Siber Suçlar ve Türkiye`nin Ulusal Politikası

T.C.
POLİS AKADEMİSİ
GÜVENLİK BİLİMLERİ ENSTİTÜSÜ
ULUSLARARASI GÜVENLİK ANABİLİM DALI
SİBER SUÇLAR VE TÜRKİYE’NİN ULUSAL POLİTİKASI
YÜKSEK LİSANS TEZİ
Polatkan AKDAĞ
Danışman
Doç. Dr. Mehmet ÖZCAN
Ankara – 2009
T.C.
POLİS AKADEMİSİ BAŞKANLIĞI
GÜVENLİK BİLİMLERİ ENSTİTÜSÜ MÜDÜRLÜĞÜNE
Yüksek lisans tezi olarak sunduğum bu çalışmayı bilimsel ahlak ve geleneklere
aykırı düşecek bir yol ve yardıma başvurmaksızın yazdığımı, yararlandığım eserlerin
kaynakçada gösterilenlerden oluştuğunu, bunlardan her seferinde yollama yaparak
yararlandığımı belirtir; bunu şerefimle beyan ederim.
Enstitü veya başka herhangi bir mercii tarafından belli bir zamana bağlı
kalmaksızın, tezimle ilgili bu beyana aykırı bir durumun tespit edilmesi durumunda,
ortaya çıkacak tüm ahlaki ve hukuki sonuçlara katlanacağımı bildiririm.
25/08/2009
Polatkan AKDAĞ
ÖZET
AKDAĞ, Polatkan, (2009), Siber Suçlar ve Türkiye’nin Ulusal Politikası,
Yüksek Lisans Tezi, Danışman: Doç. Dr. Mehmet ÖZCAN, 209 sayfa.
Bilgi toplumu olabilmenin önemini kavramış ülkelerin, başta ekonomik olmak üzere
pek çok bakımdan diğer ülkelerin ötesinde bir güç olma yolunda ilerlemekte olduğu,
yaşanmakta olan bilgi savaşları ve siber espiyonaj faaliyetlerinden anlaşılmaktadır.
Devlet veya özel sektör eliyle yürütülen kritik alt yapı sistemleri giderek bilişim
teknolojilerine
bağımlı
hale
gelmektedir.
Sağlıktan
ekonomiye,
savunma
sistemlerinden yaşamsal kaynaklara kadar pek çok alanın, internet üzerinden kontrol
edilmeye başlanmasıyla birlikte, suçlular tarafından bilişim sektörüne doğru yoğun
bir eğilim başlamıştır.
Organize suç şebekeleri ve terörist organizasyonlarda en az devletler kadar
bilişime önem vermektedirler. Özellikle 11 Eylül saldırılarının ardından fiziksel
anlamda alınan savunma tedbirleri, terörizm ideolojisi ile hareket eden profesyonel
düşmanları siber alana yönlendirmektedir. Siber terör eylemi diyebileceğimiz türden
bir saldırı gerçek anlamda henüz gerçekleşmemişse de, terör eylemlerini destekleyen
bir unsur olarak siber suç olaylarının yaşandığı, kaleme alınan raporlardan
anlaşılmaktadır.
Bilişim alanında etik bilince sahip bilgi toplumu hedefini sürdüren ve
teknolojik imkanları vatandaşlarına hizmet olarak sunmaya çalışan ülkemizde, siber
saldırı durumlarına karşı cevap verebilecek profesyonel kurumların yokluğu bir
sorun olarak karşımızda durmaktadır. Saldırılara cevap vermeden öte, yapılabilecek
saldırılara karşı önleyici tedbirler alma konusunda da sıkıntılar yaşanmaktadır.
Özgürlükler ve bireysel mahremiyet arasındaki dengeyi koruyabilecek politikaların
hayata geçirilmesi ise terörle mücadele anlayışının içinde kabul edilmelidir.
Uluslararası organizasyonların belirledikleri çerçevelerin ve tavsiyelerin tüm
ulusların yararına düşünülmesi ve ortak kararların alınması, sınır ve coğrafi engel
tanımayan siber suçlulara yönelik atılabilecek en büyük adımdır.
Anahtar Kelimeler: Siber Suçlar, Bilgi Savaşları, Terör, Espiyonaj, Politika
i
ABSTRACT
AKDAĞ, Polatkan, (2009), Cyber Crimes and National Policy of Turkey, MA
Dissertation, Supervisor: Assoc. Prof. Dr. Mehmet Özcan, 209 pages.
It emerges from the contemporary information wars and cyber intelligence efforts
that the countries, which have realized the importance of transformation into
information societies, are on their way to becoming a power beyond the remaining
ones on many aspects. The critical infrastructure systems, whether maintained by the
states or private corporations, are becoming more dependant on information
technologies. As many fields, from health to economy or from defense systems to
vital resources management, are being controlled via internet, the criminals are
intensively inclined in information sector.
The organized crime networks and terrorist organizations are committed to
informatics as much as the states. Especially, the physical measures taken after the
9/11 terrorist attacks direct the professional enemies, motivated by terrorism
ideology, towards cyber space. Even not a single attack, which can be regarded as a
cyber attack, was recorded; some special reports make it clear that some cyber
crimes in support for the terrorist attacks have been carried out.
In our country, that has the ambition to create an information society with
ethical consciousness and tries to satisfy the technological needs of her citizens, nonexistence of a professional institution which should respond cyber attacks, is an
urgent problem. Further than responding the attacks, there are some problems in
taking preventive measures. The implementation of the policies which should
maintain the balance between the liberties and the individual privacy should be
handled in counter terrorism policies.
The adoption of joint resolutions and
respecting the interests of every nation in international agencies will be the most
important step in countering cyber crimes.
Keywords: Cyber Crimes, Information Wars, Terrorism, Espionage, Policy
ii
İÇİNDEKİLER
Sayfa
ÖZET ………………………………………………………………………..
I
ABSTRACT …………………………………………………………….…...
II
İÇİNDEKİLER ……………………………………………………………..
III
KISALTMALAR …………………………………………………………...
VI
TABLOLAR ………………………………………………………………..
IX
ŞEKİLLER ………………………………………………………………….
X
GİRİŞ ………………………………………………………………….…….
1
BİRİNCİ BÖLÜM
BİLİŞİM SUÇLARI VE İNTERNET
1.1.
BİLİŞİM SUÇU KAVRAMI ………………………………………..
1.2.
BİLİŞİM SUÇLARININ VE SUÇLA BAĞLANTILI İNTERNET
FENOMENİNİN GELİŞİMİ ..…..………………………………….
4
11
1.2.1. İnternet Kullanımındaki Artış ve Siber Suçlar Arasındaki
Bağlantı ………………………………………………………………
15
1.2.1.1. Global İnternet Kültürünün Gelişimi …………...............
15
1.2.1.2. İnternet Suçlarının Gelişimi ………………………..........
22
1.2.2. Türkiye’de Bilişim Suçları ve İnternetin Gelişimi ………….
36
1.2.2.1. Ülkemizde ve Çevre Ülkelerde İnternetin Gelişimi ...........
36
1.2.2.2. Siber Suç Olgusunun Türkiye’deki Durumu …………...
44
İKİNCİ BÖLÜM
BİLİŞİM SUÇLARININ SINIFLANDIRILMASI
2.1.
BİLİŞİM SUÇLARININ ÇEŞİTLERİ ……………………………..
54
2.1.1. Çıkar Amaçlı Bilişim Suçları …...……………………………
57
2.1.1.1. Çıkar Amaçlı Bilişim Suçlarında Kullanılan Yöntemler ..
59
2.1.1.1.1. Çöpe Dalma ………………………………………….
59
2.1.1.1.2. Gizli İzleme ………………………………………….
59
2.1.1.1.3. Veri Hırsızlığı ve Dolandırıcılığı …………….……...
60
2.1.1.1.4. Bukalemun ………………………………….……….
62
iii
2.1.1.1.5. Salam Tekniği ………………….……………………
62
2.1.1.1.6. Zararlı Yazılımlar ……..…………………….……….
62
2.1.1.1.7. Phishing Yöntemi ……………..……………………..
64
2.1.1.1.8. Key Logger ve Screen Logger …………………........
66
2.1.1.1.9. TOR ………………………………………………….
67
2.1.2. Siyasi Amaçlı Bilişim Suçları ..………………………………
67
2.1.2.1. Siber Espiyonaj ………………………………….....................
67
2.1.2.2. ECHELON ………………………………………………..
75
2.1.2.3. PROMIS …………………………………………………..
83
2.1.3. Siber Savaş ………………………………………….......................
84
2.1.4. Siber Terörizm …………………………………………..........
87
2.1.5. Organize Siber Suç Örgütleri, Siber Teröristler ve
Hackerler Arasındaki İlişki …...…………………………………….
2.2.
111
SİBER SUÇLARLA MÜCADELEDE KARŞILAŞILAN
ZORLUKLAR VE ÇÖZÜM ÖNERİLERİ ……………………......
124
ÜÇÜNCÜ BÖLÜM
TÜRKİYE ULUSAL BİLİŞİM POLİTİKASI
3.1.
TÜRKİYE’DE BİLİŞİM POLİTİKASI …………………………..
132
3.1.1. Ulusal Bilişim Politikasının Tarihi Gelişimi ve Mevcut
Durum …...…………………………………………………………...
135
3.1.1.1. Bilim-Teknoloji-Sanayi Politikaları Çalışma Grubu…….
139
3.1.1.2. TUENA Projesi …………………………………………...
140
3.1.1.3. Dokuzuncu Ulaştırma Şurası Haberleşme Komisyonu …
140
3.1.1.4. Yedinci Beş Yıllık Kalkınma Planı ………………………
141
3.1.1.5. Sekizinci Beş Yıllık Kalkınma Planı …………………….
141
3.1.1.6. Türkiye Bilişim Şurası ……………………………………
141
3.1.1.7. e – Avrupa+ Hareket Planı ve e – Türkiye Çalışmaları …
144
3.1.1.8. Vizyon 2023: Bilim ve Teknoloji Stratejileri …………….
145
3.1.1.9. Dokuzuncu Beş Yıllık Kalkınma Planı Stratejisi ………..
146
3.1.2. Ulusal Bilişim Politikasında Yaşanan Temel Sorunlar …......
148
3.1.3. Ulusal Bilişim Politikasının Analizi ….....................................
153
iv
DÖRDÜNCÜ BÖLÜM
ULUSLARARASI ALANDA BİLİŞİM SUÇLARI
4.1.
ULUSLARARASI SİSTEMDE BİLİŞİM SUÇLARININ
HUKUKİ DURUMU ………………………………………………...
159
4.1.1. Avrupa Konseyi Tarafından Yapılan Bilişim Suçları ile
İlgili Çalışmalar …...............................................................................
162
4.1.1.1. Avrupa Siber Suç Sözleşmesi …………………………….
162
4.1.1.2. Bilişim Sistemleri Aracılığı İle İşlenen Irkçı ve Yabancı
Düşmanı Eylemlerinin Suç Haline Getirilmesi için Avrupa Siber
Suç Sözleşmesi’ne Ek Protokol ………………………….................... 164
4.1.1.3. Avrupa Konseyi Terörizmin Önlenmesi Sözleşmesi ……... 165
4.1.1.4. Avrupa Konseyi Siber Suç Sözleşmesi ve Türk
Hukukunda Bilişim Suçları ………………………………………….
165
4.1.2. Avrupa Birliği Tarafından Yapılan Bilişim Suçları ile İlgili
Çalışmalar …........................................................................................
171
4.1.2.1. Avrupa Birliği Politikaları ve Türkiye’nin Uyumu …...….
173
4.1.3. O.E.C.D Ülkeleri Bilişim Teknolojileri Politikası ..................
175
4.1.3.1. Bilgi Sistemleri Güvenliğine İlişkin OECD Rehber
İlkeleri ve Türkiye Bilişim Sistemleri Güvenliği Politikası …...…….
177
4.1.3.1.1. Bilinç ………………………………………………….
177
4.1.3.1.2. Sorumluluk …..………………………………………..
178
4.1.3.1.3. Tepki ………………………………………………….. 179
4.1.3.1.4. Etik …..………………………………………………..
179
4.1.3.1.5. Demokrasi …………………………………………….
180
4.1.3.1.6. Risk Değerlendirmesi ………………………………… 180
4.1.3.1.7. Güvenlik Tasarımı ve Uygulama …………………….
181
4.1.3.1.8. Güvenlik Yönetimi …………………………………...
181
4.1.3.1.9. Yeniden Değerlendirme ……………………………...
181
SONUÇ ……………………………………………………………………...
183
KAYNAKÇA ……………………………………………………………….. 190
v
KISALTMALAR
AB
ABD
ACLU
ADL
AİHM
AİHS
AK
AKBK
AP
ARBİS
:
:
:
:
:
:
:
:
:
:
ARPANET :
ASIO
:
ASN.1
:
ASSS
:
ATM
:
BM
:
BSD
:
BT
:
BTPD
:
BTSTP :
BTYK
:
CCRC
:
CERT/CC:
CIA
:
CM/Rec :
CNRS
:
COMINT :
CSI
:
CSS
:
CTIW
:
CTO
:
DARPA :
DDoS
:
DEA
:
D.G.K. :
DHS
:
DNS
:
DoD
:
DoS
:
DPT
:
ECTA
:
EDT
:
EGM
:
ENIAC :
EPA
:
EPTC
:
FAPSI
:
Avrupa Birliği
Amerika Birleşik Devletleri
American Civil Liberties Union
Anti-Defamation League
Avrupa İnsan Hakları Mahkemesi
Avrupa İnsan Hakları Sözleşmesi
Avrupa Konseyi
Avrupa Konseyi Bakanlar Komitesi
Avrupa Parlamentosu
Araştırmacı Bilgi Sistemi
Advanced Research Projects Administration Network
Australian Security Intelligence Organization
Avrupa Suç Sorunları Komitesi
Avrupa Siber Suç Sözleşmesi
Automated Teller Machine
Birleşmiş Milletler
Berkeley Software Distribution
Bilişim Teknolojisi
Bilim ve Teknoloji Politikası Dairesi Başkanlığı
Bilim-Teknoloji-Sanayi Tartışmaları Platformu
Bilim ve Teknoloji Yüksek Kurulu
Computer Crime Research Center
Computer Emergency Readiness Team/Coordination Center
Central Intelligence Agency
Committee of Ministers Recommendation
Centre National de la Recherche Scientifique
Communication Intelligence
Computer Security Institute
Central Security Service
The Center on Terrorism and Irregular Warfare
Chief Technical Officer
Amerikan Defense Advanced Research Projects Agency
Distributed Denial of Service
U.S Drug Enforcement Agency
Dünyanın Geri Kalanı
Department of Homeland Security
Domain Name System
Department of Defence
Denial of Service
Devlet Planlama Teşkilatı
European Competitive Telecommunications Association
Electronic Disturbance Theater
Emniyet Genel Müdürlüğü
Elektronik Sayısal Doğrulayıcı ve Bilgisayar
Environmental Protection Agency
European Parliament Temporary Committee
Federalnoe Agenstvo Pravitelstvennoi Svyazi i Informatsii
vi
FARC
FBI
FED
FISA
FSB
GAO
GCHQ
GIMF
GPS
GSM
GSMH
GSYİH
GTISC
HP
IDS
IP
IRC
ISACs
IT
ITU
IWS
IXPs
İDB
KGB
KOM
KOMDB
LAN
ODTÜ
OJEU
MIT
MoD
MSIR
MSRT
NAPs
NASA
NATO
NCFTA
NCSD
NIPC
NIPRNet
NNSA
NSA
NSF
NSFNET
NWC
OECD
OJEU
P2P
PDA
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
The Revolutionary Armed Forces of Colombia
Federal Bureau of Investigation
Federal Reserve Bank
Foreign Intelligence Surveillance Act
Federal Güvenlik Teşkilatı
Government Accountability Office
Government Communications Headquarters
Global Islamic Media Front
Global Positioning System
Global System for Mobile Communications
Gayri Safi Milli Hasıla
Gayri Safi Yurt İçi Hasıla
Georgia Tech Information Security Center
Helwett Peckard
Intrusion Detection System
Internet Protocol
Internet Relay Chat
Information Sharing and Analysis Centers
Information Technology
International Telecommunications Union
Internet World Stats
Internet Exchange Points
İnternet Daire Başkanlığı
Sovyet Gizli Haber Alma Teşkilatı
Kaçakçılık ve Organize Suçlarla Mücadele
Kaçakçılık ve Organize Suçlarla Mücadele Daire Başkanlığı
Local Area Network
Orta Doğu Teknik Üniversitesi
Official Journal of the European Union
Massachusetts Institute of Technology
Ministry of Defence
Microsoft Security Intelligence Report
Microsoft Malicious Software Removal Tool
Network Access Points
National Aeronautics and Space Administration
North Atlantic Treaty Organization
Ulusal Siber Adli Bilişim ve Eğitim Birliği
National Cyber Security Division
US National Infrastructure Protection Center
Non - secure Internet Protocol Router Network
National Nuclear Security Administration
National Security Agency
National Science Foundation
National Science Foundation Network
Naval War Collage
Organisation for Economic Co-operation and Development
Official Journal of the European Union
Peer to Peer
Personal Digital Assistant
vii
PRISM :
PROMIS :
RBN
:
SANS
:
SIGINT :
SNMP
:
STE
:
STK
:
TARABİS :
TBTP
:
TCK
:
TCP/IP :
TDK
:
T.D.K
:
TİB
:
TraCCC :
TUENA :
TUTCS :
TÜBA
:
TÜBİTAK :
t.y.
UKUSA
USCB
USSS
UYAP
v.d.
VoIP
WANK
WANs
WIPO
WTO
WWW
:
:
:
:
:
:
:
:
:
:
:
:
Project for the Research of Islamist Movements
Prosecutor’s Managemen Information System
Russian Business Network
SysAdmin, Audit, Network, Security
Signal Intelligence
Simple Network Management Protocol
Syrian Telecom Establishment
Sivil Toplum Kuruluşu
TÜBİTAK Ulusal Araştırma Altyapısı Bilgi Sistemi
Telekomünikasyon ve Bilişim Teknolojileri Politikası
Türk Ceza Kanunu
Tranmission Control Protocol/Internet Protocol
Türk Dil Kurumu
Toplam Dünya Kullanıcıları
Telekomünikasyon İletişim Başkanlığı
Transnational Crime and Corruption Center
Türkiye Ulusal Enformasyon Altyapısı Ana Planı Projesi
Terrorism, Unconventional Threats and Capabilities Subcommittee
Türkiye Bilimler Akademisi
Türkiye Bilimsel ve Teknolojik Araştırmalar Kurumu
Tarihi Yok
UK – USA, United Kingdom, United States of America
United States Census Bureau
The United States Sigint System
Ulusal Yargı Ağı Projesi
ve diğerleri
Voice over Internet Protokol
Worms Against Nuclear Killers
Wide Area Networks
Dünya Fikri Mülkiyet Hakları Kuruluşu
Dünya Ticaret Örgütü
World Wide Web
viii
TABLOLAR
Sayfa
Tablo 1 :
Dünyadaki İnternet Kullanıcıları ve Nüfus İstatistiği
16
Tablo 2 :
WEB'te Kullanılan İlk On Dil (2000 – 2008)
17
Tablo 3 :
Avrupa’nın En Çok İnternet Kullanan 10 Ülkesi (Aralık 2007)
18
Tablo 4 :
Avrupa’nın En Çok İnternet Kullanan 10 Ülkesi (Haziran 2008)
19
Tablo 5 :
Zararlı Aktivite İçinde Bulunan İlk On Ülke Sıralaması (2007)
31
Tablo 6 :
En Yüksek İnternet Kullanıcı Nüfusuna Sahip Yirmi Ülke
37
Tablo 7 :
En Yüksek İnternet Kullanıcı Nüfusuna Sahip Yirmi Ülke (2007) 38
Tablo 8 :
Yıllara Göre Türkiye’de İnternet Kullanıcıları İstatistiği
Tablo 9 :
En Yüksek İnternet Kullanıcı Nüfusuna Sahip Yirmi Ülke (2008) 40
Tablo 10:
Bulgaristan İnternet Kullanıcı Nüfusu (2000 – 2008)
41
Tablo 11:
Ermenistan İnternet Kullanıcı Nüfusu (2000 – 2008)
41
Tablo 12:
Irak İnternet Kullanıcı Nüfusu (2000 – 2008)
42
Tablo 13:
İran İnternet Kullanıcı Nüfusu (2000 – 2008)
42
Tablo 14:
İsrail İnternet Kullanıcı Nüfusu (2000 – 2008)
43
Tablo 15:
Suriye İnternet Kullanıcı Nüfusu (2000 – 2008)
43
Tablo 16:
1998 – 2001 Yılları Arasında İşlenen Bilişim Suçlarına Karışan
39
Kişilere Ait Durum İstatistiği
45
Tablo 17:
İnternet Daire Başkanlığı İhbar İstatistiği 23.11.07 – 01.11.08
46
Tablo 18:
İnternet Daire Başkanlığı İhbar İstatistiği (09.02.09)
47
Tablo 19:
İnternet Daire Başkanlığı Katalog Suç İhbar İstatistiği (09.02.09) 47
Tablo 20:
İhbarlara Yönelik Yapılan Re’sen ve Yargısal İşlemler (09.02.09) 48
Tablo 21:
KOMDB Türkiye Bilişim Suçları İstatistiği (2005 – 2007)
49
Tablo 22:
KOMDB Türkiye Bilişim Suçları İstatistiği (2006 – 2008)
51
Tablo 23:
Bilişim Suçları Olay Sayısına Göre İlk On İl
52
Tablo 24:
IXP siteleri ile NSA’ın İnternet İletişim İstihbarat (Comint)
Erişimi
Tablo 25:
Avrupa Birliği’nde En Çok İnternet Kullanan İlk On Ülke
75
171
ix
ŞEKİLLER
Sayfa
Şekil 1:
2008’in Birinci Yarısında Tespit Edilen Ülkesel/Bölgesel Zararlı
Yazılım Dağılımı
33
Şekil 2:
Echelon Elektronik İzleme Sistemi
79
Şekil 3:
Ülkemizin 6. Çerçeve Planı’ndaki Başarı Durumu
156
Şekil 4:
Organizasyon Tiplerine Göre AB Çerçeve Programı’na Katılım
157
Şekil 5:
Desteklenen Projelere Göre Organizasyonların Etkinlik
157
x
GİRİŞ
Tarihsel olarak, yerleşik toplum düzeninden sanayi toplumuna evirilen insanoğlu,
artık kendine yeni bir yön belirleyerek bilgi toplumu olma yolunda ilerlemektedir.
Fakat bunu yaparken, geçmişe bakıldığında çok daha hızlı bir evrimden söz etmek
mümkündür. Bilindiği gibi son yirmi yıl içerisinde muazzam bir gelişme kaydeden
bilişim teknolojilerinin, bugün önümüze sunduğu yeni gelecek anlayışı pek çok
yönden yararları olan bir olgudur fakat genelden ziyade istisnalar içinde yeni bir kapı
açtığı muhakkaktır.
1950’li yıllarda icat edilen transistorün ardından geliştirilen mikro işlemciler,
yarı iletken bellekler ve lazer teknolojisi, günümüzde kullanıma sunulan kişisel
bilgisayarların temelini oluşturmaktadır. İşte o yıllarda geliştirilen bu teknolojiler
şimdilerde ifade edilen bilgi toplumunun kaynağını oluşturmaktadır. Sanayi
toplumundan bilgi veya sanayi ötesi topluma geçiş aşamasında da belli sıkıntıların
yaşanıyor olması kaçınılmazdır (Ceyhun ve Çağlayan, 1997: 2 – 3). Sınırları tek bir
tıklamayla ve herhangi bir belgeye gerek duymadan saniyelerden daha kısa bir
sürede aşan/kaldıran pek çok teknolojiden farklı olarak bilişim teknolojileri bireyleri
interaktif bir karar verici haline de getirmiştir. Sınırlar arası bir olgunun bireylere
vereceği zararın ise yalnızca ulusal mevzuatlarla giderilmesi ve zararın
sorumlusunun sadece ulusal yasalarla takibi elbette mümkün değildir. Teknolojilerin
sağladığı imkânları suç olgusu ile birleştiren suçluların ise adalete teslimi ortak ve
birbiriyle uyumlu yasalarla mümkündür. Bilişim suçları ile ilgili olarak, ülkeler
tarafından atılan pek çok olumlu adımın birbirinden bağımsız ve farklı uygulamalara
dönüşmesi bu olumlu gelişmeleri gölgelemektedir.
Küresel ve tarihi bir tehdit olarak algılanan terörizmin bile tanımı
yapılmamışken, bilişim teknolojileri gibi yeni bir fenomenin düzenlenmesinde,
sınırlandırılmasında ve takibinde ortak bir tanımlamaya geçilememesi normal
gözükmektedir. Ülkelere göre değişen güvenlik ve suç algılamaları, ortak
konsensüslerin hazırlanması ve nihayetinde yaşama geçirilmesi önünde duran en
büyük engeldir. Bu engelin ise bir anda ve tamamen pürüzsüz bir şekilde ortadan
kaldırılması rasyonel bir düşünce değildir. Liberal düşünce akımına göre işbirlikleri,
1
hem çatışma ortamını ortadan kaldırmakta, hem de ülkelerin kazan – kazan
politikaları geliştirmelerinde lokomotif görevi görmektedirler. İnternet ortamı
üzerinden bomba yapımı bilgilerin verilmesi, çocuk ve kadınların cinsel istismar
görüntülerinin yayınlanması veya uyuşturucu trafiğinin bile internet üzerinden takip
edilip yönetilmesi, şüphesiz bir denetim mekanizmasının varlığını gerekli
kılmaktadır. Bu mekanizmanın tam olarak kendini ifade edebilmesi ise uluslararası
bir işbirliği gerektirir. Kişisel özgürlüklerin korunduğu fakat kanunsuzluğun
engellendiği bir sistem ise ideali temsil eder. Bunu başarmak ise uygun politikaların
hazırlanıp yürürlüğe girmesi, toplumda bir bilincin oluşması ve kamunun tek başına
inisiyatif sahibi olmamasına bağlıdır.
Türkiye ile Avrupa Birliği (AB) arasında uzun yıllar tam üyelik müzakereleri için
yürütülen diplomasi çalışmalarının bir meyvesi olarak, 3 Ekim 2005 günü
Lüksemburg’da toplanan AB Hükümetlerarası Konferansı’nda alınan kararla
müzakerelerin başlamasına onay verilmiştir. Bilgi toplumu projeleri bağlamında,
toplumun unsurlarından biri olarak kabul edilen iletişimin, bilişim teknolojileri
politikaları ile birlikte anılması tesadüfî bir olgu değildir. AB’nin temel amaçları
içerisinde olan bilişim toplumunun oluşturulması ve şekillendirilmesi çalışmaları,
temel politikalara yansıdığı gibi, bilişim teknolojileri politikalarının şekillendirilmesi
hedefleriyle de desteklenmektedir. Bilişim sektörünün özgür (rekabetçi), güvenli ve
gelişmelere açık bir şekilde oluşturulması kapsamında, teknolojinin daha hızlı ve
ucuz hale getirilmesi çalışmaları bir alt yapı ve alt yapının desteklenmesi
politikalarının gerekliliğine işaret eder. Ülkemizde ise durum, bu politikaların
oluşturulmasında, yani sorunun çözümünün başında bir sorun olarak karşımıza
çıkmaktadır. Dolayısı ile sorun strateji ve politika oluşturmakta değil, oluşturulan bu
strateji ve politikaların uygulanabilirliği ile uygulama iradesindeki isteksizliktedir.
