Siber Suç Nedir?
İnsanın bulunduğu tüm alanlarında bilgi ve iletişim teknolojisi sistemlerinin kullanımı bilinmekte ve yaygın olarak kabul görmektedir. Öte yandan, bilgi sistemleri daha çeşitli insan faaliyetlerini mümkün kılmaktadır.
Örneğin, günlük faaliyetlerin hızını artırmakta, insanların yeni ve genellikle daha faydalı ilişkiler geliştirmesine ve sürdürmesine olanak tanımakta, kuruluşların yapısını etkilemekte, satın alınan ürünlerin tümünü değiştirmekte ve işin doğasını etkilemektedir. Bu anlamda enformasyon ve bilgi, hayati ekonomik kaynaklar haline gelmektedir. Bu durumun sonucu olarak da yeni fırsatlarla birlikte, bilgi sistemlerinden sürekli yararlanma ihtiyacı yeni tehditleri de beraberinde getirmektedir.
Dünyada bilgisayar ağları üzerinde işlenen suçlara “Siber Suçlar” (cyber crimes) tabiri kullanılmaktadır. Siber suç deyimi, bilgisayarlar aleyhine veya bilgisayarlar aracılığıyla işlenen suçlar olarak da tanımlanmaktadır.
Herhangi bir suçun elektronik ortam içerisinde işlenebilme imkanı bulunuyor ve bu ortam içerisinde gerçekleştirilen fiil, genel olarak hukuka aykırı veya suç olarak tanımlanabiliyorsa bu suçları siber suçlar olarak değerlendirilebilmektedir. Siber suç, bilgisayar veya ağ sistemleri yolu ile bilgisayar veya ağ sistemleri içerisinde ya da bilgisayar ve ağ sistemlerine karşı işlenebilmektedir.
Siber Suçların Türleri Nelerdir?
Bazı siber suç türleri şunlardır;
Yetkisiz erişim
Bir bilgisayar sistemine ya da bilgisayar ağına, bir kişinin yetkisi olmadan erişmesidir. Erişim, sistemin bir kısmına ya da bütününe veya programlara veya içerdiği verilere ulaşma anlamandadır. İletişim metodu önemli değildir.
Yetkisiz erişim, bir kişi tarafından bir bilgisayara doğrudan yakın bir yerden olabileceği gibi, uzak bir mesafeden örneğin bir modem hattı ya da başka bir bilgisayar sisteminden de olabilmektedir.
Yetkisiz dinleme
Bir bilgisayar veya ağ sistemi kullanılarak, iletişimin yetkisiz olarak sistem içinden yapılan teknik anlamda dinlemedir. Suçun hedefi her TÜRLÜ bilgisayar iletişimidir. Genellikle halka açık ya da ÖZEL telekomünikasyon sistemleri yoluyla yapılan veri transferinin teknik olarak takip edilmesi ve dinlenmesidir.
Teknik anlamda dinleme, iletişim içeriğinin izlenmesi, verilerin kapsamının ya doğrudan (bilgisayar sistemini kullanma ya da erişme yoluyla) ya da dolaylı olarak (elektronik dinleme cihazlarının kullanılması yoluyla elde edilmesi ile ilgilidir.
Mantıksal bilgisayar sabotajı
Bir bilgisayar ya da iletişim sisteminin fonksiyonlarını engelleme amacıyla bilgisayar verileri veya programlarının sisteme girilmesi, yüklenmesi, değiştirilmesi, silinmesi veya ele geçirilmesidir.
O halde mantıksal bilgisayar sabotajı, bir bilgisayar ya da iletişim sisteminin fonksiyonlarına zarar vermek amacı ile verilerin veya programların “zaman bombası”, “Truva atları”, “virüsler”, “solucanlar” gibi yazılımlar kullanılarak değiştirilmesi, silinmesi, ele geçirilmesi ya da çalışmaz hale getirilmesidir.
Fiziksel bilgisayar sabotajı
Bir bilgisayara ya da iletişim sistemini oluşturan parçalara, sistemin fonksiyonlarını yerine getirememesi amacıyla fiziksel yollarla zarar verilmesidir.
Bilgisayar yoluyla dolandırıcılık
Bilgisayar ve iletişim teknolojileri kullanılarak verilerin alınması, değiştirilmesi ve silinmesi yoluyla kendisine veya başkasına yasadışı ekonomik menfaat temin etmek için mağdura zarar vermektir. Suçlunun hedefi kendisine veya bir başkasına mali kazanç sağlamak ya da mağdura ciddi kayıplar vermektir.
