Full 1
Arda Özdemir
Casus yazılımlar ile GPS teknolojisinin kullanımının Türk Ceza Hukuku kapsamında değerlendirilmesi
Full 1
Shadow

Telefonunuza casus yazılım yüklenerek haberiniz olmadan mesajlarınız, e-postalarınız, kiminle konuştuğunuz üçüncü bir kişi tarafından takip edildi mi? Veya belki de arabanıza GPS takip cihazı yüklenerek gittiğiniz yerler izlendi ve size karşı kullanıldı?

Maalesef Türkiye’de çok yaygın olarak aile üyelerinden, sevgililerden biri veya bu kategoriye girmeyen üçüncü bir kişi tarafından casus yazılım ve GPS teknolojisi kişinin özel hayatını ihlal edecek şekilde kullanılabiliyor.

Bu yazıda Arda ÖZDEMİR konuyu hukuki açıdan değerlendirecek. Kötü niyetli, sınırını aşan insanların sizden hep uzak olması dileklerimizle…

CASUS YAZILIM (SPYWARE) VE KÖTÜCÜL YAZILIM (MALWARE) KAVRAMI

 Genel Bilgi

Bilişim teknolojileri gelişip yaygınlaştıkça, günlük iş ve işlemler elektronik ortamlara taşınmakta ve kolaylaşmaktadır. Bunun sonucu olarak bilgi ve bilişim sistemlerinin güvenliğinin önemi ve karşılaşılan tehditler gerek sayı gerekse çeşitlilik açısından artmıştır.

casus yazılım, GPS, mesaj takip, telefona casus yazılım yükleme, mailleri takip etme.

Kötücül (malware) ve casus (spyware) yazılımlar ise bunların en başında gelmektedir. 

Kötücül yazılım (malware, İngilizce “malicious software”in kısaltılmışı), bulaştığı bir bilgisayar sisteminde veya ağ üzerindeki diğer makinelerde zarara yol açmak veya çalışmalarını aksatmak amacıyla hazırlanmış istenmeyen yazılımların genel adıdır. Kötücül yazılımlar, kullanıcının haberi olmadan veya kullanıcıyı yanıltarak sistemlere yetkisiz bir şekilde bulaşmaktadır.

Casus yazılım, kullanıcılara ait önemli bilgilerin ve kullanıcının yaptığı işlemlerin, kullanıcının bilgisi olmadan toplanmasını ve bu bilgilerin kötü niyetli kişilere gönderilmesini sağlayan yazılım olarak tanımlanır. Bazı kaynaklarda dar manada “snoopware” (burun sokan yazılım) olarak da adlandırılan casus yazılımlar, diğer kötücül yazılımlara göre özellikle İnternet kullanıcıları tarafından sistemlere farkında olmadan bulaştırılmaktadırlar. Casus yazılımın amacı kurban olarak seçilen sistem üzerinde gizli kalarak istenen bilgileri toplamaktır. Bu bilgi kimi zaman bir kredi kartı numarası gibi önemli bir bilgi bile olabilir. Kullanıcıların haberi olmadan sistemlere bulaşabilen casus yazılımlar, kişisel gizliliğe karşı gerçekleştirilen en önemli saldırılardan biridir.  

 Casus Yazılım Türleri

Truva Atları

Özellikle konumuz itibariyle bilişim sistemlerine zarar vermenin dışında, bu sisteme izinsiz girme, verilere ulaşma, takip etme gibi amaçlar doğrultusunda Fkullanılan türlerinden bahsetmemiz gerekir. Bunlardan en önemlisi truva casuslarıdır.  

Truva casusları, tuş basımları, ekran görüntüleri, etkin uygulama kayıtları ve diğer kullanıcı faaliyetlerini toplayan ve bu bilgileri saldırgana gönderen Truva atlarıdır.

Tuş Kaydediciler (Keylogger)

Tuş kaydediciler, bilgisayar veya telefonda basılan her tuşu kayıt altına alarak kişinin girdiği internet sitelerinden, yazdığı e-mail ve dokümanlara kadar klavye ile yazılan her şeyi kaydeden zararlı yazılımlardır. 

