Çarşamba, Temmuz 28, 2010

Kimlik Bilgileri Çalınmış - Yeni Bir Haber?

Kimlik bilgileri çalınmış.
Bu gerçekten yeni bir haber gibi lanse edildi.
Haberin videosu için tıklayınız:
http://video.ntvmsnbc.com/kimlik-cetesi-yakalandi.html

Biz bu duruma İzmir Bilişim Hukuku Kurultayı'nda değinmiş ve durum saptaması yapmıştık.

Durum saptamasını içeren bildiriye aşağıdaki, linkten ulaşabilirsiniz
http://agguvenligi.blogspot.com/2010/06/vatandaslk-numaras-bazl-e-devlet.html

Kimse söz etmiyor, biz sorgulayalım:

- "KİŞİSEL VERİLERİ KORUMA KANUNU" NEDEN HALA YÜRÜRLÜĞE SOKULMADI?

- VATANDAŞLIK NUMARASINI ŞİFRE GİBİ KULLANAN BİR SİSTEM, NASIL GÜVENLİ OLABİLİR?

- KİMLİK BİLGİLERİMİZİN BAŞKALARININ ELİNE GEÇMESİNİN ASIL SUÇLUSU KİMDİR?

Pazartesi, Temmuz 05, 2010

Suç ve ceza açısından sistemlere saldırı (hacking)

Suç ve ceza açısından sistemlere saldırı (hacking) ve bu tür bir saldırıya uğrayan kurumun durumu konusunda Avukat Serhat KOÇ'a birkaç soru yönelttik.

Avukat Serhat KOÇ, Ahi & Taygün Avukatlık Bürosu'nda çalışıyor. Ağırlıklı olarak, Fikri Mülkiyet Hukuku, Sözleşmeler Hukuku ve Bilişim Teknolojileri Hukuku alanlarında çalışmaktadır. Kendisiyle "Vatandaşlık Numarası Bazlı E-devlet Sistemlerinde Kişisel Veri Mahremiyeti Durum Saptaması" bildirisini de hazırlamıştık.

Yazıda önce soruların özet cevapları verilecektir. Ayrıntılı açıklamalar için yazının sonuna bakınız.

1.Soru: Diyelim ki www.abc.net adında bir web adresimiz var. Bu adresin alan adı, A firmasından alınmış ve B firmasında host ediliyor. A veya B firmalarının sistemlerindeki açıklardan dolayı, sistem ele geçiriliyor (hack ediliyor). Bu firmalar, yaşanılan ekonomik ve itibar kaybından dolayı hukuken nasıl sorumludur ve hakkımızı nasıl arayabiliriz?

-Özetle ifade etmek gerekir ki: böyle bir durumda tazminat alabilmeniz mümkün olabilir.


2.Soru: Sistemimizi hack eden kişileri yakalamak için A ve B firmalarının log dosyalarını talep edebilir miyiz? eğer bu firmalarda bu dosyalar ve kayıtlar mevcut değilse, firmaların suçu ve hukuki cezası var mıdır?

- Özet olarak söylenebilir ki: bu türden logları tutmak yasal zorunluluktur ve bu sorumluluğun ihlali de idari para cezası gerektirir.


3.Soru: Sistemimizi hack eden kişiler yakalanırsa, TCK'ya göre hangi suçlardan, nasıl bir ceza söz konusu olabilir.

- Özetle belirtirsek, TCK'nun bilişim suçları başlıklı 243. ve 244. maddelerindeki ceza gerektiren eylemleri içeren somut olayların mevcut olması halinde hapis cezası dahi verilebilir.


