekteki rapor, önerilerle birlikte hazırlanmıştır.
Bu çalışmanın amacı 2013 yılından itibaren yapılacak seçimlerde, mevcut seçim teknolojisinin olası eksiklerini ve yapılması gerekenleri öneriler şeklinde ortaya çıkarmak ve kamu ile paylaşmaktır. Olası seçim hilelerine karşı bir dizi önlemlerin neler olabileceği konusunda öneriler hazırlayarak tüm siyasi partilerin ve Yüksek Seçim Kurulu(YSK)’nun bilgisine sunarak halkımızın zihninde oluşan şüpheleri en aza indirmeye çalışmak ve daha iyimser bir tahminle ortadan kaldırmaktır.
Bu önerilerden tamamen veya kısmen yararlanmak YSK’nın seçimine bağlıdır. Ancak, seçimlerin Anayasa ile “bağımsız yargı” güvencesine alındığı, bağımsız yargının da en küçük kuşkuyu bile içinde barındırmayan yargı olduğu unutulmamalıdır. Seçimler, hiçbir kuşkuya yer vermeyecek açıklık ve netlikte olmalı, YSK da bu güvenceyi sağlamalıdır.
Çeşitli kişi ve kuruluşlarca sanal ortamda ortaya atılan iddiaların bazıları
1. Bazı iddialara göre YSK’nın geçen seçimlerde kullandığı işletim sistemi programı Avrupa’da terk edilmiştir. Çünkü bu programa dışarıdan müdahale edilmesine olanak sağlayan açıklar ABD seçimlerinde basına yansımıştır. Almanya 2009 yılında bu sistemin güvenli olmadığını anlayarak sistemden vazgeçmiş, Yunanistan ise şaibeli gördüğü bu program için Almanya’nın yolundan gitmiştir.
2. Özellikle kırsal bölgelerdeki sandık sonuçları tutanaklarından bazıları ilçe seçim kuruluna getirilirken yolda değiştirilmiştir. Delil sayılacak geçerli oy pusulaları etrafa atılmış yerine önceden basılan sahteleri yerleştirilmiştir.
3. Sandık başlarında görevli muhalefet partisi temsilcilerinden bazıları diğer partilerin değil sadece kendi siyasi partilerinin sonuçlarını not etmişlerdir. Kendilerine sandık sonucu tutanaklarının bir resmi kopyası verilmemiştir.
4. Oy verenlerin parmaklarının eskiden olduğu gibi silinemeyecek şekilde boyanmaması bazı kritik bölgelerde mükerrer oy verilebilmesine olanak tanımıştır.
5. Tutanakların, veri girişiyle ilçe, il ve nihayetinde ülke çapında birleştirilmesi sırasında, ekrana yansıyan sonuçlarla oynanabilmekte, bu sonuçlarla tutanakların oy pusulalarının karşılaştırması yapılmamaktadır.
Türkiye'de Kullanılan Sistemin Özellikleri
- YSK ile ilçe seçim kurulları arasındaki bağ Adalet Bakanlığı'nın kontrolündeki UYAP üzerinden yapılmaktadır.
- YSK merkezinde mevcut kurulu ana bilgisayar Oracle Sun yazılım ve donanımıdır.
- İlçe seçim kurullarında ise Windows İşletim Sistemi yüklü standart bilgisayarlar kullanılmaktadır.
- ORACLE ve RAC Agent veri tabanı ile Havelsan tarafından geliştirilmiş olan Java (J2EE) uygulamalı SEÇSİS yazılımı yüklüdür.
- SEÇSİS, 1986'da Hacettepe Üniversite'since oluru alınmış bir proje ve oldukça eskiye dayanıyor. Projenin yasal dayanağı 298 Sayılı Seçimlerin Temel Hükümleri ve Seçmen Kütükleri Hakkında Kanun’dur.
- 1987 yılında Sistem Çözümleme ve Tasarım Raporu hazırlanmış, 1988 yılında ilk pilot uygulama olarak Ankara’nın Çankaya, Bala, Şereflikoçhisar ilçelerinde seçmen yazımı yapılmış ve prototip bir yazılımla halkoylamasında kullanılmıştır.