Stalkerware

Stalkerware, bir aygıta girilen verileri kaydeden ve üçüncü bir tarafa gönderen bir tür casus yazılımdır. SMS mesajları, irtibat listeleri, telefon kayıtları, web tarama geçmişi ve hatta GPS üzerinden konumunuzu görme bunlar arasındadır.

TÜRK CEZA HUKUKU AÇISINDAN CASUS YAZILIM VE PROGRAMLARININ İNCELENMESİ

Genel Bilgi

Kendisine uluslararası ve ulusal alanda bir koruma sağlanan özel hayat, bilişim teknolojilerinin gelişim ışığı altında özellikle internet ortamında kötüniyetli kişiler açısından tehlike altında bulunmaktadır. Bu yüzden özel hayatın bilişim ortamında kişisel veriler olarak korunması ihtiyacı doğmuştur.

Konumuz gereği casus yazılım ve programlar kullanılarak özel hayat açısından kişisel verilerin korunmasının ihlal edilmesi söz konusu olmaktadır. Yapılan bu eylem sonucu ihlal edilen madde hükümleri ilk olarak 5237 sayılı Türk Ceza Kanunu’nda; özel hayatın gizliliğinin ihlali, haberleşme özgürlüğünün ihlali ve yine bu kişilerin kişisel verilerinin hukuka aykırı bir şekilde ele geçirilmesi, kaydedilmesi “özel hayata ve hayatın gizli alanına karşı suçlar” bölümünde (TCK 132, 134, 136) yer almıştır. Yine bu kanunla yürürlüğe giren Topluma Karşı suçlar bölümünde yer alan “bilişim alanında suçlar” kategorisinde casus yazılım yoluyla işlenebilecek suç tipleri olan bilişim sistemlerine girme, bilişim sisteminde kalma, bilişim sistemine veri aktarılması ve yasak cihaz veya programlar başlığı altında düzenlenmiştir. (TCK 243, 244, 245/A) 

Kişisel Veri Kavramı

2016’da yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu da Türk Ceza Kanununda açıkça düzenlenmeyen ve eksik bir yönü olan “kişisel veri” kavramını açıklamış, kişisel verinin kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade ettiği (m.3/1d); bu konuda kişilerin açık rızasının bulunması gerektiği ve bunun da belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olduğu (m.3/1a); kişisel verilerin işlenmesinde yasal kurallara uyulması zorunluluğu ve bunun da kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir ver kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yenden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem anlamına geleceği ifade edilerek anayasal bir hak olan özel hayatın gizliliği kavramının pekiştirilmesini ve korunmasını sağlamıştır.

Son olarak bahsedilmesi gereken bir diğer kanuni düzenleme de kısaca “İnternet Kanunu” olarak bilinen 5651 sayılı Kanundur. Bu kanun da ülkemizin imzaladığı sanal suçlar sözleşmesine istinaden çıkarılmış olup, bu sözleşme yalnız kişisel verilerin korunmasını değil, tüm bilişim suçlarını cezalandırma amacı gütmektedir.

Casus yazılım ve programları aracılığıyla ihlal edilen hükümler açısından bir tasnif yapmak gerekirse yukarıda da bahsedildiği gibi öncelikle Türk Ceza Kanununda düzenlenmiş “özel hayat ve hayatın gizli alanına yönelik suçlar” başlığı altında ihlal edilen suçlar, daha sonra “bilişim alanında suçlar” kategorisinde ihlal edilen suçlar olarak incelenecektir.

Özel Hayat ve Hayatın Gizli Alanına Karşı Suçlar Bakımından İnceleme

  • Haberleşmenin Gizliliğini İhlal Etme (TCK m. 132)

Türk Ceza Kanununuda ihlal edilen hükümleri incelediğimizde ilk olarak 132.maddesi karşımıza çıkmaktadır. Bu madde yani “haberleşme özgürlüğünün ihlali”, casus yazılım ve programlarının kullanım amacı bakımından yakın zamanda sıkça rastladığımız bir suç tipidir. 

