Şirketlere Bilişim Hukuku Konusunda Bilgiler

Dejavue

Dejavue

Özel Üye
20 May 2008
3,750
10
Türkistan
ADLİ BİLİŞİM SÜRECİ HAKKINDA GENEL BİR DEĞERLENDİRME



Teknolojinin gelişmesi ile birlikte Bilişim Suçlarında büyük bir artış meydana gelmiştir. Suçları soruşturmakla görevli kolluk görevlilerinin bilişim suçları ile mücadele edebilmek için digital ortamı çok iyi tanıması gerekmektedir. Olay yerinde bulunmuş digital delile yaklaşım tarzı diğer delillere göre farklılık arz eder. Delilin toplanması ve laboratuarda incelenmesi ayrı bir uzmanlık gerektirir.


Aşağıda Bilişim Suçu, Adli Bilişim, digital verilerden delili elde etme ve muhafazasının, delillerin incelenmesi ve analiz aşamalarının raporlama ve mahkemeye sunma aşamasının nasıl olması gerektiği hususları açıklanarak adli bilişim servisleri kavramları açıklanacaktır.


Söz konusu veriler çerçevesinde elde edilen delillerin hukuka uygun olup olmadığı noktası açıklığa kavuşacaktır.


Adli Bilişim: Olay yerinden alınan elektronik bir delilin mahkemeye sunulmasına kadar geçen süre içerisinde yapılan laboratuar çalışmalarını da kapsayan süreçtir.


Dijital Delil : Türk Hukukunda ispat için kullanılmak istenen bir vasıtanın delil olarak nitelendirilmesi için iki tane özelliği taşıması gerekmektedir. Birincisi bir vasıtanın gerçekte olayı temsil ediyor olabilmesi, ikincisi ise olayı temsil eden vasıtanın akla, maddi gerçeğe ve hukuka uygun olması gerekliliğidir. 1


Dijital delil ise temel delil şartlarını sağlamanın yanında suça delil niteliği sağlayan ve mahkemelere sunulabilecek dijital veri saklayabilen ve/veya elektronik devre akımları ile çalışan disk, disket CD, bilgisayar, cep telefonları, PDA cihazları, flash bellekler, SIM Kartlar, bir bilgisayara ait dahili veya harici donanımlar gibi çeşitli elektronik cihazlardır.


Günümüzde insanlar verileri defter ve kağıttan çok dijital ortamlarda saklamayı tercih etmektedir. Dijital işlemler ister yazılımlar sayesinde, isterse de elektronik mantık kapıları ile yapılıyor olsun sonuçta ileri teknoloji bilgisi ile yapılmaktadır. Bu dijital işlemler eğer bir suçun işlenmesinde rol alıyorsa, incelenmesi de mecburen yine aynı seviyede bir teknoloji bilgisi gerektirmektedir. Bu konuda özel uzmanlarca inceleme yapılması gereken deliller Adli bilişim materyallerini oluşturmaktadır. 2


Adli Bilişim sürecinin üç ana aşaması bulunmaktadır. Bunlar Delilin Elde Edilmesi ve Muhafazası, İnceleme ve Analiz Edilmesi ile Raporlanarak Mahkemeye Sunulması aşamalarıdır.


Delil Elde Etme ve Muhafazası Aşamasında Kolluk Görevlilerinin Yapması Gerekenler



  • Olay yerinde çevre güvenliğinin sağlanması gerekmektedir.
  • Olay yerinden delillerin toplanması bir laboratuar çalışması gerektirmiyor gibi görünse de kimi zaman delilin toplanması mümkün olamayan durumlarda olay yerinde laboratuar incelemesi yapılması gerekebilmektedir. Bu durumda incelemenin olay yerinde gerçekleştirilmesi gerekecektir. Ayrıca olay yerinde bir uzman eşliğinde laboratuar incelemesine gerek duyulmuyor olsa bile delillerin toplanması dahi özel bir uzmanlık gerektirmektedir.
  • Bilgisayarlardaki verilerin çok kolay yok olabileceği göz önüne alınarak, delilleri toplama esnasında hatayla yok edilmemesi için özenle çalışılmalıdır.
  • Manyetik olarak saklanan verilerin bozulmaması için delillerin özel anti-manyetik torbalara ve fiziksel darbelere karşı koruyabilecek özel kutulara konulması gerekmektedir. Her ne kadar dijital verilerin biyolojik deliller gibi belli bir zamandan sonra bozulma riski olmasa da manyetik alanlardan çok rahat etkilendiklerinden delillerin korunması için özel anti-manyetik odalarda ve/veya dolaplarda muhafaza edilmesi de şarttır.



İnceleme ve Analiz Aşamasında Kolluk Görevlilerinin yapması gerekenler



  • Sağlıklı bir inceleme ve bu inceleme sonucunda maddi gerçeğe uygun bir delil elde edilebilmesi için, olay yerinden toplanan materyallerin incelemesini yapacak her türlü cihaz ve konusunda uzman personelin bulunduğu bir laboratuar ortamı gerekmektedir.
  • Her türlü ihtimale karşı, inceleme yazılımları, birçok dönüştürücü cihaz ve tamir bakım setleri gibi araç gereçlerin her an hazır tutulması gerekmektedir.
  • Tüm adli incelemeler esnasında delil bütünlüğünün sağlanması ve kanıtların laboratuar ortamında birbirine karışmayacak ve değişmeyecek durumda olması gerekmektedir.
  • Bir delil üzerinde bulunan bir bilgisayar virüsünün başka bir delile bulaşması, inceleme esnasında hata ile verilerin silinmesi veya değiştirilmesi gibi durumlar delilin niteliğini yok edecektir. Bu gibi durumlarla karşılaşmamak için delilin imaj dosyası üzerinde çalışılmalıdır.
  • Olay yerinden mahkemeye kadar geçen süre içerisinde delilin değişmediğinin ispat edilebilmesi için delilin toplanması aşamasında özetleme işlemi (ing. hashing) diye bilinen ve verinin kısa bir özetini alan bir işlemden geçirilmelidir. Özetleme işlemi soruşturmanın herhangi bir süresinde tekrar alındığında yine aynı özet bilgiyi veriyorsa delilin inceleme esnasında değişmediği ispatlanabilmektedir. Veri üzerinde tek bir byte’ın bile değişiyor olması özetleme işleminin aldığı özet bilgiyi değiştirecektir.


