Practical Recipes for Daily DBA Activities using DB2 9 and 10 for z/OS
Seçsi̇s sistemi hakkında değerlendirme ve öneriler
1. Seçim Güvenliği Raporu 1:
Yüksek Seçim Kurulu –
SEÇSİS Sistemi
hakkında değerlendirme ve öneriler
Temmuz 2013
2. 4
İçerik
Giriş ………………………………………….. 5
Türkiye'de Kullanılan Sistemin Özellikler………….7
SEÇSİS’in mevcut teknolojik altyapısı ve işleyişini düşününce genel
olarak öneri paketimizi şu şekilde sıralıyoruz…….. 13
Hazırlayanlar: 19
3. 5
Giriş
Seçim güvenliği kavramı üç başlıkta ele alınabilir:
1) Seçmen kütüklerinin hazırlanması
2) Oy kullanılması
3) Kullanılan oyların sayılması, toplanması, değerlendirilmesi ve
saklanması.
Seçim güvenliğinin yukarıdaki bütün altbaşlıklarıyla beraber ne kadar
fazla gerçekleşip gerçekleşmeyeceği siyasi karar ve beraberinde iyi bir
örgütlenme gerektirir. Özellikle birinci ve üçüncü aşamalarda bilgi işlem
sisteminin çok özel bir yeri vardır. Bu raporda özellikle üçüncü aşamada,
bilgi işlem seviyesinde, karşılaşılan eksiklikler ve çözüm önerilerine
odaklanılmıştır.
Geçtiğimiz yıllarda ve seçimlerde, sonuçların değiştirildiği veya yeniden
düzenlendiği şüphesiyle karşılaştık. Hatırlanırsa 2007 Temmuz ayında
yapılan seçimlerde gece saat 23.00’den sonra oy dağılımının süratle
iktidar partisi lehine çevrilmesi akıllarda önemli şüpheler bırakmıştı. Şehir
dışındaki tarlalarda üzerinde “evet” oyu basılmış oy pusulalarının
bulunması da bu şüpheleri arttırmıştı.
Geçmiş seçimler geçmişte kaldı ve sonuçlar YSK tarafından onaylandı.
Bu nedenle, eskiden olanları değil önümüzdeki seçimleri düşünerek
mevcut seçim sistemi teknolojisini inceleyen ekteki rapor, önerilerle
birlikte hazırlanmıştır.
4. 6
Bu çalışmanın amacı 2013 yılından itibaren yapılacak seçimlerde,
mevcut seçim teknolojisinin olası eksiklerini ve yapılması gerekenleri
öneriler şeklinde ortaya çıkarmak ve kamu ile paylaşmaktır. Olası seçim
hilelerine karşı bir dizi önlemlerin neler olabileceği konusunda öneriler
hazırlayarak tüm siyasi partilerin ve Yüksek Seçim Kurulu(YSK)’nun
bilgisine sunarak halkımızın zihninde oluşan şüpheleri en aza indirmeye
çalışmak ve daha iyimser bir tahminle ortadan kaldırmaktır.
Bu önerilerden tamamen veya kısmen yararlanmak YSK’nın seçimine
bağlıdır. Ancak, seçimlerin Anayasa ile “bağımsız yargı” güvencesine
alındığı, bağımsız yargının da en küçük kuşkuyu bile içinde
barındırmayan yargı olduğu unutulmamalıdır. Seçimler, hiçbir kuşkuya
yer vermeyecek açıklık ve netlikte olmalı, YSK da bu güvenceyi
sağlamalıdır.
Çeşitli kişi ve kuruluşlarca sanal ortamda ortaya atılan iddiaların bazıları
1. Bazı iddialara göre YSK’nın geçen seçimlerde kullandığı işletim
sistemi programı Avrupa’da terk edilmiştir. Çünkü bu programa
dışarıdan müdahale edilmesine olanak sağlayan açıklar ABD
seçimlerinde basına yansımıştır. Almanya 2009 yılında bu sistemin
güvenli olmadığını anlayarak sistemden vazgeçmiş, Yunanistan ise
şaibeli gördüğü bu program için Almanya’nın yolundan gitmiştir.
