Seçim Güvenliği Raporu 1:

Yüksek Seçim Kurulu – SEÇSİS Sistemi hakkında değerlendirme ve öneriler

Temmuz 2013

4

İçerik

Giriş ………………………………………….. 5

Türkiye'de Kullanılan Sistemin Özellikler………….7

SEÇSİS’in mevcut teknolojik altyapısı ve işleyişini düşününce genel

olarak öneri paketimizi şu şekilde sıralıyoruz…….. 13

Hazırlayanlar: 19

5

Giriş

Seçim güvenliği kavramı üç başlıkta ele alınabilir:

1) Seçmen kütüklerinin hazırlanması

2) Oy kullanılması

3) Kullanılan oyların sayılması, toplanması, değerlendirilmesi ve

saklanması.

Seçim güvenliğinin yukarıdaki bütün altbaşlıklarıyla beraber ne kadar

fazla gerçekleşip gerçekleşmeyeceği siyasi karar ve beraberinde iyi bir

örgütlenme gerektirir. Özellikle birinci ve üçüncü aşamalarda bilgi işlem

sisteminin çok özel bir yeri vardır. Bu raporda özellikle üçüncü aşamada,

bilgi işlem seviyesinde, karşılaşılan eksiklikler ve çözüm önerilerine

odaklanılmıştır.

Geçtiğimiz yıllarda ve seçimlerde, sonuçların değiştirildiği veya yeniden

düzenlendiği şüphesiyle karşılaştık. Hatırlanırsa 2007 Temmuz ayında

yapılan seçimlerde gece saat 23.00’den sonra oy dağılımının süratle

iktidar partisi lehine çevrilmesi akıllarda önemli şüpheler bırakmıştı. Şehir

dışındaki tarlalarda üzerinde “evet” oyu basılmış oy pusulalarının

bulunması da bu şüpheleri arttırmıştı.

Geçmiş seçimler geçmişte kaldı ve sonuçlar YSK tarafından onaylandı.

Bu nedenle, eskiden olanları değil önümüzdeki seçimleri düşünerek

mevcut seçim sistemi teknolojisini inceleyen ekteki rapor, önerilerle

birlikte hazırlanmıştır.

6

Bu çalışmanın amacı 2013 yılından itibaren yapılacak seçimlerde,

mevcut seçim teknolojisinin olası eksiklerini ve yapılması gerekenleri

öneriler şeklinde ortaya çıkarmak ve kamu ile paylaşmaktır. Olası seçim

hilelerine karşı bir dizi önlemlerin neler olabileceği konusunda öneriler

hazırlayarak tüm siyasi partilerin ve Yüksek Seçim Kurulu(YSK)’nun

bilgisine sunarak halkımızın zihninde oluşan şüpheleri en aza indirmeye

çalışmak ve daha iyimser bir tahminle ortadan kaldırmaktır.

Bu önerilerden tamamen veya kısmen yararlanmak YSK’nın seçimine

bağlıdır. Ancak, seçimlerin Anayasa ile “bağımsız yargı” güvencesine

alındığı, bağımsız yargının da en küçük kuşkuyu bile içinde

barındırmayan yargı olduğu unutulmamalıdır. Seçimler, hiçbir kuşkuya

yer vermeyecek açıklık ve netlikte olmalı, YSK da bu güvenceyi

sağlamalıdır.

Çeşitli kişi ve kuruluşlarca sanal ortamda ortaya atılan iddiaların bazıları

1. Bazı iddialara göre YSK’nın geçen seçimlerde kullandığı işletim

sistemi programı Avrupa’da terk edilmiştir. Çünkü bu programa

dışarıdan müdahale edilmesine olanak sağlayan açıklar ABD

seçimlerinde basına yansımıştır. Almanya 2009 yılında bu sistemin

güvenli olmadığını anlayarak sistemden vazgeçmiş, Yunanistan ise

şaibeli gördüğü bu program için Almanya’nın yolundan gitmiştir.