Mahkemeye Sunulan Raporda Dikkat Edilmesi Gerekenler



  • Uzmanlık incelemeleri teknik konuları kapsadığı için, sonuçların hem mahkemenin hem de tarafların anlayacağı ve ikna olabileceği şekilde izah edilmesi şarttır.

  • Rapordaki açıklamaları incelemeyi yürüten uzman dışında birisinin yapması mümkün değildir.
 
Dejavue

Dejavue

Özel Üye
20 May 2008
3,750
10
Türkistan
TANIMLAMALAR
Erişim sağlayıcı: Internet toplu kullanım sağlayıcılarına ve abone olan kullanıcılarına internet ortamına erişim olanağı sağlayan işletmeciler ile gerçek veya tüzel kişileri. Internet erişimi sağlayan ISP’ler, GPRS üzerinden internet erişim hizmeti veren GSM firmaları.
Erişim sağlayıcı trafik bilgisi: İnternet ortamına erişime ilişkin olarak abonenin adı, adı ve soyadı, adresi, telefon numarası, abone başlangıç tarihi, abone iptal tarihi, sisteme bağlantı tarih ve saat bilgisi, sistemden çıkış tarih ve saat bilgisi, ilgili bağlantı için verilen IP adresi ve bağlantı noktaları gibi bilgileri,
Vekil sunucu trafik bilgisi: İnternet ortamında erişim sağlayıcı tarafından kullanılan vekil sunucu hizmetine ilişkin talebi yapan kaynak IP adresi ve port numarası, erişim talep edilen hedef IP adresi ve port numarası, protokol tipi, URL adresi, bağlantı tarih ve saati ile bağlantı kesilme tarih ve saati bilgisi gibi bilgileri.
İç IP Dağıtım Logları: Kendi iç ağlarında dağıtılan IP adres bilgilerini, kullanıma başlama ve bitiş tarih ve saatini ve bu IP adreslerini kullanan bilgisayarların tekil ağ cihaz numarasını (MAC adresi) gösteren bilgileri. DHCP Loglari ya da MSISDN-IP Loglari
İçerik sağlayıcı: İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişileri,
Sitesi olan herkes. E-posta listeleri, bloglarin sahibi de bu kisma giriyor.
İçerik sağlayıcının sorumluluğu MADDE 6 – (1) İçerik sağlayıcı, internet ortamında kullanıma sunduğu her türlü içerikten sorumludur. (2) İçerik sağlayıcı, bağlantı sağladığı başkasına ait içerikten sorumlu değildir. Ancak, sunuş biçiminden, bağlantı sağladığı içeriği benimsediği ve kullanıcının söz konusu içeriğe ulaşmasını amaçladığı açıkça belli ise, genel hükümlere göre sorumludur.
Yer sağlayıcı: İnternet ortamında hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişileri,
Hosting firmaları ya da benzeri işi yapan tüm firmalar
Yer sağlayıcı trafik bilgisi: İnternet ortamındaki her türlü yer sağlamaya ilişkin olarak; kaynak IP adresi, hedef IP adresi, bağlantı tarih-saat bilgisi, istenen sayfa adresi, işlem bilgisi (GET, POST komut detayları) ve sonuç bilgisi gibi bilgileri,
http, ftp ve smtp icin detay bilgi isteniyor. http ve ftp icin url smtp icin basit smtp headerlari.
İnternet toplu kullanım sağlayıcı: Kişilere belli bir yerde ve belli bir süre internet ortamı kullanım olanağı sağlayan gerçek ve tüzel kişileri.
Internet erişimi sağlayan her şirket bu kapsama giriyor. Halka acik kablosuz aglarda bu kapsama giriyor.
 