Bu çalışma, AB’nin Kopenhag Kriterleri’nin önemli bir ayağı olan AB
Müktesebatının
35
maddesinden
biri
olan
Telekomünikasyon
ve
Bilişim
Teknolojileri Politikası’nın (TBTP) Türkiye için önemi ve gelinen aşamada yaşanan
problemlerle bu problemlerin aşılması konusunda çözüm aramak amacıyla
kendinden sonraki çalışmalar için bir dayanak teşkil etmesi düşüncesiyle yapılmıştır.
Çalışmada, ulusal mevzuatımızın hem işbirliklerine açık, hem de güncel kalmasını
2
sağlayacak politikaların oluşturulması kapsamında değerlendirilmesine yardımcı
olmak amacıyla öneriler getirilmiştir. Siber suçluların ve siber teröristlerin yakın
zamanda eylemlerini ciddiye almamızı sağlayacak gelişmelere değinilecektir.
Türkiye’nin tarafı olmadığı sözleşmeler ve üyesi olmadığı örgütlerden ötürü, Türkiye
ulusal bilişim politikası belirli bir alan içerisinde değerlendirilmiştir.
Çalışmanın birinci bölümünde; bilişim suçları ve internet arasındaki ilişkiye,
ikinci bölümünde; bilişim suçlarının çeşitlerine, üçüncü bölümde; Türkiye’nin ulusal
bilişim politikasına, son bölümde ise; uluslararası alanda bilişim suçlarının durumuna
değinilmiştir.
3
BİRİNCİ BÖLÜM
BİLİŞİM SUÇLARI VE İNTERNET
1.1. BİLİŞİM SUÇU KAVRAMI
Suç kavramını insanlık tarihiyle bir bütün halinde düşünmek gerekirse, sayısız çeşidi
bulunan bir olgudan bahsetmemiz gerekir. En anlaşılır ve basit haliyle suç, toplumsal
düzen içerisinde oluşturulmuş kanunların yasakladığı ve yapıldığında cezai bir
müeyyidesinin olduğu her türden davranış olarak tarif edilebilir. Tarihin köklerinden
gelmesi sebebiyle pek çok suç türünden bahsetmek olasıdır. Günümüz dünyasında
ise özellikle kişisel bilgisayarların gelişmesi ve sayılarında ki artış ile orantılı olarak
karmaşıklaşan bir iletişim ağı sistemi bulunmaktadır. İnsan hayatını kolaylaştıran
yönlerine paralel olarak, bu iletişim ağı üzerinde artan bir suç potansiyelinden de
bahsetmek mümkündür.
Bilişim suçu
kavramına
geçmeden
önce
bilişimin
tanımını
yapmak
gerekmektedir. Günümüzde hemen hemen her ortamda karşılaştığımız ve
kullandığımız bilgi teknolojilerinin köklerinde var olan bilişim; insanoğlunun teknik,
ekonomik ve toplumsal alanlardaki iletişiminde kullandığı ve bilimin dayanağı olan
bilginin özellikle elektronik makineler aracılığıyla düzenli ve akla uygun bir biçimde
işlenmesi bilimi olarak tanımlanmaktadır (TDK, 2008). Parker ise bilişim suçunu,
fail tarafından kasıtlı bir şekilde çıkar elde etmek amacıyla, bilgisayar veya
bilgisayar teknolojisi kullanma olarak tanımlar (Parker, 1980: 338). Aydın’a göre ise
bilişim suçu, bilişim sistemlerine karşı işlenen suçlar ve bilişim sistemleri ile işlenen
suçlar olarak ikiye ayrılır (Aydın, 1992: 27). Her bir tanımlama kendi içinde
doğrulara işaret etmektedir, fakat önemli olan ve unutulan nokta bilişim suçlarında
güvenlik zafiyetleri konusudur. Suç işlemeyi kafasına koyan bir fail için güvenliğin
zaafları birinci derecede önemlidir bununla birlikte, suçtan zarar gören mağdurlarda
suçu bildirme konusunda bir iştahsızlık mevcuttur. Çoğu zaman fail tarafından ufak
bir tatmin için bile saatlerce zaman harcanırken, suça konu mağdur için üzerinde
4
fazlaca düşünülecek bir durum yoktur, keza mağdur için suçun tespiti de, ispatı da
zordur.
Bilişim suçu ise pek çok dilde, farklı isimler altında ifade edilebilmektedir.
Bilgisayar destekli suçlar (Computer assisted Crimes), Bilgisayara karşı işlenen
suçlar (Crimes against Computer), Bilgisayar bağlantılı suçlar (Computer related
Crimes), Bilgisayar Ağları ile ilgili suçlar (Computer Networks related Crimes),
Bilgisayar suçları (Computer Crimes – Computerkriminalitat – la Fraude
Informatique), IT Crimes (Information Technologies – Bilgi Teknolojileri Suçları),
Cyber Crimes (Siber Suçlar), Crimes of Network (Ağ Suçları) ve Bilişim suçluluğu
(la Criminalita Informatica) verilebilecek pek çok örnekten birkaçıdır (Pocar, 2004:
27 – 37). Günümüzde, Avrupa Ekonomik Topluluğu Uzmanlar Komisyonunun Paris
toplantısında (Mayıs 1983) ortaya koyduğu bilişim suçu tanımı, genel geçerliliği en
kabul edilebilir tanım olarak görünmektedir. Bu tanımlamada bilişim suçları, sistem
içinde bilgileri otomatik işleme tabi tutan veya verilerin nakline yarayan her türlü
işlemi ahlaki ve kanuni olmayan, bununla birlikte yetki aşımı veya yetki tecavüzü ile
gerçekleştirilen davranış olarak tarif edilmektedir (Kurt, 2005: 50).
Ülkemizde ise bilişim suçları, çeşitli yazarlar tarafından yukarda ki örneklere
benzer ifadeler ile dile getirilmekteyse de hukuki olarak 26.9.2004 tarihinde kabul
edilen 5237 sayılı Türk Ceza Kanununun (TCK) İkinci Kitap üst başlığı, Özel
Hükümler ön başlığı altında, Birinci Kısım (Uluslararası Suçlar) Onuncu Bölüm –
Bilişim Alanında Suçlar alt başlığı altında düzenlenmiştir (243–244–245–246.ncı
maddeler). Ayrıca yine TCK’nın Birinci Kitap, Onuncu Bölüm’ü (Malvarlığına
Karşı Suçlar) içerisinde Nitelikli Hırsızlık alt başlığı altında 142.nci Maddenin ikinci
fıkrasının e bendinde “Bilişim sistemlerinin kullanılması suretiyle” ve Nitelikli
Dolandırıcılık alt başlığı altında 158.inci Maddenin birinci fıkrasının f bendinde
“Bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması
suretiyle” ifadeleri kullanılarak bilişim terimine atıfta bulunulmuştur.
Kanun koyucunun yeni ceza kanununda altını çizmek istediği, bilişim
teknolojileri ile işlenebilecek her suçun doğasında diğer suç türleriyle aynı
olduğudur. Mal varlığına yönelik suçlar gibi, şahsa karşı işlenebilecek (adam
5
öldürmeye azmettirme suçu gibi) suçlarında bilişim teknolojileri vasıtası ile
işlenebilirliği mümkündür. Önder de bu yönde görüş bildirirken kendine göre bir
bilişim suçu tarifi yapmıştır. Yazara göre bilişim suçu, kanunlara aykırı, ahlaki
bakımdan kabul edilmeyen veya haksız davranışların otomatik bilgi işleyen sistem
ile işlenmiş olmasını kapsamalıdır (Önder, 1994: 504). Bilişim suçunu, bilgisayarı da
içine alan fakat daha kapsamlı olarak bilişim araçları ile veya bilişim araçlarına karşı
işlenen suçlar olarak tanımlamak mümkündür (Ersoy, 1994: 151; Yazıcıoğlu, 1997:
142). Bu tanımlamaya ek olarak bilişim suçlarının devlete ve kamu düzenine karşı
işlenebilirliğinden de bahsedebiliriz (Yazıcıoğlu, 2001: 69). Günümüzde belli başlı
suçları bilişim teknolojileri ile işlenebilir ve işlenemez olarak ayırmak, gelecekte
yaşanması muhtemel hukuki sıkıntılara neden olacaktır (Yücel, 1992: 505). Tüm
bunların yanında ülkemizde bilişim suçlarının fikir birliğine varılmış net bir
tanımlaması bulunmamaktadır (Yazıcıoğlu, 1997: 141).
İnsan zekâsının sınırlarının çizilemediği göz önünde bulundurulduğunda, kötü
niyetli zekânın bilişim teknolojileri yoluyla bize gelecekte ne tür suçları armağan
edeceğini düşünmek için kâhin olmaya gerek yoktur. İleriki bir zaman diliminde,
yeni suç türleri ve bambaşka suçlu profilleri kendini ortaya koyacaktır, fakat bu
konuda şimdiden bir genelleme yapmak zor görünmektedir (Kurt, 2005: 51). Nitekim
22.03.2008 tarihinde ABD merkezli Epilepsi Vakfı'nın forum sitesine daha önce
Scientology tarikatına karşı başlattığı kampanyayla adını duyuran Anonymous adlı
grup tarafından bir siber saldırı başlatılmıştır. Gönderilen hareketli, yanıp sönen,
parlak renkli, ışık ve görsel unsurlar barındıran mesajlar, siteden bilgi edinen, tecrübe
ve tavsiyelerini paylaşan epilepsi hastalarının migren ağrıları çekmesine ve epilepsi
krizine girmesine neden olmuştur. Sıradan insanların etkilenmeyeceği bu
mesajlardan etkilenen epilepsi hastalarının yaşadıkları bu kötü tecrübe aslında hukuk
dünyasını yakından ilgilendiren örnek bir olaydır. Sistemin araç insan hayatının ise
amaç olarak hedef alındığı bu saldırı, epilepsi hastalarında kalıcı hasarlar
bırakabileceği gibi, yaşamlarına dahi son verebilecek türdendir (Radikal, 2008).
Bilişim suçlarına yönelik bu düşünce yaklaşımına, farklı yazarlardan farklı
eleştiriler ve yaklaşımlar geliştirilmiştir. Kimi düşünürler bilişim suçu kapsamı
içinde bilgisayarın net bir şekilde var olması gerekliliğine inanmaktadır. Bu
6
yaklaşımda bilişim suçunun aracı da amacı da bilgisayardır. Ayrıca klasik suç
kavramı bilgisayarla işlendiği takdirde, bilişim suçu olmaktadır (Aydın, 1993: 75).
Diğer bir düşünce akımına göre, bilişim suçları yalnızca mal varlığına yönelik suçları
kapsamaktadır. İşlenen elektronik verilerin sistem içinde depolanması, depolanan bu
verilerin kasıtlı olarak ele geçirilmesi ile meydana gelen ihlaller ve sonuçta
malvarlığı bilgilerinin edinilmesi, kullanılması ve maniple edilmesi bilişim suçunun
konusunu oluşturmaktadır (Akbulut, 2000: 550; Yücel, 1992: 505). Sieber’e göre
bilişim suçu, mülkiyet hakkının bilişim sistemleri ile tecavüze uğradığı durumları
ifade eder. Yazara göre mülkiyet hakkı ihlali ana unsurdur ve mülkiyete ait
elektronik verilerin muhatap olduğu her türden işlem (değiştirme, tahrip etme, yetki
dışı kullanma ve yararlanma) suçun işleniş biçimiyle alakalıdır (Aydın, 1992: 32 –
33). Bir diğer ayrım, bilişim suçu tanımlamasında kendini, faili irdeleyerek gösterir.
Öncelikle suçu işleyenin yani failin, temel ya da yüksek seviyede bilgisayar bilgisine
sahip olması gerekmektedir (Akbulut, 2000: 550; Yücel, 1992: 506). Yazıcıoğlu
bilişim suçunun, mesleki suçlar kapsamında değerlendirildiğine de değinmektedir
(Yazıcıoğlu, 1997: 98). Fakat bu değerlendirme günümüzde genel geçer özelliğini
yitirmiştir. Geçmişte belli kurumların kullandığı bilgisayar ağı bağlantısı artık global
bir hal almış, kurumlar vatandaşın hizmetine sunmak adına kendilerini e –
leştirmiştir. Yani geçmişte bilişim suçu kurumsal bir olguyken ve kurum içi personel
tarafından işlenebilir bir düzeydeyken, günümüzde kurumlar dünyanın bilmediğimiz
bir adasından bile bilişim saldırısı mağduru olabilmektedirler.
Bilişim suçları ayrıca farklı yazarlar tarafından değerlendirmede araç olarak
düşünülen suçlar kapsamındadır. Bu görüşe göre; fail tarafından bilişim
teknolojilerini kullanma bir araç olabilir bununla birlikte hedefteki detay bilişim
içeriği olabileceği (her türden veri) gibi kişinin vücut bütünlüğüne yönelik bir
eylemde olabilmektedir. Keza araç olarak kullanılan sistem, fiber optik kablolar ile
biçimlendirilmiş siber bir dünyayı anlatırken, amaç gerçek kişi veya tüzel kişilere ait
bir takım fiziksel nesne veya bizzat can güvenliğine yönelmiş durumdadır.
Güdülenmiş birey için evinde otururken, havada gezinen radyo dalgaları aracılığı ile
elde edilebilecek kişisel verilerin paraya çevrilmesi imkansız bir tablo değildir.
İnternet üzerinden ise kişisel bilgilerin para karşılığı pazarlandığını söylemek, artık
karşımızdaki insanları şaşırtmamaktadır. 2007 yılında Symantec firması tarafından
7
dünya çapında hazırlanan İnternet Güvenliği Tehdit Raporuna göre, saldırıların %
68’i kişisel bilgileri elde etme amacı taşımaktadır. Bu saldırı tipinde faillerin elde
edilen bilgileri pazarlaması ve ticaretini yapması, yer alt ekonomisine bir canlılık
getirmektedir. Elbette her ekonomik durumda olduğu gibi arz ve talep dengeleri,
bilgi fiyatlarının belirlenmesinde büyük etken olmaktadır. Sağlık hizmeti veren bir
kuruma yapılacak siber ataklar, hastalık sebebiyle orada bulunan insanların can
güvenliğine yönelik bir saldırı olabilme özelliğini barındırmaktadır. Farklı hastaların
tahlil bilgilerinin veya tahlil değerlerinin değiştirilmesi olası bir saldırının sonucu
olabilir. Amaç her ne olursa olsun neticede araç olarak bilişim teknolojileri
kullanılmıştır.
Bilişim suçunun amaç olarak düşünülmesi ise kişisel bilgisayarların bir ağ
üzerinden birbirlerine bağlanabilmesi ile oluşan sistemi iyi anlayabilmemizle
bağlantılıdır. Bir devlet kurumunda birbirine bahsettiğimiz ağlar ile bağlanan
yüzlerce bilgisayar olduğunu varsayarak örneklemimizi kuralım. Bu bilgisayar ağı,
kurumdaki günlük işlerin işleyişi, vatandaşa verilen hizmetin yerine getirilmesi,
kurumlar arası yazışmaların yapılması ve hizmette verimliliğin devamı için
oluşturulmuş bir yapıdır. Doğal olarak sistemde yaşanan bir sorun, yukarıda
bahsedilen tüm işlemlere yansıyacak, sistem sorunu vatandaşa verilen hizmetten,
kurum içi ve dışı faaliyetlere uzanan bir problemler zincirinin doğmasına sebep
olacaktır. Neticede fail hedef amaç olarak kendine sistemi seçtiğinde ortaya yine bir
suç çıkacaktır. Kamu veya özel olsun faaliyet gösteren, hizmet veren bir sistemin
yine sistem aracılığı ile işleyemez hale getirilmesi bir suçun varlığını göstermektedir.
Örneklemimizi Ulusal Yargı Ağı Projesi (UYAP) gibi gerçek bir sisteme
uyarladığımızda, sistemin sekteye uğraması ile oluşacak kaosu ve milli mali zararı
düşünelim. Amaç sistemin işlemez hale getirilmesi, araçsa sistemin ta kendisidir.
Netice itibariyle sistemin çökmesiyle oluşabilecek zarar sonucu ifade eder. Burada
daha çok altı çizilmek istenen konu, suçu işleyecek kişinin güdülenmesinin ne yönde
olduğu ile alakalıdır. Kast edilen hareket her halükarda sistem ise kullanılan araçta
sistemin kendisi olacaktır.
Elbette bilişim ve bilişim teknolojileri dendiğinde akla ilk gelen bilgisayar
kavramıdır. Günümüzde kullandığımız el bilgisayarları, masa üstü bilgisayarlar ve
8
diz üstü bilgisayarların atası olarak kabul edilen ilk bilgisayar yine ABD’de Savunma
Bakanlığı’nın yetki ve sorumluluğunda geliştirilmiştir. İlk bilgisayar özelliği taşıyan
bu cihaza verilen isim ise ENIAC’tır. Elektronik Sayısal Doğrulayıcı ve Bilgisayar
olarak kullanıma sokulan bu cihazın boyutları ise devasa bir görünüm arz
etmekteydi. Yaklaşık olarak otuz ton ağırlığında, 167 m2 ebadında ve 150 Kw güç
harcayan bu cihazı gözümüzün önüne getirdiğimizde, 1943 yılından günümüze
nelerin değiştiğini daha iyi anlayabiliriz (Taşçı ve Mutlu, 1992: 25 – 30; Dülger,
2004: 56).
Esasen bilişim teknolojilerinde yaşanan günlük gelişmeler neticesi her an yeni
bir suç türüyle karşılaşmak olasıdır. Bilgi toplumunun ve suçluluğun akışkanlığı ve
insan zekâsının bir sonucu olarak, bilişim suçu kavramıyla ilgili genel kabul edilmiş
bir tanım bulunmamaktadır. Ülkeler bilişim suçlarını ya ayrı bir bölüm içerisinde
tasnif etmekte ya da mevcut suç türlerinin içerisinde dijital ortam ibaresi gibi çeşitli
ibareler koyarak durumu açıklamaya çalışmaktadırlar. Bilişim suçu genel anlamıyla
bilgisayar suçu olarak da ifade edilmektedir. Fakat ceza hukukunda suçun işlendiği
suç aletinin suçun adını oluşturması düşünülemez kaldı ki bilişim suçları kapsamında
pos makineleri, ATM (Automated Teller Machine) cihazları ve cep telefonları da
suçun konusu alet olabilmektedir. Basit ev aletlerinin bile bilişim suçunun konusu
olabilecek birer eşya haline geldiğini görebiliyoruz. Bilinen bu örneklerin yanında
internet aracılığı ile bağlantı kurarak istenilen müziği download eden müzik
çalarların, yemek tarifi araştıran ve size öneride bulunan buzdolaplarının, kendini
yine internet üzerinden sisteme bağlayarak veri alıp güncelleyen uydu alıcılarının
hayatımıza girdiğini unutmamalıyız (Doğan, 2000: 119).
Bu araçlar üzerinden saldırıya maruz kalmamak hayal olmamakla birlikte, bu
tür saldırılara karşı tedbirlerin alınması ve ileride hukuk düzleminde kendine yer
bulması çok uçuk önermeler olmayacaktır. Bahsedilen bu yeni teknolojik gelişmeler
hukuksal açıdan bakıldığında, bilişim suçlarını sadece bilgisayarla işlenmesi
mümkün suçlar olmaktan çıkarmaktadır. Örneğin Alman doktrininde kullanılan
Computerkriminalitat yani bilgisayar suçluluğu terimi, eleştirilen bir hukuki terimdir
(Tiedemann, 1975: 331; Önder, 1994: 504). Günümüzde hemen hemen devrelerle
oluşturulmuş her cihaz, bilişim suçuna konu bir alet olabilme özelliğini
9
taşıyabilmektedir. Testereyle işlenilmiş bir cinayet olayının, testere cinayeti olarak
isimlendirilmesi ne kadar yanlışsa, bilişim suçlarını sadece kullanılan cihazın ismine
atıfta bulunarak ifade etmekte o kadar yanlıştır, doğal olarak bilgisayar
suçu/suçluluğu terimi dönemin şartlarını karşılamaktan uzaktır (Dursun, 1998: 339).
Bilişim suçlarında fail sayısı bir veya daha fazla olabilir, bunun yanında suçtan
zarar gören mağdur sayısı da birden fazla olabilmektedir. Bilişim sistemleriyle ilgili
kötü kullanımlar neticesi faili belli olan ya da olmayan, fakat mutlak özel ya da tüzel
manada bir mağduru olan veyahut kamuoyunda bir infial uyandıran her türden eylem
bilişim suçudur. Burada bilişim sistemi bir araç ya da hedefi temsil edebilmektedir.
Yani bilişim suçu kapsam itibariyle insan hayatını, beyaz yaka suçlarını ve veri
tabanlı her türlü kötü amaçlı ve kasti kullanımı içermektedir. Burada vurgulanacak
nokta ise elektronik ortam içinde gerçekleşen bir suçun var olmasıdır.
Terör ve organize suç hareketlerinin, cinsel istismar ve organ kaçakçılığı gibi
insan ticaretine dayalı suçların ayrıca dolandırıcılık gibi adi suç türlerinin bile
günümüzde bir ağ üzerinden kendisine faaliyet imkânı bulduğunu düşündüğümüzde,
aslında fiziki hayatın sanal hayata yani 0 ve 1 sayı kodlarından 1 oluşan bir dünyaya
aktığını, evrimleştiğini ve daha komplike bir hal aldığını söyleyebiliriz. Kolluk
kuvvetlerinin suçlulara ve suç gruplarına karşı yürüttüğü teknik takibe dayalı projeli
çalışmalarda ise suç işlemeyi planlayan kişiler tarafından daha fazla gizliliğe ve
arkada delil bırakmamaya özen gösterilmesinden kaynaklı sıkıntıların yaşandığı göze
çarpmaktadır. Bu sıkıntılara;
a) Minimum riskle kolay kazanç yolunun açık olmasını,
b) İlgili kanun maddelerinin yeni bir alan olan bilişimde yetersiz veya eksik
kalmasını,
c) Kolluk kuvvetleri kadar suç işlemeyi amaç edinen kişilerinde teknolojiyi
yakından takip ettiği ve kullanışlı bir araç olarak amaçları doğrultusunda
maniple ettiklerini,
1
Bilgisayarın işleyişinde temel olan elektrik sinyalinin varlığı (1) sayısı ile ifade edilirken, elektrik
sinyalinin yokluğu (0) sayısı ile ifade edilir.
10
d) Saldırıların gerçek yaşamda işlenen türlerinden daha ağır maddi ve manevi
sonuçlar doğurduğunu,
e) Hedef olarak finansal şirketlerin ve kamu kurumlarının seçilmesiyle
birlikte, bahse konu kuruluşlarca prestij kaybı olacağı düşüncesiyle
saldırıya maruz kalınan konuyla ilgili açıkların açıklanmamasını,
f) Bu sebeple fail ya da faillerin kendilerine daha fazla güven duymalarını
(Demirbaş, 2005: 266),
g) Faillerin bilgili ve genç bir kesimi oluşturduğunu, alanda çalışan kişilerle
yapılan mülakatlardan öğrenilen kadarıyla ekleyebiliriz (Kurt, 2005: 55 –
61).
Kötü amaçlı kişi veya grupların bilişim teknolojilerini yeni bir kapı olarak
görmelerinin altında ise farklı çıkar hesapları vardır. Teknolojinin hızlı gelişimi ve
takibinin zor olması, klasik suç türlerinden içerik ve işleniş şekli bakımından
farklılıklar arz etmesi, mağdurun mağduriyetini çok geç fark etmesi veya hiç fark
edememesi, mağdur sayısının birden fazla olabilme ve belirlenememe özelliği, failin
veya faillerin belirlenmesinde yaşanan zorluklar, bu suç türüyle mücadele edebilecek
seviyede personelin olmayışı veya uygun personelin siber suçlarla mücadele
biriminde istihdam edilmemesi, suç saikıyla hareket eden kişileri motive ederken,
mağdurları ise suçun aydınlatılması yönünde müracaat etmemeye teşvik etmektedir.
Bu sebepler ışığında, siber suç kapsamında pek çok olay ya faili meçhul olarak
kalmakta yada hiç yaşanmamış gibi addedilerek bir kenara bırakılmaktadır.
1.2. BİLİŞİM
SUÇLARININ
VE
SUÇLA
BAĞLANTILI
İNTERNET
FENOMENİNİN GELİŞİMİ
Bilişim suçlarının gelişimi, bilgisayar teknolojilerinin ve internet kullanımının
gelişimiyle paralel bir seyir izlemektedir, suç potansiyelinin artması, suçlu
profillerinin derinleşmesi bu konuda kanuni bazı açılımların yapılmasını gerekli
kılmaktadır ve kanun yapıcıların bu konu üzerinde çalışma yaptıkları bilinmektedir
(Dülger, 2004: 59). Geçen yüzyılda insanoğlunun keşfettiği bilgisayarları ve
elektronik eşyaları birbirine bağlama fikri bizlere hem görsel, hem işitsel hem de
interaktif bir haberleşme, bilgi alma ve verme, araştırma, para kazanma, alışveriş
11
yapmayla birlikte para harcama imkânı vermiştir (Demirbaş, 2005: 264). Bu düşünce
aslında yeni bir dönemin işaretidir ve sanayi çağı yerini bilişim çağına bırakmıştır.
Yeni bir çağ dememizin sebebi ise toplumda meydana gelen köklü değişimler ve
ekonomik alandaki etkileşimdir. Sınırların olmadığı ve bilginin özgürce paylaşıldığı
bu yenidünya düzeninde bilişim önemli bir yer ihtiva eder. Birbiriyle etkileşime
geçen milyonlar yeni bir toplumun da temellerini atmışlardır ki bu toplum içinde
yeni ırklar, yeni diller, yeni bir kültür ve bilinçaltı arzular su yüzüne çıkmaya
başlamıştır. Bizim siber toplum dediğimiz gerçek insanların arasında gerçek
olmayan, bir gölge gibi dolaşan siber suçlularda, işledikleri siber suçlarda gün
geçtikçe çoğalmakta ve şekil değiştirmektedir (Yazıcıoğlu, 1997: 50 – 51).
