İçindekiler

  • Özet
  • Bilişim nedir?
  • Bilişim suçu nedir?
  • Bilişim suçları yasal olarak nelerdir?
  • Kişisel verilerin korunması hakkındaki kanunlar nelerdir?
  • Dijital ortamlarda kendimizi nasıl koruruz?
    • Temel güvenlik önlemleri
    • Diğer güvenlik önlemleri
  • Sonuç
  • Kaynakça

 

Özet 

Bilişim/bilişim suçları nelerdir ve kendimizi nasıl koruruz. Bu yazıdan bunlardan ve yasalardan bahsettik.

 

Bilişim alanında işlenen suçlar; bilişim sistemlerine karşı işlenen suçlar “Hedef Bilişim Sistemi“ ve bilişim sistemleri ile işlenen suçlar “Araç Bilişim Sistemi“ olarak iki gruba ayrılabilir. İlk durumda, bilişim sistemlerinde bulunan bilgilerin karakteristiği yani; gizliliği, bütünlüğü ya da erişilebilirliği hedef olmaktadır. Bilişim sistemi tarafından sağlanan hizmetler, depolanan, alınan ve gönderilen veriler ya da donanım olarak ifade edilen kurban bilgisayarlar zarar görmektedir. Servis Dışı bırakma (Denial of Service- DoS veya bilinen kısaltması ile DDOS) saldırıları bu gruba örnek verilebilir. İkinci durumda yer alan suçlar ise; siber terörizm, çocuk pornografisi, nitelikli dolandırıcılık, fikri mülkiyet hakları ihlalleri ve yasadışı maddelerin çevrimiçi satışı gibi suçlardır. Bilişim suçlarının grupları değerlendirildiğinde; “Bilişim Alanında İşlenen Suçlar” kapsamına giren suçlar birinci gruptaki suçlardır. Bilişim terimi, “bilmek” eyleminden ad olarak türetilmiştir [1]. Diğer bir tanımda; bilişim insanların teknik, ekonomik, sosyal, kültürel, hukuksal veya benzeri alanlarda sahip oldukları verinin saklanması, saklanan bu verinin elektronik olarak işlenmesi, organize edilmesi, değerlendirilmesi ve yüksek hızlı veri, ses veya görüntü taşıyan iletişim araçları ile aktarılması olarak ifade edilmiştir [2]. Bilişim suçu ise; bilgileri otomatik olarak işleme kabiliyetine sahip bir sisteme (bilgisayar, tablet, cep telefonu, vb.) kanun ve ahlak dışı yani izinsiz olarak girilmesidir [3,4].

Bilişim suçları; TCK 5273’ün 10. Maddesinde yer alan “Bilişim Alanında İşlenen Suçlar” başlığının 243, 244 ve 245’inci maddelerinde ele alınmaktadır.

Madde 243: Bilişim Sistemine Girme (Article 243: Accessing a Data Processing System) Bilişim alanında suçlar kapsamında TCK’da ilk olarak, 243’üncü madde olan “bilişim sistemine girme” suçu düzenlenmiştir. Bu madde Avrupa Birliği’ne uyum süreci kapsamında değerlendirilebilir; çünkü Avrupa Konseyi Siber Suç Sözleşmesinin ikinci maddesindeki “yasadışı erişim” düzenlemesiyle paralellik taşımaktadır [5]. Kanun maddesi üç fıkradan oluşmaktadır.