2. Özellikle kırsal bölgelerdeki sandık sonuçları tutanaklarından

bazıları ilçe seçim kuruluna getirilirken yolda değiştirilmiştir. Delil

sayılacak geçerli oy pusulaları etrafa atılmış yerine önceden

basılan sahteleri yerleştirilmiştir.

7

3. Sandık başlarında görevli muhalefet partisi temsilcilerinden bazıları

diğer partilerin değil sadece kendi siyasi partilerinin sonuçlarını not

etmişlerdir. Kendilerine sandık sonucu tutanaklarının bir resmi

kopyası verilmemiştir.

4. Oy verenlerin parmaklarının eskiden olduğu gibi silinemeyecek

şekilde boyanmaması bazı kritik bölgelerde mükerrer oy

verilebilmesine olanak tanımıştır.

5. Tutanakların, veri girişiyle ilçe, il ve nihayetinde ülke çapında

birleştirilmesi sırasında, ekrana yansıyan sonuçlarla

oynanabilmekte, bu sonuçlarla tutanakların oy pusulalarının

karşılaştırması yapılmamaktadır.

Türkiye'de Kullanılan Sistemin Özellikleri

YSK ile ilçe seçim kurulları arasındaki bağ Adalet Bakanlığı'nın

kontrolündeki UYAP üzerinden yapılmaktadır.

YSK merkezinde mevcut kurulu ana bilgisayar Oracle Sun yazılım

ve donanımıdır.

İlçe seçim kurullarında ise Windows İşletim Sistemi yüklü standart

bilgisayarlar kullanılmaktadır.

ORACLE ve RAC Agent veri tabanı ile Havelsan tarafından

geliştirilmiş olan Java (J2EE) uygulamalı SEÇSİS yazılımı

yüklüdür.

SEÇSİS, 1986'da Hacettepe Üniversite'since oluru alınmış bir proje

ve oldukça eskiye dayanıyor. Projenin yasal dayanağı 298 Sayılı

Seçimlerin Temel Hükümleri ve Seçmen Kütükleri Hakkında

Kanun’dur.

8

1987 yılında Sistem Çözümleme ve Tasarım Raporu hazırlanmış,

1988 yılında ilk pilot uygulama olarak Ankara’nın Çankaya, Bala,

Şereflikoçhisar ilçelerinde seçmen yazımı yapılmış ve prototip bir

yazılımla halkoylamasında kullanılmıştır.

1989 yılında, aynı Üniversite tarafından hazırlanan SEÇSİS Projesi

Olurluluk Raporu Yüksek Seçim Kurulu’nca kabul edilmiş ve 2004

yılına değin kullanılan “çevrim-dışı” (off-line) SEÇSİS Sisteminin

geliştirilmesi kabul edilmiştir. Yani Seçim sonuçları, Ankara'ya

fiziksel olarak ulaştırılıyor ve burada veri girişi yapılarak, seçim

sonuçları ve istatistikler merkezi olarak işlenip ortaya çıkıyor.

Gelişen bilişim teknolojisine paralel olarak, çevrim-dışı bu

uygulama ile projenin etkin ve verimli çalışmayacağı görülerek

2005 yılında, ilçelerin web tabanlı çevrim-içi çalışmasına imkan

veren günümüz teknolojisine uygun yapıya geçiş kararlaştırılmıştır.

Bu süreçteki en önemli özelliklerden birisi MERNİS KPS sistemi ile

bütünleşik çalışma özelliği. Ayrıca seçim sonuçlarının ilçelerden

merkeze hızlı ve güvenilir aktarılması da bir hedef olarak

belirlenmiş.

Tüm il ve ilçe seçim kurullarındaki uç bilgisayarların veri tabanına

ulaşmaları VPN (Virtual Private Network / Sanal Özel Ağ)

üzerinden sağlanmaktadır.

