Türk Hukuk Sistemi'nde yapılan reform çalışmalarının bir parçası olarak, geçtiğimiz aylarda Türk Ceza Kanunu(TCK) da baştan başa değişti. Yeni TCK'daki düzenlemerin önemli bir kısmı da bilgi güvenliğini ilgilendiriyor.
TCK'daki bilgi güvenliği ile ilişkilendirilebilecek düzenlemeler iki ana başlıkta toplanabilir. Bunlar "Özel Hayatın Gizli Alanına Karşı Suçlar" ve "Bilişim Sistemine Karşı Suçlar" olarak değerlendirilebilir. Özel Hayatın korunmasına ilişkin hükümler eski TCK'da da vardı. Yeni sürümde bazı hükümlerin ağırlaştırıldığı ve detaylandırıldığını görüyoruz. "Bilişim Sistemine Karşı Suçlar" ise ilk defa düzenlenen hükümler içeriyor.
Özel Hayatın Gizli Alanına Karşı Suçlar
Özel Hayatın Gizli Alanına Karşı Suçlar Bu alanda ana konular, "Haberleşmenin Gizliliğini İhlal", (Madde 132) "Kişilerin Arasındaki Konuşmaların Dinlenmesi ve Kayda Alınması" (Madde 133), "Özel Hayatın Gizliliğini İhlal" (Madde 134), "Kişisel Verilerin Kaydedilmesi" (Madde 135), "Verilerin Hukuka Aykırı Olarak Verilmesi veya Ele Geçirilmesi" (Madde 136) başlıklarında toplanıyor.
Bu alandaki değişiklikler hayatımıza yansımaya hemen başladı bile. Artık hemen her çağrı merkezinde görüşmelerin kayda alınmakta olduğu bir anons ile arayan kişiye bildiriliyor. Böylece, "Kişilerin Arasındaki Konuşmaların Dinlenmesi ve Kayda Alınması" konusunda suç teşkil edebilecek, haberi olmadan kayıt yapılması durumu, arayan kişiye anons yolu ile bildirim yapılarak engellenmiş oluyor. Aynı şekilde, telefonla görüştüğünüz bir kimsenin sözlerini, tek taraflı olarak, haberi olmadan kayıt altınak da bireyler için suç teşkil edebilecek durumlar. Bu ve buna bezer kayıtların, üçüncü taraflarla paylaşılması da yine suç.
TCK'nın hayata geçmesi sırasında ve sonrasında özel hayatın gizliliğine ilişkin suçların basın yoluyla işlenmesi konusu oldukça etraflı bir biçimde tartışılmıştı. Ancak, bunun dışında, şirketlerimizin müşterileri, iş ortakları ve çalışanlarıyla ilişkilerinde hangi bilgileri kaydettikleri, bu bilgileri nasıl ve kimlerle paylaşıldığına ilişkin işleyişlerin suç teşkil etmesi riski de vardır. Bilgi Güvenliği Yönetim Sistemi Standardı kapsamında işlenen alanlardan bir tanesi de "Uyumluluk" olduğundan, şirketlerin uyması gereken hukuki şartlar arasında bu konuların da değerlendirilmesi, ve risk analizlerimizin ve süreç tasarımlarındaki kontrollerin bu tür hataları da kapsayacak şekilde geliştirilmesi gerekiyor.
Bilişim Sistemine Karşı Suçlar
[Yeni] TCK'da bilgi güvenliği açısından en kapsamlı değişiklik, bilişim sistemlerine karşı işlenen suçların da tarif edilmiş olması ile ortaya çıkıyor. Artık, "Bilişim Sistemine [İznsiz] Girmek" (Madde 243) bir suç olarak tarif ediliyor, "Sistemi Engellemek", "Sistemi Bozmak" ve "Verileri Yok Etmek ve Değiştirmek" (Madde 244) bir yıldan üç yıla kadar hapis cezası olan suçlar olarak belrileniyor.
Bilmek veya Bilmemek
Elbette koskoca TCK'da herhangi bir şirketi bilgi güvenliği açısından ilgilendirecek maddeler ve konular sadece bunlar olmayabilir. Hangi sektörde çalışıp, ne gibi işler yaptığınıza bağlı olarak, sizi etkileyen başka maddeler de bulunuyor olabilir. Dolayısıyla, kendi konularımızı tespit etmeyi amaçlayan bir gözlük ile TCK üzerinde çalışmak gerekiyor.
