Penetrasyon Testlerinin (Pentestlerin) Hukuki Durumu ve Zararlı Yazılımlar
Av. Gürkan Özocak, LL.M.
Köksal-Özdamar-Özocak Avukatlık Ortaklığı
06.11.2017
PENETRASYON TESTLERİNİN (PENTESTLERİN) HUKUKİ DURUMU VE
ZARARLI YAZILIMLAR (TCK m. 245/A)
Türk Ceza Kanunu’nda bilişim suçları, 243 ilâ 246. maddeler arasında düzenlenmiş olup, bunlar özetle; bilişim sistemine yetkisiz erişim, bilişim sistemine veya sistemdeki verilere müdahale ile banka ve kredi kartları ile ilgili suçlardır. Ancak, 24.03.2016 tarihinde yürürlüğe giren 6698 sy. değişiklik kanunu ile, Türk Ceza Kanunu’na yeni bilişim suçları eklenmiştir. Bu suçlardan birisi de, ‘Yasak Cihaz ve Programlar’ adı ile Kanuna eklenen TCK m. 245/A maddesidir. Bu yeni suç tipi kanunda şu şekilde düzenlenmiştir:
“Bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun; münhasıran bu Bölümde yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden, ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran kişi, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adli para cezası ile cezalandırılır.”
Görüldüğü üzere, kanun koyucu bu düzenleme ile, TCK’da yer alan bilişim sistemine hukuka aykırı olarak girme, bu sistemin işleyişini engelleme veya sistemdeki verilere müdahale etme (yok etme, bozma, veri alma, verileri başka yere nakletme vb.), banka ve kredi kartlarına kartlarının kötüye kullanılması eylemlerini yahut bilişim vasıtalı diğer suçları işlemek amacıyla cihaz ve program imal edilmesi, alınması, depolanması, satılması, satın alınması, başkasına verilmesi veya bulundurulması gibi eylemleri suç kapsamına almış ve bunlara ciddi cezalar öngörmüştür.
Özellikle son yıllarda, crack, keylogger, trojan vb. hacking yazılımlarının İnternet üzerinden son derece kolay bir biçimde paylaşılması, temin edilmesi, kullanılması ve bu nedenle siber suçluluğun sayısal olarak katlanarak artması dolayısıyla, bu suçlulukla mücadele için, bahsi geçen kötücül yazılımların imal edilip yayılmasını önleyici ceza normlarının düzenlenmesinde herhangi bir sorun yoktur. Ne var ki, madde metninin suç teşkil eden davranışları çok geniş kapsamlı olarak düzenlemesi nedeniyle, maddenin uygulanmasında birçok sorun ve tartışmayla karşılaşılması muhtemeldir.
Burada en çok tartışma yaratacak hususlardan birisi, hemen her bilişim firmasının yaptığı “pentest” adı da verilen penetrasyon (sızma) testleridir. Bilindiği üzere, bu testler, müşteriler tarafından belirlenen bilişim sistemlerine mümkün olabilecek her yolun denenerek sızma çalışma çalışması veya DoS yahut DDoS saldırıları yapılmasını kapsamaktadır. Testin yapılmasındaki amaç, müşterinin bilişim sistemindeki güvenlik açığını bulmak olduğu kadar, bulunan açıkların değerlendirilip sorunun çözülmesi ve sistemlere yetkili erişimler elde edilebilmesinin sağlanmasıdır. Bir başka deyişle, pentestler ile, belirlenen veya belirsiz zamanlarda sisteme “tatbikat” mahiyetinde saldırılar yapılmakta ve bu şekilde sistemin güvenlik açıklarının tespit edilip kapatılması sağlanmaktadır.
