29 Temmuz 2015 Çarşamba

BİLİŞİM YAZILARI : Bilişim Avukatı Sayın Şebnem Ahi ile Röportajımız



Bilişim Avukatı Sayın Şebnem Ahi ile bir röportaj gerçekleştirdik. Kendisinden bir bilişim suçu karşısında, yaşanan süreçler hakkında bilgiler aldık. Ayrıca ülkemizde bir süre önce yaşanan DNS hijacking ve gündemde olan Hacking Team konularına değindik. Yakından tanıdığımız değerli bilişim avukatlarından Sayın Gökhan Ahi'nin eşidir. Kendisine buradan teşekkür ediyoruz.

o    Kendinizi tanıtır mısınız.

2009 yılından bu yana bilişim hukuku alanında avukatlık yapıyorum. İstanbul Barosu Bilişim Hukuku Merkezi’nde Genel Sekreterlik görevimi ve bu alanda eğitim çalışmalarımı aktif olarak devam ettiriyorum. Ayrıca webrazzi.com’da ‘hukukiweb’ adlı programın yapımcısıyım ve yorumcusuyum.

o    Yaşanan bir bilişim suçunun hukuksal olarak sonucu, takribi olarak ne kadar sürmektedir.

Bir bilişim suçu ile ilgili savcılığa şikayet sonrasında, savcılık emniyet birimleri aracılığı ile soruşturma evresi başlatır. Şikayete bağlı olmayan suçlarda, Savcılık re’sen de soruşturma başlatabilir. Soruşturulan suç bilişim suçu ise emniyetteki siber suçlar şubesi ile birlikte çalışma yürütülür. Delilerin toplanması (genelde bilgisayarların ve diğer aygıtların aranması şeklinde), faillerin tespiti ve ifadelerin alınması neticesinde savcılık, dava açılıp açılmayacağına karar verir. Mahkemeye sevkedilirse kovuşturma aşaması başlar, faillerin ve müştekilerin ifadeleri alınır, yeni deliller varsa mahkeme bunları da inceleme konusu yapar, bilirkişi raporları düzenlenir, karar aşamasına geçilir. Tüm bu süreç genelde 1 ile 2 yıl arasında değişmektedir. Dosyanın kapsamlı olması, sanıkların fazla olması durumunda bu sürenin 3yıla kadar çıktığı durumlar da olur. Mahkemenin kararını uygun bulmayan taraflardan birinin dosyayı Yargıtay’a taşıması durumunda Yargıtay incelemesi sonrasında kesin kararın verilmesi toplamda 5 yıla kadar uzayabilir.

o    Bilişim suçlarında yaşanabilecek delil yetersizliği ne gibi durumlarda ortaya çıkmaktadır.

Kovuşturma aşaması öncesinde tüm delillerin toplanmış olması için, IP bilgilerinin edinilmesi ve bilgisayarlarda yapılan inceleme sonucunda kesinlik arz edecek delillerle soruşturmanın yönlendirilmesi gerekir. Bilgisayarların ve diğer aygıtların usulüne uygun olarak incelenmesi ve delil tespit edilmesi çok önemlidir. Nitekim, dijital özellikli deliller kolayca yok olabildiği gibi, kolayca da herhangi bir ortama dışarıdan veri yerleştirilebilir. Özellikle sosyal medya üzerinden işlenen suçların soruşturmasında en büyük sorun failin tespitidir. Nitekim Twitter, Facebook gibi siteler yurtdışında merkezleri olduğundan ve politikaları gereği kullanıcılara ait IP bilgilerini yasal mercilerle paylaşmadığını açıklamıştır. Bunun için Amerikan Mahkemelerinden geçerli olabilecek bir karar almak gerekir.

Emniyet ya da mahkeme tarafından suçun failine ilişkin IP bilgileri tespit edilse dahi bu bilgi, kişinin tespit edilmesinde tek başına da yeterli değildir. Bu bilgilerin doğruluğunu ve üzerinde değişiklik yapılmamış olduğunu ispatlamaya yarayan zaman damgası taşıması gerekir. Nitekim IP adresinin kullanıldığı adres Türkiye’de değil ise, failin tespiti daha da zorlaşmaktadır.