2. Özellikle kırsal bölgelerdeki sandık sonuçları tutanaklarından
bazıları ilçe seçim kuruluna getirilirken yolda değiştirilmiştir. Delil
sayılacak geçerli oy pusulaları etrafa atılmış yerine önceden
basılan sahteleri yerleştirilmiştir.
5. 7
3. Sandık başlarında görevli muhalefet partisi temsilcilerinden bazıları
diğer partilerin değil sadece kendi siyasi partilerinin sonuçlarını not
etmişlerdir. Kendilerine sandık sonucu tutanaklarının bir resmi
kopyası verilmemiştir.
4. Oy verenlerin parmaklarının eskiden olduğu gibi silinemeyecek
şekilde boyanmaması bazı kritik bölgelerde mükerrer oy
verilebilmesine olanak tanımıştır.
5. Tutanakların, veri girişiyle ilçe, il ve nihayetinde ülke çapında
birleştirilmesi sırasında, ekrana yansıyan sonuçlarla
oynanabilmekte, bu sonuçlarla tutanakların oy pusulalarının
karşılaştırması yapılmamaktadır.
Türkiye'de Kullanılan Sistemin Özellikleri
YSK ile ilçe seçim kurulları arasındaki bağ Adalet Bakanlığı'nın
kontrolündeki UYAP üzerinden yapılmaktadır.
YSK merkezinde mevcut kurulu ana bilgisayar Oracle Sun yazılım
ve donanımıdır.
İlçe seçim kurullarında ise Windows İşletim Sistemi yüklü standart
bilgisayarlar kullanılmaktadır.
ORACLE ve RAC Agent veri tabanı ile Havelsan tarafından
geliştirilmiş olan Java (J2EE) uygulamalı SEÇSİS yazılımı
yüklüdür.
SEÇSİS, 1986'da Hacettepe Üniversite'since oluru alınmış bir proje
ve oldukça eskiye dayanıyor. Projenin yasal dayanağı 298 Sayılı
Seçimlerin Temel Hükümleri ve Seçmen Kütükleri Hakkında
Kanun’dur.
6. 8
1987 yılında Sistem Çözümleme ve Tasarım Raporu hazırlanmış,
1988 yılında ilk pilot uygulama olarak Ankara’nın Çankaya, Bala,
Şereflikoçhisar ilçelerinde seçmen yazımı yapılmış ve prototip bir
yazılımla halkoylamasında kullanılmıştır.
1989 yılında, aynı Üniversite tarafından hazırlanan SEÇSİS Projesi
Olurluluk Raporu Yüksek Seçim Kurulu’nca kabul edilmiş ve 2004
yılına değin kullanılan “çevrim-dışı” (off-line) SEÇSİS Sisteminin
geliştirilmesi kabul edilmiştir. Yani Seçim sonuçları, Ankara'ya
fiziksel olarak ulaştırılıyor ve burada veri girişi yapılarak, seçim
sonuçları ve istatistikler merkezi olarak işlenip ortaya çıkıyor.
Gelişen bilişim teknolojisine paralel olarak, çevrim-dışı bu
uygulama ile projenin etkin ve verimli çalışmayacağı görülerek
2005 yılında, ilçelerin web tabanlı çevrim-içi çalışmasına imkan
veren günümüz teknolojisine uygun yapıya geçiş kararlaştırılmıştır.
Bu süreçteki en önemli özelliklerden birisi MERNİS KPS sistemi ile
bütünleşik çalışma özelliği. Ayrıca seçim sonuçlarının ilçelerden
merkeze hızlı ve güvenilir aktarılması da bir hedef olarak
belirlenmiş.
Tüm il ve ilçe seçim kurullarındaki uç bilgisayarların veri tabanına
ulaşmaları VPN (Virtual Private Network / Sanal Özel Ağ)
üzerinden sağlanmaktadır.