- 1989 yılında, aynı Üniversite tarafından hazırlanan SEÇSİS Projesi Olurluluk Raporu Yüksek Seçim Kurulu’nca kabul edilmiş ve 2004 yılına değin kullanılan “çevrim-dışı” (off-line) SEÇSİS Sisteminin geliştirilmesi kabul edilmiştir. Yani Seçim sonuçları, Ankara'ya fiziksel olarak ulaştırılıyor ve burada veri girişi yapılarak, seçim sonuçları ve istatistikler merkezi olarak işlenip ortaya çıkıyor.
- Gelişen bilişim teknolojisine paralel olarak, çevrim-dışı bu uygulama ile projenin etkin ve verimli çalışmayacağı görülerek 2005 yılında, ilçelerin web tabanlı çevrim-içi çalışmasına imkan veren günümüz teknolojisine uygun yapıya geçiş kararlaştırılmıştır. Bu süreçteki en önemli özelliklerden birisi MERNİS KPS sistemi ile bütünleşik çalışma özelliği. Ayrıca seçim sonuçlarının ilçelerden merkeze hızlı ve güvenilir aktarılması da bir hedef olarak belirlenmiş.
- Tüm il ve ilçe seçim kurullarındaki uç bilgisayarların veri tabanına ulaşmaları VPN (Virtual Private Network / Sanal Özel Ağ) üzerinden sağlanmaktadır.
- Sunucuların, aktif ağ cihazlarının ve güvenlik sisteminin merkezden izlenmesi için CA firmasının yazılımları kullanılmıştır.
- SEÇSİS omurga ve portal anahtarı, portal güvenlik duvarı, portal saldırı tespit ve korunma sistemi, portal yük dengeleyici olarak Cisco ürünleri kullanılmıştır. Portal için ayrı bir antivirüs sistemi mevcuttur.
- En önemli güvenlik önlemi, Kuruma özgü SEÇSİS Uygulama ve halka açık SEÇSİS Portal sistemlerinin birbirinden tümüyle bağımsız bir yapıda tasarlanmış olmasıdır. Sistem; Internet’e dayalı SEÇSİS Portal Sistemi ile SEÇSİS Kurum ağı olarak 2 bölümden oluşuyor yani birbirlerinden bağımsız iki ortam var. Portal yani www.ysk.gov.tr Internet'e açık olan, YSK kurum bilgilerinin ve duyuruların kamu ile paylaşıldığı altyapı, Kurum Ağı ise INTERNET'E KAPALI, Adalet Bakanlığı'nın kapalı ağı olan UYAP'ı kullanan bir başka altyapı.
- UYAP üstünden aktarılan YSK verilerinin, VPN (Virtual Private Network) yöntemiyle kriptolanarak, VPN tünelleri içinden taşınması yolu benimsenmiştir. Bu sayede, YSK verilerinin ilçe-merkez arasında taşınması sırasında görüntülenmesi, değiştirilmesi ve bozulması önlenmektedir. Adalet Bakanlığı, Hükümet içinde siyasi otoritenin kontrolünde olan bir kurum, YSK ise siyasetten uzak olması gereken bir başka kurum. Bu bağlamda YSK hiç olmaması gerektiği halde, sadece finansal gerekçeler gösterilerek, VPN ve sertifika gibi teknik çözümler geliştirilerek, UYAP'ı kullanıyor. Her ne kadar VPN ve sertifika olanakları ile UYAP ağından yalıtık olduğu ve güvenli olduğu söylense de, gerçekten birbirinden fiziksel olarak apayrı olan ağların sağlayacağı güvenlik seviyesi ve yalıtımın oluştuğu söylenemez. Bu da şimdiye kadar her seçimde SEÇSİS'e getirilen eleştirilerden oldu.
