BİLİŞİM SUÇLARI VE DELİLLENDİRME SÜRECİ

BİLİŞİM SUÇLARI VE DELİLLENDİRME SÜRECİ Özet Yrd. Doç. Dr. Hüseyin ÇAKIR * Ercan SERT ** Bilişim ve internet teknolojilerinde yaşanan hızlı gelişim sürecinin hayatımızın pek çok alanında olumlu sonuçları yanında kontrol edilmesi güç sorunları da beraberinde getirdiği görülmektedir. Bugün bilişim alanındaki hızlı gelişmeler bilişim suçları olgusuyla karşı karşıya kalmamıza neden olmuştur. Bilişim suçlarının ortaya çıkmasıyla bu yeni suç türüyle mücadele için çalışmalar da paralel bir şekilde gelişmeye başlamıştır. Bilişim suçlarının aydınlatılmasında da delillendirme süreci büyük önem kazanmıştır. Günümüzde Türkiye de bilişim suçlarının soruşturulması sürecinde adli kolluk birimlerinden, bilişim suçları davalarına bakan hâkim ve savcılara kadar birçok kamu görevlisi görev alarak mücadele etmektedir. Bu çalışma ile Türkiye deki bilişim suçlarıyla mücadelede işleyen delillendirme sürecinin nasıl bir durumda olduğu, bu süreçte görev alan bilişim uzmanlarının görüşleri ışığında ortaya konulmaya çalışılmıştır. Bu çalışma aynı zamanda bilişim suçlarıyla mücadele sürecinde yaşanan hukuki sorunlar başta olmak üzere, uzman personel ve teknik alt yapı vb. alanlarda yaşanan sorunlara ışık tutmaktadır. Anahtar Kelimeler: Bilişim, Bilişim Suçları, Dijital Delil, Adli Bilişim, Dellilendirme Süreci * Gazi Üniversitesi, Endüstriyel Sanatlar Eğitim Fakültesi, Bilgisayar Eğitimi Bölümü, hcakir@gazi.edu.tr ** Polis Akademisi, Güvenlik Bilimleri Fakültesi, esert@egm.gov.tr 143

ÖRGÜTLÜ SUÇLAR ve YENİ TRENDLER Giriş Bilişim ve internet teknolojilerinin hayatımızı kolaylaştırmak için yaşantımızın her alanına girmesi ile birlikte, bu hızlı gelişim sürecinin olumlu sonuçları yanında kontrol edilmesi güç sorunları da beraberinde getirmektedir. Suç olgusunda, gelişen teknoloji ve bilişim çağına dönük değişmeler başlamıştır. Örneğin; adi hırsızlık ve dolandırıcılık gibi suçlar, teknoloji ve bilişim yoluyla işlenir hale gelmekte ve yeni suç türlerinin oluşmasına neden olmaktadır. Her geçen gün bu yolla işlenen suçlar artış ve çeşitlilik göstermektedir. İnsanlara iş hayatından gündelik yaşantısına kadar kolaylık getiren bu teknoloji, suçlular için de hedeflerine ulaşmak için kolay bir yol çizmektedir. Ayrıca daha önce belli bir bölge ile sınırlı olan bu suçlar bilişim teknolojilerinin sunmuş olduğu imkânlarla sınırları aşmakta ve küresel hale gelmektedir. Bilişim teknolojisinin gelişmesi ve bilginin eski devirlere göre daha çok önem kazanması, bilginin ekonomik, sosyal, siyasal değerinin artması bu değerler üzerinde kolay yoldan söz hakkına sahip olmak isteyen kişileri bilişim teknolojileri marifetiyle suç işler hale getirmiştir (Şen, 2003). Bu şekilde ortaya çıkan bilişim suçlarının önlenmesi, caydırılması, suçluların takibi ve yakalanması büyük önem arz etmektedir. Bu çalışma, bilişim suçlarının delillendirilmesi sürecinin nasıl işlediğini ve karşılaşılan sorunları ortaya koymayı amaçlamaktadır. 1. Bilişim Kavramı ve Bilişim Suçları Türk Dil Kurumu sözlüğünde bilişim, insanoğlunun teknik, ekonomik ve toplumsal alanlardaki iletişiminde kullandığı ve bilimin dayanağı olan bilginin özellikle elektronik makineler aracılığıyla düzenli ve akla uygun bir biçimde işlenmesi bilimi olarak tanımlanmaktadır. Bu kapsamda bilişim teknolojisi, bilişimde kullanılan bütün araç ve gereçlerin oluşturduğu sistem olarak tanımlanmaktadır. 1 1 Bkz. http://www.tdk.gov.tr 144

