Makale
Teknolojinin gelişmesiyle hayatımızın merkezine yerleşen bilişim sistemleri, siber suçlar için de elverişli bir zemin sunmaktadır. Bu makalede uzman avukat perspektifiyle bilişim sistemlerinin yapısı, suç işleme kolaylığı ve uygulamada sık karşılaşılan siber suç yöntemleri ele alınmaktadır.
Bilişim Sistemleri ve Siber Suçların Hukuki Analizi
İçinde bulunduğumuz bilgi çağı, verinin en değerli unsur olduğu bir dönemi ifade etmektedir. Bireylerin, kurumların ve devletlerin her türlü verisi, iletişim ağları vasıtasıyla bilişim sistemleri üzerinde işlenmekte ve depolanmaktadır. Hayatımızı büyük ölçüde kolaylaştıran bu sistemler, sahip oldukları yapı gereği kötü niyetli kişiler için de oldukça cazip bir suç işleme ortamı yaratmaktadır. Bilişim sistemleri ile bankacılık, haberleşme, ticaret ve sağlık gibi çok çeşitli alanlarda otomatik veri işleme yeteneğinin yaygınlaşması, fiziksel sınırlamaları ortadan kaldırmıştır. Ne var ki, yüksek hacimli verilerin saklanabilir olması ve faillerin coğrafi sınırlardan bağımsız hareket edebilmesi faillerin anonim kalmasını kolaylaştırarak, siber suç olarak adlandırdığımız yeni suç tiplerinin ortaya çıkmasına neden olmuştur. Bir bilişim hukuku avukatı olarak belirtmek gerekir ki; hukuk düzeninin bu hızlı dönüşüme entegre olması, ihlallerin tespit edilmesi ve adli makamların zararları telafi etmesi gün geçtikçe daha kritik bir hukuki mesele haline gelmektedir. Teknolojinin avantajları yanında getirdiği riskleri hukuki açıdan minimize etmek büyük önem taşır.
Bilişim Sistemleri ve Hukuki Niteliği
Bilişim sistemi kavramı, teknik ve hukuki açıdan sıklıkla bilgisayar kavramı ile karıştırılsa da ondan çok daha geniş bir kapsama sahiptir. Hukuki uygulamalarımızda bilişim sistemi, verileri toplayıp yerleştirdikten sonra otomatik işlemlere tabi tutma olanağı veren manyetik sistemlerin bütünü olarak tanımlanmaktadır. Bu bağlamda, yalnızca klasik bilgisayarlar değil; akıllı cep telefonları, POS cihazları, bankamatikler (ATM) ve veri taşıma özelliği olan CD veya sabit disk gibi donanımlar da bilişim sistemi içinde değerlendirilmektedir. Yargıtay kararlarında da vurgulandığı üzere, veri iletimi ve ağ üzerinden haberleşme sağlayan tüm araçlar bu kapsamdadır. Bilişim sistemlerinin hukuken tanınması ve korunması, içerisindeki değerli verilerin güvenliğinin sağlanması açısından temel bir adımdır. Faillerin çoğunlukla bu sistemlerin donanımsal yapısından ziyade, içinde barındırdığı yazılımları ve sanal arşivi hedef alması, hukuki ihtilafların odak noktasını oluşturmaktadır. Bu durum, siber suçlara karşı geliştirilecek savunma ve koruma stratejilerinde bilişim sisteminin sınırlarının doğru çizilmesini elzem kılar.
Bilişim Suçları Kavramı ve Özellikleri
Gelişen teknolojik imkanlar suç olgusunun da kabuk değiştirmesine neden olmuş, geleneksel suç tiplerinin yanında veya bu suçların yeni bir işlenme şekli olarak bilişim suçları ortaya çıkmıştır. Bilişim suçları temel olarak, bilişim sistemindeki verilere karşı ya da sistemdeki veriler hedef alınarak sistemin bütününe karşı yetki dışı gerçekleştirilen her türlü gayri kanuni eylem şeklinde tanımlanmaktadır. Bu tür suçların en önemli hukuki özelliklerinden biri, coğrafi sınır tanımaması ve çok kısa süre içerisinde büyük zararlara yol açabilmesidir. Bir failin evindeki bilgisayar başından, hiçbir fiziki temas olmaksızın farklı bir ülkedeki banka sunucularına girerek veya zararlı yazılımlar yayarak eylemini gerçekleştirmesi mümkündür. Ayrıca, faillerin bıraktıkları dijital izleri silme veya gizleme konusundaki uzmanlıkları, ispat külfeti açısından ceza yargılamalarında ciddi zorluklar yaratmaktadır. Suçun faili ile mağduru arasındaki mesafe farkı, uluslararası hukuki yardımlaşmayı ve ortak bir ceza politikası oluşturulmasını gerektiren karmaşık adli süreçler doğurmaktadır.
