Bilişim Suçları Avukatı Nedir?

İnsanlar “Ne iş yapıyorsunuz?” diye sorduğunda “Bilişim hukuku” diyorum. Cevap genelde sessizlik. Kafalarda hiçbir şey canlanmıyor. Oysa ben bu alanda kitap yazdım, bilişim ve teknoloji hukukunun ne olduğunu sayfalarca irdeledim. Bu yazı, tam da bu yüzden var. Kimliğimin bir parçası olan bu kavramı, bir ders kitabı gibi değil, gerçekten anlaşılmasını istediğim şekilde anlatmak için.

Önce şunu netleştireyim: Bu bir “ne iş olsa yaparım” hikayesi değil. Hiçbir zaman, insanlar neyi arıyorsa onun avukatı olayım, para için her dosyaya koşayım diye düşünmedim. Yapım gereği araştırmayı, düşünmeyi, yazmayı hep sevdim. Aynı anda iki bilgisayar başında, ekranlar karşısında saatlerce kaybolmayı sevdim; ama araba kullanmayı hiçbir zaman sevmedim. Özgünlük ve estetik benim için her şeydir. Maddi kaygılarımsa anneciğim sayesinde hiç olmadı. Hukukta kendimi ait hissettiğim yegâne alan burası. Bilişim suçları avukatı, ceza hukukunun bilişim sistemlerine karşı veya bilişim sistemleri aracılığıyla işlenen suçlara odaklanmış uzmandır. Bu tanım basit gibi görünür ama işin içine girince, hukukla teknolojinin iç içe geçtiği, her dosyanın ayrı bir teknik analiz gerektirdiği, ulusal sınırları tanımayan bir dünyayla karşı karşıya kalırsınız. Bu dünyayı anlamak için önce bilişim suçlarının evrensel tarihine, sonra ülkelerin bu suçlarla mücadele için nasıl mevzuat geliştirdiğine, en son da bugün hangi davaların açıldığına bakmak gerekir.

Bilişim suçlarının tarihi, aslında bilgisayarın kendisi kadar eskidir. 1970’lerin başında, henüz internet yokken, ilk bilgisayar solucanı Creeper ARPANET’te görüldü. Creeper, kendi kendini kopyalayabilen ve sistemler arasında yayılabilen bir programdı. Onu temizlemek için yazılan Reaper ise ilk antivirüs yazılımı olarak kabul edilir. 1980’lerde bilgisayar kullanımının yaygınlaşmasıyla birlikte kötüye kullanım da arttı. 1986’da Pakistan’da iki kardeşin yazdığı Brain virüsü, disketlere bulaşan ilk PC virüsü oldu. 1988’de Robert Morris’in yazdığı Morris solucanı, ARPANET’in önemli bir kısmını çökertti ve Morris, ABD’de Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasası (CFAA) kapsamında mahkum edilen ilk kişi oldu. 1990’lar internetin yaygınlaşmasıyla yeni bir döneme girildi: 2000 yılında Filipinler’den yayılan ILOVEYOU solucanı, milyonlarca bilgisayara bulaşarak milyarlarca dolar zarara yol açtı. Aynı dönemde phishing saldırıları, sahte banka siteleriyle şifre avcılığı yaygınlaştı. 2000’lerin ortasında Conficker, dünya çapında milyonlarca Windows bilgisayarını ele geçirerek dev bir botnet oluşturdu. 2010’larla birlikte siber suçlar devletlerin ve organize grupların doğrudan aracı haline geldi: Stuxnet solucanı İran’ın nükleer tesislerini hedef aldı, WannaCry fidye yazılımı 150’den fazla ülkede hastaneleri, fabrikaları, kamu kurumlarını kilitledi. Bugün geldiğimiz noktadaysa fidye yazılımları hizmet olarak satılıyor (RaaS), deepfake teknolojisiyle delil üretilebiliyor, kripto varlık hırsızlığı milyarlarca dolarlık bir suç ekonomisi oluşturmuş durumda. Bilişim suçları, artık bireysel hackerların marifetinden çıkmış, ulus devletlerin, kartellerin ve organize suç örgütlerinin kullandığı sofistike bir silaha dönüşmüştür.