BİLİŞİM SUÇLARI VE DELİLLENDİRME SÜRECİ Genel anlamda suçun, bilişim sistemlerine karşı veya bilişim sistemleri ile işlenen suçları ifade eden bilişim suçları kavramı, en basit tabiriyle bilgisayar suçları olarak tanımlayabildiğimiz gibi; siber suçlar, dijital suçlar, internet suçları, bilişim suçları, ileri teknoloji suçları vs. tanımlamaları ile de karşılaşmaktayız. Diğer ülkelerde yapılan tanımlarda ise; Bilgisayar Suçları (Computer Crimes), Siber Suçlar (Cyber Crimes), Bilgi Teknolojileri Suçları (Crimes of Information Technologies), Ağ Suçları (Crime of Networks) gibi tanımlamalara da rastlanmaktadır. Aslında tüm bunlar ile bu suçların bir kısmının tanımlanması yapılmaktadır. Ancak ülkemizde Bilişim Teknolojileri Suçları olarak geçen (Crimes of Information Technologies) bu suçların alanı açısından tanım olarak daha iyi uymaktadır. Bu yüzden daha kısa ve yalın bir ifade ile Bilişim Suçları kavramı daha yaygın olarak kullanılmaktadır (Dijle, 2006). Bilişim suçları, çok kapsamlı bir konu olduğu için birçok tanım ve sınıflandırma ile karşılaşmak mümkündür. Bu tanımlardan bir tanesi şu şekildedir; Ceza kanununu ihlal eden, işlenmesinde veya araştırılmasında bilgisayar teknolojisi bilgilerini içeren her suç bilişim suçu olarak tanımlanmaktadır (USDOJ, 2004). Avustralya, Sydney Üniversitesi, Bilişim Sistemleri Fakültesi öğretim üyesi, Dr. Jim Underwood, bilişim suçunu; Geleneksel suçlardan olan, hırsızlık, dolandırıcılık, sahtecilik ve cinsel istismar gibi suçların, bilgisayar veya bilgisayar ağı kullanılarak işlenmesi olarak tanımlamıştır (Say, 2006). Geniş bir çalışma sahasını kapsaması nedeniyle yapılan her tanım, bilişim suçlarının farklı bir yönünü ortaya koymaktadır. Bilişim sözcüğünü kullanarak adlandırılan bilişim suçu kavramı, bilişim ile ilintili her tür suçu kapsamaktadır (Say, 2006). Bilişim suçlarının diğer suçlardan ayıran temel bazı farklılıklar vardır. Bu farklılıklar; zaman, mekân veya yer ile sınırlı olmadan meydana gelmesi, kolayca tanımlanabilecek sınırlara sahip olmaması, ülke ve yargı sınırlarını aşması, kanunlaştırma ve delillendirmenin güç ve dikkate değer teknik bilgi gerektirmesi, henüz bu alanda neyin suç olup olmadığı konusunda net tanımların oluşmaması olarak sayılabilmektedir. Bir suçlunun işlediği suçtan sonra o suçla ilgili delil, iz ve emare bırakmaması değişmeyen bir kural olarak kendi elinde olmadığı gibi, bilişim sistemleri ile işlenen suçlarda da suç ile ilgili deliller farklı şekil ve formatlarda suç sonrasında dijital delil olarak 145

ÖRGÜTLÜ SUÇLAR ve YENİ TRENDLER bulunabilmektedir. Locard ın değişim prensibine göre, suç sahnesine giren bir şey veya bir kişi, olay yerinden bazı şeyleri yanına alırken, birtakım şeyleri de olay yerinde bırakır (Casey, 2004). Bilişim sistemleri üzerinde ise, iz bırakmadan işlem yapmak neredeyse imkânsızdır. Önemli olan bu izleri doğru bir şekilde tespit edip, sonuca götürücü verilere ulaşmaktır (Uzunay ve Bıçakçı, 2005). Bu işlemlerin sağlıklı ve bilimsel olarak yürütülmesi amacıyla adli bilişim bilimi ortaya çıkmış ve gelişmeye başlamıştır. 2. Adli Bilişim Bilimi ve Delillendirme Adli bilişim bilimi; suçun aydınlatılabilmesi için bilimsel metodolojiler kullanılarak, çeşitli varyasyonlardaki dijital medyalar üzerinde bulunan, suçla ilgili dijital delillerin bozulmadan ve zarar görmeden anlaşılabilir bir şekilde adalet önüne sunulmaya hazır hale getirilmesini sağlayan ve başlı başına bilimsel teknik prensiplerin uygulandığı bir delil inceleme sürecinin bütünüdür (Ekizer, 2008). Bilişim alanındaki suç tipleri incelenirken Avrupa Birliği, Avrupa Konseyi, diğer Avrupa Ülkeleri ve Birleşmiş Milletler tarafından yapılan tanımlardan istifade edilerek aşağıdaki suç tipleri belirlenmiş ve 11.06.1999 tarihinde hazırlanan Bilişim Suçları raporunda da belirtilmiştir. Bu suç tiplerine bakacak olursak; Bilgisayar Sistemlerine ve Servislerine Yetkisiz Erişim ve Dinleme Bilgisayar Sabotajı Bilgisayar Yoluyla Dolandırıcılık Bilgisayar Yoluyla Sahtecilik Kanunla Korunmuş Bir Yazılımın İzinsiz Kullanımı Diğer Suçlar (Yasadışı Yayınlar, Pornografik Yayınlar, Hakaret ve Sövme), şeklindedir (Özdemir, 2008). Bununla birlikte bilişim alanındaki suç tipleri ile ilgili bir diğer ayrımı şu şekilde yapılmıştır; Bilgisayarın fiziki yapısına zarar verme fiilleri, bilgisayarın tek başına çalışma sistemine ilişkin fiiller ve 146

BİLİŞİM SUÇLARI VE DELİLLENDİRME SÜRECİ bilgisayar ağlarına yönelen bir başka deyişle internet ortamında ya da internet yoluyla işlenen suçlar şeklindedir (Karagülmez, 2005). Dijital deliller, dünya için oldukça yeni bir kavramdır. Özellikle bilişim suçlarındaki yoğun artıştan sonra, bilimsel alanda da çok yoğun tartışmaların odak noktası olmuş olan dijital deliller hakkında farklı tanımlamalar mevcuttur. Shinder e göre bir bilişim suçu ile ilgili, elektronik veya manyetik bir ortam üzerinden iletilen veya bu ortamlara kaydedilen bilgilere dijital delil denilmektedir (Shinder, 2002). Chisum ise dijital delilleri bir suçun nasıl olduğunu veya suçtaki kritik elemanları adresleyen teorileri destekleyen veya çürüten, bilgisayar sistemleri kullanılarak kayıt edilen veya iletilen veriler olarak tanımlamıştır (Chisum, 1999). Son olarak Casey in (2000) tanımına bakıldığına dijital deliller bir suçun işlendiğini gösteren veya suç ile kurban ya da suç ile faili arasında bir ilişki sağlayan veriler olarak karşımıza çıkmaktadır. ABD Adalet Bakanlığı na bağlı Ulusal Adalet Enstitüsü, dijital delillerin yapısal özelliklerini; DNA ve parmak izi gibi latenttir; kolaylıkla değiştirilebilir, bozulabilir veya yok edilebilir; dünya çapında bir alana dağılmış olabilir; zamana bağlı olabilir, olarak tanımlamıştır (Ashcroft, 2001). ABD, İngiltere ve Almanya gibi gelişmiş ülkelerde bilişim suçları hakkında cezalar getiren birçok kanunun olduğu görülmektedir. Ülkemiz kanunları ile kıyaslandığında ise ülkemiz ceza yasalarının ve olay yeri inceleme yönetmeliğinin yetersiz kaldığı görülmektedir (Say, 2006). Türkiye de bilişim suçlarıyla ilgili gerekli çalışmalar ve bu suçlar için ceza kanunlarında tanımlamalar yapılmıştır. 765 Sayılı TCK nin 1991 yılı değişiklikleri ile birlikte bilişim alanında suçlar başlıklı 11. babında çeşitli suçlar ve 5237 Sayılı TCK nın ilgili maddelerinde bilişim suçlarına ilişkin maddeler düzenlenmiştir (Ketizmen, 2006). Özel şirketler, kamu kuruluşları ve güvenlik birimleri bilişim suçlarıyla mücadele için alt yapı ve Ar-Ge çalışmalarını gelişen suça karşı hızlı bir şekilde yürütmektedir. Ancak yapılan mücadelede teknik ve hukuksal olarak bazı sorunlar yaşanmaktadır. Bunların en önemlileri dijital verilerin delillendirilmesi, bütünlüğü ve doğrulanmasıdır. Özellikle güvenlik birimleri, suç sonrası adli soruşturma yürütülmesi aşamalarında bu sorunlarla karşılaşmaktadır. 147

