Siber Suç Nedir?

Siber saldırı tanımı, günümüzde gerek uluslararası, gerekse ulusal platformda kesin olarak yapılamamakla birlikte, genel anlamda hedef seçilen şahıs, şirket, kurum, örgüt, gibi yapıların bilgi sistemlerine veya iletişim altyapılarına yapılan planlı ve koordineli saldırılara olarak tanımlanmaktadır.

Siber savunmayı ise; siber uzayda faaliyet gösteren yazılım, donananım, iletişim ağı altyapısından meydana gelen bilgi sistemlerini ve bu sistemleri içeren her türlü teçhizat, sistem ve altyapıyı siber tehditlere karşı korumak için alınan önlemlerin uygulanması olarak tanımlamak mümkündür.

Siber Suçların Nedenleri Nedir?

Kronolojik sırayla bakıldığında bu saldırıların başlangıcında merak ve eğlence varken günümüzdeyse saldırı motivasyonunda ciddi değişim görülmektedir. Siber saldırılar başta kendini ispat etme, heyecan yaratma, karşı tarafı cezalandırma, zarar verme gibi masum nedenlerle yapılmaktaydı.

Bu saldırılar ilerleyen zamanlarda veri hırsızlığı, ticari kazanç sağlam, menfaat temin etme, ülkeleri cezalandırma gibi daha kötücül ve profesyonelce yapılmaya başlanmıştır.

Siber Suçların Türleri

Siber suçların işlenmesinin çeşitli yolları vardır. Bazıları şunlardır;

Virüsler

Virüsler, kendisinin değiştirilmiş bir kopyasını eklemek için işletim sistemlerini ve programları değiştiren veya çalışılamaz hale getiren ya da onlara zarar veren programlardır.

En büyük özellikleri kendi kendilerini çoğaltabilmeleri ve yayılmalarıdır. Virüsler, çoğunlukla yerleştikleri programın işletilmesiyle bilgisayarın hafızasına geçerler ve bilgisayar kapatılıncaya kadar orada kalıcı hale gelirler.

Virüslerin diğer zararlı yazılımlardan farkı, bulaştıkları bilişim sisteminde bulunan yazılımları çökerterek, bilişim sistemine olası en fazla zararı verecek şekilde tasarlanmalarıdır.

İstem Dışı Alınan Elektronik Postalar

Uluslararası Ticaret Örgütü tarafından, bir bülten ya da haber grubu üzerinden ticari amaç taşımayan, forum konuları ile ilgili olmayan ve gönderilmesine açık bir şekilde izin verilmeyen reklam olarak tanımlanmıştır. SPAM veya istenmeyen e-posta kavramı genellikle, reklam, ürün ve web ilanları, kolay para kazanma vb. içerikli e-postalar için kullanılır.

Spamlar, kişilerin e-posta kutularını da gereksiz yere doldurur ve bu sebeple kişinin e-posta kutusuna, bilgi sağlayıcı, yararlı herhangi bir e-posta geldiğinde otomatik olarak e-postanın reddedilmesi ihtimali söz konusu olduğundan mağduriyete sebep olabilir

Truva Atı (Casus Yazılımlar – Trojan Horse)

Truva atı yönteminde fail, bilgisayarda kullanılan programın istediği çalışmayı gerçekleştirmesi için içine gizli bir bilgisayar programını ilave etmektedir. Böylece cihaz kendi işlemlerini yaptıktan sonra, fail tarafından düzenlenmiş olduğu üzere, bir veya birkaç işlem daha gerçekleştirmektedir.

Yani önce program sistem sahibinin amaçladığı şekilde çalışmakta ve fakat bu işlemden sonra ya fail tarafından çağrıldığında yahut önceden verilen direktifler doğrultusunda, failin istediği doğrultuda çalışmaktadır. Truva atlarının en yaygın kullanım alanlarından birisi, çok kullanıcılı bilişim sistemlerinin güvenlik mekanizmalarını kırmaktır.

Sistem Güvenliğini Kırma (Hacking)

Sistem güvenliğini kırma, bilgi veya program elde etmek, zarar vermek için bir bilişim sistemine yetkisiz erişim olarak tanımlanabilir. Bilişim korsanları, internet üzerinden sistemlerin güvenliğini kırarak, tespit edilene kadar sistem içerisinde istediği bilgiye ulaşabilmekte, istedikleri verileri ele geçirebilmektedir.

Bu yöntemlerle hackerler, haberleşme özgürlüğü, özel hayatın gizliliğini ihlal gibi birçok hakkı ihlal edebildikleri gibi sistemin işleyişini de bozabilirler.

Bilişim sisteminin güvenliğinin kırılıp içeri girilmesi eyleminin diğer suç işleme şekillerinden farkı, genellikle sisteme giriş sırasında yardımcı yazılımlar kullanılmasından ziyade eylemin bizzat bilişim korsanlarının becerisine dayanmasıdır.

Siber Suçlarda Mücadelede Kullanılan Teknolojiler

Genellikle saldırganın amacına göre zararlı yazılımın türü ve yöntem değişmektedir. Bu saldırılarda saldırgan, genelde saldırı yapacağı ağa botnetler yardımı ile çok fazla sayıda paket göndererek ağın bant genişliğinin taşmasına sebep olmaktadır.

Bu saldırılardan en çok karşılaşılabilecek olan ve en yaygın kullanılan ise servis engelleme saldırılarıdır [22]. Böyle bir saldırıda, Internet Kontrol İletisi Protokolü (ICMP), Kullanıcı Veri Bloğu Protokolü (UDP) ve İletim Denetimi Protokolü (TCP) gibi farklı ağ katmanı protokolleri kullanılabilir. Saldırıların büyüklüğü genellikle saniyede bit veya paket olarak ölçülmektedir.

Siber Suç Örnekleri

Uluslararası yapılan saldırıların hemen hemen tamamı gizli tutulduğundan dolayı tümüyle bilinmesi mümkün değildir. Bununla birlikte başarıyla atlatılan veya zararı çok az olan saldırıların da var olduğu unutulmamalıdır.

Siber alandaki faaliyetlerin kolay yapılması ve arkada iz bırakmaması terör örgütleriyle beraber devletlerin ilgisini çekmiştir. Hatta bazı ülkeler siber saldırı ve siber savaşı önemli bir stratejik savunma ve rakibe zarar verme yöntemi olarak görmektedir.

Bunlardan ilki Suriye Elektronik Ordusunun yaptığı siber saldırılar olup, bu grup siber saldırı yaptığını gizlememektedir. Bilinen saldırılarının başında Washington Post gazetesinin web sayfasını kendi kontrollerindeki başka bir sayfaya yönlendirmeleri olmuştur. Bu grup New York Times, The Guardian, Forbes’a yaptığı saldırılarla beraber ABD ordusuna ait web sayfasına da saldırmıştır.

Bir başka saldırı ise Çin Ordusundan gelmiştir. ABD’nin yaptığı açıklamaya göre bu ordudaki beş kişi 2006 yılından 2014 yılına kadar ABD’ye saldırı düzenlemiş, bu saldırılarla bilgisayarlara zararlı yazılım yükleyerek birçok e-posta kopyalanmıştır.

Siber saldırının güncel örneklerinden biri 2007’de Estonya’da gerçekleşmiştir. Estonya’ya düzenlenen yoğun saldırıların kaynağı geçmişten gelmektedir. Ülkede yaşayan Rus kökenli azınlıklarla Estonyalılar arasındaki geçmişten gelen anlaşmazlığa 2007 yılında yaşanan sorunlar da eklenince, ülke yoğun bir saldırı tehdidi altına girmiştir. Bu süreçte Estonya hükümetine ve ulusal medyaya ait sitelere yoğun DDoS saldırıları yapılmış ve bazı siteler kullanılamaz hale gelmiştir.