  • TCK 243/1; “Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ve orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.” Maddenin ilk fıkrası değerlendirildiğinde; öncelikle sisteme “girme” yerine “erişim” ifadesinin kullanılması daha uygun olacaktır. Çünkü suçun konusu eylem sanal bir ortamda gerçekleştirilmektedir. İkinci olarak, kanun maddesine göre hukuka aykırı olarak bir bilişim sistemine girilmiş olması, bu suçun oluşması için yeterli değildir. Sisteme girdikten sonra belirli bir süre sistemde kalması şart koşulmuştur. Aksi takdirde, bilişim sistemine hukuka aykırı olarak giren kişi, hedef sistemde belirli bir süre kalamazsa sadece teşebbüs söz konusu olacaktır. Bilişim sistemine girme suçuna ilişkin kanun tasarısı ilk kez 1997 yılında Bakanlar Kurulu tarafından TBMM’ye sunulduğunda, tasarı “bilişim sistemine hukuka aykırı olarak girilmesi veya orada kalınması” şeklindeyken; TBMM Adalet Alt Komisyonu’nda verilen önergede “bilişim sistemine hukuka aykırı olarak girilmesi ve orada kalınması” haline getirilmiştir. Diğer bir ifadeyle suç seçimlik hareketliyken, bağlı hareketli hale gelmiştir [6]. Ancak kanun maddesinde sadece izinsiz girişin suçun oluşumu için yeterli sayılması gerekmektedir. Bunun en büyük sebebi ise korunan hukuki değer olan kişilerin özel hayatına ihlal sadece sisteme giriş ile gerçekleşebilmektedir. Aksi durumda, bilişim suçluları, yüksek maliyet getiren değişiklik ve tahribata yol açan durumlara teşvik edilebilecektir. Çünkü izinsiz erişimler, gizli verilerin ve sırların elde edilmesine ve/veya sistemin ücretsiz kullanılmasına yol açabilmektedir. Üçüncü olarak da, söz konusu kanun fıkrasında sistemde kalma süresi için bir açıklık getirilmemiştir. Bu nedenle sürenin yeterliliği konusunda son karar bağımsız mahkemelere, daha doğrusu savcı ve hâkimlerin bakış açısına bağlıdır. Diğer bir ifadeyle, bu noktadaki önemli husus hukuk alanında çalışanların bilişim alanındaki bilgileri ve yeterlilikleridir. Çünkü bu madde için, bilişim alanında uzman birisi için milisaniyeler yeterli olabilecekken, acemi veya bilgisi yetersiz diğer saldırgan için sistemde günlerce kalması istediği amaca ulaşması için yeterli olmayabilecektir. Bu nedenle, faillerin bu kapsamda bilgileri bakımından değerlendirilebilmesi son derece önem kazanmaktadır.
  • TCK Madde 243/2; “243/1’deki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi halinde, verilecek ceza yarı oranına kadar indirilir.” hükmü yer almaktadır. Bu fıkra; özel kişilere ait bir bilişim sistemine girmek ve orada kalmak halinde ihlal edilen hukuki yararın, bedeli karşılığında yararlanılan sistemlere girmek ve orada kalmak suretiyle ihlal edilen hukuki yarardan daha fazla korunmaya değer olduğu düşüncesine dayanmaktadır. İnternet üzerinden abonelik veya üyelik yöntemiyle ücreti karşılığı film, oyun, müzik, gazete ve yazılım gibi hizmetleri sunan sistemlere izinsiz şekilde girilmesi ve belirli bir süre kalınması bu fıkraya örnek olarak verilebilir. Ancak, burada göz ardı edilen husus ise, bu kapsamda yer alan ticari kurum ve kuruluşların hak ve özgürlüklerinin korunmasının da kanunen güvence altına alınmasıdır. Bu fıkra ile güvenceye aykırılık oluşmaktadır ve failleri söz konusu sistemlere karşı suç işlemeye teşvik etmektedir. Bu konuda, indirimin kaldırılmasının yanı sıra, TCK’nın 137’nci maddesinde olduğu gibi “Nitelikli Haller” düzenlenerek, kamu kurumları ve bankalar gibi özellik arz eden sistemlere yetkisiz erişimin dikkate alınması gerekmektedir.
  • TCK Madde 243/3; “ Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, altı aydan iki yıla kadar hapis cezasına hükmolunur.“ maddesi yer almaktadır. Hükmün üçüncü fıkrasında daha ağır cezayı gerektiren nitelikli haller düzenlenmiştir. Bilişim sistemine yetkisiz erişim kastıyla girilmesi sonucunda sistemde bulunan verilerin değiştirilmesi, tahribi veya yok edilmesi halinde, cezanın ağırlaştırılmasını gerektirmektedir. Bu fıkrada dikkat edilmesi gereken temel nokta failin kastıdır. Çünkü fail doğrudan sistemde bulunan verileri değiştirmek, tahrip etmek veya yok etmek amacıyla sisteme erişim sağladıysa, failin kastı 243’üncü maddenin üçüncü fıkrasını değil doğrudan TCK’nın 244’üncü maddesinde yer alan “sistemi engelleme, bozma, verileri yok etme veya değiştirme” suçunu oluşturacaktır. Kanun maddesinde değerlendirilmesi gereken bir diğer husus ise suçun manevi unsurudur. Bilişim Sistemine Girme suçunun manevi unsurunun oluşması için, failin bilerek ve isteyerek suç işleme kastı gereklidir. Bunun içinde, failin suç oluşturan eylemle ilgili yasal tanımlamaları bilmiş olması gereklidir [7]. Dolayısıyla bu konuda faili suçlayabilmek için, failin yaptığı eylemin suç olduğunu bildiğine dair kanıt gerekmektedir. Bu ise suçun mağdurları açısından oldukça adaletsiz bir tutumdur. Bu şart sadece korunan sistemler için aranmamaktadır. Örneğin kullanıcı adı ve parola girilmesi mecburi olan bir sisteme yetkisiz girilmesi durumunda suçun manevi unsuru kendiliğinden oluşmuş sayılmaktadır. Bu durum da; kanunlar tarafından korunmak için sistemlerin güvenlik önlemlerinin alınması gerektiğini göstermektedir. İstisna olarak da, sisteme giriş yetkisi olan bir kullanıcı faile giriş için yetki vermiş veya kendi kullanıcı adı ve parolasını söylediyse bu eylem artık hukuka aykırı olarak kabul edilmemektedir [8].

