Belgelerin Güvenliği

Dijital ortama aktarılan belgeler çok daha güvenli bir Ģekilde saklanabilinir ve daha güvenli bir Ģekilde eriĢim sağlana bilinir. ġöyle ki belge oluĢturma, görüntüleme, güncelleme ve silme iĢlemlerinin kimler tarafından ve ne koĢullar altında yapılabileceği, tanımlanması gereken bir konudur. Kullanıcı ve grup tanımları, güvenlik tanımlarının temelini oluĢturur ve iĢletim sistemi, kitaplık, belge veya obje seviyesinde verilebilmektedir. Bu veriler sayesinde gerektiğinde adli veya kiĢisel problemlerde loglara (sistemde kullanıcıların yaptıkları iĢlemlerin ve hareketlerin database kısmında saklanması) bakılarak sistemin ve kiĢilerin güvenliği sağlanabilmektedir.

3.5.1.1 Logların tutulması

Dijital arĢivlerde ve tüm bilgisayar sistemlerinde her iĢlemin kayıtlarının tutulduğu bilgi notlarına (log) denir. Bilgisayar sistemlerinde güvenliği sağlam içinde yapılan her iĢ kayıt altına alınır. Bu kayıtlara yapılan müdahale veya değiĢiklikler hemen anlaĢılır. Bu saya de dijital arĢivlerde yapılan iĢler her zaman kayıt altındadırlar. Bu da yapılan iĢlerin güvenliğini artırmaktadır.

3.5.1.2 Yetkilendirilme

Yapılan iĢlemlere de kiĢi, kurum ve kuruluĢlara verilen yetkilerin çerçevesinde iĢlem yapa bilme kabiliyetini sınırlama veya derecelendirme iĢlemine yetkilendirme denir. Bilgisayar sistemlerinde tüm iĢlemlerde bir yetkilendirme söz konusudur. Bu kapsamda güvenlik nedeniyle herkese aynı yetki verilmez. Yetkilendirme sayesinde yapılan iĢlemlere göre bir derecelendirme oluĢturulur ve derecelendirmeye göre tüm iĢlerin log'ları tutulur.

Yetkilendirmeler programlar sayesinde kiĢi veya gruplara belirli kıstaslar belirlenerek verilebilinir. Yetkilendirmede karıĢıklık çıkmaması ve güvenlik zaafı oluĢturmak için tüm kullanıcılarına; isim, sicil gibi sınıflandırmalarla kullanıcıya has tanımlama yapılır. Bu tanımlama sayesinde kiĢi veya gruplara yetkilendirme yapılabilinir. En çok bilinen ve kullanılan, kullanıcıların bilgilerini tutan ve bilgisayar sistemlerinde kaynakları yönetmeye ve yetkilendirmeye yarayan Active Directory programıdır. Bu program Windows tabanlı iĢletim sistemleriyle beraber gelmektedir.

3.5.1.3 Versiyon kontrolü

Versiyon kontrolü ve check-in/check-out kayıt iĢlemleri belge yönetim sistemlerinin sağladığı diğer kütüphane servis hizmetlerindendir. Bir belgenin kaç sürümünün sistemde aktif olarak var olması gerektiği, check-in yapılmıĢ olan bir belgenin farklı kullanıcılar tarafından görüntülenme imkânının olup olmayacağı, check-out sırasında yeni sürüm yaratılması ya da eski belgenin üzerine saklanması tarzı özellikler belge yönetim sistemlerince sağlanan değiĢik seçeneklerdendir (http://www.mind2biz.com.tr). OluĢturulan her bir sürüm ayrı kaydedilebilir ve kayıtları kimin oluĢturduğu veya değiĢiklik yapıldığı sistem loglarından görülebilinir. Bu sayede habersizce veya yetkisiz bir Ģekilde belgelerin üzerinde değiĢiklik yapılması engellenir.

3.5.1.4 Dijital imza

Ġmza, “kimliğini ve ekli bilgiye onay verildiğini göstermek niyetiyle bir kimse tarafından (veya onun namına) kullanılan herhangi bir iĢaret veya kabul edilen herhangi bir güvenlik usulüdür (Çanga, http://www.etkk.gov.tr/hukuk.htm). Genel olarak elektronik imza; elektronik ortamda oluĢturulan, iletilen ve saklanabilen özel bir elektronik belgeyi ifade etmektedir (Sevimli, 2001:1029). Dijital imza ise bir bilginin, üçüncü kiĢilerin eriĢimine kapalı bir ortamda, bütünlüğü bozulmadan ve tarafların kimlikleri doğrulanarak iletildiğini elektronik veya benzeri araçlarla garanti eden harf, karakter veya sembollerden oluĢmuĢ bir settir (http://www.etkk.gov.tr /hukuk.htm).

