top of page
Ara

Casus ve Zararlı Yazılım Tespiti: Türk Hukukunda Yasal Çerçeve ve Çözümler – Aslan Kriminal

Casus ve Zararlı Yazılım Tespit

Casus ve zararlı yazılımların tespiti konusu, Türk hukukunda hem ceza hukuku, hem kişisel verilerin korunması hukuku, hem de siber güvenlik mevzuatı kapsamında geniş bir yasal çerçeveye sahiptir. Bu tür yazılımlar, bireylerin özel hayatının gizliliğini ihlal etmekten devlet sırlarını ele geçirmeye kadar geniş bir yelpazede hukuka aykırı eylemlere zemin hazırlayabilir. Bu nedenle, casus ve zararlı yazılımların tespiti, hem hukuki bir yükümlülük hem de suçla mücadelede kritik bir adımdır.


Yasal Çerçeve

Türk hukukunda casus ve zararlı yazılımların tespiti ve bunlarla mücadele, temel olarak Türk Ceza Kanunu (TCK), Kişisel Verilerin Korunması Kanunu (KVKK), Ceza Muhakemesi Kanunu (CMK) ve ilgili özel mevzuatlarla düzenlenmektedir. Bu düzenlemeler, kişisel verilerin korunması, bilişim sistemlerinin güvenliği ve devlet sırlarının muhafazası gibi önemli hukuki değerleri güvence altına almayı amaçlar.

Bilişim sistemlerine hukuka aykırı müdahaleler, veri ihlalleri ve zararlı yazılımların kullanımı, TCK'da "Bilişim Alanında Suçlar" başlığı altında ele alınmıştır. Ayrıca, kişisel verilerin korunması, KVKK ile özel bir düzenlemeye tabi tutulmuş, veri sorumlularına önemli yükümlülükler getirilmiştir. Devletin siber güvenliği ve istihbarat faaliyetleri ise özel kanunlarla düzenlenmekte olup, bu kapsamda casus yazılımların tespiti ve önlenmesi büyük önem taşımaktadır.


Casus ve Zararlı Yazılımların Hukuki Tanımı ve Kapsamı

Casus yazılım (spyware) ve zararlı yazılım (malware) terimleri, hukuki metinlerde doğrudan tanımlanmasa da, bu yazılımların yol açtığı eylemler TCK kapsamında suç teşkil etmektedir. Casus yazılımlar genellikle kişisel verileri, iletişimleri veya sistemdeki diğer bilgileri gizlice toplama ve aktarma amacı güderken; zararlı yazılımlar (virüs, truva atı, fidye yazılımı vb.) sistemin işleyişini bozma, verilere zarar verme, yok etme veya erişimi engelleme gibi amaçlarla kullanılır.

Bu tür yazılımların hukuki kapsamı, Türk Ceza Kanunu'nun ilgili maddeleriyle belirlenir:


TÜRK CEZA KANUNU

Bilişim sistemine girme Madde 243- (1) Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir. ... (4) (Ek: 24/3/2016-6698/30 md.) Bir bilişim sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı olarak izleyen kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır.


Bu madde, casus yazılımların temel işlevlerinden biri olan bilişim sistemine hukuka aykırı girişi ve veri nakillerini izlemeyi doğrudan suç kapsamına almaktadır.


TÜRK CEZA KANUNU

Sistemi engelleme, bozma, verileri yok etme veya değiştirme Madde 244- (1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır. (2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.


Bu madde ise zararlı yazılımların neden olduğu sistem engelleme, bozma, veri yok etme veya değiştirme gibi eylemleri cezalandırmaktadır.


TÜRK CEZA KANUNU

Kişisel verilerin kaydedilmesi Madde 135- (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.


Casus yazılımların en temel amaçlarından biri olan kişisel verilerin hukuka aykırı olarak kaydedilmesi de bu madde kapsamında suç teşkil eder.


TÜRK CEZA KANUNU

Yasak cihaz veya programlar Madde 245/A- (Ek: 24/3/2016-6698/30 md.) (1) Bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun; münhasıran bu Bölümde yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden, ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran kişi, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adli para cezası ile cezalandırılır.



Bu madde, casus ve zararlı yazılımların kendisinin üretilmesi, dağıtılması veya bulundurulmasını da suç kapsamına alarak, bu tür yazılımlarla mücadelede önemli bir önleyici rol oynamaktadır.


