1. Siber Saldırı Kavramının Tanımı ve Mahiyeti
Siber saldırı, kişi veya kurumların kullandığı bilgisayar şebekelerine, veri tabanlarına veya bireysel cihazlara; yetkisiz bir şekilde erişmek, verileri çalmak, sistemleri çalışamaz hale getirmek veya haksız menfaat elde etmek amacıyla yapılan teknolojik saldırıların bütünüdür. Siber saldırılar; bireysel hackerlar tarafından yapılabileceği gibi, organize suç örgütleri veya devlet destekli gruplar tarafından da gerçekleştirilebilir. Hukukumuzda siber saldırılar, Türk Ceza Kanunu'nun (TCK) "Bilişim Alanında Suçlar" (m. 243-245) bölümünde düzenlenmiştir. Yasaya göre, bir bilişim sistemine "hukuka aykırı olarak girmek", oradaki verileri "bozmak, silmek veya değiştirmek" ağır hapis cezalarını gerektiren suçlardır. Siber saldırı, sadece bir teknik hata değil; mülkiyet hakkına, özel hayatın gizliliğine ve kamu güvenliğine yönelik çok boyutlu bir tecavüzdür.
2. Yaygın Siber Saldırı Türleri
- Oltalama (Phishing): Sahte e-posta veya sitelerle kullanıcı şifrelerini ele geçirme.
- DDoS Saldırısı: Bir web sitesine aşırı trafik göndererek sistemi çökertme.
- Zararlı Yazılım (Malware): Virüs veya trojanlar vasıtasıyla sisteme sızma.
- SQL Injection: Veri tabanı açıklarını kullanarak verilere izinsiz ulaşma.
3. TCK Kapsamındaki Cezai Yaptırımlar
Sisteme hukuka aykırı girmenin cezası 1 yıla kadar hapisken; verilerin silinmesi veya sistemin engellenmesi durumunda ceza 1 yıldan 5 yıla kadar çıkabilmektedir.
4. Siber Saldırıda Hukuki Tazminat
Saldırıya uğrayan kurumlar; veri kaybı, itibar zedelenmesi ve operasyonel duraksama nedeniyle saldırganlardan (veya ihmali olan güvenlik firmalarından) maddi-manevi tazminat talep edebilir.
5. Yargıtay and Siber Suçlar Perspektifi
Yüksek yargı tarafından benimsenen mutlak kural; "Sisteme girişin hukuka aykırı olması"dır. Yargıtay'ın yerleşik içtihatlarına göre, sanığın sisteme girmesi için bir "şifre kırması" şart değildir; yetkisi olmadığı halde bir açık bulup oradan içeri süzülmesi dahi siber saldırı suçunu oluşturur. Yargıtay, kurumsal sistemlere yönelik saldırılarda; saldırganın "sadece meraktan girmesi" gibi savunmaları suçun oluşmasına engel görmemekte, sistemde kalma süresini ve müdahalenin boyutunu ceza tayininde esas almaktadır. Ayrıca, saldırının banka veya kredi kuruluşu sistemlerine yönelik olması durumunda, cezanın tck m. 244/4 uyarınca artırılmasını emretmektedir.
Mahkemeler arası uygulamada, "log kayıtları" ve "IP adresleri" en mühim delillerdir. Yargı, bir IP adresinin sadece sanığa ait olmasını yeterli görmemekte; o IP üzerinden yapılan işlemin niteliğini (MAC adresi, cihaz verileri) teknik raporlarla kesinleştirmektedir. Son dönemde Yargıtay, "bulut bilişim" (cloud) sistemlerine yönelik saldırıların da TCK m. 243 kapsamında olduğunu teyit etmiştir. Ayrıca, siber saldırı sonucunda kişisel verilerin sızması durumunda; saldırganın sadece bilişim suçundan değil, aynı zamanda "Kişisel verileri hukuka aykırı ele geçirme" (TCK m. 136) suçundan da ayrıca cezalandırılması gerektiği vurgulanmaktadır.
6. Genel Değerlendirme ve Sonuç
Siber saldırı, dijital güvenliğin en büyük düşmanıdır. Hukuk, siber uzaydaki bu "huzur bozuculara" karşı caydırıcı bir kalkan oluşturur.
Sonuç olarak, siber saldırıya maruz kalan şirketlerin veya bireylerin hızlıca delilleri karartmadan suç duyurusunda bulunmaları elzemdir. Şişman Hukuk Bürosu olarak, siber saldırı sonrası kriz yönetimi; bilişim suçları davası vekilliği, siber tazminat talepleri ve sistem açıklarından kaynaklanan hukuki sorumlulukların yönetimi süreçlerinde uzman bilişim hukuku desteği sunmaktayız.