Dejavue

Dejavue

Özel Üye
20 May 2008
3,750
10
Türkistan
YÜKÜMLÜLÜKLER



İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır
a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak.
b) İç IP Dağıtım Loglarını elektronik ortamda kendi sistemlerine kaydetmek.
Burada eksik nokta iç ağda Proxy kullanılıyorsa tüm isteklerde Proxy ip adresi gozukeceği için geriye dönük bilgi sorgulamasında problem yaşanacaktır.
TIB tarafindan onerilen icerik filtreleme yazilimi kullanma zorunlulugu yok.
Ticari amaçla internet toplu kullanım sağlayıcı: İnternet salonu ve benzeri umuma açık yerlerde belirli bir ücret karşılığı internet toplu kullanım sağlayıcılığı hizmeti veren veya bununla beraber bilgisayarlarda bilgi ve beceri artırıcı veya zekâ geliştirici nitelikteki oyunların oynatılmasına imkân sağlayan gerçek ve tüzel kişileri,
(Klasik Internet kafe ya da otelde verilen ucretli internet hizmetleri)
Ticari amaçla internet toplu kullanım sağlayıcılarının yükümlülükleri
a) Mülki idare amirinden izin belgesi almak.
b) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak.
c) Başkanlık tarafından onaylanan içerik filtreleme yazılımını kullanmak.
Baskanlık tarafından onaylanan içerik Filtreleme yazılımlarının adresi: http://www.tib.gov.tr/onayli_filtrel...zilimlari.html
ç) Erişim sağlayıcılardan sabit IP almak ve kullanmak. ADSL ya da hangi erisim teknolojisi kullaniliyorsa sabit ip talebinde bulunmak.
d) İç IP Dağıtım Loglarını elektronik ortamda kendi sistemlerine kaydetmek. DHCP Loglari ya da sabit ip kullanılıyorsa hagi ip adresinin hangi mac adresine ait oldugunu tutan bir tablo.
e) Başkanlık tarafından verilen yazılım ile, (d) bendi gereğince kaydedilen bilgileri ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini teyit eden değeri kendi sistemlerine günlük olarak kaydetmek ve bu verileri bir yıl süre ile saklamak. Windows ortamında TIB’in yazdigi ve http://www.tib.gov.tr/duyurular_detay22.html adresinden edinilebilecek IP Log Imzalayici yazilimi kullanılabilir. Linux için herhangi bir yazılım belirtilmemiş.
Erişim sağlayıcının yükümlülükleri a) Herhangi bir kullanıcısının yayınladığı hukuka aykırı içerikten, 5651 sayılı Kanun ve ilgili mevzuat hükümlerine göre Başkanlıkça haberdar edilmesi halinde ve teknik olarak engelleme imkânı bulunduğu ölçüde erişimi engellemekle,
b) Sağladığı hizmetlere ilişkin olarak, Başkanlığın Kanunla verilen görevlerini yerine getirebilmesi için; erişim sağlayıcı trafik bilgisini bir yıl saklamakla, bu bilgilerin doğruluğunu, bütünlüğünü oluşan verilerin dosya bütünlük değerlerini (hash) zaman damgası ile birlikte muhafaza etmek ve gizliliğini temin etmekle, Başkanlığın 5651 sayılı Kanunla verilen görevleri yerine getirebilmesi için yapacağı trafik izlemesinde Başkanlığa gerekli yardım ve desteği sağlamakla, faaliyet belgesinde yer alan Başkanlığın uygun gördüğü bilgileri talep edildiğinde bildirmekle ve ticari amaçla internet toplu kullanım sağlayıcılar için belirli bir IP bloğundan sabit IP adres planlaması yapmakla ve bu bloktan IP adresi vermekle,
e) Kullanıcılarına vekil sunucu hizmeti sunuyor ise; vekil sunucu trafik bilgisini bir yıl saklamakla, bu bilgilerin doğruluğunu, bütünlüğünü oluşan verilerin dosya bütünlük değerlerini zaman damgası ile birlikte muhafaza etmek ve gizliliğini temin etmekle,
Bu maddenin İnternet toplu kullanım sağlayıcı lari için de geçerli olması gerekiyor. Zira çoğu firma iç ağında Proxy kullanıyor ve bütün istekler o proxy’nin ip adresinden geliyormuş gibi gözükecektir.
Yer sağlayıcının yükümlülükleri: Yer sağlayıcı trafik bilgisini altı ay saklamakla, bu bilgilerin doğruluğunu, bütünlüğünü oluşan verilerin dosya bütünlük değerlerini (hash) zaman damgası ile birlikte saklamak ve gizliliğini temin etmekle. Yer sağladığı hukuka aykırı içerikten, ceza sorumluluğu ile ilgili hükümler saklı kalmak kaydıyla, 5651 sayılı Kanun ve ilgili mevzuat hükümlerine göre Başkanlık, adli makamlar veya hakları ihlal edilen kişiler tarafından haberdar edilmesi halinde ve teknik olarak engelleme imkânı bulunduğu ölçüde hukuka aykırı içeriği yayından kaldırmakla, Yer sağlayıcı, yer sağladığı içeriği kontrol etmek veya hukuka aykırı bir faaliyetin söz konusu olup olmadığını araştırmakla yükümlü değildir
 
Dejavue

Dejavue

Özel Üye
20 May 2008
3,750
10
Türkistan
ŞİRKETLER BAKIMINDAN HUKUKİ SORUNLAR
İnternetin hızla yayılımı, şirketlerde kullanımı da arttırmış, şirketlerin sadece muhasebesinde bir bilgisayar mevcut iken, tüm çalışanların masasında bir bilgisayar olma zorunluluğunu getirmiştir. Çünkü şirketler, iletişim, araştırma, internet bankacılığı v.b kullanımlarla, hem zaman hem de para kazanmaktadırlar. Ancak bunun yanında şirketler internet ve network ile ilgili gerekli önlemleri almadığından bir takım sorunlarla karşılaşmaktadırlar. Personelinin her türlü siteye erişimine izin verilmesi, MSN, ICQ gibi anlık iletişim araçlarının denetlenmemesi sonucunda birçok sıkıntı söz konusu olmaktadır. Şirketlerde genellikle internet erişim hattı şirket üzerine alınmakta, şirket personeli de internet çıkışını ve diğer iletişim araçlarını bu hat üzerinden sağlamaktadır. Dolayısı ile siber alemde oluşan bir suçun ilk muhatabı IP yolu ile şirket, dolayısı ile ceza yargılaması bakımından şirket yetkilileri olmaktadır. Eğer şirket içi ağ yapısı iyi denetlenemiyorsa ve giriş çıkışlar bir logbook ta tutulmuyorsa, gerçek fail bulunamayacağı için şirket yetkilileri mağdur olacaklardır. Yukarıda Internet ve ağlarla ilgili kısa açıklamalarda bulunduk. İnternet şirketler açısından birçok sorunu da beraberinde getirmektedir. Bilişim sistemlerinin bozulması, rekabet hukuku, alan adı sorunları, iş hukuku bakımından getirdiği sorunlar, fikri sınai haklar hukuku bakımından getirdiği sorunlar v.b. bir çok sorun söz konusudur. Biz bu bölümde uygulamada sıkça rastlanan, istem dışı bir suçun parçası olma, bir personelin eylemi sonucu oluşacak sorunlar ve alan adlarının ihlalleri konusunda uygulama örnekleri ile şirketlere hukuki sorunlarından söz edilecektir.
1)Şirketler, günlük çalışmaları nedeni ile internet üzerinde, Merkez Bankası, Emniyet Genel Müdürlüğü, Bakanlıklar v.b birçok özel ya da kamuya ait web sitesine girip çıkmaktadırlar. Bu ziyaretler çoğu zaman bilgi edinme amaçlıdırlar. Ancak girilen bu siteler tesadüfen, ziyaret esnasında bir başkası (Hacker) tarafından durdurulduğunda (hacklendiğinde) sitenin firewall kayıtlarında ziyaret edenlerin IP leride kayıt altında olacağından, doğrudan fail konumunda olmaları kaçınılmazdır. 2003 senesinde T.C. Merkez Bankasının web sitesi geçici bir süre hackerlar tarafından durdurulmuş, bunun neticesinde siteyi ziyaret eden muhtemelen kur almak için, T.C. Merkez Bankasını web sitesine girenler, bu eylemin şüphelisi olmuşlardır. 5237 sayılı Türk Ceza Yasasından önce meydana gelen bu olayla ilgili yapılan soruşturma sonucunda 765 sayılı Türk Ceza Kanunun 525/a-d maddeleri gereğince dava açılmıştır. Yapılan yargılama aşamasında dosya bilirkişiye gönderilmiş, inceleme neticesinde;