Madde 244: Bilişim Sistemini Bozma, Engelleme ve Verilerin Değiştirilmesi veya Yok Edilmesi (Article 244: Preventing the Functioning of a System and Deletion, Alteration or Corrupting of Data) TCK 244’üncü madde aşağıda belirtilen fıkralardan oluşmaktadır.

  • Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.
  • Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.
  • Bu fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza yarı oranında artırılır.
  • İlk üç fıkrada tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması hâlinde, iki yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezasına hükmolunur.

Madde 244 incelendiğinde; Madde 243’ün devamı niteliğinde olduğu görülmektedir. Bilişim sistemine giren ve kalmaya devam eden failin sistemi engellemeye ve bozmaya, bilişim sistemi içerisinde bulunan verileri yok etmeye veya başka verilerle değiştirmeye yönelik işlemler bu madde kapsamında değerlendirilmektedir. Söz konusu kanundan önce doğrudan bilgisayar sistemlerinin işleyişi ile sistemde bulunan verilerin değiştirilmesine, tahribine veya yok edilmesine yönelik eylemler, suç olarak kabul görmediğinden cezalandırılmalarına imkân yoktu [9]. Bu nedenle 244’üncü maddenin bu alanda önemli bir adım olduğu görülmektedir. Kanun maddesinin fıkraları ele alındığında; ilk fıkrada, sistemin işleyişini bozma veya engelleme ile sistem üzerinde işlenen verilere zarar verme veya değiştirme suçu ayrı ayrı değerlendirilmiş ve yukarıda belirtilen cezalar belirlenmiştir.

Bu maddeler, siber suçlarla mücadele kapsamında oldukça önemlidir. Çünkü siber saldırılar sonucunda faillere uygulanacak yaptırımlar bu maddeler ile tespit edilmektedir. Üçüncü fıkra ise, 243’üncü maddede de bulunması gereken önemli bir tespittir. 243’üncü maddenin ikinci fıkrasının değerlendirilmesi kısmında da belirtildiği üzere, kanun maddelerinde belirtilen yaptırımlar caydırıcılık taşımalıdır. Özellikle toplumun huzur ve güvenliği için ortak korunan değerlerde, söz konusu yaptırım oranının daha fazla olması gerekmektedir. Üçüncü fıkra, bu kapsamda gerçekleştirilmiş bir yaptırımdır. Ancak bu konuda ki temel problem, yarı oranda artırılacak cezanın da yeterince caydırıcılık özelliğini taşımamasıdır. Çünkü bir banka soygunu neticesinde çalınan “A” miktar para ile İnternet ortamında kullanıcıların hesaplarına erişerek ele geçirilen “A” miktar paranın cezai müeyyidesinin oldukça farklı olması adalet kavramı ile çelişmektedir. Bu fark da suçluları sanal ortama yöneltmektedir. Son fıkra da ise, birinci ve ikinci fıkrada ifade edilen hususlar neticesinde, failin kendisi ya da başka birisine çıkar sağlaması müeyyideye bağlanmıştır. Bu fıkraya örnek olarak, bir öğrencinin bilgi sisteme erişerek notunu değiştirmesi ya da ticari bir firmanın rakibi olan firmanın işleyişini engellemesi verilebilir. Bilişim alanında işlenen suçlar başlığının son maddesi olan 245’inci madde olan “banka ve kredi kartlarının kötüye kullanılması” ise 243 ve 244’üncü maddeden farklılık göstermektedir. Çünkü 243 ve 244’üncü maddeler doğrudan bilişim sistemine yönelik saldırıları içerirken, 245’inci madde kapsamında düzenlenen fiiller ise gerçek veya sahte kartlarla yarar sağlamayı cezalandırmaktadır. Bu nedenle çalışma da 245’inci madde incelenmemiştir.

