Makale

Günümüz bilgi toplumunda, teknolojik gelişmelerin hız kazanmasıyla birlikte bilişim suçları da boyut değiştirmiş ve en tehlikeli siber tehditlerden biri olarak fidye yazılımları (ransomware) ortaya çıkmıştır. Bilgisayar sistemlerini kilitleyen veya dosyaları şifreleyerek erişimi engelleyen bu zararlı yazılımlar, mağdurlardan haksız maddi kazanç elde etmeyi hedefler. Sadece bireysel kullanıcıları değil, aynı zamanda kamu kurumlarını ve büyük ticari işletmeleri de hedef alan fidye yazılımı saldırıları, hukuki boyutuyla titizlikle incelenmesi gereken karmaşık bir süreçtir. Bu eylemler, yalnızca teknik bir veri güvenliği açığı olmakla kalmayıp, Türk Ceza Kanunu (TCK) ve Kişisel Verilerin Korunması Kanunu (KVKK) bağlamında ciddi suç unsurları ve idari yaptırımlar barındırmaktadır. Yeni suç tipleri olmaları sebebiyle, teknolojik ilerlemelerin gerisinde kalmayan dinamik bir hukuki altyapı zorunluluğu doğmuştur. Bu makalede, fidye yazılımlarının mevcut yasal düzenlemelerimizdeki karşılıklarını, suçun hukuki niteliğini ve mağduriyetlerin yasal boyutlarını uzman bir bilişim hukuku perspektifiyle derinlemesine analiz edeceğiz.

Bilişim Suçlarının Karakteristiği ve Fidye Yazılımları

Bir bilişim suçu olarak fidye yazılımı saldırıları, klasik suç tiplerinden farklı ortak özellikler taşır. Bu suçların işlenmesinde doğrudan bilgisayar sistemleri ve teknolojileri kullanılır. Suçlular açısından en cazip tarafı, çok yüksek kazancın kolay ve daha az riskle temin edilmesi gerçeğidir. Özellikle ticari faaliyette bulunan kurumların hedef alındığı bu saldırılarda, ekonomik kaybın büyük olmasına rağmen itibar ve prestij kaybetme korkusuyla şirketler genellikle durumu güvenlik güçlerine bildirmekten çekinmektedirler. Failin kimliğini gizleyerek kripto paralar üzerinden hareket etmesi ve uluslararası boyuta sahip organize suç şebekelerinin devreye girmesi, faillerde eylemlerin yaptırımsız kalacağına dair bir güven oluşturmaktadır. Bilişim sistemlerinin dinamik yapısı karşısında, mağdurların genellikle yeterli siber güvenlik bilincine sahip olmaması ve kullanıcı tarafındaki zafiyetler de bu suçların işlenmesini son derece kolaylaştırmaktadır.

Türk Ceza Kanunu (TCK) Kapsamında Yaptırımlar

Fidye yazılımlarına ilişkin spesifik ve tek bir kanun maddesi bulunmamakla birlikte, bu saldırılar 5237 sayılı Türk Ceza Kanunu’nun 10. Bölümünde düzenlenen bilişim alanında işlenen suçlar kapsamında değerlendirilmektedir. Saldırının ilk aşaması olan bilişim sistemine hukuka aykırı olarak girme eylemi, TCK Madde 243 uyarınca suç teşkil etmektedir. Ancak fidye yazılımları sadece sisteme izinsiz girmekle kalmaz; asıl yıkıcı ve hukuka aykırı etkisini TCK Madde 244'te tanımlanan sistemi engelleme, bozma, verileri yok etme veya değiştirme eylemleriyle gösterir. Mağdurların verilerine erişiminin şifreleme yoluyla engellenmesi, sistemin işleyişinin durdurulması ve failin kendi yararına haksız çıkar sağlaması bu madde kapsamında cezalandırılmaktadır. Bu suçların bir banka, kredi kurumu veya kamu kurumuna ait sistemler üzerinde işlenmesi halinde ise verilecek cezanın yarı oranında artırılması öngörülmektedir. Cezai yaptırımların caydırıcılığı açısından, adli para cezaları yerine doğrudan hapis cezasına ağırlık verilmesi hukuki güvenliğin tesisi için kritik bir gerekliliktir.

Kişisel Verilerin Korunması Kanunu (KVKK) Boyutu

Fidye yazılımı saldırıları, yalnızca sistemlere zarar vermekle kalmayıp, aynı zamanda bireylerin en temel haklarından olan kişisel verilerin gizliliğini de ciddi şekilde tehdit etmektedir. 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK), gerçek kişilere ait verilerin yetkisiz kişilerin erişimine açılması, ifşa edilmesi veya amaç dışı kötüye kullanılmasını engellemeyi hedeflemektedir. Bir kurumun müşteri veri tabanının, kredi kartı bilgilerinin, çalışan detaylarının veya sağlık kayıtlarının fidye yazılımları ile ele geçirilmesi, doğrudan veri ihlali ve kişilik haklarının ihlali anlamına gelir. Bu tür siber saldırılarda sistemin kilitlenmesi veya verilerin şifrelenmesi sebebiyle veriye erişilememesi de KVKK kapsamında veri güvenliği yükümlülüklerinin ihlali olarak değerlendirilir. Bu ihlaller, veri sorumlusu konumundaki kurumlar için ağır idari para cezaları ile itibar kayıplarının yanı sıra mağdurlara karşı ciddi yasal sorumluluklar da doğurmaktadır.

Fidye Yazılımı Kurbanlarının Karşılaştığı Hukuki Riskler

Fidye yazılımı saldırısına uğrayan kurumların ve bireylerin yasal çerçevede maruz kaldığı ihlaller ve siber riskler son derece çeşitlidir. Bilişim hukukunun dinamik yapısı gereğince, hukuki altyapının bu tarz saldırıları bütünüyle kapsayacak biçimde değerlendirilmesi gereklidir. Saldırganların haksız kazanç sağlama hedefiyle gerçekleştirdikleri eylemler neticesinde kurumlar yalnızca teknik değil, idari ve yasal olarak da büyük sınavlar vermektedir. Hukuki bağlamda mağdurların karşı karşıya kaldığı temel risk unsurları şu şekilde özetlenebilir:

• Bir kuruma veya şahsa ait bilişim sistemlerine hukuka aykırı yollarla izinsiz giriş yapılması ve failin sistemde kalarak güvenliği ihlal etmesi.
• Özel hayatın gizliliğini ihlal edecek şekilde kişisel verilerin hukuka aykırı ele geçirilmesi, kopyalanması, silinmesi veya şifrelenmesi.
• İşletmelerin faaliyetlerinin sekteye uğratılarak müşterilere ve paydaşlara karşı hukuki yükümlülüklerini yerine getirememesinden doğan tazminat ve ağır idari para cezası yaptırımları.
• Sistemi çalışamaz hale getiren faillerin eylemleri nedeniyle şirketlerin prestij kaybı yaşaması ve ticari faaliyetlerinin ifa imkansızlığına bağlı olarak durma noktasına gelmesi.