Sunucuların, aktif ağ cihazlarının ve güvenlik sisteminin merkezden

izlenmesi için CA firmasının yazılımları kullanılmıştır.

SEÇSİS omurga ve portal anahtarı, portal güvenlik duvarı, portal

saldırı tespit ve korunma sistemi, portal yük dengeleyici olarak

Cisco ürünleri kullanılmıştır. Portal için ayrı bir antivirüs sistemi

mevcuttur.

En önemli güvenlik önlemi, Kuruma özgü SEÇSİS Uygulama ve

halka açık SEÇSİS Portal sistemlerinin birbirinden tümüyle

9

bağımsız bir yapıda tasarlanmış olmasıdır. Sistem; Internet’e

dayalı SEÇSİS Portal Sistemi ile SEÇSİS Kurum ağı olarak 2

bölümden oluşuyor yani birbirlerinden bağımsız iki ortam var.

Portal yani www.ysk.gov.tr Internet'e açık olan, YSK kurum

bilgilerinin ve duyuruların kamu ile paylaşıldığı altyapı, Kurum Ağı

ise INTERNET'E KAPALI, Adalet Bakanlığı'nın kapalı ağı olan

UYAP'ı kullanan bir başka altyapı.

UYAP üstünden aktarılan YSK verilerinin, VPN (Virtual Private

Network) yöntemiyle kriptolanarak, VPN tünelleri içinden taşınması

yolu benimsenmiştir. Bu sayede, YSK verilerinin ilçe-merkez

arasında taşınması sırasında görüntülenmesi, değiştirilmesi ve

bozulması önlenmektedir. Adalet Bakanlığı, Hükümet içinde siyasi

otoritenin kontrolünde olan bir kurum, YSK ise siyasetten uzak

olması gereken bir başka kurum. Bu bağlamda YSK hiç olmaması

gerektiği halde, sadece finansal gerekçeler gösterilerek, VPN ve

sertifika gibi teknik çözümler geliştirilerek, UYAP'ı kullanıyor. Her

ne kadar VPN ve sertifika olanakları ile UYAP ağından yalıtık

olduğu ve güvenli olduğu söylense de, gerçekten birbirinden

fiziksel olarak apayrı olan ağların sağlayacağı güvenlik seviyesi ve

yalıtımın oluştuğu söylenemez. Bu da şimdiye kadar her seçimde

SEÇSİS'e getirilen eleştirilerden oldu.

Kullanıcı şifre denetimi vardır. Bir kullanıcı adı ile sadece bir

bilgisayarda çalışılabilir. Şifreler, personelin unvanlarına ve

yapacakları görevlere göre verilmektedir. Bu yolla, hangi sisteme

kim ne zaman girdi, hangi işlemi ne zaman yaptı gibi,

soruşturmalarda yararlanılacak izleme (log) bilgileri işlem

düzeyinde tutulmakta, bunlardan sıkça görülmesi istenenler

uygulama yazılımının “Geri İzleme” bölümünde ekrandan yetkili

personelce görülebilmektedir.

10

Merkezdeki “Sistem Yönetim Yazılımı”, farklı sistemlere girişlere

ilişkin izleme kütüklerini merkezi olarak saklamakta ve bunlar

üzerinde çeşitli sorgulamaları kolay ve bir bütün olarak yapmaya

izin vermektedir. Bu altyapı sayesinde, Kurum dışından gelebilecek

(dış) tehditlerin yanı sıra, Kurum içinden gelebilecek (iç) tehditlere

karşı da etkili önlem alınmış olmaktadır.