Sunucuların, aktif ağ cihazlarının ve güvenlik sisteminin merkezden
izlenmesi için CA firmasının yazılımları kullanılmıştır.
SEÇSİS omurga ve portal anahtarı, portal güvenlik duvarı, portal
saldırı tespit ve korunma sistemi, portal yük dengeleyici olarak
Cisco ürünleri kullanılmıştır. Portal için ayrı bir antivirüs sistemi
mevcuttur.
En önemli güvenlik önlemi, Kuruma özgü SEÇSİS Uygulama ve
halka açık SEÇSİS Portal sistemlerinin birbirinden tümüyle
7. 9
bağımsız bir yapıda tasarlanmış olmasıdır. Sistem; Internet’e
dayalı SEÇSİS Portal Sistemi ile SEÇSİS Kurum ağı olarak 2
bölümden oluşuyor yani birbirlerinden bağımsız iki ortam var.
Portal yani www.ysk.gov.tr Internet'e açık olan, YSK kurum
bilgilerinin ve duyuruların kamu ile paylaşıldığı altyapı, Kurum Ağı
ise INTERNET'E KAPALI, Adalet Bakanlığı'nın kapalı ağı olan
UYAP'ı kullanan bir başka altyapı.
UYAP üstünden aktarılan YSK verilerinin, VPN (Virtual Private
Network) yöntemiyle kriptolanarak, VPN tünelleri içinden taşınması
yolu benimsenmiştir. Bu sayede, YSK verilerinin ilçe-merkez
arasında taşınması sırasında görüntülenmesi, değiştirilmesi ve
bozulması önlenmektedir. Adalet Bakanlığı, Hükümet içinde siyasi
otoritenin kontrolünde olan bir kurum, YSK ise siyasetten uzak
olması gereken bir başka kurum. Bu bağlamda YSK hiç olmaması
gerektiği halde, sadece finansal gerekçeler gösterilerek, VPN ve
sertifika gibi teknik çözümler geliştirilerek, UYAP'ı kullanıyor. Her
ne kadar VPN ve sertifika olanakları ile UYAP ağından yalıtık
olduğu ve güvenli olduğu söylense de, gerçekten birbirinden
fiziksel olarak apayrı olan ağların sağlayacağı güvenlik seviyesi ve
yalıtımın oluştuğu söylenemez. Bu da şimdiye kadar her seçimde
SEÇSİS'e getirilen eleştirilerden oldu.
Kullanıcı şifre denetimi vardır. Bir kullanıcı adı ile sadece bir
bilgisayarda çalışılabilir. Şifreler, personelin unvanlarına ve
yapacakları görevlere göre verilmektedir. Bu yolla, hangi sisteme
kim ne zaman girdi, hangi işlemi ne zaman yaptı gibi,
soruşturmalarda yararlanılacak izleme (log) bilgileri işlem
düzeyinde tutulmakta, bunlardan sıkça görülmesi istenenler
uygulama yazılımının “Geri İzleme” bölümünde ekrandan yetkili
personelce görülebilmektedir.
8. 10
Merkezdeki “Sistem Yönetim Yazılımı”, farklı sistemlere girişlere
ilişkin izleme kütüklerini merkezi olarak saklamakta ve bunlar
üzerinde çeşitli sorgulamaları kolay ve bir bütün olarak yapmaya
izin vermektedir. Bu altyapı sayesinde, Kurum dışından gelebilecek
(dış) tehditlerin yanı sıra, Kurum içinden gelebilecek (iç) tehditlere
karşı da etkili önlem alınmış olmaktadır.