ÖRGÜTLÜ SUÇLAR ve YENİ TRENDLER Hukuki olarak elde edilen delillerin geçerli sayılabilmesi için gerekli bazı presüderler yerine getirilmesi ve uluslararası standartları taşıması büyük önem arz etmektedir. Dijital verilerde, yapılacak en küçük hatada, verilerin zarar görmesi ve yok olması söz konusudur. Dijital deliler yapıları itibariyle, diğer suçlarda elde edilen fiziksel delillere bakarak daha hassas ve kolay bozulabildikleri için birçok sıkıntıyı içermektedirler (Uzunay, 2005?). Bu amaçla olaya ilk müdahale eden ekipten, incelemenin uzman birim ve laboratuarlarda yapıldıktan sonra sonuçların mahkemeye sunulmasına kadar olan her aşama büyük önem taşımaktadır. Dijital delillerin mahkeme esnasında kabul edilebilirliğini sağlamak için sadece doğrulamada kullanılacak teknik yöntemler yeterli değildir. Delillerin incelendiği laboratuarın standartlarının delil incelemeye uygun olup olmadığı, kullanılan araç, gereç ve yöntemlerin uygunluğu gibi başka birçok konunun da değerlendirilmeye alınması gerekmektedir. Bu yüzden bilişim suçlarıyla mücadele eden birimler için uluslararası standartların belirlenerek, bu standartların uygulamaya konulması da oldukça önemlidir (Uzunay & Bıçakçı, 2005). Dijital delilleri belirli metoda ve prosedürlere uygun olarak araştırmak ve delillendirmek için birtakım ortak süreçlere ihtiyaç vardır (Uzunay, 2005). Aşağıda Casey in (2004) oluşturduğu 12 basamaklı süreç modeli görülmektedir: Şekil 1. Dijital delil araştırma süreç modeli (Casey, 2004). 148

BİLİŞİM SUÇLARI VE DELİLLENDİRME SÜRECİ Bu anlamda ülkemizde bilişim suçlarının delillendirilmesiyle ilgili bilimsel çalışmalar yeni yapılmaktadır. Ülkemizde Adli Tıp esaslarına göre delillendirme yapmak için belirlenen ana hususlar; 1. Yapılan her işlemin kayıt altına alınması, 2. Yapılacak işlemleri kontrol listesi şeklinde oluşturup arada atılması gereken adımların unutulmaması, 3. Delillerin iyi toplanması ve muhafaza edilmesi, 4. Delil üzerinde yapılan her işlemin kayıt altına alınması, 5. Suçun türüne göre analiz çalışmalarının yapılması, şeklinde sıralanmıştır (Aktepe, 2004). Bilişim suçlarının delillendirilmesiyle ilgili bir diğer modellendirme ise Şekil 2 de gösterildiği gibi dijital delillendirme döngü modelidir. Döngü modelinde ilk safha, olay yerine gidildiğinde dijital delillerin teşhis edilmesidir. Bu safhayı sırasıyla; dijital delilleri koruma, dijital delilleri analiz etme ve dijital delilleri sunma safhaları takip etmektedir. İlk safhada bilişim suçları uzmanları tarafından nerelerde delil olabileceği saptanır. Burada üzerinde durulması gereken ve en önemli konulardan birisi, özellikle delil niteliği taşıyabilecek uçucu bilgilerin (volatile data) bozulmadan korunmaya alınmasıdır (Koçak ve Uzunay, 2005) Uçucu veriler, bilgisayar sistemleri üzerinde, geçici kayıt bölgelerinde tutulan ve elektrik gücü kesildiğinde içeriği sıfırlanan verilerdir (Shinder, 2002). Şekil 2. Dijital delillendirme döngü modeli (Koçak ve Uzunay, 2005) 149