Bilişimin tarifinde hemen ilk akla gelen internetin ülkemizde kullanıma
sokulması 1990’ın ilk yıllarına rastlar. 1969 yılında Amerikan Defense Advanced
Research Projects Agency (DARPA) Rusların Nükleer saldırı tehdidine karşı,
bilgisayar ağının bir parçası yok olursa kalan kısımlar iletişime devam edebilsin diye
merkezi bir kontrol olmadan bilgisayarların birbirleriyle haberleşebileceği bir
network geliştirmeye karar verdiler. Bu amaçla 1960’ın sonlarına doğru Pentagon
tarafından soğuk savaş döneminde termonükleer bir saldırıdan korunmak amacıyla
geliştirilen ve internetin ilk hali olan ARPANET 2 (Advanced Research Projects
Administration Network), devre anahtarlamalı sistemler gibi iki nokta arasındaki
iletişimi değil fakat paket anahtarlamalı bir sistem olarak iletişimi birden fazla nokta
arasında sağlayabiliyordu, geliştirildi. Birden fazla nokta arasında bağımsız bir
iletişim ise 1970'lerin ortalarına doğru geliştirilen TCP/IP (Tranmission Control
Protocol/Internet
Protocol)
protokolü
sayesinde
olmuştur.
TCP/IP
ucuza
mağledilebilen ve sistem kaynaklarını daha iyi kullanabilen bir protokol olması
sebebiyle büyük ilgi görmüştür. 1983 yılında ise ilk olarak Berkeley Software
Distribution (BSD) tarafından UNIX (release 4.2)'e eklendi ve çok kısa zamanda
diğer bütün UNIX'lerde de kullanılmaya başlandı ardından da günümüze kadar ulaştı
(Anonymous, 2002: 97–110). 1980’li yılların ortasında Amerikan Ulusal Bilim
Kuruluşu (National Science Foundation) tarafından devralınan ARPANET isim
değişikliğiyle NSFNET adını alarak sivil bir hüviyete kavuşmuştur. ABD’de
2
Savunma Bakanlığı ile üniversiteler arasında bilgi alış verişinin yapılması amacıyla dizayn
edilmiştir.
12
geliştirilen diğer sivil ve ticaret ağları da NSFNET’ e bağlanarak, günümüzde
internet denen olgunun temelini oluşturmuşlardır. 1993 yılında TUBİTAK ve ODTÜ
ortak projesiyle, kullanıma sunulan internetin ülkemize gelmeden önce yirmi dört
yıldır yürürlükte olması ve esasında bilimsel bir amaca hizmet etmesi amacıyla
devşirilmesi kamuyu bu konuda bir politika üretmekten gecikmelide olsa
alıkoymuştur. Daha sonraki yıllarda kişisel bilgisayar sahipliğinin artması ve dış
dünyaya olan ilginin varlığı insanları internete daha da bağımlı hale getirir olmuştur.
O yıllarda kimileri için bilgi, kimileri için oyun, kimileri içinse yeni bir sektör olarak
tanımlanan internet hızla yaygınlaşmış ve hayatımızın hemen tüm alanına sirayet
etmiştir. Durumu günümüz koşullarında incelersek, internet jeostratejik ya da
jeopolitik bir sınır tanımadan, ekonomik ya da sosyal herhangi bir konuda insanlara
sınırsız bilgi sunan ve kendisini ifade etmek isteyen insanları özgür kılan yeni bir
medeniyetin ta kendisidir. Bu medeniyetin henüz evrensel bir kontrol mekanizması
yoktur, bununla beraber bir hukuk alanı oluşturma çabası da henüz, ancak havayı elle
tutmaya yakın bir düzeydedir.
Bilgisayar ağlarının çoğalmaya başladığı 1990’lı yıllara kadar genellikle
meydana gelen suçlar kurum içinde yaşanan kötü kullanımlar olarak kendini
göstermiştir. Çünkü 1990 öncesinde iş yeri ve kurumlarda çalışan bilgisayar ve
bilişim uzmanı kişiler sayılı insanlardı, ayrıca bilişim sistemlerine giriş yetkisine
sahip insanlarda yine aynı kişilerdi. Bilindiği gibi birbiriyle bağlantılı ağ yapısından
yoksun sistemlerde saldırı ve tecavüzler yine kurum veya iş yeri personeli tarafından
yapılıyordu (Kovacich, 1999: 10 – 13). Fakat ilerleyen zamanda çok hızlı bir şekilde
gelişen teknolojik devrime paralel olarak, bilişim suçlularının hem sayısında hem de
uzmanlık seviyesinde, bilişim suçunda ise hem suç çeşidinde, hem de işleniş şeklinde
büyük bir artış yaşanmaktadır.
İnternetin ilk zamanlarında, pozitif düşünceler barış ve zenginlik ön planda
iken
insanlar
zamanla
internetin,
protestocuların,
teröristlerin
ve
savaş
çığırtkanlarının elinde bir oyuncak olduğunu gördüler. Devlet destekli ve hükümet
dışı aktörler internet silahlarını kendi geleneksel cephanelerinin yanına koydular.
Global anlamda yaşanan en büyük sorunun, siber hırsızlar tarafından çalınan kimlik
bilgileri ve birikimler olduğu günümüzde, internet saflığını kaybetmiş durumdadır.
13
1980’lerde ortaya çıkan ilk siber saldırı silahları protestocular tarafından
oluşturulmuştur. Hackerlar dünya barışı için, o yıllarda en bilinen örneği ile NASA
bilgisayarlarına WANK (Worms Against Nuclear Killers – Nükleer Katillere Karşı
Kurtlar) kurtçuğu ile saldırmış ve protestolarını bu şekilde göstermişlerdir. 1989’da
gerçekleştirilen bu saldırı ile aynı anda nükleer karşıtı göstericiler, Galileo Uzay
aracının fırlatılmasını protesto ediyorlardı. Göstericiler uzay aracının fırlatılmasını
durduramamışlardır ama NASA bilgisayarlarına bulaştırılan virüs bir ay boyunca
bilgisayarların etkilenmesine sebep olmuştur. Uzay ajansı zaman ve kaynak kaybının
yarım milyar dolar civarında bir maliyeti olduğunu düşünmektedir. 1990’larda dijital
çağın dijital protestoları da şekil değiştirmiş, Web siteleri siyasi ve sosyal amaçlı
mesajlarla ara yüzleri değiştirilerek veya ilgili sitelere DoS saldırıları düzenlenerek
erişim engellenmiştir. Saldırılar çoğunlukla bireysel olarak düzenlenmekteyse de,
bazen bireylerin ve ufak grupların oluşturduğu platformların da saldırılara katıldığı
bilinmektedir. New York City temelli Electronic Disturbance Theater (EDT) bu tür
web forumlarına sponsorluk eden online bir forum portalıdır. EDT’ nin 1990’larda
yaptıkları ilk eylemler, Meksika hükümetine karşı Zapatistaların başlattığı savaşı
destekleme türü eylemlerdi fakat zaman içinde saldırılar farklı amaçlarla
düzenlenmeye başlandı. Örneğin 2008’de başlatılan web temelli eylemler, Irak
Savaşı’na ve diğer tüm savaşlara neden olduğu düşünülen nano – teknoloji ve bio –
teknoloji firmalarıydı (Denning, 2008).
Doğaldır ki, iletişimin sınır tanımadığı internet ortamından faydalanan kişiler,
bilgi alış verişi ile kendilerini yetiştirmekte, farklı taktik ve saldırı modellerini
paylaşıp tartışmakta kısaca kendilerini güncel tutmaya çalışmaktadırlar. Genel olarak
15 – 21 yaş arası saldırıları bloke edilebilir olarak değerlendirilen grup, genel hack
bilgisini internetten indirdiği hacking tools dediğimiz saldırı programları ile
birleştirmekte, çoğu gerçek yaşamda hiçbir suç eylemine karışmamış fakat sanal
alemde bir suç makinesi olma yarışı içinde olan kesimi oluşturur. Bununla birlikte
farklı ülkelerden, farklı dillerden fakat birlikte çalışarak siyasi olarak motive olmuş
ve büyük cirolarla çalışan ticari firmalara saldıran, küresel ticari ilişkilere karşı bir
hacker grubu vardır.
14
Son olarak yaşları 15 – 35 arasında değişen kendini oldukça geliştirmiş,
insanların kişisel bilgilerini onlar fark etmeden kendi bilgi depolarına aktaran,
insanların kredi kartı bilgileri gibi önemli bilgilerine hiç fark edilmeden sızabilen
çoğunlukla erkek şahısların oluşturduğu bir profesyonel grup vardır (Australian
Crime Commission, 2004: 6 – 7). Öyle ki Newbe dediğimiz henüz öğrenme
aşamasında olan bir hacker bile internet ortamından elde ettiği dokümanlar ve çeşitli
saldırı programları ile suç işleme gayreti içine girmekte, zararsız gibi gözükse de
ciddi maddi ve manevi zararlar verebilmektedir (Wilt, 1998: 4 – 11).
1.2.1. İnternet Kullanımındaki Artış ve Siber Suçlar Arasındaki Bağlantı
1.2.1.1.Global İnternet Kültürünün Gelişimi
Hızla gelişen internet bağlantıları ve kullanıcı sayısındaki artış, yukarıda
değindiğimiz üzere suç oranlarında büyük bir patlamaya sebep olmuştur. Global
sektörün ekonomik açıdan sanal boyut kazanması, suç işleme arzusu ile dolup taşan
newbe, lamer ve hackerların iştahını kabartmıştır. Teknolojik gelişmeler, internet
kullanımı açısından fiyat kırma sonucunu doğurduğundan sanal ortamda artan oranda
bir nüfus patlaması yaşanmıştır. Orta Doğu ülkeleri her ne kadar Avustralya’dan
sonra en az internet kullanıcısı oranına sahip konumdaysa da, 2000 – 2008 yılları
arasında internet kullanımında muazzam bir atılım yapmışlardır. Kullanıcı sayısı
itibari ile % 1,176.8’lik bir artış oranıyla, internet alt yapısına yapılan yatırımın ne
düzeyde olduğu konusunda bize bir fikir vermektedir. Özellikle Arap yarımadasında
ki dünyaya açılma arzusu ve dış ticaret potansiyeli bu artışın ana sebebini
oluşturmaktadır.
15
Tablo 1: Dünyadaki İnternet Kullanıcıları ve Nüfus İstatistiği 3
İnternet
Kıtalar
2008 Tahmini
Kullanıcı
Nüfus
Sayısı
(31.11.2000)
İnternet
Kullanımı
(30.06.2008)
İnternet
Kullanımının
Nüfusa Oranı
%
İnternet
Kullanımının
Dünyaya Oranı %
Kullanımdaki
Artış
(2000–2008)
%
Afrika
955.206.348
4.514.400
51.065.630
5.3
3.5
1,031.2
Asya
3.776.181.949
114.304.000
578.538.257
15.3
39.5
406.1
Avrupa
800.401.065
105.096.093
384.633.765
48.1
26.3
266.0
Orta Doğu
197.090.443
3.284.800
41.939.200
21.3
2.9
1,176.8
K.Amerika
337.167.248
108.096.800
248.241.969
73.6
17.0
129.6
G.Amerika
576.091.673
18.068.919
139.009.209
24.1
9.5
669.3
Avustralya
33.981.562
7.620.480
20.204.331
59.5
1.4
165.1
6.676.120.288
360.985.492
1.463.632.361
21.9
100.0
305.5
Dünya
Toplam
Ortadoğu’da bir istisna olarak İsrail, zaten 2008 yılı içinde internet kullanım
yüzdesi olarak belirli bir noktaya gelmiştir. % 70’e yakın bir internet kullanıcı oranı
ile Orta Doğu coğrafyasında bu konuda, aslında pek çok bakımdan her konuda,
üstünlüğü elinde bulundurmaktadır. Dünya coğrafyasına genel bir bakış attığımızda
ilk göze çarpan yalnızca Orta Doğu’da yükselen internet kullanım oranı değildir,
bununla birlikte Afrika Kıtasında da büyük bir sıçrama meydana geldiği söylenebilir.
2000 yılında internet kullanıcısı sayısı 4,5 milyon civarında olan bu yaşlı kıtanın
sekiz yılda kat ettiği yol gerçekten dudak ısırtan cinstendir. 2000 – 2008 yılları
arasında internet kullanıcı oranı 11 kattan daha fazla artış gösteren Afrika’da
günümüz itibari ile elli milyonun üstünde bir internet kullanıcısı bulunmaktadır.
Dünyanın yaklaşık % 22’sinin internet kullandığını düşündüğümüzde aslında sayısal
değerlerin önümüzdeki yıllarda ne denli bir değişim geçireceğini kestirmek zor
görünmektedir. Fakat şu bir gerçektir ki, 2000 – 2008 yılları arasında dünya çapında
internet kullanımı oranı % 305,5’dir ve bu oranın daha yavaş bir seyir halinde
artacağını tahmin etmek zor değildir.
İnternet kullanım oranı dünya genelinde yukarıda gösterildiği gibi bir dağılım
sergilerken, incelenmesi gereken diğer bir veri de global manada en çok hangi dilin
3
www.internetworldstat.com/eu/tr.htm
16
kullanıldığıdır. Tahmin edildiği gibi internet ortamında da İngilizce en çok tercih
edilen dildir fakat nüfus yoğunluğu bakımından Çincede internette kullanım
yönünden tercih edilen ikinci dil olarak göze çarpmaktadır. Türkçenin ilk on
sıralamasında yerini alamaması ise kullanımda yoğun fakat üretimde düşük
kalmamamızla açıklanabilir. Bunun en büyük sebebi ise bilgi teknolojileri konusunda
uzman personelin yada eğitimli kişilerin sayısındaki yetersizliktir. Eğitim sistemiyle
de alakalı olan bu konunun detayına üçüncü bölümde yani ulusal bilgi toplumu
politikamızın incelenmesi kısmında değinilecektir.
Tablo 2: WEB'te Kullanılan İlk On Dil (2000 – 2008) 4
Dile Göre
Tüm İnternet
Diller
Kullanıcılarına
Oranı %
Kullanan Kişi
Sayısı
İnternet
Nüfuz
Oranı
%
İnternette
Kullanılan
Kişi Sayısına
Dillerdeki Artış
Göre En Çok
Oranı
Konuşulan İlk
(2000–2008)
On Dil (2008)
%
İngilizce
29.4
430.802.172
21.1
203.5
2.039.114.892
Çince
18.9
276.216.713
20.2
755.1
1.365.053.177
İspanyolca
8.5
124.714.378
27.6
405.3
451.910.690
Japonca
6.4
94.000.000
73.8
99.7
127.288.419
Fransızca
4.7
68.152.447
16.6
458.7
410.498.144
Almanca
4.2
61.213.160
63.5
121.0
96.402.649
Portekizce
4.1
59.853.630
16.8
2,063.7
357.271.398
Arapça
4.0
58.180.960
24.3
668.0
239.646.701
Korece
2.4
34.820.000
47.9
82.9
72.711.933
İtalyanca
2.4
34.708.144
59.7
162.9
58.175.843
İlk On Dil
84.9
1.242.661.604
23.8
278.3
5.218.073.846
Diğer Diller
15.1
220.970.757
15.2
580.4
1.458.046.442
Dünya Genel
100
1.463.632.361
21.9
305.5
6.676.120.288
Avrupa ülkeleri nezdinde de internet kullanımının yaygınlaştığı yayınlanan
veriler ışığında gözlemlenmekteyse de daha detaylı inceleme yine araştırmanın ikinci
bölümünde yapılacaktır. Bu noktada kısaca bahsetmek istediğimiz nokta, Avrupa’nın
doğusunda bulunan ülkelerde, özellikle eski doğu bloğu ülkelerinde internet
4
www.internetworldstats.com/me/sy.htm
17
kullanımının giderek yaygınlaşması konusudur. ECTA (The European Competitive
Telecommunications Association) tarafından yapılan araştırmada Avrupa ülkeleri
içerisinde 2000–2007 yılları arasında internet kullanımı artışının en çok yaşandığı
ülkeler Arnavutluk, Bosna, Belarus, Moldova, Ukrayna, Makedonya, Faroe Adaları,
Rusya, Romanya ve Türkiye’dir (Ectaportal, 2009). Hatta bir sonraki bölümde
detaylandıracağımız üzere Türkiye internet kullanımı ve bilişim teknolojilerine
yapılan alt yapı yatırımlarının ne derece yüksek bir ivme içinde olduğunu
görmekteyiz.
Tablo 3: Avrupa’nın En Çok İnternet Kullanan 10 Ülkesi (Aralık 2007) 5
2007 yılı içinde yapılan araştırmada Türkiye Avrupa ülkeleri arasında internet
kullanan nüfus bakımından ilk onda yedinci sırayı alırken, 2008 yılında İspanya’yı
geçerek bir üst sıraya yani altıncılığa yükselmiştir. Avrupa ülkelerinde internet
kullanıcılarının nüfusa etki oranı oldukça yüksektir. Örneğin 2007 yılı itibari ile
dünya genelinde nüfusa oranı bakımından ilk kırk ülkenin yirmi ikisi Avrupa
ülkesidir. Bu ülkeler; Norveç (% 88), Hollanda (% 87,8), İzlanda (% 85,4), Portekiz
(% 73,1), Lüksemburg (% 70,6), İsveç (% 77,3), Faroe Adaları (% 71,6), İsviçre (%
69,2), Danimarka (% 68,8), İngiltere (% 66,4), Almanya (% 64,6), Liechtenstein (%
5
www.internetworldstats.com/stats4.htm
18
6,2), Slovenya (% 63,7), Finlandiya (% 62,7), Monako (% 61,2), Estonya (% 57,8),
İtalya (% 57), Avusturya (% 56,7), İspanya (% 56,5), Belarus (% 56,3), Fransa (%
54,7) ve Belçika (% 52,8)’dır. Bununla birlikte Avrupa ülkelerinden San Marino (%
52) ve İrlanda (% 50,1) yüksek sayılabilecek bir yüzde dilimiyle, kendilerine ilk 45
ülke arasında yer bulmuştur (IWS, 2008).
Tablo 4: Avrupa’nın En Çok İnternet Kullanan 10 Ülkesi (Haziran 2008) 6
Yukarıda incelediğimiz tabloda istatistikî bilgilerden de anlaşılacağı gibi,
Türkiye dışında Avrupa ülkelerinden hiç biri, bir sene içerisinde internet kullanıcısı
bakımından yüksek bir sıçrama oranına erişememiştir. Örneğin Almanya 2007’ye
göre yaklaşık bir milyon kişi daha az internet kullanıcısı nüfusuna sahip duruma
düşmüştür. Yani kullanıcı bakımından Almanya geçen seneye nazaran daha az
nüfusa sahip durumdadır. Bunun sebebini Almanya’nın yaşlı sayılabilecek nüfus
dağılımına bağlayabiliriz. İngiltere’de dünyanın genel seyrine uygun olarak internet
kullanıcısı yönünden yaklaşık olarak 1,5 milyon kişi artış göstermiştir. Fransa’da
yaklaşık bir milyon, İtalya’da yine yaklaşık olarak bir milyon, Rusya’da yaklaşık üç
milyon, İspanya’da yaklaşık olarak 2,5 milyon, Polonya’da 2 milyon, Hollanda’da
yarım milyonluk bir internet kullanıcısı artışı olmuşken, Türkiye de durum oldukça
farklıdır.
6
www.internetworldstats.com/stats4.htm.
19
Bir sene içerisinde, 10,5 milyon kişinin internet kullananlar arasına geçişi
Avrupa ülkeleri arasında Türkiye’yi farklı bir noktaya taşımıştır. Bununla birlikte
Romanya’nın yükselişi de kayda değer bir bilgidir. 2007 yılında ilk onda
bulunmayan Romanya, 2008 yılında son sırada da olsa kendine ilk onda yer
bulabilmiş, böylece Portekiz’i listenin dışına itmiştir. İlerleyen süreçte Avrupa ilk on
sıralamasında çok daha farklı bir listeyle karşılaşacağımız açıktır. Hollanda’nın
listenin dışında kalacağı nüfus yönünden daha kalabalık ülkelerin zamanla listeye
girecekleri, özellikle eski demir perde ülkelerinde bu yükselişin bir süre aniden,
ardından yavaş yavaş olacağı düşüncesindeyiz.
Siber suç genel olarak internetle ilişkilendirilse de, bilginin elde edilmesi bazen
küçük ve taşınabilir sanal belleklerle de mümkündür. Bilgiyi yasadışı yollarla elde
etmenin yanı sıra, bilgisayara ve oradan hareketle sisteme zarar verme türü
eylemlerde bu ufak flash belleklerle gerçekleştirilebilir. Teknoloji piyasasında
kapasitesi 128 GB’ta kadar ulaşabilen taşınabilir flash bellek bulmak mümkündür. 7
Kaldı ki çok daha gelişmiş olanların, sadece yukarıda ve genel olarak eserin
tamamında bahsedilen sebepler yüzünden endüstriyel savaş veren firmalar ve
şirketler tarafından üretilip kullanılması muhtemeldir. Siber suç, genel olarak
teknolojiye ilgi duyan ve teknoloji konusunda kendini yetiştirmiş kişiler tarafından
gerçekleştirilen, genellikle bu çevre içerisinde popülarite sağlamak için, daha ziyade
internet ağı üzerinde hacking olarak bilinen eylemlerdir. Fakat siber alemde yeni bir
trend hız kazanmaktadır ve bu yönelişle birlikte suçlular ve uzman dediğimiz
profesyoneller daha özel amaçlarla kendilerine hedef belirlemekte ve internet
üzerinde gerçekleştirdikleri siber saldırılarla kendilerine fayda sağlamaktadır.
7
USB bellek aygıtı, “USB flaş sürücü (USB hafıza ünitesi), USB 1.1 veya 2.0 arayüzü ile entegre
edilmiş, kapasiteleri 128 GB'a kadar ulaşabilen, küçük, hafif, çalışma esnasında sökülüp takılabilir
NAND-tipinde flaş belleklerdir. Neredeyse USB veriyolunu destekleyen tüm sistemler tarafından
kullanılabilir. USB flaş bellekler aynı zamanda flaş sürücü, flaş disk adları ile de bilinmektedir. Flaş
sürücüler sadece bilgisayarın USB girişine takılı olduğu sürece çalışır durumdadırlar ve harici güç
kaynağı veya pil gücüne ihtiyaç duymazlar. Ve her türlü bilgi saklanabilir. USB flaş bellekler
saklayabildikleri veri miktarına göre çeşitlendirilirler. Örneğin 128 MB, 256 MB, 512 MB, 1 GB,
2GB, 4 GB, 8 GB, 16 GB, 32 GB, 64 GB, 128 GB boyutlarında USB flaş bellekler vardır.” Kaynak:
http://tr.wikipedia.org/wiki/USB_bellek_ayg%C4%B1t%C4%B1 (Erişim: 14.03.2008).
20
Bu amaçlarla motive olmuş siber suçlular kimi zaman bir örgüt gibi hareket
etmekte, kimi zamansa para için yeteneklerini siber suçlar vasıtası ile
sergilemektedirler. Bazı durumlarda sadece bilgi – para veya bilgiyi bozma, yok
etme – para alışverişi olurken, müşteri ile müşterisi için suç işleyen yetenekli suçlu
birbirlerini dahi görmemektedir. Siber suçlara karşı alınan yargısal tedbirlere rağmen,
coğrafi
imkânları
maksimum
düzeyde
kullanan
suçlular,
ülkeler
arası
koordinasyonun sağlanmamasından çokça faydalanmaktadır. Bilgi konusunda
zafiyeti olmayan siber suçlular, bazen öyle ağ bağlantıları kullanır ki, suç yeri konum
itibari ile henüz siber suçlara karşı bir yasa çıkartmamıştır. Siber suç kapsamında
suçun cezalandırılmadığı, cezalandırmadan da öte siber suçun tanımının yapılmadığı
ülkeler mevcuttur.
Tüm bunların yanında suçlular için imkan bitmez. Örneği siber bir saldırı için
gerekli programlar internette para ile satılmakta ya da ücretsiz olarak meraklıların
hizmetine
sunulmaktadır.
Programın
yapımcısından,
daha
önce
nerelerde
kullanıldığına, programın kullanımının görsel izahatından yardımcı program ya da
programcıklara kadar her şey internette mevcuttur. Oldukça organize olarak, kendi
aralarında
bir
hiyerarşi
benimseyerek
eylemelerini
gerçekleştiren
ve
gerçekleştirdikleri eylemleri web siteleri üzerinden tanıtan, paylaşan gruplar
mevcuttur. Dini değerleri veya milli duyguları da istismar eden organize örgütler
olduğu gibi, yalnızca çıkar aramacıyla bir araya gelmiş örgütlerde bulunmaktadır.
Örgüt eleman kazanma amacıyla yeni mezun, yetenekli bilişim uzmanları ve
bilgisayar mühendislerinin peşindedir. Ülkemizde bu konuda yetişen gençlerin
kendilerine iş bulamama sebebiyle bu tür suç organizasyonlarının içine girmesi
kuvvetle muhtemeldir. Kendilerine en yüksek faydayı getirecek hedefleri tespit eden
suç örgütlerinin, yetenekli yandaşlar toplama isteği pek tabi normaldir. Belirlenen
aday özel kurslara ve eğitime tabi tutulmaktadır. Uzmanlaşanlar ise suçta
kullanılmakta ve pastadan pay verme ile suça ortak edilerek örgüt içine adapte
edilmektedir (McAfee, 2006: 3 – 21).
Siber ataklar çoğunlukla arkasında hiçbir iz ya da zarar verme emaresi
bırakmadan ve kurbanın bilgisi olmadan gizlice bilginin elde edilmesi amacıyla
tasarlanır. Bu tür saldırılarda yakalanma veya teşebbüsün fark edilmesi durumlarına
21
has tedbirler alınır. Gelecekte henüz çok fazla örneği olmayan cep telefonlarına
yönelik saldırılarda beklenmelidir. Gelişmiş mobil cihazlar, cep bilgisayarları,
PDA’lar, Blackberry, Iphone ve Palm tarzı cihazların bilgi deposu olarak şirketlere
ait personelce kullanılıyor olması, bu tür saldırıların olabileceğine dair bir ipucudur.
Bununla birlikte bluetooth ve wireless özellikleri ile bu cihazların internete
bağlandıkları bilinmektedir. İnternet ağını paylaşan her cihazın, bağlanma anı ile
birlikte saldırılara açık hale geldiğini, kişisel olmaktan çıkıp kamu malı olduğunu
söylemek zor değildir.
1.2.1.2. İnternet Suçlarının Gelişimi
Gelişimin etkisiyle teknolojinin kötüye kullanımı hukukun doğasında var olan
savunma güdüsünü tetiklemiş, tepkisel manada teknolojik gelişmede kendi hukuk
alanını yaratmıştır (Aydın, 1992: 15). Özellikle savunma ağırlıklı hükümete bağlı
kurumların bilgisayar sistemlerine girilerek ya da özel şirketlere ait sistemler hack
edilerek geçilen bu yıllardan sonra ağ sistemlerinin yaygınlaşması ile yeni bir dönem
başlamıştır. Kişisel bilgisayarların boyut olarak küçülmesi ve fiyat olarak alınabilir
bir seviyeye çekilmesi ile ağ üzerinde artan trafiğin kontrolü zorlaşmış ve kötü
kullanımlarda bir artış söz konusu olmuştur. Birey iş yerinde çalışmakta iken farklı
bir iş yerine ait projeye odaklanabilmekte veya suç unsuru veri kayıtlarını kurumun
bilgisayarında arşivleyebilmektedir. Bu duruma birde ağların küreselleşmesi süreci
eklenmiş ve bilgisayar alt yapılı uluslararası suçların ilk örnekleri oluşmaya
başlamıştır.
