Konu 11 – Bilişim Suçları ve Bilişim Sisteminde Malvarlığına Karşı İşlenen Suçlar
- Bilişim Suçları İhtisas Mahkemeleri
30.11.2021 tarihli Resmi Gazetede yayınlanan HSK kararı uyarınca 15.12.2021 tarihinden aşağıdaki suçları özel görevli bilişim suçları ihtisas mahkemesi inceler :
- Bilişim Sistemlerinin kullanılması suretiyle nitelikli hırsızlık
- Bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması suretiyle nitelikli dolandırıcılık
- Kişinin, kendisini kamu görevlisi veya banka, sigorta ya da kredi kurumlarının çalışanı olarak tanıtması veya bu kurum ve kuruluşlarla ilişkili olduğunu söylemesi suretiyle nitelikli dolandırıcılık
- Bilişim sistemlerine girme
- Sistemi engelleme, bozma, verileri yok etme veya değiştirme
- Banka veya kredi kartlarının kötüye kullanılması
- Yasak cihaz veya programlar
- Bilişim alanında yer alan suçların işlenmesi suretiyle yararına haksız menfaat sağlanan tüzel kişiler hakkında bunlara özgü güvenlik tedbiri uygulanması.
- Bilişim Suçu ve Bilişim Ortamında İşlenen Suçlarda Ayrım
Bilişim alanındaki suçlar, Türk Ceza Kanununda aşağıdaki şekilde sıralanmıştır. Bu suçlar dışında bilişim ortamında işlenen suçlar “bilişim suçu” olarak adlandırılmamaktadır.
- Bilişim Sistemine Girme
- Sistemi engelleme, bozma, verileri yok etme veya değiştirme
- Banka veya kredi kartlarının kötüye kullanılması
- Yasak Cihaz ve Programlar
Malvarlığına Karşı Suçlar, Bilişim Alanında Suçlar başlığı altında olmadığından teknik olarak bilişim suçu kapsamında değildir. Ancak, bilişim ortamında işlenmesi bu suçlarda ağırlaştırıcı nedendir.
- Nitelikli Hırsızlık
- Nitelikli Dolandırıcılık
- Bilişim Alanında Suçlar
- Bilişim Sistemine Girme
TCK m.243 uyarınca, bilişim sistemine girme suçu aşağıdaki gibi tanımlanmıştır.
(1) Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.
(2) Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi halinde, verilecek ceza yarı oranına kadar indirilir.
(3) Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, altı aydan iki yıla kadar hapis cezasına hükmolunur.
(4) Bir bilişim sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı olarak izleyen kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır.
Konuyla ilgili Yargıtay 8. Ceza Dairesi 2018/10824 E. , 2019/15723 K. uyarınca;
“Şikayetçinin rızası olmadan e-mail ve Facebook hesabına girip şifrelerini değiştirmek suretiyle bilişim sistemine girmesini engellediğinden bahisle açılan davada; şikayetçinin hesabına sanığın giriş yaptığının tespit edildiği, dosya içerisinde şifrelerinin değiştirilmesine ve şikayetçiden bir menfaat elde ettiğine dair tespitin bulunmadığı ve şikayetçinin hesabının kullanılarak kontör istenenin arkadaşları olduğu anlaşılmakla, kalmaya devam ettiğine ilişkin deliller de mevcut olduğundan, sanığın eyleminin TCK.nın 243/1. maddesi kapsamındaki suçu oluşturacağı gözetilmeden suç vasfında yanılgıya düşülerek yazılı şekilde hüküm kurulması… BOZMAYI gerektirmiştir.”
- Sistemi Engelleme, Bozma, Verileri Yok Etme Veya Değiştirme
TCK Madde 244 uyarınca,
(1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.
(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.
(3) Bu fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza yarı oranında artırılır.
(4) Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması halinde, iki yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezasına hükmolunur.
Maddenin gerekçesine göre, son fıkrada, yukarıda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisine veya başkasına yarar sağlaması, ceza yaptırımı altına alınmıştır. Ancak, bu fıkra hükmüne istinaden cezaya hükmedilebilmesi için, fiilin daha ağır cezayı gerektiren başka bir suç oluşturmaması gerekir. Bu bakımdan, fiilin örneğin dolandırıcılık, hırsızlık, güveni kötüye kullanma veya zimmet suçunu oluşturması hâlinde, bu fıkra hükmüne istinaden cezaya hükmedilmeyecektir.