ÖRGÜTLÜ SUÇLAR ve YENİ TRENDLER Bilişim suçlarında delil toplamada başarılı olunabilmesi için, öncelikle konunun bir bütün olarak dayandığı temeller dikkate alınmalıdır. Söz konusu bütünü oluşturan temel dayanaklara ne kadar çok hassasiyet gösterilirse, bilişim suçları ile ilgili delil toplamada o oranda başarı yükseltilebilir. Bu dayanakları oluşturan başlıca konular; a) Bilişim suçlarının kendine özgü bünyesinin gözetilmesi, b) Bilişim suçları ile klasik suçların karşılaştırılması, c) Bilişim suçlarının normatif olarak düzenlenmesi, d) Bilişim suçlarında delil toplamada, eğitimli teknik personelin istihdam edilmesi, e) Bilişim suçlarında teknik donanım, delil elde edilmesi ve saklanması (Karagülmez, 2005). Bilişim suçlarında delil toplamada başarılı olunabilmesi için dijital delillerin toplanmasına yönelik belirlenen standartlar şunlardır (IACIS, 2004): 1. Orijinal deliller ilk bulundukları durum ve şartlara benzer şartlarda korunmalıdır. 2. Orijinal delillerin bütünlüğünü bozmamak için mümkünse bire bir kopyası alınmalıdır. 3. Kopyanın üzerine alınacağı medya Adli Tıp yönünden steril (Forensically sterile) olmalıdır, yani üzerinde daha önceden herhangi bir veri bulunmamalıdır ve virüs ve diğer zararlı kodlara karşı kesinlikle temiz olmalıdır. 4. Deliller mutlak suretle etiketlenmeli, korunmalı ve belgelendirilmelidir. 5. Adli inceleme esnasındaki bütün basamaklar ve yapılan işlemler yazılı hale getirilmelidir (Koçak ve Uzunay, 2005). Burada özellikle üzerinde durulması gereken durum, bilgisayar delillendirme sürecinde kullanılabilecek sadece bir tek hak vardır. Bunu 150

BİLİŞİM SUÇLARI VE DELİLLENDİRME SÜRECİ iyi kullanabilmek ancak kullanılan araçlar üzerinde tam hâkimiyet ile olabilir (Anderson, 2002). Günümüzde Türkiye de bilişim suçlarının soruşturulması sürecinde adli kolluk birimlerinden, bilişim suçları davalarına bakan hâkim ve savcılara kadar birçok kamu görevlisi görev alarak mücadele etmektedir. Kanunlar çerçevesinde bu suçla mücadele süreci içerisinde çalışan birimlerin uyum içerisinde çalışması, gelişen teknoloji ve bilişim suç türlerine karşı kendini sürekli yenilemesi gerekmektedir. Öyle ki bilişim suçları sadece ulusal değil uluslararası boyutlara ulaşan bir yapıya da sahiptir. Özellikle Siber terörizm kavramının yazılı ve görsel medyada, ulusal ya da uluslar arası arenada çok fazla kullanılmaya başladığı görülmektedir. Son yıllarda terör ve terörizm konularına çok büyük bir önem verildiği görülmektedir. Bu nedenle mücadele için uluslararası işbirliğine ihtiyaç vardır. Bilgisayar adli tıbbı olarak ifade edilen bilimin elektronik delillerle ilgili üç önemli adımı vardır. Bunlar; delillerin toplanması, delillerin onaylanması ve muhafazası ile delillerin analizidir (Handbook of Forensic Services, 1999). Türkiye deki bu durum, işleyen sürecin nasıl bir durumda olduğu, eksikliklerinin ve yapılması gerekenlerin belirlenmesi açısından büyük önem taşımaktadır. Yapılacak çalışmalarla bunlar ortaya konulmaya, sorunlar ve çözüm önerileri belirlenmeye çalışılacaktır. Bu çalışmada; Türkiye deki Bilişim Suçlarıyla mücadelede işleyen sürecin nasıl bir durumda olduğu ve sorunlar ile çözüm önerileri ortaya konulmaya çalışılmıştır. Bilişim suçlarıyla mücadelede eksiklikleri ve yapılması gerekenlerin belirlenmesi açısından bu gibi araştırmalar büyük önem taşımaktadır. Bu çalışmanın temel amacı, Bilişim suçlarının soruşturulması sürecinin safhaları; a) Olay yerinde dijital delillerin teşhis ve elde edilmesi ile güvenlik, b) Dijital delilleri koruma ve muhafaza etme, c) Dijital delilleri inceleme ve analiz etme, d) Dijital delilleri raporlama ve adli makamlara sunma, süreçlerini bilişim suçlarıyla mücadele açısından ele almaktır. Bu genel amaç çerçevesinde, aşağıdaki on yedi soruya cevap aranmıştır: 151

ÖRGÜTLÜ SUÇLAR ve YENİ TRENDLER Olay Yerinde Dijital Delilleri Teşhis ve Elde Etme 1. Bilişim suçlarının delilleri olan dijital medyaların (verilerin) olay yerinde teşhis edilmesi sırasında yapılması gereken işlemler nelerdir? 2. Olay yerinde nerelerde bilişim suçu delili olabileceği nasıl saptanmaktadır? 3. Dijital medyalara ilk müdahale sırasında yapılması gereken işlemlerde dikkat edilmesi gereken önemli hususlar nelerdir? 4. Yapılan işlemlerle ilgili belirlenmiş bir standart var mıdır? Ve bu işlemleri yapan birimler bu standartları uygulamakta mıdır? 5. Dijital delillerin teşhisinde, hukuki makamlar, ilgili uzmanlardan net olarak ne istemektedirler? 6. Bu aşamada yaşanan sorunlar nelerdir ve bu sorunlara ne gibi çözümler getirilebilir? Dijital Delilleri Koruma ve Muhafaza Etme 7. Dijital deliller incelenmek için toplanırken nasıl korunmakta ve analiz aşamasına kadar nasıl muhafaza edilmektedir? 8. Koruma işlemi sırasında işleyişte ne gibi sorunlarla karşılaşılmaktadır? 9. Karşılaşılan sorunlara yönelik çözüm önerileriniz nelerdir? Dijital Delilleri İnceleme ve Analiz Etme 10. Dijital delillerin analizinde hangi yöntemler kullanılmaktadır? Bu yöntemlerden en önemlileri hangileridir ve uygulamada hangi yöntemler daha çok tercih edilmektedir? 11. Dijital delillerin analizinde işleyiş ne şekilde olmaktadır. Bu işleyişle ilgili yaşanan sorunlar ve çözüm önerileriniz nelerdir? 12. Adli makamlar, analiz birimlerinden dijital deliller ile ilgili ne gibi taleplerde bulunmaktadırlar? 152