Siber Suçlar İçin Önlemler

Ülkelerin ulusal güvenliklerini sağlayabilmek için aşağıda ele alınan makro güvenlik önlemlerine yönelik politika ve stratejilerin geliştirmesi ve uygulamaya geçirilmeleri zorunlu hale gelmiştir.

Sistem Mimarilerinin Rehabilite Edilmesi

Ülkelerin sistem mimarilerinde halen büyük ölçüde “Best practice” anlayışı geçerlidir. Bu nedenle Ülkemizde “.TR alan” adlarına yapılan saldırılar her gün birçok DNS sunucusuna da yapılmaktadır. Özellikle mimari yapı ve kapasite planlamasındaki eksiklikler nedeniyle “.TR alan” adlarına yapılan bu saldırılar çok büyük sorunlara yer açmakta ve birçok kuruluşumuzu olumsuz etkileyebilmektedir.

Bunun için Sistem Mimarisinde çalışan Yönetici ve Mühendislerin bu konuda dünya standartlarını öğrenmeleri ve onları sürekli takip ederek sistem dizaynlarını bunlara göre yapmaları gerekmektedir.

Bu şekilde “.TR alan” adlarında şimdiye kadar yaşanan sorunların, bundan sonraki süreçlerde de tekrar yaşanmasının önünde geçilebileceği düşünülmektedir.

Milli Yazılım ve Donanımların Geliştirilmesi

Diğer mühendislik alanlarında olduğu gibi yazılım mühendisliği alanında da teknik olmayan becerilerin önemi her geçen gün gittikçe artmaktadır. Yazılım mühendisliği süreci gerek mühendislerin gerekse farklı alanlardan paydaşların birlikte çalışmasını gerektirmektedir.

Ülkemizde milli yazılımların geliştirilmesi konusunda çalışılırken, aynı zamanda milli donanımların da kullanılması gereklidir. Çünkü 2016 yılından itibaren siber saldırıların daha çok donanım ekipmanlarına yönelik olacağı dünyadaki güvenlik uzmanlarının ortak düşüncesidir.

Şebekelerimizde Kullanılan Yabancı Ürünlerin Yol Açabileceği Tehditlerin Giderilmesi

Halen Sabit ve Mobil Alt Yapımızda kullanılan sistemlerde çok büyük oranda yabancı menşeili ürünler kullanılmaktadır. Özellikle bu ürünlerin farklı firmalarda eşite yakın oranda dağıtılmış olmaması daha da büyük risk teşkil etmektedir.

Bugün pek çok ülke bu konuyu büyük bir tehdit olarak gördüğü için, network sistemlerinin kurulumunda bu sakıncayı bertaraf edecek bazı şartlar koymaktadırlar. Bu durum sadece Devletler olarak değil, büyük firmalar ve Yer sağlayıcılar tarafından da önemle dikkate alınmaktadır.

Örneğin Google’da hizmet verecek hiçbir altyapı sağlayıcısının gerek donanım, gerekse fiber optik bağlantı için kullanacağı ürünlerde firma mülkiyet oranının %40’ı aşmaması gerekmektedir.

Siber Güvenlik Eğitimi ve Farkındalık

Siber tehditleri önlemenin veya etkisini azaltmanın yollarından biri de eğitimdir. Bireyi ya da personeli siber güvenlik konusunda eğitmek kaçınılmaz hale gelmiştir. Buna karşılık kurumlardaki ve bireylerin kullanımındaki bilgisayarlar son teknoloji ve güvenlik yazılımlarıyla donatılmış olmalıdır.