- Kullanıcı şifre denetimi vardır. Bir kullanıcı adı ile sadece bir bilgisayarda çalışılabilir. Şifreler, personelin unvanlarına ve yapacakları görevlere göre verilmektedir. Bu yolla, hangi sisteme kim ne zaman girdi, hangi işlemi ne zaman yaptı gibi, soruşturmalarda yararlanılacak izleme (log) bilgileri işlem düzeyinde tutulmakta, bunlardan sıkça görülmesi istenenler uygulama yazılımının “Geri İzleme” bölümünde ekrandan yetkili personelce görülebilmektedir.
- Merkezdeki “Sistem Yönetim Yazılımı”, farklı sistemlere girişlere ilişkin izleme kütüklerini merkezi olarak saklamakta ve bunlar üzerinde çeşitli sorgulamaları kolay ve bir bütün olarak yapmaya izin vermektedir. Bu altyapı sayesinde, Kurum dışından gelebilecek (dış) tehditlerin yanı sıra, Kurum içinden gelebilecek (iç) tehditlere karşı da etkili önlem alınmış olmaktadır.
- SEÇSİS Uygulama Sistemi özel bir kurum ağına dayalıdır. Bu nedenle, herkese açık Internet’e özgü güvenlik tehditleri bu ağ için söz konusu değildir. Ancak, Merkezdeki sunucu bilgisayar sistemleri UNIX/LINUX işletim sistemi altında çalışıyor olsa da, MS Windows XP işletim sistemi altında çalışan ilçelerdeki uç bilgisayarların virüs ve benzeri kötü niyetli yazılımlar taşıyabilme potansiyeli düşünülerek, SEÇSİS Uygulama Sisteminin ağ girişine, güçlü bir virüs tarama yazılımı da monte edilmiştir. İlçelerden Merkeze aktarılan tüm veriler, her olasılığa karşı, bu virüs tarayıcıdan geçerek sisteme ulaşabilmektedir. Merkezi Bilgisayar sistemi Unix tabanlı ve virütik saldırılara kapalı olduğu söylense de uç noktalarda ki Windows tabanlı bilgisayarlar her zaman bu tip saldırılara açıktır. Bu da olası bir başka güvenlik açığını beraber getirmektedir. ABD için çalışırken "köstebek" haline gelen ve ABD istihbaratının dünya çapındaki skandallarını ortaya çıkartan Edward Snowden, bilişim dünyasının tekeli Microsoft'un da istihbarat servislerine yardımcı olduğunu söyledi. Guardian'ın Snowden'den elde ettiği belgelere göre, Microsoft hem Ulusal Güvenlik Servisi (NSA), hem de FBI ile koordineli çalışıyor.
- SEÇSİS Merkezi Seçmen Veri Tabanı, sistemde, hataya dayanıklı RAID (1+0) yapısında, yüksek sığalı (10TB) Anlayışlı Disk Sistemi üzerinde tutulmaktadır. Bu yüksek sığa sayesinde, veri tabanı, disk üstünde sık sık yedeklenmekte ve birden çok kopya olarak saklanmaktadır. Bunun yanı sıra, sistemdeki tüm veriler, günde 3 kere disk sisteminden bağımsız teypler üstünde de otomatik olarak yedeklenmektedir. Bu teyplerin bir kopyası, coğrafi olarak, başka bir mekanda da tutulmakta ve bu yolla, sistemi (sel, deprem, yangın, vb.) felaketten kurtarma olanağı da yaratılmaktadır.
- SEÇSİS Portal Sistemi, adından da anlaşılacağı üzere, halka, dolayısıyla Internet’e ve dış saldırılara açık bir sistemdir. Bu nedenle, saldırı tespit ve koruma, güvenlik duvarı ve virüs koruma sistemleridir.
- Saldırı tespit ve koruma sistemi, SEÇSİS Portal Sisteminin Internet’e bağlantı noktasında yer alıp, UNIX/LINUX işletim sistemleri altında çalışan Portal Veri Tabanı ve Uygulama Sunucularına, dış dünyadan sızmaları önlemek için öngörülmüştür. Bunun yanı sıra, Portal sistemindeki veriler “salt okunur” nitelikte öngörülmüş olup değiştirilmeleri engellenmektedir. Saldırı tespit sistemi, daha çok Portal Sisteminin bütünlüğü (integrity) ile kullanılabilirliğine (availability) karşı ve izinsiz giriş (unauthorized login) tehditlerine yönelik düşünülmektedir.
