1. GİRİŞ
Hazırladığım ödev , Teknik Çalışma Grubunun, kuruluşundan (26.2. 1998 tarihinden) bu güne kadar yaptığı çalışmalardan derlemeler yapılarak oluşturulmuş olup, yeni ekonomide elektronik ticaret ve lojistik etkileşimine değinilerek anlatılmıştır.
İkinci bölümde, Elektronik Ticarete Genel Bakış konusu Dünyadaki ve Türkiye’deki durum ele alınarak anlatılmıştır.
Üçüncü bölümde ise, Elektronik Ticaretin Sonuçları ve Elekronik Ticaret Sistemi Üzerine Öneriler ile birlikte ile birlikte ele alınmıştır.
Ödevimi oluşturmamda büyük ölçüde faydalandığım Teknik Çalışma Grubu’nun amacını kısaca açıklayacak olursak ; amaç, elektronik ticaretin Türkiye’de gelişip yaygınlaştırılması sürecindeki teknik problemlerin çözümünde yol gösterme ve danışmanlık yapmak için gereken teknik bilgi donanımını edinmektir. Bu noktadan hareketle; grup, sayısal imza, şifreleme, elektronik veri değişimi gibi elektronik ticaretin teknik bileşkeleri konusunda dünyada gelinen aşamayı saptamayı ve Türkiye koşullarına uygun teknik yapılanma konusunda gerekli standartları belirlemeyi hedeflemektedir.
Teknik Çalışma Grubu’nda yer alan kuruluş ve firmalar sunlardır: TÜBİTAK-BİLTEN (başkan), T.C. Sanayi ve Ticaret Bakanlığı, T.C. Ulaştırma Bakanlığı, T.C Sağlık Bakanlığı, Devlet Planlama Teşkilatı, Hazine Müsteşarlığı, Dış Ticaret Müsteşarlığı, Gümriik müşteşarlığı, Devlet İstatistik Enstitüsü, Merkez Bankası, Ziraat Bankası, Türkiye Odalar ve Borsalar Birliği, KOSGEB ( Küçük ve Orta Ölçekli Sanayileri Geliştirme Birliği),İGEME (İhraacaatı Geliştirme Merkezi),Orta Anadolu İhracatçıları Birliği, TTGV ( Türk Teknoloji Geliştirme Vakfı), MPM (Milli Prodüktivite Merkezi), Türk Patent Enstitüsü, İş Bankası, Emlak Bankası, Demirbank, Rekabet Kurumu, Türk Telekom A.Ş. Türk Eximbank.

2. Elektronik Ticaret’e Genel Bakış
Bilgisayar ağlarının gündelik yaşama girmesi, dünyanın çehresini değiştirmekte ve kağıt üzerinde yapılagelmekte olan hemen hemen herşey için, yepyeni bir ortam sunmaktadır; Elektronik ortam… İnsanların birbirleriyle yüz yüze konuşarak yaptıkları birçok iş, yerini bilgisayarların otomatik olarak yapabildikleri bir haberleşme türüne bırakmaya başlamıştır; “Elektronik veri Değişimi (EVD) yada ingilizcede kullanıldığı gibi Electronic Data Interchange (EDI) EVD sayesinde bilgisayarlar, kendilerine belirli bir yazılımla önceden ögretildiği şekilde ve kullanıcılarının istedigi konularda, birbirleriyle otomatik olarak veri değiş tokuşu yapmakta, otomatik olarak yollanan ve alıcısna ulaşan verileri yine otomatik olarak değerlendirebilmektedirler. Böylelikle bilgi, onu kullanacak olanın eline adeta hammaddeden ürüne dönüşmüş olarak ve gerekli son adıma kadar işlenmiş olarak geçebilmektedir.
Öte yandan, dünyanın apayrı iki ucundaki birbirini hiç tanımayan iki bilgisayar kullanıcısı yüzyüze hiç görüşmeden, sanal bir uzay içinde tanışabilmekte, birbirleriyle görgü, bilgi veya mal alışverişinde bulunabilmektedirler. Elektronik ticaret olgusu, işte böyle bir gelişmenin sonucu olarak ortaya çıkmıştır.Elektronik ticaretin yaygınlaşabilmesinin önündeki en önemli engel, açık iletişim ağları üzerindeki kullanıcıların birbirlerine kimliklerini kanıtlayabilmeleri sorunudur. Çözüm olarak önerilen açık anahtar altyapısı (public key infrastructure) ‘ kimlik kanıtlamaya ek olarak, bilgi bütünlüğü ve gizliliğini de sağlamaya yöneliktir. Açık anahtarlı (veya çift anahtarlı) şifreleme ve sayısal imzalama yöntemlerini kullanan her kişinin, gizli ve açık anahtar adları verilen ve birbirleriyle özel bir ilişkisi olan iki anahtarı (sayı dizisi)vardır. Kisi, gizli anahtarını yanlız kendisi bilir ve imza atarken, ya da sifreli mesajlarını çözerken kullanır. Aynı kişinin açık anahtarı ise herkesin bilgisine ve kullanımma açıktır. Bu açık anahtarı kullananlar ya anahtar sahibinin imzasını doğrulamak, ya da yalnızca o açık anahtar sahibinin çözebileceği şifreli bir mesaj hazırlamak amacını güderler. Hangi açık anahtarın hangi kişiye ait olduğunu belgelemek için onay kurumları – OK (certification authority – CA) tarafından hazırlanan ve sayısal olarak imzalanan elektronik kimlik belgeleri (digital certificate) gereklidir.