SEÇSİS Uygulama Sistemi özel bir kurum ağına dayalıdır. Bu
nedenle, herkese açık Internet’e özgü güvenlik tehditleri bu ağ için
söz konusu değildir. Ancak, Merkezdeki sunucu bilgisayar
sistemleri UNIX/LINUX işletim sistemi altında çalışıyor olsa da, MS
Windows XP işletim sistemi altında çalışan ilçelerdeki uç
bilgisayarların virüs ve benzeri kötü niyetli yazılımlar taşıyabilme
potansiyeli düşünülerek, SEÇSİS Uygulama Sisteminin ağ girişine,
güçlü bir virüs tarama yazılımı da monte edilmiştir. İlçelerden
Merkeze aktarılan tüm veriler, her olasılığa karşı, bu virüs
tarayıcıdan geçerek sisteme ulaşabilmektedir. Merkezi Bilgisayar
sistemi Unix tabanlı ve virütik saldırılara kapalı olduğu söylense de
uç noktalarda ki Windows tabanlı bilgisayarlar her zaman bu tip
saldırılara açıktır. Bu da olası bir başka güvenlik açığını beraber
getirmektedir. ABD için çalışırken "köstebek" haline gelen ve ABD
istihbaratının dünya çapındaki skandallarını ortaya çıkartan Edward
Snowden, bilişim dünyasının tekeli Microsoft'un da istihbarat
servislerine yardımcı olduğunu söyledi. Guardian'ın Snowden'den
elde ettiği belgelere göre, Microsoft hem Ulusal Güvenlik Servisi
(NSA), hem de FBI ile koordineli çalışıyor.
SEÇSİS Merkezi Seçmen Veri Tabanı, sistemde, hataya dayanıklı
RAID (1+0) yapısında, yüksek sığalı (10TB) Anlayışlı Disk Sistemi
üzerinde tutulmaktadır. Bu yüksek sığa sayesinde, veri tabanı, disk
üstünde sık sık yedeklenmekte ve birden çok kopya olarak
9. 11
saklanmaktadır. Bunun yanı sıra, sistemdeki tüm veriler, günde 3
kere disk sisteminden bağımsız teypler üstünde de otomatik olarak
yedeklenmektedir. Bu teyplerin bir kopyası, coğrafi olarak, başka
bir mekanda da tutulmakta ve bu yolla, sistemi (sel, deprem,
yangın, vb.) felaketten kurtarma olanağı da yaratılmaktadır.
SEÇSİS Portal Sistemi, adından da anlaşılacağı üzere, halka,
dolayısıyla Internet’e ve dış saldırılara açık bir sistemdir. Bu
nedenle, saldırı tespit ve koruma, güvenlik duvarı ve virüs koruma
sistemleridir.
Saldırı tespit ve koruma sistemi, SEÇSİS Portal Sisteminin
Internet’e bağlantı noktasında yer alıp, UNIX/LINUX işletim
sistemleri altında çalışan Portal Veri Tabanı ve Uygulama
Sunucularına, dış dünyadan sızmaları önlemek için öngörülmüştür.
Bunun yanı sıra, Portal sistemindeki veriler “salt okunur” nitelikte
öngörülmüş olup değiştirilmeleri engellenmektedir. Saldırı tespit
sistemi, daha çok Portal Sisteminin bütünlüğü (integrity) ile
kullanılabilirliğine (availability) karşı ve izinsiz giriş (unauthorized
login) tehditlerine yönelik düşünülmektedir.
Portal sistemi, SEÇSİS Uygulama Sistemine özgü, Seçmen ve
Seçim Sonuçları gibi veri tabanlarından üretilmiş “kopya” veri
tabanlarını kullanmaktadır. Bu verilerin bir biçimde bozulmuş
olması SEÇSİS Uygulama Sisteminin veri bütünlüğüne yönelik
herhangi bir tehdit de oluşturmamaktadır.
Güvenlik duvarı (Firewall), saldırı tespit ve koruma sistemi gibi,
SEÇSİS Portal Sisteminin Internet’e bağlantı noktasında yer
almaktadır. TCP/IP sistem ağ yazılımlarının güvenlik açıklarından
kaynaklanan saldırılara yönelik öngörülmüş olup gerekli tüm
filtrelemeler ile erişim denetimleri bu sistem sayesinde
gerçekleştirilmektedir.