Yukarıda etraflıca anlatıldığı üzere, dosya mündericatına göre ve delillerin değerlendirilmesi sonucu:
1-Sanıklar M…. İ….. G….., H…..A……, K….P…. ve S…. B…..’nin, her biri ayrı ayrı filleri ile yukarıda belirtilen IP numaralarını kullanarak kısa ve uzun sürelerle Merkez Bankası web sitesine yetkisiz erişimde ve müdahalede bulundukları ve böylece Merkez Bankası web sitesinin geçicide olsa hizmet dışı bırakılmasına sebep oldukları, Sanıkların bu fiilleri hukuka aykırılık taşıdığı ve bilişim suçuna vücut verdiği,
2-Sanıklar …. İ….. G….., H…..A……, K….P…. ve S…. B….. ayrı ayrı ve yoğun olarak, Müşteki T.C. Merkez Bankasının web sitesine yetkisiz erişimde ve müdahalede (saldırıda) bulunmak, web ana sayfasını (home page) değiştirmeye çalışmak ve değiştirmek, web sitesinin geçici süreyle de olsa hizmet dışı bırakılmasına sebep olmak suretiyle, TCK. m.525-b/1’de öngörülen “Başkasına zarar vermek veya kendisine veya başkasına yarar sağlamak maksadıyla, bilgileri otomatik işleme tabi tutmuş bir sistemi veya verileri veya diğer herhangi bir unsuru kısmen veya tamamen tahrip etmek veya değiştirmek veya silmek veya sistemin işlemesine engel olmak veya yanlış biçimde işlemesi sağlamak” şeklindeki özel bir NASI IZRAR suçunu işledikleri sonuç ve kanaatine varılmıştır.
Aslında bilişim suçundan, yani elektronik ortamda işlenen bir suçtan bahsedilmekte ancak dosya içeriğinde elektronik bir delil bulunmamakta, müştekinin firewall rapor çıktısından başka bir delil söz konusu değildir.
Elektronik delil, bir elektronik araç üzerinde saklanan veya bu araçlar aracılığıyla iletilen soruşturma açısından değeri olan bilgi ve verilerdir.
Elektronik bir suç veya eylemden bahsediliyorsa bunun muhakkak elektronik ortamdaki halini de delil olarak kullanmak lazımdır. Çünkü bu delil olarak sunulan yazıcı çıktıları, içinde diğer bilgileri barındırmamaktadır. Burada hızlı hareket etmek lazımdır. Gerek Internet Servis sağlayıcılar (ISS) ve gerekse diğer bilgisayarlardaki kayıtlar uzun zaman saklı kalmamakta, özellikle, ISS ler maliyetler nedeni ile işlem logbooklarını çok uzun süre kayıtlarında tutmamaktadırlar. Dosyada elektronik bir veri ve delilin bulunmamasına rağmen ilk bilirkişi raporunda sanıkların tamamı suçlu bulunmuşlardır.
Sanık K…….P…… tarafından yapılan itiraz neticesinde dosya başka bir bilirkişi heyetine gönderilmiş ve bunun sonucunda ;
“IP spoofing” adı verilen yöntemlerle bir IP’nin gerçekte başka bir IP numarasıymış gibi gösterilmesi mümkün olabilmektedir. Diğer bir ifadeyle salt bir IP ‘ye bakarak, internet üzerindeki herhangi bir fiilin, söz konusu IP tarafından yapıldığı sonucuna varmak yeterli değildir.
İnternet üzerindeki işlenen herhangi bir fiilin belli bir IP numarasından işlenip işlenmediğinin netleştirilmesi için ise, servis sağlayıcı, fiilin zarar verdiği uygulamayı içeren bilgisayar ile var ise güvenlik duvarı veya benzeri koruyucu sistemlerin kayıtlarının birlikte incelenmesi gerekmektedir.
Söz konusu olayda merkez bankası sistemlerinin, servis sağlayıcı kayıtlarının bir arada incelenmesi ve öncelikli söz konusu kurumlarda tutulan kayıtların güvenebilirliğinden emin olunması gerekmektedir.
Yukarıda belirtilen tespitler ve açıklamalar dikkate alındığında; dava dosyası içerisinde bulunan servis sağlayıcı kayıtlarına dayanarak, söz konusu suçun ilgili IP veya IP’leri kullanan hesap sahipleri tarafından işlenip işlenmediği hususunda herhangi bir görüş beyanında bulunmanın sağlıklı olmayacağı kanaatindeyiz.” Şeklinde bir rapor vermiştir. Bu rapor sonucunda Mahkeme şu şekilde karar vermiştir;
Olayın oluş şekli, iddia, sanıkların ve müdafilerin aksi kanıtlanamayan savunmaları ve tüm dosya kapsamına göre, 2. Bilirkişi Heyetince verilen rapor kabule değer görülmüş olup, sanıkların isnat edilen suçu işlediklerine ilişkin aleyhlerine cezalandırılmalarını gerektirir yeterli ve mukni kanıt ve emare elde edilemediğinden aşağıdaki yargı kurulmuştur. Bu itibarla
Sanıklar M….. İ…. G….., H….. A….., K….. P….. ve S…. B……'nin 5237 sayılı Yasanın 223/2-e maddesi uyarınca BERAETLERİNE,
Görüldüğü üzere aynı dosya da tamamen farklı iki rapor bulunmaktadır. Ancak burada savunma olarak ortaya dosyada mevcut delillerin bulunmamasından, ayrıca IP adresinin sadece yeterli bir kanıt olmayacağından hareket edilerek, sonuca gidilmiştir.


