“Dziennik Gazeta Prawna”nın haberine göre, Ulusal e-Fatura Sistemi KSeF kapsamındaki verilere, Maliye Bakanlığı’nın çözümlerinden yararlandığı özel bir şirket erişim sağlayacak. Bakanlık, veri güvenliğinin korunacağını garanti ederken, uzmanlar bu konuda şüphelerini dile getiriyor.
1 Şubat’ta yürürlüğe girmesi planlanan Ulusal e-Fatura Sistemi KSeF’e yaklaşıldıkça, veri güvenliğiyle ilgili endişeler de artıyor. Son olarak popüler bir internet portalı kullanıcısı alarm verdi. Kullanıcı, Maliye Bakanlığı’nın özel bir şirketin sunduğu çözümleri kullandığını ve bu şirketin KSeF üzerinden düzenlenen faturalardaki verilere erişimi olacağını öne sürdü.
“Anahtarlar sadece bizde”
Söz konusu şirketin, siber güvenlik alanında uzmanlaşmış Amerikan merkezli Imperva olduğu ve bu şirketin Fransız Thales grubuna ait olduğu belirtiliyor. İnternette dile getirilen iddialara göre, yetkisiz kişilerin kimlerin kime, hangi tutarlarda fatura kestiğini görmesi mümkün olabilecek. Ayrıca belirli bir firmada KSeF’e kimin, hangi yetkilerle erişim sağladığı bilgilerine de ulaşılabileceği ileri sürüldü.
Maliye Bakanlığı ise bu iddiaları reddediyor. Bakanlıktan yapılan açıklamada, Web Application Firewall Cloud gibi güvenlik sistemlerinin fatura içeriklerine erişimi olmadığı vurgulandı. Bu sistemlerin yalnızca şifrelenmiş verileri görebildiği, verilerin çözülmesi için gerekli anahtarlara sahip olmadığı belirtildi. Açıklamada, anahtarların yalnızca Maliye Bakanlığı’nda bulunduğu ve faturaların yalnızca KSeF sistemi tarafından, bakanlığın kullandığı özel şifreleme yöntemleri ve benzersiz anahtarlar aracılığıyla çözülebildiği ifade edildi.
KSeF’e yönelik siber saldırı riski
Buna karşın uzmanlar, kullanılan şifreleme yöntemlerine temkinli yaklaşıyor. ITrust şirketinin Genel Müdürü Adrian Lapierre, mevcut sistemin siber saldırılara ve olası veri sızıntılarına karşı tam koruma sağlamadığını savundu. Lapierre, Enigma şifresinin geçmişte kırılmasını örnek göstererek, KSeF’te de risk mekanizmasının benzer olduğunu ileri sürdü.
Uzmanlara göre, verilerin şifreli olması tek başına mutlak güvenlik anlamına gelmiyor ve sistemin dış müdahalelere karşı dayanıklılığı konusunda soru işaretleri bulunuyor.
