Makale
Soruşturma kapsamında bilişim sistemlerinde uygulanan arama, kopyalama ve elkoyma tedbirlerinin icra süreci büyük hassasiyet gerektirir. Bu makalede elektronik delillerin güvenliğinin sağlanması, adli kopya ve hash değerinin alınması ile elkonulan sistemlerin yedeklenerek iade edilmesine ilişkin usuli adımlar incelenmektedir.
Bilişim Sistemlerinde Elektronik Delil Toplama ve İcra Süreci
Bilişim suçlarının veya klasik yöntemlerle işlenip izleri dijital ortamlara taşınan diğer suçların soruşturulması kapsamında, sistemler üzerinde uygulanan arama, kopyalama ve elkoyma icra süreci, maddi gerçeğe ulaşılması bakımından muazzam bir hassasiyet gerektirir. Elektronik delillerin doğası gereği soyut ve kolayca değiştirilebilir olması, icra aşamasının büyük bir titizlikle ve teknik yeterliliğe sahip adli bilişim uzmanları eşliğinde yürütülmesini zorunlu kılar. İcra sürecinde öncelik, verilerin bulunduğu olay yerinde arama yapılması ve sistemin donanımlarına bütünüyle el konulmadan, sadece suçla irtibatlı olduğu değerlendirilen verilerin kopyalanmasıdır. İşlemlerin usulüne uygun şekilde yerine getirilmemesi, hukuka aykırı delil tartışmalarını doğurabileceğinden, delillerin güvenliğinin olay yerinde tesis edilmesi ve kayıt altına alınması adil bir yargılamanın en temel şartlarındandır.
Olay Yeri Güvenliği ve İlk Müdahale İşlemleri
Bilişim sistemlerinden usulüne uygun delil elde etme sürecinin en hayati aşaması, olay yeri güvenliğinin sağlanmasıdır. Somut bir yapıya sahip olmayan ve depolama aygıtlarınca taşınan elektronik veriler, kolaylıkla manipüle edilebilmeye açıktır. Bu sebeple, kolluk kuvvetleri tarafından arama öncesinde cihazlara yönelik fiziksel ve teknik tedbirler derhal alınmalıdır. Eğer bilişim sistemi kapalı durumdaysa, verilerin değiştirilmesini önlemek adına sistem açılmamalı ve cihazı çalıştırması için şüpheliden yardım istenmemelidir. Aksine cihaz halihazırda açık ise, uçucu nitelikteki (volatile data) geçici verilerin kaybolmaması için sistem aniden kapatılmamalı, uzmanlarca öncelikle canlı veri toplama (live data collection) işlemleri yapılmalıdır. Ağ bağlantıları üzerinden dışarıdan yapılabilecek siber müdahaleleri engellemek için cihazların her türlü uzaktan iletişimi derhal kesilmeli, özellikle mobil cihazlar için Faraday poşeti gibi yalıtım sağlayan araçlar kullanılmalıdır.
Adli Kopya (İmaj) Alınması ve Hash Değeri Hesaplanması
Olay yerindeki arama işlemi sonucunda suçla bağlantılı olabilecek dosyaların tespiti halinde, asıl verilere zarar vermemek için sistemin adli kopyası (imajı) alınır. Adli kopyalama, sıradan kopyalama işleminden farklı olarak, medyanın ilk sektöründen son sektörüne kadar boş alanlar ve gizlenmiş veya silinmiş veriler dahil her bir zerrenin birebir kopyalanması işlemidir (bit to bit). Kopyalanan bu dijital verilerin sonradan değiştirilmediğini hukuken kanıtlamak amacıyla, dosyanın adeta dijital parmak izi niteliğindeki hash değeri (özetleme) matematiksel olarak hesaplanır. Bu özet değer, imaj alma süreciyle eş zamanlı olarak hesaplanıp tutanağa geçirilir; elde edilen ikinci hash değeriyle uyuşma sağlanması delil bütünlüğünün korunduğunu tescil eder ve yargılamada doğabilecek manipülasyon itirazlarını kesin olarak bertaraf eder.
Elkoyma İşleminin Tatbiki ve Kopyaların İadesi
Bilişim sistemlerine yönelik tedbirlerin icrasında asıl prensip, şüphelinin sistemden uzun süre mahrum kalmasını engellemek için yerinde kopyalama yapmaktır. Ancak sistemde şifrenin çözülememesi veya uygulanan özel programlar sebebiyle gizlenmiş bilgilere ulaşılamaması ihtimallerinde donanımlara fiziken elkonulması zorunluluğu ortaya çıkar. Sistemin şüphelinin egemenlik alanından çıkartılması anlamına gelen elkoyma durumunda dahi, sistemdeki bütün verilerin yedeklemesi mutlaka teknik ekiplerce yapılmalıdır. Üstelik hak kayıplarını en aza indirmek gayesiyle, hazırlanan bu yedekten bir elektronik kopya oluşturularak şüphelinin veya müdafiinin ayrıca talebine dahi gerek kalmaksızın kendilerine teslim edilmesi ve bunun tutanak altına alınması kesin bir kanuni zorunluluktur.
Elde edilen elektronik verilerin hukuka uygun bir şekilde değerlendirilmesi ve muhafaza sürecinde icra edilecek adımlarda dikkat edilmesi gereken temel hususlar şunlardır:
- Delillerin fiziki güvenliği: Adli kopyaların bulunduğu diskler, bozulmayı önleyecek şekilde manyetik alan, ısı ve neme karşı korunaklı müstakil ortamlarda muhafaza edilerek adli emanet prosedürlerine dâhil edilir.
- Suç eşyası niteliğindeki veriler: Bilgisayarlarda tespit edilen ve yasa dışı olarak bulundurulması bizatihi suç teşkil eden çocuk pornografisi veya hukuka aykırı temin edilmiş kredi kartı bilgileri gibi içerikler, müsadere sürecine tabidir. Bu tehlikeli veriler şüpheliye teslim edilecek kopyalar arasından teknik imkânlar dâhilinde ayıklanır.
- Cihazların iade süreci: Sistemin şifre kırma işlemlerinin, gizli verilere erişimin ve yedeklemenin tamamlanmasının hemen ardından, elkonulan bilişim aygıtları gecikme olmaksızın ilgilisine iade edilmeli ve ölçülülük ilkesine bağlı kalınmalıdır.