2.1. Dünyadaki Durum
Bilgisayar kullanıcılarını birbirine bağlayan açık bir bilgisayar ağı olan Internet’e dünyanın pek çok ülkesinden ulaşılabilmektedir. Diğer bir deyişle, Internet üzerinden bir ‘dünya tülü’ ya da ingilizce sözcüklerle ‘world wide web – www’ oluşturulmuştur. Bu tülde bir tanıtım sayfası, yani ‘web sitesi’ hazırlayan herhangi bir firma, ürünlerini yaygın bir alıcı kitlesinin incelemesine sunmuş olmaktadır. 1993 yılında yalnızca 30 tane dünya tülü sunucusu (web server) varken, bugün aynı sayı 500 bini aşmıştır. Herkesin erişimine açık tül sayfası sayısı ise 7 milyon civarındadır ve 2000 yılına kadar bu saymın 1.1 milyara ulaşacağı öngörülmektedir. Internet üzerinde bugün 35-40 milyon olduğu sanılan kullanıcı sayısı, pek çok ülkede hızla artmaktadır. Internet trafiğinin yaklaşık olarak yarısı tül sayfalarından geçmektedir, bunun da yüzde 35’ inin ticari amaçlı olduğu tahmin edilmektedir. Dünya tülüne dayalı müşteri/firma arası elektronik ticaret (E-ticaret) toplam değeri için ise,1996 yılında 500 milyon dolar, 2000 yılında 6.6 milyar dolar gibi tahminler verilmektedir.
Firma/firma arasındaki E-ticaret toplam değerlerinin bu sayılardan çok daha fazla olacağı ve müşteri/firma arasındakilerin 100 katına ulaşabileceği düşünülmektedir. Firmaların kendi aralarındaki ticari işlemlerde, otomasyon ve elektronik veri değişimi (EVD) uygulamalarının daha anlamlı olacağı, zamandan, iş gücünden ve kağıt kullanımından yapılan tasarrufların, fiyatları önemli ölçüde düşüreceği savunulmaktadır. EVD, yaklaşık 25 yıldır gündemde olmakla birlikte, kullanımı hep büyük firmalarla sınırlı kalmıştır. Internet’e dayalı EVD kapalı özel ağların desteklediği EVD’ye oranla daha ucuz bir seçenek sunduğu için son yıllarda daha çok tercih edilmeye başlanmıştır. Özel ağlar yerine Internet kullanımından doğabilecek aksaklıklar da yazılımla giderilmektedir. Öte yandan, E-ticaretin yaygın kullanımında elektronik veri değişimi (EVD) uygulamalarının yalnızca bir altküme oluşturacağı ve genel E-ticaret kavramının, EVD içermeyen uygulamaları da kapsayacak esneklikte olacağı öngörülmektedir.
Elektronik ticaret, elektronik araçlarla yapılan ticari işlemlere yönelik tüm çalışmaları içerdiği İçin E-ticareti sadece ‘ İnternet’ kapsamında görmemek gerkir. Bu bakımdan sanal ortamlarda Verilecek iş emirlerini iki ayrı kategoride değerlendirmek gerekmektedir; bunlardan bazıları Açık (dünya tülü-www tabanlı) bazıları da kapalı sistemlerle mümkün olan işlemlerdir.
2.1.1. Dünyada Elektronik Ticaret Uygulama ve Çalışmaları
Dünyada elektronik ticaret konusundaki çalışmalarda gelişmiş ülkeler başı çekmektedirler. Çeşitli ülkelerin E-ticaret konusundaki çalışmaları incelenerek, G7 ülkeleri, Japonya, Avrupa Birligi, Avustralya gibi bazı ülkeler için aşağıda ana hatlarıyla özetlenmiştir.
G7 Ülkelerinde Elektronik Ticaret Konusunda Yapılan Çalışmalar
G7 ülkelerinde Elektronik Ticaret ile ilgili çalışmalara Amerika Birleşik Devletleri’nin öncülük yaptığı gözlenmektedir. ABD hükümeti, elektronik ticaretteki gelişmeleri yakından takip etmekte, bu konuda özel sektörün çalışmalarını desteklemekte ve hiçbir şekilde bir kısıtlama getirmemeye çalışmaktadır. Önümüzdeki birkaç yıl içinde bilgisayar ağları üzerinden yapılan ticaretin 10 milyar doları aşmasının beklenmesi, konunun ciddiyetini arttırmaktadır. Son olarak Başkan Clinton’in isteği üzerine Beyaz Saray tarafından küresel elektronik ticaret kurallarının incelendiği bir rapor hazırlanmış ve ‘Elektronik Ticaret için bir Çerçeve’ (A Framework for Global Electronic Commerce) adıyla yayınlanmıştır.
G7 Pilot Projesi olarak sürmekte olan “Küçük ve Orta Büyüklükteki İşletmeler için Küresel Pazar” (Global Marketplace for SME’s) kapsamında, elektronik ticaretin küçük ve orta boy işletmeler (KOBİ’ler) için yararları ve yapılması gereken düzenlemeler, çalışma grupları oluşturarak ele alınmıştır. Bu çalışma grupları:
• enformasyon ağları (information networks),
• küreselleşme ve getirdikleri (globalization),
• uygulama boyutu (deployment),
• yasal düzenlemeler ve güvenlik (legal, regulatory, security),
• uyum (interoperability),
• finansman (financial issues),
• pilot uygulamalar (testbeds and pilots) konuları etrafında oluşmuş, bu konularda çerçeveler çizilmiş, hedefler belirtilmiş, ve hedeflere uygun örgütlenmeler yapılmıştır.
G7 ülkeleri genel olarak kendi altyapılarında sürmekte , olan elektronik ticareti yaygınlaştırmayı, vergi kayıplarını engellemek için kontrol mekanizmaları oluşturmayı, gereken güvenlik altyapısını, yasal düzenlemeleri ve yerel uygulamaları geliştirmeyi öngörmektedirler. Bu alanda yapılacak çalışmalarla KOBİ’lerini uluslararası ticarete açmayı ve ticari işlemlerin bilgisayar ağları üzerinden yiirütülmesini hedef seçmiş bulunmaktadırlar. Üzerinde çalıştıkları sistemler ile gümrük işlemleri de dahil olmak üzere ticari işlemlerin güvenli ve hızlı bir şekilde bilgisayar ağları üzerinden yapılmasını sağlayacaklardır.
G7 organizasyonu, elektronik ticaretin Internet üzerinden yapılacağı konusunu reddetmekte fakat ağyapıları ve iletişim konusundaki gelişmelerden de konuyu soyutlamamaktadır. Bu gelişmelerden X.25,,X.400, B-ISDN ve ATM ağyapıları önemli görülmektedir. ATM yapıları ile daha hızlı iletişimin mümkün olması, çokluortam bilgilerinin Internet yoluyla yayınlanmasını, dolayısıyla coğrafi olarak uzak yerler arasında Internet üzerinden telekonferans ve görüntü transferini mümkün kılmaktadır. Böylece etkin ve yaygın ürün tanıtımları ile sunumlar Internet üzerinden yapılabilecektir.
