Siber Fidye Suçu
Siber fidye suçu, bir bilişim sistemindeki verinin kilitleme veya şifreleme yoluyla geçici olarak kullanılamaz hale getirilmesi ardından şifrenin verilmesi veya kilidin açılması için fidye istenildiği bir bilişim suçu türüdür. Öte yandan tehditle para istenmesi nedeniyle şantaj suçu ve istenen para türünün kripto cinsi olması nedeniyle kripto para suçları kapsamında değerlendirilebilecek bir suçtur. Bu suçta kullanılan yazılımlara fidye yazılımı (ransomware), bu suçlara da uluslararası literatürde “ransomware crime” denmektedir. Siber fidye suçu dijital yaşamın hakimiyetiyle son zamanlarda revaçta olan bilişim suçlarından biridir. Fidye amaçlı saldırılar gerçek kişilerden ziyade şirketleri hedef almaktadır. Saldırganlar büyük şirketlerin sunucularına hukuka aykırı bir biçimde erişmekte ve işleyişte kilit rol oynayan verileri içeren veritabanlarını şifrelemektedir. Şifrelemenin ardından iş ve işlemlerinde aksaklıklar oluşmakta, verilen hizmetler veya satışlar durma noktasına gelebilmektedir. Bu tür suçlarda özelikle müşteri verileri hedef alınarak yazılım yoluyla şirketin bu dataya erişimi kısıtlanmaktadır. Böylesi büyük zararların göze alınamayacağının farkında olan saldırganlar şirketlerden veritabanlarına tekrar erişim sağlamaları karşılığında çok yüksek meblağlar talep etmektedir.
Suçun İşleniş Biçimi
Suç tipik olarak üç aşamadan oluşmaktadır. Saldırganlar ilk aşamada hukuka aykırı olarak sunuculara sızıp zararlı yazılımları yerleştirmektedir. Bu aşamada oluşan eylemin TCK’daki karşılığı madde 243’te düzenlenmiş olan “bilişim sistemine girme suçu“dur. Nitekim TCK Madde 243/1’de düzenlenen bu suç tipina ilişkin düzenleme şu şekildedir: “Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye 1 yıla kadar hapis veya adli para cezası verilir.”
İkinci aşamada bu zararlı yazılım aktive edilip veriler şifrelenir. Bilgisayar veya sunucudaki verilerin şifrelenerek erişilmez hale getirilmesi ise bilişim sistemindeki verilere yönelik suçlar kapsamına girmekte olup TCK 244/2’de düzenlemiştir. İlgili fıkradaki düzenleme içerik olarak şöyledir: “Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, 6 aydan 3 yıla kadar hapis cezası ile cezalandırılır.” Burada önemli olan ifade erişilmez kılma ifadesidir ki fidye yazılımı ile verinin şifrelenmesi tam olarak “erişilmez kılma” tanımı içine girmektedir.
Üçüncü aşamada ise bir şirket yetkilisine e-mail ile ulaşan failler birkaç gün gibi kısa bir süre verip bu süre içinde kripto para ile yüksek bir meblağ ödenmesini talep ederler ve paranın verilen sürede ödenmemesi halinde istedikleri rakamın iki katına çıkacağını iletirler. Eğer süre içinde ödeme yapılmazsa gerçekten istedikleri rakamı iki katına çıkartıp yeni bir süre verirler. Bu süre için de de ödeme yapılmazsa yine istedikleri paranın iki katına çıkacağını bildirirler. Böylece sürekli artan para talebiyle psikolojik baskı altına alınan şirket yönetimi para ödemeye zorlanmaktadır.
Eğer fidye ödenmediği için veriler kısmen veya tamamen silinir veya zarar görürse bu durumda TCK 243/3’daki “Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, 6 aydan 2 yıla kadar hapis cezasına hükmolunur.” hükmü devreye girecektir. Verilerin uzun veya tanımsız bir süre boyunca erişilmez kılınması ise bizce “yok etme” kapsamına girebilecektir. Zira şifreli olduğu için çok uzun bir süre erişlemeyen bir verinin yok olduğunun kabul edilmesi mantığın bir gereğidir.
