Anasayfa/ Makale/ Bilişim Suçlarında Teknik Yöntemler ve Güvenlik Tedbirleri

Bilişim Suçlarında Teknik Yöntemler ve Güvenlik Tedbirleri

Bilişim teknolojilerinin hızla gelişmesiyle birlikte siber suçluların kullandığı teknik yöntemler giderek karmaşıklaşmaktadır. Hukuki süreçlerde delillerin tespiti ve mağduriyetlerin önlenmesi için bu suç işleme yöntemlerinin ve alınması gereken güvenlik tedbirlerinin hukuki ve teknik boyutuyla iyi analiz edilmesi hayati önem taşımaktadır.
search
7 dk okuma Yayınlanma: Güncelleme:
TAZMİNAT PHİSHİNG (OLTALAMA) MANEVİ TAZMİNAT BİLİŞİM HUKUKU DOLANDIRICILIK

Günümüzde bilişim sistemlerine karşı veya bu sistemler aracılığıyla işlenen suçlar, klasik suç tiplerinden oldukça farklı bir yapı sergilemektedir. Klasik suçların aksine, bilişim suçları fiziki bir mekan zorunluluğu olmadan, sadece bir bilgisayar ağı kullanılarak saniyeler içerisinde işlenebilmekte ve arkasında bulunması son derece güç, silik ipuçları bırakmaktadır. Bu durum, suçun failine veya faillerine ulaşılmasını ya çok zorlaştırmakta ya da imkansız hale getirmektedir. Failin maddi dünyada fiziksel bir hareketi bulunmasa dahi, bilişim sistemlerinin soyut unsuru olan veriler üzerinde gerçekleştirilen hukuka aykırı işlemler, çeşitli yazılımlar ve teknikler aracılığıyla yapılmaktadır. Bu noktada, bir bilişim hukuku avukatı olarak vurgulamak gerekir ki, yargılama süreçlerinde delillerin karartılmadan toplanabilmesi ve doğru illiyet bağının kurulabilmesi için suçun işlenme yöntemlerinin teknik detaylarıyla bilinmesi şarttır. İleri teknoloji ürünleri ve yüksek bilgi birikimi gerektiren bu yöntemler, hukuk uygulayıcılarının sürekli güncel kalmasını zorunlu kılmaktadır.

Bilişim Sistemlerine Yönelik Başlıca Suç İşleme Yöntemleri

Uygulamada sıklıkla karşılaştığımız teknik suç yöntemlerinin başında veri aldatmacası (data diddling), gizlice dinleme (sniffing) ve çöpe dalma (scavenging) gelmektedir. Çöpe dalma yöntemi, bir veri işlem sonucunda bilişim sisteminin belleğinde kalan ve artık ihtiyaç duyulmayan silinmiş bilgilerin gelişmiş yöntemlerle geri getirilmesi veya fiziksel çıktı atıklarının toplanması şeklinde hukuka aykırı bir veri elde etme yöntemidir. Ağ trafiğindeki verilerin yakalanmasına dayanan gizlice dinleme işleminde ise, pasif veya aktif gözetleme ile ağda dolaşan tüm veriler yetkisiz bir biçimde elde edilir. Hukuki açıdan özellikle evrakta sahtecilik ve dolandırıcılıkla ilişkili olan veri aldatmacası ise, sisteme hatalı verilerin girilmesi veya girilmiş verilerin sonradan değiştirilmesini ifade eder. Kişisel verilerin ihlali ve haksız menfaat temini bağlamında bu üç yöntem, faillerin sistem açıklarını ve kurumsal güvenlik zafiyetlerini kolayca istismar edebildikleri temel eylemler olarak adli vakalara sıklıkla yansımaktadır.

Daha karmaşık ve sistemin bütünlüğüne doğrudan zarar veren diğer yöntemler arasında Truva atı (Trojan horse), salam tekniği (salami techniques) ve mantık bombaları (logic bombs) yer almaktadır. Truva atları, dışarıdan faydalı bir lisanslı veya ücretsiz program gibi görünmesine rağmen sisteme bulaştığında arka planda çalışarak hedef sistemde kredi kartı şifresi gibi kritik verilerin sızdırılmasına olanak tanır. Özellikle bankacılık sistemlerinde büyük zararlar doğuran salam tekniği, çok fazla sayıda hesaptan, mağdurların veya yetkililerin fark edemeyeceği kadar küçük tutarların tek bir hesaba yönlendirilerek yüksek meblağlarda haksız kazanç elde edilmesidir. Mantık bombaları ise, sistemde belirli bir tarih geldiğinde veya önceden tanımlanmış şartlar oluştuğunda harekete geçerek sistemi çökerten, yıkıcı nitelikteki zararlı yazılımlardır. Adli bilişim incelemelerinde bu yazılımların çalışma prensiplerinin tespiti, suçun maddi unsurunun ve failin kastının kanıtlanması açısından kritik deliller sunmaktadır.

