“Big data”yı elinde bulunduran şirketlerin mali farklar yaratabildiği günümüz dijital çağında, verinin yönetimi ile bir “ülke yönetimi”nin ele geçirilebildiğine, kişilerin kalp atışlarının uzaktan dinlenebildiğine, sürücüsüz bir aracın tek bir komutla yönlendirilebildiğine, mesajlarınızın uzaktan erişim ile okunabildiğine, ufak bir sistem saldırısı ile şirketlerin milyonlar kaybedebildiğine, kritik altyapılar karşı gerçekleştirilecek bir DDoS atak ile hayatın durma noktasına gelebildiğine, hastaya yerleştirilmiş kalp pilinin dahi dışarıdan istismar edilebildiği veya yönetilebildiğine ve daha önceden sadece bilim kurgu filmlerinde gördüğümüz birçok şeyin gün geçtikçe birer gerçek halini aldığına şahit oluyoruz. Böylece, dijitalleşmenin insanlığa getirdiği yeniliklerin yanında, aynı zamanda insanlığı istismara ne kadar açık hale getirebileceğine de tanıklık ediyoruz. Eskilerin kablo kurcalayan bilgisayar dehaları yerlerini, sistemler arasında kod karıştıran ve bulduğu açık kapıdan girerek bahsettiğimiz tüm bu kritik sistemlere dokunabilen “sistem avcılarına” yavaş yavaş bırakıyor. Yapay zeka ve robotların insana özgü birçok mesleği yok edeceğine ilişkin tartışmaların sürdürüldüğü şu günlerde, yetenekli siber çalışanların kendilerine “açık kapı bulabilecekleri ve zafiyet avcılığı yapabilecekleri” yeni bir dijital saha yarattıklarını görüyoruz.
Her ne kadar ülkemizde yetenekli ve dahi araştırmacıların bu denli fazla olduğunu görmek, bizler için büyük bir memnuniyet duygusu yaratsa da, çoğu hacker’ın şirketlerin sistemlerine izinsiz bir biçimde girmenin ve sistemlerde kalarak siber açık aramanın suç olduğunun dahi farkında olmamasının da bir o kadar endişe verici olduğunu söylemek gerekiyor. Hackerlar, şirketlerin sistemlerinde zafiyet bulmakta, açığını tespit ettikleri şirkete bahse konu zafiyeti rapor olarak hazırlamakta ve iletmektedir. Şirketler ise zafiyeti tespit eden hackerı, yeteneği ve sistemlerdeki açığı kendilerine ihbar etmesindeki iyiniyeti sebebi ile ödüllendirmektedir. Konu ile ilgili en sık duyduğumuz örnek “Apple”a yönelik yapılmış olan zafiyet araştırmaları ve bu araştırmalar neticesinde “Apple”ın sistemlerinde açık bulan hackerı ödüllendirmesine ilişkindir. Kimi zaman 10 bin, kimi zaman 50-60 bin Euro’ya kadar yükselebilen bu ödüllerin, sistemlerde zafiyet aramaya merak duyan siber çalışanların heveslerini her geçen gün daha da arttırdığı açıktır. “Zafiyet tespit et-iyiniyetli davran-ödülünü al” zincirinin adeta bir saadet zincirine dönüşmesi ve zincire katılım sayıları giderek artan hackerlar için verilebilecek en kötü haber ise, aslında yaptıklarının ödüllendirilmesi gereken bir şey olmadığı, aksine izinsiz şekilde gerçekleştirdikleri bu eylemlerin bir suç oluşturduğudur. Çoğu hacker, eylemlerinde suç kastının olmadığını ve bilme / isteme unsurlarının kendilerince iyiniyet düzlemine oturtulmuş olduğunu düşünerek, eylemlerinin suç teşkil etmediği yönünde yanlış bir değerlendirmede bulunmaktadır. Eylemlerinin bir suç oluşturmadığını düşünerek sistem açıklarına ilişkin deneme / yanılmalarını sürdüren, sistemlere hukuka aykırı yöntemlerle ve şekillerle giren, sistemlerde kalan ve zafiyet aramaya devam eden hackerların, “iyiniyetle” yaklaştıkları bu araştırma için açık bilet vermemiş olan şirketlerin insafına kaldıklarının altını kalın çizgiler ile çizmek gerekmektedir. Bazı hackerlar ise bir adım daha öteye gitmekte; gerçekleştirmiş oldukları eylemlerin mevzuatta bir karşılığının olmadığını, mevzuatın güncel gelişme ve risk faktörlerine göre yenilenmemiş olması gerekçesi ile eylemlerinin “tipiklik” unsurunu karşılayamayacağını düşünerek, şirketin izni olmaksızın açık kapı aramanın herhangi bir suç teşkil etmeyeceği gibi hatalı bir değerlendirme yapmaktadır.