- Portal sistemi, SEÇSİS Uygulama Sistemine özgü, Seçmen ve Seçim Sonuçları gibi veri tabanlarından üretilmiş “kopya” veri tabanlarını kullanmaktadır. Bu verilerin bir biçimde bozulmuş olması SEÇSİS Uygulama Sisteminin veri bütünlüğüne yönelik herhangi bir tehdit de oluşturmamaktadır.
- Güvenlik duvarı (Firewall), saldırı tespit ve koruma sistemi gibi, SEÇSİS Portal Sisteminin Internet’e bağlantı noktasında yer almaktadır. TCP/IP sistem ağ yazılımlarının güvenlik açıklarından kaynaklanan saldırılara yönelik öngörülmüş olup gerekli tüm filtrelemeler ile erişim denetimleri bu sistem sayesinde gerçekleştirilmektedir.
- Portal sisteminin Internet’e bağlantısı, aynı zamanda Kurumun (YSK’nın) Internet’e bağlantısı olarak da kullanılmaktadır. Güvenlik Duvarı ve Virüs Koruma Sistemlerinden, Kurum içi kişisel uç bilgisayar sistemlerinin güvenliği amacıyla da yararlanılmaktadır.
- Portal Sistemi, seçmenlere ve kurumlara çeşitli sorgulamaları yapabilme olanağı sunmaktadır. Bu amaçla, öngörülen sorgulama seçeneklerinin üstünde, örüntü tanıma yönünden yeterli karmaşıklıkta, resim görünümlü bir damga (karakter) dizgisi de yer almakta ve kişiler bu dizgide yer alan 7 karakteri ilgili alana girerek sorgulama yapabilmektedir. Bu önlem sayesinde, kötü niyetli kişilerin, otomatik tarama yapan yazılımlarla Portal Sisteminin kullanılabilirliğine tehdit oluşturmaları engellenmektedir.
Süreç kısaca şöyle işlemektedir: İlçelerdeki seçim kurullarında toplanan bilgilerin, UYAP üzerinden kurum ağına bağlı terminaller ile aktarılması, verilerin merkezde konsolide edilmesi ve sonuçların duyurulması olarak özetlenebilir. Sonuçlar portaldan (ysk.gov.tr) açıklanırken, bu iki sistem arasında TEK YÖNLÜ, yani kurum ağından, portala olan veri akışı vardır. Dolayısı ile Internet'e açık olan portala yapılacak bir siber saldırının kurum ağını etkilememesi gerekir. Herhangi bir anda "Siber atak" bahane edilerek sonuçların hesaplanması gecikti açıklaması, YSK'yı töhmet altında bırakır ve çelişkilidir.
Kurumun Java uygulama kodları ve veritabanı bağımsız denetime açık değildir. Başta finans alanı olmak üzere, bütün kritik veri merkezleri sistem altyapılarını, güvenlik sistemlerini bağımsız denetime açar. Bir kurumun kendi kendini denetliyor olması, denetim yaptığı anlamına gelmeyecektir. Bu anlamda özellikle seçim günleri, 24 saatlik veri tabanı loglarının bağımsız denetçiler ve uzmanlar tarafından incelenmesi veya incelenmeye açık olması gerekir. Bu loglar sistemde gerçekleşen bütün veri değişiklik hareketlerini kapsadığından olası veri değişikliği ihlallerinin en azından caydırıcı olmasını sağlayabilir. Sisteme yapılacak saldırılar sadece dış kaynaklı olmaz. İçerden gelecek saldırıların da denetlenebilir olması için bu düzenlemenin yapılması gerekir.
2009 yılında Internet Teknoloji'leri Derneği'nin bir tavsiye kararı vardır. Buna göre özellikle seçimin yapıldığı gün şaibeleri ortadan kaldırmak için siyasi partilere sisteme giriş ve izleme yetkisinin verilmesinin doğru olacağı belirtilmiştir. 2011 Genel seçimlerinde ilk defa böyle bir düzenlemenin yapıldığı açıklandı. 2007 Genel - 2009 Yerel - 2010 Referandum seçimlerinde yapılmayanın 2011'de yapıldığını gördük. Bunun nasıl işlediğini izleyeceğiz.