İnternet kullanıcılarını doğrudan manipüle etmeye yönelik yöntemler arasında olta saldırıları (phishing), web sayfası yönlendirme (hijacking) ve istem dışı gönderilen iletiler (spam) dikkat çekmektedir. Bilgisayar korsanları, sosyal mühendislik tekniklerini kullanarak sanki güvenilir bir kurumdan geliyormuş gibi sahte elektronik postalar göndermekte; bu yolla internet kullanıcılarının kimlik tanımlama bilgilerini ve finansal hesap erişim şifrelerini hukuka aykırı şekilde ele geçirmektedirler. Web sayfası hırsızlığında ise alan adı kayıtları manipüle edilerek kullanıcıların gitmek istedikleri adres yerine failin belirlediği sahte bir ağ adresine yönlendirilmesi sağlanır. Kişi varlık haklarına ve özel hayatın gizliliğine saldırı niteliği taşıyan spam iletileri ise alıcıların açık rızası olmaksızın ticari, pornografik veya ideolojik mesajların yığınlar halinde gönderilmesidir. Tüm bu eylemler, bilişim hukuku pratiğinde doğrudan maddi ve manevi tazminat taleplerine, aynı zamanda ciddi cezai yaptırımlara konu olabilecek hukuka aykırılıklar barındırır.

Kurumsal ve Bireysel Düzeyde Alınması Gereken Güvenlik Tedbirleri

Bilişim suçlarında mağduriyetlerin önüne geçebilmenin ve olası yargılama süreçlerinde kurumların gerekli özen yükümlülüğünü yerine getirdiğini ispatlayabilmesinin en önemli yolu, çok katmanlı güvenlik politikalarının oluşturulmasından geçmektedir. Elektronik ticaretin ve internet kullanımının ulaştığı boyutlar, suç faillerini her geçen gün yeni açıklar bulmaya teşvik ettiğinden, salt hukuki caydırıcılık yeterli olmamakta, teknik önlemlerin proaktif bir şekilde kurgulanması gerekmektedir. Güvenlik stratejilerinin temel hedefi; yetkisiz erişim denemelerinin henüz başlangıç aşamasında engellenmesi, olası tehditlerin anında tespit edilerek durdurulması, zararın potansiyelinin minimuma indirilmesi ve hızlı bir iyileştirme sürecinin başlatılmasıdır. Bu sebeple, bilişim sistemlerini işleten tüm özel ve kamu kurumlarının belirli başlıklarda sınıflandırılmış güvenlik standartlarını titizlikle uygulaması hukuki bir zorunluluk haline gelmektedir.

  • İdari ve kurumsal güvenlik: Kurum içi bilgi güvenliği politikalarının ve idari mekanizmaların kurgulanıp yönetilmesi.
  • Personel güvenliği: Çalışanların işe alımında arşiv araştırmalarının yapılması, görev sirkülasyonu ve zorunlu izin uygulamaları ile içeriden gelebilecek ihlallerin önlenmesi.
  • Fiziksel güvenlik: Sunucu odalarına ve ana makinelere fiziksel erişimin kontrol altında tutularak dışarıdan müdahalenin engellenmesi.
  • Muhabere ve elektronik güvenliği: Sistemlerin yaydığı sinyallerin uzaktan dinlenmesini engellemek için cihazların güvenli odalarda tutulması ve uygun donanım kullanılması.
  • Yazılım ve işlem güvenliği: Antivirüs, güvenlik duvarı gibi yazılımlarla beraber kullanıcılara özgü yetki seviyeleri ve şifreleme algoritmaları kullanılarak erişimin denetlenmesi.

Yukarıda detaylandırılan güvenlik katmanları, özellikle şirketlerin ve kurumların üçüncü kişilere karşı hukuki sorumluluktan kurtulabilmesi için hayati bir argüman sunar. Örneğin, işlem güvenliği bağlamında oluşturulan erişim kayıtları ve farklı kullanıcı yetki seviyeleri, içeriden gerçekleşen bir veri hırsızlığında failin tespit edilmesini sağlayan en güçlü adli bilişim delilidir. Bir sistemin sadece güncel yazılımlarla korunması, o sistemi tamamen güvenli kılmaz; donanım, fiziksel erişim ve en zayıf halka olan personelin eşgüdümlü olarak denetlenmesi şarttır. İhmal edilen her bir güvenlik kalemi, müşteri bilgilerinin çalınması, ticari sırların ifşa olması veya sistemlerin kullanılmaz hale gelerek kurumun ticari itibarının zedelenmesi riskini doğurur. Dolayısıyla bilişim güvenliği, sadece teknoloji departmanlarını değil, kurumun tüm hukuki uygunluk ve risk yönetimi altyapısını doğrudan ilgilendiren hukuki bir meseledir.