Bu evrensel tehdide karşı her ülke, kendi hukuk sistemine göre farklı yaklaşımlar geliştirdi. Amerika Birleşik Devletleri, 1986’da kabul ettiği Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasası (CFAA) ile dijital suçları düzenleyen ilk kapsamlı yasalardan birine sahip oldu. CFAA, bilgisayar sistemlerine izinsiz erişim, zarar verme, veri çalma gibi fiilleri suç saydı ve zaman içinde teknolojik gelişmelere uyum sağlamak için defalarca güncellendi. ABD ayrıca Elektronik İletişim Gizliliği Yasası (ECPA), Bilgi ve Teknoloji Yasası, Ulusal Bilgi Altyapısı Yasası, Çocukların Çevrimiçi Yayından Korunması Yasası (COPA) ve 11 Eylül sonrası çıkarılan Patriot Act gibi düzenlemelerle dijital alandaki suçlara karşı çok katmanlı bir hukuki çerçeve oluşturdu. Bugün ABD’de siber suçlarla mücadelede federal düzeyde FBI, Secret Service ve CISA gibi kurumlar aktif rol oynar. İngiltere ise 1990’da Bilgisayar Kötüye Kullanım Yasası’nı (Computer Misuse Act) çıkararak bilgisayar sistemlerine izinsiz erişim, veri manipülasyonu ve kötü niyetli yazılım kullanımını suç kapsamına aldı. 2006’da Police and Justice Act ile yasada yapılan değişiklikler, sistemi bozma niyetiyle izinsiz eylemleri ve suç işlemek için araç üretme, tedarik etme fiillerini de cezalandırılabilir hale getirdi. Almanya ise ayrı bir siber suç yasası çıkarmak yerine, Ceza Kanunu içinde bilişim sistemlerine yönelik suçları düzenledi. 1997’de kabul edilen Telekomünikasyon Yasası ise internet içeriğinde suç unsuru bulunması halinde içerik sağlayıcıların genel hükümlere göre sorumlu tutulacağını, erişim sağlayıcıların cezai sorumluluktan muaf olacağını, hizmet sağlayıcıların ise depolanan içeriğin niteliğini bilmeleri ve teknik olarak engelleme yetkisine sahip olmaları durumunda özel ihmalden sorumlu tutulabileceklerini belirledi. Bu model, daha sonra Türkiye’nin 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Hakkında Kanun’una da esin kaynağı oldu. Fransa, 1993’te yürürlüğe giren yeni Ceza Kanunu’nda bilişim sistemlerine girme, verileri yok etme ve sistemi bozma gibi suçları düzenledi. İtalya ise 1993’te 547 sayılı Kanun’la Ceza Kanunu’nda değişiklik yaparak siber suçlara ilişkin hükümler ekledi ve Budapeşte Sözleşmesi’nin etkisiyle 2000’lerde tüzel kişilerin sorumluluğuna dair düzenlemeleri de mevzuatına dahil etti.

Uluslararası boyuta bakıldığında, siber suçlarla mücadelenin kilometre taşı, 23 Kasım 2001’de imzaya açılan ve 2004’te yürürlüğe giren Avrupa Konseyi Siber Suç Sözleşmesi, yaygın adıyla Budapeşte Sözleşmesi’dir. Bu sözleşme, taraf devletlere bilgisayar sistemlerine izinsiz erişim, veri müdahalesi, sistem müdahalesi, sahtecilik ve dolandırıcılık gibi suçları iç hukuklarında düzenleme yükümlülüğü getirdi. Ayrıca elektronik delillerin hızla toplanması, saklanması ve paylaşılması için usul kuralları belirledi. Sözleşmenin en kritik hükümlerinden biri, acil durumlarda 24/7 irtibat noktası bulundurma ve karşılıklı adli yardımlaşma mekanizmalarıdır. 2022’de imzaya açılan İkinci Ek Protokol ise, kolluk kuvvetlerinin farklı yargı alanlarındaki verilere doğrudan erişimini kolaylaştıran, ortak soruşturma ekipleri kurulmasını teşvik eden ve veri paylaşımı için daha etkili araçlar yaratan hükümler getirmiştir. Türkiye, Budapeşte Sözleşmesi’ne 2010 yılında taraf olmasına rağmen, İkinci Ek Protokol’ü hâlâ imzalamamıştır. Bu durum, uluslararası soruşturmalarda Türkiye’nin elini zayıflatan bir eksiklik olarak durmaktadır. Zira siber suçlar sınır tanımaz: Saldırgan bir ülkededir, sunucu başka bir kıtadadır, mağdur bambaşka bir yerdedir. Etkili bir soruşturma, ancak uluslararası işbirliğiyle mümkündür.

