Türk Ceza Kanununda 243, 244 ve 245. maddelerinde Bilişim suçları müstakil olarak düzenlenmiştir. Kanun koyucunun Bilişim suçları maddelerinin gerekçesinde Bilişim Sistemi hakkında bir tanımlama yaptığını görüyoruz. Bu tanımlama: “Bilişim sisteminden maksat, verileri toplayıp yerleştirdikten sonra bunları otomatik işlemlere tabi tutma olanağını veren manyetik sistemlerdir.” olarak yapılmıştır. Ancak yine Türk Ceza Kanunu içerisinde ileride kapsamlı olarak açıklayacağımız bazı suçlar da Bilişim Sistemleri vasıtasıyla veya Bilişim Sistemlerinin oluşturduğu ağlarda işlenebilmektedir.
Bu kapsamda biz iki farklı alanda bu kavramları inceleyeceğiz. Yukarıda bahsettiğimiz 3 madde halinde düzenlenen suçlar Bilişim alanındaki suçlardır. Yani bu suçların işlenmesi ancak bir bilişim sistemi mevcut ise mümkün olmaktadır. Bilişim Sistemi dediğimiz cihazlar, bir teknoloji marketine girdiğimizde karşımıza çıkan her şeydir. Masaüstü bilgisayar, dizüstü bilgisayar, tablet bilgisayar, akıllı telefon şimdilik sayabildiğimiz bilişim sistemi cihazlarıdır. Bilişim sistemine bağlı olarak kullanılan USB bellek, CD, veya taşınabilir disklere de hukuka aykırı olarak girmek, incelemek bu suçun konusunu oluşturacaktır. Hatta teknolojinin sürekli gelişmesi ve kişisel verilerin birçok çeşit elektronik cihazda depolanması ve kullanılabilmesine imkan vermesi ile suçun konusunu oluşturan cihazlarda sürekli çoğalmaktadır. Teknolojinin ilerlemesiyle akıllı evler ortaya çıkmıştır. Hatta “the things internet” yani “nesnelerin interneti” kavaramı da yine ilerleyen teknolojinin karşımıza çıkardığı teknolojik gelişmelerin ürünüdür.
Bilişim suçlarının oluşmasında önemli bir yeri olan siber saldırı kavramı ise; Bir veya birden fazla bilgisayar veya bilişim cihazından karşı taraftaki bilgisayarlara, bilişim cihazlarına veya ağlara yapılan veri çalmak, değiştirmek ya da yok etmek için çeşitli teknikler kullanılarak yapılan saldırı eylemlerine karşılık kullanılmaktadır.
Öncelikle suçun Bilişim Suçu olması için bir bilişim sistemine sahibinin rızası olmadan erişimin sağlanması gerekiyor. Yukarıda bahsettiğimiz gibi bilişim sistemi kavramı günümüzde oldukça genişlemiş durumda. Bir çok elektronik cihazın veri işleme özelliği kazanması ile birlikte bu kavramda geniş bir yelpazede kullanılmaya başlandı. Kanun maddesinin gerekçesini irdelediğimiz zaman bir bilişim sistemine yakın veya uzaktan erişilmesi gerektiğini anlıyoruz. Kendimize ait olmayan bir bilişim sistemine erişim yetkimiz olmadan fiziksel bir erişim sağlar veya sağladığımız erişim sonrasında yetkisiz bir şekilde bu sisteme erişim halini devam ettirirsek bu suç oluşuyor. Tabi ki erişimin ne kadar süre devam etmesi gerektiği ile ilgili net bir bilgiyi kanunda göremiyoruz. Kanunun gerekçesinden de bir bilgiye erişmemiz mümkün olmuyor. Buradan anladığımız suçun bir tehlike suçu olduğu ve bir zararın ortaya çıkmasının beklenmediğidir. Zararın ortaya çıkma tehlikesi yeterlidir.
Bilişim Suçu kavramının TCK’daki kilit maddesi olan 243. madde yani “Bilişim Sistemine Girme” maddesinin diğer fıkralarında hafifletici sebep, ağırlaştırıcı sebep ve ilginç bir şekilde “veri naklinin izlenmesi” kavramını görüyoruz. Şirketlerin Bilişim Güvenliği firmaları tarafından güvenlik kontrolleri yapılmaktadır. Teknik olarak birçok yöntem kullanılarak şirket, kurum ve hatta bazen bireysel bilişim sistem ve ağlarında güvenlik taramaları yapılmaktadır. Bu güvenlik taramalarının amacı yukarıda bahsettiğimiz Siber Saldırı kavaramı ile ilgilidir. Yetkisi olmayan bilişim sistemlerine veya ağlarına hukuka aykırı olarak girme teşebbüsünde bulunan siber saldırganlara karşı bu bilişim sistemlerini korumak ve varsa sistemlerin güvenlik açıklarını tespit ederek bu güvenlik açıklarını gidermek için yapılan çalışmalardır. Ancak bu çalışmalarında sistemin sahibi tarafından rıza verilerek yapılması sağlanmalıdır.