Casus ve Zararlı Yazılımların Tespiti ve Hukuki Sonuçları

Casus ve zararlı yazılımların tespiti, hem bireysel hem de kurumsal düzeyde bilgi güvenliğinin sağlanması ve hukuki yükümlülüklerin yerine getirilmesi açısından kritik öneme sahiptir. Tespit edilen durumlarda ortaya çıkan hukuki sonuçlar, eylemin niteliğine ve etkilerine göre farklılık gösterir.


1. Ceza Hukuku Boyutu

Casus ve zararlı yazılımların kullanılmasıyla işlenen suçlar, TCK'nın yukarıda belirtilen maddeleri kapsamında cezalandırılır. Bu suçların tespiti genellikle adli soruşturmalar neticesinde gerçekleşir.


Ceza Genel Kurulu 2018/243 E. , 2023/160 K.

Görüldüğü üzere kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması suçunun düzenlendiği maddede, kişiler arasındaki aleni olmayan konuşmaları bir aletle dinleme veya ses alma cihazı ile kaydetme, katıldığı aleni olmayan bir söyleşiyi ses alma cihazı ile kaydetme, kişiler arasındaki aleni olmayan konuşmaların kaydedilmesi suretiyle elde edilen verileri hukuka aykırı olarak ifşa etme olmak üzere üç ayrı suç tipi tanımlanmıştır Kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması suçu ile kişiler arasındaki aleni olmayan konuşmaların gizliliği korunmakta; kişilerin, konuşmalarının gizli kaldığı hususunda herhangi bir tereddüt yaşamadan serbestçe sözlü açıklamada bulunmaları amaçlanmaktadır Ayrıca, aleni olmayan konuşmalar, özel yaşam alanına dâhil olup kime, ne zaman, ne söyleyeceği konusunda her daim endişe duyan kişi, özel yaşamını sağlıklı bir biçimde şekillendiremez Ortaya çıkan bu durum, sosyal yaşamın ve toplumsal etkileşimin, üzerinde önemli bir rol oynadığı insanın kişiliğini, dolayısıyla da manevi varlığını geliştirme hakkını ihlâl edici mahiyettedir

İçtihatın tam metnine buradan ulaşabilirsiniz.


Bu içtihat, casus yazılımların ses kaydı gibi eylemlerle özel hayatın gizliliğini ihlal etmesi durumunda uygulanacak hükümleri ve bu suçun koruduğu hukuki değeri açıkça ortaya koymaktadır.

19. Ceza Dairesi 2017/3325 E. , 2018/11147 K.

Anılan suç bir tehlike suçu olup; suçun tamamlanması için bir zararın ortaya çıkması da aranmamaktadır Kişisel verilerin korunması suçuyla kişilerin manevi rahatlığının da güvenceye alınması amaçlanmaktadır (Akdağ, s. 98) Kısacası, modern toplumda “özel hayat” kavramının kapsamı “kişisel verilerin korunması ihtiyacı” karşısında daha bir derinlik ve özel mânâ kazanmıştır Gerçekten, gelişen teknoloji karşısında kişisel verilerin hızla depolanabileceği, iletilebileceği vb. faaliyetler düşünüldüğünde bu alandaki koruma ihtiyacının önemi ortadadır Bu anlamda kişisel verilerin korunmasının modern ve global dünyadaki hayatiyeti gözetilerek bu alanın ceza hukuku normları ile korunmasına da ihtiyaç duyulmuştur

İçtihatın tam metnine buradan ulaşabilirsiniz.


Bu karar, kişisel verilerin korunması suçunun tehlike suçu olduğunu ve zararın ortaya çıkmasının aranmadığını vurgulayarak, casus yazılımların sadece varlığının bile hukuki sonuçlar doğurabileceğini göstermektedir.


2. Kişisel Verilerin Korunması Boyutu

Kişisel Verilerin Korunması Kanunu (KVKK), casus ve zararlı yazılımların kişisel verilere yönelik tehditlerine karşı veri sorumlularına önemli yükümlülükler getirmektedir.


KİŞİSEL VERİLERİN KORUNMASI KANUNU

Veri güvenliğine ilişkin yükümlülükler MADDE 12- (1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. ... (5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.