Bilgisayar dolandırıcılığı suçları, suçların modern bilgisayar teknolojileri ve ağ sitemlerinin avantajlarını değerlendirmeleri yoluyla klasik dolandırıcılık suçlarından farklılık göstermektedir.
Banka kartı dolandırıcılığı
Kartlı ödeme sistemleri kullanılarak yapılan dolandırıcılık ve hırsızlık suçlarıdır. Kredi kartları, bankamatik kartları ve benzeri kartlarla yapılan dolandırıcılık suçlarıdır. Kart ödeme sistemleri (ATM-Automated Teller Machine) genelde bankalar veya benzer finans kuruluşlar tarafından kullanılmaktadırlar.
Erişim genellikle bir kişini tanımlama numarası (PIN-Personal Identification Number) girişi gerektiren, bir kart ya da benzeri bir sistem ile yapılmaktadır. Dolandırıcılık bu kartların çalınması, çoğaltılması, kopyalanması veya iletişim hatlarının engellenmesi ve dinlenmesi yoluyla oluşmaktadır.
Ülkemizde Siber Suçlar
Yeni bir suçluluk türü söz konusu olduğundan, ceza adaleti sisteminin birçok aktörü konuya henüz aşina değildir. Polisin daha hızlı adapte olduğu söylenebildiyse de savcı ve hakimlerin bilişim suçları meselelerinde henüz yeterli teknik bilgi ye sahip olduklarını söylemek güçtür; bu konuda ciddi bir eğitime ihtiyaç vardır. Kaldı ki, büyük hızla yeni suç işleme yöntemleri ortaya çıktığından, bu yetkililerin bilgilerini sürekli güncellemeleri de şarttır.
Avrupa İnsan Hakları Mahkemesi’nin 18.12.2012 tarihli Ahmet Yıldırım/ Türkiye kararında, oybirliğiyle, ifade özgürlüğüne ilişkin AİHS m. 10’un ihlal edildiğinin tespiti, Türk yasa koyucusunun interneti kullanma hakkını sınırlama konusunda gerekli özeni göstermediğini ortaya koymaktadır.
AİHM’nin bu içtihadı, Türk yasa koyucusunun 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’da değişiklik yapması gerektiğini ortaya koymaktadır.
Ünlü Siber Suç Vakaları ve Örnekler
Melissa virüsü: 1999 yılında New Jersey’de yaşayan bilgisayar programcısı David lee Smith’in ortaya çıkardığı Melissa Virüsü, e-mail yoluyla yayılıyor ve bilgisayar sisteminizin aşırı yüklenme ile karşılaşmasına sebep oluyordu. İçlerinde Microsoft’un da yer aldığı pek çok firmanın sistem ağlarını ulaşılmaz kılan bu virüs arkasında 80 milyon dolarlık bir hasar bıraktı. Virüsün yaratıcısı David Lee Smith, 20 ay hapis ve 5 bin dolar para cezasına çarptırıldı.
Estonya siber saldırısı: Nisan 2007’de Baltık Devleti Estonya’ya ait banka ve medya kuruluşlarının web siteleri ele geçirildi. Estonya Hükümeti, olay sonrası yaptığı açıklamada düzenlenen bu saldırıdan dolayı Rusya’yı sorumlu tuttu. Gerekçe olarak ise başkent Tallin’deki Sovyet döneminden kalma savaş anıtının kaldırılması gösterildi. Tüm bu yaşananlar, tarihe ülkeler arasında yaşanan ilk modern siber atak olarak kaydedildi.
Sony playstation siber saldırısı: Japon Elektronik devi Sony, 2011 yılında büyük bir güvenlik ihlali ile karşı karşıya kaldı. PlayStation’un Network ve Qriocity servislerini çökerten hackerlar, PS3’ün bütün güvenlik sistemini ve açıklarını ifşa etmişti. Kullanıcılar online servislere erişemezken, 100 milyondan fazla kişinin şahsi bilgileri de çalındı. Sony yaşanan bu gelişmeler sonrası bir basın toplantısı düzenlemiş ve kullanıcılardan özür dilemişti.