Pentest ile ilgili yazılımları birçok firma imal etmekte, bulundurmakta, depolamakta ve satın almaktadır. Elbette, bu testler, pentest yapacak güvenlik firması ile sistemine “saldırı” yapılacak müşteri arasındaki sözleşme kapsamında yapıldığından ve firmaya bununla ilgili yetki verildiğinden, sisteme yetki kapsamında girildiği veya saldırıldığı için hukuka aykırılık ortadan kalkacaktır. Zira, TCK m. 245/A maddesine bakıldığında, suçun söz konusu olabilmesi için, “münhasıran bu bölümde (TCK m. 243-246) yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların işlenmesi için” gerçekleştirilmesi gerekmektedir. Dolayısıyla bu suçun vücut bulması için, yazılım veya cihazları üreten, satan, satın alan ve bulunduran kişilerin, bu eylemlerini TCK m. 243-246’da öngörülen suçları işlemek için gerçekleştirmeleri zorunludur. Fail bu amacı taşımıyorsa, suçun manevi unsuru olan “kasıt” söz konusu olmadığından, herhangi bir suçtan da bahsedilemeyecektir.
Bu nedenle, pentest yapan firmalar, müşterilerden aldıkları yetki ile bu eylemi gerçekleştirdiklerinden, TCK m. 245/A’daki suçu işlemiş olmayacaklardır. Ne var ki, eğer bu hususla ilgili konu Cumhuriyet Başsavcılığına intikal ettiğinde, örneğin pentest kapsamında sistemine sızma veya saldırı yapılan firma saldırıyı yapandan şikayetçi olduğunda, pentest yapan kişiler firmadan bu yetkiyi aldıklarını ispat etmek durumunda olduklarından, eğer ortada yazılı bir sözleşme yoksa, “penetrasyon sözleşmesi” adını verdiğimiz ve sisteme girme yetkisinin yanı sıra yapılacak testin kapsamını detaylı bir biçimde içeren sözleşmeler yapmaları son derece yerinde olacak ve aksi durumlarla karşılaşıldığında, testleri yapanları ceza sorumluluğundan kurtaracaktır. Ne var ki, ortada bir sözleşme dahi olsa, eğer yapılan saldırı veya sızma işlemi verilen yetkiyi aşıyorsa, örneğin test sırasında sözleşmede girilmemesi gerektiği belirtilen alanlara da girildiyse, duruma göre pentest yapan firma personeli TCK m. 243 veya m. 244’ten sorumlu olacak ve söz konusu suçların faili haline gelebilecektir. Bu nedenle yapılacak penetrasyon testlerinde “penetrasyon sözleşmesi” düzenlenmesi gerekliliği kadar, testlerin bu sözleşmedeki hükümlere uygun biçimde yapılması da hayati önem taşımaktadır.
TCK m. 245/A, suça vücut veren hareketleri oldukça geniş tutmuştur. Bu kötücül yazılımların imal edilmesi, satılması, nakledilmesi vb. eylemler bir yana, en çok tartışma yaratacak suç tiplerinden birisinin bu yazılımları “bulundurma” olacağı şüphesizdir. Örneğin, bilgisayarınız başka bir suçla ilgili incelenirken bu tipte yazılımlar bulunduğunda, kanunda “bulundurmak” başlı başına suç olarak düzenlendiğinden, adli makamlara neden bu yazılımları bulundurduğunuzu ve hukuka uygun amaçlarla kullandığınızı ispatlamanız gerekecektir. Eğer hukuka uygun amaçlarla bu yazılımları bilgisayarlarınızda bulundurduğunuzu ispat edemezseniz, bu madde uyarınca hakkınızda ceza davası açılması ve 1 ilâ 3 yıl arası hapis cezasının yanı sıra 5000 güne kadar adli para cezası ile cezalandırılmanız söz konusu olabilecektir (hapis cezasının yanında verilen bu adli para cezasının üst sınırı 100.000 TL’den 500.000 TL’ye kadar çıkabilmektedir). Bu