Bankadan gelmiş gibi bir mailden şifremi çaldılar, ne yapmalıyım? expand_more
İnternet kullanıcılarını doğrudan manipüle etmeye yönelik bu eylem, bilişim hukukunda "olta saldırısı" (phishing) olarak adlandırılmaktadır. Bilgisayar korsanları, sahte e-postalarla güvenilir bir kurum izlenimi yaratarak finansal şifrelerinizi ve kimlik bilgilerinizi hukuka aykırı şekilde ele geçirirler. Çünkü bu suçlar fiziki bir mekana ihtiyaç duymadan saniyeler içinde işlenebilmekte ve arkasında oldukça silik ipuçları bırakmaktadır. Bu tür ihlaller doğrudan ciddi cezai yaptırımlara konu olabildiği gibi, uğradığınız zararlar için faillere karşı maddi ve manevi tazminat davaları açma hakkınız da bulunmaktadır.
Hesabımdan aydan aya ufak paralar çekilmiş, bu nasıl bir dolandırıcılık? expand_more
Bankacılık sistemlerinde sıkça karşılaşılan bu yöntem, bilişim suçları terminolojisinde "salam tekniği" olarak bilinmektedir. Failler, mağdurların fark edemeyeceği kadar küçük tutarları çok sayıda hesaptan tek bir hesaba yönlendirerek yüksek meblağlarda haksız kazanç elde etmektedir. Bu tür suçlar maddi dünyada fiziksel bir efor gerektirmese de tamamen sistem verileri üzerindeki hukuka aykırı işlemlerle gerçekleştirilir. Adli bilişim incelemeleriyle bu zararlı yazılımların tespit edilmesi, yargılama sürecinde failin kastının ve suçun maddi unsurunun kanıtlanması açısından son derece kritik deliller sunmaktadır.
Şirketimiz hacklendi ve müşteri bilgileri çalındı, tazminat öder miyiz? expand_more
Bilişim sistemlerini işleten özel kurumların üçüncü kişilere karşı hukuki sorumluluktan kurtulabilmesi için çok katmanlı güvenlik politikaları oluşturması zorunludur. Sadece güncel güvenlik yazılımları kullanmak yeterli değildir; donanım, fiziksel erişim ve personel denetiminin de eşgüdümlü olarak sağlanması şarttır. Teknik önlemlerin proaktif olarak kurgulanmaması, kurumun yargılama süreçlerinde özen yükümlülüğünü ihlal ettiği anlamına gelmektedir. İhmal edilen güvenlik önlemleri müşteri bilgilerinin çalınmasına yol açtığından, şirketinizin risk yönetimi altyapısındaki bu zafiyetler nedeniyle üçüncü kişilere karşı tazminat yükümlülüğü doğabilecektir.
Eski çalışanımız müşteri verilerini kopyalayıp gitmiş, nasıl ispatlarız? expand_more
İçeriden gerçekleşen bu tür veri hırsızlıklarında, şirketin işlem güvenliği bağlamında oluşturduğu erişim kayıtları devreye girmektedir. Kullanıcılara özgü yetki seviyelerinin ve logların tutulmuş olması, failin kimliğinin tespit edilmesini sağlayan en güçlü adli bilişim delilidir. Bilişim sisteminin bütünlüğüne yönelik bu ihlallerde delillerin karartılmadan toplanması ve fail ile eylem arasında doğru illiyet bağının kurulması şarttır. Personelin işe alım süreçlerindeki arşiv araştırmaları, görev sirkülasyonları ve donanımsal güvenlik önlemleri ile desteklenen sistem kayıtları sayesinde bu eylemi yargı önünde ispatlamak mümkündür.
Rızam olmadan sürekli bahis ve reklam mesajları alıyorum, dava açılır mı? expand_more
Alıcıların açık rızası olmaksızın ticari, ideolojik veya benzeri içerikli mesajların yığınlar halinde gönderilmesi hukuken "spam" olarak nitelendirilmektedir. Saldırganlar bu istenmeyen iletilerle internet kullanıcılarını doğrudan manipüle etmeyi ve rahatsız etmeyi amaçlamaktadır. Bu tür izinsiz gönderimler, kişi varlık haklarına ve özellikle özel hayatın gizliliğine yönelik açık bir saldırı teşkil eder. Söz konusu eylemleri gerçekleştiren kişi veya kurumlara karşı hukuki süreç başlatılarak cezai yaptırımların uygulanması ve maddi ile manevi tazminat taleplerinde bulunulması kuvvetle muhtemeldir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir