Bilişim sistemlerinin hayatın her alanında merkezi bir rol üstlenmesiyle bu sistemlerin olası saldırılardan korunmaları, hiç olmadığı kadar önemli olmuştur. Bir bilişim sisteminin herhangi bir saldırıya karşı dayanıklı olup olmadığının anlaşılmasında sızma (penetrasyon) testlerinin en etkili araçlardan oldukları şüphesizdir. Ancak bu testler yapılırken yasal sınırların aşılmaması gerekmektedir zira aksi halde cezai sorumluluğun söz konusu olacağı açıktır.
Sızma Testi Nedir?
Sızma testleri, bir bilişim sisteminin açıklarını ortaya çıkarmak maksadıyla gerçekleştirilen siber saldırılardır [1]. Bu testler, bir bilişim sisteminin zafiyetlerini, bunlar başka kişilerce tespit edilmeden önce tespit edilip giderilebilmeleri amacıyla yapılırlar. Bu sayede, söz konusu bilişim sisteminde bilgi güvenliği esaslı şekilde gerçekleştirilebilir [2].
Sızma testleri, bu testleri uygulayacak olan taraf ile testin uygulanacağı bilişim sisteminin sahipleri arasında düzenlenen sözleşmeler çerçevesinde gerçekleştirilirler. Bu sözleşmeler, sızma testinin kapsamı, niteliği, sonuçların raporlanması ve gizlilik gibi çeşitli hususları düzenleyen hükümler içerirler. Ancak söz konusu sözleşmelerin içerikleri ne olursa olsun sızma testi uygulayıcılarının sözleşmeyle çizilen sınırı, behemehal aşmamaları gerekir. Zira, hareketlerinin hukuka aykırılığını ortadan kaldıran husus, bu sözleşmelerdir. Öte yandan sızma testlerinin uygulanması ticari sırların ele geçirilmesi, haksız rekabetin ortaya çıkması, kişisel verilerin ele geçirilmesi gibi konularda hukuki ve cezai anlamda sorumluluklar getirmektedir. Bu yazıda cezai yükümlülüklerin ve yaptırımların üzerinde durulacaktır.
Sızma Testleri ve TCK
TCK’de tanımlanan suçlardan bazıları, sızma testleri açısından öne çıkmaktadır. Bu konuda sınırlı bir sayıma gitmek mümkün gözükmese de TCK’nın 243, 244, 136 ve 137. maddeleri öne çıkmaktadır.
Bilişim Sistemine Girme Suçu (TCK m. 243)
TCK’nin 243. maddesinde düzenlenen bilişim sistemine girme suçu, failin bir bilişim sisteminin tamamına veya bir kısmına hukuka aykırı şekilde kasten girmesi veya orada kalmaya devam etmesiyle oluşur [3]. TCK m. 243 hükmünün lafzında sızma hareketinin hukuka aykırı şekilde gerçekleşmesinin aranması önemlidir. Çünkü söz konusu suç açısından hukuka aykırılık, tipikliğin oluşması için zorunludur.
Bir bilişim sistemine söz konusu sistemin sahibinin rızası veya hukuken geçerli bir sözleşme çerçevesinde girilmesi halinde, bilişim sistemine girme suçu sübut bulmaz [4]. O halde, sızma testleri çerçevesinde bilişim sistemine girilmesi ve burada kalınması, bu hareket bir sözleşme kapsamında yapıldığı için hukuka aykırı olmayacaktır. Meğer ki testi uygulayanlar sözleşmeyle çizili sınırların dışına çıksınlar. Başka bir ifadeyle bu suç, sözleşmedeki sınırlara uyuldukça oluşturmaz. Söz gelimi, sözleşmede bir bilişim sisteminin sadece bir kısmı için sızma testi uygulanması öngörülmüşken uygulayıcıların sistemin tamamına test kapsamında girmeleri halinde bilişim sistemine girme suçu sübuta erecektir.
Sistemi Engelleme, Bozma, Verileri Yok Etme veya Değiştirme Suçu (TCK m. 244)
Sızma testlerinde konu, her zaman bir sisteme girilmesi olmayabilir. Örneğin, bu testler kapsamında bir DDoS saldırısı gerçekleştirilirse, sistemin engellenmesi söz konusu olacaktır. Çünkü sistemin engellenmesi, bir bilişim sisteminin işlevlerini yerine getirmesinin önüne geçilmesi veya kısıtlanması ya da sistemin yavaşlatılması anlamına gelir [5]. O halde bir sızma testi kapsamında bir bilişim sistemine erişiminin engellenmesi, kısıtlanması veya yavaşlatılması hallerinde bu suçun tipik unsurları oluşacaktır.
Bilişim sistemine yönelik engellemeler, ilgililerin rızası ve bilgisi dahilinde yapılmışsa TCK’nin 244. maddesinde tanımlı suç sübut bulmayacaktır. Ancak verilen rızanın aşıldığı hallerde söz konusu suçun sübut bulacağı izahtan varestedir [6]. Bu nedenle sızma testi sözleşmesi, bu kez hukuka aykırılığı ortadan kaldıran hallerden “ilgilinin rızası” (TCK m. 26) öne çıkacaktır. Zira, söz konusu sözleşmeler, sızma testinin uygulayıcıları ile testin uygulandığı bilişim sisteminin sahibi olan gerçek veya tüzel kişi arasında düzenlenmektedirler. Bundan dolayı bu sözleşmelerin varlığı, hukuka aykırılığı ortadan kaldıran hallerden kabul edilmelidir. Böylece suçun tipik unsurları oluşsa bile hukuka aykırılık unsuru oluşmadığından sözleşmeye uygun şekilde uygulanan bir sızma testi kapsamında TCK’nin 244. maddesinde tanımlı suç sübut bulmayacaktır.