Türk Ceza Kanunu bildiğim kadarıyla kurumları değil kişilere yönelik bir düzenleme. Yani şirketinizin bir uygulamasından kaynaklanan bir suç işlendiğinde, şirket tüzel kişiliği için değil, şirketin yöneticileri ve söz konusu işlemleri gerçekleştiren gerçek kişilerin sorumluluğu doğmaktadır.
Peki bu maddeleri bilmemek ve üzerinde çalışmamış olmak kimseyi sorumluluktan kurtarır mı? Yine Türk Ceza Kanunu'nun 4. maddesi ?Ceza kanunlarını bilmemek mazeret sayılamaz" demektedir. Dolayısıyla bireysel ve kurumsal boyutta bu hükümlerin bilinirliğini yaymak ve davranış ve çalışmak şekillerimizi buna göre ayarlamak, sandığımızdan önemli ve acil olabilir.
Örneğin 23 Aralık 2005 tarihli Milliyet gazetesinde "Bilişim Sistemine Karşı Suçlar" kapsamında, işlediği suçların toplamından 3 - 7 yıl hapsi istenen öğrenci ile ilgili haberi aşağıda bulabilirsiniz.
***
Geleceğini de 'hack'ledi -
Milliyet 23/12/2005ODTÜ öğrencisi Cumhur Onat, 'yeteneğinin sınırlarını ölçmek için' internette en çok okunan haber sitelerinden 'internethaber'i çökertti. Yakalanan Onat, site yöneticilerinin kendisini affetmesine rağmen cezaevine gönderildi
Türkiye'nin en çok tıklanan haber portallarından biri olan 'internethaber. com'u 'hack'leyen, sitenin domain şifresini kıran ODTÜ öğrencisi 20 yaşındaki Cumhur Onat, yeni TCK'ya göre, 7 yıla kadar hapis cezası istemiyle yargılanmak üzere cezaevine gönderildi.
'Tüm haklarımı almış'İnternethaber sitesinin imtiyaz sahibi ve Star gazetesi yazarı Hadi Özışık, bilgisayar korsanını cezaevine gönderen süreci şöyle anlattı: "19 Aralık akşamı, sitenin yayınını sağlayan Ankara'daki servis sağlayıcı beni arayıp sitenin hack'lendiğini söyledi. Siteyi hack'lemek çok kolay. Ama çocuk, ancak bir dâhinin yapabileceğini yapmış, benim şifremi kırıp domain'imi (internet kimliği) almış. Tüm haklarımı ele geçirmiş."
Ve polis baskını...Servis sağlayıcının altı kişilik bir ekip kurduğunu ve hacker'ın yerini gece yarısı IP numarası sayesinde belirlediğini kaydeden Özışık şöyle devam etti:
"'Ankara Dikmen'de oturuyor, ODTÜ İnşaat Mühendisliği ikinci sınıf öğrencisi' dediler. Baktık, o saatte bilgisayarın başında. Telefon numarasını aradım, ev olduğunu anlayınca kapattım. Sabah ilk uçakla Ankara'ya gittim. Cumhuriyet Savcısı Adil Kubat, konuyu biliyordu; hemen duruma el koydu. Organize Şube'den polislerle eve baskına gittik. Bilgisayarlarına ve hard disklerine el konuldu."
Eve baskın sırasında çocuğun okulda olduğunu söyleyen Özışık, emekli polis babasının, taksi şoförlüğü yaptığını belirterek "Babası oğlunun önemli bir sınavda olduğunu söyledi. Sınav çıkışına kadar bekleyip yakaladık" dedi.
İfadesinde Onat'ın 'pişman olduğunu, sadece yeteneğinin sınırlarını ölçmeye çalıştığını' anlattığını söyleyen Özışık, şöyle konuştu:
'Bu olay bir mesaj'"Siteyi Almanya'daki bir siteye yönlendirmiş, satılık listesinde adımız geçiyor. Savcı talimatıyla siteyi geri aldık. Cumhur tam bir bilgisayar dehası. Geleceği çok parlak. Çok ağladı, özür diledi. Abisi, Harp Okulu'nda öğrenciymiş. Babası da yıkıldı. Zaten kötü niyet yok, yoksa neden evinden yapsın. Şikâyetten vazgeçtim ama kamu davası açıldı. Ankara 5. Sulh ve Hukuk Mahkemesi'nde davası görüldü, önceki gece Ulucanlar Cezaevi'ne gönderildi. 243 ve 244. maddelerden, 3 ile 7 yıl arası hapis istemiyle yargılanacak."
Bu olayın örnek olduğuna dikkat çeken Özışık, "Gençler kendini yakmasın. Bu olay Türkiye'ye çok önemli bir mesaj" dedi.
