Son yıllarda neredeyse yaşamımızın vazgeçilmez unsurları arasında sayılan bilgisayar ve internet ile bilgi alışverişinin “veri” ile sağlandığı gerçeği yeni güvenlik alanlarını da beraberinde getirmiştir. Haberleşmenin ve bilgi alışverişinin bilgisayar ve internet ile yapılması hem günlük hayatı kolay kılmış hem de bazı alanların da korunmasını mecbur kılmıştır. Bilişim ve internetin küresel anlamda hızla yaygınlaşması, kişilere sınırsız bir özgürlük sağlarken, güvenlik açıkları söz konusu olduğunda ise bilişim sistemlerinin kötüye kullanılmaması adına bir takım fiillerin “suç” olarak tanımlanarak koruma altına alınması sağlanmıştır.
İşte, son yıllarda bilgi ve teknolojinin iç içe olması, “veri”lerin korunması ve bilişim araçları ile gerçekleştirilebilecek her türlü hukuk dışı fiillerin engellenmesi “siber güvenlik” tanımının da ortaya çıkmasına sebebiyet vermiştir. Peki, son yıllarda sıkça karşımıza çıkan “siber güvenlik” nedir?
En genel ifade ile “siber güvenlik” bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen bilginin, verinin güvence altına alınmasını, oluşabilecek saldırıların tespit edilmesini, bu tespitlere karşı tepki mekanizmalarının devreye alınmasını ve sonrasında ise sistemlerin yaşanan siber olay öncesi durumlarına geri döndürülmesini kapsayan faaliyetler bütünüdür.
Siber güvenlik kavramını tanımlarken aslında “siber” ifadesine de yer vermek gerekebilir. “Siber” kavram olarak bilgisayar, teknoloji ve ağları da içine alan varlıkları tanımlamak için kullanılmaktadır. Bu varlıklar “bilgisayar, sunucu, ağ cihazları, internet bağlantılı televizyonlar, bu cihazlardaki yazılım ve donanım bileşenlerini” olarak sayılabilir. Söz konusu varlıklar aracılığıyla yaratılan ve bilgi güvenliğini, gizliliğini tehdit edebilecek her türlü fiili engelleyebilecek mekanizmadan söz edildiğinde ise karşımıza “siber güvenlik” kavramı çıkmaktadır.
Bilişim alanlarında güvenliği tehdit edebilecek nitelikte yaratılan fiiller “siber suç” olarak nitelendirilebilir. Bir “suç” kavramından söz ediliyorsa orada bu suçun sonuçları karşısında verilecek cezalardan da söz etmek gerekmektedir. Diğer bir ifade ile bir siber saldırı söz konusu olduğunda karşılığında bir “hukuk”dan da bahsedilecektir. İşte, bilişim alanlarına yönelik işlenebilecek “suç” niteliğindeki fiillerin “cezai” karşılığı “siber güvenlik hukuku”nun da doğmasına neden olmuştur.
Siber suçlar, bir diğer ifade ile “bilişim suçları” bilgisayar, telefon, tablet, internet, pos makinası gibi araçların kullanılarak elektronik ortamda işlendiği her türlü suça verilen addır.
Siber suçlar siber saldırıların gerçekleştirilmesi ile doğarlar. Bu noktada bazı siber saldırı yöntemlerinin neler olduğu hususunda da kısaca bilgi vermenin faydalı olacağı kanısındayım. Belli başlı siber saldırı yöntemleri; “Bilgi ve veri aldatmacası (Data Diddling)”: Bilgisayardaki verilerin özel değiştirilmesi, silinmesi vb., “Salam tekniği (Salami Techniques)”: Genellikle bankacılık sektöründe hesaplardaki virgülden sonraki küsuratların son rakam veya son iki rakam tutarı başka bir hesaba aktarılarak orada biriktirilmesi vb., “Süper darbe (Super Zapping)”: Bilgisayar sistemlerindeki arızalar ile sistemin kilitlenmesi durumunda sistemin düzeltilmesi için güvenlik kontrollerinin aşılması, güvenliğin devre dışı bırakılması vb., “Truva atı (Casus Yazılımlar)”: Bilgisayar korsanlarının truva atları sayesinde bilgisayarların sistem yapısını değiştirmesi, kullanıcının şifrelerine ve diğer kişisel bilgilerine ulaşabilmesi vb.; “Zararlı yazılımlar”: Virüs gibi belli bir amaca yönelik olarak hazırlanmış kod parçaları vb.; “Oltalama (Phishing)”: Genellikle sahte web siteleri kullanıldığı, örneğin bir alış veriş sitesinden kendisine e-posta geldiğini düşünen kullanıcı; kredi kartı bilgilerini bu web sayfasına girmesi v.b. bir çok ve halihazırda sayamadığımız siber saldırı yöntemi mevcuttur.