Günümüzde gelişen teknoloji sayesinde bilişim sistemleri kullanılarak özellikle de internet aracılığıyla e-posta, elektronik sohbet (chat) gibi çeşitli yöntemlerle haberleşme ve iletişim sağlanmaktadır. Dolayısıyla bu haberleşme yöntemlerinin korunması ve ihlali söz konusu olduğunda cezalandırılması bu hüküm doğrultusunda belirtilmiştir. Kanun koyucu yapılan ihlalin kayıt altına alınarak gerçekleşmemesini veya bu bilgilerin ifşa edilmemesini daha fazla koruma altına almış, bunların ihlalini suçun nitelikli hali saymış ve daha fazla cezaya hükmedilmesini kararlaştırmıştır. Casus yazılım aracılığıyla kişiler arasındaki haberleşme ve iletişimin takip edilmesi ve hukuka aykırı bir şekilde elde edilen bilgileri boşanma davasında delil olarak ileri kullanılması, ayrıca cep telefonları ile yapılan görüşme detaylarının incelenmesi Yargıtay kararları doğrultusunda bu madde kapsamında hüküm altına alınmıştır. (12.CD. E.9548, K. 17899 ve 12.CD., E. 23976, K. 17886)

  • Özel Hayatın Gizliliğinin İhlali (TCK m. 134)

Türk Ceza Kanununun 134.maddesinde “özel hayatın gizliliğinin ihlali” başlığı altında genel bir suç tipi düzenlenmiştir. Bu maddede kanun koyucu, anayasal bir hak olan özel hayatın ve aile hayatının gizliliğine ilişkin bilgi ve verileri koruma altına almıştır. Özellikle basında sıkça karşılaştığımız bu ihlalin yapılmasında, konumuz itibariyle casus yazılım kullanılarak kişiye ait olan fotoğraf, video ve kişiye ait özel bilgilerin ele geçirilmesi söz konusudur. 

134. maddenin 2.fıkrasında elde edilen kişiye ait özel bilgilerin hukuka aykırı olarak ifşa edilmesi ayrı bir suç tipi olarak düzenlenmiştir. Uygulamada özellikle 134.madde ile 136. Madde olan kişisel verilerin hukuka aykırı bir şekilde ele geçirilmesi suçunun birbirine karıştırılarak yanlış kararlar verildiği sorunu görülmektedir. Yargıtay bir kararında özel hayata ilişkin görüntü bilgilerinin de kişisel veri olduğunu belirtmekle beraber yüksek mahkeme, yerel mahkeme tarafından verilen kararı bozarak 136.maddenin değil 134.maddenin hükme esas teşkil etmesi gerektiğine karar vermiştir. (12.CD., E. 2013/11016, K. 2014/2973)

  • BİLİŞİM ALANINA YÖNELİK SUÇLAR BAKIMINDAN İNCELEME
  1. Bilişim ve Bilişim Sistemi Nedir?

Bu alandaki suçlara geçmeden önce bu suç tiplerinin daha iyi anlaşılabilmesi açısından bilişim ve bilişim sistemi kavramlarının ne olduğu konusunu açıklamak gerekmektedir. Her şeyden önce bilişim, mesleki ve akademik bir disiplin olarak karşımıza çıkmaktadır. Bilişim kelimesinin kökeni Fransızcadan Türkçeye geçen “informatique” kelimesine dayanmaktadır. Türkçeye başta enformasyon olarak geçen kelimenin yerini daha sonra bilişim sözcüğü almıştır. Öğretide, insanların ekonomik, teknik, mali, toplumsal veya hukuki yaşamındaki gibi birçok alanında kullandığı ve sahip olduğu verileri elektronik bir ortamda saklaması, bu sakladığı verileri işlemesi, organize edilmesi, değerlendirilmesi ve yüksek hızlı veri, ses veya görüntü taşıyan iletişim araçlarıyla aktarılması olarak tanımlanmıştır. Bilişim kavramını ülkemizde ilk kez Prof. Dr. Aydın Köksal tarafından kullanılmış olup “bilişim” terimini “bilmek” eyleminden ad olarak türettiğini belirtmiştir.