SEÇSİS Uygulama Sistemi özel bir kurum ağına dayalıdır. Bu

nedenle, herkese açık Internet’e özgü güvenlik tehditleri bu ağ için

söz konusu değildir. Ancak, Merkezdeki sunucu bilgisayar

sistemleri UNIX/LINUX işletim sistemi altında çalışıyor olsa da, MS

Windows XP işletim sistemi altında çalışan ilçelerdeki uç

bilgisayarların virüs ve benzeri kötü niyetli yazılımlar taşıyabilme

potansiyeli düşünülerek, SEÇSİS Uygulama Sisteminin ağ girişine,

güçlü bir virüs tarama yazılımı da monte edilmiştir. İlçelerden

Merkeze aktarılan tüm veriler, her olasılığa karşı, bu virüs

tarayıcıdan geçerek sisteme ulaşabilmektedir. Merkezi Bilgisayar

sistemi Unix tabanlı ve virütik saldırılara kapalı olduğu söylense de

uç noktalarda ki Windows tabanlı bilgisayarlar her zaman bu tip

saldırılara açıktır. Bu da olası bir başka güvenlik açığını beraber

getirmektedir. ABD için çalışırken "köstebek" haline gelen ve ABD

istihbaratının dünya çapındaki skandallarını ortaya çıkartan Edward

Snowden, bilişim dünyasının tekeli Microsoft'un da istihbarat

servislerine yardımcı olduğunu söyledi. Guardian'ın Snowden'den

elde ettiği belgelere göre, Microsoft hem Ulusal Güvenlik Servisi

(NSA), hem de FBI ile koordineli çalışıyor.

SEÇSİS Merkezi Seçmen Veri Tabanı, sistemde, hataya dayanıklı

RAID (1+0) yapısında, yüksek sığalı (10TB) Anlayışlı Disk Sistemi

üzerinde tutulmaktadır. Bu yüksek sığa sayesinde, veri tabanı, disk

üstünde sık sık yedeklenmekte ve birden çok kopya olarak

11

saklanmaktadır. Bunun yanı sıra, sistemdeki tüm veriler, günde 3

kere disk sisteminden bağımsız teypler üstünde de otomatik olarak

yedeklenmektedir. Bu teyplerin bir kopyası, coğrafi olarak, başka

bir mekanda da tutulmakta ve bu yolla, sistemi (sel, deprem,

yangın, vb.) felaketten kurtarma olanağı da yaratılmaktadır.

SEÇSİS Portal Sistemi, adından da anlaşılacağı üzere, halka,

dolayısıyla Internet’e ve dış saldırılara açık bir sistemdir. Bu

nedenle, saldırı tespit ve koruma, güvenlik duvarı ve virüs koruma

sistemleridir.

Saldırı tespit ve koruma sistemi, SEÇSİS Portal Sisteminin

Internet’e bağlantı noktasında yer alıp, UNIX/LINUX işletim

sistemleri altında çalışan Portal Veri Tabanı ve Uygulama

Sunucularına, dış dünyadan sızmaları önlemek için öngörülmüştür.

Bunun yanı sıra, Portal sistemindeki veriler “salt okunur” nitelikte

öngörülmüş olup değiştirilmeleri engellenmektedir. Saldırı tespit

sistemi, daha çok Portal Sisteminin bütünlüğü (integrity) ile

kullanılabilirliğine (availability) karşı ve izinsiz giriş (unauthorized

login) tehditlerine yönelik düşünülmektedir.

Portal sistemi, SEÇSİS Uygulama Sistemine özgü, Seçmen ve

Seçim Sonuçları gibi veri tabanlarından üretilmiş “kopya” veri

tabanlarını kullanmaktadır. Bu verilerin bir biçimde bozulmuş

olması SEÇSİS Uygulama Sisteminin veri bütünlüğüne yönelik

herhangi bir tehdit de oluşturmamaktadır.

Güvenlik duvarı (Firewall), saldırı tespit ve koruma sistemi gibi,

SEÇSİS Portal Sisteminin Internet’e bağlantı noktasında yer

almaktadır. TCP/IP sistem ağ yazılımlarının güvenlik açıklarından

kaynaklanan saldırılara yönelik öngörülmüş olup gerekli tüm

filtrelemeler ile erişim denetimleri bu sistem sayesinde

gerçekleştirilmektedir.