BİLİŞİM SUÇLARI VE DELİLLENDİRME SÜRECİ 13. Hangi suçlara yönelik delillendirme talep edilmektedir? 14. Analiz safhasında yapılan hatalar var mıdır? Varsa ne tür hatalar yapılmaktadır? Dijital Delilleri Raporlama ve Adli Makamlara Sunma 15. Bilişim suçlarıyla mücadele eden kolluk güçleri adli makamların taleplerini nasıl ve ne şekilde yerine getirmektedirler. Deliller adli makamlara hangi şekilde sunulmaktadır? 16. Bu süreçte adli makamlar açısından yaşanan sorunlar nelerdir? 17. Uluslararası içeriğe sahip suçlarda izlenen yol nedir? Bu süreçte Türkiye olarak soruşturma nasıl yürütülmektedir. Ne gibi sorunlar yaşanmaktadır. Yaşanan sorunlara idari ve hukuki olarak ne gibi çözümler getirilebilir? 3. Yöntem Bu çalışmada nitel araştırma yöntemlerinden yarı yapılandırılmış görüşme tekniği kullanılmıştır. Nitel araştırma teknikleri nicel araştırmalarda vurgulananların tersine ölçümden ziyade açıklamayı olanaklı kılacak ilişkileri ortaya çıkarmayı, olay ve olguların içinde gerçekleştiği durumu dikkate almayı önemser. Bu çalışmanın amacına yönelik olarak hazırlanan yarı yapılandırılmış görüşme formu öncelikle uzman görüşüne sunulmuştur. Görüşme formundaki sorular önce literatür taraması yapılarak, daha sonra ilgili uzman görüşleri alınarak araştırmanın amacına uygun olarak hazırlanmış, soruların araştırmanın amacına tam anlamıyla hizmet edebileceği anlaşıldıktan sonra uygulanmıştır. Araştırmanın katılımcıları, Emniyet Teşkilatında adli bilişim alanında çalışan 24-36 yaşları arasında üniversite mezunu toplam sekiz bay personelden oluşmaktadır. Görüşme formunda, yarı yapılandırılmış ve açık uçlu olmak üzere toplam 17 soru bulunmaktadır. Sorular, Türkiye deki bilişim suçlarıyla mücadelede işleyen sürecin nasıl bir durumda olduğunu, eksiklikleri ve yapılması gerekenleri belirleme- 153

ÖRGÜTLÜ SUÇLAR ve YENİ TRENDLER ye yöneliktir. Anket ve belgelerden elde edilen ham veriler içerik analizi tekniği (Yıldırım ve Şimşek, 2005) kullanılarak analiz edilip yorumlanmıştır. Görüşme yapılan kişilerin verdiği yanıtlar ortak noktaları doğrultusunda kategorilenmiş ve bu kategoriler bulgular bölümünde ele alınıp açıklanmıştır. Çalışma verilerinin yüz yüze görüşme yöntemiyle toplanması nedeniyle az sayıda Emniyet Teşkilatında adli bilişim alanında çalışan toplam sekiz kişinin görüşünün alınması bu araştırmanın sınırlılıklarındandır. 4. Bulgular Görüşme formundan elde edilen veriler kodlanarak bilgisayar ortamına aktarılmıştır. Araştırmada elde edilen veriler, yapılan analizleri sonucunda, araştırmanın alt amaçlarına ilişkin sorulara ve bunlara ilişkin cevaplara yer verilmiştir. 4.1. Olay Yerinde Dijital Delilleri Teşhis Ve Elde Etme Bilişim suçları delilleri olan dijital medyaların (verilerin) olay yerinde teşhis edilmesi sırasında yapılması gereken işlemler nelerdir? Bu soruya uzmanların vermiş oldukları cevaplardan en öne çıkanı genel olarak suç mahalline müdahalede dikkat edilmesi gerektiği gibi Çevre güvenliğinin iyi bir şekilde alınması, delil olabilecek materyallere sadece Adli Bilişim alanında uzman personel tarafından müdahale edilmesi, teşhisin acele değil yavaş ve detaylı bir şekilde yapılması ve Dijital medyaların dış etkilerden (su, elektrik vb.) zarar görmesinin engellenmesi gerekliliğidir. Bununla birlikte Öncelikle yapılan aramaya gidecek olan personelin ne araması gerektiği ne ile karşılaşabileceği hakkında detaylı bilgilerin verilmesi gerekliliğidir. Günümüzde gelişen teknoloji ile beraber dijital medyaların kapasitelerinin yanında görünüm olarak da çok geliştiği, küçüldüğü görülmektedir. Bu yüzden; Kalem görünümlü bir USB bellek olabileceği gibi düğme görünümlü kameralara da rastlamak mümkündür. Bunun bilincinde olarak gerekirse bu tip gelişmeleri ve yeni çıkan 154

