Makale
Fidye yazılımları, günümüzde şirketleri ve bireyleri hedef alan en tehlikeli siber saldırı türlerinden biridir. Bu makalede, fidye yazılımı saldırılarının 5237 sayılı Türk Ceza Kanunu kapsamındaki hukuki nitelendirmesi, şantaj, bilişim sistemine girme, verileri yok etme ve yağma gibi suç tipleri üzerinden detaylıca incelenmektedir.
Türk Ceza Kanunu Çerçevesinde Fidye Yazılımı Suçları
Teknolojinin gelişmesiyle birlikte bilişim sistemleri günlük hayatımızın ve ticari faaliyetlerimizin ayrılmaz bir parçası haline gelmiştir. Ancak bu dijitalleşme süreci, siber suçluların da yeni yöntemler geliştirmesine zemin hazırlamıştır. Bu yöntemlerin en yıkıcı olanlarından biri de fidye zararlı yazılımlarıdır. Siber saldırganlar, hedef aldıkları bilişim sistemlerine sızarak verileri şifrelemekte ve bu verilere erişimin yeniden sağlanması ya da verilerin ifşa edilmemesi karşılığında haksız bir kazanç talep etmektedirler. Ülkemizde fidye yazılımı saldırılarına karşı özel ve tek bir kanun maddesi bulunmasa da, bu eylemler 5237 sayılı Türk Ceza Kanunu (TCK) sistematiği içerisinde birden fazla suç tipini aynı anda ihlal edebilen karmaşık hukuki vakalar olarak karşımıza çıkmaktadır. Bir bilişim hukuku avukatı perspektifiyle değerlendirildiğinde, bu saldırılar sadece sisteme basit bir müdahale değil; aynı zamanda özel hayatın gizliliğine, malvarlığı haklarına ve kurumların saygınlığına yönelik ciddi birer tehdittir. Saldırıların yol açtığı çok boyutlu zararlar, eylemin niteliğine göre kanunumuzdaki farklı suç tipleri kapsamında titizlikle değerlendirilmelidir.
Bilişim Sistemlerine Yönelik Temel Suçlar
Fidye yazılımı saldırılarının ilk aşaması, hedeflenen sisteme yetkisiz bir şekilde erişim sağlanmasıdır. Bu eylem, doğrudan bilişim sistemine girme suçu (TCK md. 243) kapsamında değerlendirilmektedir. Failin, bir bilişim sisteminin bütününe veya bir kısmına hukuka aykırı olarak girmesi veya orada kalmaya devam etmesi suçun oluşumu için yeterlidir. Saldırganın, sistemi ele geçirdikten sonra verileri şifrelemesi ve erişilmez kılması ise sistemi engelleme, bozma, verileri yok etme veya değiştirme suçuna (TCK md. 244) vücut verir. Suçun işlenmesi suretiyle kişinin kendisi veya başkası yararına haksız bir çıkar sağlaması durumunda fail, daha ağır cezai yaptırımlarla karşılaşmaktadır. Ayrıca, fidye yazılımlarının bizatihi kendisi, zararlı programlar statüsünde olduğundan, bu yazılımların imal edilmesi, depolanması, nakledilmesi veya bulundurulması eylemleri yasak cihaz veya programlar suçu (TCK md. 245/A) kapsamında bağımsız olarak cezalandırılmaktadır.
Kişisel Verilerin İhlali ve Şantaj Suçu
Siber korsanların son yıllarda sıklıkla başvurduğu yöntemlerden biri de yalnızca verileri şifrelemekle kalmayıp, fidyenin ödenmemesi halinde bu kişisel verileri ifşa etmekle tehdit etmeleridir. Hedef sistemdeki verilerin şifrelenerek depolanması, kişisel verileri kaydetme suçunu (TCK md. 135) oluştururken; bu verilerin hukuka aykırı satılması veya herkese açık forumlarda paylaşılması kişisel verilerin hukuka aykırı olarak verilmesi veya ele geçirilmesi suçunu (TCK md. 136) teşkil eder. Özellikle sağlık verileri gibi hassas verilerin hedef alınması, faile verilecek cezanın yarı oranında artırılmasını gerektirir. Diğer yandan, saldırganın elde ettiği gizli veya hassas bilgileri kullanarak kurbanın şeref ve saygınlığına zarar vereceği yönündeki tehditleri, doğrudan şantaj suçu (TCK md. 107/2) kapsamına girmektedir. Hukuka aykırı olarak elde edilen bu veriler üzerinden maddi menfaat sağlanmaya çalışılması, eylemin vahametini ve hukuki yaptırımının ağırlığını doğrudan artırmaktadır.
Siber Yağma ve Nitelikli Haller
Fidye yazılımı saldırıları, mağdurun malvarlığı değerlerine yönelik büyük bir tehdit oluşturduğundan, bilişim hukuku doktrininde siber yağma olarak da adlandırılmaktadır. Türk Ceza Kanunu uygulamasında yağma suçu, bir kişinin malvarlığı itibarıyla büyük bir zarara uğratılacağından bahisle tehdit edilerek bir malı teslime mecbur bırakılmasıdır. Fidye yazılımı vakalarında, erişimi engellenen kurumsal verilerin ve ticari sırların şifrelenmesi malvarlığı açısından büyük bir zarar oluşturur. Mağdurun, verilerini kurtarabilmek adına kripto para gibi ekonomik değer taşıyan ödemeler yapmaya zorlanması, eylemin yağma suçu (TCK md. 148) sınırları içinde değerlendirilmesine yol açabilir. Aşağıda bu suçların nitelikli hallerine ilişkin bazı önemli hususlar özetlenmiştir:
- Saldırının bir banka, kredi kurumu veya kamu kuruluşuna ait sistemler üzerinde gerçekleştirilmesi cezayı yarı oranında artırır.
- Fiilin suç işlemek amacıyla kurulmuş bir örgütün faaliyeti çerçevesinde işlenmesi, failin yaptırımlarının ağırlaşmasına neden olur.
- Yağma eyleminin, bir suç örgütüne yarar sağlamak maksadıyla yapılması durumunda failler on beş yıla kadar hapis cezasıyla yargılanırlar.