SEÇSİS’in mevcut teknolojik altyapısı ve işleyişini düşününce genel olarak öneri paketimizi şu şekilde sıralıyoruz.
1. Sistem dışarıdan yapılacak bağımsız denetime kapalı tutulmaktadır. Bir bütün olarak, YSK’nın yazılım, donanım, ağ, üretim ve güvenlik gibi bütün parçalarının, bütünlükçü bir şekilde bağımsız denetime açılması ve bu raporların kamu ile paylaşılması gerekir. Bağımsız denetim, seçime giren siyasal partilerin de katılacağı bir eşgüdüm içinde belirlenen, güvenilirliği konusunda kuşku taşımayan denetim kurumlarınca (Üniversiteler ya da meslek odaları da olabilir) yapılmalıdır. Yazılımı geliştiren kurum Havelsan olmasına rağmen, yazılımın mülkiyeti YSK’ya aittir. Dolayısı ile bu denetimin olurunun YSK’dan gelmesi gerekir.
2. SEÇSİS yazılım kodlarının, arka plandaki Veri Tabanı Modeli’nin, bağımsız denetime açılması, kod içindeki algoritmaların, veriyi değiştiren komutların denetlenmesi gerekir. Yazılımın dışarıdan ve bağımsız bir denetimi yapılmamıştır. Şifreleme işlemlerinin ve bir bütün olarak sistemin güvenliği ve güvenilirliğine ilişkin sertifikalar alınmamıştır.
3. SEÇSİS projesinde kullanılan veritabanı (bilgilerin toplandığı yer) yazılımı Java teknolojisi destekli Oracle’dır. Yazılım güvenliği açısından bakıldığında, Oracle en ciddi ve bu konudaki en önemli şirketlerden biri ise de, güvenlik açıkları mevcuttur, sürekli güncellemeler/güvenlik yamaları yayınlamaktadır.
http://www.securityweek.com/oracle-issues-89-security-fixes-july-2013-critical-patch-update
http://www.oracle.com/technetwork/topics/security/alerts-086861.html#SecurityAlerts
4. Seçim dönemlerinde, VeriTabanı değişikliklerinin ayrıca tutulduğu Logların, saklanması, bu logların deşifre edilmesi ve bu çözümlemenin bağımsız denetçiler tarafından yapılması, gerekirse meslek odalarının (Bilgisayar Mühendisleri Odası gibi) bu işe dahil olması gerekir.
5. Uygulama kodları dışında, VeriTabanı’na tanımlı herhangi bir "TRIGGER" set edilmiş mi? Bu triggerlar Seçim gecesi, ilçelerden gelen kayıtları veritabanına “INSERT” eden uygulamalar dışında “DELETE” ve “UPDATE” işlemi de yapıyorlar mı? Bunların araştırılması, sorgulanması gerekir.
6. Veri Tabanına, SEÇSİS uygulaması dışından yapılan bütün erişimlerin çok sıkı denetlenmesi, mümkünse iptal edilmesi gerekir.
7. Seçim dönemlerinde, sistem üzerindeki veri akışını, sadece okuma amaçlı olarak, bütün partilerin izlemesine açmak, gerekirse buradaki verinin anlık olarak partilerle paylaşımını sağlamak, veriyi kayıt yaptırmış partilerin, kurumların indirebilmesini sağlayacak arayüzler gerekir.
8. SEÇSİS’in UYAP ağından çıkartılarak, kendisine ait bir kapalı ağ kurulması gerekir.
9. İlçe seçim kurullarındaki terminallerde, tüm ülkelerin devlet projelerinde kullandığı Linux işletim sistemleri yerine güvenlik nedeniyle ülkelerin kullanmaktan çekindiği Windows işletim sistemleri kullanılmaktadır. TÜBİTAKın geliştirdiği ve ulusal yazılım olan PARDUS-Linux işletim sistemini kullanmak yerine, il ve ilçe seçim kurullarında Windows işletim sistemleri kullanılmasının hem maliyet hem de güvenlik riskleri vardır. Windows işletim sistemleri ve bu sistem üzerine kurulu ağ ortamları yıllardır kolaylıkla “hackerler” tarafından delik deşik edilmektedir.