Dijital imza el yazısı ile atılan imzanın sahip olduğu özelliklerini ve fonksiyonlarını, elektronik ortamda yapılan hukuki iĢlemler için de sağlamak amacıyla geliĢtirilmiĢ olan bir tekniktir (Sözer, 2002:127). Dijital imza; metnin, belgenin yazarı tarafından düzenlendiğini belirtmek kadar, baĢkası tarafından bozulmadığını da göstermek amacını güder ve dolayısıyla esasında metnin tamamı dijital imzaya dönüĢmüĢ olur. Ġmzayı atanın iradesinin yönünü ortaya koyması imzanın asıl fonksiyonudur. SözleĢmeye taraf olma ve sözleĢmenin getirdiği hak ve yükümlülükleri kabul etme iradesinde olma imzanın önemli bir fonksiyonudur. Aynı zamanda imzadan, imzalayanın; imzaladığı metni okuduğu ve anladığı ya da belgeyi bizzat hazırlayan kiĢi olduğu sonucuna da varılabilir. Ġrade beyanında bulunan kiĢinin tespiti ve beyan ettiği iradenin bütün ve değiĢmeksizin ulaĢtığına dair güvenin sağlanması yine imzanın sağladığı diğer güvencelerdir (Sevimli, 2001:1028).

Dijital imza; el ile imzanın tüm bu fonksiyonlarını yerine getirebilmek için geliĢtirilmiĢ bir teknolojidir (Pekcanıtez, 2002:395). Dijital imzanın iĢlevi, elektronik ortamda aslından ayrılması güç olan sahte imzayı önlemek ve orijinal belgeların olduğu Ģekilde herhangi bir tahrip ve tahrife uğramaksızın iletilmesini sağlamaktır (Keser, 2000:503). Ancak bunun için dijital imza belli vasıflara sahip olmasının aranacağı kuĢkusuzdur. Elektronik imzaların el ile

atılan imzalarla eĢdeğer kabul edilebilmesi için bir takım hukuki Ģartlar gerek Avrupa Topluluğu Ġmza Yönergesinde (SigRL)1 _{gerekse Amerika BirleĢik} Devletlerinde kanunlaĢan “E-Sıgn Act”2 _{da yer almaktadır (Bilgili, 2002:994).} Ġnternet bilindiği üzere belli bir ülkeye ait değildir dolayısıyla bu iletiĢim ağının tamamında ve her konuda geçerli bir hukuk düzeninin sağlanması mümkün değildir (Nomer, 2001:398). Avrupa Birliği çerçevesinde yapılan düzenlemeler ve hazırlanan model kanun bu hususta yeknesaklığı sağlamaya yöneliktir. Diğer bazı ülkelerde de internet ve dijital imza ile ilgili kanuni düzenlemeler yapılmakta ancak bunların yürürlük alanı o ülke ile sınırlı kalmaktadır. Konunun anlaĢılması bakımından hukuki güvenliği sağlayıcı bu Ģartlara diğer kanun ve tasarılarda dikkate alınarak aĢağıda ayrıntılı olarak değinilecektir (Özgül, 2003:http://inet-tr.org.tr/ inetconf8/ bildiri/141.doc).

Teknik bakımından dijital imza

Dijital imzanın teknik olarak bir yazılımdır (Software) (Sözer, 2000:127). Ġnternet üzerinden yapılan veri alıĢveriĢinde Ģu üç unsurun sağlanmasına yönelik iĢlev görür.

Bunlardan birincisi gizliliktir yani iletilen verilerin alıcıya varana kadar baĢkalarının bu verilere vakıf olamaması yani tamamıyla gizli kalmasıdır. Teknik açıdan öncelikle alıcının bu hususta emin olması sağlanmalıdır.

Ġkinci unsur bütünlüktür. Verilerin bozulmadan, baĢkaları tarafından değiĢtirilmeden, üzerine eklemeler veya silintiler yapılmadan alıcıya ulaĢmasıdır (Sözen, 2000:123). Kanaatimizce gizliliğin sağlanması dolaylı olarak bütünlüğün sağlanması anlamına da gelmektedir. Bütünlük, özellikle verilere karĢı yapılacak “hacker” lık faaliyetleri diye anılan saldırıların, tahriplerin önlenmesidir. Veri aktarımı sırasında böyle bir saldırı söz konusu oldu ise metnin bütünlüğünün bozulduğu kolaylıkla anlaĢılabilmelidir.