Verileri Ele Geçirme veya Yayma Suçu (TCK m. 136)
Günümüzde bankacılık ve e-ticaret sektörü başta olmak üzere dijital alanlarda saklanan kişisel veriler çeşitli sorumluluklar gerektirmektedir. Sızma testleri, bir siber güvenlik amacıyla teknik tedbir olarak da uygulanmaktadır. Bu kapsamda sisteme erişen uygulayıcılar, sistemde kişisel veri niteliğini haiz verilere erişme fırsatını elde edebilirler.
Böyle bir durumda sızma testi uygulayıcılarının bu verileri ele geçirmeleri veya yaymaları halinde TCK’nin 136. maddesinde tanımlı verileri ele geçirme veya yayma suçunun işlenmiş olacağı izahtan varestedir. Nitekim, sızma testi sözleşmesi onlara böyle bir yetki vermeyeceğinden hareketleri hukuka aykırı olacaktır.
Bununla birlikte TCK m. 137/2 hükmünde düzenlenen nitelikli hal, konumuz açısından önem kazanmaktadır. Söz konusu hüküm uyarınca bu suç, bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenirse verilecek ceza yarı oranında artırılacaktır. Bu nitelikli halin uygulanabilmesi için ilgili mesleki faaliyetlerle suçun işlenişi arasında nedensellik bağı bulunmalıdır [7].
Sızma testi uygulayıcılarının bir sızma testi sözleşmesinden kaynaklanan hak ve yükümlülüklerini kötüye kullanarak kişisel verilerin ele geçirilmesi veya yayılması suçunu işlemeleri de söz konusu nitelikli hal kapsamında değerlendirilmelidir. Çünkü fail, kişisel verilere bu testin icrası sırasında erişmekte ve bunları bu sayede ele geçirip yaymaktadır. Hal böyle olunca, sızma testinin sağladığı kolaylıktan yararlanarak bu suçu işleyen fail hakkında verilecek cezada artırıma gidilmelidir.
Ayrıca belirtmek gerekir ki sızma testi uygulayıcıları özelinde TCK’nın 239. maddesi de gündeme gelecektir. Nitekim bu madde ile sıfat veya görevi, meslek veya sanatı gereği vakıf olduğu ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgileri yetkisiz kişilere veren veya ifşa eden kişinin, üç yıla kadar hapis ve beş bin güne kadar adlî para cezası ile cezalandırılacağı belirtilmektedir.
Sonuç ve Değerlendirme
Tüm bu nedenlerden dolayı sızma testini uygulayıcıları, aslında ince bir çizginin üzerinde yürümektedirler. Sızma testinin uygulanması sırasında sözleşmede çizilen sınırlar aşılırsa yukarıda ele aldığımız suçlar başta olmak üzere TCK’de tanımlı pek çok suçun işlenmiş olacağı aşikardır. Bu nedenle sızma testi sözleşmeleri, özellikle bu testleri uygulayanlar açısından, sadece taraflar arası bir sözleşmeden ibaret görülmemeli, hukuka aykırılığı önleyen esaslar olarak kabul edilmelidir.
Notlar
*Av. Celil Aktaş tarafından kaleme alınan bu çalışma ilk olarak İstanbul Barosu Bilişim Hukuku Komisyonu tarafından yayımlanan Dijital Bülten’in 1. sayısında yayımlanmıştır.
[1] IBM, “What is penetration testing?”, https://www.ibm.com/topics/penetration-testing Erişim Tarihi: 24.01.2024.
[2] YİĞİT, Tuncay / AKYILDIZ, Muhammed Alparslan, Sızma Testleri İçin Bir Model Ağ Üzerinde Siber Saldırı Senaryolarının Değerlendirilmesi, “Süleyman Demirel Üniversitesi Fen Bilimleri Enstitüsü Dergisi”, Cilt:18, Sayı:1, 2014, (ss.14-21), s.14.
[3] ÇETİN, Muhammet Sefa, Yargıtay Kararları Işığında Bilişim Sistemine Girme veya Kalma Suçu (TCK m. 243), “Türkiye Adalet Akademisi Dergisi”, Yıl: 12, Sayı: 45, Ocak 2021, (ss.1- 28), s. 9.
[4] KARAKEHYA, Hakan, Türk Ceza Kanunu’nda Bilişim Sistemine Girme Suçu, “Türkiye Barolar Birliği Dergisi”, Sayı: 81, 2009, (ss. 1-24), s. 16.
[5] ERMEYDAN, Damla, “Türk Ceza Kanununda Bilişim Suçları”, Seçkin, 2. Baskı, Ankara, 2023, s. 120-121.
[6] YILMAZ, Sacit, 5237 Sayılı TCK’nın 244. Maddesinde Düzenlenen Bilişim Alanındaki Suçlar, “Türkiye Barolar Birliği Dergisi”, Sayı: 92, 2011, (ss. 62-100), s. 79.
[7] SINAR, Hasan, Kişisel Verileri Hukuka Aykırı Olarak Verme, Yayma Veya Ele Geçirme Suçu (TCK md. 136), “Kişisel Verileri Koruma Dergisi”, 2(1), 2020, (ss. 33-62), s. 52.
Av. Celil Aktaş, LL.M.