1960’lı yıllarda ABD’de ilk bilişim suçları telefon kullanımını ücretsiz şekilde
gerçekleştirme olarak kendini göstermiştir. Phreaker olarak adlandırılan bu kişiler
telefon ağları üzerinden milletlerarası ya da ülke içinde yaptıkları tüm telefon
görüşmelerini ücretsiz olarak yapmaktaydılar. Ayrıca sadece bununla yetinmeyip
telefon abonelerini farklı telefonlara yönlendirip, telefon kullanıcılarının yüklü
miktarda fatura ödemelerine de sebep olmuşlardır (Kurt, 2000). Bilişim suçlarının ilk
versiyonları diyebileceğimiz bu hadiselerden sonra ortaya yeni bir grup çıkmaktadır.
Bunlara da hacker denmektedir. Hackerler ise ilk olarak Massachusetts Institute of
Technology (MIT) üniversitesinde ortaya çıkmış insanlardır. Amaç olarak bilgisayar
22
sistemlerinin ve kablolu bu iletişim ağının nasıl çalıştığını çözmeyi benimsemişlerdi.
Yaptıkları hack programları ile o zamana ait hantal bilgisayarları daha işlevsel hale
getirip kendileri için gerekli bilgiyi elde etmeye çalışmışlardır.
Phreakerlıktan hackerlığa uzanan bu gelişim süreci ile şaka yollu yapılan suç
filleri artık kendilerini adli suç kovuşturmalarının içinde bulmuştur. Wall ise
hacker’ı, yüksek düzeyde tecrübe edilmiş bilgi ile bilinen tüm verilere istediği zaman
ve şartta giriş özgürlüğünü kendinde bulan kişi olarak tanımlamıştır (Wall, 1999:
110). Yine 60’lı yılların sonlarına doğru yaşanan bir olay kısa sürede zararsız
eylemlerin, ciddi suç hadiselerine dönüştüğünü göstermektedir. Bu olayda;
Minneapolis City Bank tarafından işe alınan bir bilgisayar programcısı sadece üç gün
için programladığı bir yazılımla hesabına para aktarmak istemişken, programın açık
olarak unutulması neticesi dört ay boyunca programcının hesabına para aktarım
işlemi devam etmiş, daha sonra sistemde meydana gelen bir hata neticesi durumun
ortaya çıkması sonucu banka sorumluları FBI’a başvurarak olayın aydınlatılmasını
talep etmişlerdir. Olaydan da anlaşılacağı üzere banka zarara uğratılarak zimmet suçu
işlenmiştir (Aydın, 1992: 13; Parker, 1998: 8).
Bilgisayar ağlarının çoğalmaya başladığı 1990’lı yıllara kadar genellikle
meydana gelen suçlar kurum içinde yaşanan kötü kullanımlar olarak kendini
göstermiştir. Bu dönemde dikkat çekici husus ise bilgisayar virüslerinin bilişim
suçları kapsamında yerini almasıdır. Zaman ve mantık bombaları şeklinde yazılan
programlara ek olarak ağ solucanları ve Truva atları da eklenmiştir. Hackerler
1990’ların sonlarında kendilerini daha fazla hissettirmeye başlamıştır. The New York
Times gazetesinde yayınlanan bir makaleye göre, 1997 yılında hacking ile ilgili
bilgilerin ve yazılım araçlarının bireyler tarafından tedarik edilebileceği 1.900 kadar
web sitesi ve 30 kadarda hacker topluluğu bulunmaktadır (Denning, 2001b: 252).
Özellikle savunma ağırlıklı hükümete bağlı kurumların bilgisayar sistemlerine
girilerek ya da özel şirketlere ait sistemler hack edilerek geçilen bu yıllardan sonra ağ
sistemlerinin yaygınlaşması ile yeni bir dönem başlamıştır. Kişisel bilgisayarların
boyut olarak küçülmesi ve fiyat olarak alınabilir bir seviyeye çekilmesi ile ağ
üzerinde artan trafiğin kontrolü zorlaşmış ve kötü kullanımlarda bir artış söz konusu
23
olmuştur. Bu duruma birde ağların küreselleşmesi süreci eklenmiş ve bilgisayar alt
yapılı uluslararası suçların ilk örnekleri oluşmaya başlamıştır.
Bunun en güzel
örneği I Love You ve Code Red Worm virüs yazılımlarıdır. I Love You adı verilen
virüs Filipinlerde bir bilgisayar okulundan mezun iki sevgili tarafından hazırlanmış
ve tüm dünyada yaklaşık olarak on milyon kullanıcıyı etkileyerek, sekiz milyar
dolarlık bir hasar yaratmıştır (Aşut, 2008). Bunun yanında yukarıda ismi zikredilen
Code Red Worm adlı virüs ise on dört saatten daha kısa bir süre içerisinde tüm
dünyada yaklaşık olarak 359.000 bilgisayar kullanıcısını etkilemiştir (Moore ve
Shannon, 2007).
26 Ocak 2004 yılında tüm dünyaya mail yoluyla yayılan, Norvarg ismiyle de
bilinen ve internet performansını yaklaşık olarak % 10 oranında yavaşlatan MyDoom
adlı virüsün ise bugüne kadar ne kadar hasara neden olduğu bilinmemektedir. Hemen
ardından aynı yıl yani 30 Nisan 2004’te Windows 2000 ve XP yazılımlarının
açılarından faydalanarak on milyonlarca dolar zarara neden olan Sasser adlı virüs,
Alman bir lise gencinin 18. yaşına girerken yaydığı, Delta Havayolları şirketinin
uçuşlarının ertelenmesine neden olacak kadar ciddi bir virüs olarak tarihteki en
tehlikeli on virüs arasına girmiştir. Dünyanın bilinen en tehlikeli on virüsü ise; CIHÇernobil (1998), Melissa (1999), ILOVEYOU (2000), Code Red (2001), SQL
Slammer (2003), Blaster (2003), Sobig.F (2003), Bagle (2004), MyDoom (2004) ve
Sasser (2004)’dır (Öztürk, 2008).
Botnetler siber suçlar için çok elverişli bir alet olma yolunda hızla
ilerlemektedir. Çünkü botnetler bilgisayar sistemlerini pek çok yöntem kullanarak
ciddi şekilde etkilemekte hatta kontrol altına almaktadırlar. Botlar kullanıcının
bilgisayarına gizlice yüklenen ve kullanıcıyı etkisiz hale getirerek uzaktan kumanda
yolu ile sistemleri örneğin, IRC, peer-to-peer (P2P) ve HTTP gibi iletişim kanallarını
hedef alır. Bu kanallar uzaktan kumanda ile saldırı hedefleyen saldırgana birbiri ile
bağlantı halinde olan botnet ile enfekte olmuş bilgisayarları kontrol etme imkânı
tanır, böylece bu bilgisayarlar, koordine saldırıların başlatılması için kullanılabilir
(Symantec, 2008: 20).
24
Siber suçlular ise önemli teknik bilgileri olmaksızın botnet kiralayan ya da
ücretsiz olarak sunan servis sağlayıcılarından bu tehlikeli saldırı aracını elde
etmektedir. Kötü niyetli yazılımlar sayesinde siber suçlular internet üzerinden
onlarca hatta binlerce bilgisayarı uzaktan kumanda edebilmekte, kendi amaçları için
kullanabilmektedir. Dünyada en çok bilgisayar bağlantısına sahip bilinen en ünlü
botnet Srizbi (Cbeplay ya da Exchanger olarakta adlandırılmaktadır) 315.000 bota 8
sahiptir ve bu botlarla günlük 60 milyar mesaj atabilmektir. İkinci sırada ise Bobax
adlı botnet vardır ve 185,000 bota sahiptir, böylece günde 9 milyar mesaj
atabilmektedir (Keizer, 2008).
Botnetler spam göndermek, ülkeler ya da bölgeler arası siber savaş aracı olarak
kullanılan DDoS ataklarının hazırlanmasında, zararlı yazılım veya illegal içeriklerin,
botnetin uygulandığı bilgisayara yerleşmesi ve bu bilgisayarda sunucu görevi görerek
zararlı yazılımın yayılması amacıyla ve son olarak click dolandırıcılığı denilen, web
sitelerinde çokça görülen reklam görünümde fakat istenmeyen şekilde bilgisayarda
açılan web sayfalarının dizaynında kullanılmaktadır (MSIR, 2008: 15). Bir
arkadaştan gönderilen Facebook mesajının içeriğinde ilgi çekici muhtemel bir
YouTube video linki hemen herkesin günlük alabileceği e – maillerdendir. Video
linki tıklandığında, videonun açılabilmesi için Flash Player yazılımına ihtiyaç
duyulduğu ve son sürümünün mevcut olduğu şeklinde bir ibareyle karşılaşılması yine
olağan bir durumdur. Olağan dışı olan husus ise, Flash Player yazılımının
yüklenmesi sonrası yaşanabilecek durumdur. Kullanıcı adı geçen yazılımı
yüklediğini düşünerek aslında farkında olmadan bilgisayarına zararlı bir yazılım
yüklemiş olabilir. Bu şekilde bilgisayara yüklenen yazılımın aktif bir botnet
olabileceği akıldan çıkarılmamalıdır. Esasında verilen bu örnek Facebook, MySpace
ve bunlar gibi pek çok sosyal iletişim ağının ve sahte domain 9 sitelerinin, art niyetli
kişiler tarafından kolayca kendi çıkarları için kullanılabileceğine dair basit bir
örneklemdir (GTISC, 2009: 1).
8
Kontrol altına alınmış bilgisayar – Zombie
İnternet'e bağlı her bilgisayarın kendine özgü bir adresi vardır. Domain Name System (DNS) olarak
adlandırılan hiyerarşik bir isimlendirme sistemi ile (İnternet adresi), internete bağlı bilgisayarlara ve
bilgisayar sistemlerine isimler verilir. DNS de, bir TCP/IP servis protokolüdür. DNS, 'host' olarak
adlandırılan internete bağlı tüm birimlerin yerel olarak bir ağaç yapısı içinde gruplandırılmasını
sağlar. Bu şekilde, bütün adreslerin her yerde tanımlı olmasına gerek kalmaz. Örnek olarak,
odtu.edu.tr altında, ehb.itu.edu.tr, onun altında da, titan.ehb.itu.edu.tr şeklinde dallanmış birçok adres
olabilir (Wolwerian, 2007).
9
25
Los Angeles’ ta yaşamakta olan ve aynı yerde 3G Communications adlı
güvenlik şirketinde çalışan John Kenneth Schiefer (26), dolandırıcılık, banka
dolandırıcılığı, ağ dolandırıcılığı ve elektronik iletişimi illegal yollarla aksatmak
suçlarından 60 yıl mahkûmiyet ve 1.75 milyon dolar para cezasına çarptırılmıştır.
FBI tarafından yakalanan Schiefer’ın botnetler aracılığı ile 250.000 bilgisayarı
enfekte ettiği ve 19.000 dolar gelir elde ettiği bildirilmiştir. 2007 yılında yaşanan bu
hadiseden öncede yine aynı yılın başında Max Ray "Max Vision" Butler adında bir
güvenlik yazılımı araştırmacısı tutuklanmıştır (Goodin, 2007). Gerek para kazanma
hırsı gerekse suç örgütleri için giderek iştah kabartan bir yapısı ve etkisi olan
botnetler, birçok işe uygun tehlikeli bir silah olarak, sanal dünyanın ve yer altı
ekonomisinin İsveç çakısı olarak tanımlanmaktadır.
Bu enfekte olmuş bilgisayarlar ordusu ile internet trafiği bloke edilebilmekte,
kesintiye uğratılabilmekte, hedef kurbana ait önemli bilgiler ele geçirilebilmekte, en
önemlisi sanal dünyanın 30 yıllık öyküsü spamlar, bilgisayarın ortaya çıktığı
yıllardan bu yana hayatımızda olan virüsler ve pek çok kötü niyetli yazılım
yayılabilmektedir. Daha çok para kazanmak amacıyla tercih edilen spamlar ise,
giderek daha yaygın bir şekilde internet hayatımıza girmektedir. 2008’de yayımlanan
ve 2008’in ilk yarı ile ilgili global eğilimlerin anlatıldığı Microsoft Güvenlik
İstihbarat Raporu (Microsoft Security Intelligence Report – MSIR)’na göre,
Microsoft spam araştırmacıları, kapanmadan önce her e – mail hesabından en az 40 –
50 mesaj yollayarak spam üreticilerin para kazandığını düşünmektedir (MSIR, 2008:
68).
Botnet yaratıcılarının ya da diğer adıyla botmasterların, teknik servis pazarı ile
büyük meblağlar elde ettikleri bildirilmektedir. Örneğin 21 yaşında Underground
grubu üyelerinden olan bir Botmaster olan Jeanson Ancheta’nın, 400.000 farklı
bilgisayarı gizlice enfekte ederek, internet reklamcılığı yapan şirketlerden 58.000
dolardan fazla para kazandığı söylenmektedir. Böylece bu şirketler adına spamlar
veya istenmeyen reklam iletileri göndermektedir. Ancheta 2006 yılında 5 yıl hapis
cezası ve Birleşik Devletler Federal Hükümet Askeri bilgisayarlarına enfekte edip
26
zarar verdiği için 15.000 dolar para cezası ile mahkûm edilmiştir (Spam Daily News,
2006).
Symantec güvenlik şirketi 2006 yılının ikinci yarısı için botnet ile enfekte
olmuş 6 milyon bilgisayar olduğunu tespit etmiştir. Symantec 2007 yılının ikinci
yarısında ise günlük ortalama 61.940 bilgisayarın aktif bir şekilde botlar tarafından
enfekte edildiğini ve 2007’nin ilk yarısına oranla % 17’lik bir artışın olduğunu tespit
etmişlerdir. 2007’nin sonunda ise botnetler tarafından enfekte olmuş bilgisayar sayısı
rapora göre 5.060.187’dir. 2007 yılında en fazla enfekte olmuş bilgisayar İspanya
Madrid’ te iken, dünyada en fazla enfekte olmuş bilgisayar ise ABD’de
bulunmaktadır (Symantec, 2008: 5 – 21). The Shadowserver Foundation adlı internet
üzerinde hizmet veren emir komuta sunucularını takip eden organizasyon ise Kasım
2006’dan Mayıs 2007’ye kadar olan dönemde enfekte olmuş sunucuların sayısının
1400’den 3 milyona ulaştığını rapor etmiştir (Bort, 2007). McAfee’nin 11 Temmuz
2005’te yayınladığı raporda da, botnet olaylarının, 2005’in ilk üç ayında 3000
civarında iken, ikinci üç ayında 13.000’e ulaştığı belirtilmiştir. Bazı botnet sahipleri
kendi ağlarını saatlik olarak 200 ile 300 dolar arasında bir rakama kiralamaktadır ve
botnetler dolandırıcılık ve gasp amaçlı olarak kullanılan bir silah haline gelmektedir
(MacLean, 2005).
Geleneksel olarak botnetler, botmasterlar tarafından kimi zaman dinamik, çoğu
zaman ise statik olarak yerinden yönetme ve kontrol sistemi ile ağa ilişkilendirilir,
fakat üstünde durulması gereken nokta botnetlerin kendi kendini hiyerarşik bir tavır
içinde organize etmesidir. Güvenlik uzmanları için bu merkezi kontrol noktasının
varlığı botnetin yayılma noktasının tespitinde oldukça önemlidir, çünkü botnetin
tespit ile botnetin varlığı yine aynı merkez noktadan sonlandırılabilir. Bununla
birlikte, yakın gelecekte güvenlik uzmanları, botnet yaratıcılarının çok daha karmaşık
bir dizayn ile tespitin ve iz sürmenin daha da zor olacağı konusunda endişe
duymaktadır (Broersma, 2007; Schoof ve Koning, 2007: 1–7).
2007 baharında Estonya hükümet bilgisayar sistemi bazı uzmanların tabiri ile
siber savaş, siber terör ya da siber suç saldırıları olarak adlandırılan bir dizi siber
atağa maruz kalmıştır. 2007 Nisan ayında Estonya resmi makamları Nazilere karşı
27
savaşmış adı bilinmeyen bir Rus’un Sovyet döneminden kalma anma törenini iptal
etmişlerdir. Bu hareket bazı duyguları canlandırmış, Estonya’ da yaşayan etnik
Ruslar tarafından gösteriler düzenlenmesine neden olmuş, iş Moskova’daki Estonya
Konsolosluğunun kuşatılarak gösteriler yapılmasına kadar varmıştır. Bu olayların
ardından, sanal âlemde de bakanlıklara ve başbakanın kendi partisi olan Reform
Partisinin sitesine ve farklı Estonya ulusal web sitelerine DDoS (Distributed Denial
of Service) 10 saldırıları başlatılmıştır (Vamosi, 2007). Estonya resmi makamlarına
göre, siber atakların ilk gününde normalde günlük olarak 1000 kişinin ziyaret ettiği
devlet sitelerine saniyede 2000 kişi giriş yapmış bu da web sitelerinin saatlerce veya
daha uzun süreler için devam eden şekilde kapanmasına sebep olmuştur
(Greenemeier, 2007; Rhoads, 2007).
Bu saldırıların boyutu o derece ciddi seviyelere ulaşmıştır ki, NATO ve ABD
Estonya’ ya bilgisayar güvenliği konusunda uzmanlarını göndermiştir. Bu uzmanlar
Estonya’ ya ataklardan kurtulma ve korunma, saldırıların metodunu analiz etme ve
saldırı kaynağını tespit etme amacıyla çalışmalara başlamıştır. Nihayetinde Estonya
resmi makamları, siber bir savaş başlatmak amacıyla yapılan bu siber saldırıların Rus
Hükümeti tarafından düzenlendiğini dile getirerek Rusya’yı suçlamıştır. Uzmanlar
Sovyet Rusya’nın yıkılması ile ortaya çıkan uluslararası siber suçluların ya da
bireysel veya geniş kitlelerin bu saldırıların arkasında olduğunu tartışmışsa da,
zaman içinde saldırıların sayısında bir azalma meydana gelmiş ve güvenlik
uzmanları kesin olarak bu siber saldırıların Rusya Hükümeti tarafından başlatıldığı
konusunda hemfikir olamamıştır (Thomson, 2007).
2008 yılının şubat ayında Estonya yargı makamları 2007 yılında yapılan bazı
siber saldırıların ve resmi web sitelerinin çökertilmesinin sorumlusu olarak Dmitri
Galushkevich adında Eston bir erkek şahsı mahkûm etmiştir. Bu kişinin evinde
kullandığı bilgisayar vasıtası ile saldırıları gerçekleştirdiği, 20 yaşında ve Rus
kökenli bir Eston olduğu anlaşılmıştır. Estonya’ ya karşı bir dönem devam ettirilen
bu siber saldırıların araştırması devam etmekteyse de şimdiye kadar yalnızca bir kişi
bu saldırıların sorumlusu olarak hüküm giymiştir (Sachoff, 2008).
10
2007’nin ikinci yarısında en fazla DOS (Denial of Service) ataklarına maruz kalan ülke dünya
genelinde % 56’lık bir oranla ABD’dir. Bununla birlikte 2007 yılının ilk yarısında bu oran % 61’dir
(Symantec, 2008: 5).
28
Avrupa ve Amerika savunma gücü olarak NATO, 2005 yılında başlayan
uluslararası iletişim teknolojileri konusunda çözüm önerileri sunan Telindus adlı
firma ile bir sözleşme imzalamıştır. NATO’nun iletişim ağı 26 üyesi ile birlikte
operasyonel faaliyet gösterdiği Afganistan ve Balkanlar gibi coğrafi alanları da
kapsamaktadır. Bu iletişim ağı içerisinde telefon, bilgisayar ve video konferans
teknolojileri de mevcuttur. Afet kurtarma ve kritik ulusal binaların korunması gibi
askeri olmayan operasyonel faaliyetlerde de bahsedilen iletişim ağı kullanılmaktadır.
NATO kapsamında şimdilik 70 network sistemi bulunmaktadır. Gelecekte daha çok
ülke, daha geniş alan ve daha da gelişmiş network bağlantılarına ihtiyaç duyulacağı
aşikardır. Her aşamada önleme, tespit, karşılık ve onarma, ana görev olarak
benimsenmiştir. Proje hayata geçtiğinden bu yana tespit edilen pek çok saldırı,
hackerlerin tecrübelerinde bir artış olduğunu göstermektedir. 11 Eylül 2001
saldırıları ve Mayıs 2007’de Estonya’ya yapılan DDoS saldırılarından sonra NATO,
siber savunma konusunda çok daha duyarlı bir hale gelmiştir. Çünkü NATO’nun
kendiside, diğer tüm sınır aşırı organizasyonlar gibi web üzerinden iş yürütmekte ve
dolayısıyla saldırılara açık bir hedef haline gelmektedir. Telindus güvenlik
projesinde, Saldırı Tespit Sistemi (Intrusion Detection System – IDS) projenin en
büyük parçasıdır. Bu sayede saldırının aydınlanması ve saldırının merkezinin tespit
edilmesi sağlanır. Ayrıca saldırının içeriğine göre savunma veya hasar onarma
şeklinde tepki verilir.
Virüsler ya da trojanlar gibi zararlı yazılımlar, bir bilgisayarı veya bilgilerin
depolandığı herhangi bir ortamı, içindekileri almaya ve uzaktan kontrol edilmeye
açık hale getirebilir yazılımlardır. Hedefe zarar vermeyi, kişisel bilgisayar üzerinden
yapılan hesap işlemlerinin şifre ve kullanıcı isimlerinin alınmasını, hedefle bağlantılı
kişilere de aynı virüsü yaymayı, sistemi veya ağı yok etmeyi amaç edinmiş zararlı
kodlardan söz etmek artık hayal olmaktan çıkmıştır. Mail adresinize gönderilmiş bir
resmin arkasına saklanmış farklı bir yazılımın veya Windows Messenger’ınıza gelen
ve MP3 formatında sandığınız bir şarkının içinde bulunan gizli ve zararlı
yazılımların, bilinmeden kendi bilgisayarınıza yüklenmesi her an başımıza
gelebilecek türden bir senaryodur. Symantec tarafından, 2007’nin ikinci yarısında
499.811 yeni zararlı yazılım rapor edilmiştir ve 2007’nin ilk yarısında göre % 136’lık
29
bir artış olduğu bildirilmiştir. 2007’nin ikinci yarısında tespit edilen zararlı yazılım
ailesinin ilk on sıralamasında, beş Trojan, iki worm, iki arka kapı dediğimiz açıkları
kullanan worm ve bir tanede virüs bağlantılı worm bulunmaktadır. Solucanda denilen
wormların % 43’ü Avrupa, Ortadoğu ve Afrika kökenlidir. Aynı dönemde tespit
edilen trojanların ise % 46’sı Kuzey Amerika orijinlidir (Symantec, 2008: 7).
Bununla birlikte bu tür geniş katılımlı mail ve iletişim servislerinin kendi
içerisinde de geliştirdiği birden fazla ve iç içe geçmiş güvenlik duvarı mevcuttur.
Unutulmamalıdır ki her şeyden önce kendi güvenliğimizi almamız yararımıza ve
bizim sorumluluk alanımıza girer. Gerçek hayatta kişisel güvenliğimiz için
gösterdiğimiz özene, siber yaşamda da göstermek durumundayız. Bu konuya bir
örnek vermek gerekirse, 2005 yılında çokça bilinen MySpace ve Wikipedia
adreslerini ziyaret eden ve gerekli güvenlik donanımı almayan pek çok kullanıcının
bilgisayarında bulunan bilgilerinin enfekte olduğu bildirilmiştir. 2006’nın ilk
yarısında, Microsoft Güvenlik Timi, yaklaşık olarak 4 milyon bilgisayar ve web
sitesinden, 10 milyon zararlı yazılımı tespit edip kaldırmıştır (Ackerman, 2007).
2007 yılında Google analizcileri milyonlarca web sitesinin zararlı yazılım
testini gerçekleştirmiş, 4,5 milyon web sitesinin şüpheli olduğu kanaatine
varmışlardır. Bu şüpheli 4,5 milyon şüpheli web sitesinin ise yapılan inceleme
neticesi, yaklaşık olarak 1.150.000’ninde zararlı yazılım barındırdığı ve bu
yazılımların kullanıcılar tarafından indirilmeye hazır olduğu, üçte ikiden fazla
yazılımın ise bot programı olduğu ve siber suçluların mail adreslerine, siteyi ziyaret
eden kişilerin kullanıcı adı ve hesap bilgilerini e – posta yolu ile gönderdiği tespit
edilmiştir (Provos v.d, 2007: 2).
30
Tablo 5: Zararlı Aktivite İçinde Bulunan İlk On Ülke Sıralaması (2007) 11
Şuan
ki
Sıral
ama
Bir
Önceki
Ülkeler
Sıralama
Şimdiki
Yüzde
Bir
Bot
Önceki
Sıralama
Yüzde
sı
Komuta
Phishing
Kontrol
Web Sitesi
Server
Sağlayıcısı
Sıralaması
Sıralaması
Zararlı
Spam
Yazılım
Zombi
Sıralaması
Sıralaması
Saldırı
Merkezi
Sıralama
sı
1
1
ABD
31
30
1
1
1
1
1
1
2
2
Çin
7
10
3
5
2
2
4
2
3
3
Almanya
7
7
2
2
3
7
2
3
4
4
İngiltere
4
4
9
6
7
3
12
5
5
7
İspanya
4
3
4
19
15
9
9
4
6
5
Fransa
4
4
8
13
6
11
7
6
7
6
Kanada
3
4
13
3
5
4
35
7
8
8
İtalya
3
3
5
10
11
10
6
8
9
12
Brezilya
3
2
6
7
13
21
3
9
10
9
G.Kore
2
3
15
4
9
14
13
10
Symantec şirketinin yayınladığı rapora göre, 2007’nin ilk yarısındaki saldırı
seviyesi global çerçevede % 25 olan ABD, 2007 yılının ikinci yarısında % 24’lük
seviye ile dünya çapında en fazla saldırı gerçekleştiren ülke olma konumunu
korurken yüzdelik dilimde bir puan gerilemiştir. Aynı raporun Saldırı eğilimleri alt
başlıklı verilerine göre, eğitim sektörüne yapılan saldırıların % 30’dan % 24’e
düştüğü fakat en fazla saldırı yapılan alan olduğu belirtilmiştir. Kimlik bilgilerinin
çalındığı en büyük alan ise hükümet sektörü olmakla birlikte 2007’nin ilk yarısında
geçmiş raporlara göre % 12’lik bir artışın kaydedildiği belirtilmiştir (Symantec,
2008: 5).