Suçun işlenmesi sırasında bilişim sistemi, yani bilgisayar veya sunucu, zarar görmüşse bu durumda ise TCK Madde 244/1 hükmü uygulanacaktır. İlgili fıkra “Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, 1 yıldan 5 yıla kadar hapis cezası ile cezalandırılır.” demektedir. Şifrelemenin ardından da verilere erişim karşılığı fidye istenir. Kripto para yoluyla ödeme yapılan sistemler ortaya çıktığından beri ödeme genellikle kripto para cinsinden istenip takibi imkansız linkler aracılığıyla alınır. Bu ödeme sistemlerinin ortaya çıkışı anonim kalmayı oldukça kolay hale getirdiğinden fidye yazılımların sayısı da yıllar içinde artmıştır. sistemi engelleme, bozma, verileri yok etme veya değiştirme suçlarından söz edilmelidir.
Fidye Suçunun Türk Hukukundaki Karşılığı
Yukarıda açıklandığı gibi Türk Ceza Kanunu’nda “fidye suçu” şeklinde bir suç tanımı yapılmamakla birlikte söz konusu fidye yazılımı suçları bilişim suçları kapsamına girmektedir. Bu tür fidye saldırıları şirketleri hedef aldığından Yargıtay içtihatları sadece ceza hukukuyla ilgili değil, aynı zamanda ticaret hukukuyla da ilgilidir. Nitekim 6102 sayılı Türk Ticaret Kanunu, gereği basiretli bir tacirin saklamakla yükümlü olduğu belgeleri düzenleyip tacirin bu yükümlülüğünü yerine getirebilmek amacıyla tedbir alması gerektiğini ifade etmektedir. Veritabanlarına fidye yazılım yerleştirildiğinde saklamakla yükümlü olunan defter ve belgelere de erişim sağlanamayabileceğinden bu anlamda da hukuki problemler oryaya çıkabilecektir.
Elektronik Genel Defter Tebliğinde Değişiklik Yapılmasına Dair Tebliğin 7.1. maddesi hükmü içermektedir:
“E-defter tutanlar, Vergi Usul Kanununda belirtilen mücbir sebep halleri nedeniyle e-defter veya beratlarına ait kayıtlarının bozulması, silinmesi, zarar görmesi veya işlem görememesi ve e-defter ve berat dosyalarının muhafaza edildiği e-defter saklama hizmeti veren özel entegratör kuruluşlardan veya başkanlıktan ikincil örneklerinin temin edilemediği hallerde söz konusu durumların öğrenilmesinden itibaren tevsik edici bilgi ve belgeleri ile birlikte 15 gün içinde ticari işletmesinin bulunduğu yetkili mahkemesine başvurarak kendisine bir zayi belgesi verilmesini istemelidir. Mahkemeden zayi belgesinin temin edilmesini müteakip, zayi belgesi ile birlikte durumun başkanlığa yazılı olarak bildirilmesi ve başkanlık tarafından istenilen bilgi ve belgelerin (talep edilecek bilgi ve belgeler e-defter uygulama kılavuzunda açıklanır) ibraz edilmesi halinde mükelleflerin zayi olan e-defter kayıtlarının yeniden oluşturulması ve bunlara ait yeni oluşturulan e-defter ve berat dosyalarının e-defter uygulaması aracılığıyla başkanlık sistemine yeniden yüklenmesi için başkanlık tarafından yazılı izin verilir.”