G7 organizasyonu güvenlik ve yasal düzenlemeler konusunda, hem bilgilerin, hem de ticari işlemlerin güven altına alınması gerektiğini belirtmiş; ayrıca bu konudaki yerel ve uluslararası yasal düzenlemeler için bir model önermiştir. Güvenlik konusuna ek olarak, ticari ilişkide bulunacak tarafların güvenilirliklerinin tarafsız kuruluşlar tarafından onaylanmasının gerekliliği de belirtilmiştir.
Japonya’da Elektronik Ticaret Konusunda Yapılan Çalışmalar
Japonya’da sistematik elektronik ticaret çalışmaları 1996 yılının başında “Electronic Commerce Promotion Council of Japan (ECom) “ adında bir kurumun oluşturulmasıyla başlamıştır. Bu kurum bünyesinde elektronik ticareti farklı yönlerden inceleyen ondört çalışma grubu kurulmuştur. Hali hazırda ondokuz test projesi yürütülmekte ve bu projelere Japonya’nın önde gelen şirket kuruluşları da dahil edilerek (350 şirket ve 7 kuruluş), ülke çapında bilgi ve tecrübe paylaşımı amaçlanmakta elektronik ticaretin standartları belirlenmeye çalışılmaktadır.
Japonya, elektronik ticarete oldukça temelden ve uzun vadeli yaklaşmaktadır. Japonya ‘da geliştirilmeye çalışılan yöntem politika ve teknolojilerin tümü, yakın bir gelecekte kağıt para yerine elektronik paranın geçmesini hedeflemektedir. Bu yüzden de Japonya için elektronik ticarette güvenliğin geliştirilmesi, bunun teknolojik ve yasal yönlerinin araştırılması en çok üzerinde durulan konuların başında gelmektedir. Bu ideale ulaşabilmek için gerekli yasal düzenlemelerin hazırlıkları da yine ECom bünyesindeki çalışma gruplarından “Onay Kurumları Çalışma Grubu” (“Certification Authority Working Group’) tarafından gerçekleştirilmektedir. Bu grup, ECom’a üye kurum ve kuruluşlara dağıtılmak üzere, elektronik ticarette yer alacak kurum ve kişilerin yetki ve sorumluluklarını ve birbirleriyle ilişkilerini belirleyen güvenli elektronik ticaret için bir ön yönetmeliği de içinde barındıran bir rehber yayımlanmıştır. Teknolojik olarak güvenli elektronik ticareti sağlamak için ise, IKP (Information security protocols) adı altında, daha güvenli iletişimi sağlayacak protokol geliştirilmesi için çalışmalar yapılmaktadır.
Avrupa Birligi’nde Elektronik Ticaret Konusunda Yapılan Çalışmalar
1980’lerin başından bu yana Avrupa Birliği, Avrupa – Ağı kapasitesini geliştirmek amacıyla AR-GE ağırlıklı programlar düzenlemekte (ESPRIT, RACE, ACTS‘ vb.); bu kapsamda EVD – veri Değişimi (EDI – Electronic Data Interchange) sistemlerine ve belirgin olarak da TEDIS (Trade EDI System) girişimine destek vermektedir. 1994’de Avrupa Komisyonu’nun isteği ve bilişim teknolojileri sektöründen önemli şirketlerin desteği ile Avrupa Bilişim altyapısını geliştirmek üzere 10 konuda hedef uygulama çalışmaları Başlatılmıştır. çalışmalardan dördü (KOBİ’ ler için Telematik Servisleri, Elektronik Sunum, Avrupa Kamu Yönetimi Ağı ve Şehir Bilgi Ağı) elektronik ticaretle doğrudan ilişkilidir.
ESPRIT programı altında 1996’ da sunulan AR-GE proje önerileri yazılım, çoklu ortamlar, Yüksek performanslı iletişim ağları, entegre üretim ve iş süreci (business process) teknolojilerini içerecek şekilde elektronik desteklemektedir.
Avrupa komisyonu, elektronik ticaret konusundaki çalışmaları örgütlemek amacıyla kendi altında açtığı birimler arasında bir görev dağılımı yapmıştır. Elektronik ticarete yönelik AR- GE programlarının büyük bir bölümü ‘DGXIII’e kayıtlıdır. Bu programlar, “Avrupa için Güvenli Elektronik Pazar” oluşturulmasına ve bütün elektronik ticaret çevrimini kapsayan güvenlikli genel modellemeye (secure generic modelling) yöneliktir.
Güvenli, kağıtsız ticaret üzerine BOLERO projesi: sağlık, sosyal güvenlik, gümrük konularında ulusal ve AB aracı kuruluşları arasında idari doküman akışını sağlamaya yönelik IDA (Interchange of Data between Administration) programı ‘DGIII’ tarafından pilot aşamada mali destek almaktadır. Diğer önemli girişimlerden DGXV tarafından idare edilen SIMAP, pan-Avrupa elektronik tedarik programı ve DGXXIII’e bağlı Commerce 2000 programı KOBİ’lerin elektronik ticarete yönelmesini teşvik etmektedir.
Avustralya’da Elektronik Ticaret Konusunda Yapılan Çalşmalar
Dünyada bilgisayar dağılımında ikinci, kurulu bilgisayar gücü olarak sekizinci sırada yer alan Avustralya’da elektronik ticaretin gelişimesi hiçbir şekilde alışverişlerin parasal boyutlarıyla kısıtlanmamaktadır. Elektronik ticaret düzenlemeleri, sekiz kamu kuruluşu arasında dağıtılmıştır. şu anda yürütülmekte olan ve “Yönetimsel Hizmetler Birimi” tarafından eşgüdümü sağlanan en önemli proje, bütün kamu tedarik hizmetlerinin elektronik ticaret ortamına geçirilişidir. Bu geçiş, Bassavcılık, Hazine ve Maliye Bakanlığı tarafından yürütülen politik ve yasal yapıların geliştirilmesi çalışmalarıyla desteklenmektedir. Avustralya hükümeti, endüstri ile işbirliği halinde ticaret ve taşıma zincirinde elektronik raporlama süreçlerinden sorumlu Tradegate kuruluşunun finansmanını sağlamaktadır. Bu kuruluş sözleşmeli olarak ihracatçı ve ithalatçı şirketler ve Avustralya gümrüğü arasında elektronik bağlantıları kurmaktadır.