Biraz daha bu konuyu açmak gerekirse; Önceden Bilişim Sisteminin yetkilisi tarafından güvenlik tarama için izin verilip ve hatta sisteme erişim şifreleri bu güvenlik taraması yapacak yetkililere verilebilir. Ancak rıza sona erdikten sonra yetkisiz olarak sistemde kalmaya devam ediliyorsa veya, rıza devam ederken bir virüs veya benzer kötücül yazılımlar kullanılarak sonradan yetkisiz erişim için ortam yaratılıyorsa ilk başta verilen rızanın daha sonraki yetkisiz işlemlerde devamı mümkün olmayacaktır. Sonradan yapılan erişim veya sistemde kalmaya devam etme eylemi suça neden olacaktır.
Bilişim Suçu Nedir? sorusuna cevap ararken teknik bazı bilgilere de değinmek gerekiyor. Biraz önce bahsettik Bilişim sitemine fiziksel bir erişim sağlamak veya uzaktan yani bir ağa bağlanarak erişim sağlamak. Ağ denildiğinde hemen aklımıza internet kavramı geliyor. Ancak yapılan araştırmalar sonucunda siber saldırıların büyük bir çoğunluğunun kurum içerisinden yapıldığını görüyoruz. Bir başka bölümde çalışan kişiler kurumda yetkisi olmayan bir Bilişim Sistemine izinsiz erişim sağlayabiliyor. Bu iç ağa ise intranet kavramı ile adlandırılıyor. İçten veya dıştan fiziksel olarak yanında olmadığı bir Bilişim Sistemine erişimde yine bu tür yetkisiz erişimlerden en çok karşılaşılanı. Hep bilişim sistemi kavramını bilgisayar sistemleri ve ağlar olarak gördük şu ana kadar. Ancak kanunun gerekçesinden de anlaşılacağı üzere bir CD’ye yetkisiz erişimde Bilişim Suçu kapsamında değerlendiriliyor. İçerisinde veri bulunan ve bu verinin bir şekilde işlenebileceği tüm manyetik ortamlar Bilişim suçu kavramı ile ilişkilendiriliyor.
Aslında buraya kadar çok hukuk tekniğine girmeye gerek kalmadan biraz Bilgisayar Mühendisliği kavramları ile bilişim suçu nedir? sorusuna cevap aramaya çalıştık. Biraz daha farklı olan veri nakillerini izleme konusu daha da teknik bir alan. Bilişim sistemlerinin içerisindeki veriler hem Bilişim sistemi içerisinde hem de Bilişim sistemleri arasındaki ağda hareket etmektedirler. Aslında bilişim sistemlerinde haberleşme de bu şekilde olmaktadır. Veri nakili olarak adlandırılan kavram; verinin belli bir düzen içerisinde bir yerden bir yere ulaşmasıdır. Verinin hareket ettiği ortam bir kablo olabilirken bazen bir elektronik kart üzerindeki veri yolları olabilir ve günümüzde veri aynı zamanda kablosuz olarakda iletilebilmektedir. Burada anlatılmak istenen verinin gizliliğinin korunmasıdır. Bütünlük ve içeriğinin korunması daha sonraki maddede irdelenmektedir. Verinin kablosuz bir ortamda hareket halinde iken izlenmesi ve hatta depolanıp içeriğine ulaşılması suç olarak kabul edilmiştir. Sanırım en kapsamlı incelenmesi ve irdelenmesi gereken konu da budur Bilişim alanında. Özellikle kablosuz bir ortamda veriler havada uçarak hareket halinde iken eğer bir kişi belli özel teknik yazılım ve bazen donanımlar yardımıyla bu veriyi izliyorsa ama bu veri içeriğine ulaşılması mümkün olmayacak şekilde şifreli olarak havada hareket ediliyorsa ne olacak? İşte böylesi bir ortamdır bilişim ortamı. Bu tür soruları bazen hukuki olarak incelemek yetersiz kalır. Her bir olay kendi başına değerlendirilmesi gerekir. Çoğunlukla adalet sisteminde bu tür olaylarla karşılaşıldığında kendi alanında uzman kişilerden Bilirkişilik yardımı istenir. Bilgisayar Mühendisi bilirkişi olayı inceler ve bir rapor yazar. Ancak bu konuda bilgi sahibi olan adalet personeli teknik olarak alan ile ilgiliyse bu karmaşık ortam olan bilişim olayında doğru soruları sorup doğru cevapları alabilir. Teknoloji de bazen teoride mümkün olan birçok olayın pratikte gerçekleştirilmesi pek te kolay değildir. Ancak Hukukta soruların cevapları kesin olmalıdır. Evet ya da Hayır.
Bu yazımı şöyle bir örnek ile bitirmek istiyorum. Teknik olarak, fiber optik haberleşme kablolarından bilgi çalınması ya da veri sızdırılması mümkün müdür? diye bir soruyla karşılaştığımızda; Teknik olarak evet mümkündür cevabını verebiliriz. Peki, olağan hayat akışında bu kolayca yapılabilir mi? Tabi ki hayır ama sonuçta imkânsız değildir. Yapılmış olabilir. İşte tüm bu karmaşık ilişkiler barındıran Bilişim Hukuku alanında gerçekten donanımlı ve bilgili Hukuk adamlarına ihtiyaç duyulmaktadır. Özellikle müvekkil-avukat ilişkilerinde hukuki olayın iyi analiz edilip, hukuki yardım sağlanıp maddi gerçeğe ulaşmak için teknik bilgi şarttır.