10. 12
Portal sisteminin Internet’e bağlantısı, aynı zamanda Kurumun
(YSK’nın) Internet’e bağlantısı olarak da kullanılmaktadır. Güvenlik
Duvarı ve Virüs Koruma Sistemlerinden, Kurum içi kişisel uç
bilgisayar sistemlerinin güvenliği amacıyla da yararlanılmaktadır.
Portal Sistemi, seçmenlere ve kurumlara çeşitli sorgulamaları
yapabilme olanağı sunmaktadır. Bu amaçla, öngörülen sorgulama
seçeneklerinin üstünde, örüntü tanıma yönünden yeterli
karmaşıklıkta, resim görünümlü bir damga (karakter) dizgisi de yer
almakta ve kişiler bu dizgide yer alan 7 karakteri ilgili alana girerek
sorgulama yapabilmektedir. Bu önlem sayesinde, kötü niyetli
kişilerin, otomatik tarama yapan yazılımlarla Portal Sisteminin
kullanılabilirliğine tehdit oluşturmaları engellenmektedir.
Süreç kısaca şöyle işlemektedir: İlçelerdeki seçim kurullarında toplanan
bilgilerin, UYAP üzerinden kurum ağına bağlı terminaller ile aktarılması,
verilerin merkezde konsolide edilmesi ve sonuçların duyurulması olarak
özetlenebilir. Sonuçlar portaldan (ysk.gov.tr) açıklanırken, bu iki sistem
arasında TEK YÖNLÜ, yani kurum ağından, portala olan veri akışı vardır.
Dolayısı ile Internet'e açık olan portala yapılacak bir siber saldırının
kurum ağını etkilememesi gerekir. Herhangi bir anda "Siber atak" bahane
edilerek sonuçların hesaplanması gecikti açıklaması, YSK'yı töhmet
altında bırakır ve çelişkilidir.
Kurumun Java uygulama kodları ve veritabanı bağımsız denetime açık
değildir. Başta finans alanı olmak üzere, bütün kritik veri merkezleri
sistem altyapılarını, güvenlik sistemlerini bağımsız denetime açar. Bir
kurumun kendi kendini denetliyor olması, denetim yaptığı anlamına
gelmeyecektir. Bu anlamda özellikle seçim günleri, 24 saatlik veri tabanı
11. 13
loglarının bağımsız denetçiler ve uzmanlar tarafından incelenmesi veya
incelenmeye açık olması gerekir. Bu loglar sistemde gerçekleşen bütün
veri değişiklik hareketlerini kapsadığından olası veri değişikliği ihlallerinin
en azından caydırıcı olmasını sağlayabilir. Sisteme yapılacak saldırılar
sadece dış kaynaklı olmaz. İçerden gelecek saldırıların da denetlenebilir
olması için bu düzenlemenin yapılması gerekir.
2009 yılında Internet Teknoloji'leri Derneği'nin bir tavsiye kararı vardır.
Buna göre özellikle seçimin yapıldığı gün şaibeleri ortadan kaldırmak için
siyasi partilere sisteme giriş ve izleme yetkisinin verilmesinin doğru
olacağı belirtilmiştir. 2011 Genel seçimlerinde ilk defa böyle bir
düzenlemenin yapıldığı açıklandı. 2007 Genel - 2009 Yerel - 2010
Referandum seçimlerinde yapılmayanın 2011'de yapıldığını gördük.
Bunun nasıl işlediğini izleyeceğiz.
SEÇSİS’in mevcut teknolojik altyapısı ve işleyişini düşününce
genel olarak öneri paketimizi şu şekilde sıralıyoruz.