12

Portal sisteminin Internet’e bağlantısı, aynı zamanda Kurumun

(YSK’nın) Internet’e bağlantısı olarak da kullanılmaktadır. Güvenlik

Duvarı ve Virüs Koruma Sistemlerinden, Kurum içi kişisel uç

bilgisayar sistemlerinin güvenliği amacıyla da yararlanılmaktadır.

Portal Sistemi, seçmenlere ve kurumlara çeşitli sorgulamaları

yapabilme olanağı sunmaktadır. Bu amaçla, öngörülen sorgulama

seçeneklerinin üstünde, örüntü tanıma yönünden yeterli

karmaşıklıkta, resim görünümlü bir damga (karakter) dizgisi de yer

almakta ve kişiler bu dizgide yer alan 7 karakteri ilgili alana girerek

sorgulama yapabilmektedir. Bu önlem sayesinde, kötü niyetli

kişilerin, otomatik tarama yapan yazılımlarla Portal Sisteminin

kullanılabilirliğine tehdit oluşturmaları engellenmektedir.

Süreç kısaca şöyle işlemektedir: İlçelerdeki seçim kurullarında toplanan

bilgilerin, UYAP üzerinden kurum ağına bağlı terminaller ile aktarılması,

verilerin merkezde konsolide edilmesi ve sonuçların duyurulması olarak

özetlenebilir. Sonuçlar portaldan (ysk.gov.tr) açıklanırken, bu iki sistem

arasında TEK YÖNLÜ, yani kurum ağından, portala olan veri akışı vardır.

Dolayısı ile Internet'e açık olan portala yapılacak bir siber saldırının

kurum ağını etkilememesi gerekir. Herhangi bir anda "Siber atak" bahane

edilerek sonuçların hesaplanması gecikti açıklaması, YSK'yı töhmet

altında bırakır ve çelişkilidir.

Kurumun Java uygulama kodları ve veritabanı bağımsız denetime açık

değildir. Başta finans alanı olmak üzere, bütün kritik veri merkezleri

sistem altyapılarını, güvenlik sistemlerini bağımsız denetime açar. Bir

kurumun kendi kendini denetliyor olması, denetim yaptığı anlamına

gelmeyecektir. Bu anlamda özellikle seçim günleri, 24 saatlik veri tabanı

13

loglarının bağımsız denetçiler ve uzmanlar tarafından incelenmesi veya

incelenmeye açık olması gerekir. Bu loglar sistemde gerçekleşen bütün

veri değişiklik hareketlerini kapsadığından olası veri değişikliği ihlallerinin

en azından caydırıcı olmasını sağlayabilir. Sisteme yapılacak saldırılar

sadece dış kaynaklı olmaz. İçerden gelecek saldırıların da denetlenebilir

olması için bu düzenlemenin yapılması gerekir.

2009 yılında Internet Teknoloji'leri Derneği'nin bir tavsiye kararı vardır.

Buna göre özellikle seçimin yapıldığı gün şaibeleri ortadan kaldırmak için

siyasi partilere sisteme giriş ve izleme yetkisinin verilmesinin doğru

olacağı belirtilmiştir. 2011 Genel seçimlerinde ilk defa böyle bir

düzenlemenin yapıldığı açıklandı. 2007 Genel - 2009 Yerel - 2010

Referandum seçimlerinde yapılmayanın 2011'de yapıldığını gördük.

Bunun nasıl işlediğini izleyeceğiz.

SEÇSİS’in mevcut teknolojik altyapısı ve işleyişini düşününce

genel olarak öneri paketimizi şu şekilde sıralıyoruz.