Bir diğer sorun da, bilişim sistemlerine izinsiz girildiğinde, veri değiştirildiğinde, verilere giriş engellendiğinde bu tip suçların soruşturulmasında karşılaşılan Dijital delillerin hızla kaybolabilir ve yok edilebilir nitelikte olması durumudur.

Failin soruşturması sırasında toplanan deliller bakımından internet üzerinde yaptığı paylaşımlar da bu kişilerin bıraktığı bir izdir, delildir, ancak bunların kaybolması delillerin karartılması hızlıca mümkün olduğundan bu noktada sıkıntılar yaşandığı görülmektedir.

Ayrıca IP bilgilerinin yönlendirilmesi durumunda gerçek faile erişmek yerine masum insanların yargılandığı ve mağdur olduğu sıkıntılı durumlar da görülebilmektedir.

o    Bilişim suçlarında zaman aşımı bulunmakta mıdır.

Kamu davaları açısından Dava zamanaşımı süresi cezanın ağırlığına göre değişen sürelerdedir. İlgili TCK hükmü gereği işlenen suç Beş yıldan fazla ve yirmi yıldan az hapis cezasını gerektiren suçlardan ise dava zaman aşımı onbeş yıldır. İşlenen suç, Beş yıldan fazla olmamak üzere hapis veya adlî para cezasını gerektiren suçlardan ise dava zaman aşımı sekiz yıldır, bu sürelerin geçmesiyle dava düşer.

Bilişim suçlarında bilişim sistemine girme suçu en fazla 2 yıla kadar hapis gerektirdiğinden dava zaman aşımı 8 yıldır. Sistemi engelleme, bozma, verileri yok etme, değiştirme suçu 5 yıla kadar hapis cezası gerektiriyor ise dava zaman aşımı 8 yıldır. Ancak bu suç ağırlaştırılmış cezayı gerektiren hallerde işlenmiş ve suçun nitelikli hali oluşmuşsa ve 5 yılın üzerinde hapis cezası gerektiriyorsa dava zaman aşımı 15 yıldır. Banka veya kredi kartlarının kötüye kullanılması suçunda verilecek cezalar ise 3 yıl ile 8 yıl arasında değişmektedir. Burada da dava zaman aşımı hesaplanırken suçun cezasının 5 yıldan az hapis gerektirmesi durumunda dava zamanaşımının 8 yıl, 5 yıldan fazla hapis cezası gerektirmesi durumunda dava zaman aşımı 15 yıldır.

Sosyal medyada işlenen ancak Soruşturulması ve kovuşturulması şikayete bağlı suçlarda ise yetkili kimse altı ay içinde şikayette bulunmadığı takdirde soruşturma ve kovuşturma yapılamaz. Zamanaşımı süresini geçmemek koşuluyla bu süre, şikayet hakkı olan kişinin fiili ve failin kim olduğunu bildiği veya öğrendiği günden başlar. Kovuşturma yapılabilmesi şikayete bağlı suçlarda kanunda aksi yazılı olmadıkça suçtan zarar gören kişinin vazgeçmesi davayı düşürür ve hükmün kesinleşmesinden sonraki vazgeçme cezanın infazına engel olmaz.

o    Servis sağlayıcıların kayıt (log) tutma süreleri ciddi anlamda uzatıldı, süresi dolan kayıtlar (log) silinmekte midir.

5651 sayılı yasa geçtiğimiz yıl yeniden düzenlendi, bu kanuna göre yer sağlayıcılar 1 yıldan az ve 2 yıldan fazla olmamak üzere log tutmak zorundalar. Erişim sağlayıcılar da 6 aydan az ve 2 yıldan fazla olmamak üzere bu kayıtları tutmak ve talep edildiğinde ilgili kurumla paylaşmak zorundalar. Bu süre hem iş yükü hem de ekonomik anlamda ekosisteme zarar verecek uzunlukta. Diğer yandan kişisel verilerin güvenliği bakımından da tehlike yarattığını söyleyebiliriz. Bu kayıtlar süresi dolduğunda kanunen silinmek zorundadır. Nitekim bu verilerin yok edilmesi zorunluluğu normalde Türk Ceza Kanunu madde 138’de düzenlenmiştir ve kanunen belirlenen süre bitince silinmesi gerekir ancak 5651 sayılı yasada 2 yıl geçtikten sonra imha edilir şeklinde bir düzenleme yapılmamıştır.

o    Siber Suçlarla Mücadele Şube Müdürlüklerinde kadro değişikliklerine gidildi. Şuandaki süreçler eskisinden daha mı uzun sürmektedir.