Bu maddeye göre, veri sorumluları, casus veya zararlı yazılımlar aracılığıyla kişisel verilere hukuka aykırı erişimi veya işlenmesini önlemek için gerekli teknik ve idari tedbirleri almakla yükümlüdür. Bir ihlal durumunda ise ilgili kişilere ve Kişisel Verileri Koruma Kurulu'na bildirim yapma zorunluluğu bulunmaktadır.


AİHM - Big Brother Watch ve diğerleri/ Birleşik Krallık Davasında, Dosya No : 58170/13, Tarih : 2021-05-25

Bu koşullar gerçekleştiğinde vatandaşlarımız en güvenli ve en kabul gören düşünceler dışındaki şeyleri ifade etmekten ve en kabul gören kişiler dışındakilerle bağlantı kurmaktan korkacaktır Anayasanın öngördüğü özgürlük kaybolacaktır.” 9. Sonuç olarak, toplu gözetime ve toplanan bilgilerin daha etkili kullanılmasına imkan veren yeni teknolojiler, mahremiyete ve kişisel verilerin kötüye kullanılmasına yönelik tehditleri artmıştır Bu tehdit ve risklerin büyük oranda gerçekleştiği ya da yukarıda bahsedilen sonuçlara yol açtığı yönünde bir çıkarıma varmak gibi bir niyetimiz bulunmamaktadır Ancak, meydana gelebilecek suistimalleri önleyebilecek, tespit edebilecek ve yaptırım uygulayabilecek bir sistem tasarlarken söz konusu hususların mevcudiyetinden haberdar olunmalıdır

İçtihatın tam metnine buradan ulaşabilirsiniz.


AİHM kararı, yeni teknolojilerin mahremiyete yönelik tehditlerini ve suistimalleri önleyebilecek, tespit edebilecek ve yaptırım uygulayabilecek sistemlerin önemini vurgulayarak, KVKK'nın getirdiği yükümlülüklerin uluslararası insan hakları standartlarıyla uyumunu göstermektedir.


3. Devlet Güvenliği ve İstihbarat Boyutu

Casus yazılımlar, özellikle devlet sırlarının ele geçirilmesi, casusluk faaliyetleri veya terörle mücadele gibi alanlarda ciddi tehditler oluşturabilir. Bu tür durumlarda, casus yazılımların tespiti ve etkisiz hale getirilmesi, milli güvenlik açısından hayati öneme sahiptir.


CEZA MUHAKEMESİ KANUNU

Bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve elkoyma Madde 134- (1) Bir suç dolayısıyla yapılan soruşturmada, somut delillere dayanan kuvvetli şüphe sebeplerinin varlığı ve başka surette delil elde etme imkânının bulunmaması halinde, hâkim veya gecikmesinde sakınca bulunan hâllerde Cumhuriyet savcısı tarafından şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına, bilgisayar kayıtlarından kopya çıkarılmasına, bu kayıtların çözülerek metin hâline getirilmesine karar verilir.


CMK'nın bu maddesi, adli soruşturmalarda casus veya zararlı yazılımların tespiti amacıyla bilişim sistemlerinde arama, kopyalama ve el koyma işlemlerinin hukuki dayanağını oluşturur.


ANAYASA MAHKEMESİ GENEL KURUL

suçların tespit edilmesini engellemek için delilleri yok ettikleri (Emniyet Genel Müdürlüğü İstihbarat Daire Başkanlığının bir projesinin kullanıcı bilgilerini sildikleri) iddiasıyla Ankara Cumhuriyet Başsavcılığınca 2014/74480 sayılı soruşturma başlatılmıştır (AYM, E.2016/6 (D İşler), K.2016/12, 4/8/2016, § 16/e). iv FETÖ/PDY mensubu olduğu ileri sürülen bazı kamu görevlileri hakkında Türkiye Büyük Millet Meclisi (TBMM) Başkanı, Başbakan, Genelkurmay Başkanı, Anayasa Mahkemesi Başkanı, Başbakan Yardımcıları, Bakanlar ve Millî İstihbarat Teşkilatı (MİT) Müsteşarı’nın da aralarında olduğu üst düzey devlet yetkililerine verilen ve Türkiye Bilimsel ve Teknolojik Araştırma Kurumu tarafından üretilen kriptolu telefonları casusluk amacıyla dinledikleri iddiasıyla Ankara 2. Ağır Ceza Mahkemesinde E.2015/202 sayılı kamu davası açılmıştır (AYM, E.2016/6 (D İşler), K.2016/12, 4/8/2016, § 16/f).