2.1.2. Internet Üzerinde Bulunan Güncel Elektronik Ticaret Uygulamaları
Internet üzerinde elektronik ticaret tam anlamıyla uygulamaya konulamamıştır. Bu konuda en büyük engel son kullancıların güvenlik konusunda duydukları kaygılardır. Internet üzerinden yürütülen ticaretin çok önemli bir kısmı ürün tanıtımı ve kullanıcı onayını takiben kredi kartı numaraları üzerinden faturalandırma esasıyla işlemektedir. İsletmeler arası ticarette ise Şifrelenmiş elektronik posta kullanarak yapılan yazışmalar gittikçe yaygınlaşmaktadır. Güvenlik ve şifreleme konusunda yurtdışında bulunan özel kuruluşların verdiği hizmetlerden yararlanılmaktadır. Bu hizmetler arasında kredi kartının geçerliliğinin onaylanması ve siparişe bağlı veri ambarı uygulamaları önemli yer tutmaktadır. Varolan hizmetlere ek olarak güvenlik ve şifreleme konularında özel şirketler çalışmaların sürdürmekte, kredi kartı işlemlerinin yerini elektronik para ile yapılan alışverişlerin alması yönünde uygulamalar geliştirmektedirler. İşlemlerin güvenliğine paralel olarak, ağ güvenliği pazarı da aynı hızda genişlemektedir.
2.l.3. Elektronik Ticaretin Güvenliği
Kullanıcıların E-ticarete güven duyabilmesinin önündeki en önemli teknik sorun, Internet üzerindeki bilgi güvenliğinin sağlanması ve güvenli ödeme yapılabilmesidir. Bilgi güvenliğinden amaçlananlar: i) kimlik kanıtlanması, ii) bilginin bütünlüğü, bozulmamışlığı, iii) bilginin gizliliğidir. Bilgi güvenliğinin sağlanabilmesi için, her kullanıcıya biri gizli diğeri açık iki anahtar (sayı dizisi) veren açık anahtarlı kriptografi tekniklerinin kullanılması ve dünya üzerine yayılmış bir çok anahtar altyapısı (public key infrastructure) kurulması gereklidir (Bkz,Ek.l, l.Sunus)..
Açık anahtarlı kriptografide kimlik kanıtlanması ve bilgi bütünlüğü, ‘sayısal imza (digital signature) ‘ ile sağlanır. Sayısal imza, yollanan mesajın özetinin, imzalayanın gizli anahtarıyla şifrelenmesiyle oluşur. İmzayı doğrulamak için, imzalayanın açık anahtarı kullanılır. Bu nedenle, açık anahtarlar herkesin kullanımına açık bir veri tabanında tutulmalı ve sürekli olarak güncellenmelidir. Bu veri tabanlarını güncelleyen,anahtar üretimi, dağıtımı ve yönetimini sağlayan , kişilerin açık anahtarları ve kimlik bilgilerini içeren elektronik kimlik belgelerini (EKB) hazırlayan onay kurumları (OK) veya güvenilir. Üçüncü kuruluşlar (GÜK), birbirleriyle eşgüdüm içinde çalışmalı, ulusal ve uluslarası düzeylerde, kendilerine benzer kuruluşlarla karşılıklı olarak birbirlerini tanımalıdırlar.
Dünya pazarındaki en tanınmış onay kurumu olan VeriSign, RSA Bilgi Güvenliği, Ameritech ve Visa şirketlerinin ortaklığıyla kurulmuştur. Açık ağlar üzerinden birbirine ulaşmak isteyen iki kullanıcı, örneğin Çin’de, ABD’de veya Avustralya’da olabileceği için, kimliklerini karşılıklı olarak hızlıca kanıtlayabilmeleri, bütün onay kurumlarının uyum içinde çalışıyor olmasına bağlıdır. Açık anahtar altyapısından amaçlanan da, eşgüdüm ve etkileşim içinde çalışması gereken onay kurumları/güvenilir üçüncü kululuşlar/sayısal noterler/zaman damgası vurma veya anahtar bulma kurumları gibi kuruluşların sağladığı ulusal ve küresel hizmetler bütünüdür.
ABD’de açık anahtar altyapısı kurma sorumluluğunu üstlenen Ulusal Standartlar ve Teknoloji Geliştirme Enstitüsü, NIST, elektronik kimlik belgesi hazırlayan, içinde AT&T, Motorola, VeriSign gibi kuruluşların da bulunduğu 10 onay kurumunun yazılımlarını inceleyerek, bütün bu yazılımların uyum içinde çalışması için gerekli ölçütleri belirlemektedir.
Kanada’da ise Ottawa Northern Telekomünikasyon şirketi, 1998 yılında 15 milyon kullanıcıya destek verebilecek bir açık anahtar altyapısı kurmakta ve bu yapı içinde öncelikle, halkın kendisiyle ilgili devlet bilgilerine kolayca ulaşımını, devlet dairelerinin gerekli bilgileri paylaşmasını sağlamayı amaçlamaktadır.
Onay kurumlarının önemli bir bölümünü de banka ve benzeri kuruluşların oluşturması çok doğaldır. Örnegin, SET(Secure Electronic Transactions) standardını geliştiren MasterCard ve Visa, bu standardın gerektirdiği onay kurumu/ sertifika otoritesi hizmetlerini de veren kuruluşlar olacaklardır.