ANCAK; hukuka uygun olmayan yollar ile zafiyet araştırmalarına devam eden siber çalışanlara verilmesi gereken en ivedi haber ise, Türk Ceza Kanunun (“TCK”) ilk satırlarındaki hükümlerden birinin “Ceza kanunlarını bilmemek mazeret sayılmaz” hükmü olduğudur. Bu kapsamda hackerların bahse konu eylemlerinin TCK’da yeri olduğunu, kanunun Onuncu Bölümünde yer alan “Bilişim Alanında Suçlar” başlığı içerisinde 243. madde ve devamının gerçekleştirmiş oldukları eylemleri kapsadığını söylememiz gerekmekte. Mevzuatın güncel gelişme ve risk faktörlerine göre yenilenmesi gereği bir yana, mevcut haliyle de tespit edilen bahse konu eylemler nedeniyle, sahibinin 243. madde ve devamınca yargı tahtasına çıkacağı açıktır. TCK’nın 243. maddesinin ilk fıkrası “Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.” demekle, bilişim sistemlerine hukuka aykırı olarak giren ve sistemde kalan hackerların hapis cezası dahi alabileceğini açıkça hükme bağlamıştır. Dahası, bu eylem ile verilerin yok edilmesi veya değiştirilmesi ayrı bir hükümle; sistemler arasındaki veri nakillerinin teknik araçlar ile hukuka aykırı olarak izlenmesi yine ayrı bir hükümle düzenlenmiş ve hapis cezasına bağlamıştır. Bu eylemlerin her biri yargılama söz konusu olduğunda mahkeme tarafından tek tek incelenerek somut olaya göre değerlendirilecektir.
Yine TCK’nın 244. maddesinde de açıkça görülmektedir ki; bilişim sistemlerinin işleyişine dair hukuka aykırı eylemler “Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.” şeklinde hükme bağlanmaktadır. Banka ve kredi kartlarının hukuka aykırı kullanımı ile ilgili ise ayrıca bir hüküm bulunmakta ve ilgili eylemler için üç yıldan altı yıla kadar hapis cezası öngörülmektedir.
Hükümlerin de bizlere açıkça yol gösterdiği üzere, şirketin sistemlerine hukuka aykırı olarak, şirketin izni olmaksızın girilmesi veya sistemlerde kalınması ve verilere dair yapılan hukuka aykırı eylemler ayrı ayrı değerlendirilmektedir. Bu bilgiler ışığında, zafiyet araştırması yapan bir güvenlik araştırmacısının, bir şirketin sistemlerine izinsiz şekilde ve hukuka aykırı yollar ile girmesinin veya sistemde kalmasının; sistemlerdeki veri akışlarını incelemesinin ve kaynakları belirlemesinin; sistemdeki verileri taksirle veya kasten silmesinin, yok etmesinin, değiştirmesinin, erişilmez kılmasının; var olan verileri başka bir yere göndermesinin; sistemi bozmasının veya engellemesinin ayrı ayrı değerlendirilmeye tutulacağının bilincinde olması gerekir. Dolayısıyla tek bir eylemi ile zafiyet bulduğu için sevinen bir araştırmacının birden fazla suç tipini gerçekleştirmiş olabileceğinin de altı çizilmelidir.
“İyi niyet”in hayatın olağan akışında, iş ve insan ilişkilerinde çok büyük bir önem taşımasının yanında, hukuki açıdan suç teşkil eden bir eyleme karşı sonuç doğuracak bir savunma olmadığının; yargılamayı gerçekleştiren mahkemeler tarafından “kast” kavramına iyi niyet çerçevesinden bakılamayacağının; söz konusu eylemlerin tipikliği ile maddi ve manevi unsurları gerçekleştirip gerçekleştirmediğine dair hususun somut olay ve eylemler bakımından önemli olduğunun; şirket sistemlerine girilmesinin ve devamındaki eylemlerin iyi niyet ile gerçekleştirilmiş olsa dahi TCK’da yer alan tipiklik unsurunu karşılayabileceğinin, üstelik tüm bu eylemlerin söz konusu dosya üzerinde ayrı ayrı değerlendirilebileceğinin; değerlendirmeler neticesinde, TCK 243. madde ve devamındaki suçların zincirleme suç şeklinde işlenmesinin mümkün olduğunun da unutulmaması gerekmektedir. Bu suçlardan biri tamamlanmış, diğeri teşebbüs halinde kalmış olabileceği gibi; her iki eylem de teşebbüs halinde kalmış olabilir. TCK 243. madde ve devamındaki hükümler açısından klasik suç teorisi ve Yargıtay’ın emsal kararları da dikkate alındığında; bilişim suçlarına ilişkin eylemler hakkında içtima hükümleri uygulanabileceği gibi, kişinin tek bir eyleminin birden fazla suçu oluşturabileceği ve aynı zamanda yine tek bir eylemiyle zincirleme suç işleyebileceği açıkça görülmektedir. Bu durum da örneğin, kredi kartlarına ilişkin işlenen bir suçun söz konusu olması halinde kart sayısı kadar suçun oluştuğunu ya da ele geçirilen verilerin hukuka aykırı olarak kullanılması şeklinde ise zincirleme suçun oluşabileceğini göstermektedir.