 
Dejavue

Dejavue

Özel Üye
20 May 2008
3,750
10
Türkistan
2- ŞİRKET PERSONELİNİN HUKUKA AYKIRI FİİLİ

Uygulamada sıkça rastlanan diğer bir sorun ise şirket çalışanlarının, şirket bilgisayarlarını kullanarak, hukuka aykırı fiiller gerçekleştirmeleridir. Bu aykırılıkların başında email, MSN yolu ile hakaret, sövme, haksız rekabet suçları sayılabilir. Daha az rastlanan, hakaret, çocuk pornosu ve terör içerikli ya da fikir sanat eserlerine aykırı hazırlanmış web sitesinin şirket bilgisayarlarından upload (yüklenmesi) edilmesi sonucu ortaya çıkan sorunlar da sayılabilir.
Bu eylemleri sonuçları bakımından üçe ayırarak incelemek gerekir.
-Hukuka aykırı fiilin ceza hukuk bakımından değerlendirilmesi,
-Hukuka aykırı fiilin borçlar hukuku bakımından değerlendirilmesi,
-Hukuka aykırı fiilin iş hukuku bakımından değerlendirilmesi,

a) Hukuka Aykırı Fiilin Ceza Hukuku Bakımından Değerlendirilmesi:
Hukuka aykırı fiil yukarıda açıklanan herhangi bir yolla işlendiği tespit edildikten sonra, mağdurun şikayet öncesinde yapacağı ilk iş, fiilin hangi IP numarasından işlendiğinin tespiti olacaktır. Yeri gelmişken genel olarak IP adresinden kesin kimlik ve adres bilgilerine ulaşılabilinir mi?
Eğer IP adresi statik ise ve bir alan adı ile ilişkilenmiş ise, yani sadece söz konusu alan adına (siteye) tahsis edilmiş ise, IP adresinden alan adına ve oradan da whois bilgileri doğru ise diğer kimlik bilgilerine ulaşmak mümkündür.*
Eğer IP adresi bir site ile ilişkili, ancak paylaşımlı bir IP adresi ise (Shared IP), bu durumda aynı IP üzerinde birden fazla site bulunacağı için, sadece söz konusu IP tahsisini yapan hosting servisinin ayrıntılarına ulaşılabilir.
Eğer IP adresi bireysel kullanıcının internet bağlantısıyla ilişkilenen bir IP ise, bu durumda bireysel kullanıcı normal yollardan yukarıdaki türden bilgilere ulaşamaz. IP adresinden ulaşabileceğiniz en ayrıntılı bilgi, İnternet Servis Sağlayıcının adres ve irtibat bilgileri olacaktır. Buda ancak Savcılık kanalı ile olabilmektedir. Yani, sitenizi ziyaret eden veya size email atan birisinin IP'sinden yola çıkarak o kişiyi bu türden programlarla tespit edemezsiniz.
Tespiti yapılan bu IP numarası savcılığa bildirilir ve ekinden hukuka aykırı eylemle ilgili deliller eklenir. Savcılık makamının da soruşturmada ilk yapacağı iş IP numarasının kime ait olduğunu Internet servis sağlayıcılarından tespitini istemek olacaktır. Yukarıda da belirttiğimiz üzere hukuka aykırı fiilin gerçekleştirildiği zaman, failin tespitinde önem arz etmektedir. Hukuka aykırı fiil şirket bilgisayarlarından gerçekleştirilmesi durumunda, Internet Servis sağlayıcıdan gelen bilgide, verilen saat aralığında belirtilen IP nin ….. Şti. tarafından kullanıldığı olacaktır. Internet üzerinde aynı anda aynı IP numarası bulunamaz. Bu teknik olarak mümkün değildir.
Şirketler açısından sorun burada başlamakta, soruşturma safahatı içerisinde şüpheli olarak şirket yetkilisi savcılığa çağrıldığında durumdan haberdar olunmaktadır. Tüzel kişiler hakkında ceza yaptırımı uygulanamaz kuralı gereği, tüzel kişi adına eylemleri, organları veya diğer yetkililer yani gerçek kişiler gerçekleştirdiğinden soruşturma şirket yetkilileri hakkında gerçekleştirilmektedir. Sağlıklı şirket içi ağ yapısına sahip, personelin internet trafiğinin kayıtlarının tutulduğu bir şirkette, bu hukuka aykırı eylemin kimin tarafından yapıldığı sorun olmadan bulunmaktadır. Buna ilişkin doküman ve ayrıca datalar elektronik ortamda savcılığa sunulduğunda, hukuka aykırı fiil şirketin sorumluluğundan çıkmakta, aksi durumda, şirket yetkilisi hakkında ceza davası açılmaktadır.
Eski 765 sayılı TCK’de 6.6.1991 tarihli ve 3756 sayılı Kanunla yapılan değişiklikle ilk defa “bilişim suçları” düzenlenmiştir. TCK’ye “Bilişim Alanında Suçlar” adıyla 525/a, 525/b, 525/c ve525/d maddeleri eklenmiştir.26
01.06.2005 tarihinde yürürlüğe giren 5237 sayılı TCK’da ise Bilişim suçları, numara ve başlıklar altında yer almaktadır:

“Kişilere karşı suçlar” kısmının dokuzuncu bölümünde “özel hayata ve hayatın gizli alanına karşı suçlar” başlığı altında m. 135 “kişisel verilerin kaydedilmesi suçu”, m. 136 “kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu”, m.138 “verileri yok etmeme suçu”.
“Topluma karşı suçlar” kısmının onuncu bölümünde “bilişim alanında suçlar” başlığı altında m.243 “hukuka aykırı olarak bilişim sistemine girme veya sistemde kalma suçu”, m.244/1-2 “bilişim sisteminin işleyişinin engellenmesi, bozulması, verilerin yok edilmesi veya değiştirilmesi suçu”, m.244/4 “bilişim sistemi aracılığıyla hukuka aykırı yarar sağlama suçu”, m.245 “banka veya kredi kartlarının kötüye kullanılması suçu” (Dülger, Bilişim Suçları ve Yeni Türk Ceza Kanunu 2005, s.114).
Bunların yanı sıra YTCK’da bilişim sistemleri aracılığıyla işlenebilecek ancak yalnızca bilişim suçu olarak nitelendirilemeyecek suç tipleri de bulunmaktadır. Bunlara örnek olarak aşağıdaki suç tipleri verilebilir (Dülger, Bilişim Suçları ve Yeni Türk Ceza Kanunu 2005, s.114).
“Kişilere karşı suçlar” kısmının dokuzuncu bölümünde “özel hayata ve hayatın gizli alanına karşı suçlar” başlığı altında m.132 “haberleşmenin gizliliğini ihlal suçu”, “kişilere karşı suçlar” kısmının yedinci bölümü olan “hürriyete karşı suçlar” bölümünde m.124 “haberleşmenin engellenmesi suçu”; sekizinci bölüm olan “şerefe karşı suçlar” bölümünde m.125 “hakaret suçu”; malvarlığına karşı suçlar bölümünde m.142 fkr.2 b. ‘e’ “nitelikli hırsızlık suçu”, m.158 fkr.1 b. ‘f’ “nitelikli dolandırıcılık suçu” ile “topluma karşı suçlar” kısmının yedinci bölümü olan “genel ahlaka karşı suçlar” bölümünde m.226 “müstehcenlik suçu”, m. 228 “kumar oynanması için yer ve imkan sağlanması suçu”.27
Şirketlerin bu türden cezai sorumluluk altında kalmamaları için öncelikle, çalıştırdığı personel ile iş sözleşmesi içerisinde ya da iş sözleşmesinin eki niteliğinde, kullanımında bulunan bilgisayar ve internet çıkışını kullanım çerçevesi çizilmeli, kendi kullanımdaki bilgisayarın güvenliğinin kendisine ait olacağı aksi durumlarda sorumlusunun kendisi olacağı hususları içeren sözleşmeler yapılmalıdır. Bunun dışında şirket içi ağ denetiminin, yapılması ve bunların logbooklarının tutulması zorunludur. Gerektiğinde web tabanlı mail sitelerine, pornografi, terör içerikli sitelere çıkışların filtrelenmesi, upload(dışarı yükleme) ve download (içeri yükleme) işlemlerinin engellenmesi, MSN, ICQ v.b. anlık iletişim araçlarının kullanımının engellenmesi, koruma tedbirleri olarak karşımıza çıkmaktadır.
b) Hukuka Aykırı Fiilin Borçlar Hukuku Açısından Değerlendirilmesi:
Borçlar Kanunu’nun 55. Maddesinde istihdam edenlerin mesuliyeti düzenlenmiştir. Buna göre; “Başkalarını istihdam eden kimse, maiyetinde istihdam ettiği kimselerin ve amelesinin hizmetlerini ifa ettikleri esnada yaptıkları zarardan mesuldür. Şu kadar ki böyle bir zararın vuku bulmaması için hal ve maslahatın icabettiği bütün dikkat ve itinada bulunduğunu yahut dikkat ve itinada bulunmuş olsa bile zararın vukuuna mani olamayacağını ispat ederse mesul olmaz.
İstihdam eden kimsenin, zamin olduğu şey ile zararı ika eden şahsa karşı rücu hakkı vardır.
Borçlar kanunundaki bu sorumluluk, kusursuz sorumluluk ve kendisine yüklenen özen gösterme borcunu yerine getirmemesi ilkesine dayanmaktadır.
Kanunun aradığı özen, emiri altında çalışanların işlerini görürken üçüncü şahıslara zarar vermemeleri hususunda “hal ve maslahatın icap ettiği bütün dikkat ve itina” dı. Bu bakımdan adam çalıştıranın içinde bulunduğu kişisel durumun dikkate alınmadığı, objektif bir yükümlülük söz konusudur.
Müstahdemin, istihdam edenin işini görürken bir üçüncü şahsa hukuka aykırı bir fiil ile zarar vermesi, istihdam edenin bu şahsa karşı sorumlu olması için gerekli ve yeterlidir. Zira bu şart gerçekleşmişse, BK. m.55, istihdam edenin sorumluluğunu karine olarak kabul etmektedir. Ancak istihdam eden karineyi çürütebilirse sorumluluktan kurtulabilir.
Çalıştıranın sorumlu tutulabilmesi için zarar verici eylem ile çalıştıranın görülen işi arasında fonksiyonel bağlılık bulunması yeterlidir.
Bu sorumluluktan kurtuluş kanıtı özenin ispatına dayalıdır. Kural olarak BK. m.55 özen eksikliği esasına dayanır. Alınacak önlem ve özen üç şekilde ortaya çıkar.Seçimde özen ( cura in eligendo), talimatta özen (cura in instruenda), gözetimde özen (cura in custatodiendo).