Emniyet aşamasındaki delil toplama süreci dosyanın kapsamına göre değişkenlik gösterir. Şüpheli sayısının veya müşteki sayısının fazla olması, delillerin dağınık yerlerde ve sistemlerde yerleşmiş olması, yurtdışı kaynaklı suçlar söz konusu olması gibi durumlara göre bu süreler de uzayabilir. Kadro değişse de yapılacak iş kanunda yazdığından ve belli sürelere ve usullere tabi olduğundan bu süreler kişilere göre değişkenlik gösterecek nitelikte değildir. Emniyet birimlerinde yapılan rotasyonlar, bazen işlerin aksamasına yol açabilir. Örneğin 5 yıl boyunca adli bilişim konusunda uzmanlaşan bir polis memuru trafikle uğraşan başka bir şubeye atanabiliyor, ya da tam tersi mali suçlarda uzmanlaşan bir polis memuru kendisini bilişim suçları şubesinde bulabiliyor.

o    İtalya merkezli gözetim ve denetleme ürünleri geliştiren Hacking Team ile ülkemiz kurumları ile yaptığı yazışmalar suç teşkil edici midir. Bu tür surveillance ürünleri geliştirmek uluslararası olarak yasal mıdır.

Resmi olmayan kurumlar vasıtasıyla veya hukuka aykırı yollarla kişisel verileri elde etmek suçtur. Eğer bir program, yazılım, uygulama, ürün; kişisel verilere hukuka aykırı yollarla erişim sağlıyor, sağlatıyor veya bunu kolaylaştırıyorsa, veya hukuka aykırı sahte delil vs oluşturuyorsa bu programın satın alımı, kullanımı, yeniden satımı da suç teşkil eder. Satın alınmadı ise ve sadece anlaşma aşamasında ise teşebbüs aşamasında da kalmış olabilir. Suçun niteliğine göre teşebbüs aşamasının suç olup olmayacağı kanunlarda düzenlenmiştir.

Nitekim bu yolla elde edilmiş bir delil dahi olsa yargılama aşamasında kişiler aleyhinde kullanılamaz, bu durum Ceza Muhakemesi Kanunu’nda hukuka kesin aykırılık halleri arasında düzenlenmiştir. Anayasa’da da kanuna aykırı olarak elde edilmiş bulgular delil olarak kabul edilemez. Dolayısıyla usulüne göre alınmış bir mahkeme kararı olmadan, bu tür ürünler ile kişiler hakkında elde edilen deliller yargılama sürecinde delil olarak kullanılamaz ve bu eylem de suç teşkil eder.

Bazen adli amaçla değil, istihbari ve suç önleme amaçlarıyla, bu veya benzer şekillerde gözetleme ve izleme araçları kullanılabilmektedir. Ancak, bu şekilde elde edilen veriler, başta terör olmak üzere ağır nitelikli suçları önlemek amacı taşımalıdır. İstihbari amaçlı elde edilen veriler, mahkeme kararına bağlı bulunmadıkça hiç bir şekilde açıklanamaz ve delil olarak kullanılamaz.

o    Bir süre önce ülkemizde yaşanan, Google DNS, OpenDNS gibi DNS servislerine yönelik yapılan DNS hijack sonrası herhangi bir hukuksal süreç görebildiniz mi. Bu konuda kişilerin veya kurumların herhangi bir girişimi oldu mu.