Üstelik süregelen bir tartışma olarak, yargılamaya konu olmuş bilişim suçuna ilişkin bazı emsal davaların incelenmesi halinde, eylemi gerçekleştiren hackerlar için ne denli büyük cezaların karara bağlandığı da görülecektir. Konu ile ilgili herkesin bildiği en somut örnek olan, Onur Kopçak’ın sanık koltuğunda oturduğu ve Türk mahkemelerinde bilişim suçlarına ilişkin tarihin en yüksek cezasının karara bağlandığı Kopçak davasının incelenmesini önemle önerebiliriz.
https://www.infosecurity-magazine.com/news/turkish-hacker-jailed-for-over-300/
İlgili kararın da bizlere açıkça gösterdiği gibi, bilişim suçlarına verilen cezaların, içtima hükümleri ve zincirleme suçlar kapsamında da değerlendirilmesiyle, eylemi gerçekleştiren kişiler hakkında yaptırım bakımından “kasten öldürme” suçundan çok daha keskin ve ağır sayılabilecek sonuçlar doğurabileceğini görmekteyiz. Yine konu ile ilgili verilebilecek en iyi örneklerden diğeri, konuyla ilgili herkesin aşina olduğu ve Macaristan’da gerçekleşen olaydır. Bir hacker, Macaristan’ın en büyük telekomünikasyon şirketi olan Magyar Telekom’a ait sistemlere girdikten sonra güvenlik açıklarını bulmuş ve yetkililere bu güvenlik açıklarını bildirmiştir. Şirket yetkilileri ise, hackera sistemlerinde açık aramaları konusunda izin ve yetki vermediklerini belirterek hackerın işlemi sonlandırmasını istemiştir. Hackerın bahse konu telekom şirketinin sistemlerini araştırmaya devam etmesi üzerine, Telekom şirketi hacker hakkında şikayetçi olmuş ve olay hackerın tutuklanması ile sonuçlanmıştır.
Görüldüğü gibi, iyi veya kötü niyetli olmanızın yasal sonucu değiştirmediği böylesine riskli bir durumda, hackerların bilgilerini hukuka uygun platformlarda değerlendirmesi gereğinin ne kadar hayati olduğunu bir kez daha anlamış oluyoruz. Hackerların yeteneklerini açık bilet vermemiş bir şirket üzerinde hukuka aykırı olarak sergilemek yerine, hukuka uygun olan “Bug Bounty” iş modellerini kullanarak değerlendirmeleri gerekmekte. “Bug Bounty” modeli, büyük şirketlerin sağlamış oldukları açık bilet ile hackerların sistemlerde zafiyet arayabilmesi ve keşfettikleri zafiyetin kritikliği kadarı ile ödüllendirilmesi modelidir. Kendi güvenlik departmanları olan büyük şirketler, yetenekli araştırmacılara açık kapı bırakmakta ve izinleri doğrultusunda sistemlerinde açık olup olmadığı hususunun araştırılmasına muvafakat etmektedir. Hackerlar ise buldukları zafiyet karşılığında sözel, maddi veya daha farklı bir olanak ile ödüllendirilmektedir. Bug Bounty iş modeli ile çalışan ve sistemlerinde açık aranması için açık bilet vermiş olan şirketlerin listelerine aşağıda paylaşılmış olan linkler aracılığı ile ulaşılabilir.
https://www.bugcrowd.com/bug-bounty-list/
https://www.hackerone.com/internet-bug-bounty
Bug Bounty iş modelinin yanında, yine araştırmaların yapılabileceği ve kişilerin daha özgür bir sahada olabileceği “opensource” yazılımlar üzerinde de sistem zafiyetleri test edilebilir ve açık kapı analizleri gerçekleştirebilir. Ödüllendirilmek arzusuyla iyiniyetinizin sonucu asla değiştirmeyeceği böylesine ciddi bir hatanın eyleme dökülmemesini ; hackerların hukuka uygun olan iş modellerini ve yöntemleri tercih ederek yeteneklerini geliştirmelerini ve sergilemelerini önermekteyiz. Aksi halde iyiniyet ile başlamış olduğunuz bir eylemin sonucunu, insafına kaldığınız bir şirketin şikayeti ile yaşayarak görebilirsiniz.
Yorum Yapılmamış