Makale
Bilişim teknolojilerinin hızla gelişmesiyle birlikte siber suçluların kullandığı teknik yöntemler giderek karmaşıklaşmaktadır. Hukuki süreçlerde delillerin tespiti ve mağduriyetlerin önlenmesi için bu suç işleme yöntemlerinin ve alınması gereken güvenlik tedbirlerinin hukuki ve teknik boyutuyla iyi analiz edilmesi hayati önem taşımaktadır.
Bilişim Suçlarında Teknik Yöntemler ve Güvenlik Tedbirleri
Günümüzde bilişim sistemlerine karşı veya bu sistemler aracılığıyla işlenen suçlar, klasik suç tiplerinden oldukça farklı bir yapı sergilemektedir. Klasik suçların aksine, bilişim suçları fiziki bir mekan zorunluluğu olmadan, sadece bir bilgisayar ağı kullanılarak saniyeler içerisinde işlenebilmekte ve arkasında bulunması son derece güç, silik ipuçları bırakmaktadır. Bu durum, suçun failine veya faillerine ulaşılmasını ya çok zorlaştırmakta ya da imkansız hale getirmektedir. Failin maddi dünyada fiziksel bir hareketi bulunmasa dahi, bilişim sistemlerinin soyut unsuru olan veriler üzerinde gerçekleştirilen hukuka aykırı işlemler, çeşitli yazılımlar ve teknikler aracılığıyla yapılmaktadır. Bu noktada, bir bilişim hukuku avukatı olarak vurgulamak gerekir ki, yargılama süreçlerinde delillerin karartılmadan toplanabilmesi ve doğru illiyet bağının kurulabilmesi için suçun işlenme yöntemlerinin teknik detaylarıyla bilinmesi şarttır. İleri teknoloji ürünleri ve yüksek bilgi birikimi gerektiren bu yöntemler, hukuk uygulayıcılarının sürekli güncel kalmasını zorunlu kılmaktadır.
Bilişim Sistemlerine Yönelik Başlıca Suç İşleme Yöntemleri
Uygulamada sıklıkla karşılaştığımız teknik suç yöntemlerinin başında veri aldatmacası (data diddling), gizlice dinleme (sniffing) ve çöpe dalma (scavenging) gelmektedir. Çöpe dalma yöntemi, bir veri işlem sonucunda bilişim sisteminin belleğinde kalan ve artık ihtiyaç duyulmayan silinmiş bilgilerin gelişmiş yöntemlerle geri getirilmesi veya fiziksel çıktı atıklarının toplanması şeklinde hukuka aykırı bir veri elde etme yöntemidir. Ağ trafiğindeki verilerin yakalanmasına dayanan gizlice dinleme işleminde ise, pasif veya aktif gözetleme ile ağda dolaşan tüm veriler yetkisiz bir biçimde elde edilir. Hukuki açıdan özellikle evrakta sahtecilik ve dolandırıcılıkla ilişkili olan veri aldatmacası ise, sisteme hatalı verilerin girilmesi veya girilmiş verilerin sonradan değiştirilmesini ifade eder. Kişisel verilerin ihlali ve haksız menfaat temini bağlamında bu üç yöntem, faillerin sistem açıklarını ve kurumsal güvenlik zafiyetlerini kolayca istismar edebildikleri temel eylemler olarak adli vakalara sıklıkla yansımaktadır.
Daha karmaşık ve sistemin bütünlüğüne doğrudan zarar veren diğer yöntemler arasında Truva atı (Trojan horse), salam tekniği (salami techniques) ve mantık bombaları (logic bombs) yer almaktadır. Truva atları, dışarıdan faydalı bir lisanslı veya ücretsiz program gibi görünmesine rağmen sisteme bulaştığında arka planda çalışarak hedef sistemde kredi kartı şifresi gibi kritik verilerin sızdırılmasına olanak tanır. Özellikle bankacılık sistemlerinde büyük zararlar doğuran salam tekniği, çok fazla sayıda hesaptan, mağdurların veya yetkililerin fark edemeyeceği kadar küçük tutarların tek bir hesaba yönlendirilerek yüksek meblağlarda haksız kazanç elde edilmesidir. Mantık bombaları ise, sistemde belirli bir tarih geldiğinde veya önceden tanımlanmış şartlar oluştuğunda harekete geçerek sistemi çökerten, yıkıcı nitelikteki zararlı yazılımlardır. Adli bilişim incelemelerinde bu yazılımların çalışma prensiplerinin tespiti, suçun maddi unsurunun ve failin kastının kanıtlanması açısından kritik deliller sunmaktadır.