Bilişim sistemi ise, verilerin toplandığı saklandığı depolandığı değerlendirildiği gönderilme olanakları gibi fonksiyonlara sahip sistemlerdir. Bilişim sistemleri veri veya bilgiyi aldıktan sonra işleyen verileri çıktı olarak veren elektronik makinedir. 

Bilişim sistemi kavramı, internet ve bilgisayar sistemlerinden daha geniş bir anlama sahiptir. Yargıtay’ın verdiği bir karara göre  de bilişim sistemi, bilgisayar sisteminin bir üst kavramıdır. Günümüzde bilgisayarın dışında elektronik ve manyetik ortamda veri iletişimi sağlayan WAP uyumlu cep telefonları ve web paneli sayesinde veri aktarımı yapabilen elektronik ev aletleri bilişim sistemleri olarak karşımıza çıkmaktadır. Sadece belirli işlemleri otomatik olarak gerçekleştiren elektronik ya da manyetik cihazlar, bilişim sistemi olarak değerlendirilmeyecektir. Yani verileri işleme ve aktarma özelliği olmayan cihazlar bilişim sistemi olarak kabul edilmeyecektir. Sonuç olarak insan müdahalesi olmadan otomatik işlem yapabilen, veriyi işleyebilen, saklayabilen, iletebilen ve genel amaçlı kullanılabilen sistemleri bilişim sistemi olarak nitelendirebiliriz. 

  • Veri Nedir?

Suç tiplerine geçmeden önce son olarak da veri kavramını açıklamak gerekir. Veri, bilişim sistemlerinin en temel birimidir. TCK’nın 243.maddesinin gerekçesinde veri kavramının sınırlarından bahsedilmekle birlikte, verinin bilişim sistemi içindeki bütün soyut unsurlar olduğundan söz edilmiştir. Öğretideki tanımına baktığımızda ise bilgilerin soyut halde belli bir format haline getirilerek bilişim sisteminin amacı doğrultusunda çalışmasını sağlayan programları oluşturan temel birimler olmakla birlikte, bilişim sistemlerinin bunların üzerinde işlem yapabildiği ve bu işlemlerden elde edilen sonuçları sakladıkları, sonra bunları tekrar okuyup işleyebildiği ve diğer bilişim sistemlerine aktarabildiği her türlü bilgiye veri denmektedir. Veriler bir yazı, resim veya bir program olabilir. Ayrıca belirtmek gerekir ki veriler harici taşınır belleklerde, diskette ve CD/DVD’de taşınabildiği için bu araçların içindeki verilere yönelik saldırılar da birazdan değineceğimiz bilişim suçlarının konusunu oluşturabilmektedir.

  • Bilişim Sistemine Girme veya Kalma (TCK m.243)
  1. Bilişim Sistemine Girme

Nihayet yukarıdaki açıklamalarımızdan sonra casus yazılım kullanımı doğrultusunda işlenebilecek TCK’daki suç tiplerini inceleyebiliriz. İlk olarak işlenebilecek suç tipi TCK’nın 243.maddesindeki “Bilişim Sistemine Girme” suçudur. Bu suçu ikiye ayırarak “girme” ve “kalma” eylemleri adı altında incelemek gerekmektedir.

TCK’nın 243.maddesinin ilk fıkrasına baktığımızda bilişim sistemine girme “veya” bilişim sisteminde kalma şeklinde iki türlü eylemle işlenebilen bir suç tipi olduğu karşımıza çıkmaktadır. Maddenin önceki halinde “veya” bağlacı “ve” şeklinde olduğu için sisteme sadece giren ve hemen sistemden çıkan kişi açısından suç oluşmamaktaydı. Yeni düzenlemeyle birlikte artık sisteme girme eylemi suçun oluşması açısından yeterli bir eylem olarak kabul edilmektedir. Yani sisteme giren kişi verilere erişemese veya verileri ele geçiremese bile suçun oluşması söz konusu olacaktır. 