Türkiye’de bilişim suçları, ayrı bir kanunla değil, Türk Ceza Kanunu’nun “Bilişim Alanında Suçlar” başlıklı onuncu bölümünde ve kanunun diğer ilgili maddelerinde düzenlenir. TCK 243, bilişim sistemine hukuka aykırı olarak girmeyi suç sayar. TCK 244, sistemi engelleme, bozma, verileri yok etme veya değiştirme fiillerini cezalandırır. TCK 245, banka veya kredi kartlarının kötüye kullanılmasını düzenler. TCK 245/A ise yasak cihaz veya programların üretilmesi, satılması ve dağıtılmasını suç kapsamına alır. Ancak bilişim suçları avukatının ilgi alanı sadece bu dört maddeden ibaret değildir. Bilişim sistemleri, geleneksel suçların işlenmesinde bir araç olarak kullanıldığında, TCK’nın farklı bölümleri devreye girer. Bilişim sistemleri aracılığıyla dolandırıcılık (TCK 158/1-f), bilişim sistemleri aracılığıyla hırsızlık (TCK 142/2-e), kişisel verilerin hukuka aykırı ele geçirilmesi veya yayılması (TCK 136), haberleşmenin gizliliğinin ihlali (TCK 132), özel hayatın gizliliğinin ihlali (TCK 134) gibi suçlar, her gün karşılaştığım dosyalar arasındadır. Bunlara ek olarak 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Hakkında Kanun, internet yayınları yoluyla işlenen suçlarla mücadelede içerik sağlayıcıların, erişim sağlayıcıların ve hosting firmalarının sorumluluklarını belirler. 2008 tarihli Elektronik Haberleşme Kanunu ise telekomünikasyon sektöründeki güvenlik ve düzenlemelere odaklanır. Kişisel verilerin korunmasına ilişkin KVKK ise veri ihlalleri ve veri güvenliği suçlarında ayrı bir hukuki rejim sunar.

Gelelim davalara. Bilişim suçları avukatının baktığı dosyalar, gazete mansetlerine çıkan büyük hacker operasyonlarından ibaret değildir; çoğu zaman bir insanın hayatını karartan, teknik detaylarla örülü, uzun soluklu hukuk mücadeleleridir. Bugün en sık karşılaşılan dava türlerini anlatayım.

Oltalama (phishing) saldırıları ise bireysel mağduriyetlerin en yaygın kaynağıdır. Müvekkil, bankasının internet sitesi sandığı sahte bir sayfaya şifresini girer, hesabı boşaltılır. Burada iş sadece savcılığa şikayet dilekçesi vermekten ibaret değildir. Sahte sitenin IP adresinin tespiti, hosting firmasından log kayıtlarının talep edilmesi, paranın aktarıldığı cüzdan adreslerinin blockchain üzerinde izlenmesi, bilişim uzmanlarıyla birlikte çalışmayı gerektirir. Bu vakalarda en büyük sorun, paranın çoğu zaman geri döndürülemez biçimde kaybedilmesidir. Avukat, burada mağdurun bankaya karşı da hukuki sorumluluk davası açıp açamayacağını değerlendirir; zira bankanın iki faktörlü kimlik doğrulama gibi güvenlik önlemlerini almamış olması, tazminat hakkı doğurabilir.

Sosyal medya hesaplarının ele geçirilmesi ve bu hesaplarla müstehcen içerik paylaşılması ise belki de en trajik dosyalardandır. Bir kişinin Instagram veya Twitter hesabı hacklenir; saldırgan, hesap sahibinin adına suç unsuru paylaşımlar yapar. Hesap sahibinin olayla hiçbir ilgisi yoktur, fakat paylaşımlar onun adına göründüğü için soruşturmanın hedefi haline gelir. Bu noktada savunma, hesap erişim loglarının ve IP kayıtlarının incelenmesi üzerine kurulur. Hesabın hangi IP adresinden, hangi cihazdan, hangi saatte ele geçirildiğinin tespiti, müvekkilin masumiyetini kanıtlayan en kritik delildir. Ancak burada sistemin boktanlığı devreye girer: Birçok sosyal medya platformu, Türk makamlarına yeterince hızlı yanıt vermez; log kayıtları talep edildiğinde aylar geçer, bu sürede deliller silinebilir. Platformun merkezinin yurt dışında olması, istinabe taleplerini gündeme getirir ki bu da işleri daha da yavaşlatır.