BİLİŞİM SUÇLARI VE DELİLLENDİRME SÜRECİ dijital medya ürünlerini internet vasıtası ile takip ederek aramalara gidilmesi gerekmekte ve büyük bir dikkat ve titizlikle acele etmeksizin arama yapılması gerekmektedir şeklinde ifade edilmektedir. Burada üzerinde durulması gereken önemli bir konuda uzmanların ifadeleriyle; En önemli unsurun her türlü dijital belleğin suç delili içerebileceği gerçeğidir. Her ne kadar mevzuat, incelemenin öncelikli olarak olay yerinde yapılmasını, bu mümkün olmadığı takdirde bir kopyasının alınması ve incelenmek üzere (İlgili birim olan KOM Şube Müdürlüğü Adli Bilişim Büro Amirliğine) kolluk tarafından götürülmesini düzenlemekte ise de şifrelenmiş paketlerin çözümünün uzun zaman alacağı ve olay yerinde yapılacak incelemede birçok suç unsurunun gözden kaçırılabileceği endişesiyle he türlü suç unsuru olabilecek dijital belleğe el konulmakta, adli bilişim personelince imajı alınmakta, imajın alınması neticesi ortaya çıkan hash değeri üzerinden her türlü inceleme yapılarak inceleme neticesinde tekrar imaj alınmakta, ortaya çıkan hash değeri ile ilk elde edilen hash değeri karşılaştırılmakta ve delil üzerinde kolluk tarafından hiçbir değişikliğin yapılamadığı ispatlanmaktadır. Öyle ki delil üzerinde yapılacak en ufak bir değişiklik bile bu hash değerinin değişmesine ve dolayısıyla delil bütünlüğünün bozulmasına neden olacak ve delilin güvenilirliğini ortadan kaldıracaktır. Dolayısıyla suç delilinin ilk hash değeri ile son hash değerinin aynı olması gerekmektedir şeklinde ifade edilmektedir. Olay yerinde nerelerde bilişim suçu delili olabileceği nasıl saptanmaktadır? Uzmanlara göre; PC, dizüstü, taşınabilir hard disk, taşınabilir bellek, CD-DVD veya disket gibi dijital medya olarak adlandırılan tüm medyaların delil olabilme ihtimali mevcuttur. Gelişen teknoloji ile beraber yazıcı, fotokopi makinesi, switch, router, wireless modem de delil kapsamına alınabilmektedir. Ayrıca bulunan veya şüphelenilen materyalin dijital medya olabileceği, olay yerinde yapılacak kısa bir fiziki inceleme ile (tabii ki delil bütünlüğünü ve materyalin fiziki yapısını bozmadan) anlaşılabilecektir. Zaten çoğu ürünün üzerinde ne olduğu yazmaktadır. Ancak 155

ÖRGÜTLÜ SUÇLAR ve YENİ TRENDLER bunun da bulunmadığı durumlarda internet araştırması sonucu ne işe yaradığı bulunabilecektir. Şu konu unutulmamalıdır ki, üzerinde veri depolama/kopyalama özelliği bulunmayan cihazlar eğer suç unsuru değilse, sadece adli inceleme için bir elektronik cihaza el konulması gereksizdir. Dijital medyalara ilk müdahale sırasında yapılması gereken işlemlerde dikkat edilmesi gereken önemli hususlar nelerdir? Bu soruya uzmanlarımız cevaplarında ana hatlarıyla şunları ifade etmişlerdir; Öncelikle medyanın tespitinin (kimin kullanımında, ne işe yarar, nereden ve ne vaziyette bulundu vs) yapılması gerekir. Daha sonra el konulan eşya eğer CMK 134 kapsamında kopyasının (imajının) alınması gereken bir medya ise delil bütünlüğünü koruyarak uluslararası adli bilişim standartlarında kopyasının (imajının) alınması gerekir. En önemli husus ilk müdahaleyi Adli Bilişim alanında uzman personelin yapmasıdır. Bilinçsiz yapılan müdahalelerde delil bütünlüğünün bozulması veya ulaşılabilecek çok önemli bilgilerin elde edilememesi gibi sonuçlar ortaya çıkabilir. Eğer dijital medya bilgisayar gibi çalışan bir elektronik alete bağlıysa ve olay yerine gelindiğinde hala çalışır vaziyette ise bu eşyaya müdahale de farklılaşmaktadır. Bu tür medyalara müdahalede iki farklı görüş bulunmaktadır. Bunlardan birincisi medyanın doğrudan elektriğinin kesilmesi, diğeri ise eğer uçucu veriler varsa bunların imajının alınarak elektriğinin kesilmesidir. Daha sonra el konulup mühürlenen medyanın taşıma esnasında hasar görmesini engellemek ve mühür açma işleminin de ilgililer eşliğinde yapılmasının fayda sağlayacağı düşünülmektedir. Dijital medyaların barındırdığı veriler hassas verilerdir. Bu yüzden olay yerinde bu medyalara müdahale edilirken hassasiyetle dikkat edilmelidir. Özellikle el konulan medyalar kendilerine ait olarak üretilmiş özel delil torbalarına konmalıdır. 156

BİLİŞİM SUÇLARI VE DELİLLENDİRME SÜRECİ Olay yerinde bulunan bir bilgisayar eğer açık ise, dokunulmamalı, ekranda açık olan herhangi bir pencere varsa ya da yapılan bir işlem tutanağa dökülmeli, bilgisayara hiç dokunulmadan fişi prizden çekilmek sureti ile kapatılmalıdır. Daha sonra hard disk söküm işlemi yapılmalı ve öylece el konulmalı veya olay yerinde imajı alınmalıdır (bazı durumlarda hard diskin sökülmeden elkonulması veya imajının alınması gerekebilmektedir). Dijital medyalara kamufle olmuş veya görülmeyen bir yolla (network, kablosuz erişim vs.) erişilerek tahribat yapılabileceği hiçbir zaman unutulmamalıdır. Olay yerine ulaşıldığında çevre güvenliği sağlandıktan hemen sonra bu nitelikte bir delilin veya tuzaklamanın olup olmadığı araştırılmalıdır. Bunun dışında çalışan sistemlere müdahale esasları doğrultusunda, olay yerinin spesifik özellikleri doğrultusunda yapılacak işlemlere en hızlı şekilde karar verilmeli ve uygulamaya konulmalıdır. Yapılan işlemlerle ilgili belirlenmiş bir standart var mı? Ve bu işlemleri yapan birimler bu standartlar uygulanmakta mıdır? Uzmanlar, dijital delillerin toplanması konusunda özetle şunları ifade etmektedirler; İlk müdahale ile ilgili yasal standart olmamakla beraber teamüller oluşmaktadır. Adli bilişim ve olay yeri ilk müdahale standartları mevcuttur. Her ülkede farklı mevzuat olması gerekçesiyle ülkeden ülkeye göre değişse de, temel anlamda bu standartlar evrensel niteliktedir. Nitekim bu standartlara dair ulusal ve uluslararası eğitimler verilmektedir. Uygulayıcı birimler, bu standartları genel itibariyle bilmekte ve uygulamaktadırlar. Ancak yine de bu alanda her geçen gün meydana gelen teknolojik değişiklikleri göz önünde bulundurarak uygulayıcı birimlerin bilgilerini her zaman taze tutmak adına süregelen bir eğitim politikasının belirlenmesi ve yürütülmesi gerekmektedir. Dijital delillerin teşhisinde, hukuki makamlar, ilgili uzmanlardan net olarak ne istemektedirler? Uzmanlar bu soruda hukuki makamların isteklerinde farklılıkların olduğunu belirtmekle birlikte, genel olarak kendi ifadeleriyle şunları ifade etmektedirler; 157