İçtihatın tam metnine buradan ulaşabilirsiniz.


Bu AYM kararı, casusluk amacıyla kriptolu telefonların dinlenmesi ve delillerin yok edilmesi gibi eylemlerin soruşturma konusu yapıldığını göstererek, casus yazılımların devlet güvenliğine yönelik tehditlerini ve bu alandaki hukuki mücadeleyi somutlaştırmaktadır.


AİHM - YÜKSEL YALÇINKAYA/TÜRKİYE DAVASI, Dosya No : 15669/20, Tarih : 2023-09-26

... g) Telekomünikasyon kanallarından geçen dış istihbarat, millî savunma, terörizm ve uluslararası suçlar ile siber güvenlikle ilgili verileri toplayabilir ... (2) "Bu Kanunun 4 üncü maddesinde sayılan görevlerin yerine getirilmesi amacıyla Anayasanın 2 nci maddesinde belirtilen temel niteliklere ve demokratik hukuk devletine yönelik ciddi bir tehlikenin varlığı halinde Devlet güvenliğinin sağlanması, casusluk faaliyetlerinin ortaya çıkarılması, Devlet sırrının ifşasının tespiti ve terörist faaliyetlerin önlenmesine ilişkin olarak, hâkim kararı veya gecikmesinde sakınca bulunan hallerde Teşkilat Başkanı veya yardımcısının yazılı emriyle telekomünikasyon yoluyla yapılan iletişim tespit edilebilir, dinlenebilir, sinyal bilgileri değerlendirilebilir, kayda alınabilir

İçtihatın tam metnine buradan ulaşabilirsiniz.


Bu AİHM kararı, devletin milli güvenlik, terörizm ve siber güvenlik gibi alanlarda telekomünikasyon yoluyla yapılan iletişimi tespit etme, dinleme ve kaydetme yetkisini, belirli hukuki güvenceler altında kullanabileceğini belirtmektedir. Bu durum, casus yazılımların tespiti ve önlenmesi için devletin sahip olduğu yetkileri göstermektedir.


4. Sektörel Yükümlülükler

Bazı sektörlerde, özellikle finans gibi hassas alanlarda faaliyet gösteren kuruluşlara, siber olay yönetimi ve bilgi güvenliği konusunda özel yükümlülükler getirilmiştir.


ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN TEBLİĞ

Olay yönetimi ve siber olaylar Madde 7... : (3) Kuruluş, müşterileri ve Kişisel Verileri Koruma Kurulunu, hassas müşteri verilerinin ya da kişisel verilerin sızmasına ya da ifşasına yol açan bir siber olayın yaşanması veya kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hallerinde mümkün olan en kısa süre içerisinde bilgilendirir. (5) Kuruluş, siber olayları da olay yönetimi kapsamında ele alır ve mevzuata uygun şekilde tesis edeceği siber olay yönetimi ve siber olaya müdahale süreci kapsamında Bankaya gerekli bildirimleri yapar.


Bu tebliğ, ödeme ve elektronik para kuruluşlarına siber olayları (casus/zararlı yazılım saldırıları dahil) tespit etme, yönetme ve ilgili mercilere bildirme yükümlülüğü getirmektedir.


5. Hukuki Sorumluluk ve Tazminat

Casus veya zararlı yazılımlar nedeniyle bir zarar meydana gelmesi halinde, zarar gören kişiler Türk Borçlar Kanunu (TBK) hükümleri uyarınca tazminat talep edebilirler.


TÜRK BORÇLAR KANUNU

Genel olarak Madde 49- Kusurlu ve hukuka aykırı bir fiille başkasına zarar veren, bu zararı gidermekle yükümlüdür. Zarar verici fiili yasaklayan bir hukuk kuralı bulunmasa bile, ahlaka aykırı bir fiille başkasına kasten zarar veren de, bu zararı gidermekle yükümlüdür.


Bu madde, casus veya zararlı yazılımlar nedeniyle uğranılan maddi ve manevi zararların tazminini talep etme hakkının genel hukuki dayanağını oluşturur.