Şirket çalışanın, hukuka aykırı eylemini şirket bilgisayarları üzerinden işlemesi durumunda, alınacak tedbir, belgelendirme ve kayıtlarla şirket yetkilileri cezai sorumluluktan kurtulsa bile Borçlar kanunun bu kusursuz sorumluluk kuralı karşısında bir şirketin, bir tazminat sorumluluğu ile karşı karşıya kalması mümkündür.
Bir davada, şirket davacı bankanın üye işyeri olup, üye işyeri sözleşmesi uyarınca kendisine tahsil olunan "POS" cihazı ile müşterilerine kredi kartı kullandırarak alışveriş yapma imkanı sağlamaktadır. Sahibi bulunduğu işletmede "POS" cihazının kullanımı ve yapılan alışverişlerin bedelinin tahsili için dava dışı E. B.'ü istihdam etmiştir. İstihdam edilen E. B. işletmeye "Encoder" adlı cihazı getirip "POS" cihazına monte ettikleri, alışveriş yapan müşterilerin ödeme sırasında verdikleri kredi kartlarını önce "POS" cihazından geçirdikten sonra manyetik alandaki kart bilgilerini kopyalamak için "Encoder" cihazında işleme tabi tutarak kopyalanan manyetik alanları bir başka kredi kartına bilgisayar marifeti ile aktararak sahte kredi kartları düzenledikleri ve bu sahte kartlar ile alışveriş yapmıştır. Bu durumda istihdam edenin sorumluluğu söz konusu mudur?
Yargıtay 19.Hukuk Dairesi bu konuda şu şekilde bir karar vermiştir. “B.K.nun 55. maddesi, başkalarını istihdam eden kimse mahiyetindeki istihdam ettiği kimselerin ve amelesinin hizmetlerini ifa ettikleri esnada yaptıkları zarardan mesuldür. Şu kadar ki, böyle bir zararın vuku bulmaması için hal ve maslahatın icap ettiği bütün dikkat ve itinada bulunduğunu yahut dikkat ve itinada bulunmuş olsa bile zararın vukuuna mani olamayacağını ispat ederse mesul olmaz hükmünü içermektedir. İstihdam edenin sorumluluğu, istihdam edilenin istihdama tabi ve hizmetinde bulunması, istihdam edilen hizmetini yaparken hukuka aykırı bir fiille zarar vermiş olması, istihdam edilene verilen işle zarar arasında sıkı münasebet bulunması koşullarına bağlıdır.Somut olayda, davalı şirket davacı bankanın üye işyeri olup, üye işyeri sözleşmesi uyarınca kendisine tahsil olunan "POS" cihazı ile müşterilerine kredi kartı kullandırarak alışveriş yapma imkanı sağlamaktadır. Sahibi bulunduğu işletmede "POS" cihazının kullanımı ve yapılan alışverişlerin bedelinin tahsili için dava dışı E. B.'ü istihdam etmiştir. İstihdam edilen E. B. Üsküdar Ağır Ceza Mahkemesinin …… Esas, …… Karar Sayılı ve 6. Ceza Dairesince onama ilamından da anlaşıldığı üzere dava dışı T. P. adlı kişi ile el ve işbirliği yaparak işletmeye "Encoder" adlı cihazı getirip "POS" cihazına monte ettikleri, alışveriş yapan müşterilerin ödeme sırasında verdikleri kredi kartlarını önce "POS" cihazından geçirdikten sonra manyetik alandaki kart bilgilerini kopyalamak için "Encoder" cihazında işleme tabi tutarak kopyalanan manyetik alanları bir başka kredi kartına bilgisayar marifeti ile aktararak sahte kredi kartları düzenledikleri ve bu sahte kartlar ile alışveriş yapıldığı anlaşılmaktadır. E. B., davalı şirketin tahsilat yapmak ile görevli olarak istihdam edilen kişi olup, zararın oluşumuna neden olan eylem görevin ifası sırasında gerçekleşmiştir. Sahte kart düzenlenmesi sırasında eylem için asıl gerekli olan sözleşme uyarınca davalı şirkete müşterilerin alışveriş yapmasına imkân sağlayan ve doğrudan banka ile irtibatlı olan "POS" cihazı olup anılan cihaz davalı şirketin kontrol ve güvenliği altındadır. Dışarıdan temin edilen "Encoder" cihazı eylemin asli unsuru değildir. Bu durumda mahkemece, davalı şirketin (istihdam ) sorumluluktan kurtulmak için yukarıda açıklanan yasa maddesindeki kurtuluş beyyinesini iddia ve ispat edemediği ve istihdam eden olarak istihdam ettiği kimsenin davacıya verdiği zarardan sorumlu tutulması gerekirken, yazılı gerekçe ile davanın reddi doğru görülmemiştir.” 34
Görüleceği üzere bu olayda, istihdam eden şirketin kurtuluş beyyinesini ispat edememesi sebebi ile davalı şirketi sorumlu tutmuştur. Buna kıyasla yukarıda belirttiğimiz gibi çalışanın hakaret içerikli mailler göndermesi, kızdığı bir marka için hazırladığı web sitesini yine şirket bilgisayarlarından yayınlaması halinde de şirketin kusursuz sorumluluğu olacağı kanaatindeyim.
Gönderilen bir email neticesinde, mailin çalışanı tarafından gönderilmiş olduğu savunmasının yeterli olmayacağı, adam çalıştıranın sorumluluğunu düzenleyen ve bir kusursuz sorumluluk hali olan BK’nun 55. Maddesi gereği adam çalıştıran çalışanın bu tür eyleminden sorumlu olacaktır meğer ki yine aynı madde de düzenlenen kurtuluş beyyinesini getirmemiş olsun.