ÖRGÜTLÜ SUÇLAR ve YENİ TRENDLER Hukuki makamlar, dijital delillerin teşhisinde, ilgili uzmanlardan delil olabilecek veya soruşturma konusu medyaların usulüne uygun muhafaza altına alınmasını istemektedirler. Dijital delil herkesin anlayacağı ya da görebileceği bir biçimde değildir. Ayrıca hard disk içerisinde milyonlarca dosya bulunabilmektedir. Hukuki makamların inceleme yapan görevlilerden istedikleri öncelikle bu verilerin herkesin anlayabileceği bir şekle dönüştürerek, içerisinde bulunan dosyaların hangilerinin suç unsuru içerip içermediğinin belirlenmesidir. Böylelikle incelenen bir dijital medyanın analizi yapılarak suç unsuru içerip içermediğini hukuki makamlar tarafından anlaşılması sağlanacaktır. Bu aşamada yaşanan sorunlar ve bu sorunlara ne gibi çözümler getirilebilir? Bu soruya cevap olarak uzmanların kendi ifadeleriyle özetlemek gerekirse; Yaşanan sorunların başında dijital medyaların hassas ve çabuk zarar görebilir nitelikte olmalarından dolayı muhafazasının zor olması ve her kolluk biriminde bu konuda eğitimli personelin bulunamaması gelmektedir. Ayrıca uzun süren soruşturmalarda zamanla dijital medyalar hem nakil esnasında hem de tozlu kirli ortam benzeri sebeplerle hasar görebilmektedir. Dijital medyaların çeşitliliği, veri depolama araçlarının başka eşyalara benzetilmesi (kalem şeklinde usb bellek gibi), aramaya giden personelin dikkatsiz ve bu konuda bilgisiz veya yeteri kadar bilginin verilmemiş olması, gelişen teknoloji ile beraber farklı donanımların çıkması ve bu donanımların ya bilinmiyor olması ya da imajını alacak gerekli donanımın bulunmaması, medyanın fiziki olarak zarar görmüş olması nedeniyle olay yerinde imajının alınamaması ve incelenebilmesi için özel donanımlı laboratuarın bulunmaması sorun oluşturabilmektedir. Bunların çözümü için personele devamlı ve düzenli bir eğitim programı uygulanması gerekirse bilgi seviyelerinin devamlı olarak ölçülmesi, Cebit gibi bilişim fuarları, internet gibi ortamlarda yeni 158

BİLİŞİM SUÇLARI VE DELİLLENDİRME SÜRECİ ürünlerin araştırılıp incelenmesi ve bu bilgilerin diğer il birimleri ile paylaşılması uygun olacaktır. Donanım yönünden il birimlerine gerekli desteğin zamanında yapılması ve merkezde de olsa delil bütünüğü bozulmadan veya fiziki arızanın giderilmesi için müdahale yapabilecek personelin yetiştirilmesi ve gerekli laboratuarın kurulması gerekmektedir. Mevzuatta bir takım eksikler bulunmakta, bu da el koyma işlemini yapan bazı kolluk görevlilerini zora sokmaktadır. Mevzuatın geliştirilmesi ile bu problem aşılabileceği düşünülmektedir. 4.2. Dijital Delilleri Koruma ve Muhafaza Etme Dijital deliller incelenmek için toplanırken nasıl korunmakta ve analiz aşamasına kadar nasıl muhafaza edilmektedir? Dijital delillerin muhafazasıyla ilgili hassasiyetler üzerinde özellikle duran uzmanlar kendi ifadeleriyle genel olarak şunları ifade etmişlerdir; Deliller sınıflandırılmakta, numaralandırılmakta, arama ve el koyma tutanağında nereden ele geçirildiği ile kaç adet olduğu, marka model, renk, kapasite ve seri numarasına varana kadar ayrıntılı bir şekilde belirtilmektedir. Ayrı ayrı delil torbalarına zarar görmeyecek şekilde konulmaktadır. El konulan dijital medyalar içerisi hava baloncuklu delil zarflarına konarak muhafaza edilir. Üst üste konulmamasına dikkat edilir ve her türlü müdahaleye karşı korunması sağlanır. Hard diskler saklanırken olabildiğince nemden uzak tutulmalı veya mümkünse tozsuz oda olarak tabir edilen odalarda saklanmalıdır. Mümkünse olay yerinde bağımsız fiziksel kopyalama cihazları ile kopyalanmalı ve bu kopyalar muhafaza edilerek orijinal medyalar adli emanete teslim edilmelidir. Olay yerinde imaj alma mümkün değil ise mühürlü torbalara konularak sanık avukatları huzurunda açılmalı, imaj alınmalı ve akabinde adli emanete teslim edilmelidir. 159