1. Sistem dışarıdan yapılacak bağımsız denetime kapalı

tutulmaktadır. Bir bütün olarak, YSK’nın yazılım, donanım, ağ,

üretim ve güvenlik gibi bütün parçalarının, bütünlükçü bir şekilde

bağımsız denetime açılması ve bu raporların kamu ile paylaşılması

gerekir. Bağımsız denetim, seçime giren siyasal partilerin de

katılacağı bir eşgüdüm içinde belirlenen, güvenilirliği konusunda

kuşku taşımayan denetim kurumlarınca (Üniversiteler ya da meslek

odaları da olabilir) yapılmalıdır. Yazılımı geliştiren kurum Havelsan

olmasına rağmen, yazılımın mülkiyeti YSK’ya aittir. Dolayısı ile bu

denetimin olurunun YSK’dan gelmesi gerekir.

2. SEÇSİS yazılım kodlarının, arka plandaki Veri Tabanı Modeli’nin,

14

bağımsız denetime açılması, kod içindeki algoritmaların, veriyi

değiştiren komutların denetlenmesi gerekir. Yazılımın dışarıdan ve

bağımsız bir denetimi yapılmamıştır. Şifreleme işlemlerinin ve bir

bütün olarak sistemin güvenliği ve güvenilirliğine ilişkin sertifikalar

alınmamıştır.

3. SEÇSİS projesinde kullanılan veritabanı (bilgilerin toplandığı yer)

yazılımı Java teknolojisi destekli Oracle’dır. Yazılım güvenliği

açısından bakıldığında, Oracle en ciddi ve bu konudaki en önemli

şirketlerden biri ise de, güvenlik açıkları mevcuttur, sürekli

güncellemeler/güvenlik yamaları yayınlamaktadır.

http://www.securityweek.com/oracle-issues-89-security-fixes-july-

2013-critical-patch-update

http://www.oracle.com/technetwork/topics/security/alerts-

086861.html#SecurityAlerts

4. Seçim dönemlerinde, VeriTabanı değişikliklerinin ayrıca tutulduğu

Logların, saklanması, bu logların deşifre edilmesi ve bu

çözümlemenin bağımsız denetçiler tarafından yapılması, gerekirse

meslek odalarının (Bilgisayar Mühendisleri Odası gibi) bu işe dahil

olması gerekir.

5. Uygulama kodları dışında, VeriTabanı’na tanımlı herhangi bir

"TRIGGER" set edilmiş mi? Bu triggerlar Seçim gecesi, ilçelerden

gelen kayıtları veritabanına “INSERT” eden uygulamalar dışında

“DELETE” ve “UPDATE” işlemi de yapıyorlar mı? Bunların

araştırılması, sorgulanması gerekir.

6. Veri Tabanına, SEÇSİS uygulaması dışından yapılan bütün

erişimlerin çok sıkı denetlenmesi, mümkünse iptal edilmesi gerekir.

7. Seçim dönemlerinde, sistem üzerindeki veri akışını, sadece okuma

amaçlı olarak, bütün partilerin izlemesine açmak, gerekirse

buradaki verinin anlık olarak partilerle paylaşımını sağlamak, veriyi

15

kayıt yaptırmış partilerin, kurumların indirebilmesini sağlayacak

arayüzler gerekir.

8. SEÇSİS’in UYAP ağından çıkartılarak, kendisine ait bir kapalı ağ

kurulması gerekir.

9. İlçe seçim kurullarındaki terminallerde, tüm ülkelerin devlet

projelerinde kullandığı Linux işletim sistemleri yerine güvenlik

nedeniyle ülkelerin kullanmaktan çekindiği Windows işletim

sistemleri kullanılmaktadır. TÜBİTAKın geliştirdiği ve ulusal yazılım

olan PARDUS-Linux işletim sistemini kullanmak yerine, il ve ilçe

seçim kurullarında Windows işletim sistemleri kullanılmasının hem

maliyet hem de güvenlik riskleri vardır. Windows işletim sistemleri

ve bu sistem üzerine kurulu ağ ortamları yıllardır kolaylıkla

“hackerler” tarafından delik deşik edilmektedir.

