Türkiye'nin en stratejik ihalelerinden biri olan 'e-pasaport'la ilgili Zaman'ın gündeme getirdiği iddiaları Kamu İhale Kurumu (KİK) doğruladı. İtirazları değerlendiren kurum, ihalede yaşananlara 'dur' dedi. İki Fransız firması Gemalto ve Arjo Wiggins'in teklif ettiği işletim sisteminin güvenlik zafiyet taşıdığı, dolayısıyla teknik şartnamedeki talepleri yerine getirmediği sonucuna varılırken, iki firmanın teklifleri değerlendirme dışı bırakıldı. Oybirliği ile alınan kararda, "Bu aşamadan sonraki işlemlerin mevzuata uygun olarak yeniden gerçekleştirilmesi gerekmektedir." denildi. Bu da ihalenin, 3. olan Malezyalı Irıs firmasına verileceği şeklinde yorumlandı. Darphane ve Damga Matbaası Genel Müdürlüğü'nün aralık ayındaki ihalesini Gemalto kazanmıştı. Firma 10 yıl süre ile 5 milyon adet çipli pasaport üretimi işi karşılığında yaklaşık 7,7 milyon Euro teklif etmişti. Ancak firmanın 2010'da Amerika'daki uluslararası bir toplantıda şifresi kırılmış bir çiple ihaleye girdiği, güvenlik sertifikasının güncel olmadığı, bunun bilinmesine rağmen teklifin kabul edildiği öne sürülmüştü.

Darphane Müdürlüğü, 22.12.2011 tarihinde açık ihale usulü ile "Tabaka Yerleştirilmiş Pasaport Kapağı Alımı" ihalesi yaptı. 10 yıl süre ile 5 milyon adet çipli pasaport üretimi işi karşılığında Gemalto firması, yaklaşık 7,7 milyon Euro teklif ederek ihaleyi kazandı. İkinci sırada yine Fransız firması olan Arjo Wiggins yer aldı. İhalede üçüncü olan IRIS Technologies, 16.01.2012 tarihinde Darpahe'ye itirazda bulundu. Ancak idare iki gün sonra başvuruyu reddetti. Bunun üzerine Malezya firması, bir gün sonra Kamu İhale Kurumu'na itirazen şikâyet başvurusu yaptı. Güvenlik zaafı açıklanmış bir yonganın (çipli kapak) teklif edildiği ve dolayısıyla söz konusu ürünün teknik şartname hükümlerini sağlamadığı için değerlendirme dışı bırakılması istendi. İhalede teklif edilen yonganın güvenlik zaafının, Christopher Tarnovsky tarafından 2010 yılının Ağustos ayında 'Washington Black Hat 2010' konferansında ispat edildiğine dair belge sunuldu.

İddiaları ve sunulan belgeleri incelemeye alan KİK, bilirkişi unvanıyla TÜBİTAK'tan görüş istedi. TÜBİTAK Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi, 3 Nisan 2012 tarihinde teknik raporunu KİK'e sundu. Raporda, ihaleye katılan IRIS Technologies, Teknoser Bilgisayar AŞ ve Smartrac Technology firmalarınca teklif edilen ürünlerin gerekli şartları barındırdığı belirtildi. Buna karşılık, Gemalto SA - Mozaik Yazılım İş Ortaklığı ve Arjo Wiggins Security SAS tarafından teklif edilen ürünlerin şartları taşımadığı bildirildi. İki firmanın, Infineon şirketine ait SLE66 yongaları ile ihaleye katıldıkları aktarıldı. Fakat Christopher Tarnovsky'nin, bu çipe yaptığı sanal saldırının başarılı olduğu ve güvenlik sertifikasının buna rağmen yenilenmediği kaydedildi. 10 yıllık kullanım süresince güvenlik zafiyetinin yaşanmaması için idarenin, bu çipi tercih etmemesinin daha güvenli olacağı ifade edildi. Bunun yanında KİK, TÜBİTAK'ın da talebi doğrultusunda Türk Standartları Enstitüsü'nden de (TSE) görüş aldı. TSE'nin verdiği rapor da aynı doğrultuda oldu. 30 Nisan tarihli TSE raporunda, iki Fransız firmasının sunduğu çiplerin, şartnamenin 'Teknik Özellikler' ve 'Güvenlik' maddelerindeki hususları karşılamadığı vurgulandı. "SLE 66 yonga ailesinin ve bu aile üzerinde çalışan işletim sistemlerinin kritik uygulamalar için kullanılmasının güvenlik zafiyeti oluşturabileceği, üzerinde durulması gereken çok önemli bir husustur." denildi.

KİK üyeleri, 7 Mayıs'ta toplanarak bu iki rapor sonucunu değerlendirdi ve iki firmanın tekliflerinin değerlendirme dışı bırakılmasına oybirliği ile karar verdi. Gemalto'nun, 60 gün içerisinde Ankara İdare Mahkeme-si'ne dava açma hakkı bulunuyor.



Zaman