10. Mevcut yazılıma dışarıdan bir Script ile müdahale edilebilir ve anayazılımın ve işletim sisteminin bu yabancı yazılımı algılayarak ikaz verme gibi bir yeteneği mevcut değil. Yazılımın güvenliği tamamıyla Solaris işletim sisteminin ve Oracle ın kendi güvenlik seviyeleriyle sınırlıdır. SEÇSİS yazılım sistemi üçüncü bir güvenlik/kontrol yazılımıyla içsel olarak korunmamakta ve/veya çalışmasının doğruluğu kontrol edilmemektedir.
11. İl ve ilçe seçim kurulları ile SEÇSİS ana bilgisayar bağlantıları konusu çok önemli. Ama bundan da önemlisi sandık sonuçlarının bilgisayarlara nasıl girileceğidir. Bunun için partilerin veya bağımsız bir kurumun merkezî önlem alması yetmez, yerel teknik önlemler de gerekir. Oy sandıkları refakatçi olmadan polise verilmemeli, bizzat refakat edilerek ilgili merkezlere götürülmeli ve birkaç imzalı tutanakla teslim edilmeli.
12. Altı çizilmesi gereken bir diğer husus sandık görevlilerinin sadece kendi partilerinin sonuçlarını değil, bütün partilerin sonuçlarını almaları, zira iktidar partisi diğer parti oylarını ilçe ya da il seçim kurullarında kendine yazdırabilir. Böyle bir risk her zaman mevcuttur. Buradan hareketle, mümkünse seçim bölgelerinde oyları yansıtacak şekilde ayrı internet portalleri oluşturmak gibi önlemler almalı ya da başka araçlar bulmalıdır.
13. Gizli oy açık sayım sistemi, sadece sandık başlarında uygulanmaktadır. Sandıklar açıldıktan sonra yapılan ve tutanaklara geçirilen açık sayım, sandık bazında geçerli olmakla birlikte, tutanakların birleştirilmesi, diğer deyişle tutanaklara geçen sandık bazındaki oyların birleştirilmesi ve veri tabanına işlenmesinde açık sayım kuralı uygulanmamaktadır. Bu süreç, YSK’da geçici olarak görevlendirilen kamu görevlileri tarafından yapılmaktadır. Bu kamu görevlileri, siyasal iktidarın memurlarıdır. Açık sayım sandık başında bitmektedir. Oysa sayım, sandık başında tamamlanmamaktadır. Oyların birleştirilmesi de sayımın bir parçasıdır. Bu konuda gerekli önlemler alınmalıdır.
14. Sahte seçmen yazımı ve oy kullanımı olayı çok önemlidir ve hiç kuşkunuz bu durum yeniden denenebilir. Özellikle kırsal kesimde bu konuya dikkat etmek gerekir. İlan edilenle gerçek arasındaki farkı göstermek için sandık sonuçlarının son imzalı halleriyle, her sandıkta hazırlanacak ıslak imzalı sandık tutanaklarının fotoğraflarının çekilmesi gerekir. Günümüz olanaklarıyla bu iş sayısal fotoğraf makineleri veya akıllı telefonlarla kolayca yapılabilir. Daha sonra bir veya birkaç partinin bir araya gelmesi ile oluşturulacak bir merkezi bilgisayara e-posta yolu ile gönderilebilir. Buradan da bir portal üzerinden anında kamu ile paylaşılabilir. Bunun teknolojik altyapısı ve örgütlenmesi yapılarak, YSK’ya gönderilen seçim sonuçlarının anlık değerlendirilmesi yapılmalıdır. YSK’dan çıkabilecek farklılıklarda çekilen fotoğrafların delil/belge olarak saklanması çok önem kazanacaktır. Aşağıdaki gibi bir oynama olasılığı her zaman mevcuttur
Bilgi İşlem Denetimi açısından mevcut seçim sistemin güvenirliliğinin değerlendirilmesi.