10. Mevcut yazılıma dışarıdan bir Script ile müdahale edilebilir ve

anayazılımın ve işletim sisteminin bu yabancı yazılımı algılayarak ikaz

verme gibi bir yeteneği mevcut değil. Yazılımın güvenliği tamamıyla

Solaris işletim sisteminin ve Oracle ın kendi güvenlik seviyeleriyle

sınırlıdır. SEÇSİS yazılım sistemi üçüncü bir güvenlik/kontrol

yazılımıyla içsel olarak korunmamakta ve/veya çalışmasının

doğruluğu kontrol edilmemektedir.

11. İl ve ilçe seçim kurulları ile SEÇSİS ana bilgisayar bağlantıları

konusu çok önemli. Ama bundan da önemlisi sandık sonuçlarının

bilgisayarlara nasıl girileceğidir. Bunun için partilerin veya bağımsız

bir kurumun merkezî önlem alması yetmez, yerel teknik önlemler

de gerekir. Oy sandıkları refakatçi olmadan polise verilmemeli,

bizzat refakat edilerek ilgili merkezlere götürülmeli ve birkaç imzalı

tutanakla teslim edilmeli.

12. Altı çizilmesi gereken bir diğer husus sandık görevlilerinin

sadece kendi partilerinin sonuçlarını değil, bütün partilerin

16

sonuçlarını almaları, zira iktidar partisi diğer parti oylarını ilçe ya da

il seçim kurullarında kendine yazdırabilir. Böyle bir risk her zaman

mevcuttur. Buradan hareketle, mümkünse seçim bölgelerinde

oyları yansıtacak şekilde ayrı internet portalleri oluşturmak gibi

önlemler almalı ya da başka araçlar bulmalıdır.

13. Gizli oy açık sayım sistemi, sadece sandık başlarında

uygulanmaktadır. Sandıklar açıldıktan sonra yapılan ve tutanaklara

geçirilen açık sayım, sandık bazında geçerli olmakla birlikte,

tutanakların birleştirilmesi, diğer deyişle tutanaklara geçen sandık

bazındaki oyların birleştirilmesi ve veri tabanına işlenmesinde açık

sayım kuralı uygulanmamaktadır. Bu süreç, YSK’da geçici olarak

görevlendirilen kamu görevlileri tarafından yapılmaktadır. Bu kamu

görevlileri, siyasal iktidarın memurlarıdır. Açık sayım sandık

başında bitmektedir. Oysa sayım, sandık başında

tamamlanmamaktadır. Oyların birleştirilmesi de sayımın bir

parçasıdır. Bu konuda gerekli önlemler alınmalıdır.

14. Sahte seçmen yazımı ve oy kullanımı olayı çok önemlidir ve

hiç kuşkunuz bu durum yeniden denenebilir. Özellikle kırsal

kesimde bu konuya dikkat etmek gerekir. İlan edilenle gerçek

arasındaki farkı göstermek için sandık sonuçlarının son imzalı

halleriyle, her sandıkta hazırlanacak ıslak imzalı sandık

tutanaklarının fotoğraflarının çekilmesi gerekir. Günümüz

olanaklarıyla bu iş sayısal fotoğraf makineleri veya akıllı telefonlarla

kolayca yapılabilir. Daha sonra bir veya birkaç partinin bir araya

gelmesi ile oluşturulacak bir merkezi bilgisayara e-posta yolu ile

gönderilebilir. Buradan da bir portal üzerinden anında kamu ile

paylaşılabilir. Bunun teknolojik altyapısı ve örgütlenmesi yapılarak,

YSK’ya gönderilen seçim sonuçlarının anlık değerlendirilmesi

yapılmalıdır. YSK’dan çıkabilecek farklılıklarda çekilen fotoğrafların

17

delil/belge olarak saklanması çok önem kazanacaktır. Aşağıdaki

gibi bir oynama olasılığı her zaman mevcuttur

Bilgi İşlem Denetimi açısından mevcut seçim sistemin

güvenirliliğinin değerlendirilmesi.