Müstehcenlik ve çocuk istismarı içerikli soruşturmalar, bilişim suçları avukatının karşılaştığı en hassas ve en öfke uyandırıcı dosyalardır. Bu davalarda sistem, çoğu zaman masum insanı ezer. Nasıl mı? Bir IP adresi tespit edilir. Bu IP, bir eve veya işyerine ait görünür. Savcılık, o IP’nin atandığı kişi hakkında soruşturma başlatır. Oysa o IP, o anki dinamik IP’dir; bir başkası Wi-Fi şifresini kırarak aynı ağı kullanmış olabilir; VPN çıkış noktası olabilir; paylaşımlı bir IP havuzundan geliyor olabilir. Yargıtay’ın yerleşik içtihatları, IP adresinin tek başına mahkumiyete yeterli olamayacağını defalarca söylemiştir. Buna rağmen birçok yerel savcılık, IP’yi başlangıç delili olarak yeterli görür ve kişi hakkında iddianame düzenlenir. Sonra cihaz incelemesi yapılır. Bilgisayarda cache verileri bulunur. Cache, bir web sitesini ziyaret ettiğinizde tarayıcının otomatik olarak kaydettiği geçici dosyalardır; kullanıcı bu dosyaların varlığından çoğu zaman haberdar bile değildir. Ancak teknik bilgisi yetersiz bilirkişiler, bu cache dosyalarını “kullanıcı tarafından depolanmış suç unsuru içerik” olarak raporlar. Bu rapor dosyaya girer ve bir insanın hayatı kararır. Dahası, yetkisiz kurumlardan alınan şablon raporlar da ayrı bir beladır. Resmi hiçbir yetkisi olmayan bir dernek veya vakıf, internette gördüğü bir içeriği ihbar eder; savcılık bu ihbarı delil olarak kabul eder; o içerikle hiçbir alakası olmayan insanlar yargılanır. İşte ben, bu çarpık sistemin içinde, suçsuz olduğuna yürekten inandığım insanları savundum. Bu davalarda teknik bilgi her şeydir. Hakime cache’in ne olduğunu, IP adresinin neden tek başına delil olamayacağını, hash değerinin ne anlama geldiğini, bir log kaydının nasıl okunacağını anlatmak zorundasınız. Anlatamazsanız, masum bir insan hapis yatar.

Veri ihlali davaları da son yıllarda KVKK’nın yürürlüğe girmesiyle birlikte büyük artış gösterdi. Bir şirketin müşteri veritabanı çalınır, internette satışa çıkarılır. Burada hem ceza hukuku hem de veri koruma hukuku iç içe geçer. Veri sorumlusu şirket, KVKK’nın 12. maddesi uyarınca gerekli teknik ve idari tedbirleri almakla yükümlüdür; almadıysa idari para cezası ve tazminat sorumluluğu doğar. Öte yandan veriyi çalan kişi hakkında TCK 136 (kişisel verilerin hukuka aykırı ele geçirilmesi) ve TCK 244 (sistemi bozma) kapsamında ceza davası açılır. Avukat, burada hem mağdur şirketin hukuki süreçlerini yönetir hem de verileri çalınan bireylerin haklarını arar.

Fikri mülkiyet ve telif hakkı ihlalleri ise bilişim suçlarıyla sıklıkla kesişen bir başka alandır. Bir yazılımcının kodu çalınır, bir tasarımcının dijital eseri izinsiz kopyalanır, bir müzisyenin şarkısı illegal platformlarda paylaşılır. 5846 sayılı Fikir ve Sanat Eserleri Kanunu kapsamında bu fiiller hem ceza hem de tazminat davalarına konu olur. Dijital ortamda delil toplamak ise ayrı bir uzmanlık gerektirir: zaman damgası, hash doğrulaması, log kaydı analizi ve ekran görüntüsünün hukuken delil niteliği gibi konular, davanın seyrini belirler.

Tüm bu dava türlerinde bilişim suçları avukatını klasik bir ceza avukatından ayıran şey, teknik bilgiyle hukuki bilgiyi birleştirme zorunluluğudur. IP adresinin türünü (statik mi, dinamik mi, CG-NAT arkasında mı, VPN çıkış noktası mı) bilmek, bir cache dosyasının nasıl oluştuğunu anlamak, bir e-posta başlık bilgisindeki (header) SPF, DKIM ve DMARC kayıtlarını okuyabilmek, bir log dosyasındaki zaman damgalarını yorumlayabilmek, blockchain üzerinde işlem takibi yapabilmek, hash algoritmalarının (MD5, SHA-1, SHA-256) ne işe yaradığını ve bir dosyanın bütünlüğünü doğrulamak için nasıl kullanıldığını kavramak, adli bilişimde zincirleme delil (chain of custody) ilkesinin ne olduğunu ve bir delilin hukuka aykırı hale gelmemesi için hangi prosedürlerin izlenmesi gerektiğini bilmek zorundasınız. Bu bilgi olmadan, bir bilirkişi raporunu etkili şekilde sorgulayamaz, çelişkileri tespit edemez, yeni bir rapor talep edemezsiniz. O rapor, sizin müvekkilinizin kaderini belirler.