Makale
Bilişim teknolojilerinin hızla gelişmesiyle ortaya çıkan bilişim suçları, sınır aşan doğası ve anonim yapısıyla küresel bir tehdit halini almıştır. Bu makalede, siber korsanların kullandığı oltalama, fidye yazılımı ve DDoS gibi saldırı yöntemleri ile bu suçlara karşı uluslararası alanda atılan hukuki adımlar ve AKSSS detaylıca incelenmektedir.
Bilişim Suçları: Siber Saldırı Yöntemleri ve Uluslararası Hukuk
Teknolojideki baş döndürücü gelişmeler, insanoğlunun günlük yaşamını ve ticari faaliyetlerini dijital ortama taşımasını sağlamış, ancak bu durum bilişim suçları adı verilen yeni bir suç tipinin doğmasına da zemin hazırlamıştır. Geleneksel suçlardan farklı olarak sınır aşan bir niteliğe sahip olan bilişim suçları, faillerin dünyanın öbür ucundan saniyeler içinde mağdurlara ulaşabilmesine olanak tanımaktadır. Bu suçların faili olan bilişim korsanları, fiziki bir mekâna bağlı kalmaksızın eylemlerini gerçekleştirebilmekte ve karmaşık ağ yapıları sayesinde kolaylıkla anonim kalabilmektedir. Elde edilen elektronik delillerin kırılgan ve uçucu yapısı, yargılama ve delil toplama süreçlerini büyük ölçüde zorlaştırmaktadır. Özellikle günümüzde, devlet kurumlarından özel şirketlere ve bireylere kadar herkes siber saldırıların potansiyel hedefi olabilmektedir. Mağdurların, müşteri nezdinde itibar kaybı veya tazminat davaları gibi endişelerle şikâyette bulunmaktan çekinmesi, pek çok suçun siyah sayıda kalmasına yol açmaktadır. Bu durum, siber suçlarla hukuki mücadelede hem yerel hem de uluslararası adli iş birliğini zorunlu kılmaktadır.
Bilişim Sistemlerine Yönelik Siber Saldırı Yöntemleri (Modus Operandi)
Bilişim sistemlerine ve verilere yetkisiz erişim sağlamak veya sistemlerin işleyişini engellemek amacıyla bilişim korsanları tarafından kullanılan teknikler, kriminolojide modus operandi olarak adlandırılır. Suç işleme yöntemleri teknolojinin gelişmesiyle sürekli değişim gösterse de belirli ana teknikler öne çıkmaktadır. Yetkisiz erişim amacıyla en çok başvurulan yöntemlerden biri phishing (oltalama) saldırılarıdır. Bu yöntemde sahte e-postalar veya mesajlar aracılığıyla kullanıcılar manipüle edilerek, kişisel veriler ve şifreler çalınmaktadır. Kullanıcıların güvenini kazanarak sisteme sızmayı hedefleyen sosyal mühendislik ve şifre kombinasyonlarını otomatik programlarla deneyerek doğru şifreyi bulmaya çalışan kaba kuvvet (brute-force) saldırıları da yaygın yöntemlerdendir. Ayrıca sistemin işleyişini durdurmaya veya yavaşlatmaya yönelik hizmet reddi saldırıları (DoS ve DDoS), failin tespiti zorlaştıran ve bir piyon işlevi gören zombi bilgisayarlar kullanılarak gerçekleştirilmektedir.
Verilere Müdahalede Kullanılan Zararlı Yazılımlar
Failler, bilişim sistemlerine izinsiz girmek ve verileri tahrip etmek için çeşitli kötü niyetli yazılımlar kullanırlar. Bu yazılımların işleyiş mantığı birbirlerinden farklılık göstermektedir:
- Bilgisayar Solucanları (Worms): Kullanıcı etkileşimi olmadan sistem açıklarından faydalanarak ağ üzerinden otomatik yayılabilme ve kendini kopyalayabilme yeteneğine sahiptir.
- Truva Atı (Trojan): Güvenilir ve meşru bir yazılım izlenimi vererek kullanıcıda güven uyandıran, sisteme sızdığında ise dosyaları çalma veya değiştirme olanağı sağlayan hileli yazılımlardır.
- Mantık Bombaları: Belirli bir zamanın gelmesi veya belirli bir eylemin yapılması gibi mantıksal koşullarla tetiklenerek çalışan zararlı kodlardır.
- Fidye Yazılımları (Ransomware): Bulaştığı sistemdeki dosyaları şifreleyerek, şifrenin çözülmesi karşılığında mağdurdan sıklıkla sanal para cinsinden fidye talep eden yazılımlardır.
Bilişim Suçlarında Uluslararası Hukuk ve AKSSS
Bilişim suçlarının, fail ve mağdurun farklı kıtalarda olabilmesine imkân tanıyan ulus ötesi niteliği, salt yerel mevzuatların tek başına yetersiz kalmasına neden olmuştur. Failin bulunduğu ülkenin yasalarında ilgili eylemin suç sayılmaması durumu çifte suçluluk ilkesinin işlememesine, dolayısıyla delil toplama ve suçluların iadesi gibi çabaların engellenmesine yol açabilmektedir. Uluslararası platformda bilişim suçlarına ilişkin mevzuat uyumlulaştırma çalışmaları, ilk olarak 1986 yılında yayımlanan OECD raporu ile gündeme gelmiş ve asgari müşterek suç tipleri belirlenmiştir. Ardından Avrupa Konseyi bünyesinde yürütülen uzmanlık komitesi çalışmaları sonucunda, siber suçlar alanındaki maddi ve usul hukukunu düzenleyen ilk uluslararası sözleşme olan Avrupa Konseyi Siber Suç Sözleşmesi (AKSSS) 2001 yılında Budapeşte'de imzaya açılmıştır.
Avrupa Konseyi Siber Suç Sözleşmesi'nin Kapsamı
Türkiye'nin 2010 yılında imzaladığı ve 2014 yılında yürürlüğe giren AKSSS (Budapeşte Sözleşmesi), akit devletlerin ulusal ceza kanunlarında bilişim suçları bakımından asgari bir standart oluşturmayı hedeflemektedir. Sözleşme maddi hukuk bakımından suçları; bilgisayar verilerinin ve sistemlerinin gizliliğine, bütünlüğüne ve kullanılabilirliğine karşı suçlar, bilgisayarla ilgili sahtecilik ve dolandırıcılık, içerik bağlantılı suçlar (çocuk pornografisi) ve telif hakkı ihlalleri olmak üzere dört ana başlıkta toplamıştır. Taraf devletlere, yetkisiz erişim, yasadışı araya girme ve sisteme müdahale gibi eylemleri kasten işlenmeleri halinde suç olarak düzenleme yükümlülüğü getirilmiştir. Bunun yanı sıra, suçluların iadesi ve 7/24 uluslararası bağlantı noktalarının oluşturulması gibi usul ve uluslararası iş birliği hükümleriyle küresel çapta etkin bir ceza hukuku mücadelesi için altyapı kurulmuştur.