1. Sistem dışarıdan yapılacak bağımsız denetime kapalı
tutulmaktadır. Bir bütün olarak, YSK’nın yazılım, donanım, ağ,
üretim ve güvenlik gibi bütün parçalarının, bütünlükçü bir şekilde
bağımsız denetime açılması ve bu raporların kamu ile paylaşılması
gerekir. Bağımsız denetim, seçime giren siyasal partilerin de
katılacağı bir eşgüdüm içinde belirlenen, güvenilirliği konusunda
kuşku taşımayan denetim kurumlarınca (Üniversiteler ya da meslek
odaları da olabilir) yapılmalıdır. Yazılımı geliştiren kurum Havelsan
olmasına rağmen, yazılımın mülkiyeti YSK’ya aittir. Dolayısı ile bu
denetimin olurunun YSK’dan gelmesi gerekir.
2. SEÇSİS yazılım kodlarının, arka plandaki Veri Tabanı Modeli’nin,
12. 14
bağımsız denetime açılması, kod içindeki algoritmaların, veriyi
değiştiren komutların denetlenmesi gerekir. Yazılımın dışarıdan ve
bağımsız bir denetimi yapılmamıştır. Şifreleme işlemlerinin ve bir
bütün olarak sistemin güvenliği ve güvenilirliğine ilişkin sertifikalar
alınmamıştır.
3. SEÇSİS projesinde kullanılan veritabanı (bilgilerin toplandığı yer)
yazılımı Java teknolojisi destekli Oracle’dır. Yazılım güvenliği
açısından bakıldığında, Oracle en ciddi ve bu konudaki en önemli
şirketlerden biri ise de, güvenlik açıkları mevcuttur, sürekli
güncellemeler/güvenlik yamaları yayınlamaktadır.
http://www.securityweek.com/oracle-issues-89-security-fixes-july-
2013-critical-patch-update
http://www.oracle.com/technetwork/topics/security/alerts-
086861.html#SecurityAlerts
4. Seçim dönemlerinde, VeriTabanı değişikliklerinin ayrıca tutulduğu
Logların, saklanması, bu logların deşifre edilmesi ve bu
çözümlemenin bağımsız denetçiler tarafından yapılması, gerekirse
meslek odalarının (Bilgisayar Mühendisleri Odası gibi) bu işe dahil
olması gerekir.
5. Uygulama kodları dışında, VeriTabanı’na tanımlı herhangi bir
"TRIGGER" set edilmiş mi? Bu triggerlar Seçim gecesi, ilçelerden
gelen kayıtları veritabanına “INSERT” eden uygulamalar dışında
“DELETE” ve “UPDATE” işlemi de yapıyorlar mı? Bunların
araştırılması, sorgulanması gerekir.
6. Veri Tabanına, SEÇSİS uygulaması dışından yapılan bütün
erişimlerin çok sıkı denetlenmesi, mümkünse iptal edilmesi gerekir.
7. Seçim dönemlerinde, sistem üzerindeki veri akışını, sadece okuma
amaçlı olarak, bütün partilerin izlemesine açmak, gerekirse
buradaki verinin anlık olarak partilerle paylaşımını sağlamak, veriyi
13. 15
kayıt yaptırmış partilerin, kurumların indirebilmesini sağlayacak
arayüzler gerekir.
8. SEÇSİS’in UYAP ağından çıkartılarak, kendisine ait bir kapalı ağ
kurulması gerekir.
9. İlçe seçim kurullarındaki terminallerde, tüm ülkelerin devlet
projelerinde kullandığı Linux işletim sistemleri yerine güvenlik
nedeniyle ülkelerin kullanmaktan çekindiği Windows işletim
sistemleri kullanılmaktadır. TÜBİTAKın geliştirdiği ve ulusal yazılım
olan PARDUS-Linux işletim sistemini kullanmak yerine, il ve ilçe
seçim kurullarında Windows işletim sistemleri kullanılmasının hem
maliyet hem de güvenlik riskleri vardır. Windows işletim sistemleri
ve bu sistem üzerine kurulu ağ ortamları yıllardır kolaylıkla
“hackerler” tarafından delik deşik edilmektedir.