Siber güvenliğin en önemli unsurlarından birisi, sürekli olarak değişen bir ekosistem olmasıdır. Sertifika ve diğer akademik programlar birçok yararlı bilgi içerse de, verdikleri bilgiler genelde güncel olmamaktadır. Bu güncel olmayan bilgiler ve sertifikalar yüzünden kişiler ve firmalar kendilerini güvende hissetmekte, ancak bu da çok büyük bir yanılgıya yol açmaktadır. Bu nedenle güncel olmayan bilgileri güncel tutmanın çeşitli yöntemleri bulunmakta olup, bunun sürekli yapılması gerekmektedir.

Bu açıdan tıpkı bilgisayar veya telefonundaki bir işletim sisteminin sürekli kendini güncellemesi gibi, siber güvenlik ve siber savunma alanlarında çalışan kişilerim bilgilerini pratikleştirebilmeleri ve sürekli güncel tutabilmeleri çok önemlidir. Bu konuda verilecek eğitimlerde ülkemizde BTK, Tübitak, Havelsan gibi kurumlardan faydalanılmasında ve bu kuruluşlarda ulusal ve süreklilik içeren bir vizyon çerçevesinde eğitim çalışmalarının verilmesi halinde, bu sorunun aşılması büyük ölçüde temin edilebilecektir.

Türkiye’deki Siber Suçlara Karşı Alınan Önlemler

Siber güvenlik üzerine yapılan çalışmalardan bazıları şunlardır;

Siber Güvenlik Kurulu:

Siber Güvenlik Kurulu oluşturulmuş, Ulaştırma Denizcilik ve Haberleşme Bakanlığı’na siber güvenlik alanında görev ve yetkiler verilmiş, siber güvenlik ile ilgili çalışma grupları ve geçici kurulların oluşturulabileceği karara bağlanmıştır.

Bilgi Teknolojileri ve İletişim Kurumu (BTK)

Kurum telekomünikasyon araçları vasıtasıyla yapılan iletişimin ve sinyal bilgisinin takibi, gözetlenmesi, değerlendirilmesi ve kaydedilmesi, içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcılarının denetlenmesi, yine aynı zamanda içerik, erişim ve yer sağlayıcıları ile diğer kurumların siber saldırıları tespit etmesi ve engellemesi görevlerini yürütmektedir.

Kişisel Verileri Koruma Kurumu (KVKK)

Kurumun amacı, anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, ülkemizde kişisel verilerin korunmasını sağlamak ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmek, aynı zamanda veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmaktır.

KVKK Kanununun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir.

KVKK kanunu ile kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.

TÜBİTAK

TÜBİTAK Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi (BİLGEM), bilişim bilgi güvenliği ve ileri elektronik alanlarında gerçekleştirdiği çalışmalarla ülkemizin ihtiyaçlarına yenilikçi ve milli çözümler üreten ulusal Ar-Ge merkezidir. BİLGEM, Türkiye’de bilgi güvenliği ve bilişim alanında teknolojik bağımsızlığı sağlamak için, askeri ve sivil bilginin güvenliğini, bütünlüğünü güvenli bir şekilde iletilmesini ve saklanmasını sağlayan teknolojik Ar-Ge çalışmaları gerçekleştirmektedir.

Türkiye’de Siber Suçlarla Mücadeledeki Sorunlar ve Çözüm Önerileri

Kişisel verilerin korunması kapsamı birçok kanunda parça parça yer almaktadır. Ayrıca, uluslararası alanda işbirliğinin ve güvenliğin sağlanması için de, kişisel verilerin korunması ile ilgili kanunların uygulanmasının denetlenmesi, bu bilgilerin istismar edilmesini önleyici teknolojik tedbirlerin koordineli bir şekilde tüm kurumlar tarafından uygulanması önem arz etmektedir. Bu nedenle, kurumları koordine edecek ve denetleyecek bağımsız tek bir sorumlu kurumun oluşturulması; kişilerin, kurum ve kuruluşların görev ve sorumluluklarını belirleyen, insan hak ve özgürlüklerini ön planda tutarak, güvenlik demokrasi, gizlilik-kullanılabilirlik dengesini sağlayan bir kanunun hazırlanıp yürürlüğe girmesi düşünülebilir.