Ayrıntılı Cevaplar
1.soru:
Bu tür durumlarda, firmalarla aranızda yaptığınız sözleşmelerdeki ilgili hükümler çok büyük önem arz etmektedir, her somut duruma ve sözleşme maddelerine göre verilecek cevap ve izlenecek hukuki yol değişebilir. Ama genel olarak bahsedecek olursak: dosyalarınızı korumakla görevli olan şirketin mücbir sebepler dışında dosyalarınıza zarar gelmesi hallerinde bu zarardan sorumlu olacağı kesindir. Dosyalar kimin sisteminde bulunduruluyorsa o şirket sorumlu olacaktır ki ayrıca dosyalara zarar gelmesine neden olan ihmali ya da icrai eylemleri gerçekleştirenler de hukuken sorumlu tutulabileceklerdir.

2.soru:
Bu soruya kanundaki tanımlamalar eşliğinde cevap vermek en doğrusu olacaktır. 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun1’un 2. Maddesinin `m` bendine göre: yer sağlayıcı: hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişileri ifade etmektedir ki dosyalarınızın barındırıldığı sunucuları işletenler yer sağlayıcıdırlar ve bu kanuna ve ilgili yönetmeliğe göre belli sorumlulukları vardır. 5651 sayılı Kanun’un 2. Maddesi `j` bendine göre: trafik bilgisi: İnternet ortamında gerçekleştirilen her türlü erişime ilişkin olarak taraflar, zaman, süre, yararlanılan hizmetin türü, aktarılan veri miktarı ve bağlantı noktaları gibi değerleri ifade etmektedir; aynı maddenin `k` bendinde ise, bilgisayar tarafından üzerinde işlem yapılabilen her türlü değer “Veri” olarak tanımlanmıştır.

Ancak soruda sorulan log dosyalarının istenmesi konusuna gelirsek: burada 2/e maddesinde, erişim sağlayıcı isminde bir internet sujesinin: kullanıcılarına internet ortamına erişim olanağı sağlayan her türlü gerçek veya tüzel kişiler olarak tanımlandığını görürüz ki: kanun’un 6/b maddesine göreyse: erişim sağlayıcılar, sağladıkları hizmetlere ilişkin, yönetmelikte belirtilen trafik bilgilerini altı aydan az ve iki yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla yükümlüdürler. Bu maddesinin 3. Fıkrasına göre ise: bu bahsedilen yükümlülüğünü yerine getirmeyen erişim sağlayıcısına Telekomünikasyon İletişim Başkanlığı tarafından onbin Yeni Türk Lirasından ellibin Yeni Türk Lirasına kadar idarî para cezası verilir.

İlgili yönetmelik2 bu tanımlara daha da geniş yer vermiştir. İşbu kanuna göre çıkartılan    İnternet Ortamında Yapılan Yayınların Düzenlenmesine Dair Usul Ve Esaslar Hakkında Yönetmelik’in 3. Maddesinin `f ` bendine göre: erişim sağlayıcı, İnternet toplu kullanım sağlayıcılarına ve abone olan kullanıcılarına internet ortamına erişim olanağı sağlayan işletmeciler ile gerçek veya tüzel kişileri ifade ederken; `g` bendi de erişim sağlayıcı trafik bilgisinin İnternet ortamında yapılan her türlü erişime ilişkin olarak abonenin adı, kimlik bilgileri, adı ve soyadı, adresi, telefon numarası, sisteme bağlantı tarih ve saat bilgisi, sistemden çıkış tarih ve saat bilgisi, ilgili bağlantı için verilen IP adresi ve bağlantı noktaları gibi bilgileri ifade edeceğini hükme bağlamıştır. Aynı maddenin `ş` bendi ise kanunda yer almayan bir tanıma yer vererek: yer sağlayıcı trafik bilgisinin İnternet ortamındaki her türlü yer sağlamaya ilişkin olarak; kaynak IP adresi, hedef IP adresi, bağlantı tarih ve saat bilgisi, istenen sayfa adresi, işlem bilgisi (GET, POST komut detayları) ve sonuç bilgileri gibi bilgileri ifade edeceğini belirtmiştir.