Adobe systems siber saldırısı: Grafik ve medya yazılım şirketi olan Adobe, 2013 yılında milyonlarca kişiyi etkileyen bir siber saldırıya maruz kaldı. Şirket o dönem bazı popüler yazılımlarının kaynak kodlarının çalındığını belirtti. Bununla birlikte 2.9 milyon müşterisinin kredi kartı ve parola bilgilerinin de ele geçirildiğini duyurdu.
Siber Suçlarla İlgili Yasalar ve Mevzuatlar
Dünyada bilgisayar ve bilgisayar ağlarının kullanımının yaygınlaşmasıyla bir takım hukuki sorunlar da ortaya çıkmaya başlamıştır. Bu durum gelişmiş ülkelerle beraber Türkiye’yi de harekete geçirmiş, siber suçlar konusunda düzenleme yapmaya sevk etmiştir.
Türk Hukukunda siber suçlara ilişkin ilk düzenleme, 765 sayılı TCK’da yapılmıştır.
Kanun koyucu TCK’da yapılan değişikliğin ardından, güncel gereksinimleri karşılamak için Fikir ve Sanat Eserleri Kanunu’nda değişiklik yapmıştır. Bu değişiklikle “Herhangi bir şekilde dil ve yazı ile ifade olunan eserler ve her biçim altında ifade edilen bilgisayar programları ve bir sonraki aşamada program sunucu doğurması koşuluyla bunların hazırlık tasarımları” da “eser” sayılarak, bilgisayar programlarına yönelik bu kanun kapsamındaki fillerde suç sayılmıştır.”
Elektronik İmza Kanunu ile elektronik imzanın geçerliliği kabul edilmiş ve sahte elektronik imzanın sertifika yapılması ve kullanılması suç olarak kabul edilmiştir.
5237 sayılı TCK’da siber suçlara ilişkin düzenlemeler “bilişim sitemlerine karşı suçlar” ve “özel hayatın gizli alanına karşı suçlar” bölümlerinde düzenlenmiştir.5237 sayılı TCK’da siber suç olarak adlandırılabilecek suç çeşitlerinin yanı sıra bilişim sistemi aracılığıyla işlenebilecek ancak sadece siber suç olarak tanımlanamayacak suç tipleri de mevcuttur. Bunları biraz açacak olursak;
Bilişim alanında suçlar bölümünde,
- Bilişim sistemine hukuka aykırı olarak girme ve sistemde kalma suçu (m. 243)
- Sistemi engelleme, bozma, verileri yok etme veya değiştirme (m. 244)
- Banka veya kredi kartlarının kötüye kullanılması (m. 245)
- Tüzel kişiler hakkında güvenlik tedbirlerinin uygulanması (m. 246)
Özel hayatın gizli alanına karşı suçlar bölümünde,
- Kişisel verilerin kaydedilmesi (m. 135)
- Kişisel verileri hukuka aykırı olarak kaydetme veya ele geçirme (m. 136)
- Verilerin yok edilmesi (m. 138)
Suçlarına yer verilmiştir.
Son olarak 5237 sayılı TCK’nın bazı bölümlerinde siber suçları da kapsayan suç tiplerine yer verilmiştir. Bunlar;
- Haberleşmenin gizliliğini ihlal suçu (m. 132)
- Haberleşmenin engellenmesi suçu (m. 124)
- Hakaret suçu (m.125)
- Bilişim sisteminin kullanılması yoluyla işlenen hırsızlık suçu (m. 142)
- Bilişim sisteminin kullanılması yoluyla işlenen dolandırıcılık suçu (m. 158)
- Müstehcenlik suçu (m. 226)
Siber Suçlar ve Hukuk
Siber hukuk, dijital dünyayı (bilgisayar, bilgisayar ağları, yazılım, veri depolama cihazları, internet, cep telefonları, otomatik vezne makinelerinin kullanımı, giriş verilerini ve çıktı sonuçlarını işleyebilen diğer elektronik cihazlar) yöneten kanundur.
Siber suçlar konusunda şu ana kadar yapılan en etkin hukuki düzenlemenin, Avrupa Konseyi tarafından 23 Kasım 2001 tarihinde imzaya açılan Avrupa Konseyi Siber suçlar Sözleşmesi olduğu söylenebilir. Hazırlanan sözleşmenin hedefi “ortak bir ceza politikasının oluşturulması ile toplumun siber suça karşı korunması, özellikle gerekli mevzuatın kabul edilmesi” ve uluslararası işbirliğinin geliştirilmesidir.