Çalınan bilgilerle elde edilebilecek kredi kartları, çalınan kredi kartlarıyla
yapılabilecek harcamalar, düzenlenecek sahte belgeler, giriş kartları ve bunun gibi
pek çok şeyin terör aktivitelerinde kullanılması farazi bir senaryo değildir. 2007
yılında Japonya’nın en büyük bankalarından biri olan Resona Bank, dijital ya da
doküman olup olmadığı açıklanmayan 980.000 müşteri bilgisinin kaybolduğunu
açıklamıştır. Müşteri şifreleri haricinde, müşterilere ait isim, hesap numarası ve işlem
bilgilerinin olduğu gizli kalması gereken verilerin kaybolduğu 2006’nın sonunda
anlaşılmış, fakat detaylı raporun hazırlanması 2007 yılında mümkün olmuştur
(Wilson, 2007). Klasik anlamda terör örgütlerinin para elde etme yöntemleri arasında
nasıl karapara aklama, uyuşturucu kaçakçılığı, insan ticareti, göçmen kaçakçılığı,
11
Symantec, 2008: 10.
31
gasp, adam kaçırma, fidye isteme, soygun ve bunun gibi pek çok suç türü mevcutsa,
sanal âlemde de bu tür suçlar elektronik devreler yardımıyla işlenmektedir. Öyle ki
çok daha az risk, çok daha az zaman ve çok daha yüksek kazançla.
2007 yılında Britanya’da görülen davada siber suçla, dini motifli terörist
gruplar arasında önemli sayılabilecek bir bağlantı olduğu ortaya çıkmıştır. Bu davada
üç İngiliz vatandaşı, Tariq al-Daour, Waseem Mughal ve Younes Tsouli
yargılanarak, internet vasıtası ile adam öldürmeye azmettirmek suçundan mahkûm
edilmişlerdir. Çaldıkları kredi kartı bilgilerini online alış – veriş sitelerinde
kullanarak faaliyet gösteren ve dini motifli teröristleri destekleyen bu kişiler, internet
üzerinden gece görüş dürbünleri, çadırlar, GPS cihazları ve bunlara ait yüzlerce
batarya ve 250’den fazla uçak biletini, 110’dan fazla çalıntı kredi kartıyla satın
alınmıştır. Ayrıca çalıntı 72 kredi kartıyla 95 farklı web sitesi hosting şirketinden
180’den fazla internet sitesi satın almışlardır. Bu grup ayrıca 130’dan fazla çalıntı
kredi kartı ile online kumar sitesinde karapara aklama faaliyeti içine girmiştir. Üçlü
aynı zamanda toplamda 3,5 milyon dolarlık bir dolandırıcılık suçunu, hesap
sahiplerinin adının, adresinin, doğum tarihinin ve kredi limit bilgisinin bulunduğu
37.000 kredi kartı numarasıyla işlemiştir (Krebs, 2007).
Finjan Zararlı Kod Araştırma Merkezinin 2007 yılının ilk çeyreğinde yaptığı ve
Finjan 2007 Web Security Trends Report başlığı ile yayınladığı verilere göre
Britanya kaynaklı on milyon sitenin internet trafiği analizinde, sitelerin % 90’ının
zararlı içerik barındırdığı tespit edilmiştir. Finjan CTO’ su Yuval Ben-Itzhak bu
durumu; “ Siber suç yasalarının daha az gelişmiş olduğu ülkelerin, daha çok zararlı
yazılım barındıran web sitesine sahip olduğuna dair mit bu çalışmayla yıkılmıştır”
şeklinde yorumlamıştır. Aynı merkezin 2008’in sonunda yayınladığı Web Security
Trends Report Q4 2008 başlıklı raporda ise hiçbir şirketin veya kurumun güvende
olmadığı, bunun 2008 yılının Kasım ayında Pentagon’a yönelik saldırılarla
ispatlandığı, gerekli güvenlik önlemleri alınmadıkça, enerji ve finans sektörlerinin
öncelikli hedef olacağı vurgulanmıştır (Finjan, 2008).
32
Şekil 1: 2008’in Birinci Yarısında Tespit Edilen Ülkesel/Bölgesel Zararlı Yazılım
Dağılımı 12
Botnet ve diğer zararlı kodlar, siber suçluların kimlik hırsızlığı yapabilmesi
kolaylaştırmaktadır. FBI araştırmaları, kimlik hırsızlığının Amerikan şirketlerine ve
onların müşterilerine mali zarar verdiğini ve yıllık olarak 50 milyar dolara varan
meblağların ortaya çıktığını göstermektedir. “Tebrikler 100 Kontör Kazandınız” ya
da “Tıkla Sohbete Başla” gibi başlıkları taşıyan reklam sayfaları zararlı kodların bu
tür sitelere gizlenmesine olanak sağlar ve bu adrese giren kullanıcıların kişisel
bilgilerinin siber suçluların eline geçmesi kolaylaşır. Yukarıda değindiğimiz
botnetler haricinde, pek çok zararlı yazılım, siber suçluların kullandığı yöntemler
içinde mevcuttur. Bunlardan en çok bilineni, bilgisayar kodlarına eklenen
yazılımlarla ve bu kodların çalıştırılmasına bağlı olarak çalışan virüslerdir. Servis
açıklarını kullanarak yayılan solucanlar ise herhangi bir kullanıcı işlemine gerek
kalmadan kendi kendine çoğalıp yayılabilme özelliğine sahiptirler. Art niyetli
hareketli yazılımlar ise tarayıcının açıklarını, sunucudan aktarıldıktan sonra güvenlik
zafiyetlerini veya kullanıcı bilgisizliğini kullanarak zarar veren yazılımlardır. Bunun
yanında saldırganlar tarafından hedef bilgisayara yerleştirilen ve yerleştiği
bilgisayarın güvenlik geçitlerine yakalanmadan faaliyet göstermesine yarayan arka
kapı dediğimiz, saldırgana kolaylık sağlayan zararlı yazılımlarda bulunmaktadır.
12
MSIR, 2008: 69
33
Trojan ya da Truva Atı denilen yazılımlar ise herhangi bir yazılımın içine
yerleştirilerek kullanılırken, rootkit dediğimiz yazılımlar ise bilgisayarın zararlı
yazılım yüklenmesi halinde bunu tespit edememesine yarayan kötü niyetli
yazılımlardır. Casus yazılımlar olarak adlandırılan spywareler ise kullanıcı
bilgilerinin ele geçirilmesini sağlar, son olarak bahsedebileceğimiz kötü niyetli
yazılım çeşidi ise yukarıda bahsedilen yazılımların birden fazlasını aynı anda ihtiva
eden combo malwarelerdir (MSIR, 2008: 16 – 18).
Bilgisayarlara veya bilgisayar özellikleri taşıyan cihazlara, zararlı yazılımların
yerleşmesinin ardından bir tarama işlemi gerçekleşir. Kurbana ait isim – soy isim,
adres, doğum yeri ve tarihi, T.C kimlik numarası, okul numarası, anne kızlık soyadı
ve telefon numarası tarama sonunda siber suçlunun elindedir. Bu bilgiler fail
tarafından yine internet üzerinden pazarlanır ya da fail bu bilgileri kendi için kullanır.
Artık hemen hemen pek çok insanın evinde olan, video kamera veya dijital fotoğraf
makinesi, renkli printer ve her yerde rahatlıkla yaptırılabilecek kaplatma işlemi ile
gerçek gibi görünen nüfus cüzdanı, ehliyet veya banka cüzdanı elde edilen bilgilerle
yapılabilir. Bu duruma en güzel örnek 2005 yılında Amerika’da üst üste yaşanan
güvenlik açığı olayıdır. Boston Kolejlinde 2005’in martında bir hacker 106.000’den
fazla kişisel bilgiyi hacklemiş, aynı ay içerisinde Kaliforniya’da bulunan Chico
Devlet Üniversitesi’nin veri tabanına giren bir hacker ise eski ve hali hazırda
öğrenim gören öğrencilerin 59.000’ine ait sosyal güvenlik numarasını ve isimlerini
ele geçirmiştir. Nisan 2005 ‘te ise sosyal güvenlik numaralarının da bulunduğu
310.000 Birleşik Devletler vatandaşına ait kişisel bilgiler çalınmış, bu çalınan bilgiler
ve şifrelerle bilindiği kadarıyla ulusal veri tabanına 59 adet izinsiz giriş yapılmıştır
(Bank ve Conkey, 2005: 1).
Kişisel veri hırsızlığı dünya genelinde oldukça yaygın bir durumdadır. Elbette
dijital ortamda saklanan bilgilerin, özellikle kişisel bilgilerin muhafazası için çokça
çaba sarf edilmektedir. Buna rağmen çok güvenilir olarak düşündüğümüz kamu veya
özel sektör alt yapılarının dahi risk altında olduğu unutulmamalıdır. Dünya genelinde
hizmet veren ticari oluşumların güvenlikten yana zafiyet göstermesi, global krizlerin
yaşanmasına neden olmaktadır. Örneğin 2003 yılında, ABD’de bulunan 650 milyon
Visa ve Mastercard sahibinden 5,4 milyonuna ait kredi kartı bilgisi bilgisayar
34
korsanları tarafından çalınmıştır. Kurbanlardan iki milyonu Mastercard sahibi iken
geri kalan 3,4’ü Visa kart sahibidir (BBC News, 2003). Yine Mastercard
International 2005 yılında 40 milyon Amerikalı müşterisinin kredi kartı numarasının
bilgisayar korsanları tarafından ele geçirildiğini bildirmiştir (Menn, 2005; Krim ve
Barbaro, 2005: 1). Bu kredi kartı numaralarının ayrıca bir Rus web sitesinde satıldığı
bilgisine ulaşılmıştır. Japon UJF Bank yetkilileri kendi müşterilerinden bir kısmının
da, Mastercard bilgilerinin çalınması olayı ile bağlantılı olarak dolandırıcılık
mağduru olabileceğini bildirmiştir (BBC News, 2005).
Yapılan incelemelerde analistler bu kredi kartı bilgilerinin 42 dolardan daha az
bir meblağa satıldığını, platinum ve gold kartlar gibi premium kartlarında maksimum
70 dolara satıldığını tespit etmişlerdir. Ayrıca Visa ve Mastercard 40 milyon hesabın
bu durumdan etkilendiğini söylese de, CardSystems Solutions firması en az 68.000
kredi kartı hesabının yüksek risk taşıdığını belirtmiştir (CCRC, 2005). Haziran 2006
da Birleşik Devletler yetkilileri, Enerji Bakanlığı bünyesinde faaliyet gösteren Ulusal
Nükleer Güvenlik Dairesine (National Nuclear Security Administration – NNSA) ait
1500 personelin bilgilerinin ağ bağlantısı ihlali yapılarak 2004 yılında çalındığını
bildirmişlerdir. NNSA meydana gelen güvenlik ihlalini ancak olayın olmasından bir
yıl sonra keşfetmiştir (Cantwell, 2006).
Almanya Landeskriminalamt Polis Biriminin İnternet suçları bölümü siber
suçlular tarafından zararlı ve casus yazılımlar kullanarak kredi kartı ve kişisel bilgi
çalmada
kullanılan
www.codesoft.cc
adındaki
forum
sitesini
kapattığını
duyurmuştur. Ayrıca bu sitenin liderliğini yaptığı iddia edilen "tr1p0d" rumuzlu 22
yaşındaki İsviçreli bir kişinin çaldığı, banka ve online ödeme hesabı şifrelerini sattığı
bildirilmiştir. Polisin yaptığı araştırmada bu kişinin evinde site veritabanında olması
gereken kullanıcılara ait IP adresleri ve suçta kullanılan hard diskler ele geçirmiştir.
Ayrıca 20 yaşlarında iki Alman vatandaşının da, tr1p0d tarafından adlandırılan
Codesoft PW Stealer trojanı ile dünya çapında 80.000 bilgisayarı enfekte ederek şifre
çaldıkları ve diğer siber suçlulara çaldıkları bilgileri sattıkları iddia edilmektedir
(Higgins, 2009).
35
Son veriler ışığında 2008 yılı içinde meydana gelen web saldırılarında en çok
tercih edilen yöntemlerde;
1. Popüler web sitelerinden download edilen yazılımlar içine gizlenen zararlı
yazılımlarda artış olduğu,
2. Geleneksel antivürüs yazılımlarının, saldırı sayısındaki yoğunluktan ötürü
işlevlerini yerine getiremediği,
3. Saldırılar browser'ın kendisinden ziyade, eklentilerine yönelik yapıldığı,
4. Yanıltıcı uygulamaların kullanıcı bilgisayarlarını enfekte ettiği ve bu
durumun giderek arttığı,
5. SQL enjeksiyon adı verilen saldırı türünün, popüler web sitelerini etkilemek
için kullanıldığı,
6. Zararlı içerik ihtiva eden reklam ilanlarının, kullanıcıları zararlı kod ihtiva
eden web sitelerine yönlendirdiği,
7. Zararlı yazılım ve kodlarda bir patlama yaşandığı gözlemlenmiştir
(Symantec, 2009: 4).
1.2.2. Türkiye’de Bilişim Suçları ve İnternetin Gelişimi
1.2.2.1. Ülkemizde ve Çevre Ülkelerde İnternetin Gelişimi
Bilişim bağlantılı en yaygın kullanıma sahip fenomen olan internetin yıllar geçtikçe
popülaritesi gitgide artmış, dünya genelinde milyonlarca insan aynı sistem içerisinde
bir şeyler öğrenmeye, bir şeylerden zevk almaya ve alış veriş yapmaya başlamıştır.
Ülkemizde de durum aslında dünya genelinde neyse o şekildedir, hatta pek çok
ülkeye nazaran internet kullanımında ülkemiz kayda değer bir ilerleme sarf etmiştir.
Global internet kullanımı istatistiklerine bakıldığında, en yüksek kullanıcı kitlesinin
elbette internetin vatanı olan Amerika Birleşik Devletlerinde olduğunu görmekteyiz.
36
Tablo 6: En Yüksek İnternet Kullanıcı Nüfusuna Sahip Yirmi Ülke 13
Fakat veriler ışığında uzak doğu ülkelerinin de 2007 yılı itibari gözle görülür
şekilde interneti benimsediğini söyleyebiliriz. Elbette internet kullanımının amacı
ülkeden ülkeye değişmekteyse de, uzak doğu olarak kabul ettiğimiz; Çin Halk
Cumhuriyeti, Japonya, Hindistan, Güney Kore, Endonezya, Vietnam, Tayvan ve
Filipinlerde internet kullanımının diğer uzak doğu ülkelerine nazaran daha yüksek
olduğu, aynı yüksek oranın ekonomik sıçramalarda da yaşandığı ve kendi komşu
ülkelerine nazaran çok daha ileride bir görünüm arz ettiği gözlerden kaçmamaktadır.
Aynı şekilde ülkemizde de internet kullanımı yıllara göre hızlı bir şekilde artış
göstermiştir. Gelinen noktada 2007 yılı itibari ile Türkiye 16 milyon kullanıcı ile
dünyada en çok internet kullanıcısına sahip 17. ülke konumuna yükselmiştir.
13
www.internetworldstats.com.
37
Tablo 7: En Yüksek İnternet Kullanıcı Nüfusuna Sahip Yirmi Ülke (2007) 14
Ülke
İnternet Kullanan Kişi Sayısı
Ülke Nüfusuna Oranı %
Dünya Nüfusuna Oranı %
ABD
210.575.287
69.7
18.0
Çin
162.000.000
12.3
13.8
Japonya
86.300.000
67.1
7.4
Almanya
50.426.117
61.1
4.3
Hindistan
42.000.000
3.7
3.6
Brezilya
39.140.000
21.0
3.3
İngiltere
37.600.000
62.3
3.2
G.Kore
34.120.000
66.5
2.9
Fransa
32.925.953
53.7
2.8
İtalya
31.481.928
52.9
2.7
Rusya
28.000.000
19.5
2.4
Meksika
22.700.000
21.3
1.9
Kanada
22.000.000
67.8
1.9
Endonezya
20.000.000
8.9
1.7
İspanya
19.765.033
43.9
1.7
Vietnam
16.511.849
19.4
1.4
Türkiye
16.000.000
21.1
1.4
Avustralya
15.085.600
71.9
1.3
Tayvan
14.500.000
63.0
1.2
Filipinler
14.000.000
16.0
1.2
İlk 20 Ülke
915.131.767
21.7
78.0
D.G.K.
257.978.158
11.0
22.0
T.D.K.
1.173.109.925
17.8
100
Miniwatts Marketing Group tarafından 30 Haziran 2007 yılında hazırlanan
dünya internet kullanıcı istatistiği raporu, Nielsen/NetRatings, International
Telecommunications Union, resmi ülke raporları ve diğer güvenilir araştırma
kaynaklarından elde edilen bilgilere göre, ülkemizde internet kullanımının hızlı bir
yükseliş içinde olduğunu göstermektedir. Bu rapora göre Türkiyeli internet
kullanıcıları, ülke nüfusunun % 21,1’ini, dünya nüfusunun ise % 1,4’ünü
oluşturmaktadırlar.
14
www.internetworldstats.com.
38
2000 yılından bu yana internet kullanımında ülkemizde kayda değer bir artış
olduğunu söylemek yanlış olmaz keza istatistiki verilere göre, 2000 yılında 2 milyon
internet kullanıcısı varken 2004’te bu sayı 5,5 milyon kişiye, 2006’da ise 10 milyon
220 bin kişiye kadar yükselmiştir. Aynı şekilde yükseliş devam etmekte 2007
yılındaki 16 milyonluk sayı 2008 yılında 26 milyon 5 yüz bine ulaşmıştır. Ayrıca
2008 yılı itibari ile dünya genelinde kullanıcı sayısı bakımından Türkiye dört sıra
yükselerek 13. sıraya çıkmıştır. Yani neredeyse bir yıl içinde internet kullanımında
10 milyon kişilik bir artış gözlemlenmektedir.
Tablo 8: Yıllara Göre Türkiye’de İnternet Kullanıcıları İstatistiği 15
Yıllar
Kullanıcı Sayısı
Nüfus (Tahmini)
Nüfusa Etkisi %
Kaynak
2000
2.000.000
70.140.900
2.9
ITU
2004
5.500.000
73.556.173
7.5
ITU
2006
10.220.000
74.709.412
13.9
Comp. Ind. Almanac
2007
16.000.000
75.863.600
21.1
ITU
2008
26.500.000
71.892.807
36.9
ITU
2007 ve 2008 yılları arasında değişen istatistikî bilgiler ışığında, başta Çin
olmak üzere, Hindistan, Fransa, Türkiye, İspanya, İran ve Pakistan’da internet
kullanıcısı oranlarında kayda değer bir artış olduğu gözlemlenirken, Güney Kore,
Avustralya, Tayvan ve Filipinlerde bu oranın çok fazla değişmediğine hatta özellikle
Tayvan ve Filipinlerin liste dışında kaldığına şahit olmaktayız. Dünya genelinde ise
internet kullanımı yönünden devam eden bir artışın olduğu kabul edilmelidir. Bunun
pek çok sebebi olduğu gibi belli başlı dört neden başı çekmektedir.
Bunlardan birincisi ve en önemlisi ekonomik açılımların ve global sektörün
vazgeçilmezi ve parlayan yıldızı e – ticaret hacminde meydana gelen doğal artış,
ikincisi kişisel bilgisayar ve kamu sektöründe kullanılan bilgisayar sayısının artması,
bununla birlikte e – devlet projelerinin ülkeden ülkeye kalitesinin değişmesine
rağmen birer birer uygulamaya konması, üçüncüsü internet fiyatlandırmasında özel
şirketlerin kah devlet zoruyla, kah rekabet yüzünden fiyat kırması son olarak ise,
insanların hayatında yeni bir dönemin hızlı adımlarla hayata geçirilmesi ve bir
15
www.internetworldstat.com/eu/tr.htm
39
şekilde insanların sorularına cevap arama isteği ile meraklarını giderme arzusu,
özellikle farklı kültürleri tanıma ve iletişime geçme bunda temel sebeplerdir.
Tablo 9: En Yüksek İnternet Kullanıcı Nüfusuna Sahip Yirmi Ülke (2008) 16
Ülke
İnternet Kullanan
Ülke Nüfusuna
Dünya Nüfusuna
Kişi Sayısı
Oranı %
Oranı %
Kullanıcı Artış Oranı
(2000 – 2008)
%
Çin
253.000.000
19.0
17.3
1.024.4
ABD
220.141.969
72.5
15.0
130.9
Japonya
94.000.000
73.8
6.4
99.7
Hindistan
60.000.000
5.2
4.1
1.100.0
Almanya
52.533.914
63.8
3.6
118.9
Brezilya
50.000.000
26.1
3.4
900.0
İngiltere
41.817.847
68.6
2.9
171.5
Fransa
36.153.327
58.1
2.5
325.3
G.Kore
34.820.000
70.7
2.4
82.9
İtalya
34.708.144
59.7
2.4
162.9
Rusya
32.700.000
23.2
2.2
954.8
Kanada
28.000.000
84.3
1.9
120.5
Türkiye
26.500.000
36.9
1.8
1.225.0
İspanya
25.623.329
63.3
1.8
375.6
Endonezya
25.000.000
10.5
1.7
1.150.0
Meksika
23.700.000
21.6
1.6
773.8
İran
23.000.000
34.9
1.6
9.100.0
Vietnam
20.159.615
23.4
1.4
9.979.8
Pakistan
17.500.000
10.4
1.2
12.969.5
Avusturalya
16.355.388
79.4
1.1
147.8
D.G.K
347.918.789
15.2
23.8
391.2
T.D.K
1.463.632.361
21.9
100
305.5
Dışarıdan ülkemize bir göz attıktan sonra, birde içeriden komşu ülkelerdeki
duruma göz atmak yerinde olacaktır. Çünkü bir ülkenin çevresindeki ülkeler ne kadar
gelişirse, o ülkede kendini o kadar geliştirir ya da geliştirmek zorunda hisseder.
Türkiye açısından durum, zorunda hissetme ile ifade edilebilir. Alfabetik sırayla
Bulgaristan’dan başlayarak duruma bir göz atalım. Bilindiği gibi Bulgaristan eski bir
16
www.internetworldstats.com.
40
doğu bloğu ülkesi, 1 Ocak 2007 tarihi itibari ile de yeni AB üyesidir (BBC News,
2007). Ülkenin nüfusu Internet Usage Stats – Usage and Population Statistic’e göre
2007 itibari ile 7.673.215’dir. İnternet kullanıcısı ise yine aynı veriler ışığında
2.200.000’dür ve bu sayı ülke nüfusunun % 28,7’sine tekamül etmektedir. 2000
yılından bu yana incelersek tablo aşağıdaki gibidir.
Tablo 10: Bulgaristan İnternet Kullanıcı Nüfusu (2000 – 2008) 17
Yıllar
Kullanıcı Sayısı
Nüfus
Nüfusa Oranı %
Kaynak
2000
43.0000
7.932.984
5.4
ITU
2004
1.545.100
7.521.066
20.3
ITU
2008
2.200.000
7.673.215
28.7
ITU
Tablo 11: Ermenistan İnternet Kullanıcı Nüfusu (2000 – 2008) 18
Yıllar
Kullanıcı Sayısı
Nüfus Nüfusa Oranı %
GSMH
Kaynak
2000
30.000 3.002.594
0.1
410 $
ITU
2001
40.000 3.000.164
0.5
500$
ITU
2006
161.000 2.950.060
5.5
1060$
ITU
2008
172.800 2.968.586
5.8 (2006)1470$
ITU
Ermenistan, eski bir medeniyet ve Hıristiyan inancını ülkenin resmi dini olarak
kabul eden ilk ülkedir. Ülkemize zaman zaman siyasi arenada sorunlar yaşatsa da,
ikili ilişkilerin gün geçtikçe arttığı söylenebilir. Ülke nüfusu United States Census
Bureau (USCB)’ya göre 2008 yılı itibari ile 2.968.586’dır. Dünya genelinde artış
gösteren internet kullanımı bu ülkede de yıllara göre gelişme göstermiştir. Fakat bu
noktada Ermenistan için söylenebilecek diğer bir konu ise kişi başına düşen
GSMH’nın yükselişiyle internet kullanımındaki artışın paralellik gösterdiğidir.
Tabloda gösterilen kişi başına düşen GSMH, Birleşmiş Milletler (BM) Ekonomik ve
Sosyal İşler Departmanı tarafından verilen rakamlardır.
Gürcistan’da eski bir Sovyet Bloğu ülkesi olarak, bağımsızlıktan sonra
demokratikleşme yolunda önemli adımlar atmaya çalışan, bu sebeple denge
politikaları üzerine kurulu bir siyasi yapısı olan, sırtını AB ülkelerine yaslamış,
17
18
www.internetworldstats.com/eu/bg.htm.
www.internetworldstats.com/asia/am.htm.
41
gelişmekte olan ülkeler arasındadır. Ülkenin 2007 itibari ile nüfusu 4.389.004’tür.
2000 yılında internet kullanımı kabaca 20 bin kişi ile sınırlı iken, 2006 yılında bu
sayı yine kabaca 332.000’e ulaşmıştır. İnternet kullanıcılarının nüfusa oranı ise %
7,6’dır (IWS, 2009). Irak ise, 1990’lı yıllardan bu yana savaş ve kan içinde kötüleşen
durumuyla kendi içinde mücadeleleriyle, dış baskılarla ve en önemlisi işgalle toprak
bütünlüğünü koruma çalışan, maddi ve manevi yardıma muhtaç bir ülke olmakla
birlikte, bilişim yönünden de aşırı derecede zayıf bir ülkedir. Ülke nüfusu USCB’ye
göre 28.221.181 olan Irak’ın internet kullanım oranı aşağıdaki gibidir.
Tablo 12: Irak İnternet Kullanıcı Nüfusu (2000 – 2008) 19
Yıllar
Kullanıcı Sayısı
Nüfus
Nüfusa Oranı %
Kaynak
2000
12.500
26.628.187
0.1
ITU
2002
25.000
26.095.283
0.1
ITU
2008
275.000
28.221.181
1.0
ITU
Bölgenin en gelişmiş ülkelerinden biri olan İran’da ise Türkiye’deki duruma
benzer bir gelişme söz konusudur. Öyle ki Tablo 13’den de anlaşılacağı gibi İran
2008 yılında en çok internet kullanan ülkeler sıralamasına girmiş, kullanıcı sayısında
ise % 9.100’lük bir artış sergilemiştir. Bölgede aykırılığı İsrail’le birlikte temsil eden
İran’ın gelişim tablosu aşağıdaki gibidir.
Tablo 13: İran İnternet Kullanıcı Nüfusu (2000 – 2008)
Yıllar
Kullanıcı Sayısı
Nüfus
Nüfusa Oranı %
Kaynak
2000
250.000
69.442.905
3.8
ITU
2002
5.500.000
69.442.905
7.5
ITU
2005
7.500.000
69.442.905
10.8
ITU
2008
23.000.000
65.875.223
34.9
ITU
20
Ortadoğu’nun en gelişmiş ve uluslararası bağlantıları olan ülkesi İsrail’in
internet kullanım oranı oldukça yüksektir. TNS’ye göre Mayıs 2008 itibari ile
5.263.146 internet kullanıcısına sahiptir. Bu sayı ülke nüfusunun % 74,0’üne tekamül
etmektedir. Bahsedilen yüzde ışığında İsrail’in dünyanın en yüksek internet
kullanıcısı oranına ve en yüksek geniş bant nüfuzuna sahip olduğunu söyleyebiliriz.
19
20
www.internetworldstats.com/me/iq.htm.
www.internetworldstats.com/me/ir.htm.