10. Mevcut yazılıma dışarıdan bir Script ile müdahale edilebilir ve
anayazılımın ve işletim sisteminin bu yabancı yazılımı algılayarak ikaz
verme gibi bir yeteneği mevcut değil. Yazılımın güvenliği tamamıyla
Solaris işletim sisteminin ve Oracle ın kendi güvenlik seviyeleriyle
sınırlıdır. SEÇSİS yazılım sistemi üçüncü bir güvenlik/kontrol
yazılımıyla içsel olarak korunmamakta ve/veya çalışmasının
doğruluğu kontrol edilmemektedir.
11. İl ve ilçe seçim kurulları ile SEÇSİS ana bilgisayar bağlantıları
konusu çok önemli. Ama bundan da önemlisi sandık sonuçlarının
bilgisayarlara nasıl girileceğidir. Bunun için partilerin veya bağımsız
bir kurumun merkezî önlem alması yetmez, yerel teknik önlemler
de gerekir. Oy sandıkları refakatçi olmadan polise verilmemeli,
bizzat refakat edilerek ilgili merkezlere götürülmeli ve birkaç imzalı
tutanakla teslim edilmeli.
12. Altı çizilmesi gereken bir diğer husus sandık görevlilerinin
sadece kendi partilerinin sonuçlarını değil, bütün partilerin
14. 16
sonuçlarını almaları, zira iktidar partisi diğer parti oylarını ilçe ya da
il seçim kurullarında kendine yazdırabilir. Böyle bir risk her zaman
mevcuttur. Buradan hareketle, mümkünse seçim bölgelerinde
oyları yansıtacak şekilde ayrı internet portalleri oluşturmak gibi
önlemler almalı ya da başka araçlar bulmalıdır.
13. Gizli oy açık sayım sistemi, sadece sandık başlarında
uygulanmaktadır. Sandıklar açıldıktan sonra yapılan ve tutanaklara
geçirilen açık sayım, sandık bazında geçerli olmakla birlikte,
tutanakların birleştirilmesi, diğer deyişle tutanaklara geçen sandık
bazındaki oyların birleştirilmesi ve veri tabanına işlenmesinde açık
sayım kuralı uygulanmamaktadır. Bu süreç, YSK’da geçici olarak
görevlendirilen kamu görevlileri tarafından yapılmaktadır. Bu kamu
görevlileri, siyasal iktidarın memurlarıdır. Açık sayım sandık
başında bitmektedir. Oysa sayım, sandık başında
tamamlanmamaktadır. Oyların birleştirilmesi de sayımın bir
parçasıdır. Bu konuda gerekli önlemler alınmalıdır.
14. Sahte seçmen yazımı ve oy kullanımı olayı çok önemlidir ve
hiç kuşkunuz bu durum yeniden denenebilir. Özellikle kırsal
kesimde bu konuya dikkat etmek gerekir. İlan edilenle gerçek
arasındaki farkı göstermek için sandık sonuçlarının son imzalı
halleriyle, her sandıkta hazırlanacak ıslak imzalı sandık
tutanaklarının fotoğraflarının çekilmesi gerekir. Günümüz
olanaklarıyla bu iş sayısal fotoğraf makineleri veya akıllı telefonlarla
kolayca yapılabilir. Daha sonra bir veya birkaç partinin bir araya
gelmesi ile oluşturulacak bir merkezi bilgisayara e-posta yolu ile
gönderilebilir. Buradan da bir portal üzerinden anında kamu ile
paylaşılabilir. Bunun teknolojik altyapısı ve örgütlenmesi yapılarak,
YSK’ya gönderilen seçim sonuçlarının anlık değerlendirilmesi
yapılmalıdır. YSK’dan çıkabilecek farklılıklarda çekilen fotoğrafların
15. 17
delil/belge olarak saklanması çok önem kazanacaktır. Aşağıdaki
gibi bir oynama olasılığı her zaman mevcuttur
Bilgi İşlem Denetimi açısından mevcut seçim sistemin
güvenirliliğinin değerlendirilmesi.