İmar Bankası olayından sonra hükümet tüm bankaların mali ve bilgi

işlem açısından denetlenmesini kararlaştırılmıştır. Bu nedenle resmi bir

kuruluş olan BDDK (Bankalararası Düzenleme ve Denetleme Kurulu)

kurulmuştur. BDDK yukarıda belirtildiği gibi bankaları hem mali hem de

bilgi işlem açısından denetleme yetkisine sahiptir Bilgi İşlem denetimi

tüm Dünyada yaygın olarak kullanılan ISACA firmasının geliştirdiği Cobit

standartlarını uygulayarak denetlemektedir.

Tanım olarak CobiT, “Control Objectives for Information and Related

Technology”nin kısaltılmış halidir. Türkçe ifade etmek gerekirse “Bilgi ve

ilgili teknoloji için kontrol hedefleri”. Bu tanım, CobiT’in amacını ifade

etmesi açısından önemlidir. CobiT, Bilgi Teknolojileri yönetiminde

ulaşılması gereken hedefleri ortaya koymaktadır.

CobiT’i, diğer standartlardan ayıran en büyük özelliği tüm Bilişim

Teknoloji (BT) fonksiyonlarını kapsayan bir çerçeve sunmasıdır. Farklı

şekilde ifade etmek gerekirse CobiT içerisinde yer alan 34 süreci bir

arada değerlendirdiğinizde BT yönetiminin her alanını kapsama almış

olursunuz. Bu nedenle diğer standartlardan farklı şekilde, CobiT’in tek

veya grup halinde BT süreçlerine değil BT’nin yönetilmesine

odaklandığını söylemek doğru olur.

18

Bankalar BDDK’nın yetki verdiği genelde Türkiye’de yerleşik yabancı

kökenli özel BT denetim firmalarınca Cobit standartlarına uygun olarak

denetlenmektedirler. Riskler Denetçi tarafından önem derecelerine gore

Yüksek, Normal ve Düşük Risk olarak değerlendirilirler. Denetçi,

denetlenenin faaliyetlerinde kullandığı uygulamalara ait riskleri

derecelendirmek için bir risk matrisi oluşturur. Uygulamalardan

kaynaklanan risklere ait bu matriste uygulamaların önemlilik derecesi,

uygulamalarla bütünleşik riskler, genel kontrol alanlarının ve uygulama

kontrollerinin etkinliği, yeterliliği, olgunluk seviyeleri ve denetlenenin

uygulamalardan kaynaklanan net riski gibi hususlar değerlendirilir.

Önerimiz: Yüksek Seçim Kurulu kararıyla oluşacak BDDK benzeri resmi

bir kuruluşun seçim sisteminin Bilgi İşlem dahil tüm süreçlerinin

denetlenmesini sağlamaktır. Bu konuda yetkilendirilmiş bağımsız BT

denetim firmalarına denetlendirilmesi ve sonuçlarının YSK ve tüm siyasi

parti yetkililerine gönderilmesinin sağlanmasıdır. Bütün denetçilerin hiç

bir siyasi partiye üye olmamaları, CISA sertifikası sahibi ve en az 5 yıl

bilgi işlem denetim tecrübesi olmaları şarttır.

Burada en önemli nokta bir devlet kuruluşundaki bazı süreçlerin

bağımsız denetim firmalarınca denetiminin sağlanmasıdır. Aynen resmi

bankalardaki süreçlerin de diğer özel bankalar gibi bağımsız denetim

firmaları tarafından çok yakından denetlenmesidir.

BT kaynaklı seçim hileleri konusundaki kafamızdaki şüpheler bu şekilde

azalabilir.

19

Hazırlayanlar

Cüneyt Göksu, Bilgisayar Yük. Mühendisi

Kaya Güvenç , TMMOB Başkanı

Ali Rıza Aydın, Anayasa Mahkemesi Eski raportörü

Bilişim ve hukuk çevrelerinden onlarca gönüllü dost.