Konuyla ilgili Yargıtay 8. Ceza Dairesi E. 2012/31216 K. 2013/25978 T. 1.11.2013 kararı uyarınca;
“Oluşa, katılanın aşamalardaki anlatımlarına, sanığın babasına ait internet hesabından katılana ait elektronik posta hesabına bir çok kez girildiğine ilişkin Microsoft ve TİB’den gelen yazı yanıtlarına ve tüm dosya kapsamına göre; katılana ait elektronik posta hesabının şifresini ele geçirerek bu adrese giren ve şifreyi değiştirmek suretiyle katılanın elektronik postalarına erişimini engelleyen sanığın, eylemine uyan TCK.nun 244/2. maddesi uyarınca cezalandırılmasına karar verilmesi gerekirken yazılı gerekçeyle beraat hükmü kurulması, Yasaya aykırı, C.Savcısı ve katılanın temyiz itirazları bu itibarla yerinde görülmüş olduğundan hükmün bu sebepten dolayı 5320 sayılı Yasanın 8/1. maddesi uyarınca uygulanması gereken CMUK.nun 321. maddesi gereğince ( BOZULMASINA ),
- Banka veya kredi kartlarının kötüye kullanılması
TCK m.245 uyarınca, banka veya kredi kartlarının kötüye kullanılması suçu için aşağıdaki gibi cezalar öngörülmüştür;
“(1) Başkasına ait bir banka veya kredi kartını, her ne suretle olursa olsun ele geçiren veya elinde bulunduran kimse, kart sahibinin veya kartın kendisine verilmesi gereken kişinin rızası olmaksızın bunu kullanarak veya kullandırtarak kendisine veya başkasına yarar sağlarsa, üç yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezası ile cezalandırılır.
(2) Başkalarına ait banka hesaplarıyla ilişkilendirilerek sahte banka veya kredi kartı üreten, satan, devreden, satın alan veya kabul eden kişi üç yıldan yedi yıla kadar hapis ve onbin güne kadar adlî para cezası ile cezalandırılır.
(3) Sahte oluşturulan veya üzerinde sahtecilik yapılan bir banka veya kredi kartını kullanmak suretiyle kendisine veya başkasına yarar sağlayan kişi, fiil daha ağır cezayı gerektiren başka bir suç oluşturmadığı takdirde, dört yıldan sekiz yıla kadar hapis ve beşbin güne kadar adlî para cezası ile cezalandırılır.
(4) Birinci fıkrada yer alan suçun;
- Haklarında ayrılık kararı verilmemiş eşlerden birinin,
- Üstsoy veya altsoyunun veya bu derecede kayın hısımlarından birinin veya evlat edinen veya evlâtlığın,
- Aynı konutta beraber yaşayan kardeşlerden birinin,
Zararına olarak işlenmesi hâlinde, ilgili akraba hakkında cezaya hükmolunmaz.
(5) Birinci fıkra kapsamına giren fiillerle ilgili olarak bu Kanunun malvarlığına karşı suçlara ilişkin etkin pişmanlık hükümleri uygulanır.
5464 sayılı Banka Kartları ve Kredi Kartları Kanunu’nun “Tanımlar” başlığını taşıyan 3. maddesinde;
“Banka kartı: Mevduat hesabı veya özel carî hesapların kullanımı dahil bankacılık hizmetlerinden yararlanmayı sağlayan kart,
Kredi kartı: Nakit kullanımı gerekmeksizin mal ve hizmet alımı veya nakit çekme olanağı sağlayan basılı kart veya fizikî varlığı bulunmayan kart numarası,” şeklinde tanımlanmıştır. “
Konuyla ilgili Yargıtay 8. Ceza Dairesi 2014/23295 E. , 2014/24442 K. kararı uyarınca,
“Mağdurun rızası olmaksızın ele geçirdiği kredi kartı bilgilerini internet üzerinden mail order yöntemiyle değişik zamanlarda kullanan sanık …’ün eyleminin bir bütün olarak zincirleme şekilde TCK.nun 245/1. maddesinde düzenlenen banka veya kredi kartının kötüye kullanılması suçunu oluşturduğu gözetilmeden, TCK.- nun 142/2…e maddesinde düzenlenen ve olayda unsurları bulunmayan bilişim suretiyle hırsızlık suçundan mahkumiyet kararı verilmesi, yasaya aykırı, sanık … ve Cumhuriyet Savcısının temyiz itirazları bu itibarla yerinde görülmüş olduğundan hükmün bu sebepten dolayı 5320 sayılı Yasanın 8/1. maddesi gereğince uygulanması gereken CMUK.nun 321. maddesi uyarınca (BOZULMASINA), 03.11.2014 gününde oybirliğiyle karar verildi.”
- Yasak Cihaz veya Programlar
TCK m.245/A’da hükmü aşağıdaki şekildedir:
“Bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun; münhasıran bu Bölümde yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden, ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran kişi, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adli para cezası ile cezalandırılır.”
- Tüzel kişiler hakkında güvenlik tedbiri uygulanması
Madde 246- (1) Bu bölümde yer alan suçların işlenmesi suretiyle yararına haksız menfaat sağlanan tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.
- Bilişim Suçları İşlenirken Kullanılan Bazı Yöntemler
- DDOS Saldırıları
Günümüzde en yaygın olarak görülen siber saldırılardan biri dağıtık hizmet dışı bırakma (DDoS) saldırısıdır. DDoS saldırısı çevrimiçi bir uygulama veya hizmetin çalışmasını engellemek amacıyla yapılan ve bant genişliğinin tamamını kullanarak sistemin cevap vermesini engellemeyi hedefleyen siber saldırı türü olarak tanımlanabilmektedir. (Kaynak)
Bir bilgisayar korsanı, bir sunucuyu veya ağı işe yaramaz trafikle doldurur, böylece bir web sitesi, siteyi ziyaret etmek isteyen kişiler için erişilemez hale gelir. DDOS saldırıları genellikle birçok farklı bilgisayar veya cihazdan gerçekleştirilir. Bu cihazlar bir BOTNET adı verilen bir ağa dahil edilir. Botnetler, birçok bilgisayar veya cihazı kötü amaçlı amaçlar için kullanmak için kontrol eden bir bilgisayar korsanı tarafından oluşturulur. Sonuç olarak, DDOS saldırıları normalde hiçbir şey yapmaz, sadece hizmetlerin çökmesine veya yavaşlamasına neden olurlar.Ping Flood, Ping Of Death veya SYN Flood da denir
Örnek Olay:
Kamuoyu Duyurusu (Veri İhlali Bildirimi) – …….İnşaat Sanayi ve Ticaret Anonim Şirketi
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz …………. tarafından Kurula iletilen veri ihlal bildiriminde özetle:
Veri sorumlusunun fidye yazılımı ve ayrıca hizmet dışı bırakma (DoS-DDoS) saldırılarına maruz kaldığı, İhlalin savcılık soruşturması kapsamında yapılan çalışmalar sırasında 31.01.2022 tarihinde tespit edildiği,
İhlalden etkilenen ilgili kişi gruplarının çalışanlar ve müşteriler olduğu,
İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, özlük, müşteri işlem, finans, görsel ve işitsel kayıtlar ile biyometrik veri olduğu,
İhlalden etkilenen kişi sayısının 1000 olduğu,
İhlal ile ilgili Kocaeli Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 10.02.2022 tarih ve 2022/124 sayılı Kararı ile söz konusu kişisel veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
- Kaba Kuvvet Saldırısı- Brute Force Attack
Brute force, bir şifre, PIN kodu veya diğer kimlik doğrulama mekanizmalarını kırma yöntemidir. Bu yöntem, herhangi bir hesabın veya sistemin şifresini veya kimlik doğrulama bilgilerini elde etmek için çeşitli kombinasyonlar deneyerek veya şifreleri otomatik olarak deneyerek çalışır.
Bu yöntem, kullanıcının şifresini tahmin etmek veya çalmak için genellikle otomatik yazılım araçları kullanılarak gerçekleştirilir. Bu araçlar, çeşitli parola ve kimlik doğrulama kombinasyonlarını deneyerek doğru bir eşleşme bulana kadar otomatik olarak denemeye devam ederler.
Örnek Olay:
Kamuoyu Duyurusu (Veri İhlali Bildirimi) – ….Pizza Restaurantları A.Ş.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan ……..tarafından Kurumumuza intikal ettirilen 26.06.2019 tarihli yazıda özetle;
Şirkete ait dominos.com.tr internet sitesine giriş ve site üzerinden pizza veya diğer ürün siparişleri için kullanılan, müşterilerin kendileri tarafından belirlenen kullanıcı adı ve şifrenin sızdığına ilişkin şüphe oluştuğu,
Yapılan detaylı teknik inceleme neticesinde 5225 adet müşteriye ait kullanıcı adı ve şifreye deneme yoluyla (brute-force attack) üçüncü kişiler tarafından hukuka aykırı olarak erişildiği ve internet ortamında paylaşıldığının tespit edildiği,
İhlalden etkilenen verilerin kimlik, iletişim, internet sitesi girişi için kullanılan kullanıcı adı (e-posta adresi) ve şifresi, hediye pizza ve indirim hakkı olup olmadığı bilgileri olduğu,
İlgili kişilerin …… e-posta adresinden veri ihlali ile ilgili bilgi alabileceği, ifadelerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 01.07.2019 tarih ve 2019/190 sayılı Kararı ile söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
- Ransomware- Cryptolocker (Fidye Yazılımları)
Ransomware, bir tür zararlı yazılımdır (malware), kişisel veya kurumsal bilgisayarlara bulaşarak, dosyaları şifreleyerek veya kullanılamaz hale getirerek bilgisayar sahibinden bir fidye (ransom) talep etmek için kullanılır.
Ransomware genellikle e-posta veya internetteki sahte linkler ve indirmeler aracılığıyla bulaşır ve bir kez bulaştıktan sonra, bilgisayarın tüm dosyalarını hızlı bir şekilde şifreler veya kilitler. Bu şifreleme işlemi sonrasında kullanıcı dosyalarına erişemez hale gelir. Sonrasında, bir fidye ödemesi karşılığında dosyaların yeniden erişilebilir hale getirilebileceği söylenir.
Örnek Olay:
Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Yalova Belediyesi
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan….. Belediyesi tarafından Kurumumuza gönderilen yazıda özetle;
Sunucularında yapılan inceleme sonucunda fidye yazılımıyla dosyaların şifrelendiğinin tespit edildiği, Belediye veri tabanında bulunan vatandaş bilgilerine erişimde kısıt oluştuğu,
İhlalin 30.08.2020 tarihinde 01:00-09:00 saatleri arasında gerçekleştiği, bazı sunucuların çalışmaması üzerine 30.08.2020 tarihinde saat 09:00’da tespit edildiği,
Sunucular ve firewall incelendiğinde dışarıya bir veri akışına rastlanmadığı,
İhlalden çalışanlar, kullanıcılar ve müşterilere ait kimlik, iletişim, lokasyon, müşteri işlem ve finans verilerinin etkilendiği,
İhlalden etkilenen tahmini kişi sayısının bu aşamada belirlenemediği, araştırmalara devam edildiği, ifade edilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 03.09.2020 tarih ve 2020/675 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
örnek olay: https://tr.wikipedia.org/wiki/WannaCry
- SQL Injection
SQL enjeksiyonu, bir web uygulamasına yapılan saldırılarda kullanılan bir yöntemdir. Bu saldırıda, saldırgan web uygulamasına giriş yaptığında, web uygulamasına gönderilen verilere kötü amaçlı SQL kodu ekleyerek veritabanına erişmeye çalışır.
Örneğin, bir arama formuna kötü niyetli bir kullanıcı tarafından gönderilen verilerde SQL sorgularına kötü amaçlı kod eklenerek veritabanında değişiklik yapılabilir veya veriler çalınabilir.
Örnek Olay:
Kamuoyu Duyurusu (Veri İhlali Bildirimi) – ……. International B.V.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan … International B.V. tarafından Kurumumuza gönderilen veri ihlal bildiriminde özetle;
13.08.2021 tarihinde, veri sorumlusuna ait “www.s….siparis.com” alan adlı uzaktan sipariş sitesinde bir veri ihlali gerçekleştiğinin tespit edildiği,
Veri ihlalinin SQL veri tabanının bir kopyasının ele geçirilmesiyle meydana geldiği,
İhlalin 03.07.2021 tarihinde gerçekleştiği ve 13.08.2021 tarihinde bir sosyal medya paylaşımı üzerine yapılan inceleme sonucunda tespit edildiği,
İhlalden etkilenen kişi grubunun uzaktan sipariş sitesine üye olan kullanıcılar/aboneler olduğu,
İhlalden etkilenen kişi sayısının 51.295 olduğu,
İhlalden ilgili kişilere ait ad, soyad, e-posta adresi, uzaktan sipariş hesabının şifresi, telefon numarası, adres ve önceki siparişlere ait bilgilerin etkilendiği ifade edilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 18.08.2021 tarih ve 2021/844 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
- Oltalama (Phishing)
Oltalama, bir saldırganın sahte veya yanıltıcı bir kimlik kullanarak, bir kişinin veya kuruluşun duyarlı bilgilerini veya finansal bilgilerini çalmak için kullanıcıların güvenini kazanma taktiğidir. Bu taktik, genellikle e-posta, mesajlaşma uygulamaları, sosyal medya veya sahte web siteleri aracılığıyla gerçekleştirilir.
Yasadışı yollarla kullanıcıların herhangi bir sistem için kullandıkları kullanıcı adı, şifre, kimlik bilgileri, kredi kartı ayrıntıları gibi bilgilerin ele geçirilmesidir Sözcük, İngilizce password (şifre) ve fishing (balık avlamak) sözcüklerinin birleşmesiyle oluşturulmuş phishing ifadesinin Türkçe karşılığıdır. “Yemleyici” diye tanımlanan şifre avcıları, genelde e-posta gibi yollarla kişilere ulaşır ve onların kredi kartı gibi ayrıntılarını sanki resmi bir kurummuş gibi ister. Bu tip mailleri cevaplayan kullanıcıların da hesapları, şifreleri vb. özel bilgileri çalınmaktadır (Kaynak)
Örnek olarak; format açısından resmi bir banka konseptinde bir e-posta alınır, ve bu epostada şifre, kredi kartı numarası vb. bilgilerin verilmesi önerilir. Yemleme karşısında tüm bankalar vb. kurumlar hiçbir zaman kullanıcılarından e-posta aracılığı ile özel bilgilerini istemeyeceklerini, böyle bir durumda e-postayı vb. talepleri kendilerine iletmelerini önerirler.(Kaynak)
Örnek Olay:
Kamuoyu Duyurusu (Veri İhlali Bildirimi) – …..Yazılım ve Teknoloji A.Ş.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz ……… Yazılım ve Teknoloji A.Ş. tarafından Kurula iletilen veri ihlal bildiriminde özetle;
Veri sorumlusuna karşı gerçekleştirilen oltalama saldırısı neticesinde veri sorumlusunun 3 personelinin bilgisayarına erişildiği ve bu bilgisayarların fidye yazılımı ile şifrelendiği,
Yetkisiz erişim sağlanan bilgisayarlarda çalışan ve çalışan adaylarına ait verilerin tutulduğu,
İhlalden etkilenen kişisel verilerin ad, soyad, TC kimlik numarası ve işyeri sicil numarası olduğu,
İhlalden etkilenen kişi ve kayıt sayısının henüz tespit edilemediği,
İlgili kişilerin çağrı merkezi ve e-posta aracılığıyla veri ihlali hakkında bilgi alabileceği bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 01.06.2023 tarih ve 2023/975 sayılı Kararları ile söz konusu veri ihlal bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
- Malvarlığına Karşı Suçlar
- Hırsızlık ve Nitelikli hırsızlık
Hırsızlık Madde 141- (1) Zilyedinin rızası olmadan başkasına ait taşınır bir malı, kendisine veya başkasına bir yarar sağlamak maksadıyla bulunduğu yerden alan kimseye bir yıldan üç yıla kadar hapis cezası verilir.
Nitelikli Hırsızlık Madde 142- (1) Hırsızlık suçunun;
- d) Haksız yere elde bulundurulan veya taklit anahtarla ya da diğer bir aletle kilit açmak veya kilitlenmesini
engellemek suretiyle,
- e) Bilişim sistemlerinin kullanılması suretiyle,
- f) Tanınmamak için tedbir alarak veya yetkisi olmadığı halde resmi sıfat takınarak,
- h) Herkesin girebileceği bir yerde bırakılmakla birlikte kilitlenmek suretiyle ya da bina veya eklentileri içinde muhafaza altına alınmış olan eşya hakkında, İşlenmesi hâlinde, beş yıldan on yıla kadar hapis cezasına hükmolunur.
- Nitelikli Hırsızlık ve Bilişim Sistemindeki Verilerin Değiştirilmesi Suçu arasındaki farka ilişkin Yargıtay 2. Ceza Dairesi 2019/11010 E. , 2020/568 K. kararına göre;
“Verilerin hukuka aykırı olarak ele geçirilip, bundan da yarar sağlanmasının; ekonomik değer taşısa dahi veriyi taşınır mal haline getirmeyeceği, bu itibarla; Knight Online oyunundaki katılana ait karakterin hukuka aykırı bir şekilde ele geçirilmesi eyleminin, 5237 sayılı TCK’nın 244/2-4. maddesindeki bilişim suçunu oluşturacağı gözetilmeksizin, suç vasfında yanılgıya düşülerek yazılı şekilde TCK’nın 142/2-e maddesi gereğince hırsızlık suçundan hüküm kurulması,Bozmayı gerektirmiş, sanığın temyiz itirazları bu itibarla yerinde görülmüş olduğundan hükmün bu sebeplerden dolayı isteme aykırı olarak BOZULMASINA, 13/01/2020 gününde oybirliğiyle karar verildi.”
- Bilişim Suçu ile Hırsızlık Suçu Arasındaki Farka İlişkin Yargıtay Ceza Genel Kurulu 17/11/2009 gün, 2009/11-293 Esas, 2009/268 Kararına göre,
“Sanık V.nin; firari S.T. ile birlikte hareket ederek, daha önceden haksız bir şekilde ele geçirdikleri katılan firmanın internet bankacılık şifresini kullanmak suretiyle, katılanın Şekerbank Ankara Küçükesat Şubesi’ndeki hesabından 10.750 YTL’yı Şekerbank İstanbul Zeytinburnu Şubesi’nde sanık V. adına açtırdıkları hesaba havale edip, aynı gün banka şubesinden çekmek şeklinde gerçekleştirdiği eylemdeki kastı, katılan firmanın banka hesabında bulunan, taşınır nitelikteki parayı bilişim sistemini kullanmak suretiyle kendi banka hesaplarına geçirmeye, katılanın rızasına aykırı olarak malvarlığında azalmaya neden olmaya; başka bir anlatımla var olan veriyi başka bir yere göndermekten ziyade, bu verinin temsil ettiği parayı alarak mal edinmeye yöneliktir. Kaldı ki sanığın katılanın internet bankacılık hesabında bulunan parasına ulaşmak için bilişim sistemlerini araç olarak kullanmaktan başka alternatifi de yoktur. Dolayısıyla olayımızda, 5237 sayılı TCK’nın 142/2-e maddesinde düzenlenmiş bulunan “bilişim sistemi kullanılmak suretiyle hırsızlık” suçunun gerçekleştiği kabul edilmelidir. Şu halde, sanığın eyleminin 5237 sayılı TCK’nın 142/2-e maddesindeki nitelikli hırsızlık suçunu oluşturduğunun kabul edilmesi karşısında; 244. maddenin 4. fıkrası uyarınca uygulama yapma olanağı da bulunmamaktadır”
- Yağma ve Nitelikli Yağma
- Yağma
TCK Madde 148’de “yağma suçu düzenlenmiştir.
(1) Bir başkasını, kendisinin veya yakınının hayatına, vücut veya cinsel dokunulmazlığına yönelik bir saldırı gerçekleştireceğinden ya da malvarlığı itibarıyla büyük bir zarara uğratacağından bahisle tehdit ederek veya cebir kullanarak, bir malı teslime veya malın alınmasına karşı koymamaya mecbur kılan kişi, altı yıldan on yıla kadar hapis cezası ile cezalandırılır.
- Nitelikli yağma
Madde 149- (1) Yağma suçunun;
- a) Silahla,
- b) Kişinin kendisini tanınmayacak bir hale koyması suretiyle,
- c) Birden fazla kişi tarafından birlikte,
- f) Var olan veya var sayılan suç örgütlerinin oluşturdukları korkutucu güçten yararlanılarak,
- g) Suç örgütüne yarar sağlamak maksadıyla,
- h) Gece vaktinde,
İşlenmesi halinde, fail hakkında on yıldan onbeş yıla kadar hapis cezasına hükmolunur.
- Nitelikli Dolandırıcılık
TCK m. 157’de dolandırıcılık; (“Hileli davranışlarla bir kimseyi aldatıp, onun veya başkasının zararına olarak, kendisine veya başkasına bir yarar sağlayan kişi..” olarak tanımlandırılmıştır.