Genel olarak bu suçun oluşabilmesi için öncelikle bilişim sistemine erişimin belli tedbir ve şartlarla kısıtlanmış olması gerekmektedir. Kanun koyucu burada hukuki sınırların varlığını işaret etmektedir. Yani sistemin özel bir şifre ile korunması ve bu sisteme bilişim sistemi kurallarına aykırı bir şekilde yetkisi olmayan kişilerce giriş yapılması hali mevcut olmalıdır. Dolayısıyla herkes tarafından kolayca erişilebilen sistemlere giriş hali madde kapsamının dışındadır. 

Suçun oluşması açısından bilişim sistemin tümüne girilebileceği gibi yalnızca belli bir kısmına da girilmiş olabilir. Yani bilişim sistemine bağlı olarak kullanılan disketler, CD/DVD’ler ve taşınabilir harici belleklere giriş yapılması da suçun oluşumuna neden olacaktır. Bilişim sistemi olarak kabul edilmeyen cihaz ve aletlere girişin yapılması suçun oluşumu açısından yeterli değildir.

  • Bilişim Sisteminde Kalma

Bilişim sistemine girip orada kalmaya devam etme yapılan eylemin ciddiyetini ortaya koyma ölçüsünde bulunması halidir. Kalma eyleminin gerçekleşmesi için bilişim sistemine girilmesi gerekmektedir. Hal böyle olunca hukuka aykırı bir şekilde girmiş kişi açısından suç oluşmuştur. Sistemde kalmaya devam etme hukuka uygun olarak, sisteme girmeye yetkili kişinin rızasıyla ya da yanlışlıkla giren kişinin durumu fark etmesine rağmen sistemde kalması şeklinde de gerçekleşmiş olabilir. Bu kişi sisteme hukuka uygun olarak girse ve makul bir süre içinde çıkması gerekirken orada kalmaya devam etmesi halinde suçun oluşması söz konusu olacaktır. Sisteme giren kişinin hemen çıkmaması veya sistemden çıkması için gerekli olan makul süreyi aşması kalmaya devam etme olarak nitelendirilebilecektir.

Sistemde kalma hareketi bakımından failin sistemde ne kadar süre boyunca kalması gerektiğine ilişkin açık bir düzenleme mevcut değildir. Ancak sürenin uzunluğu, verilecek cezayı takdir etme açısından önem arz edecektir. Hâkim her somut olaya bakıp sistemin güvenlik yapısı, failin bilgi ve becerileri gibi hususları da inceleyerek makul süreyi belirleyecektir. Ayrıca hâkimin suçun gerçekleşmesi sonucu verilere ilişkin bir zararın varlığını araştırmasına da gerek yoktur. Çünkü sisteme girme veya kalma suçun oluşması için yeterli olacaktır. Ayrıca sisteme girme veya kalma eylemi sonucu veriler yok olmuş veya zarar görmüşse 3.fıkradaki düzenlemeye göre yapılan eylemin cezası arttırılacaktır.

Bunun gibi cezanın azaltılarak verileceği bir düzenleme de getirilmiş olup doktrin ve Yargıtay tarafından eleştirilen bu düzenlemeye göre belirli bir bedel karşılığında yararlanılabilen bilişim sistemlerine herhangi bir bedel ödemeksizin şifrelerinin kırılması yoluyla (mail, dergi veya gazete aboneliği vb.) erişim sağlama eyleminin cezası yarıya indirilerek verilecektir.

Failin sisteme ne amaçla girdiğinin suçun oluşması açısından bir önemi yoktur.