Yaygın Kullanılan Siber Suç Yöntemleri
Siber suç failleri, mağdurlara ait sistemlerdeki güvenlik açıklarından yararlanarak hedeflerine ulaşmak için sürekli yeni ve karmaşık suç işleme yöntemleri (modus operandi) geliştirmektedirler. Hukuk büromuza yansıyan uyuşmazlıklarda ve adli süreçlerde faillerin çoğunlukla yazılımsal zafiyetleri ve kullanıcı dikkatsizliğini istismar ettiği gözlemlenmektedir. Özellikle ekonomik çıkar sağlamak, sisteme zarar vermek veya kişisel verileri ele geçirmek maksadıyla kullanılan bu yöntemler, suçun tipikliğini doğrudan etkileyen araçlar olarak ceza yargılamasının temelini oluşturmaktadır. Failler, bazı durumlarda doğrudan sistem güvenliğini aşarak fiillerini bizzat icra ederken, bazen de otomatik olarak yayılan zararlı kodlardan yararlanmaktadır. Aşağıda, uygulamada en sık karşılaşılan siber saldırı yöntemleri listelenmiştir:
- Truva Atı (Trojan Horse): Başka bir program veya dosya gibi görünerek sisteme gizlice sızan ve failin uzak bağlantı ile bilgisayarda tam hakimiyet kurmasına yol açan yazılımlardır.
- Oltalama (Phishing): Güvenilir bir kurumdan geliyormuş gibi sahte e-postalar veya web siteleri hazırlanarak, mağdurların kredi kartı şifreleri ve gizli parolalarının hileli yollarla ele geçirilmesidir.
- Salam Tekniği (Salami Techniques): Çoğunlukla bankacılık bilişim sistemlerinde karşımıza çıkan, birçok farklı hesaptan çok küçük ve fark edilmeyecek miktardaki paraların (küsuratların) failin belirlediği tek bir hesaba aktarılması yöntemidir.
- DDoS Saldırıları: Hedef sisteme veya internet sitesine, kapasitesinin çok üzerinde sahte talepler yollayarak sistemin kilitlenmesini ve gerçek kullanıcılara hizmet veremez hale gelmesini amaçlayan yıkıcı eylemlerdir.
Sosyal Mühendislik ve Kullanıcı Hatalarının İstismarı
Siber dünyada gerçekleştirilen saldırıların tamamı salt teknik donanım ve karmaşık yazılımlar üzerinden yapılmaz. Birçok olayda failler, doğrudan insan psikolojisindeki zafiyetleri kullanarak sosyal mühendislik yöntemlerine başvurmaktadır. Bu yöntemde failler, mağdurla iletişim kurarak inandırma, hile veya aldatma taktikleriyle sistemin güvenlik duvarını aşmak için gerekli olan şifre ve kritik bilgileri doğrudan kullanıcının kendisinden temin etmektedir. Hukuki açıdan bu fiiller, mağdurun iradesinin sakatlanması sebebiyle bilişim sistemlerinin kullanıldığı geleneksel dolandırıcılık suçlarına benzemektedir. Bu tarz eylemlere karşı hukuki mücadelenin en zor yanlarından biri, mağdurun rızasıyla gerçekleşmiş gibi görünen işlemler ardındaki hileli yönlendirmeyi adli makamlara kanıtlamaktır. Dolayısıyla, kurumsal eğitimler ve farkındalık çalışmalarıyla siber güvenlik bilincinin artırılması, yaşanabilecek mağduriyetlerin ve ağır cezai süreçlerin önüne geçmek adına hukuki korumanın ilk kalkanı durumundadır.