Penetrasyon Testlerinin (Pentestlerin) Hukuki Durumu ve Zararlı Yazılımlar

Kasım 6, 2017

PENETRASYON TESTLERİNİN (PENTESTLERİN) HUKUKİ DURUMU VE ZARARLI YAZILIMLAR (TCK m. 245/A) Türk Ceza Kanunu’nda bilişim suçları, 243 ilâ 246. maddeler arasında düzenlenmiş olup, bunlar özetle; bilişim sistemine yetkisiz erişim, bilişim sistemine veya sistemdeki verilere müdahale ile banka ve kredi kartları ile ilgili suçlardır. Ancak, 24.03.2016 tarihinde yürürlüğe giren 6698 sy. değişiklik kanunu ile, Türk Ceza Kanunu’na yeni bilişim suçları eklenmiştir. Bu suçlardan birisi de, ‘Yasak Cihaz ve Programlar’ adı ile Kanuna eklenen TCK m. 245/A maddesidir. Bu yeni suç tipi kanunda şu şekilde düzenlenmiştir: “Bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun; münhasıran bu Bölümde yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden, ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran kişi, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adli para cezası ile cezalandırılır.” Görüldüğü üzere, kanun koyucu bu düzenleme ile, TCK’da yer alan bilişim sistemine hukuka aykırı olarak girme, bu sistemin işleyişini engelleme veya sistemdeki verilere müdahale etme (yok etme, bozma, veri alma, verileri başka yere nakletme vb.), banka ve kredi kartlarına kartlarının kötüye kullanılması eylemlerini yahut bilişim vasıtalı diğer suçları işlemek amacıyla cihaz ve program imal edilmesi, alınması, depolanması, satılması, satın alınması, başkasına verilmesi veya bulundurulması gibi eylemleri suç kapsamına almış ve bunlara ciddi cezalar öngörmüştür. Özellikle son yıllarda, crack, keylogger, trojan vb. hacking yazılımlarının İnternet üzerinden son derece kolay bir biçimde paylaşılması, temin edilmesi, kullanılması ve bu nedenle siber suçluluğun sayısal olarak katlanarak artması dolayısıyla, bu suçlulukla mücadele için, bahsi geçen kötücül yazılımların imal edilip yayılmasını önleyici ceza normlarının düzenlenmesinde herhangi bir sorun yoktur. Ne var ki, madde metninin suç teşkil eden davranışları çok geniş kapsamlı olarak düzenlemesi nedeniyle, maddenin uygulanmasında birçok sorun ve tartışmayla karşılaşılması muhtemeldir. Burada en çok tartışma yaratacak hususlardan birisi, hemen her bilişim firmasının yaptığı “pentest” adı da verilen penetrasyon (sızma) testleridir. Bilindiği üzere, bu testler, müşteriler tarafından belirlenen bilişim sistemlerine mümkün olabilecek her yolun denenerek sızma çalışma çalışması veya DoS yahut DDoS saldırıları yapılmasını kapsamaktadır. Testin yapılmasındaki amaç, müşterinin bilişim sistemindeki güvenlik açığını bulmak olduğu kadar, bulunan açıkların değerlendirilip sorunun çözülmesi ve sistemlere yetkili erişimler elde edilebilmesinin sağlanmasıdır. Bir başka deyişle, pentestler ile, belirlenen veya belirsiz zamanlarda sisteme “tatbikat” mahiyetinde saldırılar yapılmakta ve bu şekilde sistemin güvenlik açıklarının tespit edilip kapatılması sağlanmaktadır. Pentest ile ilgili yazılımları birçok firma imal etmekte, bulundurmakta, depolamakta ve satın almaktadır. Elbette, bu testler, pentest yapacak güvenlik firması ile sistemine “saldırı” yapılacak müşteri arasındaki sözleşme kapsamında yapıldığından ve firmaya bununla ilgili yetki verildiğinden, sisteme yetki kapsamında girildiği veya saldırıldığı için hukuka aykırılık ortadan kalkacaktır. Zira, TCK m. 245/A maddesine bakıldığında, suçun söz konusu olabilmesi için, “münhasıran bu bölümde (TCK m. 243-246) yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların işlenmesi için” gerçekleştirilmesi gerekmektedir. Dolayısıyla bu suçun vücut bulması için, yazılım veya cihazları üreten, satan, satın alan ve bulunduran kişilerin, bu eylemlerini TCK m. 243-246’da öngörülen suçları işlemek için gerçekleştirmeleri zorunludur. Fail bu amacı taşımıyorsa, suçun manevi unsuru olan “kasıt” söz konusu olmadığından, herhangi bir suçtan da bahsedilemeyecektir. Bu nedenle, pentest yapan firmalar, müşterilerden aldıkları yetki ile bu eylemi […]

Read more