Makale
Bilişim suçlarının küresel boyutu, uluslararası mevzuat uyumunu ve siber güvenlik stratejilerini zorunlu kılmaktadır. Budapeşte Sözleşmesi ve AB Siber Güvenlik Kanunu gibi yasal adımlar, artan küresel siber saldırı istatistikleri ve devasa finansal zararlar ışığında uluslararası arenada sağlam bir hukuki mücadele zemini oluşturmaktadır.
Bilişim Suçlarında Uluslararası Mevzuat ve Küresel İstatistikler
Bilişim sistemlerinin küreselleşmesi, bilişim suçlarının da sınır aşan bir yapıya bürünmesine zemin hazırlamıştır. Sınır tanımayan bu suçlarla hukuki olarak mücadele edebilmek için, uluslararası mevzuat uyumu ve küresel işbirliği mekanizmaları hukuki bir zorunluluk haline gelmiştir. Günümüzde siber suçların dünya genelindeki mağdurlara yıllık maliyetinin 388 milyar doları bulduğu ve bu rakamın uyuşturucu ticaretinden bile daha kârlı bir yasadışı sektör oluşturduğu raporlanmaktadır. Bu devasa ekonomik kayıplar ve artan küresel istatistikler, devletleri ortak bir hukuki zemin inşasına ve uluslararası sözleşmeler ile yasal boşlukları doldurmaya yöneltmektedir. Bilişim hukuku uygulamaları açısından, suçların takibi ve elektronik delillerin uluslararası standartlarda toplanabilmesi ancak yetki alanlarının ve muhakeme kurallarının ortak bir dilde buluşmasıyla mümkündür.
Avrupa Konseyi Siber Suçlar Sözleşmesi (Budapeşte Sözleşmesi)
Bilişim suçları ile uluslararası düzeyde hukuki mücadeledeki en önemli adım, 2001 yılında imzaya açılan ve Budapeşte Sözleşmesi olarak da bilinen Avrupa Konseyi Siber Suçlar Sözleşmesi'dir. Bu sözleşmenin temel hukuki hedefleri; ulusal düzeydeki ceza kanunlarının uyumlu hale getirilmesi, bilişim suçlarının soruşturulmasında ortak muhakeme kurallarının belirlenmesi ve uluslararası adli yardımlaşmanın hızlı ve etkili bir şekilde işletilmesidir. Sözleşme kapsamında hukuka aykırı erişim (m.2), yasadışı müdahale (m.3), verilere müdahale (m.4) ve sistemlere müdahale (m.5) gibi temel siber suç tipleri maddi ceza hukuku bağlamında tanımlanarak standartlaştırılmıştır. Ayrıca sözleşme, bilgisayarla ilişkili sahtecilik (m.7) ve dolandırıcılık (m.8) suçlarında hukuki boşlukların uluslararası çapta giderilmesini ve suç teşkil eden bu fiillerin ağır yaptırımlara bağlanmasını öngörmektedir.
Sözleşmenin hukuk pratiği açısından getirdiği en büyük yeniliklerden biri de tüzel kişilerin yükümlülüğü (m.12) kavramıdır. Eğer bir tüzel kişinin yöneticisi konumundaki gerçek bir kişi yetkisini kötüye kullanarak tüzel kişiye menfaat sağlayan bir siber suç işlerse, söz konusu kurumsal yapı doğrudan cezai yaptırımla karşı karşıya kalmaktadır. Bu hüküm, özellikle şirketlerin ve diğer kurumların dijital eylemlerinden doğan hukuki sorumluluklarını pekiştirmektedir. Aynı şekilde, hukuk sistemlerinde suça iştirak ve teşebbüs (m.11) fiilleri de yaptırım kapsamına alınarak, suç fiillerinin henüz hazırlık aşamasındayken dahi engellenmesi ve siber ortamda güvenlik açıklarının hukuki yollarla kapatılması hedeflenmiştir.