TCK m.158’de ise bilişim sistemleri kullanılarak nitelikli dolandırıcılık hükümleri açıklanmıştır;
“(1) Dolandırıcılık suçunun;
- f) Bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması suretiyle,
- g) Basın ve yayın araçlarının sağladığı kolaylıktan yararlanmak suretiyle,
(3) Bu madde ile 157 nci maddede yer alan suçların, üç veya daha fazla kişi tarafından birlikte işlenmesi hâlinde verilecek ceza yarı oranında; suç işlemek için teşkil edilmiş bir örgütün faaliyeti çerçevesinde işlenmesi hâlinde verilecek ceza bir kat artırılır.”
- Hırsızlık ve Dolandırıcılık Suçunun Farkına ilişkin Yargıtay Ceza Genel Kurulu E. 2013/8-140 K. 2013/171 T. 16.4.2013 kararına göre;
“Malvarlığının yanında irade özgürlüğünün de korunduğu dolandırıcılık suçunun oluşabilmesi için;
1 ) Failin bir takım hileli davranışlarda bulunması,
2 ) Hileli davranışların mağduru aldatabilecek nitelikte olması,
3 ) Failin hileli davranışlar sonucunda mağdurun veya başkasının aleyhine, kendisi veya başkası lehine haksız bir yarar sağlaması,
Şartlarının birlikte gerçekleşmesi gerekmektedir.
….
Görüldüğü gibi, dolandırıcılık suçunu malvarlığına karşı işlenen diğer suç tiplerinden farklı kılan husus, aldatma temeline dayanan bir suç olmasıdır. Birden çok hukuki konusu olan bu suç işlenirken, sadece malvarlığı zarar görmemekte, mağdurun veya suçtan zarar görenin iradesi de hileli davranışlarla yanıltılmaktadır. Madde gerekçesinde de, aldatıcı nitelik taşıyan hareketlerle, kişiler arasındaki ilişkilerde var olması gereken iyiniyet ve güvenin bozulduğu, bu suretle kişinin irade serbestisinin etkilendiği ve irade özgürlüğünün ihlâl edildiği vurgulanmıştır.
…..
Bu açıklamalar ışığında uyuşmazlık konusu değerlendirildiğinde;
Bilişim sistemlerinin aynı anda birçok kişiye ulaşmasındaki çabukluk ve sağladığı kolaylığa dayanarak “www.sahibinden.com” adlı internet sitesinde araç satışı için ilan veren sanığın, Bursa’da yaşayan ve ilanı internet üzerinden görerek kendisini arayan katılanın önce kaparo adı altında 150 Lira, ardından aralarında vardıkları anlaşma gereği Edirne’ye gelen katılana eşinin doğum yaptığı için hastanede olduğu ve yanına gelmesi için paraya ihtiyacı olduğunu söyleyerek iki defada 2.350 Lira parayı PTT şubesi aracılığı ile göndermesini sağlaması, daha sonra da telefonunu kapatarak katılanla olan irtibatını kesmesi şeklinde meydana gelen olayda; bilişim sisteminin araç olarak kullanılması suretiyle gerçekleştirilen eylemlerin TCK’nun 158. maddesinin 1. fıkrasının ( f ) bendi uyarınca nitelikli dolandırıcılık suçunu oluşturduğu kabul edilmelidir.
Bu nedenle, sanığın bilişim sisteminin araç olarak kullanılması suretiyle dolandırıcılık suçundan mahkûmiyetine ilişkin yerel mahkeme hükmü ve bu hükmün onanmasına dair Özel Daire kararında bir isabetsizlik bulunmamaktadır.
Bu ders notları ve tüm içeriği ile ilgili Fikir ve Sanat Eserleri Kanunu ve ilgili mevzuat hükümleriyle korunan mali (İşleme, yayma, çoğaltma, temsil, İşaret, ses ve/veya görüntü nakline yarayan araçlarla umuma iletim hakkı) ve manevi fikri hakların tümü Avukat Öğretim Görevlisi Özge EVCİ ERALP’e aittir. Bu ders notları izinsiz çoğaltılamaz, yayımlanamaz ve izin alınmadan kullanılamaz, internet sitelerinde yayınlanamaz. Özge evci Eralp 2023-2024