Kanun koyucu tarafından Türk Ceza Kanununda Hukuka aykırı olarak Bilişim Sistemine Girme suç olarak tanımlanmıştır. Bilişim suçları kapsamında en sık karşılaşılan suç tipidir. Ayrıca bilişim suçları içerisinde en basit bilişim suçu da budur. Öncelikle bilişim sistemine girme işleminin hangi şekillerde olabileceğini örneklerle inceleyelim.
Bilgisayar ve benzeri bir bilişim cihazına fiziksel olarak erişimle işlenebileceği gibi uzaktan erişim veya bir ağ üzerinde oturum açarak da işlenebilen bir suçtur. Hatta bunların dışında bir sosyal medya hesabının şifresinin rıza dışı ele geçirilerek veya öğrenilerek bu hesapta oturum açma yöntemi ile de işlenebilir. Özellikle hem bilişim suçlarının temelini oluşturması hem de daha rahat anlaşılması için bundan sonraki kısımda hayali kişiler ile bir senaryo dahilinde devam edeceğim.
Ali ve Ayşe aynı şirkette çalışan iki kişidir. İşyerinde masalarında bilgisayarları bulunmaktadır. Ayrıca evlerinde de kendilerine ait internete bağlı bilgisayarları vardır. Ayşe bir sabah bilgisayarını açıp şifresini yazarken Ali görmüş ve şifreyi ezberlemiştir. Bir gün öğle tatilinde Ayşe yemeğe çıktığında Ali Ayşe’nin bilgisayarına haberi olmadan daha önceden öğrendiği ve ezberlediği şifresi ile giriş yapar(Madde 243/1) ve bir müddet bilgisayardaki dosyaları inceler.(Madde 243/1) O sırada masanın üzerinde gördüğü CD’yi bilgisayara takarak inceler.(Madde 243/1) CD’nin yanında bulunan USB flash belleği de bilgisayara takarak içeriğine bakar.(Madde 243/1)
Yukarıdaki eylemlerin herbirisi Bilişim Sistemine girme suçunu anlatmaktadır. Bilişim Sisteminin sahibinin rızası olmadan sisteme girilmiş ya da bir şekilde girilen sistemde kalınmaya devam edilmiştir. Buradaki eylemler fiziksel olarak erişim sağlanarak yapılmıştır. Ancak veriler ile ilgili bir işlem yapılmamıştır. Önemli olan hukuka uygunluk nedenlerinden birisinin olmamasıdır. Bilişim Sistemi üzerinde hak ve yetki sahibi olan kişinin şifresini kendisinin vermesi ya da giriş yapması için izin vermesi de hukuka uygunluk sebebi olarak sayılacak ve bu suçun oluşmasını engelleyecektir. Bir diğer hukuka uygunluk sebebi olarak da Kanun Hükmünün Yerine getirilmesi kapsamında adli bilişim incelemesi kapsamında sistemlerin yetkili kişiler tarafından incelenmesi eylemini gösterebiliriz. Bu örneklerden de anlaşılacağı üzere Bilişim Sistemine Hukuka aykırı bir şekilde girilecek ya da bir şekilde erişim sağlanmışsa sistemde kalınmaya devam edilecektir.
Bilişim sistemine fiziksel erişimi örnekle anlattıktan sonra uzaktan erişimle sisteme girme konusunu da yine örnekle anlatalım. Ali çalıştığı işyerinde iç ağ olarak tanımlanan bilişim sitemine bağlı bir bilgisayara sahiptir. Ali gün içerisinde işyerinde çalışırken işyerinde verilerin tutulduğu veritabanı olarak kullanılan bilişim sisteminin şifresini çözmek için şifre denemeleri yapmaktadır. Kendi bilgisayarına bir şifre deneme programı kurmuş ve bu şifre deneme programı ile veritabanının şifresini tespit etmiş ve sisteme girmiştir.(Madde 243/1) Burada saldırgan şirket içi kullanılan bilişim sistemlerinin bağlı olduğu ağın bir kullanıcısı olarak bilişim sistemine girme suçunu işlemiştir. Çoğunlukla bu ağlar internete de bağlı olmaktadır. O zaman şirketin dışından ağdaki bilişim sitemlerinin erişim şifreleri önceden bilinerek ya da yine deneme yapılarak tespit edilir ve yetkisiz erişim sağlanırsa yine bu suç işlenmiş olur.