2.1.4. Ülkelerin Kriptografi Politikalarindaki Farklılıklar
Dünya üzerindeki değişik ülkelerin kriptografi politikaları oldukça önemli farklılıklar göstermektedir. ABD, kriptografik ürünlerin dış satımına kısıtlamalar koymakta, örneğin çok yaygın olarak kullanılan bir açık(çift) anahtarlı şifreleme yöntemi olan RSA algoritmasının anahtarı olan n sayısının 512 ikili’yi aşmasına izin vermemektedir. Ülke içinde 1024 ikili uygulamaları yasaklamadığı halde bu durumdan endişe duymakta ve sade vatandaşla birlikte, yasadışı örgütlerin de çok önemli bir gizli iletişim gücü ele geçirmesini sakıncalı bulmaktadır. ABD nin bu soruna bulduğu çözüm, güvenilir üçüncü kuruluşlar, yani GÜK’ler yardımıyla, herkesin gizli (özel) anahtarına, yasalar gerektirdiği zaman ulaşılmasını sağlayacak yöntemler geliştirilmesidir. Fransa, İsrail, Belçika, Çin gibi ülkeler de, kriptografik ürünlerin dışalımını kısıtlamış, ve gizli anahtarların GÜK’ler tarafından saklanmasını zorlayıcı önlemler almışlardır. İngiltere’deki kriptografi politikaları da benzer endişelerle planlanmaktadır. En uç önlem ise bir Güneydoğu Asya ülkesinden gelmiş ve Birmanya 1996’nın Eylül ayında Internet bağlantılarını yasaklamıştır.
Öte yandan birçok Avrupa ülkesi ve Avustralya, Japonya gibi ülkeler, kısıtlamalar ve yasaklamalardan yana değildirler. Özellikle Avrupa Birliği ülkeleri, ikili gizliliği tehdit eden her türlü önlemin, insan haklarına aykırı olduğunu ve elektronik ticaretin serbest gelişimini engelleyeceğini ileri sürmektedirler. Japonya, kriptografiye öncelikle ekonomiyi canlandırması açısından bakmakta, ulusal güvenlik yönünden kriptografiyi bir tehdit olarak algılamamaktadır. Bu ülkelerden, GÜK’ler konusundaki politikası belli olmayan Japonya dışındakiler GÜK’lerin gerekliliğine inanmamakta, üçüncü kuruluşlara güvenilmesi gereksinimi yaratan bir toplumsal düzenlemenin GÜK’lerin güvenilirliğini zorlayacak yöntemler gelişmesine yol açabileceğini düşünmektedirler. Bu durum ise yasalara uyan vatandaşların haklarını zedeleyecek, sayısal imzaların taklit edilebilmesine gizli mesajların istenmeyen kişiler tarafından okunmasına, ekonominin zarar görmesine yol açabilecek ve E-ticaretin gelişmesini engelleyebilecektir.
GÜK’leri gerekli veya gereksiz bulan iki ayrı görüş, onay kurumlarının (OK) gerekliliği konusunda ise birleşmektedir.Onay kurumlarını GÜK lerden ayıran en önemli özellik, gizli anahtarları saklamaması ve anahtar çiftini üretip kullanıcıya verse bile kendisindeki gizli anahtar kopyasını imha etmesidir.
2.2 Türkiye’deki Durum
Yurdumuzda bilgisayar ağları altyapısının geliştirilmesi yönünde önemli çabalar vardır. Türk Telekom A.Ş.’nin Internet’in sağlıklı gelişimi ve Türkiye’de Internet gereklerinin saptanması için yürütmekte olduğu çalışmalar hızla devam etmektedir (Bkz.Ek.l, 5.Sunuş). Türk Telekom’un Internet stratejisi oluşturulurken, diğer ülkelerdeki telekominikasyon operatörlerinin bu alandaki rolleri incelenmiş ve bu deneyimlerin sonuçları Türkiye uygulamasına aktarılmaya çalışılmıştir. Son yıllarda gerek Internet dünyasında, gerek Türkiye Internet şebekesinde önemli değişiklikler yaşanmıştır. Bu bağlamda, Türkiye’yi içine alan yeni teknoloji temelli ve en son uygulamalara açık bir Internet altyapı ağının kurulmasının gerekliliği konusunda görüş birliğine varılmıştır. 1995 yılı sonunda hızlı Internet hizmetleri için TURNET ihalesine çıkılmış ve 1996’da TURNET şebekesi kurulmuştur. Ancak, telefon konuşmaları için ortalama bağlantı süresi 1-2 dakika olarak düşünülen telefon Sebekesi üzerinden yapılan veri bağlantıları, ortalama 15-20 dakikaya kadar çıktığı için, Internet trafiğini kaldıramayan şebekede teknik sorunlar çıkmıştır. Yurtdışı çıkış kapasitesi de oldukça yetersiz kalan TURNET ağı yerine 1998 yılı sonuna kadar, 3 x 34 megabit/saniyelik yurtdışı çıkışlı TTNET ağının kurulması planlanmaktadır. Üç metropolıtanı ( Ankara, İstanbul, İzmir ) saniyede 155 megabit hızla birbirine bağlayacak olan bu ağ, 20 büyük ilde 34, geri kalan illerde de 2’ser megabit/saniyelik bağlantılar sağlayacaktır. Şu sırada Internet’e bağlı olan üniversiteler ve kamu kuruluşları dışında kalan kamu kuruluşlarının da, TTNET’in kurulmasından sonra,1999 yılı içinde Internet’e bağlanması beklenmelidir.
Türkiye’de birçok kamu kuruluşu, bilgisayar donanım ve yazılım altyapısını geliştirerek, yapmakla yükümlü olduğu işlerin otomasyonu, böylelikle insani hatalardan arımdırılması, veri bankalarında toplanan bilgilerin erişim kolaylığı ve çabukluğundan yararlanılması gibi amaçlarla projeler yürütmektedir. İçişleri Bakanlığı Merkezi Nüfus İşleri Sistemi (MERMS), Sağlık Bakanlığı Temel Sağlık İstatistikleri Bilgi Sistemi, Gümrük Bakanlığı Gümrük Sistemleri Otomasyonu (Bkz.Ek.l, 3.Sunuş) gibi projeler bunların başlıcalarıdır.