Yine uygulamadan bir örnek vermek gerekirse, ………..Kundura A.Ş.’den aldığı bir ayakkabının kusurlu çıkması ve bunun karşısında ayakkabı firmasının duyarsızlığına sinirlenen bir şirket çalışanı, ayakkabı firması aleyhinde hazırladığı web sayfalarını, yine şirket bilgisayarlarından upload (dışarı yükleme) etmek sureti ile internette yayınlamıştır. Yayınlanan bu siteye yüklemenin hangi IP’den yapıldığı ayakkabı firması yetkilileri tarafından tespit edilmiş ve istihdam edenin sorumluğu çerçevesinde talepleri söz konusu olmuştur. Taraflar bu sorumluluk çerçevesinde bir anlaşmaya vararak konunun yargıya intikal etmesini engellemişlerdir.
Bu çerçevede internet şirketlere BK m.55 anlamında da sorumluluklar yüklemiştir.
c) Hukuka Aykırı Fiilin İş Hukuku Bakımından Değerlendirilmesi:
Personelin hukuka aykırı fiili karşısında ortaya çıkan diğer bir sorun ise bu fiilin İş Hukuku açısından durumudur. Hukuka aykırı fiil neticesinde şirket çalışanı personelin İş kanunu karşısında iş akdinin durumu ne olacaktır? Bu hukuka aykırı fiil iş akdinin feshinde haklı bir neden mi sayılacak yoksa geçerli bir sebep mi sayılacaktır?
4857 sayılı İş Kanunun yürürlüğe girmesi ile birlikte İş Hukukumuza, iş güvencesi kavramı girmiş, kanun 18. Maddesinde “Otuz veya daha fazla işçi çalıştıran işyerlerinde en az altı aylık kıdemi olan işçinin belirsiz süreli iş sözleşmesini fesheden işveren, işçinin yeterliliğinden veya davranışlarından ya da işletmenin, işyerinin veya işin gereklerinden kaynaklanan geçerli bir sebebe dayanmak zorundadır.” Şeklinde ifade edilmiştir. Bu maddeye göre en az otuz işçiye sahip işyerlerinde, altı aylık kıdemi bulunan belirsiz süreli iş akdi olanların iş akitlerinin feshinde işveren tarafından geçerli bir sebep gösterilmesi gerekmektedir. Bu sebepler işverenin derhal fesih hakkını kullanmasına sebep olacak fiiller kadar ağır olmayan, ancak iş akdinin feshine sebep olacak fiiller olarak tanımlanabilir. Geçerli sebebe dayalı olarak iş akdine son verilen işçiye kıdem ve ihbar tazminatı ödenmelidir.
İş kanunun 25. Maddesinde ise işverenin haklı nedenle derhal fesih sebepleri sayılmış, bu sebeplerden birinin varlığı halinde işçinin kıdem ve ihbar tazminatına hak kazanamayacağını hükme bağlamıştır.
Bu duruma göre personelin bilişim ile ilgili fiili, ya 25/II-e maddesinde belirtilen “İşçinin, işverenin güvenini kötüye kullanmak, hırsızlık yapmak, işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlarda bulunması.” Haline sokacak isek, işçinin işinden olmasının yanında, yıllardır çalışması karşısında yıpranma payı olarak da adlandırabileceğimiz kıdem tazminatından da mahrum bırakacağız ya da bunu geçerli bir sebep sayıp işçinin kıdem ve ihbar tazminatını ödeyeceğiz.
Her olay kendi içinde delilleri ile iyi değerlendirilerek doğru bir sonuca varılması hakkaniyet gereğidir.
Bu konuda Yargıtay’da çeşitli kararlar vermiştir.
“Davacı, 24.11.1999 günü bilgisayarının e-mail penceresinin from (mesaj gönderen kişinin adının yazıldığı yere) bölümünde Genel Müdür A.Ç. ismini yazarak önce “yılbaşı hediye verme ve tebrik kartı gönderme uygulamasına son verildiği...”ni belirterek çalışanların bilgisayarlarına mesaj göndermiş ve daha sonra da aynı gün saat 15.48’de yine aynı yöntemle “...bu sabah göndermiş olduğum duyuru sizleri asıl acı habere alıştırmak amacını taşıyordu. Şu ana kadar hiçbir tepki gelmediği için asıl acı haberi eke gerek kalmadan veriyorum. 2000 yılı Ocak zammı yalnızca % 3.5 olarak belirlenmiştir...” şeklinde mesaj göndermeye devam etmiştir. Davacı ve mahkeme bu eylemlerin iş arkadaşlarına yönelik şaka mahiyetinde eylemler olduğunu kabul etmektedirler. İster kamuya ister özel sektöre ait olsun bir işyerinde aranması gereken en önemli özelliklerden birisi de çalışanların belli bir ciddiyet, sorumluluk ve olgunluk içerisinde bulunmalarıdır. İşyeri yetkilisinin ismini kullanarak işyeri huzur ve disiplinini bozacak şekilde eylemlerde bulunulması ciddiyet ve sorumlulukla bağdaşmayacağı gibi, doğruluk ve bağlılığa uymayan davranışlardandır. Mahkemenin hiçbir gerekçe göstermeden davacının iddialarını kabul edip, olayı basit bir şaka sayıp istekleri kabul eden kararı usul ve yasaya aykırı olduğundan hükmün bozulması gerekmiştir.”
Görüleceği üzere Yargıtay bu olayda, işçinin davranışını doğruluk ve bağlılığa uymayan davranış olarak değerlendirilmiştir
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.