Geçen sene, Google Türkiye'de erişim sağlayıcılarının "DNS yönlendirmesi" yaparak kullanıcıları başka DNS ayarlarına yönlendirdiğini doğruladı. Ancak BTK ve TİB bu iddiaları kabul etmedi. Kullanıcılar Google DNS ile internete bağlandığını sanırken aslında internet servis sağlayıcılar üzerinden internete bağlandı.

Bu durumda kullanıcıların izni olmadan internet trafik bilgilerinin izlenebilmesi ve kaydedilebilmesi mümkündür. Bu yöntemin ilk amacı, Banka hesaplarının şifresini edinmektir. Bu yöntem, sizi gerçek olmayan ancak url olarak çok benzer ve görüntüde aynı olan sayfaya yönlendirip şifreleriniz edinir ama tek sebebi bu da olmayabilir. Eposta hesabınız için de kullanılabilir aynı yöntem ve hatta zararlı yazılımın olduğu virüslü sayfaya da erişmeniz mümkün kılınabilir.

Hijacking olarak adlandırılan bu yöntem internet dolandırıcılığında kullanılıyor. Yani bir suç işleme yöntemi. Ancak kullanıcıların internet üzerindeki yasadışı faaliyetlerini takip etme aracı olarak da devletler tarafından kullanılabileceği bir gerçek. Daha önce belirtmiş olduğum gibi istihbari amaçla kullanımı mümkün olabilir, tabi ki belli şartların varlığı halinde. Yani delil elde etmek amacıyla değil, terör ve bazı ağır nitelikli suçları önlemek amacıyla.

Her ne kadar 5651 sayılı yasa ile erişim sağlayıcılar için getirilen alternatif erişim yöntemlerini de engelleme yükümlülüğü var olsa da, DNS değiştirme kullanıcılar için suç olarak tanımlanmış değil. Nitekim trafik kayıtları ve kullanıcı faaliyetleri kişisel veri içerdiğinden, bu verilerin hukuka aykırı yöntemlerle izlenmesi ve elde edilmesi hem Anayasa’ya hem de Türk Ceza Kanunu’na aykırılık teşkil eder.

o    Uluslararası olarak imzalanan siber suçlar sözleşmesinin etkilerini artık görebiliyor muyuz? Yabancı kaynaklı görünen veya gösterilen siber suçlara müdahaleler gerçekleştirilmekte midir?

Bu bağlamda en büyük sorunu kullanıcılara ait bilgileri uluslararası olarak paylaşılmasında yaşamaktayız. Kişisel verilerin korunmasına dair kanunumuzun olmayışı, neredeyse 20 senedir taslak halinde oluşu, Türkiye tarafından siber suçlara karşı toplumların korunması amacıyla uluslararası işbirliği sağlamaya yarayan Avrupa Siber Suçlar sözleşmesine imza atılmışsa da TBMM’nin onayından 2 senedir geçememiş olması gibi sebeplerle de yurtdışı kaynaklı şirketlerden bu bağlamda bilgi alınması neredeyse imkansızlaşmakta ve uluslararası ilişkilerde kişisel veri paylaşımında güven ortamı sağlanamamaktadır. Bu sebeple uluslararası siber suçlar söz konusu olduğunda iki ülkenin emniyet birimleri arasında doğrudan bilgi paylaşımının yapılamayışı, kovuşturmanın sonuçlanması, failin tespiti ve cezalandırılması bakımından imkansızlıklara sebebiyet vermektedir.

o    TRSec hakkında görüşlerinizi alabilir miyiz.

Zaman zaman forum bölümünüzde yer alan bilgilerden faydalanıyorum. Sitenizi beğeniyorum, başarılarınızın devamını diliyorum.

[publicize twitter]

[publicize facebook]

[category teknoloji]

[tags BİLİŞİM YAZILARI, Bilişim Avukatı, Şebnem Ahi, Röportaj]

Hiç yorum yok:

Yorum Gönder

Hakkımızda

Fotoğrafım
BU BLOG ÖZEL BÜRO GRUBU'NA AİTTİR. RESMİ WEB SİTEMİZ : http://www.ozelburoistihbarat.com

Follow by Email

ÖZEL BÜRO İSTİHBARAT GRUBU