  • Bilişim Sistemine Veri Yerleştirilmesi (TCK m. 244/2)

Casus yazılım kullanımı doğrultusunda işlenebilecek bir diğer suç tipi TCK’nın 244. Maddesinin ikinci fıkrasında belirtilmiştir. Maddenin İlk fıkrasından farklı olarak bizi ilgilendiren kısım olan ikinci fıkrada bilişim sisteminin işleyişi değil bilişim sisteminin verilerine ilişkin bir durum söz konusudur. Bu suçun oluşabilmesi için bilişim sistemine veri yerleştirmek yetkili kişinin rızası olmaksızın bilişim sistemine veya bilişim sisteminin unsuru niteliğinde olmak kaydıyla veri taşıma aracına dışarıdan bir veri eklemek, yüklemek, kaydetmektir. Her somut olaya göre failin bilişim sistemine veri yerleştirme yetkisinin olup olmadığı araştırılmalıdır.

Bilişim sistemine casus yazılım verilerinin yerleştirilmesi bu suçun oluşumu açısından yeterli olacaktır. Ayrıca belirtmek gerekir ki casus yazılımın sisteme yüklenmesiyle failin hem TCK 243 hem de TCK 244/2 maddelerinden ayrı ayrı cezalandırılması gerekecektir. 

  • Yasak Cihazlar veya Programlar (TCK m. 245/A)

TCK’nın “Bilişim Alanında Suçlar” başlıklı bölümüne, Avrupa Siber Suçlar Sözleşmesi hükümlerine uygun olarak 2016 yılında “Yasak Cihazlar ve Programlar” başlıklı TCK 245/A hükmü eklenmiştir. Bu maddede belirtilen suçun işlenmesi için bilişim alanında suçlar başlığı altında düzenlenen suçların ve bilişim sisteminin araç olarak kullanıldığı suçların işlenmesine yönelik veri, program, yazılım ve sair güvenlik kodlarının oluşturulması veya yapılması amacını taşıması gerekir. Casus yazılım veya programları da bu amaçla oluşturulduğundan failin bu cihaz ve programlarını bulundurması ve kullanması eyleminin cezalandırılması gerekmektedir. Yazımızın başında bahsettiğimiz casus yazılım türlerinin oluşturulması bu madde hükmünün kapsamındadır. 

Maddenin içeriğine baktığımızda bu program ve cihazları imal eden, sevk eden, saklayan, ithal eden (ihraç edilme noktası hususu kanun koyucu tarafından belirtilmese de imal etme ve sevk etme hareketlerinin ihraç etme ile de gerçekleşebileceğinden bu eylemi de buraya dahil edebiliriz) nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran kişilerin cezalandırılacağı hükme bağlanmıştır.

KAYNAKÇA

  1. https://www.atamer.av.tr/casus-programla-izleme-dinleme-sucu/
  2. KÖTÜCÜL VE CASUS YAZILIMLAR: KAPSAMLI BİR ARAŞTIRMA/ GÜROL CANBEK VE ŞEREF SAĞIROĞLU
  3. ÖZEL HAYAT AÇISINDAN KİŞİSEL VERİLERİN KORUNMASI/ DURMUŞ TEZCAN
  4. CİHAZ, PROGRAM, ŞİFRE VE GÜVENLİK KODLARININ BİLİŞİM SUÇLARININ İŞLENMESİ AMACIYLA İMAL VE TİCARETİ SUÇU/ DR. ÖĞRETİM ÜYESİ İBRAHİM KORKMAZ
  5. TÜRK HUKUKUNDA BİLİŞİM SİSTEMİNE GİRME SUÇU/ DR. ÖĞRETİM ÜYESİ NEBAHAT KAYAER
  6. TÜRK CEZA KANUNU M.243 VE M.244’TE DÜZENLENEN BİLİŞİM SUÇLARI/ MERT ÇAKICI
  7. BİLİŞİM SUÇLARI VE İNTERNET İLETİŞİM HUKUKU/ DOÇ DR MURAT VOLKAN DÜLGER