Ayrıca bazı kanun ve yönetmeliklerde parça parça hükümler bulunmasına rağmen daha ayrıntılı ve sadece kişisel verilerin korunmasını düzenleyen bir kanun bulunmamaktadır. Uluslararası alanda bu konuda kanunu bulunmayan çok az ülke bulunmaktadır. Bu yüzden kişisel hak, hürriyet ve özel hayatın korunduğu, ilgili kurum ve kuruluşların açık ve net bir şekilde görev ve sorumlulukların belirlendiği, bu alanla ilgili tüm hususları kapsayıcı ana bir kanunun çıkarılması elzemdir. Kişisel veri; bilinen veya kimliği tespit edilebilir gerçek ve tüzel kişilere ilişkin tüm bilgilerdir [10]. Veri, her türlü bilgiyi kapsarken; kişisel veriler sadece bireylerin kimliklerine doğrudan veya dolaylı olarak ulaşılmasına olanak veren bilgilerdir [11]. Kişisel verilerin ihlali ise, kişinin özgür iradesiyle verdiği kabul beyanı dışında, yetkisi olmadığı halde ya da hukuka aykırı olarak kişisel verilerin zarara uğramasına, kaybolmasına, iletilmesine, değiştirilmesine, herhangi bir yere depolanmasına, kaydedilmesine, işlenmesine, açığa çıkarılmasına ve ilgili verilere erişilmesine neden olan durumlara güvenlik ihlali denir. Bu ihlallere karşı ülkemizde kişisel verilerin korunması ve suçluların cezalandırılması için pek çok kanunda çeşitli hükümler bulunmaktadır [12]. Özellikle Anayasanın 20. Maddesinde, “Herkes özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.” hükmü ile kişilerin mahrem hayatları güvence altına alınmıştır. Fakat yine de kişisel verilerin korunması yönünde tüm kanunları kapsayan ayrı bir kanun yapılması gerektiği diğer Avrupa ülkeleriyle kıyaslandığında ortaya çıkmaktadır. Şekil 1’de görüldüğü üzere Avrupa Konseyi ülkeleri arasında Türkiye ulusal mevzuatı olmayan iki ülkeden biridir.

Şekil 1: Avrupa Konseyine Üye Ülkelerinin Ulusal Mevzuatlarını Yürürlüğe Koydukları Tarihler [13]

Ulusal mevzuat detaylı olarak incelendiğinde; kişisel verilerin korunması yönünde çeşitli hükümler bulunan kanunlar şunlardır:

  • T.C. Anayasası- Md. 20-25
  • Türk Ceza Kanunu (TCK)- Md. 132 -140
  • Ceza Muhakemesi Kanunu (CMK)- Md. 75, 80, 134- 138, 140
  • Elektronik Haberleşme Kanunu Md. 51, 52
  • Elektronik İmza Kanunu Md. 12
  • Bankacılık Kanunu
  • Banka Kartları Ve Kredi Kartları Kanunu Md.23
  • Türk Medeni Kanunu Md. 23-25
  • Bilgi Edinme Kanunu Md. 19-22
  • Fikir ve Sanat Eserleri Kanunu 19, 83-86
  • İş Kanunu Md. 75
  • İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  • Adli Sicil Kanunu Md. 11
  • Türk Medeni Kanunu Md. 23, 24, 25
  • Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği
  • Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik.

 

Dijital ortamda kendimizi nasıl koruruz?

Suçlar nedir kanunlar nedir inceledik şimdi ise gelelim kendimizi korumaya. Kendimizi nasıl mı koruruz? Kendimizi korumamız için yapmamız gereken bazı şeyler var.

Temel Bilgi Güvenlik Öğeleri (Cengizhan,2019)

  1. Gizlilik: Bilginin yetkisiz kişilerin eline geçmemesidir.
  2. Bütünlük: Bilginin yetkisiz kişiler tarafından değiştirilmemesidir.
  3. Erişilebilirlik: Bilginin ilgili ya da yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olmasıdır.

1.Gizlilik (Confidentiality)

 Bilgi gizliliğinin gözetilmesi, sadece yetkili kişiler tarafından erişilmesi ve yetkisiz kişilerin erişiminin engellenmesidir.

Örneğin:

  • Kurum muhasebe kayıtlarının saklandığı USB belleğin kaybolması.
  • Kurumsal kullanıcı adı ve parolanın bir saldırganın eline geçmesidir

2.Bütünlük (Integrity)

Bilginin bütünlüğü;

 İçeriğinin doğru, güncel, geçerli ve yetkisiz kişiler tarafından değiştirilmediği anlamına gelmektedir.