42
İsrail 1990’lı yılların ortalarından buyana dört GSM operatörüne, altı uluslararası
servis sağlayıcısına ve üç yerel kablo ve uydu yayını altyapısına sahiptir. Oldukça
gelişmiş bir bilişim sektörü olan İsrail’in ekonomik gelişim tablosu da ortadadır.
Dünya Bankası 2007 verilerine göre, kişi başına düşen GSMH 21.900 dolardır. 2000
– 2008 yıllarına ait tablo ise aşağıdaki gibidir.
Tablo 14: İsrail İnternet Kullanıcı Nüfusu (2000 – 2008) 21
Yıllar
Kullanıcı Sayısı
Nüfus
Nüfusa Oranı %
Kaynak
2000
1.270.000
6.986.639
18.2
ITU
2008
5.263.146
7.112.358
74.0
TNS
Güney komşumuz Suriye’de de durum diğer ülkelerden farklı değildir ve
internet kullanıcısı sayısı yıllara göre gelişim göstermektedir. 2007 yılı itibari ile
nüfusu 19.172.000 olan Suriye’nin (Haberler.com, 2007), internet kullanıcısı sayısı
2008 itibariyle 2.132.000’dir. Suriye son yıllarda girdiği liberal değişim sürecinde,
AB’ne verdiği sözle birlikte 2010 yılına kadar piyasayı devlet tekelinden tamamen
çıkaracağını taahhüt etmiştir. Hali hazırda pek çok servis sağlayıcının alt yapısı bir
devlet teşekkülü olan STE (Suriye Telekom Kurumu) tarafından desteklenmektedir.
Suriye ile ilgili ayrıntılı bilgilere aşağıdaki tablodan göz atabiliriz.
Tablo 15: Suriye İnternet Kullanıcı Nüfusu (2000 – 2008) 22
Yıllar
Kullanıcı Sayısı
Nüfus
Nüfusa Oranı %
Kaynak
2000
30.000
17.868.100
0.2
ITU
2002
220.000
18.586.743
1.2
ITU
2005
800.000
19.046.520
4.2
ITU
2008
2.132.000
(2007)19.172.000
8.9
ITU
Yukarıda bahsedilen veriler ışığında, internetin yoğun ve hızlı bir şekilde
hayatımıza girmiş olduğunu, gerek ülkemizde gerekse çevre ülkelerde internet
kültürünün tüm devlet yaşamını bile etkiler şekilde yeşerdiğini söyleyebiliriz.
İnternetle birlikte pek çok kez bahsettiğimiz gibi siber suç olgusunun da geliştiğini
21
22
www.internetworldstat.com
www.internetworldstats.com/me/sy.htm.
43
yine sayısal rakamlarla açıklamaya çalışacağız. Aşağıdaki bölümde siber suçlardaki
artışın ülkemizdeki yansıması konu alınacaktır.
1.2.2.2. Siber Suç Olgusunun Türkiye’deki Durumu
Son yıllarda internet kullanımıyla ilgili olarak, gerek sivil toplum kuruluşlarının
gerekse devlet eliyle yapılan pozitif propagandanın etkili olduğunu söylemek yerinde
olacaktır. Sanal âlemde meydana gelen suç türleri bakımından ülkemiz hukukunda
belirli bir düzenleme mevcutsa da, suça konu faaliyetlerin ihbar olarak çeşitli
kurumlara farklı vasıtalar ile iletilmesi, istatistikî verilerin yeknesaklığı açısından
sorun yaratmaktadır. 23.05.2007 tarihinde yürürlüğe giren 5651 sayılı İnternet
Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen
Suçlarla Mücadele edilmesi Hakkında Kanun’da bazı eksiklikler mevcuttur.
Konumuz itibariyle ilgili kanundaki en büyük eksikliğin, terör suçlarına yönelik bir
düzenleme içermemesi olduğu düşünülmektedir. 5651 sayılı kanunun Erişimin
engellenmesi kararı ve yerine getirilmesi alt başlığında; 26.9.2004 tarihli ve 5237
sayılı Türk Ceza Kanununda geçen;
1) İntihara yönlendirme (madde 84),
2) Çocukların cinsel istismarı (madde 103, birinci fıkra),
3) Uyuşturucu veya uyarıcı madde kullanılmasını kolaylaştırma (madde
190),
4) Sağlık için tehlikeli madde temini (madde 194),
5) Müstehcenlik (madde 226),
6) Fuhuş (madde 227),
7) Kumar oynanması için yer ve imkân sağlama (madde 228), suçlarına yer
verilmiştir.
Dokurer’in eserinde bulunan, bilişim suçlarına ait 1998 – 2001 yıllarını
kapsayan suç istatistiklerine baktığımızda, suç sayısında yıllara göre bir artış
gözlemlenirken, aynı zamanda suç kategorisinde de bir artış gözlemlenmektedir.
Özellikle 2000 yılına kadar lisans hakları ile ilgili bir suç oranı ya da bilgisi
görünmemekteyken, 2000 yılından sonra lisans hakları ihlaliyle ilgili suç istatistiği
44
oranını birinci sırada görmekteyiz. 1998 yılında dolandırıcılık en büyük yüzdeye
sahipken, 1999’da ikinci sıraya gerilemiş, ilk sırayı sahteciliğe bırakmıştır. Devam
eden yıllarda ise sıralama lisans hakları ihlali, dolandırıcılık, sahtecilik, yasa dışı
yayınlar ve bilgisayar sabotajı şeklinde olmuştur. Dolandırıcılık suçunun % 62’lik
kısmı kredi kartı dolandırıcılığı olarak tezahür etmekteyken, % 21’lik kısmı ATM
dolandırıcılığı ve % 12’lik kısmı ise hırsızlık yolu işlenmiştir. Bilgisayar yolu ile
yapılan sahtecilik ile ilgili yüzde dağılımı ise; %26 yazar kasa fişi, % 23 Milli
Piyango bileti, % 17 sigorta poliçesi, % 17 sahte para, % 13 sahte evrak, % 2 kimlik
kartı ve % 2 pasaport sahteciliği şeklindedir (Dokurer, 2008: 5).
Tablo 16: 1998 – 2001 Yılları Arasında İşlenen Bilişim Suçlarına Karışan
Kişilere Ait Durum İstatistiği 23
Lisans hakları ile ilgili meydana gelen suçların ise % 82’si film sektörü, % 14’ü
bilgisayar oyunları ve % 4’ü müzik sektörüne yöneliktir. Yasadışı yayınların içinde
çocuk pornografisi % 40’lık oranla ilk sırada yer alırken veriler Interpol aracılığı ile
elde edilmiştir. Terör bağlantılı yasak yayınların oranı % 30 iken, pornografik
yayınların oranı % 25, hakaret içerikli yayınların oranı ise % 5’tir. Ayrıca 1998 –
2001 yılları arasında, Lisans Hakları ihlali yapan şüpheli sayısı 105, Dolandırıcılık
yapan şüpheli sayısı 76, sahtecilik yapan şüpheli sayısı 43, yasadışı yayın yapan
şüpheli sayısı 21, bilgisayar sabotajı yapan şüpheli sayısı 3, diğer suç olaylarına
karışan şüpheli sayısı ise 4’tür (Dokurer, 2008: 5 – 7). Şüpheli şahıslara ait durum ise
aşağıdaki gibidir.
Bilgi Teknolojileri ve İletişim Kurumu, Telekomünikasyon İletişim Başkanlığı,
İnternet Daire Başkanlığının (İDB) 23.11.2007 ve 01.11.2008 arasında gelen
23
Dokurer, 2008.
45
ihbarlara göre hazırladığı rapora göre, internet üzerinde yasal olmayan içeriklerle
ilgili 28.595 ihbar yapılmıştır. Fakat bu yapılan ihbarların yalnızca 14.503’ü
incelemeye değer bulunmuş ve gerekli işlemler başlatılmıştır. Yapılan ihbarların
büyük çoğunluğu müstehcenlik ile ilgili olarak yapılmıştır ve bu konuda yapılan
ihbar sayısı 8.498’dir. En az ihbar konusu ise sağlık için tehlikeli madde teminiyle
ilgilidir ve sayısı 67’dir (İDB, 2008: 33). Başkanlık tarafından hazırlanan tabloda ise
genel durum aşağıdaki gibidir.
Tablo 17: İnternet Daire Başkanlığı İhbar İstatistiği 23.11.2007 – 01.11.2008 24
Suç Türleri %
İhbar Sayısı
Müstehcenlik (58,5)
8.498
Atatürk aleyhine işlenen suçlar hakkında kanundaki suçlar (11,2)
1.626
Fuhuş (11,2)
1.417
Çocukların Cinsel İstismarı (9,7)
1.325
Kumar oynanması için yer ve imkân sağlama (4,7)
691
İntihara yönlendirme (2,0)
300
Diğer (0,7)
112
Uyuşturucu / Uyarıcı madde kullanımını kolaylaştırma (0,6)
92
Bahis / Kumar (0,5)
75
Sağlık için tehlikeli madde temini (0,4)
67
TOPLAM
14.503
Başkanlık tarafından yayınlanan 09.02.2009 tarihli ihbar istatistiği verilerine
göre ise yapılan toplam ihbar sayısı 48.827’dir. Daha önceki durumla aynı olarak
yapılan ihbarların büyük çoğunluğu fuhuşla ilgilidir. Ayrıca, belirtilen tarihe kadar
olan dönemde toplam 1631 site engellenmiş, bunlardan 1343’ü re’sen, 288’i ise yargı
yolu ile engellenmiştir. Bununla birlikte 52 siteye engellemeyi kaldırma kararı
uygulanmış, böylece geriye kalan toplam 1579 siteden 1337’si re’sen, 242’si ise
mahkeme kararı ile kapatılmış olmaktadır. Erişimin engellenmesi kararı ile 1214 alan
adına ve bu alan adlarının bazılarına ait 365 IP adresine de, aynı karar uygulanmıştır
(Guvenliweb, 2009).
24
www.tib.gov.tr
46
Tablo 18: İnternet Daire Başkanlığı İhbar İstatistiği (09.02.09) 25
Toplam İhbar - Şikâyet Sayısı
48.827
Katalog Suç Kapsamında Belirtilen İhbar Sayısı
22.846
Mükerrer İhbar Sayısı
16.454
Katalog Suç Kapsamında Olmayan Diğer İhbar Sayısı
9.527
Katalog Suç Kapsamından Bildirilen Alan Adı Sayısı
13.390
İhbar
şikayetlerinin
toplam
sayısının,
2008
ve
2009
yılları
arası
karşılaştırmasını yaptığımızda % 170,7’lik bir artış olduğu sonucuna varmaktayız.
Katalog suç kapsamında yapılan ihbar oranında da % 157,5’lik bir artış söz
konusudur. 2009 yılı için hazırlanan raporda yine müstehcenlik % 59,4 ile en yüksek
orana sahip ihbar konusu olurken, aynı sene içinde yine en az ihbar konusu ise sağlık
için tehlikeli madde teminiyle ilgilidir ve tüm ihbarlar içinde % 0,5’lik bir orana
sahiptir.
Tablo 19: İnternet Daire Başkanlığı Katalog Suç İhbar İstatistiği (09.02.09) 26
Kategori
Müstehcenlik
İhbar Sayısı
13.571
Çocukların cinsel istismarı
2.632
Fuhuş
2.334
Atatürk aleyhine işlenen suçlar hakkında kanundaki suçlar
2.098
Kumar oynanması için yer ve imkan sağlama
875
İntihara yönlendirme
444
Diğer
442
Bahis / Kumar
178
Uyuşturucu / Uyarıcı madde kullanımını kolaylaştırma
150
Sağlık için tehlikeli madde temini
122
TOPLAM
22.846
2009 İnternet Daire Başkanlığı Raporuna göre, çocuk istismarı ihbarlarında bir
yükselme mevcutken, Atatürk aleyhine işlenen suçlar hakkında yapılan ihbar
sayısında bir azalma görülmektedir. Müstehcenlik, fuhuş, kumar oynanması için yer
temin etme, intihara yönlendirme, diğer suçlar ve sağlık için tehlikeli madde temini
25
26
www.guvenliweb.org.tr
www.guvenliweb.org.tr
47
konularında yapılan ihbar yüzdelerinde sıralama bakımından bir değişiklik
olmamıştır. Fakat 2009 için hazırlanan rapora göre 2008 istatistiklerinden farklı
olarak, bahis ve kumar suçlarına yapılan ihbarlar artış gösterirken, uyuşturucu ve
uyarıcı madde kullanımı konusunda yapılan ihbarlarda yüzdesel bir düşüş yaşandığı
gözlemlenmektedir.
Tablo 20: İhbarlara Yönelik Yapılan Re’sen ve Yargısal İşlemler (09.02.09) 27
Kategori
Fuhuş (Madde 227)
Re'sen
Yargı
19
2
Sağlık için tehlikeli madde temini (Madde 194)
0
0
Uyuşturucu / Uyarıcı madde kullanımını kolaylaştırma (Madde 190)
2
1
İntihara yönlendirme (Madde 84)
1
0
83
7
Atatürk aleyhine işlenen suçlar hakkında kanundaki suçlar
2
50
Kumar oynanması için yer ve imkan sağlama (Madde 228)
73
17
0
167
Çocukların cinsel istismarı (Madde 103,birinci fıkra)
617
5
Müstehcenlik (Madde 226)
546
39
1.343
288
Bahis / Kumar
Diğer
TOPLAM
Emniyet Genel Müdürlüğü (EGM), bilişim suçları ile mücadelede diğer pek
çok kurum ve kuruluştan çok daha önde bir strateji izlemektedir. Kaçakçılık ve
Organize Suçlarla Mücadele Daire Başkanlığı (KOMDB), gelecek yıllarda büyük bir
patlama yaşayacak siber dünyaya ait suç potansiyelini uzun zaman önce fark edip,
kendi bünyesi içinde 2003 yılından bu yana profesyonel bir yapılanma içine
girmiştir. Daire başkanlığı nezdinde, bilişimle ilgili alt yapı çalışmalarına kaynak
ayrılmıştır. Bu konuda atılan en büyük adım şube müdürlüğü derecesinde bir yapının
faaliyete geçirilmesi olmuştur. Bilişim Suçları ve Sistemleri Şube Müdürlüğü,
03.09.2007 tarihinde, Kaçakçılık ve Organize Suçlarla Mücadele Daire Başkanlığına
bağlı olarak, İstanbul Emniyet Müdürlüğü bünyesinde kurulmuştur. Ülkenin diğer
illerinde de Bilişim Suçları Büro Amirlikleri aracılığıyla, bilişim suçlarına yönelik
ciddi çalışmalar yürütülmektedir. Bu kapsamda, KOMDB’nın 2007 yılında
27
www.guvenliweb.org.tr
48
hazırladığı rapora göre ülke genelinde meydana gelen suçlarda, 2007 Yılı içerisinde
1000 Adet Bilgisayar Hard diski, 4456 Adet CD ve 16 Adet DVD incelenmiştir.
Tablo 21: KOMDB Türkiye Bilişim Suçları İstatistiği (2005 – 2007) 28
2005
Olay Türü
Kredi Kartı Sahteciliği
ve Dolandırıcılığı
Banka Dolandırıcılığı
Bilişim Suçları ve
Dolandırıcılığı
Toplam
2006
2007
Olay
Şüpheli
Olay
Şüpheli
Olay
Şüpheli
195
543
122
241
209
423
9
33
98
172
164
443
91
179
4
9
206
421
295
755
224
422
579
1287
Bu birimde çalışan personelin eğitimi ise yine profesyonel eğitim çalışmaları
ile tamamlanmaktadır. EGM – KOMDB bünyesinde, personele üç farklı eğitim
modeli uygulanmaktadır. Uzmanlık eğitimlerinden birincisi, adli bilişimde olay
yerinin korunması konusunda, bir diğeri bilişim suçlarının takibi ve aydınlatılmasına
yönelik çalışmalar konusunda, sonuncusu ise veri inceleme, işleme ve kurtarma
üzerine adli bilişim hizmeti konusundadır. Bununla birlikte personelin bilgi
güncelliği ve bilgi tecrübesini sürekli kılmak için ulusal ve uluslararası eğitim
faaliyetlerine devam edilir. Böylece daire personeli uzmanlık alanına göre, siber
dünyada işlenen ve ülkemizle bağlantılı suçların aydınlatılmasında görevlendirilir.
Adli bilişim konusuna özellikle önem veren başkanlık, suçun delillendirilmesi
amacıyla biri merkeze bağlı, toplam 16 Adli Bilişim Bölge Merkezinde görevli
uzman personel ile ülke çapında hizmet vermektedir (KOMDB, 2007: 101 – 104).
KOMDB’nın bilişim alanında gerçekleştirdiği başarılı çalışmalar süreç
içerisinde meyvelerini vermeye başlamıştır. Buna en güzel örnek 2008 yılında
NCFTA (Ulusal Siber Adli Bilişim ve Eğitim Birliği) tarafından KOMDB
başkanlıkta görevli bir personele verilen “Yılın Bilişim Suçları Soruşturmacısı
Ödülü”dür. Sadece 2008 yılında gerçekleştirilen ulusal ve uluslararası eğitim
faaliyeti sayısı 19’dur. Bu faaliyetlerle birlikte yüzlerce personel eğitime tabi
28
KOM Daire Başkanlığı 2007 Raporu.
49
tutulmuştur. Bilindiği gibi bilişim suçlarında karşılaşılan en büyük sorun uluslararası
işbirliğidir, başkanlık ülke adına faaliyet gösterirken, AB ve ABD arasında
geliştirilen işbirliklerine de ön ayak olmaktadır ve bu işbirliği atılımı bile başlı başına
büyük bir başarıdır (KOMDB, 2008: 108 – 111).
KOMDB merkez ve taşra birimlerince 2008 yılı içinde beş tane büyük çaplı
operasyon mevcuttur. Bu operasyonlarda özellikle mağdur sayısı ve mali zarar
boyutu açısından önemli noktalar dikkati çekmektedir. Nisan ayında Ş.Urfa’da
gerçekleştirilen “Kontör Yolla” adlı operasyonda, kendilerini nüfuz sahibi kişiler
olarak tanıtan ve aradıkları kişilerden kontör isteyen şebeke elemanı 85 kişi hakkında
adli işlem başlatılmıştır. “Chao” adı verilen operasyonda ise liderliğini bir Türk
vatandaşının yaptığı ve birden fazla bilişim suçu alanında faaliyet gösteren şebekeye
yönelik projeli çalışma başlatılmıştır. Çalışmada FBI ile işbirliği içerisinde hareket
edilmiş, kredi kartı bilgileri üzerinden maddi gelir elde eden yedi kişi suç konusu
teçhizatla birlikte ele geçirilmiştir. Şebeke elemanlarının, skimmer denilen kredi kartı
bilgilerini kopyalamaya yarayan aleti fabrika düzeyinde ürettikleri ve global pazar
içinde sattıkları tespit edilmiştir (KOMDB, 2008: 111 – 112).
“Sanal Deprem” adlı operasyonda ise, TRaVma rumuzlu bir Türk vatandaşının
şebekenin liderliğini yaptığı, şahsın kredi kartı dolandırıcılığı faaliyeti içerisinde
olduğu yapılan uzun soluklu teknik takip sonucu anlaşılmıştır. Şebeke elemanları,
www.realunix.net ve irc.realunix.net 29 sunucuları üzerinden dolandırıcılık işlemlerini
devam ettirirken, ülke çapında başta İstanbul olmak üzere, Ş.Urfa, Muğla,
Kastamonu, Sivas, Diyarbakır, Hatay, Mersin, Kocaeli, İzmir, Çorum, Yozgat ve
Ankara illerinde eş zamanlı operasyona başlanılmıştır. Operasyon sonucunda 29
şahıs gözaltına alınmış, şahıslarla birlikte, bilgisayar hard diskleri, boş ve dolu
manyetik şeritli kredi kartı, banka ve kredi kartı kopyalamaya yarayan encoder
cihazı, bilgisayar ve çok miktarda suça konu para ele geçirilmiştir. “Sanal Tuzak” adı
29
IRC (Internet Relay Chat) siber suçlular veya siber teröristler tarafından, ellerindeki bilgileri ve
satış fiyatlarını öğrenmek, bilgi satışı için pazar oluşturmak için kullanılan bir sunucu sistemidir. Yer
altı ekonomisi sunucularına üye suçlular genelde kendi aralarında bir yasa uygularlar, bu yasa yazılı
olarak işlemez fakat kurallara uymayanlar IRC sunucu yöneticilerine rapor edilir ve bu kişiler aynı
sistem üzerinden suçlular tarafından birbirlerini uyarmak suretiyle deşifre edilmiş olurlar. Bu tür
hareketleri tekrarlayanlar ya o sistemden kovulur ya da uzaklaştırılır. Potansiyel alıcılar ise satıcılarla
kurdukları özel iletişimler üzerinden anlaşmaya varır ve alış veriş sonlandırılır.
50
verilen ve Adana KOM Şube Müdürlüğü tarafından başlatılan operasyonda ise, yine
kredi kartı dolandırıcısı 13 şahıs ve 1000 adet kopyalanmış kredi kartı encoder
cihazıyla birlikte ele geçirilmiştir. Bu operasyonda dikkati çeken ise şebeke
elemanları arasında İngiltere ve Yunanistan vatandaşlarının da olmasıdır. Son olarak
“Karnaval” adı verilen operasyonda ise üç farklı şebekenin birlikte hareket ederek
internet üzerinden yapılan havalelerde dolandırıcılık yaptığı tespit edilmiştir. İstanbul
Bilişim Suçları ve Sistemleri Şube Müdürlüğü tarafından yapılan Karnaval
operasyonunda 37 şahıs hakkında yasal işlem başlatılmıştır (KOMDB, 2008: 112 –
114).
Tablo 22: KOMDB Türkiye Bilişim Suçları İstatistiği (2006 – 2008) 30
Olay Türü
Kredi Kartı Sahteciliği
ve Dolandırıcılığı
Banka Dolandırıcılığı
Bilişim Suçları ve
Dolandırıcılığı
Diğer
Toplam
2006
2007
2008
Olay
Şüpheli
Olay
Şüpheli
Olay
Şüpheli
310
468
594
907
830
991
723
1398
642
1187
1177
2114
178
283
416
764
560
842
7
60
91
134
157
416
1218
2209
1743
2992
2724
4363
Ülkemizde bilişim suçları ile ilgili yapılan çalışmalarda karşılaşılan suç konusu
olaylar;
1. İnteraktif banka dolandırıcılığı,
2. Banka veya kredi kartı dolandırıcılığı veya sahteciliği,
3. Hesap bilgileri ve kart bilgilerinin bilişim sistemleri ile elde edilmesi,
4. ATM ve diğer sistemler üzerinden finans, şifre bilgilerinin elde edilmesi
amacıyla bilişim sistemlerine sızılması,
5. Bilişim sistemlerine girme, sistemi engelleme, bozma, verileri yok etme veya
değiştirme ve
30
KOMDB, 2008: 114
51
6. Zararlı programlar ile bilişim sistemlerinde kullanılan yazılımların kırılması
veya çalınması olaylarıdır.
Mersin Emniyet Müdürlüğü, Bilişim Suçları Büro Amirliği tarafından 2007
yılında yapılan 126 operasyonda, 224 şüpheli gözaltına alınmış, bunlardan yalnızca
yedisi tutuklanmıştır. 2008 yılında yapılan operasyon sayısı ise 137’ye yükselmiş,
269 kişi bu operasyonlarda gözaltına alınmış, bunlardan 23’ü tutuklanmıştır. Mersin,
bilişim suçları olay sayısı itibariyle İstanbul’dan (1902 olay) sonra ikinci sırada
gelmektedir. Yukarıda verilen sayısal değerler düşünüldüğünde akla gelen iki nokta
vardır. Bunlardan birincisi gözaltına alınan şahıslarla tutuklamalar arasındaki
uçurum, bir diğeri ise suçlarda yaşanan artış ve buna bağlı olarak operasyon,
gözaltına alınma ve tutuklanma sayısındaki artış. Gözaltına alınan sayısı ile
tutuklanma oranındaki farkın temel nedenleri, gelişmekte olan bir suç olma özelliği
taşıyan bilişim suçlarında yetişmiş emniyet hizmetleri sınıfı personelin yetersizliği
gösterilebilir. Bu yetersizlik suçun delillendirilmesin de kendini ne kadar
hissettirirse, gözaltına alınan sayısıyla tutuklanan sayısı arasındaki uçurum o kadar
büyür. Adli bilişim denilen siber suçların olay yeri incelemesi son derece önemlidir.
Bu konuda yapılan çalışmalar ve alınan eğitimlerle çok büyük olmasa da epey
mesafe kat edilmiştir ve edilmeye devam edilmektedir. Bilişim suçlarının işlenişi
bakımından Emniyet istatistiklerine göre ilk on ilimiz şu şekildedir;
Tablo 23: Bilişim Suçları Olay Sayısına Göre İlk On İl 31
İstanbul
Yüzdeler
Mersin
G.Antep
Antalya
İzmir
Kocaeli
Adıyaman
Ankara
K.Maraş
Antalya
Adana
G.Antep
Mersin
Adana
İstanbul
20
18
16
14
12
10
8
6
4
2
0
K.Maraş
Ankara
Kocaeli
Adıyam an
İzm ir
31
Türkmen, 2008.
52
Bununla birlikte adli yargılama kurumu personeli arasında da bu konularda
uzmanlaşmış personel sayısı yeterli bulunmamaktadır. Öncelikle ele alınması
gereken konunun yargısal sistemde bu tür suçlarla ilgili ihtisas mahkemeleri
kurulmasına yönelik düzenlemelerin hazırlanması olduğu, yargı çevreleri tarafından
da dile getirilen bir husustur. Özel önem gerektiren çocuk mahkemeleri, trafik
mahkemeleri ve ticaret mahkemeleri gibi bilişim mahkemeleri kurulması gerektiği
gelecekte karşılaşılacak suçlar göz önüne alındığında kaçınılmaz olarak karşımızda
durmakta iken, bu oluşumun alt yapısının şimdiden oluşturulması gerekliliği ön plana
çıkmaktadır.
53
İKİNCİ BÖLÜM
BİLİŞİM SUÇLARININ SINIFLANDIRILMASI
2.1 BİLİŞİM SUÇLARININ ÇEŞİTLERİ
Sosyolojik bir konu olarak suç, insan doğasıyla ve çevresel faktörle açıklanmaktadır.
Çevresel faktörler neleri ihtiva eder diye düşündüğümüzde ise hemen yaşadığımız
doğa ile bir bağlantı kurmaya çalışırız. Günümüzde, normal bir doğal çevreye ilave
sanal bir çevre kültürü yeşermektedir. Pek çoklarının sanal âlem ya da siber âlem
dediği bu olgu artık bizi ne kadar etkiliyor? Bilgisayar başından her türlü işlemini
gerçekleştiren ve ağlar arasında kaybolmuş bir birey çevresine ne kadar dikkat
edebilir ya da insanlarla olan iletişimini ne düzeyde devam ettirebilir? Bu soruların
cevapları elbette sosyologlar ya da psikologlar tarafından araştırılmaktadır, bu
bağlamda yapılan araştırmalardan elde edilen verilere göre bireyler toplumdan
kendini yavaş yavaş yalıtmaktadır, bunun bir sonucu ise kişide ruhsal bozuklukların
oluşması ve depresyon halidir. Arkadaş veya aile ilişkilerinden uzaklaşan sosyal bir
varlık olarak insan pek çok yönden sosyopat bir kişilik alt benliği yaratmaktadır.