Türk bankacılık sektörünün de oldukça gelişmiş bir bilgisayar altyapısı vardır. Birçok büyük banka merkez ve şubeleri arasında gerçek zamanda bilgisayar iletişimini sağlamıştır (Bkz.Ek.l, 2.Sunuş). Merkez bankası ve diğer bankalar arasındaki elektronik fon transferleri (EFT) yine gerçek zamanda ve ‘RTGS-Real Time Gross Settlement’ sistemi kullanılarak yapılmaktadır, ve Türk bankalarının yüzde 99’u bu sisteme bağlıdır (Bkz.Ek.l, 4.Sunuş). RTGS kullanımında Türkiye, dünyadaki öncü 5-6 ülke içerisindedir. 1992 yılından beri çalışmakta olan EFT-1 projesinden sonra, çok daha kapsamlı ve yetenekleri arttırılmış olan EFT-2 ve EMKT (Elektronik Menkul Kıymet Transferi) projeleri kapsamında çalışmalara devam edilmektedir.
Internet üzerinden bankacılık hizmetlerine iki büyük banka başlamış, diğer ikisi de yakın bir gelecekte başlamayı planlamaktadır. Müşteriyle banka arasındaki iletişimde bilgi güvenliğinin sağlanması, bankalardan birincisinde tümüyle ulusal olarak geliştirilen bir yazılımla yapılırken, diğer banka yurtdışından satın aldığı standart bir yazılımı kullanmaktadır. İki bankanın tek anahtarlı simetrik Şifre algoritması da 128 ikillik anahtarlarla çalıştırılmaktadır.
Elektronik ticarete başlangıç olarak düşünülebilecek bazı girişimler de vardır. Bilgisayar ürünleri ve kitap satan birkaç firma, ve büyük bir süpermarket, Internet üzerinde hazırladıkları ‘web siteleri’ yani tül sayfaları ile kullanıcıya ulaşmakta, zengin ürün çeşitleri sergileyebilmektedirler. Fakat bu uygulamaların hiçbirinde açık anahtarlı kriptografi kullanılmadığı için, firmaları kötü niyetli kullanıcıların aldatmasına karşı koruyabilecek bir önlem de yoktur. Diğer bir deyişle, kullanıcının iddia ettiği kimliğin kanıtlanması, kredi kartı numarasının kendisine ait olduğunun belirlenmesi ve mesajın yolda bozulmadığının gösterilmesine yarayacak sayısal imzanın olmaması, firmayı E-ticaret uygulamasında bir risk altına sokmaktadır.
Benzer eksiklikler kamu kuruluşlarının EDI projelerinde de sorun yaratrnakta, sayısal imza için gereken teknik ve hukuksal altyapının Türkiye’de hazır olmaması, sistemi kullanmak için başvuran yurttaşların ıslak imzalarının’ bulunduğu belgelerinin, görevliler tarafından, bilgisayar ekranındaki belgeyle karşılaştırılarak kontrolü insani hataları gündeme getirebilecektir.
2.3. Bir Elektronik Ticaret Uygulama Örneği
Bu bölümde, dünyadaki bilgi güvenliği uygulamalarında çok sık karşılaşılan elektronik bankacılık ve elektronik ticaretten, bir uygulama örneği olarak sözedilecektir . Bankaların elektronik ticaret uygulamalarında, bilgi güvenliği konusu ön planda gelmektedir. Banka ile müşteri arasında güvenilir bir elektronik hesap açılabilmesi için şöyle bir yöntem düşünülebilir:
1. İlk adım olarak, müşteri bir başvuru formu doldurur ve şifrelenmiş olarak elektronik ortamda bankaya yollar.
2. Banka başvurunun ciddiyetinden emin olabilmek için, formdaki bilgilerin tutarlı olup olmadığının, bazı devlet kuruluşlarıyla işbirliği yaparak denetleyebilir. Aynı nedenle banka, elektronik başvuruya ek olarak, müşterinin elle doldurup imzaladığı ve postayla yolladığı ikinci bir başvuru belgesi isteyebilir.
3. Banka, müşterinin verdiği posta adresinin güvenilirliğinden emin olduktan sonra, bu adrese müşterinin izli anahtarının ve açık anahtarıyla kullanıcı adının eklendiği elektronik kimlik belgesini (EKB) içeren bir disket veya akıllı kart yollayabilir. EKB yi onaylayan kurum (OK) bankanın bağlı olduğu onay kurumu olabileceği gibi, OK görevini bankanın üstlenmesi de mümkündür.
4. Kullanıcı, disket veya akıllı kartını aldıktan sonra bankadaki elektronik hesabı açılmış olacağından, elektronik olarak yapacağı alışverişler, hesap açmış olduğu bankanın güvencesi altında olacaktır. Diğer bir deyişle, bu kullanıcının akıllı kart veya disketini kullanarak attığı sayısal imzası, alıverişteki muhatabına bankanın güvencesi altında yansıyacaktır. Müşterilerin bankayla iletişimi, elektronik ortamda dünya üzerinde yayılmış ve akla gelebilecek her konudaki bilgiyi isteyenlerin kullanımına sunmak amacıyla hazırlanmış olan www (world wide web) ağını (ki buna dünya tülü de diyebiliriz) tarayıcı programlar yoluyla olur. www bilgi sitelerinin ilk oluşturulmaya başlandığı yıllarda (90 başları) düşünülen bilgi verme / bilgi sunma amacına, günümüzde genişletilmiş www kullanıcılarının pasif / edilgin konumda bilgiyi almalarına ek olarak, bazı veri tabanlarına ulaşabilmelerine, aktif / etkin olarak işlem yapabilmelerine olanak tanınmıştır. Böylece müşterinin www ağından banka bilgi sitesine girmesi, onun banka veri tabanına ulaşması için yeterli olacaktır. Kullanıcı, banka hesabından para çekip istediği yere yatırır. hisse senedi alıp satar, ve yaptığı bütün işlemleri belgeleyen makbuzların bilgisayar ekranından evindeki yazıcıya aktarabilir. Elektronik ortamda yaptığı bütün işlemler bankanın bilgi sitesi içinde otomatik olarak şifrelenecektir. Bu şifreli mesajların kullandığı açık anahtar bankaya ait olduğu için, banka sunumcusu server bankanın gizli anahtarını kullanarak şifreyi çözecek ve kullanıcının isteklerini yerine getirecektir.