Maddenin birinci fıkrasındaki suçun temel şeklindeki seçimlik olan ikinci kısım yani sistemde kalmaya devam eden cümlesindeki suçun nasıl işlenebileceğini inceleyelim. Kişisel bilişim sitemlerine ya da kurum veya şirketlerin bilişim sistemlerine teknik destek vermek maksadıyla teknik destek veren kişi veya şirketlerle uzaktan erişimle destek verme konusunda bir anlaşma yaptığımızı düşünelim. Sisteme erişim bilgilerini destek almak amacıyla bu kişi ya da kişilere veriyoruz. Aramızdaki sözleşme devam ettiği sürece bizim rızamızla sistemimize erişim sağlayıp destek veriyorlar. Ancak sözleşmemiz bitince artık rızamız kalmıyor. İşte bu andan sonra sistemimizin içerisinde yani bilşim sistemimizde kalmaya devam ediliyorsa artık rızamız olmadığı için suçun “sistemde kalmaya devam eden” olarak işlendiğini söyleyebiliriz.
Söz konusu maddenin 3. fıkrası ise suçun nitelikli halini gösteriyor. Ancak bu fıkrada dikkat edilmesi gerekli olan husus 244. madde ile karıştırılmaması için fıkradaki “Bilişim sistemine girme fiili nedeniyle sistemin içerdiği veriler yok olur veya değişirse” cümlesine dikkat edilmesidir. Yetkisiz erişim sağlanan bilişim sitemindeki verilerin sadece bilişim sitemine girerken veya çıkarken bu eylem yüzünden yok olması veya değişmesi gerekiyor. Yetkisiz erişim sağlayanın sistemdeki bilgileri değiştirmek için özel bir çabası olmamasına rağmen, sadece sisteme girildiği için bu bilgiler değişmeli veya yok olmalıdır. Eğer bilinçli yapılırsa 244. madde kapsamında değerlendirilmesi gerekir. Bu fıkradan anlaşılması gereken birinci fıkrada tanımlanan suçun işlenmesi nedeniyle sistemin içerdiği verilerin yok olması veya değişmesi hâlinde sisteme hukuka aykırı olarak yetkisiz erişim sağlayan kişinin, suçun temel şekline göre daha ağır ceza ile cezalandırılmasıdır. Suçun temel halini işleyen kişinin neticesi itibarıyla ağırlaştırma yani kalma düşüncesi içerisindeyken verilerde değişikliğe neden olmak suretiyle daha ağır bir ceza ile karşılaşmasıdır. Burada öne çıkan suçu işleyen failin iradesidir.
Bilişim sitemine yetkisiz erişimden bahsederken sadece elektronik cihazlar olarak algılanmaması için şunu da eklemek lazım. Bu madde kapsamında değerlendirilmesi gereken diğer ortamlardan da bahsetmek gerekir. Kişilere ait olan Sosyal Medya hesapları, web siteleri, e-posta hesapları web üzerinden hizmet veren her türlü servis ve sistemlere yapılan yetkisiz erişimler de bu madde kapsamında değerlendirilmektedir. Burada önemli olan sahibinin ya da yetkili kullanıcısının rızası olmadan sisteme erişim sağlanmasıdır.
Veri nakillerinin hukuka aykırı olarak izlenmesi de son fıkrada suç kapsamına alınmıştır. Teknolojinin süratle gelişmesi haberleşmenin bir çok şekilde yapılabilmesine imkan vermiştir. Artık bilişim sitemleri arasındaki veri nakilleri sadece kablolu bağlantı üzerinden değil bir çok farklı ortamda yapılabilmektedir. Biz sadece kablosuz iletişim diye adlandırsak da bir çok farklı protokol kullanılmaktadır. Wi-Fi, Bluetooth, GSM vb bir çok haberleşme protokolü vardır. Veri bu protokoller kullanılarak bir bilişim sisteminden bir diğerine hareket eder. İşte bu hareket esnasında uygun bir yazılım veya yazılımla birlikte kullanılan donanım kullanılarak iki bilişim siteminin arasına girilip veri izleniyorsa ki kanun koyucu sadece izlenmesini burada suç kapsamına almıştır. Değiştirme, yok etme vb eylemler 244. madde kapsamında değerlendirilmektedir. Örnek vermek gerekirse komşunun kablosuz internet ağına şifresini kırıp girmek bu maddenin temel şekline girmektedir. Burada kanun koyucu sisteme girmeksizin diyerek dikkat çekmiştir.