Ticari boyutun büyük bir bölümünün siber ortama en yaygın biçimiyle de internet ortamına taşındığı çağımızda, uluslararası boyuttaki kurum ve kuruluşlar yatırım yapacakları ülkeleri değerlendirirken inceledikleri en önemli kriterlerden birisi de siber güvenlik ve verilerin korunması ile ilgili mevzuatın bulunup bulunmadığıdır. Bu nedenle, ulusal refah ve itibar için öncelikle ulusal anlamda bilişim suçlarıyla mücadele ve bu kapsamda yasal mevzuatın gerçekleştirilmesinin, sonrasında da siber saldırıların kaynağının sınırının bulunmaması nedeniyle mücadelede uluslararası iş birliği ve mevzuatın oluşturulmasının önemi de ortaya çıkmaktadır.

Bilişim alanında işlenen suçların en hızlı değişim gösteren suç türü olduğu dikkate alınarak, bilişim suçlarıyla etkin ve süratli bir şekilde mücadele edebilmek için bilişim alanındaki gelişmeleri sürekli inceleyen ve ortaya çıkan değişiklikleri tespit eden, “Bilişim Alanında Uzman Hukukçulara” büyük ihtiyaç duyulmaktadır.

Bu kapsamda, bilişim suçları ile ilgili düzenlemelerin süratli bir şekilde uygulanması ve hukuksal açıdan denetlenmesi için tam yetkili ve bağımsız Bilişim ihtisas Mahkemeleri oluşturularak, bilişim hakimleri ve savcılarının görevlendirilmesinin söz konusu ihtiyacı büyük ölçüde karşılayabileceği değerlendirilmektedir.

Çünkü bu sayede, sürekli değişen ve gelişen teknolojik imkanların ortaya çıkardığı yeni suçlarla mücadele için, belirli aralıklarla eğitimleri güncellenerek uzmanlaşmaları sağlanabilen hakim ve savcılara sahip olunabilecektir. Söz konusu eğitim ihtiyacı; hukuk fakültelerinde seçmeli bilişim derslerinin açılmasıyla, mesleğe atandıktan sonra bu alanda uzmanlaşması uygun görülen personele üniversitelerle yapılacak protokol kapsamında yüksek lisans ve doktora eğitimlerinin verilmesiyle ya da meslek içi kurslar ile karşılanabilecektir.

Bunun yanında bilişim hukukuna ilişkin nitelikli avukatların yetiştirilmesi maksadıyla barolar ve üniversiteler tarafından bilişim hukukuna ilişkin programların sayısı ve etkinliğinin artırılması güçlü bir muhakemenin yapılmasına katkı sağlayacaktır. Mevcut durumda, bilişim savcıları görevlendirilmekle beraber, bilişim alanında gerekli eğitime sahip olmadıkları ve dolayısıyla bu alanda uzmanlıklarının yetersiz olduğu, bu nedenle de çoğunlukla bilirkişi raporlarına dayanarak sübjektif kararlar verildiği görülebilmektedir.

Özellikle son zamanlarda bilgi ve teknoloji tabanlı yapılan saldırıların nitelik ile miktarındaki önemli artışlarda dikkate alınarak ve bilişim suçlarına ait davalarda süratli bir şekilde karar verilmesi zorunluluğu nedenleriyle Bilişim İhtisas Mahkemelerinin kurulmasının; kurulurken ise Çocuk Ceza Mahkemeleri veya Fikri ve Sınai Haklar (Ceza) Mahkemelerinin örnek alınmasının uygun olacağı değerlendirilmektedir.

Av. Ahmet EKİN & Stj. Av. Bahar GÜMÜŞTAŞ