Makale
Bilişim sistemleri ve internetin hayatımızın merkezine yerleşmesiyle birlikte, siber saldırı türleri de çeşitlenmiştir. Bu makalede, bilgisayar, veri ve bilişim sistemi gibi temel kavramlar hukuki bir perspektifle ele alınmakta, truva atı, oltalama, DoS saldırıları ve sosyal mühendislik gibi öne çıkan siber saldırı yöntemleri incelenmektedir.
Bilişim Kavramları ve Hukuki Boyutuyla Siber Saldırı Türleri
Günümüzde bilişim sistemleri; ekonomi, sağlık, eğitim, idare ve ticaret gibi hayatımızın her alanında aktif bir rol oynamaktadır. Bilginin otomatik olarak işlenmesini sağlayan bu sistemler, hızlı ve kolay iletişim imkanı sunarken aynı zamanda hukuki boyutu olan yeni riskleri de beraberinde getirmiştir. Teknolojinin hızlı gelişimi, geleneksel suç tiplerinin yanı sıra bilişim suçları kavramını ortaya çıkarmış ve bu suçların işlenme şekillerinin çeşitlenmesine neden olmuştur. Hukuk uygulamaları bağlamında bu alanı anlayabilmek için öncelikle bilgisayar, veri, internet ve bilişim sistemi gibi temel kavramların hukuki çerçevesini çizmek gerekmektedir. Ardından, sanal dünyada karşılaşılan hukuka aykırı eylemlerin teknik niteliklerini ve siber saldırı türlerini irdelemek, bilişim hukuku pratiği açısından büyük önem taşımaktadır. Failin tespiti zor olan ve coğrafi sınır tanımayan bu saldırılar, kurumlar ve bireyler üzerinde yıkıcı zararlara yol açabilmektedir.
Temel Bilişim Kavramlarının Hukuki Çerçevesi
Bilişim alanındaki uyuşmazlıkları ve suçları değerlendirirken, kanunilik ilkesi gereği temel kavramların iyi bilinmesi şarttır. En temelde yer alan bilgisayar, yalnızca hesaplama yapan bir araç değil; verileri depolayan, işleyen, ileten ve genel amaçlı kullanılabilme özelliğine sahip elektronik bir cihazdır. Bilişim sistemlerinin varlık sebebi olan veri ise, bilgisayar tarafından üzerinde işlem yapılabilen her türlü değeri, bilgiyi veya programı ifade eder. Sistem içerisindeki fotoğraflar, yazılar ve yazılımların tamamı hukuken veri kabul edilmektedir. Dünyadaki ağların birbirine bağlanmasıyla oluşan anonim yapı olan internet, iletişimi sınırların ötesine taşırken; bilişim sistemi kavramı, bilgisayarı da kapsayan, verilerin toplanıp otomatik işlemlere tabi tutulduğu manyetik sistemler bütününü ifade etmektedir. Yargıtay uygulamalarında da bankamatikler (ATM), cep telefonları ve elektronik güvenlik araçları geniş yorumlanarak bilişim sistemi kapsamında değerlendirilmektedir.
Başlıca Siber Saldırı Türleri ve Teknik Yöntemler
Bilişim suçlarının işlenmesinde failler, sistemin açıklarından veya kullanıcıların zaaflarından yararlanarak çok çeşitli yöntemlere başvurmaktadır. Hukuki vakalara sıklıkla konu olan bu siber saldırı türleri, çoğu zaman arkasında az iz bırakan ve teknik uzmanlık gerektiren karmaşık eylemlerdir. Failler, yetkisiz erişim sağlamak, verileri ele geçirmek veya sistemleri işlevsiz kılmak amacıyla zararlı yazılımlar kullanmakta ya da doğrudan manipülasyon tekniklerine başvurmaktadır. Bu yöntemler arasında truva atı (trojan), mantık bombası, bilişim virüsleri ve ağ solucanları gibi zararlı yazılımlar başı çekmektedir. Bununla birlikte, yazılım kullanılmaksızın doğrudan insan faktörünün hedef alındığı veya ağ trafiğinin manipüle edildiği saldırılar da uygulamada ciddi mağduriyetler yaratmaktadır. Aşağıda en sık karşılaşılan hukuka aykırı saldırı yöntemleri listelenmiştir:
- Truva Atı (Trojan Horse): Yararlı bir uygulama gibi görünen ancak kullanıcının çalıştırmasıyla arka planda sisteme sızarak verileri çalan veya dışarıdan komut almayı sağlayan zararlı yazılımlardır.
- Oltalama (Phishing): Sahte web siteleri veya e-postalar aracılığıyla, kişilerin banka şifreleri ve kredi kartı gibi hassas kişisel verilerini hile yoluyla elde etmeyi amaçlayan bir dolandırıcılık yöntemidir.
- DoS ve DDoS Saldırıları: Bir sunucuya eşzamanlı ve sürekli veri paketleri göndererek, sistemin kaynaklarını tüketip hizmet veremez hale gelmesini sağlayan yıkıcı eylemlerdir.
- Sosyal Mühendislik: Teknik açıklar yerine doğrudan insan zaaflarını kullanarak, kişileri ikna ve hile yöntemleriyle yanıltıp, normalde paylaşmayacakları gizli bilgileri veya şifreleri elde etme sanatıdır.
- Sistem Güvenliğini Kırma (Hacking): Herhangi bir zararlı yazılıma ihtiyaç duymaksızın, bilişim korsanlarının bizzat kendi teknik becerileriyle sistemin güvenlik duvarlarını aşıp yetkisiz erişim sağlamasıdır.
Zararlı Yazılımlar Dışındaki Diğer Manipülasyon Yöntemleri
Bilişim sistemlerine yönelik müdahaleler her zaman virüsler aracılığıyla gerçekleşmez. Hukuk davalarında ve ceza soruşturmalarında sıkça karşılaşılan bir diğer yöntem bilgi ve veri aldatmacası (data diddling) eylemidir. Bu yöntemde fail, sisteme veri girilirken sahte bilgiler kullanmakta veya mevcut verileri tahrif etmektedir. Bankacılık sektöründe sıklıkla rastlanan salam tekniği ise, hesaplardaki çok küçük küsuratların failin hesabına aktarılarak birikmesiyle haksız kazanç sağlanan, tespiti zor bir siber eylemdir. Ayrıca, sistemde silinmiş gibi görünen verilerin özel programlarla geri getirilerek ticari veya kişisel sırların çalınmasını ifade eden çöpe dalma tekniği de önemli bir hukuki ihlaldir. Ağ trafiğinin gizlice dinlenmesi ve istenmeyen ticari elektronik iletilerin (spam) kitlelere gönderilmesi de kullanıcıların iletişim özgürlüğüne ve özel hayatın gizliliğine açık birer saldırı niteliği taşımaktadır.