Önleyici ve Tespit Edici Tedbirler

Hukuk, casus ve zararlı yazılımların yol açtığı zararları cezalandırmanın yanı sıra, bu tür olayların önlenmesi ve tespit edilmesi için de çeşitli yükümlülükler öngörmektedir. Özellikle veri sorumluları ve kritik altyapı işletmecileri, siber güvenliğe ilişkin gerekli teknik ve idari tedbirleri almak zorundadır.


SİBER GÜVENLİK KANUNU

Sorumluluklar ve iş birliği Madde 7- (1) Bu Kanun kapsamında yer alan ve bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin siber güvenliğe ilişkin görev ve sorumlulukları şunlardır: b) Siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmek.


Bu kanun (gelecekte yürürlüğe girecek olsa da), siber güvenlik tedbirlerinin alınması ve siber olayların (casus/zararlı yazılım saldırıları dahil) tespit edildiğinde ilgili Başkanlığa bildirilmesi yükümlülüğünü açıkça belirtmektedir.


Sonuç / Özet

Casus ve zararlı yazılımların tespiti, Türk hukukunda çok yönlü bir konudur. Bu yazılımların kullanılmasıyla işlenen eylemler, Türk Ceza Kanunu kapsamında bilişim suçları ve kişisel verilerin hukuka aykırı kaydedilmesi suçlarını oluşturur. Kişisel Verilerin Korunması Kanunu, veri sorumlularına bu tür yazılımlara karşı gerekli güvenlik tedbirlerini alma ve ihlal durumunda bildirim yapma yükümlülüğü getirir. Ceza Muhakemesi Kanunu, adli soruşturmalarda dijital delillerin toplanması için yasal prosedürleri belirlerken, devlet güvenliği ile ilgili durumlarda özel yetkiler kullanılabilir. Ayrıca, siber güvenlik mevzuatı ve sektörel tebliğler, kuruluşlara önleyici ve tespit edici tedbirler alma ve siber olayları bildirme sorumluluğu yükler. Bu tür yazılımlar nedeniyle zarar görenler, Türk Borçlar Kanunu uyarınca tazminat talep etme hakkına sahiptir.


Ek Hukuki Adımlar ve Öneriler

  1. Danışmanlık Alın: Casus veya zararlı yazılım şüphesi veya tespiti durumunda, derhal aslan kriminalden inceleme yaptırmanız önemlidir.


  2. Delillerin Toplanması ve Muhafazası: Aslan Kriminal vasıtasıyla tespit edilen yazılıma ilişkin tüm dijital delillerin (log kayıtları, sistem görüntüleri, yazılımın kendisi vb.) adli bilişim standartlarına uygun şekilde toplanması ve muhafaza edilmesi gerekmektedir. Bu deliller, olası bir ceza davasında veya tazminat talebinde kritik öneme sahip olacaktır.


  3. İlgili Kurumlara Bildirim:

  4. Kişisel Veri İhlali Durumunda: Eğer casus veya zararlı yazılım kişisel verilerinize erişmiş veya bunları ifşa etmişse, Kişisel Verileri Koruma Kurumu'na ve ilgili kişilere KVKK Madde 12/5 uyarınca bildirimde bulunmanız gerekebilir.

  5. Suç Duyurusu: TCK kapsamında bir suçun işlendiği kanaatindeyseniz, Cumhuriyet Başsavcılığı'na suç duyurusunda bulunmalısınız.

  6. Sektörel Bildirimler: Faaliyet gösterdiğiniz sektöre özel düzenlemeler (örneğin finans sektörü için BDDK'ya) varsa, ilgili kurumlara bildirim yükümlülüklerinizi yerine getirmelisiniz.

  7. Sistem Güvenliğinin Artırılması: Tespit sonrası, benzer olayların tekrarını önlemek amacıyla bilişim sistemlerinizin güvenlik açıklarını kapatmalı, güncel güvenlik yazılımları kullanmalı ve çalışanlarınıza siber güvenlik farkındalık eğitimleri vermelisiniz.

  8. Tazminat Davası: Uğradığınız maddi veya manevi zararlar için, zarara neden olan kişi veya kurumlara karşı Türk Borçlar Kanunu hükümleri uyarınca tazminat davası açma hakkınız bulunmaktadır.

Kaynaklar:

bottom of page