Banka sunumcusunun kullandığı işletim sisteminin de güvenilirlik koşullarını sağlaması gereklidir. (Örneğin , askeri güvenlik koşullarını sağlayan ve kullanım için uyarılmış işletim sistemleri piyasada bulunmaktadır.) ABD’ de 14 bankanın katılımıyla 1995 yılında kurulan SFNB (Securtiy First Network Banking) – güvenli bankacılık ağında, resmi uygulamalar dışındaki ilk güvenilir işletim sitemi teknolojisi kullanılmıştır. Bu işletim sistemi sayesinde, hem yapının dış etkilere karşı korunması, hem de sisteme erişimi belli bir hiyerarşik otorite zincirine göre düzenleyip bazı erişimlere ayrıcalık tanınması mümkün olabilmektedir.
Güvenilir bir işletim sistemi, banka içi uygulamaları banka çevresinden ayıracak bir koruma duvarı yaratır. Bu koruma duvarı, açık bilgisayar ağından gelen tüm iletileri bir güvenlik denetiminden geçirdikten sonra banka içine ulaştırır. Böylece, açık ağdaki trafik, banka içi işlemleri etkilemez ve bankanın kullanıcılara açık bilgi sitesine bilerek veya bilinçsizce yapılan herhangi bir elektronik saldırı, banka veri tabanına zarar veremez.
Güvenilir bir işletim sisteminin kötü niyetli kullanımlara karşı aldığı bir diğer önlem de , şüphe uyandırabilecek her işlemin, ayrıcalıkları kullanma denemelerinin, başarısız ağ bağlantılarının izlenmesi ve bu tür bağlantıların gerekirse engellenebilmek üzere kaydedilmesidir.

3. Sonuç
Türkiye’de yaklaşık olarak evlerin yüz ‘de 6-7 si, iş yerlerinin ise yüzde 11’inde bilgisayar bulunmaktadır. Bu oran gelişmiş ülkelerdeki oranlardan çok düşüktür. bu nedenle, bilgisayar ağları üzerinden yapılacak elektronik ticarete Türk halkının yaygın olarak katılacağı düşünülmemelidir. Öte yandan, az sayıda da olsa bazı ticari kuruluşlarımızın Internet üzerinde. dünya tülü sayfaları hazırlayarak dünya ile iletişim kurabilmesi ve ürünlerini tanıtıp dünya çapındaki rekabetle başedebilmesi mümkündür. Fakat dünya tülü üzerindeki satıcı sayısının bir çığ gibi büyüyeceği varsayılırsa, böyle yaygın bir rekabete uzun süre dayanılması kolay olmayacaktır. Bu nedenle, elektronik ticaretteki gelişmelerin uzun vadede küçük ve orta boy işletmelerden çok, büyük kuruluşlara yarayacağı öngörülebilir. Eğer elektronik ticaret, ABD’li uzmanların tahmin ettiği ölçüde ve hızda yaygınlaşırsa, ağlar üzerinden ticaret yapanlardan çok daha önce, bilgisayarları, açık anahtar altyapısının gerektirdiği donanım ve yazılımları üreten, dünya standartlarının oluşmasında öncülük eden firmalar oldukça önemli boyutlarda kazanımlar sağlayacaklardır.
Açık ağlarda kimlik kanıtlama ve bilgi bütünlüğünü koruma sorunlarına çözüm getiren sayısal imza uygulaması, ağ üzerindeki kullanıcıların birbirlerine güven duymasına yarayacak; ama beraberinde yeni ve farklı bir güven sorunu getirecektir: Onay kurumlarına, onlar tarafından dağıtılan anahtar çiftlerinin düzgün üretilmiş olduğuna, kişilerin gizli anahtarlarının iyi, dürüst ve sağlam ellerde saklanacağına, ya da üretilir üretilmez imha edileceğine, elektronik kimlik belgelerinin güncellenmesinin düzgün yürütüleceğine, yasal olarak gizli anahtara erişim durumlarında kişilik haklarının zarar görmeyeceğine, kısacası onay kurumun işleyişine güvenme veya güvenmeme sorunu. Bu nedenle, 1997 yılı Mart ayında yayınlanan OECD Kriptografi Politikalar: Kılavuzu’nda da belirtildiği gibi, kriptografi konusunda hizmet veren kurumların yasal sorumluluklarının açıkça belirlenmesi ve ilgili yasaların ivedi olarak hazırlanması gereklidir.
Elektronik ticaretin yaygın, ve hem firmalara hem de müşterilere güven verecek şekilde kullanılmaya başlaması güvenilir bir açık anahtar altyapısı (AAA) kurulmasıyla paralel olarak yürüyecektir. Bu altyapinin kurulmasında öncülük görevi, dünyada olduğu gibi Türkiye’ de de bankalara ve finans kuruluşlarına düşecek gibi görünmektedir. E-ticaretin sağlıklı ilk uygulamaları, belirli bir bankada hesabı olan alıcı ve satıcılar arasında kolaylıkla gerçekleşebilir; çünkü aradaki bankanın varlığı, iki taraf için de gerekli güven ortamının oluşturacaktır.
İkinci aşamada, birden fazla bankanın kurduğu ortak yapıya kayıtlı alıcı ve satıcıların, Internet üzerinden alışveriş yapabileceği güvenli bir ortam yaratılabilir. Bankalararası Kredi Kartları Merkezi, böyle bir ortam için uygun bir zemin olacaktır. Fakat böyle bir ağ, Internet üzerinde olsa bile, açık değil, kapalı bir bilgisayar ağı olacaktır; yani bu bankalar grubunda hesabı olmayan bir kişinin sisteme katılabilmesi mümkün olmayacaktır. Böyle bir yapının dünyaya bağlanabilmesi için gereken açık anahtarlı sayısal imza ve şifreleme yazılımı, ya da donanımı dünya standartlarına uyum sağlamak zorundadır.