Örneğin:

  • Web sayfasının içeriği saldırgan tarafından değiştirilmesi,
  • Gönderilen bir e-postanın içeriğinin değiştirilmesi,

3.Erişilebilirlik – Kullanılabilirlik – Geçerlilik (Availability)

Bilginin erişilebilirliği;

  • Bilginin olması gereken yerde ve gerektiğinde kullanıma hazır olduğunun güvence altında tutulmasıdır.

Örneğin:

  • Bir web sayfasına erişim engellenmesi,
  • Bir e-posta servisine her durumda erişilebilir olması,
  • Kullanıcı ihtiyaç duyduğunda bilgi yönetim sisteminin çalışmaması,

 Bilgi Güvenliği Temel Öğeleri dışında;

  • Güvenilirlik,
  • İnkâr edememe,
  • Kimlik doğrulaması,
  • Yetkilendirme ve
  • İzlenebilirlik gibi diğer yardımcı nitelikler ile birlikte desteklenmelidir.

Sonuç 

Bilişim suçları bilişim sistemleri hedef olarak ve araç olarak kullanılarak iki şekilde olmaktadır. Ve bunlar yasal olarak onaylanmasa da kendimizi korumamız için temel güvenlik önlemlerini uygulamalıyız.

 

 

 

KAYNAKÇA

YILMAZ, E , GÖNEN, S , ULUS, H . (2016). Bilişim Alanında İşlenen Suçlar Üzerine Bir İnceleme. Bilişim Teknolojileri Dergisi , 9 (3) , 229-0 . DOI: 10.17671/btd.90710

“Dijital ortamda kendimizi nasıl koruruz?” Adlı içerik Cahit CENGİZHAN’ın ders sunumlarından alıntıdır.

[1] A. Köksal, “Adı Bilgisayar Olsun”, Cumhuriyet Kitapları, Bilişim Yazıları, Ankara, 2010, (44).

[2] M. E. Artuk, A. Gökçen, A. C. Yenidünya, Türk Ceza Kanunu Şerhi, 5. Cilt, Turhan Kitapevi, Ankara, 2009, s. 4643.

[3] K. Doğan, “Bilişim Suçları ve Yeni Türk Ceza Kanunu”, Hukuk ve Adalet, (294), 2005.

[4] Y. Yazıcıoğlu, Bilgisayar Suçları, Alfa Yayınları, İstanbul, 1997.

[5] Y. Yazıcıoğlu, “ Bilişim Suçları Konusunda 2001 Türk Ceza Kanunu Tasarısının Değerlendirilmesi“, Hukuk ve Adalet: Eleştirel Hukuk Dergisi, İstanbul, 2004, s.177.

[6] ESEN Sinan, Malvarlığına Karşı Suçlar Belgelerde Sahtecilik ve Bilişim Alanında Suçlar, Adalet Yayınevi, Ankara 2007, (s. 628).

[7] H. Karakehya, “Türk Ceza Kanunu’nda Bilişim Sistemine Girme Suçu”, TBMM Dergisi, 2009, sayı 81, s.1-24.

[8] Y. Erdoğan, “ Bilişim Sistemine Girme ve Kalma Suçu “, Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi, 2012, Cilt: 12, s. 363-1433.

[9] Y. Yazıcıoğlu, Bilgisayar Suçları, Alfa Yayınları, İstanbul 1997, s.20.

[10] Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi Ve Gizliliğinin Korunması Hakkında Yönetmelik, http://www.mevzuat.basbakanlik.gov.tr, 2013, Erişim Tarihi: 20.06.2015.

[11] Ç.Z. Ünsal, “Google’ın Yeni Gizlilik Politikası Google Inc. Tarafından 1 Mart 2012 Tarihinde Yayımlanan Politikasının Kişisel Verilerin Korunması İlkeleri İle Uyumluluğu Ve Avrupa Birliği’nin 95/46/Ec Sayılı Veri Koruma Direktifi Açısından Değerlendirilmesi”, Araştırma, Hacettepe Hukuk Fakültesi Dergisi, 2013, 3(1).

[12] A. Özdemir, E. Akçaoğlu, “Ceza Hukuku Alanında Kişisel Verilerin Korunması”, Hacettepe Üniversitesi Sosyal Bilimler Enstitüsü, 2014.

 [13] Kalkınma Bakanlığı Bilgi Toplumu Dairesi, “Bilgi Güvenliği, Kişisel Bilgilerin Korunması ve Güvenli Internet Ekseni Mevcut Durum Raporu”, Bilgi Toplumu Stratejisinin Yenilenmesi Projesi, 2013.

Photo by Sedat SOLAK with photo creator applications


Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.