1 _{Signaturrichtlinie,(SigRL): Ġmza Yönergesi; 19 Ocak 2000 tarihinde yürürlüğe girmiĢtir. Üye}

ülkelerde 19.7.2001 tarihine kadar iç hukuka alınacağı öngörülmüĢtür

2

Üçüncü unsur gerçekliktir yani verilerin görünüĢe göre onu göndermiĢ olan kiĢiden gelmiĢ olduğunun tespitidir (Sözen, 2000:123). Nasıl imzanın kimden sadır olduğu yani kimin tarafından atıldığının tespiti hususunda zorluk çekmiyorsak aynı kolaylık dijital imzada da sağlanabilmelidir. Bu hususların sağlanması için Ģifreleme yöntemine baĢvurulmaktadır. ġifreleme, yetkisi olmayan kiĢilerin gönderilen verileri elde etmesini, okumasını önleyecektir (Rüssmann, 2002:341). ġifreleme anahtar vasıtasıyla yapılır. Anahtar, verilerin iĢleme tabi tutularak anlaĢılmaz hale getirildiği sonrada yine anlaĢılabilir hale sokulduğu yani deĢifre edildiği algoritmaya dayanan formüldür. ġifreleme için tek bir anahtar kullanılabildiği gibi çift anahtarda kullanılabilmektedir.

Özellikle elektronik ticaretin geliĢebilmesi ve kullanıcılar tarafından benimsenebilmesinin ilk Ģartı; internet üzerinden yapılan iĢlemlere hukuki açıdan duyulan güvenin sağlanmasıdır. Taraflar arasında iletilen bilginin gizliliği, bütünlüğü ve tarafların kimliklerinin doğruluğu kurulacak olan teknik ve hukuki altyapı ile sağlanmalıdır. Söz konusu Ģartlar özellikle elektronik imza ile sağlanabilmektedir. Bu nedenle, elektronik ticaretle ilgili çalıĢmalarda ileri birçok ülkenin yasal düzenlemelerde önceliği elektronik imza mevzuatı çalıĢmalarına verdiklerine Ģahit olmaktayız. Elektronik imza yasaları halen Almanya, Singapur, Ġsviçre gibi ülkeler ile ABD'nin birçok eyaletinde uygulanmaktadır (Senocak, 105).

Öncelikle teknik açıdan güven verecek sistem olarak kabul edebileceğimiz asimetrik anahtar yönteminin uygulanması ve verilerin iletiminde gizlilik, bütünlük ve gerçekliğin sağlanması Ģarttır. Bu husus özellikle ispat açısından büyük önem taĢımaktadır. KanunlaĢtırma faaliyetlerinde dijital imzanın, kanunda aksinin düzenlenmediği ve taraflarca aksinin kararlaĢtırılmadığı hallerde el ile atılan imza ile aynı sonuçları doğurabilmesi sağlanmaya çalıĢılmaktadır. Nitekim Avrupa Birliği Elektronik Ġmza Yönergesinde elektronik imzanın el yazısı ile atılmıĢ imza ile aynı hukuki etkiye sahip olabilmesi için Ģu üç Ģartın yerine getirilmesi aranmıĢtır(SigRL md.5 f.1):

1) Ġleri elektronik imza

2)Nitelikli bir sertifikaya sahip olma

3)Güvenli bir imza yazılım ünitesince yazılmıĢ olmak

Buna karĢın daha serbest bir tarzda hazırlanmıĢ olan Amerika Dijital Ġmza Kanunu E-SĠGN Act Sec 101(a) da bütün elektronik imzaların el ile atılan imzaya eĢdeğer olduğu kabul edilmiĢtir. Elektronik imzalar için her hangi bir Ģart ve koĢul aranmamaktadır yani iĢlemin tarafları imzanın el ile atılan imza yerine geçip geçmeyeceği hususunda serbest bırakılmıĢtır. Kanaatimizce bu husus Anglo-sakson hukuk sistemi ile de uyumludur. Ancak Türkiye‟nin de dâhil olduğu Kıta Avrupa'sı Hukuk sisteminde SigRL de kabul edilen Ģartların kabul edilmesi kanaatimizce daha uygun olacaktır. Yukarıda anlatılanlardan anlaĢılacağı üzere dijital imza ile el ile atılmıĢ imzanın aynı etkiye sahip olacak Ģekilde teknik ve hukuki yönden düzenlenmesi elektronik iĢlemlerde güvenliğin sağlanması açısından önem taĢımaktadır. Bu husus özellikle elektronik ticaretle bağlantılı olarak düĢünülürse yapılacak çalıĢmaların ne kadar önem taĢıyacağı ortadadır. Bu nedenle sertifika sağlayıcı kuruluĢlar yeterli teknik bilgi ve donanıma sahip olarak kurulmalı ve hukuki açıdan sorumlulukları ile ilgili hususlar açıklığa kavuĢturulmalıdır (ġenocak, 133). Sertifika hizmet sağlayıcılarına isteğe bağlı akreditasyon sistemi getirilerek dijital imzanın güvenlik standardının artırılması da mümkün olmalıdır1

(http://inet-tr.org.tr/inetconf8/bildiri/141.doc).

3.3.

ARġĠV BELGELERĠNĠN DĠJĠTAL ORTAMA