İnternet kullanıcılarını doğrudan manipüle etmeye yönelik yöntemler arasında olta saldırıları (phishing), web sayfası yönlendirme (hijacking) ve istem dışı gönderilen iletiler (spam) dikkat çekmektedir. Bilgisayar korsanları, sosyal mühendislik tekniklerini kullanarak sanki güvenilir bir kurumdan geliyormuş gibi sahte elektronik postalar göndermekte; bu yolla internet kullanıcılarının kimlik tanımlama bilgilerini ve finansal hesap erişim şifrelerini hukuka aykırı şekilde ele geçirmektedirler. Web sayfası hırsızlığında ise alan adı kayıtları manipüle edilerek kullanıcıların gitmek istedikleri adres yerine failin belirlediği sahte bir ağ adresine yönlendirilmesi sağlanır. Kişi varlık haklarına ve özel hayatın gizliliğine saldırı niteliği taşıyan spam iletileri ise alıcıların açık rızası olmaksızın ticari, pornografik veya ideolojik mesajların yığınlar halinde gönderilmesidir. Tüm bu eylemler, bilişim hukuku pratiğinde doğrudan maddi ve manevi tazminat taleplerine, aynı zamanda ciddi cezai yaptırımlara konu olabilecek hukuka aykırılıklar barındırır.
Kurumsal ve Bireysel Düzeyde Alınması Gereken Güvenlik Tedbirleri
Bilişim suçlarında mağduriyetlerin önüne geçebilmenin ve olası yargılama süreçlerinde kurumların gerekli özen yükümlülüğünü yerine getirdiğini ispatlayabilmesinin en önemli yolu, çok katmanlı güvenlik politikalarının oluşturulmasından geçmektedir. Elektronik ticaretin ve internet kullanımının ulaştığı boyutlar, suç faillerini her geçen gün yeni açıklar bulmaya teşvik ettiğinden, salt hukuki caydırıcılık yeterli olmamakta, teknik önlemlerin proaktif bir şekilde kurgulanması gerekmektedir. Güvenlik stratejilerinin temel hedefi; yetkisiz erişim denemelerinin henüz başlangıç aşamasında engellenmesi, olası tehditlerin anında tespit edilerek durdurulması, zararın potansiyelinin minimuma indirilmesi ve hızlı bir iyileştirme sürecinin başlatılmasıdır. Bu sebeple, bilişim sistemlerini işleten tüm özel ve kamu kurumlarının belirli başlıklarda sınıflandırılmış güvenlik standartlarını titizlikle uygulaması hukuki bir zorunluluk haline gelmektedir.
- İdari ve kurumsal güvenlik: Kurum içi bilgi güvenliği politikalarının ve idari mekanizmaların kurgulanıp yönetilmesi.
- Personel güvenliği: Çalışanların işe alımında arşiv araştırmalarının yapılması, görev sirkülasyonu ve zorunlu izin uygulamaları ile içeriden gelebilecek ihlallerin önlenmesi.
- Fiziksel güvenlik: Sunucu odalarına ve ana makinelere fiziksel erişimin kontrol altında tutularak dışarıdan müdahalenin engellenmesi.
- Muhabere ve elektronik güvenliği: Sistemlerin yaydığı sinyallerin uzaktan dinlenmesini engellemek için cihazların güvenli odalarda tutulması ve uygun donanım kullanılması.
- Yazılım ve işlem güvenliği: Antivirüs, güvenlik duvarı gibi yazılımlarla beraber kullanıcılara özgü yetki seviyeleri ve şifreleme algoritmaları kullanılarak erişimin denetlenmesi.
Yukarıda detaylandırılan güvenlik katmanları, özellikle şirketlerin ve kurumların üçüncü kişilere karşı hukuki sorumluluktan kurtulabilmesi için hayati bir argüman sunar. Örneğin, işlem güvenliği bağlamında oluşturulan erişim kayıtları ve farklı kullanıcı yetki seviyeleri, içeriden gerçekleşen bir veri hırsızlığında failin tespit edilmesini sağlayan en güçlü adli bilişim delilidir. Bir sistemin sadece güncel yazılımlarla korunması, o sistemi tamamen güvenli kılmaz; donanım, fiziksel erişim ve en zayıf halka olan personelin eşgüdümlü olarak denetlenmesi şarttır. İhmal edilen her bir güvenlik kalemi, müşteri bilgilerinin çalınması, ticari sırların ifşa olması veya sistemlerin kullanılmaz hale gelerek kurumun ticari itibarının zedelenmesi riskini doğurur. Dolayısıyla bilişim güvenliği, sadece teknoloji departmanlarını değil, kurumun tüm hukuki uygunluk ve risk yönetimi altyapısını doğrudan ilgilendiren hukuki bir meseledir.