BÖLÜM 2 – DİJİTAL ORTAMDA SEÇİM VE RİSKLERİ
Dr. Ferruh Demirmen
Bundan bir önceki (15 Temmuz 2018) yazımızda (Bölüm 1) 24 Haziran seçim günü ve ardından yaşanan gelişmeleri değerlendirmiştik. Bu 2. bölümde konunun dijital ortama ilişik yönü mercek altına alınacak.
24 Haziran seçimlerinde oy girdileri ve oy sayımı dijital ortamda, YSK’nın kontrolunda olan SEÇSİS sistemi desteği ile yapıldı. Bilgisayar desteği ile yapılan seçimlerin hızla sonuç almak gibi avantajları olduğu gibi riskleri de olduğu biliniyor. Bilgisayar teknolijisinin yaygın, siber saldırıların olağan olduğu bir devirde yaşıyoruz. ABD’de 2010 Bush-Gore seçimlerinde oy kartları ötesinde bilgisayar aracılığı ile manipülasyon yapıldığı söylenir. 2016 ABD seçimlerinde de Rusya kaynaklı siber saldırılarla şifrelerin kırıldığı ve oyların saptırıldığı yönünde savcılığa kadar uzanan ciddi iddialar var.
Bilgisayar, seçmenler için bir “kara kutu” gibi çalışır, ve sandık girdileri âdil olsa bile sonuçların âdil olacağı garanti edilemez. Oy sayımı işleminde koşullara bağlı “ifadeler” ya da “rezerve” veriler yoluya oylar bir adaydan başka bir adaya aktarılabilir. Bu tür usulsüzluklar sandık başındaki gözlemcilerin bilgisi ve kontrolu dışında, ve ıslak imzalı sandık tutanakların ötesindedir.
Yıllar önce bir bilgisayar uzmanının seçimlerde nasıl hile yapılabileceğine dek bir ABD Senato komitesine verdiği yeminli ifadenin videosu Turkish Forum’da yayımlanmıştı.
Yakın geçmişte, 24 Haziran seçimlerinden bir hafta önce, Türkiye’de deneyimli bir bilgisayar uzmanı yine Turkish Forum’da yayımlanan, teknik jargonla dolu bir mesajda SEÇSİS’e yönelik inanılması zor iddialarda bulundu. Seçimlerden 2 gün sonra başka bir katılımcı dijital ortamda seçim sonuçlarında nasıl hile yapılabileceğini gösteren basit bir örnek verdi. Bu iddialara burada açıklık getirmek istemiyoruz.
Daha önce de SEÇSİS hakkında birtakım kuşkuları dile getiren yazıların sosyal medyada yer aldığı bilinmektedir. Hattâ bazı yorumcular SEÇSİS’i seçimlerin “yumuşak karnı” olarak algılarlar.
Bu iddiaların geçerliliği konusunda burada hüküm vermiyoruz.
Kökeni California’da Sun Microsystems firmasına (şimdi Oracle’a bağlı) uzanan ve 2001 yılında satın alınarak HAVESAN tarafından Türkiye’ye adapte edilen Unix/Linux tabanlı SEÇSİS (orijinal adı “Sun Election Controlling Systems” veya “SEC-SYS”), Türkiye’de genel seçimler kapsamında ilk kez 22 Temmuz 2007 milletvekili seçiminde, ve bu tarihten sonra da genel ve ara seçimler ile halk oylamalarında kullanıldı. Sistemde oy kullanma T.C. kimlik numarasına bağlı. Sandık girdileri ilçe seçim kurullarına, oradan il seçim kurullarına, ve oradan da merkeze iletiliyor. Oyların merkezi sisteme ulaştırılması dışarıya kapalı VPN (“Virtual Private Network,” Sanal Özel Ağ) teknoljisi ile yapılıyor. Şifre ve kriptolama içeren bu yöntem girdilerin güvenirliğini hedefliyor.
YSK websitesinde SEÇSİS hakkında verilen bilgilere göre Ocak 2009’da TBD (Türkiye Bilişim Derneği), INETD (İnternet Teknolojileri Derneği) ve Ankara Barosu’nun birlikte düzenlediği bir panelde sistemin güvenilir olduğuna ilişkin karar alınmış.
Ancak o zamandan bu yana güvenirlik sertifikasının alındığına, sistemin şifre ve kriptolama bakımından güncellendiğine, viruslere karşı işletim sistemine en son güvenlik yamalarının uygulandığına, vb. dek bir açıklama yok. Ayrıca 2009’dan bu yana sistemdeki yazılımın herhangi bir şekilde değiştirilmediğine yönelik bir açıklama yok. Bilgisayar yazılımına dışarıdan müdahele (“hekleme”) mümkün.
Bu satırları kaleme almanın niyeti kesinlikle SEÇSİS’i bir zan altında bırakmak değildir. Ancak her dijital sistem gibi SEÇSİS’in de belirli aralıklarla denetimden geçmiş olması önemli. Bilindiği kadar ilçelerdeki uç bilgisayarları Windows XP işletim sistemi altında çalışıyor, ki bu eski sistem güvenilirlik açısından zafiyetli bir sistem. Sistemin omurgası 2001 yılında satın alındığında dijital ortamdaki “hünerleri” ile tanınan FETÖ örgütü, Türkiye’de rahatlıkla faaliyetteydi.
Altını da çizmek gerekir ki, seçim hileleri muhalif partileri hedefliyebileceği gibi iktidar partisini de hedefliyebilir.
Bu bakımdan 24 Haziran’da seçim güvenirliğini sağlamak açısından seçimlere katılan tüm partileri temsil eden bir bilgisayar uzman heyetinin seçimlerden hemen önce toplanıp SEÇSİS’i mercek altına alması isabetli olurdu. YSK böyle bir girişime izin verir miydi, bilinmez. Seçim yazılımlarının kamuya açık olmasının bir sakıncası olmayacağına inanıyoruz. Bu çalıştayda ele alınacak konular şunlar olabilirdi:
– Sürekli gelişen VPN teknolojisinde kriptolama güncelleştirilmiş midir?
– Yazılım ile ilgili olarak, “source-code audit” (kaynak kodu denetimi) yapılmış mıdır; yapılmışsa en son ne zaman yapılmışdır?
– Dışarıdan müdaheleyi engellemek veya zorlaştırmak için kriptolama ve “obfuscation” (şaşırtma, yanıltma) gibi önlemler alınmış mıdır? Müdahele yurt içinden olduğu gibi yurt dışından da olabilir.
– SEÇSİS’e benzer bir sistem hâlen AB ülkelerinde kullanılıyor mu; kullanılıyorsa güvenirliğe ilişkin ne gibi önlemlar alınmıştır?
Taraflara güven verebilecek böyle bir girişim yararlı olurdu görüşündeyiz.
En son olarak düşünülmesi gereken bir nokta, sahte veya geçerliliğini kaybetmiş (örneğin, ölmüş kişilere ait) vatandaşlık numaraları ile sisteme girebilme ve “oy verme” olanağı. Bu sorun dijital seçim sisteminin suistimele açık bir yönu olup yukarıda belirtilen bir uzman grubunun çalışma kapsamının dışındadır. Zira bu tür hayali vatandaşlık numaraları başlangıçta sistemin veri tabanına sokulmuşşa bu noktadan sonra VPN gibi güvenilirliğe ilişik önlemler fayda vermez. Sorun, sorumlu devlet kurumunun ve parti temsicilerinin ortaklaşa ele alacağı bir hususdur.
Sanırız bütün bu kuşkular yersizdi, ve SEÇSİS halkın demokratik iradesini hakkıyla işleme soktu.