Konuya kriminolojik açıdan yaklaştığımızda ise bilişim suçlarını işleyen bireylerin ki
bu suçlar bireysel olarak işlenebileceği gibi toplu olarak da işlenebilir, genel
itibariyle bir meslek sahibi genç ve zeki insanlardan olduklarını görmekteyiz.
Günümüzde işlenen bilişim suçu mağdurlarının kim ya da ne olduklarına
baktığımızda, karşımıza en çok ticari şirketler, kamu kurum ve kuruluşları ile banka
ve telekomünikasyon kurumları çıkmaktadır (Yazıcıoğlu, 1997:107). Bilişim suçunu
işleyen bireylerin daha önce adi suçlardan dolayı kayıtlarının olmadığını ve suç
mağdurlarının profilinden de anlaşılacağı üzere kendilerini zamane Robin Hood
olarak gördüklerini söyleyebiliriz. Medya organlarının da bu tür suçluları zenginden
alıp fakire veren kişi/kişiler veya halk kahramanı olarak tanımladığını belirtmek
gerekir, bunun ötesinde internet üzerinde kendilerini hackerlerin bir araya geldiği
ortam olarak tanıtan, binlerce üyesi olan forum, haberleşme ve paylaşım sitelerinde
“Basında Biz” bölümü vazgeçilmezlerdendir.
54
Tarihin her sayfasında bilgi hep bir güç olarak kullanılmış ve güçlüler ile
bilgiye sahip olanlar ise hep zenginler olmuştur, fakat artık bilgiye ulaşmak için
zengin olma gibi bir şart bulunmamaktadır, siber medeniyette her bilginin herkes
tarafından paylaşılması inancı işte bu Robin Hood’ların arzusudur: bilginin serbest
dolaşımı. Bilgisayar kaynaklı suç tiplerinde faillerde genel olarak, ya çalıştıkları iş
yerinin kendilerine yetersiz gelmesi ya da işyerinden çıkarılma sebebiyle intikam ve
ders verme duygusu, finansal zorluklar içinde bir yaşamı hak etmediği inancı, toplum
içinde farklı bir birey olma ve bilgisayara karşı üstünlüğünü kanıtlama duyguları
egemendir (Demirbaş, 2005: 268). Tüm bunlara rağmen bilişim suçlarında kriminal
açıdan üzerinde durulan en büyük konu ise suçun kendisi olmaktadır. Suçun işleniş
biçimi, işlenirken hangi bilgilerin kullanıldığı, teknik donanımın ne olduğu ve
zamansal-tekrarlanabilir olup olmadığı konuları üzerinde durulmaktadır.
Bir devlet dairesini ya da bir özel sektör kurumunu düşündüğümüzde,
bilgisayar olmasa acaba yapılacak işler günümüzde ne kadar zaman alır ve insanlar
bu duruma ne kadar tahammül edebilirler. Bunun ötesinde sistemin çöktüğünü veya
bir sorun gereği bir süreliğine işlemlere cevap vermediğini düşünelim. Bu durumdan
etkilenmeyecek kurum ya da birey yoktur. Bilgilerimizi daha kolay ve her an
ulaşabilecek şekilde sakladığımız dijital bellekler her şeyi depolama kabiliyetine
sahiptir. Geçmişte de bir dosyalama sistemimiz vardı fakat hem maliyet yönünden
zararlı hem de depolama ve ulaşılabilirlik yönünden fazla hantal ve zahmetliydi.
Kısaca düşündüğümüzde, dijital veri tabanlarının ne kadar kullanışlı ve yararlı bir
sistem olduğunu kavrayabiliriz. Fakat her dijital veri tabanı ya da bellek sistemi
güvenilir midir? Bilgisayar ağlarına emanet ettiğimiz kişisel bilgilerimiz, gizli dosya
ve klasörlerimiz artık sadece bizim ulaşabileceğimiz bir yerlerde mi? Yoksa bu
bilgilere herkes ulaşabilir mi? Konuya güvenlik olarak yaklaştığımızda, neyin ne
kadar güvenli olabileceği konusunda bile şüphelerimiz vardır. Hiç kimsenin ya da
ilgili kişiler haricinde ki insanların bilmeleri gerekmeyen verilerimizi korumanın
yollarını düşünürüz ama bu yöntemlerin ne kadar güncel ya da güvenli olduğunu
bilemeyiz.
55
Teknolojiye bağlı olarak son 20 yılda artan ve artmaya devam edecek olan
bilişim suç ve suçlularının özelliklerine değinmek gerekirse; genel itibariyle bilişim
suçları bilgisayar ve bir ağ üzerinden bilişim teknolojileri kullanarak gerçekleştirilir,
yakalanma riski sıfıra yakındır, elde edilmesi amaçlanan çıkarım yüksek bir oranda
elde edilir, bu tür suçların doğası gereği yeni bir suç türü olması kanun ve
düzenlemeleri yetersiz ve eksik kılmaktadır, pek çok adi suç türüne göre maddi ve
manevi hasar daha yoğundur, suç mağdurları genel olarak bilgisayar sistemleri
konusunda az bir bilgiye sahip kullanıcılar ile kamu ve finans sektörü kuruluşlarıdır,
bahse konu kuruluşların güvenlik açıklarını kötü imaj endişesiyle kolluk kuvvetlerine
bildirmemeleri söz konusudur, suça karışan bireylerin genelde 30 yaş altı kimseler
olması, fail profilinin eğitimli ve bilinçli kişiler olması ayrıca kendilerine fazla güven
duymaları olarak özetleyebiliriz.
Bilgisayar sistemlerine yönelik saldırılar üç ayrı alanda incelenmektedir ve
fiziksel, sentaktik ve semantik olarak adlandırılmaktadır. Fiziksel saldırılarda, bomba
gibi konvansiyonel silahlar kullanılır, sentaktik saldırılar, ağ ve bilgisayar
sistemlerinin çökertilmesine yönelik virüs tipi yazılımları içermektedir. Semantik
saldırılar ise daha zekice planlanmış bir yaklaşımı ifade etmektedir. Semantik
saldırılarda saldırgan, sistemin hata üretmesini ve tahmin edilmeyen sonuçların
ortaya çıkması amaçlar. Sentaktik saldırılar zararlı yazılımlar olarak bilinen malware
ile gerçekleştirilir. Bu saldırılar, virüsleri, kurtçukları ve Trojan atlarını kapsar. En
çok bilinen zararlı yazılım bulaştırma yöntemi e-mail içine gizlenip gönderme
eylemidir. DDoS ve DoS saldırıları da sentaktik saldırılar kapsamına girmektedir. Bu
tür saldırılarda en çok kullanılan yöntem ise ping atma işlemidir. Ping, verilen
internet adresine ulaşabilirliği doğrulayan standart internet işlemidir. Yoğun şekilde
yapılan ping ataklarında sistemde bir aşırı yüklenme meydana gelir, bu şekilde
sistemin veya ağın internet veya intranet hizmeti alması engellenir. Semantik
saldırılar ise yanlış bilginin neşredilmesi veya bilginin değiştirilmesini kapsar. Email, forum siteleri ve mesaj panelleri vasıtasıyla daha kolay bir şekilde yayılması
sağlanan yanlış bilgilerle, insanlar, kamu ve özel sektör kurumları yönlendirilir
(Prichard ve MacDonald, 2004: 281).
56
Bilişim sektörünün pek çok yararının yanında olası zararlarının da varlığı,
üzerinde daha derinlemesine ve bilinçli araştırmaların yapılması gerekliliğini ortaya
koymaktadır. Bilişim suçlarının kategorize edilmesinde pek çok yöntem kaleme
alınmıştır. BM’nin 10 – 17 Nisan 2000 tarihleri arasında Viyana’da gerçekleştirdiği
10. kongresinde, Suçun Engellenmesi ve Suçluların Tedavisi konulu bir toplantı
düzenlenmiş, bu toplantıda bilişim suçları beş ayrı sınıfa ayrılmıştır. Bu
sınıflandırmaya göre;
a) İzinsiz girişler,
b) Elektronik veri ve yazılımları değiştirme ya da zarar verme,
c) Bilişim sistemini ya da network fonksiyonlarını sabote etme,
d) Bilişim sistemi ya da network üzerindeki verileri yetkisiz olarak durdurma
veya farklı bir sisteme yönlendirme,
e) Bilgi casusluğu amacı ile yapılan her türden eylem, bilişim suçu olarak tasnif
edilmiştir. Avrupa Konseyi Siber Suç Sözleşmesi, Interpol Bilgisayar Suçu El Kitabı
ya da Birleşmiş Milletler Bilgisayar Suçunu Önleme El Kitabı tasnifleme konusunda
bizlere örnek oluşturabilir. Fakat eserin esas konusundan uzaklaşmamak maksadıyla
bilişim suçları bu eserde iki ana başlık üzerinden işlenecektir.
2.1.1. Çıkar Amaçlı Bilişim Suçları
Suçun sosyolojik tanımı içerisinde, bireylerin gerek farklı motivasyonlarla gerekse
salt çıkar elde etmek maksadıyla işledikleri suçlar bir çıkar ve amaca hizmet eder.
Yeni yeni gelişen bilişim teknolojilerinin ise kötü amaçlı kullanımı esas itibariyle
bireylerin merak arayışından doğmuştur. Bireysel ya da kitle halinde işlenebilen bu
suçlar genel kullanıma açık okul, kütüphane, internet kafe gibi mekânlarda ya da
şirket bilgisayarlarından herhangi biriyle icra edilir. Çünkü bilgisayar kullanımını
ileri derece tekniklerle gerçekleştiren bu art niyetli kimseler her bilgisayarın da
arkasında bir iz bırakacağını bilir. Çok az tecrübe sahibi kişiler ya da aşırı motive
bireyler genelde kendi bilgisayarlarını kullanır, bununda farklı sebepleri olabilir,
örneğin tecrübesizlik ya da meydan okuma gibi.
57
Suçun oluşmasında pek çok motivasyon söz konusudur, kendini ispatlama,
gruba dahil olma, para kazanma, zarar verme, intikam, merak ya da ırkçılık gibi daha
da uzatılabilecek fakat siyasi olmayan suç motivasyonlarından bahsedebiliriz. Çıkar
amaçlı bilişim suçlarında bireysel saldırıların yanı sıra organize suç şebekelerinin
faaliyetlerini de görmekteyiz. Çocuk istismarı, cinsel amaçlı sömürü ya da organ
kaçakçılığı gibi pek çok organize suç türü günümüz koşulları itibariyle kendini
internet ortamında da göstermektedir. Çekirdek hücre sistemi içerisinde dışarıya bilgi
sızdırmadan, maksimum hızda ve minimum zamanda elde etmeyi amaçladıkları
hedefe ulaşabilen zamanımızın organize şebekeleri, ticari faaliyette bulunan kurum
ve bankalara yönelmiş durumdadır. İstanbul’da vadeli hesaplara ait bilgileri, banka
müşterilerinin bilgisayarlarına Trojan göndererek ele geçiren bir organize örgüt ya da
Antalya’da çocuklara karşı cinsel saldırılar gerçekleştiren bir suçlunun, bahse konu
çocukların fotoğraflarını internet üzerinden yayınlaması artık günümüz suç
örneklerindendir (Tumgazeteler.com, 2006).
Çıkar amaçlı bilişim suçlarını;
1. Bilgisayar sistemlerine ya da bilgisayar ağlarına yetkisiz olarak erişmek,
2. Bilgisayar veya ağ sistemlerinin yetkisiz olarak izlenmesi,
3. Kendisine ait olmayan dijital hesabın kötüye kullanımı,
4. Bilgisayar ya da iletişim sistemlerinin, bilgisayar verileri veya programlarına
girilmesi, yüklenmesi, değiştirilmesi, silinmesi veya ele geçirilmesi suretiyle
engellenmesi,
5. Bilgisayar ve iletişim teknolojileri kullanarak verilerin alınması, girilmesi,
değiştirilmesi,
silinmesi yoluyla kendisine veya başkasına yasadışı ekonomik
menfaat temin etme veya mağdura zarar verme,
6. Bankamatik sistemlerinden yapılan dolandırıcılık ve hırsızlık,
7. Bilgisayar yazılımların izinsiz olarak çoğaltılması, satışı, kopyalanması,
dağıtımı ve kullanımı,
8. Kanuna aykırı yayınların saklanmasında ve dağıtılmasında bilgisayar sistem
ve ağlarının kullanılması,
58
9. Farklı amaç ve niyetlerle ticari ve meslek sırlarının, bilgilerinin satılması,
kullanımı, transferi, dağıtımı, ifşası ya da elde edilmesi,
10. Bir başkasının ya da bir kurumun bilgilerini kullanarak hile ile menfaat
sağlama ya da zarar verme, şeklinde bir ayırıma gitmek suretiyle
inceleyebiliriz.
2.1.1.1. Çıkar Amaçlı Bilişim Suçlarında Kullanılan Yöntemler
2.1.1.1.1. Çöpe Dalma
Daha ziyade kullanılan bilgisayarın hafızasında kalan bilgilerin silinmiş olsa dahi
EnCase tarzı adli bilişim olaylarında da kullanılan yazılımlar vasıtası ile geri
getirilmesi, geri getirilen bilgiler ile arzu edilen bilgilerin ayıklanması ve
kullanılabilir olanların ele geçirilmesi olarak tanımlanabilir. Çöpe dalma ayrıca,
bilgisayar çıktılarından arta kalan parçaların bir araya getirilmesi vasıtası ile bilgi
etme amacıyla da icra edilebilir.
Kurumsal çalışma ortamlarında, içeriden veya dışarıdan tehditler tarafından bu
tür bilgilerin elde edilmesi olasıdır. ATM cihazlarının yanında bulunan çöp
tenekelerinde işlem sonu hareketleri gösterir fişlerin üzerinden elde edilebilecek
bilgiler ve atık kâğıt toplama kutularına gelişi güzel atılan önemli veya gizli içerikli
evraklardan bu tür bilgiler, saldırı amacı taşıyan kişiler için önemli ipuçları
barındırdıklarından toplanır. Bu tür bilgi toplama yönteminde zaman ve işe yarar
bilgi azlığı, saldırganın nihai amacına ulaşmasını zafiyete uğratacağından, saldırı
motivasyonu taşıyan suçlular için bu tarz eylemler çokça tercih edilen yöntemlerden
değildir.
2.1.1.1.2. Gizli İzleme
Veri dağılımının yapıldığı alt yapılara dışarıdan yapılan fiziksel müdahalelerle dahil
olunarak veri akışının izlenmesi şeklinde olabileceği gibi, bilgisayar ekranlarının
yaymış olduğu elektromanyetik dalgaların yakalanarak, görsel olarak ekran
görüntüsünün elde edilmesi şeklinde de icra edilmektedir. Veri işlem merkezlerine
59
yerleştirilen vericilerle, uzak noktalardan nakledilen verilerin incelenmesi ve takip
edilmesi de mümkündür.
Gizli dinleme, organize suç örgütleri ve terör örgütlerinin ilgisini çektiği kadar
devlete ait istihbarat kurumlarının da ilgisini çekmektedir. Organize örgütler ve terör
örgütleri genel itibari ile telefon konuşmalarından uzak durmaya gayret
göstermektedir. Adli yargılama safhasında suç örgütünün deşifre edilmesi amacıyla
alınan iletişimin dinlenmesi kararı, suçluların önüne tape edilmiş konuşmalar olarak
konduğu için, suçtan dolayı içeri girmiş ve çıkmış şebeke elemanları veya suç
unsuruna rastlanmamış telefon görüşmeleri sahibi kişiye yapılan tebligatlar
nedeniyle,
suçlular
telefonla
konuşmamaya,
konuşmaları
kendi
aralarında
şifrelemeye, bununda ötesinde gizli buluşma ve yüz yüze görüşme yapmaya
başlamıştır. Kendini gelişimin kucağına bırakan organize suç ve terör örgütleri için
ise durum farklıdır. Her ne kadar yukarıda bahsedilen önlemler bu gruplar tarafından
devam ettirilse de, iletişimin hızlı ve coğrafik sınır tanımaksızın devam
ettirilebilmesi için internet ağları kullanılmaya devam etmektedir.
Bilgisayar temelli telefon görüşmeleri, mail adresleri kullanarak yapılan
iletişim, chat odaları denilen çeşitli konuşma platformları, takibin zor fakat iletişimin
global olarak sağlanabilmesine yarayan yeniliklerdir. Günümüzde insanlar telefon
numaralarını veya mail adreslerini kolaylıkla değiştirebilmektedir. Özellikle paket
anahtarlamalı ağ sistemi iletişim hizmeti sağlama ve merkezi olmayan iletişim
imkânına olanak sağlamaktadır. Voice – over – Internet – Protokol dediğimiz VoIP,
standart iletişimin önüne geçmiş yaygın bir iletişim hizmeti sunmaktadır. Sesli
görüşmenin ötesinde görüntülü görüşme imkânı da sağlayan bu teknoloji suç ağları
arasında kesintisiz iletişimin yeni trendi olmuştur (Diffie ve Landau, 2008: 3).
2.1.1.1.3. Veri Hırsızlığı ve Dolandırıcılığı
Bilgisayarda bulunan verilerin içeriğini veya önceliğinin değiştirilmesini içeren veri
dolandırıcılığında, bilginin değişime uğramasının sebebi bir virüs, veri tabanı veya
uygulama yazılımı programcısı ya da bilginin olduğu ortama giren ve verileri manüel
olarak değiştiren herhangi biride olabilir. Şüpheli, işlemin yaratılmasına,
60
kaydedilmesine, deşifre edilmesine, kontrol edilmesine, aktarılmasına veya verinin
yayımlanmasına dahil kişide olabilmektedir. Bilgisayar bağlantılı suçlar içinde
neredeyse hiç bilgisayar bilgisi olmayan biri tarafından bile işlenebilecek bu suç türü
oldukça basit bir yöntemdir. Suçun işlenmesinin kolaylığına karşın, failin veri
dolandırıcılığıyla yaratabileceği maliyet oldukça büyük olabilmektedir. Banka hesabı
veri giriş kısmına online ulaşabilen bir failin, kendi hesabının sonuna ekleyeceği
birkaç sıfırın maliyeti oldukça yüklü olacaktır.
Bu tür suç tipiyle başa çıkabilmek için kurumların iç hizmet uygulamalarını
kontrol edebilen politikalar geliştirerek, bu politikaların uygulanmasını sağlaması
gerekmektedir. İç denetim mekanizmalarının sağlıklı çalışmaması, içeriden veya
dışarıdan gelebilecek bu tür tehditlerle başa çıkamama sonucunu doğuracak, bu
durumda kurumda güvensizliğe, işlerin aksamasına ve imaj zedelenmesine sebep
olacaktır. Aldatma ayrıca, hedef alınan sistemin veya alt yapının istem dışı yanlış
bilgi üretmesi ve üretilen yanlış bilginin doğruymuş gibi işlem görmesi olarak da
kendini gösterebilir.
Mersin Asayiş Şube Müdürlüğü Dolandırıcılık ve Yan Kesicilik Büro Amirliği
tarafından 2008 yılında tamamlanan operasyonda, suç şebekesi içinde teknik bilgi
sahibi bilgisayar uzmanlarının ve TEDAŞ görevlilerinin de olduğu bir grup suçüstü
yakalanmıştır. Bu operasyonda dikkati çeken nokta davanın devam etmesinden
kaynaklı burada ismi zikredilmeyecek olan büyük iş merkezlerinin elektrik
sayaçlarını bu şebeke vasıtası ile sıfırlaması veya olması gerekenden daha aşağıya
çektirmesidir. Dolandırıcılık bürosu tarafından ele geçirilen dizüstü bilgisayarda,
şebeke elemanları tarafından oluşturulmuş bilgisayar yazılımı ile elektronik
sayaçların sayısal veri ve değerlerinin değiştirildiği anlaşılmıştır. Sıradan
vatandaşların da bu suç şebekesinin faaliyetlerinden faydalandığını belirtmekte yarar
vardır. Şebeke yaptığı bu işlemler sayesinde yüklü miktarda para kazanmıştır ve bu
hırsızlığın devlete olan maliyeti net olarak hesaplanabilmiş değildir.
61
2.1.1.1.4. Bukalemun
Çoklu ağ sistemlerinde kullanıcılara ait bilgileri gizli bir dosya içerisine kaydederek,
kendini belli etmeden arka planda çalışan sistem yazılımıdır. Bilgisayar bağlantısının
geçici bir süre mantıklı bir sebep yüzünden tekrar açılıp kapanacağı veya sistemin
kapanması gerektiğini kullanıcıya ileterek bilgisayar bağlantısının kapanması
sağlayan bu yazılım, kullanıcı tarafından bilgisayar yeniden işlem görürken gizli
dosyalama yaptığı kullanıcılara ait bilgileri ilgili kişiye iletir. Böylece fail kişisel
bilgi hırsızlığı yöntemi ile dolandırıcılıktan hırsızlığa her çeşit suç türünü işleyebilir.
2.1.1.1.5. Salam Tekniği
Banka hesaplarında, küsuratların bulunduğu son haneler fail tarafından oluşturulan
başka bir hesaba aktarılır. Birden fazla hesap için yapılan bu uygulamayla, uzun
vadede müşterilerin hesaplarından alınan ufak miktarlar muhatapların farkında
olamayacakları bir sistematiğe göre biriktirilir. Daha çok içeriden tehdit olarak
bilinen bu yöntemin önüne geçebilmek yine iç denetim mekanizmalarının
oluşturulması ve politika haline getirilerek uygulanması gerekmektedir.
2.1.1.1.6. Zararlı Yazılımlar
Genel olarak bilgisayar – veri sabotajı, bilgi elde etme, reklam yayınlama ve saldırı
başlatma amaçlarıyla dizayn edilen her türden kodları ifade eden zararlı yazılımlar
içine, botnetleri, Truva atlarını, spamları, virüsleri, solucanları, rootkitleri,
spywareleri, zaman – mantık bombalarını, arka kapıları (backdoors) ve saydığımız
tüm bu zararlı yazılımlardan iki veya daha fazlasını aynı anda ihtiva eden combo
malwareleri dâhil edebiliriz.
Organize suç şebekelerinin bu tür yazılımları kendi amaçları ve çıkarları için
kullandıkları veya kullanamaya çalıştıklarını yaşanan pek çok örnekten ötürü
biliyoruz. Bu gruplar içerisinde faaliyet gösteren bireyler, dünyanın herhangi bir
yerinden eylemlerini yönetebilmektedir. Birlikte hareket ederek sistemleri hackleyen
organize şebekesi üyeleri, sisteme aşırı yükleme yaparak sistemi yavaşlatmakta veya
62
sistemin devre dışı kalmasını sağlayarak düzeltme için fidye istemekte, sisteme dahil
olarak kredi kartı bilgilerini çalmakta, bu bilgileri yine online pazarlarda açık
arttırma sistemine göre pazarlamakta ve satmaktadır. Ayrıca siber suçlular elde
ettikleri mail adres bilgilerini kullanarak bağlantı listesinde olan tüm kişilere spam
şeklinde mailler atarak dolandırıcılık yapmaktadırlar (Poulsen, 2005). Love Letter
solucanı ile İsveç Union Bank ve Amerika’da faaliyet gösteren en az iki bankanın
hesap şifrelerine erişim sağlayan kimliği belirsiz kişilerin organize bir faaliyet
gösterdikleri olayda organize örgütlerle teknik uzmanlar arasında bir ilişkinin
yaşandığı inancı kuvvetlenmektedir (Williams, 2002). Bilginin en büyük güç olduğu
günümüzde, yazılımlar içine yerleştirilen ve kullanıcı tarafından fark edilemeyen
arka kapılar ile sistemlere girilmekte, sisteme, kuruma, çalışanlara ve çalışanların
tüm kişisel bilgilerine ait veriler elde edilmekte, isteğe göre çıkar amaçlı olarak her
türlü suçta kullanılmaktadır.
Veri sistemleri üzerinden büyük şirketlerin alt yapılarına sızan ve sistemleri
tamamen veya kısmen işleyemez hale getirip tehdit eden organize örgütler, tehdidin
ortadan kalkması için yüklü miktarda paralar talep etmekte, sonuçta istedikleri geliri
elde edip yeni yöntemlerini geliştirmeye devam etmektedirler. Anlık işlem hacmiyle
milyar dolarlar kazanan firmaların alt yapılarının işleyemez hale gelmemesi için
ödemek zorunda kaldıkları bu türden haraçlar genel olarak gizli olarak kalmakta ve
rapor edilmemektedir. FBI, Amerika’da meydana gelen bilgisayar suçlarının hemen
hemen her türünün endüstri sektörünü etkilediğini ve yıllık maliyetin 400 milyar
dolar olduğunu tahmin etmektedir. İngiliz Sanayi ve Ticaret yetkilileri ise bilgisayar
suçlarının 2005’ten 2006’ya % 50’lik bir artış gösterdiğini ifade etmektedir.
Güvenlik ihlalinin sebep olduğu maliyete örnek olarak TJX şirketinin yapmış olduğu
harcamalar verilebilir. TJ Maxx şirketinin uzantısı olan TJX şirketi 2006’dan bu yana
çalınan 45 milyondan fazla kredi kartı ve bu kartlara ait numaralar için 2008’in ilk
çeyreğinde on iki milyon dolarlık bir bütçe ayırmıştır. Bu para, araştırma, devam
eden güvenlik ihlalleri, bilgisayar güvenliğinin geliştirilmesi, müşterilerle kurulan
iletişim
ve
diğer
masraflar
için
kullanılmaktadır.
TJX
şirketi
gelecekte
karşılaşacakları davaların yol açacağı zararlarla, kaybedilen her dava için 100
dolarlık bir ödeme yapılacağını varsayarak, toplamda 4,5 milyar dolarlık bir zararla
karşı karşıya kalacaklarını tahmin etmektedir (Gaudin, 2007).
63
2.1.1.1.7. Phishing Yöntemi
Phishing olarak bilinen yöntem esasında İngilizce fishing yani balık tutma fiilinden
üretilme bir tabirdir. Hedefin atılan yeme düşmesi beklenir ve ardından gerekli
bilgiler elde edilerek dolandırıcılık fiili işlenir. Esasında hacking dünyasında fake
mail olarak da ifade edilen yöntemle hedef kişi kandırılır. Örneğin, Hotmail
servisinin ara yüzünde mail adresinin ve şifrenin yazıldığı sayfa görüntüsü, hedef
kişinin veya herhangi birinin anlayamayacağı derecede profesyonellikte bilgisayar
diliyle yeniden yazılır. Yazım sırasında girilen kodlar, hedef kişi kendi şifre ve mail
adres bilgilerini sahte yazılıma yazdığında sahte yazılımı yazan kişiye ait mail
adresine hedef kişinin bilgileri mail yoluyla gönderilir veya failin uygun göreceği bir
adrese bu bilgiler gönderilir. Böylece fail elde etmek istediği bilgileri alır ve kendi
konusu ile ilgili faaliyetlerine devam eder (Greenemeier, 2007).