ÖRGÜTLÜ SUÇLAR ve YENİ TRENDLER Koruma işlemi sırasında işleyişte ne gibi sorunlarla karşılaşılmaktadır? Söz konusu soruya uzmanlarımız genel olarak koruma işlemi sırasında herhangi bir sorunla karşılaşılmadığını şeklinde olmakla birlikte, her yapılan işlemde olduğu gibi koruma işlemi ile de ilgili bir takım problemlerle karşılaşılabileceğini özetle aşağıdaki şekilde ifade etmişlerdir; Delil zarflarının bulunmaması veya eşyanın bu zarfa sığmayacak türden olması sorun oluşturmaktadır. Ayrıca el konulan dijital delilin sayıca çok olması da sıkıntılara neden olmaktadır. Bir diğer sıkıntı, bir kopyası alınan delilleri saklamanın külfetli ve pahalı olmasıdır. Çünkü bunlar için saklama kapasitesi yüksek hard diskler gerekmektedir. Dijital medyaların yeterince özenli saklanamaması halinde sonucu medyalar bozulabilmekte, kaybolabilmekte veya özelliğini kaybedebilmektedir. Adli emanete teslim edilecek olan orijinal medya, mühürlü torbada muhafaza edilmelidir. Karşılaşılan sorunlara yönelik ne tür çözüm önerileriniz nelerdir? Genel olarak karşılaşılan sorunlara uzmanlarımız çözüm olarak, kanuni düzenlemelerin yeniden gözden geçirilmesi, teknik donanım eksikliklerinin giderilmesi ve uzman eğitimli personel sayısının arttırılması başlıkları altında toplamakla birlikte, kendi ifadeleriyle özetle çözüm önerileri şunlardır; Öncelikle ilgili kanunda bir düzenleme yapılması gerekir. Zira CMK md. 134, günümüze hitap etmemekte ve çok sınırlı kalmakta, bu da kolluk kuvvetlerinin bu alandaki faaliyetlerini kısıtlamaktadır. Bundan dolayı CMK nın Arama ve El Koyma Bölümü altında dile getirilen bilgisayarlarda, bilgisayar programlarında ve kütüklerinde, arama, kopyalama ve el koyma maddesinin detaylandırılması, hatta birden fazla madde ile yeniden düzenlenmesi gerekmektedir. 160

BİLİŞİM SUÇLARI VE DELİLLENDİRME SÜRECİ Adli bilişim personelinin yer imkânları, olay yerinde bağımsız fiziksel kopyalama cihazları gibi teknik cihaz sayıları ve en önemlisi yetişmiş personel sayısı artırılmalı, uzmanlaşmış yöneticiler eşliğinde çalışmalarını yapmalıdır. Sadece Adli Bilişim Alanına hizmet edebilecek tam donanımlı ve yer sıkıntısı olmayan inceleme laboratuarları kurulmalıdır. 4.3. Dijital Delilleri İnceleme Ve Analiz Etme Dijital delillerin analizinde hangi yöntemler kullanılmaktadır? Bu yöntemlerden en önemlileri ve uygulamada hangileri daha çok tercih edilmektedir? Bu soruya uzmanlarımızın vermiş oldukları cevaplar genel olarak kendi ifadeleriyle özetle şu şekildedir; Adli Bilişim delil incelemelerine kullanılan yöntemler şunlardır, Sırasıyla Toplama (Bu aşama delillerin toplandığı aşamadır), İnceleme (Dijital medya üzerinde verilerin incelenmesi), Analiz (Bu verilerin suç unsuru olup olmadığının ayrıştırılması) ve Raporlama (Suç unsuru içeren verilerin dosyaların rapor halinde sunulması). Kopyalanmış bilgisayar medyaları (imajlar) uluslararası standartlara haiz, raporlama özelliği olan, lisanslı yazılımlar kullanılarak önce içerisinde olan mevcut veriler üzerinde, daha sonra silinmiş, formatlanmış veriler üzerinde, daha sonra ise suç türüne göre özel çalışma yapılarak soruşturmaya esas olacak veriler elde edilir. Alınan delil imajları genellikle uluslararası alanda kabul gören adli bilişim programları ile incelenip, analiz edilmektedir. Bunlardan en çok kullan EnCase ve FTK programlarıdır. Fiziksel arızalı delillere (Hard Disk) de PC3000 adlı cihaz ile müdahale edilebilmektedir. Uygulanan yöntem analizcinin tecrübe ve kabiliyetine kalmıştır. Ancak teşkilatımızda bu kapsamda alınan programlar ve verilen eğitimler sonucu belli programlar ağırlıklı olarak kullanılmaktadır. Bu programların ihtiyaca cevap vermediği özel durumlarda da analizciye bağlı olarak çeşitli açık kaynak kodlu programlar kullanılmaktadır. 161

ÖRGÜTLÜ SUÇLAR ve YENİ TRENDLER Dijital delillerin analizinde işleyiş ne şekilde olmaktadır? Bu işleyişe ilgili yaşanan sorunlar ve çözüm öneriler nelerdir? Delillerin analizi ile ilgili işleyişle ilgili uzmanlar genel olarak özetle kendi ifadeleriyle; Mahkemenin inceleme kararı olmadan delil üzerinde inceleme yapılamaz. Bu kararın alınması ile birlikte deliller, uzaman personelce, programlar kullanılarak, suçun niteliğine göre incelenir ve analiz edilir daha sonra bir rapor oluşturularak bu hukuki makamlara sunulur. El konulan medyaların imajları yazma korumalı donanımlarla alındıktan sonra inceleme ve analize geçilir. Daha sonra alınan imaj üzerinden inceleme ve analiz yapılır. Yaşanan sorunlarla ilgili olarak da; Şifreli paketlerin çözümü bazen uzun zaman alabilmektedir. Olay yerinde imaj alınmaması sonucu ilk hash değerinin güvenirliğinde sıkıntı ve analiz aşamasında sıcaklık, aşırı çalışma gibi sebeplerle diskte oluşan bad-sector e bağlı olarak müdahale edilmemesine rağmen hash değerinin değişmesi gibi sorunların yaşanabilmesi muhtemeldir şeklinde ifade etmektedirler. Adli makamlar analiz birimlerinden dijital deliller ile ilgili ne gibi taleplerde bulunmaktadırlar? Bu soruya genel olarak verilen cevaplar özetle; Adli makamlar analiz birimlerinden dijital verilerin özellikle soruşturma ya da kovuşturma açısından önem arz eden bir takım dosyaların kimin hangi dijital medyasından çıktığı, bu medyaya daha sonradan mı kopyalandığı ya da medya üzerinde mi oluşturulduğu, kim tarafından hangi tarihte oluşturulduğu gibi bilgiler istenebilmektedir. İnceleme neticesi yapılan inceleme raporunu istemekte ve kovuşturma aşamasında inceleme raporuna göre dosyayı incelemekte ve genellikle bilirkişilik amacıyla yine adli bilişim personeline başvurulmaktadır. 162