Yukarıda örneklendirilen bu siber suç yöntemleri doğrultusunda gerçekleştirilen siber suçlar karşısında uygulanacak cezalar konusunda ülkemizde Bilişim alanında ilk olarak 765 sayılı TCK’nun 525-a, 525-b, 525-c ve 525-d maddeleri ile mevzuatımıza girmiş, 5237 sayılı TCK’nun yürürlüğe girmesi ile de 26.09.2004 tarihinde “TCK Bilişim Suçları” başlığı altında özel olarak, kanunun “Topluma Karşı Suçlar” başlığı altında üçüncü kısımda onuncu bölümde “Bilişim Sistemlerine Karşı Suçlar” adı altında Kanunun 243 ila 246. maddelerinde yeniden düzenlemeye konu edilmiştir.
Böylelikle, 5237 sayılı Türk Ceza Kanunu’nda siber suçlar olarak; Bilişim Sistemine Girme Suçu (m. 243), Sistemi Engellemek, Bozmak, Verileri Yok Etmek veya Değiştirmek Suçu (m. 244), Banka veya Kredi Kartlarının Kötüye Kullanılması Suçu (m. 245), Yasak Cihaz veya Programlar (m. 245/A) ve Tüzel Kişiler Hakkında Güvenlik Tedbirlerinin Uygulanması (m. 246) şeklinde bir düzenlemeye gidilmiştir.
Ülkemizde bununla birlikte “siber güvenlik” alanlarında çalışmalar başlatılmış olup, bilindiği gibi 10 Temmuz 2018 Tarihli ve 30474 Sayılı Resmi Gazete’ de yayımlanan 1 No’lu Cumhurbaşkanlığı Kararnamesi ile Dijital Dönüşüm Ofisi (DDO) kurulmuştur. Bununla birlikte, 5809 Sayılı Kanun’a 15 Ağustos 2016 tarihinde yeni hükümler eklenerek Bilgi Teknolojileri ve İletişim Kurumu (BTK)’ya yapılan siber saldırıların engellenmesi ve caydırıcılığın sağlanması görevleri ile bu görevler kapsamında yükümlülüklerini yerine getirmeyen ilgili taraflara yaptırım uygulama yetkisi verilmiştir.
Diğer yandan, “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı” ile ülkemizde “siber güvenlik” alanında ilk eylem planı düzenlenmiştir. Buna paralel olarak, 2013 yılında, BTK bünyesinde Ulusal Siber Olaylara Müdahale Merkezi (USOM), Siber Olaylara Müdahale Ekipleri (SOME) kurularak faaliyetlere başlamıştır.
Yine, son olarak “Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020-2023)” düzenlenerek siber güvenlik alanında ilerleme kaydedilerek, “Kritik Altyapıların Korunması ve Mukavemetin Artırılması”, “Ulusal Kapasitenin Geliştirilmesi”, “Organik Siber Güvenlik Ağı”, “Yeni Nesil Teknolojilerin Güvenliği”, “Siber Suçlarla Mücadele”, “Yerli ve Milli Teknolojilerin Geliştirilmesi ve Desteklenmesi”, “Siber Güvenliğin Milli Güvenliğe Entegrasyonu” ve “Uluslararası İş Birliğinin Geliştirilmesi” başlıklarında 8 ana başlık ile amaçlar belirlenmiştir.
Ülkemizde “siber güvenlik” alanında çalışmalar yapan bazı kurum ve kuruluşları da şu şekilde sıralayabiliriz; Bilgi Teknolojileri ve İletişim Kurumu (BTK), Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK), Siber Güvenlik Kurulu, Ulusal Siber Olaylara Müdahale Merkezi (USOM) vb.
Görülüyor ki “siber suçlar”, “bilişim suçları” konu itibarıyla “siber güvenlik hukuku”nun uygulama alanında yer almaktadır. Türkiye’de “siber güvenlik” alanında günümüze kadar gerçekleştirilen birçok hukuki çalışma yer almaktadır. Her ne kadar, yukarıda sayılan ilgili Kanunlarda düzenlenmiş olsa da Türkiye’nin “siber güvenlik” adı altında kendine özgü bir kanuna ihtiyacı olduğu görülmektedir. Bu noktada, konuyla ilgili olan tüm aktörlerden oluşan bir çalışma grubunun kurularak, münhasır bir “siber güvenlik kanunu”nun oluşturulmasının hukuk alemine de katkı vereceği düşünülmektedir.
Yararlanılan Kaynaklar:
Fulya, ASLAY; “Siber Saldırı Yöntemleri ve Türkiye’nin Siber Güvenlik Mevcut Durum Analizi”, International Journal of Multidisciplinary Studies and Innovative Technologies, Yıl: 2017, Cilt: 1 Sayı: 1, s: 24 – 28; https://dergipark.org.tr/tr/pub/ijmsit/issue/32341/359378
Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020-2023); https://hgm.uab.gov.tr/uploads/pages/strateji-eylem-planlari/ulusal-siber-guvenlik-stratejisi-ve-eylem-plani-2020-2023.pdf
Zeynep Sıla ÇARDAKBAŞI; “Siber Güvenlik Hukuku”; https://ferhatkule.av.tr/siber-guvenlik-hukuku/
https://bilisimvehukuk.net/icerik/siber-guvenlik-nedir/
https://kadimhukuk.com.tr/makale/bilisim-suclari-cezalari/
