1. Fidye Yazılımı Kavramının Tanımı ve Mahiyeti
Fidye yazılımı (Ransomware), genellikle "trojan" veya "worm" tipi zararlı yazılımlar vasıtasıyla bir bilişim sistemine sızan ve oradaki tüm dosyaları karmaşık algoritmalarla şifreleyen siber saldırı aracıdır. Saldırı sonucunda kullanıcı, kendi dosyalarına ve sistemlerine erişemez hale gelir. Ekranda beliren bir not ile saldırgan, verilerin şifresini çözmek (decrypt) karşılığında genellikle takip edilmesi güç olan kripto paralar (Bitcoin, Monero vb.) üzerinden "fidye" talep eder. Hukuken bu eylem; Türk Ceza Kanunu'nun (TCK) 244. maddesinde düzenlenen "Bilişim sisteminin çalışmasını engelleme ve verileri bozma" suçunun en ağır formlarından biridir. Aynı zamanda, eylemdeki zorlama ve malvarlığına yönelik tehdit unsurları nedeniyle "Şantaj" (TCK 107) veya şartlar oluşmuşsa "Yağma" suçlarının nitelikli halleriyle paralel değerlendirilebilir.
2. Saldırının Hukuki Analizi: Hangi Suçlar Oluşur?
- TCK m. 243: Bilişim sistemine hukuka aykırı girme suçu.
- TCK m. 244: Verileri bozma, silme ve sistemi engelleme (Temel suç).
- TCK m. 107: Menfaat elde etmek amacıyla yapılan "Şantaj" suçu.
- TCK m. 158/1-f: Bilişim sistemlerinin araç olarak kullanılması suretiyle "Nitelikli Dolandırıcılık".
3. Fidye Ödemenin Hukuki Statüsü
Hukuken fidye ödenmesi önerilmez; çünkü bu eylem saldırganı finanse etmekte ve verinin geri geleceğini garanti etmemektedir. Ancak mücbir sebep hallerinde yapılan ödemeler, "Zaruret Hali" kapsamında değerlendirilebilir.
4. Şirket Yöneticilerinin Sorumluluğu
Bir şirketin verileri fidye yazılımı ile şifrelendiğinde, eğer yedekleme ve güvenlik önlemleri alınmamışsa; hissedarlar veya ortaklar yöneticilere karşı "özen yükümlülüğünün ihlali" nedeniyle sorumluluk davası açabilir.
5. Yargıtay and Siber Adalet Perspektifi
Yüksek yargı tarafından benimsenen mutlak kural; "Sistemin kilitlenmesinin mülkiyet hakkı ihlali sayılması"dır. Yargıtay'ın yerleşik içtihatlarına göre, bir bilişim sisteminin dosyalarının şifrelenmesi "fiziksel bir mala zarar verme" suçuyla eşdeğer bir ağırlığa sahiptir. Yargıtay, fidye yazılımını kullanan faillerin yakalanması durumunda; hem bilişim suçlarından hem de haksız kazanç sağladıkları için malvarlığına yönelik suçlardan "zincirleme" ceza verilmesini öngörmektedir. Son dönemde mahkemeler, saldırının bir hastane, banka veya kamu kurumu sistemine yönelik olması durumunda, suçun "Hayati hizmetlerin engellenmesi" kapsamında daha ağır cezalandırılmasına hükmetmektedir.
Mahkemeler arası uygulamada, "blockchain takibi" en mühim soruşturma ayağıdır. Yargı, ödenen fidyenin kripto para borsaları üzerindeki izini sürerek faillerin kimlik saptamasını yapmakta ve bu verileri "teknik delil" olarak kabul etmektedir. Ayrıca, bir bilişim uzmanının veya güvenlik firmasının "saldırıyı biz çözebiliriz" diyerek mağduru kandırması ve aslında saldırganla işbirliği yapması durumunda "Nitelikli Dolandırıcılık" hükümlerinin uygulanacağı vurgulanmaktadır. Şirketler için ise, fidye yazılımı saldırısı bir "KVKK veri ihlali" olarak kabul edildiğinden, Kurul'a 72 saat içinde bildirim yapılması zorunluluğu yargı kararlarıyla teyit edilmektedir.
6. Genel Değerlendirme ve Sonuç
Fidye yazılımı, dijital esaretin en karanlık yüzüdür. Hukuk, bu siber korsanlığa karşı sistemlerin korunmasını ve faillerin global ölçekte kovuşturulmasını sağlar.
Sonuç olarak, fidye yazılımı saldırısına uğrayan kurumların derhal adli makamlarla ve siber güvenlik uzmanlarıyla iletişime geçmesi; ödeme yapmadan önce hukuki yolları tüketmesi kritiktir. Şişman Hukuk Bürosu olarak, fidye yazılımı sonrası hukuki kriz yönetimi; siber şantaj davalarının takibi, KVKK bildirimleri ve bilişim sistemleri güvenliği ihmallerinden kaynaklanan tazminat uyuşmazlıklarında uzman hukuk desteği sunmaktayız.