Makale
Bilişim sistemlerine yönelik dağıtık servis dışı bırakma (DDoS) saldırıları, Türk Ceza Kanunu ve uluslararası sözleşmeler kapsamında ciddi cezai yaptırımlara tabidir. Bu makalede, TCK madde 244 çerçevesinde sistem engelleme suçunun unsurları ve Avrupa Konseyi Siber Suç Sözleşmesi bağlamındaki uluslararası hukuki düzenlemeler incelenmektedir.
TCK ve Uluslararası Hukukta DDoS Saldırılarının Cezai Boyutu
Günümüzde hızla gelişen teknoloji, hukuki altyapının da siber suçlara uyum sağlamasını zorunlu kılmıştır. Bilişim suçları arasında özellikle dikkat çeken dağıtık servis dışı bırakma (DDoS) saldırıları, hedef sistemleri çalışamaz hale getirerek büyük çaplı mağduriyetlere yol açmaktadır. Bu tür saldırıların en temel özelliği, ulusal sınırları kolayca aşabilmesi ve hedeflenen bilişim sistemlerinin erişilebilirliğini tamamen ortadan kaldırmasıdır. Hukuk büromuzun uzmanlık alanlarından biri olan bilişim hukuku perspektifinden değerlendirildiğinde, bu eylemlerin hem Türk Ceza Kanunu kapsamında hem de uluslararası sözleşmeler çerçevesinde ağır cezai yaptırımları bulunmaktadır. DDoS saldırıları, sıradan bir ihlalden ziyade, sistemlerin işleyişini doğrudan sekteye uğratan nitelikli bir bilişim suçu olarak ele alınmalıdır. Bu bağlamda, failin tespitinden yargılanma sürecine kadar uzanan hukuki boyutta, mevzuatımızın ve taraf olduğumuz uluslararası metinlerin ortaya koyduğu kurallar büyük önem taşımaktadır.
Türk Ceza Kanunu Kapsamında DDoS Saldırıları
Türk mevzuatında bilişim sistemlerine yönelik saldırılar, 5237 sayılı Türk Ceza Kanunu içerisinde yer alan "Bilişim Alanında Suçlar" bölümünde detaylıca düzenlenmiştir. Özellikle DDoS saldırıları, doğrudan sistemin erişilebilirliğini hedef aldığı için spesifik olarak TCK 244. madde kapsamında değerlendirilmektedir. Kanun koyucu bu maddenin ilk fıkrasında, bir bilişim sisteminin işleyişini engelleyen veya bozan kişinin bir yıldan beş yıla kadar hapis cezası ile cezalandırılacağını hüküm altına almıştır. Dağıtık servis dışı bırakma saldırıları, doğası gereği sunuculara kapasitesinin çok üzerinde sahte trafik göndererek sistemin gerçek kullanıcılara hizmet vermesini engellediği için, bu suç tanımıyla birebir örtüşmektedir. Dolayısıyla, sisteme yapılan yoğun istekler sonucunda hedefin tamamen veya kısmen erişilemez hale gelmesi, suçun maddi unsurlarının oluşması için yeterli kabul edilmektedir. Faillerin, bilişim sisteminin işleyişini engelleme kastıyla hareket etmesi, verilecek cezanın ve yargılamanın temelini oluşturmaktadır.
TCK 244 Kapsamında Nitelikli Haller ve Yaptırımlar
TCK'nın ilgili maddesi, suçun işleniş biçimine ve hedef alınan kuruma göre cezayı artıran nitelikli halleri de detaylı bir biçimde içermektedir. Eğer fail, bilişim sistemindeki verileri bozma, yok etme, değiştirme veya erişilmez kılma eylemlerini gerçekleştirirse, altı aydan üç yıla kadar hapis cezası ile karşılaşmaktadır. Ancak, DDoS saldırılarında hukuk pratiği açısından en kritik nokta, saldırının hedeflediği kurumun niteliğidir. TCK 244. maddenin üçüncü fıkrasına göre, bu erişimi engelleme eylemlerinin bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi durumunda, faile verilecek olan ceza yarı oranında artırılmaktadır. Ayrıca, failin bu yıkıcı eylemleri sonucunda kendisi veya bir başkası lehine haksız bir çıkar sağlaması ve bu durumun başka bir suç oluşturmaması halinde, faile iki yıldan altı yıla kadar hapis ve beş bin güne kadar adli para cezası yaptırımı uygulanmaktadır.
Uluslararası Hukukta Dağıtık Servis Dışı Bırakma Saldırıları
Siber suçlar, geleneksel suç tiplerinin aksine belirli bir coğrafi sınırla kısıtlı kalmayan ve evrensel nitelik taşıyan ihlallerdir. Örneğin, Türkiye'de bulunan bir fail, internet altyapısını kullanarak yurt dışındaki bir devletin bilişim sistemlerine saniyeler içinde dağıtık servis dışı bırakma saldırısı düzenleyebilmektedir. Bu sınır aşan yapı, faillerin tespit edilmesini ve yargılanmasını tek bir ülkenin iç hukuk mekanizmalarıyla tamamen çözülemez hale getirmektedir. Bu nedenle, siber suçlarla etkin bir şekilde mücadele edilebilmesi için devletler arasında oldukça güçlü bir uluslararası hukuki yardımlaşma ve ortak mevzuat zeminine ihtiyaç duyulmaktadır. İnternet mimarisinin faillere sağladığı anonimlik, ülkelerin ceza yasalarını birbirleriyle uyumlu hale getirmelerini, siber suçları küresel ölçekte tanımalarını ve ortak bir yargı yetkisi çerçevesi çizmelerini uluslararası hukukun bir gereği olarak zorunlu kılmıştır.
Avrupa Konseyi Siber Suç Sözleşmesi (Budapeşte Sözleşmesi)
Küresel ölçekte siber suçlarla mücadeleyi standartlaştırmak amacıyla hazırlanan ve Türkiye'nin de imza atarak taraf olduğu Avrupa Konseyi Siber Suç Sözleşmesi, uluslararası bağlamda uygulanacak temel referans metnidir. Sözleşmenin "Sistemlere Müdahale" başlıklı 5. maddesi, DDoS saldırılarının uluslararası arenada nasıl cezalandırılması gerektiğine dair net bir hukuki çerçeve sunmaktadır. Taraf devletler, bu sözleşme kapsamında belirtilen eylemleri kendi iç hukuklarında cezai bir suç olarak tanımlamakla yükümlü kılınmıştır. Sözleşmeye göre haksız ve kasıtlı olarak bir sistemin işleyişini ciddi ölçüde engelleyen ihlaller şunlardır:
- Bilgisayar verilerine izinsiz olarak yeni veriler ilave edilmesi.
- Mevcut bilgisayar verilerinin yetkisiz bir şekilde başka yerlere iletilmesi.
- Bilişim sistemindeki verilerin tahrip edilmesi, silinmesi veya bozulması.
- Verilerin yapısının değiştirilmesi veya tamamen erişilemez kılınması.
Türk Ceza Kanunu'nda yer alan 244. madde hükümleri, uluslararası arenada bağlayıcılığı olan bu sözleşmenin gerekliliklerini büyük ölçüde karşılamakta ve siber saldırganlara karşı küresel bir hukuki koruma kalkanının ulusal bacağını oluşturmaktadır.