Aynı şekilde kanunda yer almamasına rağmen yönetmelikte yer alan bir diğer durum da yer sağlayıcının sorumluluğu’na ilişkindir. İlgili yönetmeliğin 7/c maddesine göre aynı 5651 sayılı kanunda erişim sağlayıcılar için söz konusu olan sorumluluğu benzer şekilde: yer sağlayıcıların, yer sağlayıcı trafik bilgisini altı ay saklamakla, bu bilgilerin doğruluğunu, bütünlüğünü oluşan verilerin dosya bütünlük değerlerini zaman damgası ile birlikte saklamak ve gizliliğini temin etmekle yükümlüdür.

Aynı yönetmeliğin 8. Maddesinin  `b` bendiyle kanunda gösterilen erişim sağlayıcı sorumluluğu detaylandırılmıştır. Öyle ki bu bende göre: erişim sağlayıcı, sağladığı hizmetlere ilişkin olarak, Başkanlığın Kanunla ve ilgili diğer mevzuatla verilen görevlerini yerine getirebilmesi için; erişim sağlayıcı trafik bilgisini bir yıl saklamakla, bu bilgilerin doğruluğunu, bütünlüğünü oluşan verilerin dosya bütünlük değerlerini zaman damgası ile birlikte muhafaza etmek ve gizliliğini temin etmekle, internet trafik izlemesinde Başkanlığa gerekli yardım ve desteği sağlamakla, faaliyet belgesinde yer alan Başkanlığın uygun gördüğü bilgileri talep edildiğinde bildirmekle ve ticari amaçla internet toplu kullanım sağlayıcılar için belirli bir IP bloğundan sabit IP adres planlaması yapmakla ve bu bloktan IP adresi vermekle yükümlü olacaktır.

Hatta günümüzde daha da çok önem arz etmeye başlayan ve sansürle savaşta gündeme çokça gelen proxy (vekil sunucu) tekniğiyle ilgili uygulamalara ilişkin ise  aynı maddenin `e` bendinde: eğer erişim sağlayıcı kullanıcılarına vekil sunucu hizmeti sunuyor ise; vekil sunucu trafik bilgisini bir yıl saklamakla, bu bilgilerin doğruluğunu, bütünlüğünü oluşan verilerin dosya bütünlük değerlerini zaman damgası ile birlikte muhafaza etmek ve gizliliğini temin etmekle yükümlüdür denilmektedir.

Bu yükümlülükler yerine getirilmedğinde ise idari para cezaları gündeme gelecektir. Öyle ki: yönetmeliğin 9/2 maddesine göre: bu yönetmelikte yer alan yükümlülüklerden birini yerine getirmeyen erişim sağlayıcısına, Başkanlık tarafından onbin Yeni Türk Lirasından ellibin Yeni Türk Lirasına kadar idarî para cezası verilir. Ancak yer sağlayıcıya getirilen log tutma yükümlülüğünün ihlali halinde ceza verilmesi gerekeceğine ilişkin bir hokum yönetmeliğin hiçbir maddesinde yoktur. Bu cezasızlık halinin teknik imkansızlığa ilişkin olabileceği düşünülebilir. Öyle ki: yönetmeliğe göre yer sağlayıcılar trafik bilgisini altı ay saklamakla ve de bu bilgilerin doğruluğunu, bütünlüğünü, oluşan verilerin dosya bütünlük değerlerini (hash) zaman damgası ile birlikte saklamak ve gizliliğini temin etmekle yükümlüdürler: ancak bu loglamanın hash değeri alınarak yapılmasının gerekmesi noktasından hareketle bu hash değerinin hangi program ya da algoritmayla alınacağı konusunda bir yönlendirme bulunmamaktadır. Örneğin http://5651log.org/ gibi sitelerde bu iş için özel yazılımlardan bahsedilmektedir.

