Kişisel Veriler Kanunun esas hükümlerine çok odaklanıldı ve fakat aynı kanunun 30. maddesi ile Türk Ceza Kanununa yeni bilişim suçları eklendi, dikkatlerden kaçmasın. Veri koruma ile ilgilenenleri etkileyecek değişiklikleri özetle aktarmaya çalışacağım. Daha sonra her madde ayrıntılı olarak incelenecektir.4

TCK m.243/f.1’de bilişim sistemine giren “ve” kalmayan devam eden şeklinde bir hüküm vardı, bu ifade sanki kalmak için ek süre arar gibiydi. Kanunla “ve” bağlayıcı “veya” olarak değiştirildi. Uygulama açısından pek değişiklik getirmeyecek çünkü girdim ama kalmadım savunması karşı Yargıtay’ın sisteme giren, kalmıştır şeklinde yaklaşımı vardı. Seçimlik haraketli bu için konun netleşmesi yerinde oldu.

İki tane daha suçumuz oldu, birincisi veri naklini izlemek diğeri zarar yazılım ile ilgili.

TCK m.243 /f.4  – Sisteme Girmeksizin İzleme

(4) (Ek: 24/3/2016-6698/30 md.) Bir bilişim sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri nakillerinisisteme girmeksizin teknik araçlarla hukuka aykırı olarak izleyen kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır.

Bilişim sistemine girmek yukarıda bahsedildiği gibi ayrı bir suç olarak düzenlenmiştir, bu madde ile bilişim sistemine girmeden veri nakillerinin izlenmesi ayrıca bir suç olarak düzenlenmiş. Birden fazla bilgisayarda ki veya ağda ki veri akışını izlemek için kullanılan sniffing yöntemi bu suç için örnek verilebilir. Wireshark programı da çalışma prensibi bu kapsamdadır. Kullanılan bir VPN servisinin kullanıcılarının verilerini izlemesi bu kapsamda değerlendirilebilir.

Madde daha çok ağ trafiğine işaret ediyor. Bu sebeple uzaktan bağlantı ile ekran görüntüsüne erişmek, mikrofona bağlanmak ve benzeri özel hayatın gizliliğine ilişkin yöntemler bu maddenin kapsamında değerlendirmeyebiliriz.

Ağ trafiğini hukuka aykırı olarak izleyen kişi ağ üzerinden her türlü veri paketine ulaşabilir ve sonuca göre de örneğin elektronik posta yazışmalarını, VoIP, Skype yazışmaları vs elde etmesi halinde haberleşmenin gizliliğini ihlal etmiş olur. Ağ trafiğini izleyerek özel hayatın gizliliğini ihlal eden verilere ulaşabilir ve bunu ifşa edebilir, bu ayrı bir suç olarak ele alınır. Yine ağ trafiği dinlenmesi kişisel verilere erişilebilir, bu defa kişisel verilerin hukuka aykırı kayıt edilmesi gündeme gelecektir. Her olayda ağ trafiğinin izlenmesi ve sonuçta ortaya çıkan suça göre ayrı ayrı mı yoksa sonuçtaki suça göre mi ceza verileceği olaylara göre belirlenecektir.

Özetle tek başına bir ağ trafiğinin hukuka aykırı olarak tek başına izlenmesinin artık bir cezai yaptırımı olduğunu bilmeliyiz.

Madde 245/A- (Ek: 24/3/2016-6698/30 md.)
Zararlı Yazılım

(1) Bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun; münhasıran bu Bölümde yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden, ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran kişi, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adli para cezası ile cezalandırılır.

Öncelikle suç işlenmesi için ve hukuka aykırı olarak hakaret etmek gerekiyor. Maddenin saydığı ilgili yazılımları sızma/zafiyet testi (pentest) yapan herkes imal de ediyor, satın da alıyor. Test yapan şirketler bu araçları bilişim sistemi sahibi ile imzalanan sözleşme çerçevesinde kullandığı için hukuka aykırılık ortadan kalkıyor. Yine de şimdiye kadar sözleşme ilişkisine girmeden bu testleri yapanlar varsa ispat açısından bundan sonra sözleşme yapmaları yerinde olur.

Madde hareketleri oldukça geniş tutmuş. Muhtemelen en çok soruşturma açılacak olan hareket “bulundurma” olacaktır. Örneğin başka bir suç sebebiyle bilgisayarınız incelenirlen rastgele bu deliller ele geçtiğinde sizden bir hukuka uygunluk açıklaması beklenecektir. Hosting şirketleri için yeni bir şikayet konusu da bu tür yazılımların depolanması konusunda olacaktır.

Madde hackleme yöntemleri ile ilgili bir ayrım yapmadan suç işlemek için oluşturulan bütün yazılımları kapsam içerisine almış bulunuyor. Sık kullanılan brute force atak, crack, keylogger, virüsler, solucanlar vb yazılımlar kapsam dahilinde. Maddedeki yazılım ve cihaz konusu anlaşılabilir fakat şifre veya benzeri güvenlik kodu kelimeleri kafa karıştırıyor. Şifreli uydu kanalları için üretilen şifreleri düşünebiliriz.

Pentest için kullanılan kodların artık elden ele gezmemesi yerinde olacaktır, şirket içerisinde ortak bir noktada depolanması, her yeni müşteride kullanılması yerinde olabilir. Veya bilgisayarınızdaki her bir test kodunun bir kopyası yine şirkette bulunabilir. En azından size bu kodları müşteri için yazmıştım savunmasının kanıtı olacaktır.
Bulduğunuz zararlı kodları biriktirmek konusunda da bu kodlar şirket içerisinde depolanırsa şirketinizin zaten hu işleri yaptığı belli olduğu için hukuka uygunluk gündeme gelebilir. Fakat özel bilgisayarınızda ele geçmesi halinde bunu konu test yapan birisi olduğunuzu ispatlamanız halinde, mesleki sebeplerle elde bulundurduğunuzu belirtebilirsiniz. Eğer bu konuda isim yapmış birisi değilseniz sorun yaşayabilirsiniz. Belki TSE tarafından verilen sertifikanın kullanılcağı en doğru an bu olabilir.

Önceki yazıyı okuyun:
Facebook ile Dolandırıcılık

Yaşanmış Örnek Olay: Sanık A, Müşteki B'nin facebook sitesindeki hesabını ele geçirerek listesinde bulunan müşteki C'den para istediği ve kendisini ikna...

Kapat