İkinci fıkradaki hafifletici neden olarak gösterilen ve suçun temel şeklinin “bedeli karşılığı yararlanılabilen sistemler” olarak tanımlanan bilişim sistemlerine karşı işlendiği taktirde cezanın yarısı oranında indirilmesi beraberinde bir tartışmayı da getirir. TCK Madde 243 kanun koyucu tarafından düzenlenirken korunması gereken hukuki değer temelde “bilişim siteminin güvenliği” olarak belirlenmiştir. Bunun yanında “veri gizliliği”, “özel hayatın dokunulmazlığı” ve “malvarlığı değerlerinin korunması” gibi hukuki değerlerde korunmaktadır. Göründüğü kadar karma bir takım değerler korunmaktadır. Doç.Dr. Murat Volkan DÜLGER hocamızın da belirttiği gibi bir sistemin ücretli veya ücretsiz hizmet vermesinin söz konusu madde ile korunan hukuki değerler açısından bir farkı bulunmamaktadır. Öyle ki aynı sunucudan hizmet alan ve dosyaları bulunan iki web sitesinden birisinin ücret karşılığı hizmet vermesi ve diğerinin de ücretsiz hizmet vermesi durumunda bu sunucuya yapılacak bir siber saldırı ile sunucuya yetkisiz bir erişim sağlandığında iki farklı ceza söz konusu olacaktır. Böyle bir durum kabul edilemez.
Bilişim Sistemine Girme suçu ile ilgili Türk Ceza Kanununda bulunan içtima maddeleri incelendiğinde bu suçun Zincirleme suç olarak işlenebileceği görülmektedir. TCK madde 43’te Zincirleme suç suç işleme kararı kapsamında değişik zamanlarda tek bir kişiye karşı aynı suçun işlenmesi veya bir suçun birden fazla kişiye karşı tek bir fiille icra edilmesi durumu olarak tanımlanmıştır. Aynı suç işleme kararı ile, bir bilişim sitemine hukuka aykırı olarak erişim sağlayan veya sistemde kalmaya devam eden failin, ertesi gün aynı şekilde aynı kişiye ait sisteme erişim sağlaması veya orada kalması ve daha sonraki zamanlarda da bu eylemini ara ara devam ettirmesi durumunda TCK 43/1 hükmünden; tek bir eylemi ile birden fazla bilişim sistemine erişim sağlar veya sistemde kalmaya devan ederse TCK m. 43/2 hükmünden zincirleme suç kapsamına girecektir. Her iki fıkrada cezanın dörtte birinden dörtte üçüne kadar artırılmasını hükmeder.
Bilişim Sistemine Girme (TCK Madde 243) suçunun cezası kanunda aşağıdaki gibi düzenlenmiştir:
- Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adli para cezası verilir.(TCK m.243/1)
- Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi halinde, verilecek ceza yarı oranına kadar indirilir.(TCK m.243/2)
- Bilişim sistemine girme fiili nedeniyle sistemin içerdiği veriler yok olur veya değişirse, 6 aydan 2 yıla kadar hapis cezasına hükmolunur.(TCK m.243/3)
- Bir bilişim sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı olarak izleyen kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır.(TCK m.243/4)
Bu suçun soruşturulması için şikayet gerekli değildir. Savcılıklar res’en soruşturma açabilirler. Sadece suçun işlendiği ile ilgili Savcılıkların bilgisinin olması yeterlidir. Suçun cezasının 5 yıldan fazla olmadığı ve adlî para cezasını gerektirdiği göz önünde bulundurulduğunda dava zamanaşımı süresinin de 8 yıl olduğunu söyleyebiliriz. Bilişim Sistemine Girme suçu uzlaştırma kapsamındaki suçlardan değildir.
TCK daki Bilişim Suçları maddelerini genel olarak incelediğimizde kanun koyucunun teknolojinin gelişmesi ve buna paralel olarak bilişim suçlarının da çeşitlenmesiyle ortaya çıkan ihtiyaca göre kanunu geliştirdiğini görüyoruz. Ancak ceza kanunu kapsamında başka hiç bir alan bu kadar hızla gelişmemektedir. Hakimlerin karşısına herbirisi birbirinden farklı birçok olay gelmektedir. Her bir olay kendi başına değerlendirilmektedir. Bilişim Suçları her gün farklı bir şekil almaktadır. Bir yıl önce akla bile gelmeyecek suçlar ortaya çıkmaktadır. Gelecekte sadece Bilişim Suçları için ayrı bir kanun bile yapılabilir. Bu kadar hızlı gelişen bir alana özel bir çerçeveden bakmak ve hızlı bir şekilde gelişmeye açık kanun düzenlenmesi artık ortaya çıkmış bir ihtiyaçtır.