3. soru
Bilişim sistemlerinin işleyişinin engellenmesi, bozulması verilerin yok edilmesi veya değiştirilmesi Türk Ceza Kanunu3’na göre suç sayılmaktadırlar. “Bilişim Sistemine Girme” başlığı taşıyan, 243. maddeye göre; bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ve orada kalmaya devam eden kişilere verilecek ceza bir yıla kadar hapis veya adli para cezası olarak düzenlenmiştir. Bu suç tipinde yargılama yapmaya görevli mahkeme de Sulh Ceza Mahkemesidir. Ayrıca 243. maddenin üçüncü fıkrasında işlenen fiiler nedeniyle sistemdeki verilerin yok olması veya değişmesi halinde suçu işleyen kişiye Sulh Ceza Mahkemesi tarafından, altı aydan iki yıla kadar hapis cezası verileceği düzenlenmiştir.

TCK’da düzenlenen diğer bir bilişim suçu da “Sistemi engelleme, bozma, verileri yok etme veya değiştirme” başlıklı 244. maddede düzenlenmiştir. Maddenin ilk fıkrasında bir bilişim sisteminin işleyişini engelleyen veya bozan kişinin Asliye Ceza Mahkemesi tarafından, bir yıldan beş yıla kadar hapis cezası ile cezalandırılacağı hükme bağlanmıştır.

Bilişim sistemlerinin ve internet sitelerinin kurulmasında kullanılan yazılımlarda ve teknolojideki gelişmeler ile yeni güvenlik olanaklarının varlığı sonucunda, sistemlerin bozulması suçuna gittikçe daha az rastladığımızı ifade etmekle beraber buna karşın günümüzde en çok rastlanan suç tipinin de sistemin işleyişinin engellenmesi olduğunu açıkça söyleyebiliriz. Yakın dönemde bu türden sistem engelleme sonuçlu saldırılara Google, Twitter, Facebook gibi büyük protal ve sosyal etkileşim siteleri de maruz kalmış ve bu sitelerin hizmetleri aksayabilmiştir.

Bu suç türlerine ilişkin olarak: TCK’nın 244. maddesinin 4. fıkrasında “bilişim sistemi aracılığıyla hukuka aykırı yarar sağlama suçu” aynı maddenin 1. ve 2. fıkralarına atıf yapılarak düzenlenmiştir. Zarara uğrayan verilerin maliki ile bu verilerin bulunduğu bilişim sistemlerinin maliki farklı kişiler olabilir ancak bu durumda dahi zarara uğramak için bu verilerin maliki olmak gerekmeyebilir. Bilişim sistemi aracılığıyla hukuka aykırı yarar sağlama suçunun gerçekleşmesi için failin, fiilleri sonucu maddi veya manevi bir haksız çıkar etmesi gerekmektedir. İlgili eylem girilen bilgisayarın işleyişini bozarsa veya verileri silinirse o zaman bu madde kapsamında değerlendirilir.

Bu anlamda sisteme sadece girip orada kalan, ya da bununla yetinmeyip işleyişi bozan kişinin alacağı ceza birbirinden farklıdır. Yine aynı şekilde dosyaları silmek ya da değiştirmek ve bozmak gibi eylemler de suç olarak düzenlenmişlerdir.

244. maddenin ikinci fıkrasında bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, bilişim sistemine sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişinin, Asliye Ceza Mahkemesi tarafından altı aydan üç yıla kadar hapis cezası ile cezalandırılabileceği düzenlenmiştir. Üçüncü fıkrada bu fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza yarı oranında artırılacağı ifade edilmiştir. Dördüncü fıkra ise, ilk üç fıkrada sayılan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının, başka bir suç oluşturmaması halinde, Asliye Ceza Mahkemesi tarafından iki yıldan altı yıla kadar hapis ve beşbin güne kadar adli para cezasına mahkum edilebileceği düzenlenmiştir. Dolayısıyla `hacker` vb. adlar altında yapılan faaliyetlerin ilgili maddelere göre TCK açısından değişik cezaları gerektirir suç tipleri olarak düzenlendiği açıktır.