Bu düzenlemeyle şirketlerin durumu telafi etmesini kolaylaştırmak amaçlanmıştır. Elektronik verilerin bir kısmının veya tamamının yedeklenip muhafaza edildiği sistemlerden birer kopyasının elde edilmesi, elde edilmesi mümkün değilse süresi içinde bildirilerek zayi belgesi alınması tacirin sorumluluğu açısından önem arz eder. Yedeklerin asıl kayıtlardan farklı bir yerde muhafaza edilmesinin önemini belirtmek gerekir, zira aynı yerde tutulurlarsa olası bir siber saldırıda onlara da erişmek mümkün olmayacaktır.
TTK Bağlantılı İçtihatlar
Bu konuda verilen bir BAM içtihadı ise şu şekildedir: “Elektronik Defter Genel Tebliği’nin 7.1 maddesinde sadece Vergi Usul Kanununda belirtilen “mücbir sebep” ve ikincil örneklerin temin edilememesi halinin aranmış olması TTK’nın 82/7. Maddesindeki hususların aranmayacağı anlamına gelmez. Bilgi işlem sistemlerinde muhafaza edilen elektronik defter ve beratların silinmesi, zarar görmesi, virüs bulaşması, siber saldırı ve benzeri nedenlerle ulaşılamaz hale gelmelerini önlemek için mükelleflerin, e-defter ve beratlarının muhafaza ve ibrazı konusunda ve ayrıca kullandıkları bilgi işlem sisteminin sağlıklı biçimde çalışabilmesi ile ilgili yeterli teknik ve güvenlik önlemlerini almaları, bu kapsamda bilgi işlem sistemlerinde yaşanabilecek sorunlar nedeniyle elektronik defter ve beratlarını farklı ortamlarda yedeklemeleri basiretli bir iş adamından beklenen bir davranış olup Elektronik Defter Genel Tebliği’ne de uygundur.” (Antalya BAM, 11. HD., E. 2021/1518 K. 2021/1466 T. 13.9.2021)
Konuyla ilgi bir başka BAM içtihadı ise şu şekildedir: “Bilirkişi raporunda davacı şirketin, bilgisayar korsanları tarafından e-mail yoluyla aldatmaya yönelik hazırlanan sipariş listesi vasıtasıyla fidye virüsüne maruz kaldığı, bu virüsün şirket ana bilgisayarına ve serverına bulaştığı ve bu bilgisayarlar içerisinde barındırıldığı anlaşılan şirkete ait 2019 Ocak ile 2020 Mart dönemi arasındaki tüm mali mühürlü e-defter kayıtlarının bulunduğu dosyalarına da zarar verdiği ve kullanılamaz duruma getirdiği tespiti yapıldığını,…” (İstanbul BAM, 13. HD., E. 2021/1105 K. 2021/1146 T. 8.9.2021)
Fidye Suçuna Karşı Önlemler
Son yıllarda yaygın bir tehdit haline gelen siber fidye suçlarından önemli olan henüz hedef haline gelmeden evvel bu konuda gerekli tedbirlerin alınması ve verilerin yedeklenmesidir. Böylece bu tür bir tehditle karşılaşılmadan evvel belli başlı önlemler alınması ve politikalar belirlenmesi yerinde olacaktır. Yedekleme dışında ilgili departmanda çalışan personelin bu tür tehditlere karşı uyarılması ve eğitilmesi ile uygun olacaktır. Şirketlerin mali kayıplarının yanı sıra itibarlarının zedelenmelerinin de önüne geçilebilir. Ancak her şeye rağmen bir şirket bu tür bir fidye suçunun mağdur olmuşsa uluslararası boyutları olan bu suç türü konusunda İngilizce’ye ve tecrübeli bir bilişim avukatından destek alınması uygun olacaktır. Bu tür suçlar sadece adli boyutu olan değil aynı zamanda psikolojik boyutu da önemli olan suçlardır ve faille doğru iletişimin kurulması ve sürecin takibi son derece önemlidir. Bu tür bir siber fidye suçunun mağduru olan firmaların yetkilileri bize ulaşarak bu konuda bizden danışmanlık ve bilişim avukatı desteği alabilirler.