Avrupa Birliği Siber Güvenlik Kanunu ve ENISA
Avrupa Birliği Parlamentosu tarafından onaylanarak 2019 yılında yürürlüğe giren Avrupa Birliği Siber Güvenlik Kanunu, bölgenin siber savunma mekanizmasını yasal bir temele oturtmuştur. Bu kanun ile Avrupa Ağ ve Bilgi Güvenliği Ajansı'na (ENISA) kalıcı ve daha güçlü yetkiler verilerek, üye ülkeler arasındaki işbirliği yasal bir çerçeveye kavuşturulmuştur. İşletmelerin ve bireylerin dijital dünyadaki hukuki güvencesini artırmak amacıyla oluşturulan Avrupa Siber Güvenlik Sertifikaları, hizmet ve ürünlerin güvenilirliğini tek bir merkezden standartlaştırmaktadır. Bu sertifikasyon süreci, siber riskleri azaltırken hukuki uyuşmazlıklarda ürün sorumluluğunun sınırlarını çizen kuvvetli bir güvenlik mekanizması olarak hukuk sistemine entegre edilmiştir.
Karşılaştırmalı Hukukta Bilişim Suçları Mevzuatı
Bilişim suçlarına yaklaşım bağlamında ülkelerin ulusal ceza kanunları incelendiğinde, birbirinden oldukça farklı hukuki metodolojilerin benimsendiği açıkça görülmektedir. Örneğin Almanya ve Fransa gibi devletler, bilişim suçları için tamamen ayrı bir kanun oluşturmak yerine, mevcut ceza kanunlarını genişleterek sır aleyhine işlenen suçlar veya genel mahremiyet ihlalleri üzerinden yargılama yoluna gitmişlerdir. Buna karşın, İngiltere 1990 yılında çıkardığı 'Computer Misuse Act' ile, Amerika Birleşik Devletleri ise 1984 tarihli 'Bilgisayar Sahtekârlığı ve Bilgisayarların Kötüye Kullanılması Kanunu' ile bu alanda özel yasal düzenlemeler ihdas eden öncü ülkeler olmuşlardır. Hukuki açıdan değerlendirildiğinde, doğrudan bilişime özgü ayrı yasaların varlığı eylemlerin suç tanımını netleştirerek yargısal süreçleri hızlandırmakta ve hukukçulara cezai yaptırımların sınırları konusunda çok daha açık bir içtihat alanı bırakmaktadır.
Küresel Siber Saldırı İstatistikleri ve Finansal Etkileri
Hukuki altyapıların şekillenmesinde küresel istatistikler ve şirketler tarafından raporlanan devasa finansal zararlar oldukça yol gösterici bir öneme sahiptir. Veri kayıplarına ilişkin hazırlanan küresel analizlerde, saldırıların özellikle sağlık, bilgi yönetimi, finans ve enerji gibi hukuken çok kritik yapıdaki hizmetleri hedef aldığı açıkça görülmektedir. Örneğin Amerika Birleşik Devletleri'nde 2015 yılı verilerine göre veri kaybına uğrayan kuruluşlar arasında hükümet kurumları %51, enerji sektörü %47 ve bankacılık ile finans kuruluşları %42 gibi çok yüksek ve alarm verici etkilenme oranlarına sahiptir. Benzer şekilde Avrupa Birliği ülkelerinde bankacılık sisteminin kalbi olan ATM'lere yönelik siber saldırılar sadece 2014 ile 2017 yılları arasındaki kısa periyotta 51 vakadan 192 vakaya çıkarak büyük bir sıçrama kaydetmiştir. Uluslararası bilişim hukuku uzmanlarının ve risk analistlerinin de yakından takip ettiği işletmelere verilen ortalama finansal zararlar aşağıdaki tabloda özetlenmiştir:
| Finansal Zarar Boyutu | Etkilenme Oranı |
|---|---|
| 5 Milyon Dolar ve Üzeri | %8 |
| 2.5 Milyon - 4.9 Milyon Dolar Arası | %11 |
| 1 Milyon - 2.4 Milyon Dolar Arası | %19 |
| 500 Bin - 999 Bin Dolar Arası | %15 |
| 100 Bin - 499 Bin Dolar Arası | %17 |
| 99 Bin Dolar ve Daha Az | %30 |