İmar Bankası olayından sonra hükümet tüm bankaların mali ve bilgi
işlem açısından denetlenmesini kararlaştırılmıştır. Bu nedenle resmi bir
kuruluş olan BDDK (Bankalararası Düzenleme ve Denetleme Kurulu)
kurulmuştur. BDDK yukarıda belirtildiği gibi bankaları hem mali hem de
bilgi işlem açısından denetleme yetkisine sahiptir Bilgi İşlem denetimi
tüm Dünyada yaygın olarak kullanılan ISACA firmasının geliştirdiği Cobit
standartlarını uygulayarak denetlemektedir.
Tanım olarak CobiT, “Control Objectives for Information and Related
Technology”nin kısaltılmış halidir. Türkçe ifade etmek gerekirse “Bilgi ve
ilgili teknoloji için kontrol hedefleri”. Bu tanım, CobiT’in amacını ifade
etmesi açısından önemlidir. CobiT, Bilgi Teknolojileri yönetiminde
ulaşılması gereken hedefleri ortaya koymaktadır.
CobiT’i, diğer standartlardan ayıran en büyük özelliği tüm Bilişim
Teknoloji (BT) fonksiyonlarını kapsayan bir çerçeve sunmasıdır. Farklı
şekilde ifade etmek gerekirse CobiT içerisinde yer alan 34 süreci bir
arada değerlendirdiğinizde BT yönetiminin her alanını kapsama almış
olursunuz. Bu nedenle diğer standartlardan farklı şekilde, CobiT’in tek
veya grup halinde BT süreçlerine değil BT’nin yönetilmesine
odaklandığını söylemek doğru olur.
16. 18
Bankalar BDDK’nın yetki verdiği genelde Türkiye’de yerleşik yabancı
kökenli özel BT denetim firmalarınca Cobit standartlarına uygun olarak
denetlenmektedirler. Riskler Denetçi tarafından önem derecelerine gore
Yüksek, Normal ve Düşük Risk olarak değerlendirilirler. Denetçi,
denetlenenin faaliyetlerinde kullandığı uygulamalara ait riskleri
derecelendirmek için bir risk matrisi oluşturur. Uygulamalardan
kaynaklanan risklere ait bu matriste uygulamaların önemlilik derecesi,
uygulamalarla bütünleşik riskler, genel kontrol alanlarının ve uygulama
kontrollerinin etkinliği, yeterliliği, olgunluk seviyeleri ve denetlenenin
uygulamalardan kaynaklanan net riski gibi hususlar değerlendirilir.
Önerimiz: Yüksek Seçim Kurulu kararıyla oluşacak BDDK benzeri resmi
bir kuruluşun seçim sisteminin Bilgi İşlem dahil tüm süreçlerinin
denetlenmesini sağlamaktır. Bu konuda yetkilendirilmiş bağımsız BT
denetim firmalarına denetlendirilmesi ve sonuçlarının YSK ve tüm siyasi
parti yetkililerine gönderilmesinin sağlanmasıdır. Bütün denetçilerin hiç
bir siyasi partiye üye olmamaları, CISA sertifikası sahibi ve en az 5 yıl
bilgi işlem denetim tecrübesi olmaları şarttır.
Burada en önemli nokta bir devlet kuruluşundaki bazı süreçlerin
bağımsız denetim firmalarınca denetiminin sağlanmasıdır. Aynen resmi
bankalardaki süreçlerin de diğer özel bankalar gibi bağımsız denetim
firmaları tarafından çok yakından denetlenmesidir.
BT kaynaklı seçim hileleri konusundaki kafamızdaki şüpheler bu şekilde
azalabilir.
17. 19
Hazırlayanlar
Cüneyt Göksu, Bilgisayar Yük. Mühendisi
Kaya Güvenç , TMMOB Başkanı
Ali Rıza Aydın, Anayasa Mahkemesi Eski raportörü
Bilişim ve hukuk çevrelerinden onlarca gönüllü dost.