durum, özellikle yer sağlayıcı ve barındırma hizmeti veren hosting firmaları yönünden sıkıntı yaratabilir. Bu nedenle, özellikle bu tür hizmet veren firmaların, pentest yazılımlarını sistemlerinde depoluyorlarsa, şirket içerisinde bunları ortak bir alanda depolamaları, bunun için kullanılan programların veya kodların şirketteki herkesin elinde bulundurulmaması, bulundurulan yere de kimlerin erişiminin olduğunun önceden belirlenmiş olması yahut pentest yapılacak her yeni müşteri için yeni bir kopya oluşturulup bunun belirtilmesi, olası bir suçlama durumunda firma yetkililerini cezai sorumluluktan kurtarabilecektir. Bunun yanı sıra, bu tür yazılımların ortak alanlar dışında firma yetkilisi veya çalışanların özel bilgisayarlarında bulundurulması halinde, her ne kadar bu işin meslek olarak yapıldığı geçerli bir savunma olabilecekse de, ceza soruşturması ve yargılaması söz konusu olduğunda ispatla ilgili sorunlar yaratabilecektir. Bu itibarla, özellikle TCK m. 245/A’nın yürürlüğe girmesinden sonra, bu tür yazılımların depolanması ve bulundurulması ile ilgili yukarıdaki hususlara azami özen gösterilmesi yerine olacaktır.
Belirttiğimiz gibi, TCK m. 245/A, kapsamı oldukça geniş tutulan bir suç tipi olduğundan, pentestler dışında da birçok yazılım bu suçun konusu olabilecektir. Örneğin, keylogger yazılımlarının da benzer tartışmalara konu olması olasıdır. Keylogger yazılımları, özetle, kullanıcıların klavyede kullandıkları tuş kombinasyonlarını kaydeden ve belirlenen yere nakledilmesine yarayan yazılımlardır. Bunlar sistem yöneticisinin bilgisi dahilinde yüklenmişse sistem güvenliği için (hukuka uygun amaçlarla) kullanılabileceği gibi, yöneticinin bilgisi olmadan kullanılıyorsa, kişilerin yazışmalarını, e-posta ve hesap şifrelerini, kredi kartı bilgilerini vs. almaya yarayan son derece önemli siber saldırı ve casusluk araçlarıdır. Keyloggerlar zaten yapıları gereği izinsiz veri elde etme amacı taşıyan yazılımlar olduğundan, bilgisayarında keylogger yüklü olan kimseler, bu yazılımı hukuka uygun amaçlarla (örneğin bir araştırma yapmak için vs.) bulundurduklarını somut delillerle ispatlayamazlarsa, TCK m. 245/A’daki suçtan sorumlu hale gelebilirler. Benzer bir biçimde, phishing yazılımları, DDoS programları, ağ izleme araçları gibi siber saldırı amaçlı yazılımların imal edilmesi, satılması, temin edilmesi gibi durumların yanı sıra, yalnızca bulundurulması dahi ceza sorumluluğu doğuracaktır.
Bu nedenlerle, TCK m. 245/A’nın yürürlüğe girmesinden sonra, gerek İnternet kullanıcıları, gerekse de hosting ve bilgi güvenliği firmalarının, ceza sorumluluğu ile karşı karşıya kalmamak için, pentest başta olmak üzere bu tür yazılımları temin ederken veya bulundururken en üst düzeyde özen göstermeleri, yapacakları faaliyetleri muhakkak yazılı bir sözleşme ile ve bu sözleşme kapsamında kalarak yapmaları ve özellikle bu yazılımları hukuka uygun nedenle bulundurduklarını ispat noktasında sorun yaşayacaklarını düşünüyorlarsa konuyla ilgili hukuki yardım almaları gerekmektedir.
Benzer Yazılar
İnternet Sözcüğünün Yazım Biçimi-Eymen GÖRGÜLÜ
İnternet sözcüğünün ilk harfi “i”, artık küçük harfle yazılıyor. Önümüzdeki günlerde bunu daha sık göreceğiz 6