Siber suç olgusuyla mücadele etmek bakımından en önemli husus, uluslararası adli yardımlaşmadır. Bunun bilincinde olan devletler, uluslararası örgütler ve sivil toplum kuruluşları, yeknesak bir mücadeleyi mümkün kılmayı amaçlayan sayısız girişimlerde bulunmuşlardır. Bu sayede ortaya çıkan hukuki enstrümanlardan en önemlisi, Avrupa Konseyi bünyesinde kabul edilen 2001 tarihli Siber Suç Budapeşte Sözleşmesi’dir.
Yeni bir suçluluk türü söz konusu olduğundan, ceza adaleti sisteminin birçok aktörü konuya henüz aşina değildir. Polisin daha hızlı adapte olduğu söylenebilse de savcı ve hakimlerin bilişim suçları meselelerinde henüz yeterli teknik bilgi ye sahip olduklarını söylemek güçtür; bu konuda ciddi bir eğitime ihtiyaç vardır. Kaldı ki, büyük hızla yeni suç işleme yöntemleri ortaya çıktığından, bu yetkililerin bilgilerini sürekli güncellemeleri de şarttır.
Siber Suçlarda Kanıt Toplama ve Delil Sunma Yöntemleri
Siber suçu ortaya çıkarmaya yarayacak delillerin türü ve formatı, geleneksel suçlara nazaran daha farklıdır. Delilleri elde etmek ve bunları mahkeme nezdinde mevcut usuli kurallara uygun olarak toplamak ayrı bir meseledir. Bu da “adli bilişim” adı verilen, “potansiyel yasal delillerin elde edilmesi amacıyla bilgisayar inceleme ve analiz teknikleri kullanılarak yapılan” uygulamaları ele alan disiplinin önemini ortaya koymaktadır. Bu bakımdan, bu suçluları soruşturacak personelin çok ciddi bir uzmanlığa sahip olması şarttır.
Öte yandan, dijital delillerin her an kaybolabilme ihtimali karşısında yardımlaşma sürecinin hızlı işlemesi de şarttır. Bu ise, hele ikiden fazla ülke aracılığıyla suçun işlendiği durumlarda, klasik adli yardımlaşmada mümkün değildir. Bu nedenle, yeni ve hızlı adli yardımlaşma yöntemleri de gerekli olmaktadır. O halde, meşakkatli resmi prosedürlere bağlı olduğu için yavaş işleyebilen klasik adli iş birliği opsiyonları, siber suçlulukla mücadele bakımından etkisiz kalabilmektedir.
Siber suçlarda, çok az masraf ve gayretle, çok büyük zarar vermek mümkün olabilmektedir. Oysa, bu suçla mücadele ve de adli işbirliği, büyük zahmet ve masraf gerektirebilmektedir.
Siber suçlulukla ceza hukuku yoluyla mücadelede en büyük sorun, bu alana, çok az sayıda ülkenin bile mevzuatında gerekli düzenlemeleri yapmamasının, “kurtarılmış bölge/sığınak” arayan siber suçlular için yeterli olmasıdır. Gerçekten de, siber fail, herhangi bir ülkeden faaliyet göstererek, istediği ülke veya ülkelerdeki kişileri hedef alma imkanına sahiptir. Bu bakımdan, “siber suçlulara karşı mücadele ya global olacaktır ya da hiç anlamı yoktur”.
Zira, birkaç devlet dahi bu mücadeleye katılmazsa, ‘jurisdiction shopping’ denilen olgu gerçekleşecek ve siber suçlular, bu suçlar için mevzuatında en az cezayı öngören veya diğer devletlerle adli antlaşması mevcut bulunmayan devletleri tespit ederek, faaliyetlerini oradan sürdüreceklerdir. Hele, iade antlaşmalarında yer alan “çifte cezalandırılabilirlik” (double criminality) koşulu, yani, iadenin gerçekleşebilmesi için, fiilin hem kendisinden iade talep edilen hem de iadeyi talep eden devlette suç teşkil etmesi gerekliliği, devletlerin mevzuatları arasındaki uyumu daha da önemli kılmaktadır.
Av. Ahmet EKİN & Stj. Av. Bahar GÜMÜŞTAŞ