Gizli anahtarın korunabilmesi için en güvenli ortam, kişinin biometrik bir özelliğine (göz, parmak izi gibi) bağlı olarak çalıştırılabilen akıllı kartlardır. Önümüzdeki yıllarda bilgisayarlara yüklenen sayısal imza ve şifreleme yazılımlarının, bilgisayar tarafından okunabilen akıllı kartlar sayesinde çalıştırılması beklenmektedir. Elektronik ticaret ve açık anahtar altyapısıyla ilgili standartların oluşum sürecine Türk bankalarının birlikte katılmaları bu konuda yapacakları yatırımları belirlenen standartlar doğrultusunda ve birbirleriyle eşgüdüm içinde yönlendirmeleri, genel verimliliğin artması açısından çok uygun olacaktır.
3.l. Öneriler
Ülkemizde yaşanan banker faciası, veya bankalardan bol kredi alıp yurtdışına kaçan firma sahipleri gibi olaylar hatarlanırsa, GÜK’lü bir örgütlenmenin Türkiye’de toplumsal felaketlere yol açması olasılığı hiç de düşük değildir. Güvenilir bir kuruluşun güvenilmez bir elemanın ulaşacağı bir gizli (özel) anahtar, o anahtarın gerçek sahibini mağdur edecek uygulamalara başlangıç olacaktır. Bu durumda, Türkiye için önerilerimizi şöyle sıralayabiliriz:
1. Bir çok ülkenin yaptığı gibi, Türkiye de dünyadaki gelişmeleri yakından izlemeli, fakat yasal düzenlemeler yapıp sayısal imzaya yasal geçerlilik kazandırmakta fazla aceleci davranmamalıdır. İvedilikle alınması gereken önlem, OK (ya da sertifika merkezi) olmak için girişimde bulunan ve reklam yaparak kullanıcıları iki anahtarlı kriptografik yöntemler hazırlayan sayısal imza veya şifre uygulamalarına alıştıran özel kuruluşların denetlenmesidir.
Bu kuruluşların, teknik içeriğin farkına bile varmadan, müşterilerini atılan sayısal imzaların güvenilirliğine, şifrelerin çözülemeyeceğine ikna etmeleri mümkündür. Halbuki henüz herşey çok yenidir. hiçbir kullanıcının kendi üretmediği ve başkasının ona verdiği gizli anahtarın gerçekten herkesten gizli ve dünyada tek olduğuna inanması için bir neden yoktur. Sertifika dağıtımı yapan bir kuruluşun gerçek bir OK olduğu ve o kurumun gizli anahtarının iyi korunduğu da varsayılmamalıdır.
2. Kullanıcılara, iki anahtarlı kriptografiye hızla uyum sağlamaları, alışverişlerini açık elektronik ağlardan yapmaları için reklam yapılması doğru değildir. Ancak,
i) kişi haklarını koruyucu, OK yetki ve sorumluluklarını belirleyici ve elektronik ticaretin sağlıklı gelişmesini hazırlayıcı yasaların ayrıntılı olarak tartışılması,
ii) elekronik ticaret uygulamalarına başlayan ülkelerin deneyimlerinin gözönünde bulundurulması ve
iii) güvenilir yasal çerçevenin oluşmasından sonra, kullanıcıların mağdur olmadan elektronik alişverişlere başlaması özendirilebilir. Türkiye’nin hazırlıksız bir şekilde kriptografik uygulamalara başlamasının ülkemize bu noktada kazandıracağı hiçbir şey yoktur; aksine bireylere ve ülkeye zarar vermesi önlenmelidir.
3. Onay kurumu (OK) görevi yapmak isteyen adayların böyle bir yetkiyi ancak etkin bir denetim ve bağlayıcı sözleşmelerden sonra alması gereklidir. OK’ lerin toplum içinde güven kazanabilmesi için, ilk onay kurumlarının kamu kuruluşu ya da çok güvenilir özel kuruluşlardan olması düşünülebilir. Ayrıca, onay kurumu olabilmek için sertifika alınması sürecinin çok dikkatli planlanması uygun olacaktır.
4. Japonya, Kanada, Singapur gibi ülkelerde olduğu gibi, ülkemizde de açık anahtarlı kriptografik altyapının kurulup elektronik ticaretin denenmeye başlandığı pilot/test projelerin ivedilikle üretilmesi ve sonuçlarının değerlendirilmesi çok yerinde olacaktır.

Bu Bilgiyi Paylaş:
  • Print
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Mixx
  • Google Bookmarks
  • BarraPunto
  • Bitacoras.com
  • BlinkList
  • blogmarks
  • BlogMemes Fr
  • BlogMemes Sp
  • Blogosphere News
  • blogtercimlap
  • co.mments
  • connotea
  • Current
  • Design Float
  • Diigo
  • DotNetKicks
  • DZone
  • eKudos
  • email
  • Fark
  • Faves
  • Fleck
  • FriendFeed
  • FSDaily
  • Global Grind
  • Gwar
  • HackerNews
  • Haohao
  • HealthRanker
  • HelloTxt
  • Hemidemi
  • Hyves
  • Identi.ca
  • IndianPad
  • Internetmedia
  • Kirtsy
  • laaik.it
  • LinkaGoGo
  • LinkArena
  • LinkedIn
  • Linkter
  • Live
  • Meneame
  • MisterWong
  • MisterWong.DE
  • MSN Reporter
  • muti
  • MyShare
  • MySpace
  • N4G
  • Netvibes
  • Netvouz
  • NewsVine
  • NuJIJ
  • PDF
  • Ping.fm
  • Posterous
  • ppnow
  • Propeller
  • Ratimarks
  • Rec6
  • Reddit
  • RSS
  • Scoopeo
  • Segnalo
  • Simpy
  • Slashdot
  • Socialogs
  • SphereIt
  • StumbleUpon
  • Symbaloo
  • Suggest to Techmeme via Twitter
  • Technorati
  • ThisNext
  • Tipd
  • Tumblr
  • Twitter
  • Twitthis
  • Upnews
  • Webnews.de
  • Webride
  • Wikio
  • Wikio FR
  • Wikio IT
  • Wists
  • Wykop
  • Xerpi
  • Yahoo! Bookmarks
  • Yahoo! Buzz
  • Yigg
  • Add to favorites
  • Blogplay
  • 豆瓣
  • 豆瓣九点
  • Diggita
  • LaTafanera
  • MOB
  • QQ书签
  • SheToldMe
  • viadeo FR