İmar Bankası olayından sonra hükümet tüm bankaların mali ve bilgi işlem açısından denetlenmesini kararlaştırılmıştır. Bu nedenle resmi bir kuruluş olan BDDK (Bankalararası Düzenleme ve Denetleme Kurulu) kurulmuştur. BDDK yukarıda belirtildiği gibi bankaları hem mali hem de bilgi işlem açısından denetleme yetkisine sahiptir Bilgi İşlem denetimi tüm Dünyada yaygın olarak kullanılan ISACA firmasının geliştirdiği Cobit standartlarını uygulayarak denetlemektedir.
Tanım olarak CobiT, “Control Objectives for Information and Related Technology”nin kısaltılmış halidir. Türkçe ifade etmek gerekirse “Bilgi ve ilgili teknoloji için kontrol hedefleri”. Bu tanım, CobiT’in amacını ifade etmesi açısından önemlidir. CobiT, Bilgi Teknolojileri yönetiminde ulaşılması gereken hedefleri ortaya koymaktadır.
CobiT’i, diğer standartlardan ayıran en büyük özelliği tüm Bilişim Teknoloji (BT) fonksiyonlarını kapsayan bir çerçeve sunmasıdır. Farklı şekilde ifade etmek gerekirse CobiT içerisinde yer alan 34 süreci bir arada değerlendirdiğinizde BT yönetiminin her alanını kapsama almış olursunuz. Bu nedenle diğer standartlardan farklı şekilde, CobiT’in tek veya grup halinde BT süreçlerine değil BT’nin yönetilmesine odaklandığını söylemek doğru olur.
Bankalar BDDK’nın yetki verdiği genelde Türkiye’de yerleşik yabancı kökenli özel BT denetim firmalarınca Cobit standartlarına uygun olarak denetlenmektedirler. Riskler Denetçi tarafından önem derecelerine gore Yüksek, Normal ve Düşük Risk olarak değerlendirilirler. Denetçi, denetlenenin faaliyetlerinde kullandığı uygulamalara ait riskleri derecelendirmek için bir risk matrisi oluşturur. Uygulamalardan kaynaklanan risklere ait bu matriste uygulamaların önemlilik derecesi, uygulamalarla bütünleşik riskler, genel kontrol alanlarının ve uygulama kontrollerinin etkinliği, yeterliliği, olgunluk seviyeleri ve denetlenenin uygulamalardan kaynaklanan net riski gibi hususlar değerlendirilir.
Önerimiz: Yüksek Seçim Kurulu kararıyla oluşacak BDDK benzeri resmi bir kuruluşun seçim sisteminin Bilgi İşlem dahil tüm süreçlerinin denetlenmesini sağlamaktır. Bu konuda yetkilendirilmiş bağımsız BT denetim firmalarına denetlendirilmesi ve sonuçlarının YSK ve tüm siyasi parti yetkililerine gönderilmesinin sağlanmasıdır. Bütün denetçilerin hiç bir siyasi partiye üye olmamaları, CISA sertifikası sahibi ve en az 5 yıl bilgi işlem denetim tecrübesi olmaları şarttır.
Burada en önemli nokta bir devlet kuruluşundaki bazı süreçlerin bağımsız denetim firmalarınca denetiminin sağlanmasıdır. Aynen resmi bankalardaki süreçlerin de diğer özel bankalar gibi bağımsız denetim firmaları tarafından çok yakından denetlenmesidir.
BT kaynaklı seçim hileleri konusundaki kafamızdaki şüpheler bu şekilde azalabilir.
Hazırlayanlar
Cüneyt Göksu, Bilgisayar Yük. Mühendisi
Kaya Güvenç , TMMOB Başkanı
Ali Rıza Aydın, Anayasa Mahkemesi Eski raportörü
Bilişim ve hukuk çevrelerinden onlarca gönüllü dost.