Bununla birlikte hedefin işlem yaptığı finans veya herhangi bir kurumun
hazırlanmış fake ara yüzü, hedefe mail yoluyla gönderilir ve eksik ya da yanlış
bilgilerin olduğu ve düzeltilmesi gerektiği ifade edilerek kişisel bilgilerin yeniden
girilmesi istenir. Hedef kişi gönderilen maildeki linke tıkladığında sanki gerçekten
her zaman muhatap olduğu site görüntüsüyle karşılaşır fakat gerçek farklıdır. Oltaya
gelen hedef bilgileri girer girmez yazılım içindeki kodlar doldurulan hanelerin
tamamlanmasıyla bilgileri faile mail yoluyla gönderir.
Son olarak bilinen site adreslerinin benzerleri vasıtası ile dolandırıcılık fiili icra
edilebilir. Ulusal veya uluslar arası bir bankanın online hizmet veren internet
adresinde yapılan ufak bir harf değişikliği, arama motorunda yanlış adres bilgisini
yazan kişiye pahalıya mal olabilir. Son zamanlarda gerek arama motorları gerekse
kurumlar bu tür dolandırıcılık olaylarının önüne geçebilmek için denetim
mekanizmalarını ciddi tutmaktadırlar. Yinede bu tür dolandırıcılık olaylarının
yaşandığını söyleyebiliriz. Arama motorunda “yahoo” yazmak yerine yanlışlıkla
“yehoo”
yazdığınızda
spamlarla
veya
zararlı
kodlarla
dolu
bir
siteye
yönlendirilebilirsiniz.
64
Sahte yazılımların yanında birde sahte vaatlerle oltaya getirme yöntemi vardır.
419 dolandırıcılı olarak da adlandırılan bu yöntem genel olarak Nijerya kökenlidir.
419 tabiri Nijerya’da işlenen bu suçun karşılığı uygulanan yasal yaptırımın kanun
kodunu ifade etmektedir. 1990’lı yılların başlarından bu yana özelikle Amerika’yı
hedef almış bu dolandırıcılık faaliyeti son zamanlarda tüm dünyaya yayılmış
vaziyettedir. Sömürülmüş bir toplum olarak kendilerini gören Nijeryalıların intikam
duygularından yola çıkarak kendi haklarını alma mantığı bu suçun çıkış noktasıdır.
Hedefe gönderilen mailler aracılığı ile iş yapma imkanı olduğuna dair bildirimlerde
bulunulur. Nijerya Merkez Bankası veya İçişleri Bakanlığı antetli dokümanlarla oyun
sürdürülür. İletişim bilgileri hedefe iletilir, güven duygusunun yaratılması için
telefonun başında bekleyen kişi büyük bir işyeri veya kamu kurumu imajı vererek
telefonu cevaplar. Nijerya’da kullanamayacağı paranın birlikte kara dönüştürülmesi,
bir koyup on alma imkânının varlığı gibi insanların para kazanma hırslarını kullanan
dolandırıcılar, nihayetinde hedefin banka bilgilerini, kişisel bilgilerini ve iletişim
bilgilerini göndermesi konusunda ikna ederler. İkna olanlardan alınan bilgilerle
dolandırıcılığın birinci aşaması tamamlanır.
Hedef kişiye ait banka hesapları boşaltılır ve aradan bir müddet zaman geçmesi
beklenir. Bu kez ikinci aşama devreye girer ve paranın akıbeti ile ilgili bilgiler sanki
yine bir resmi kurum statüsü içinde hedefe gönderilir, hedefin parasını alabilmesi
için ya ülkeye davet edilir veyahut diğer hesap bilgileri istenir. Hedef kaybettiğini
alabilmek için ikinci kez hesap bilgisini gönderdiğinde yine dolandırılır. Daha kötüsü
parasını alabilmek için ülkeye davet edilenlerin başına gelir. Hedef uçaktan iner
inmez takibe alınır, taksici hedefi havalimanından alarak gerçek olmayan iş adresine
doğru götürür. Taksici ücreti karşılığı fahiş miktarda para talep eder ve alır. Telefon
numarasından yola çıkarak elde edilen adres bilgisi boş bir eve veya araziye çıkar,
zaten hedefe verilen adres yanlıştır. Hedef sonuçta iki kere zarara uğratılarak
dolandırılır veya ülkeye geldiğinde kaçırılarak ailesinden veya ülkesinden fidye talep
edilir. Bu tür suç şebekelerinde her türden aktivite bulunmaktadır. Hedefin
öldürülmesine kadar giden bir sürecin işlemesi içten bile değildir.
Phishing yönteminde uygulanan bir diğer dolandırıcılık şekli ise hedef şahsın
ev veya iş adresine gönderilen mektuplarla ya da mail adreslerine gönderilen
65
iletilerle hedefin ikramiye kazandığına inandırılmasıdır. Yine para kazanma hırsına
yenik düşen hedeflerin iletişime geçmesi beklenir. İletişim gerçekleştikten sonra
hedef tarafından sözde kazanılan ikramiyenin teslimi için banka hesap bilgileri
hedeften istenir. Alınan hesap bilgileri ile hedefe ait banka yatırımları dolandırıcı
tarafından ele geçirilir, bunun yanında hesap bilgilerinin alınmasından sonra paranın
havale edilebilmesi için bir havale ücreti de hedeften talep edilir. Nihayetinde oltaya
gelen hedef, fail tarafından iki kez dolandırılır. Sonuç olarak dolandırıcılar kişilerin
bilgisizliklerinden veya zaaflarından faydalanmaktadırlar. Fiziksel hayatta dikkat
ettiğimiz şeylere sanal dünyada da dikkat etmemiz gerçeği burada bir kez daha
karşımıza çıkıyor.
2.1.1.1.8. Key Logger ve Screen Logger
Daha ziyade kurum içi tehdit algılaması nezdinde değerlendirilmesi gereken klavye
ve ekran üzerinde yapılan işlemleri kaydeden bu yasal olmayan davranış şekli ile
hedef kişinin bilgisayar üzerinde yaptığı hesap açma faaliyetleri, girdiği sitelerde
yazdığı profil ismi ve şifre numaraları faile bir mail aracılığı ile gönderilir veya fail,
hedef bilgisayardan kalktıktan sonra onun yerine oturarak bilgileri alır ve amacına
ulaşır. Ayrıca toplu kullanım alanları olan internet kafelerde de, bu tehditle karşı
karşıyayızdır. Fail elde etmek istediği bilgileri alabilmek için bu program ve
yazılımları herhangi bir bilgisayara yerleştirir. Ardından kendisi başka bir
bilgisayarda işlemlerini devam ettirirken, tuzak bilgisayara oturan hedefe ait tüm
kayıtlar saklanmaya başlanır. Tutulan loglar daha önce bahsettiğimiz üzere ya faile
mail yoluyla gönderilir yada fail hedef kişi bilgisayardan kalktıktan sonra onun
oturduğu bilgisayara oturarak kayıtlı bilgileri alır ve amacına ulaşmış olur. Hedef
bilgisayara gönderilen bir yazılımın içine saklanmış bu tür veri kaydedici
programlarla da fail amacına ulaşabilir. Sizin farkına varmadan açacağınız bir resim,
bir Microsoft Office programı da bu türden az yer kaplayan yazılımların
saklanmasına olanak sağlayabilmektedir. Masumane olarak açtığınız sıradan
programlarla arka planda sizin göremeyeceğiniz şekilde çalışmaya başlayan bu tür
yazılımlar internet ortamında hacker platformu olarak kullanılan kimi forum
sitesinde mevcuttur ve failler tarafından kullanılmaktadır.
66
2.1.1.1.9. TOR
Proxy yazılımıyla birlikte çalıştırılması önerilen TOR yazılımının temel çalışma
prensibi kullanıcıya ait IP bilgisini takip edilmeyi minimum seviyeye çekerek, veri
alış verişi esnasında kullanıcıya ait konum bilgilerinin gizlenmesidir. İnternet
üzerinde web siteleri ve MSN, ICQ, IRC gibi iletişim kanalları da dâhil olmak üzere,
TCP protokolü ile çalışan tüm uygulamalar için bir maskeleme sistemi oluşturan
TOR yazılımında, bağlantı esnasında oluşan veri paketleri birbiri ardına eklenmiş
TOR sunucuları üzerinden hareket eder ve iletişimin güvenli bir şekilde
gerçekleşmesini sağlar. Onion Router olarak da adlandırılan bu iletişim modelinde,
gönderilen istek TOR sunucularından geçerek rasgele bir rota takip eder. Sistemin
kullanılmasında hedeflenen amaç, saldırganın hedefe ulaştığında görünen IP
adresinin TOR tarafından oluşturulmuş sunucu adresi olarak gözükmesidir. TOR
yazılımı veri güvenliğini sağlamak amacıyla ayrıca kendi içinde bir şifreleme
tekniğini kullanır. Bu şifreleme ile kendi içinde bir kalkan oluşturan TOR yazılımı,
sunucular arasında bir birini tanıma özelliğini ortadan kaldırarak, sunucuların
kendinden bir önceki ve bir sonraki sunucuyu tanımasına olanak sağlamaktadır. Yani
sunuculardan hiç biri gidilecek rotanın ne olacağını bilmemekte, saldırgan tarafından
sunucular
hücre
sistemi
ile
yönetilmektedir.
Yazılımın
bir
Proxy
ile
desteklenmesiyle, cookie bilgilerinin oluşturacağı güvenlik açığı da bertaraf
edilmektedir. TOR yazılımına uygun birkaç Proxy yazılımından biri olan PRIVOXY
adlı program, son dönemde saldırganlar tarafından en çok tercih edilen yazılımdır.
2.1.2. Siyasi Amaçlı Bilişim Suçları
2.1.2.1. Siber Espiyonaj
Siber espiyonaj, hedef bilgisayara izinsiz olarak güvenlik sistemini kırarak girmeyi
yada izinsiz olarak girilen bilgisayardan bilgilerin kopyalanmasını veya takip
edilmesini ifade eder. 1990'lı yılların ortalarından bu yana giderek artan oranda siber
espiyonaj faaliyetleri yürütülmektedir. Fakat Çin gibi ülkeler için bile siber espiyonaj
faaliyetleri yeni bir açılımdır ve gelişmeye açık bir tarafı bulunmaktadır. Günümüzde
ülkelerde dahil olmak üzere, pek çok organizasyonun ve organize örgütün siber
67
anlamda espiyonaj faaliyeti içinde olduğunu, amacın suçu önleme, devlet
kurumlarına ve firmalarına ekonomik avantaj sağlama ve zafiyet tespit ederek bu
zafiyetten faydalanma olduğunu ve bu saikle elektronik izlemenin günümüzde
geçmişe nazaran çok daha büyük önem kazandığını, gelecekte izlemede çok daha
radikal değişimlerin yaşanacağını söyleyebiliriz (Loeb, 1999).
Terörist bir grup, bir ülke veya herhangi bir şirket siyasi veya ekonomik
amaçlarla bilgisayar hackleme tekniklerini kullanarak bu tür bir suç içinde
olabilmektedir. SANS Enstitüsü uzmanlarına göre siber espiyonaj uygulamaları
hükümet sektörü ve uluslararası şirketler tarafından giderek artan oranda
kullanılmaya başlanmıştır. ABD ve Çin hükümetleri birbirlerini hacking faaliyetleri
ile kendi bilişim altyapılarından stratejik bilgi çalmakla suçlarken, pek çok uzmana
göre her iki devlet ve diğer devletlerde elektronik savaş kapsamında siber espiyonaj
faaliyetlerine hız vermektedir. 2008 yılı içinde hükümetler tarafından yürütülen siber
espiyonaj faaliyetlerinin arttığı bununla birlikte büyük ölçekli ABD ve Avrupa
orijinli şirketlerinde devlet destekli siber espiyonaj faaliyetlerine önem verdikleri
enstitü çalışmalarına yansımıştır (Hines, 2008).
SANS araştırma müdürü Alan Paller'a göre büyük firmalar diğer firmaların
ellerindeki bilgileri elde edebilmek amacıyla hackerlere büyük maddi kazançlar teklif
etmeye isteklidirler. Uzmanlar geçen sene pek çok şirketin veri tabanlarına zorla
girildiği ve bilgilerinin çalındığına dair bilgiler elde edildiğini ve bu çok önemli
bilgiler sebebiyle şirketlerin kurban pozisyonuna geldiğini ifade etmektedirler.
2009'un başlarında yaklaşık 140 devletin ve 50'den fazla terörist ve aşırı/organize
örgütün, siber espiyonaj kapasitesini ve siber silahlarını geliştirmek için bütçe
ayırdığı, dakikada yaklaşık olarak 6.500 siber saldırının gerçekleştiği ve siber
espiyonaj faaliyetlerinin şirketlere yıllık olarak 1,5 trilyon dolara mal olduğu tahmin
edilmektedir (Coleman, 2008; Hines, 2008).
Yine Paller, şirketlerin kendilerini her sene daha da artan oranda gelişen siber
espiyonaj kurbanı olabilecekleri konusunda hedef olarak düşünmemelerinden dolayı
gerekli güvenlik önlemlerini almadıklarını dile getirmektedir. Hükümet destekli siber
espiyonaj faaliyetleri ile özel sektörde söz sahibi oyuncular, çalınan bilgiler eşliğinde
68
kendilerine büyük avantajlar sağlamaktadır. Genel anlamda siber espiyonaj
faaliyetleri, phishing ve sosyal mühendislik yöntemleri kullanılarak hedef firmanın
personeline yönelik olarak yapılır, hedef kullanıcının bilgisayarı ele geçirildiğinde,
ağ vasıtası ile pek çok bilgiye ulaşılabilmektedir. Ayrıca uzmanlara göre, saldırganlar
tarafından ilk gün zafiyetleri veya Microsoft Office programlarının açabileceği
virüsler vasıtası ile hedef bilgisayarlara girilebilmektedir (Hines, 2008).
SANS Enstitüsü tarafından 2008 için hazırlanan İlk On Siber Tehdit listesinde
siber espiyonaj faaliyetleri, tarayıcı açıklarından faydalanılarak yapılan web sitesi
saldırıları ile etkili ve sofistike botnet saldırılarından sonra üçüncü sırada
bulunmaktadır. Ekonomik espiyonaj ulusların siber veri hırsızlığı yaparak ekonomik
avantaj sağlama faaliyetleri arasında giderek yaygın bir hal almaktadır. Yapılan
saldırılarda kurbana gönderilen bilgilerin, phishing ve sosyal mühendislik yöntemleri
kullanılarak güvenilir bir kaynaktan gelen bilgiler olarak değerlendirilmesi
sağlanmaktadır. Ekonomik siber espiyonaj faaliyetlerini, askeri siber espiyonaj
faaliyetlerinden ayırmak oldukça zordur, çünkü hedef farklı kurumlarken yöntem
aynıdır. Ayrıca, ABD Enerji Bakanlığına bağlı Oak Ridge Ulusal Laboratuarı
2007'nin sonunda, 12.000’den fazla çalışanının phishing sitelerine girmeye veya
zararlı içerik barındıran eklentileri açmaya gönderilen e – maillerle yönlendirildiğini
ve kullanıcıların bilgisayarlarına backdoor programları yerleştirildiğini doğrulamıştır.
Hackerler sadece ilgili laboratuar sistem veri tabanına girmemiş, sisteme bağlı diğer
laboratuar veri tabanlarına da erişim imkanı elde etmişlerdir. ABD’nin Raytheon,
Lockheed Martin, Boeing ve Northrop Grumman en iyi bilinen on güvenlik hizmeti
veren kurumunun da aynı siber espiyonaj faaliyetinin kurbanı olduğu rapor
edilmiştir. FBI tarafından yapılan araştırmalara göre saldırıların merkezi Çin'dir. MI5
olarak bilinen Britanya gizli servisi, şirketleri gönderdiği 1000'den fazla mektupla,
Çin'in başlattığı siber espiyonaj faaliyetleri konusunda uyarmaktadır, Çin hükümeti
ise kendilerinin de hackerler tarafından tehdit edildiğini söyleyerek saldırıların
kendileri tarafından başlatıldığı bilgisini kabul etmemektedir (Coleman, 2008;
Messmer, 2008; Simpson, 2007).
2004 yılında soruşturmacılar, Çin kaynaklı bir siber atağın başlatıldığını, bu
saldırıların siber espiyonaj amaçlı olarak ABD Bilgi Güvenliği Sistem Ajansına,
69
Redstone Askeri Deposuna, Ordu Uzay ve Stratejik Güvenlik Kurumuna ve pek çok
askeri lojistik bilgisayar sistemine yönelik olduğunu rapor etmişlerdir, fakat herhangi
bir gizli belgenin kanunlar ihlal edilerek kopyalandığı yada çalındığı resmi olarak
doğrulanmamışsa da, 1 Kasım 2004 yılında Guandong Bölgesinden, ABD Redstone
Arsenal
Askeri
tesislerine
yönelik
başlatılan
saldırının
amacına
ulaştığı
düşünülmektedir. Birleşik Devletler askeri gizli belge ve bilgilerinin, hava
kuvvetlerine ait bilgilerin ve uçuş planlaması ile ilgili yazılımların çalındığına
inanılmaktadır. Ayrıca bilgilerin kasıtlı olarak çalındığı ve Çin hükümetine
aktarıldığı düşünülmektedir. ABD yetkileri tarafından Titan Rain (Titan Yağmuru)
olarak adlandırılan bu siber saldırı, Çin hükümeti tarafından ABD hükümetine ait
gizli bilgilerin elde edilmesine yönelik başarılı bir girişim olmuştur. Görüldüğü gibi
siber espiyonaj faaliyetlerinde karşımıza önemli bir unsur çıkmaktadır, bunun adı da
devlet destekli siber terördür (Olzak, 2006; Mills, 2008).
Department of Defence (Savunma Bakanlığı – DoD) yetkilileri, ABD’ye karşı
bu tür devlet destekli siber saldırıların, 2001 yılından bu yana artarak devam ettiğini
söylemektedir. Haber kaynaklarına göre ise bugüne kadar ABD’ye ait, Birleşik
Devletler Ordu Bilgi Sistemleri Ajansı (U.S. Army Information Systems Agency),
Bahriye Okyanus Sistemleri Merkezi (Naval Ocean Systems Center), Savunma Bilgi
Sistemleri Ajansı (Defense Information Systems Agency) ve Birleşik Devletler Ordu
Uzay ve Stratejik Güvenlik Kurumu (United States Army Space and Strategic
Defense Installation) saldırılardan etkilenen önemli devlet kurumlarıdır. Saldırıların
Çinli hackerler tarafından yapıldığı düşünülse de, DoD ve güvenlik yetkilileri
saldırıların hala, Çin Hükümeti tarafından koordine edilip edilmediği veya Çin
tarafından desteklenip desteklenmediği, saldırıların bireysel hackerler tarafından
yapılıp yapılmadığı, saldırıların Çin merkezli olup olmadığı ve saldırıların gerçek
merkezi konusunda hem fikir değildir (Wilson, 2005: 15).
Pek çok güvenlik uzmanına göre, hackerler dünyanın herhangi bir yerinden
kullanabildikleri her serverdan faydalanmaktadırlar ve bu sebeple saldırının nereden
yapıldığına dair iz sürme konusunda kanun uygulayıcılar zorlanmaktadırlar. Aynı
uzmanlara göre Çin hükümeti ise bu hackerlerin durdurulması konusunda herhangi
bir uygulama başlatmamıştır, böylece devlet destekli siber espiyonaj faaliyetleri ile
70
suçlular
tarafından
çalınan
finansal
bilgiler
arasında
bir
ilişki
olduğu
düşünülmektedir. Siber espiyonaj faaliyetlerinde son dönemde kişisel bilgilere
ulaşma bağlamında saldırganlar, satış elemanı işiyle uğraşan bireylerin kişisel
bilgisayarlarına ulaşmaya çalışmaktadırlar. Böylece, satış elemanının bilgisayarından
pek çok kişinin, kişisel bilgisine ulaşabilmektedirler (Messmer, 2008).
Devlete ait gizli bilgilerin çalınması amacıyla yapılan hacking saldırıları, ulusal
güvenliğe yönelik bir tehdit olarak algılanmaktadır. Microsoft Windows WMF
programında bulunan bir açık sayesinde programın içine yerleştirilen keylogger
programı mail yoluyla Britanya Parlamentosu kullanıcılarına gönderilmiştir. 2006
yılında yaşanan bu hadise 70'ten fazla bilgisayar kullanıcısını etkilemiş ve hükümet
mesaj filtreleme şirketi MessageLabs Ltd tarafından da doğrulanmıştır. Neyse ki,
gönderilen mail tespit edilerek hedefine bilgi aktarma görevini tamamlayamadan
durdurulmuştur. Pek çok bilgiyi saldırgana sunabilecek bu saldırının merkezi ise
Çin'in Guandong Bölgesidir. Bilindiği gibi global bir köy haline gelmiş dünyada,
ulusal ve uluslararası oyuncuların ekonomik çerçevede ve terör bağlamında kendini
geliştirmeye siber alemde de devam ediyor olması normaldir (Olzak, 2006).
ABD – Çin Ekonomik ve Güvenlik Denetim Komisyonu tarafından yayınlanan
rapora göre Çin, ABD hükümetini ve ticari bilgisayar sistemlerini hedef alarak,
stratejik savaş kapsamında aktif siber espiyonaj faaliyetleri yürütmektedir.
Yayınlanan raporda Çin'in yürüttüğü siber operasyon kapasitesinin oldukça geliştiği,
siber savaş kapsamında ABD'ye yönelik sofistike saldırılar başlattığı ve bu saldırılara
karşı koymanın veya tespit etmenin oldukça zor bir durum olduğu vurgulanmaktadır.
Çin'in, ABD askeri ağı NIPRNet (Non - secure Internet Protocol Router Network)'e
erişim sağladığı, böylece ABD askeri gücünü fiziksel bir çaba sarf etmeden bertaraf
etme yeteneğine kavuştuğu ifade edilmektedir. Raporda ayrıca, ABD tarafından
kullanılan ve Çin'de üretilen pek çok bilgisayar ve bilgisayar parçasına, Çin gizli
servisleri tarafından uzaktan kumada edilebilen zararlı kodlar yüklenebileceği, bu
şekilde Çin'in ABD'ye ait bilgileri zahmetsizce elde edebileceği, yok edebileceği
veya maniple edebileceğinin altı çizilmiştir. Savunma Bakanlığında Çin yapımı
yüzlerce taklit modem bulunmaktadır. Yine raporda, Çin hükümeti tarafından askeri
akademilerde siber operasyonlarda kullanmak üzere sivillerin yetiştirildiği ve
71
tahminen 250 kadar hacker grubunun bizzat bu operasyonlarda aktif şekilde
kullanıldığı, Çin askeri yetkililerinin ABD'nin kendilerine yönelik siber espiyonaj
faaliyetlerinde
gerçekleştirerek
bulunduğuna
ve
yanlış
inandıkları,
bilgilendirme
ilk
siber
yaparak
saldırıyı
izlerini
kendilerinin
gizleyeceklerini
düşündükleri ifade edilmektedir (Mills, 2008).
2007 mali yılı içinde hükümet ajansları, ABD İçişleri Bakanlığına 12.986 siber
saldırının yapıldığını, bu sayının geçen seneye nazaran % 55 arttığını ve son iki yıl
içinde saldırı sayısının üç kat artmış olduğunu belirtmişlerdir. BusinessWeek'e göre,
ABD devlete ait en kritik ağlara yönelmiş saldırıları tespit, izleme ve etkisiz hale
getirme amacıyla, Byzantine Foothold (Bizans Köprüsü) adında gizli bir operasyon
başlatmıştır. George W. Bush tarafından, ABD'nin tüm siber güvenliğini kapsayan,
onlarca milyar dolar bütçeli, 12 temel hedefi olan Siber İnisiyatif (Cyber Initiative)
olarak bilinen bir emir imzalanmıştır. Yayınlanan bu emre göre devlet kurumları
2008 Haziranında pek çok iletişim kanalını, portlarını ve internet bağlantısını
sağlayan ağların tamamını kapatmak zorundadır. Başkan Bush tarafından yayınlanan
bu emir Manhattan Projesi olarak adlandırılmaktadır. Eski İçişleri Bakanlığı Siber
Güvenlik Bölümü Şefi Amit Yoran ise, yeni tehditlerin devlet destekli ve eğitimli
profesyoneller tarafından gerçekleştirildiğini ifade etmektedir. Askeri ve istihbarat
birimlerine göre ABD'nin en büyük siber düşmanı Çin'dir. Pentagon'un Çin Askeri
Gücü Kongre raporuna göre, Amerikan Hükümetinin sahip olduğu bilgisayar
ağlarının da içinde olduğu global manada pek çok ağ, Çin kaynaklı saldırıların
kurbanıdır. BusinessWeek dergisine, Çin hükümetinin Washington Büyükelçisi
Wang Baodong tarafından gönderilen e – mailde, Çin'e karşı olan güçlerin bu
iddiaların arkasında olduğu, ABD tarafından dile getirilen iddiaların gerçeği
yansıtmadığı ve kesin kanıtlara dayanmadığı, Çin hükümetinin hacking dahil tüm
siber suçlara karşı olduğu ve hükümetin bu tür eylemleri yasakladığı, Çin
hükümetinin de artan oranda farklı ülkelerden hackerlerin saldırısına uğradığı
belirtilmiştir (Grow v.d., 2008).
Eylül 2008 içinde resmi olarak adı açıklanmayan Avustralya Gizli İstihbarat
Kurumu (Australian Security Intelligence Organization – ASIO) genel müdürü,
Canberra’da yapılan Hükümet Güvenliği konferansında, bilgisayar ağları ile yapılan
72
casusluk faaliyetlerinin maliyeti yüksek ve sorumluluk riski düşük istihbari bilgi
toplamada artan oranda yaygın bir hale geldiğini ifade etmiştir. ASIO, bu geleneksel
olmayan espiyonaj faaliyetine karşı gelecekte daha duyarlı cevaplar verebilmenin
gerekli olduğunu belirtmektedir. Avustralyalı yetkililer, Rusya ve Çin'in elektronik
savaş kabiliyetini giderek arttırdıkları konusundaki endişelerini dile getirirken, gizli
ve geleneksel istihbarat toplama oyunun keskin bir biçimde sonlanmak üzere
olduğunu da ifade etmektedirler. 2006 ve 2007 yıllarında ABD, İngiltere, Fransa ve
Almanya, Çin ordusu tarafından bilgisayar ağlarına istihbarat toplama amacıyla
yapılan saldırılardan dolayı Çin hükümetini suçlamış, Çin ise iddiaları reddetmiştir.
2007 Eylülünde Pentagon ise, askeri ağ sisteminin mail altyapısına yapılan Çin
kaynaklı olması muhtemel bir saldırıdan ötürü, sistemin acilen kapatılması emri
verildiğini kabul etmektedir (Greenemeier, 2007; Bajkowski, 2008).
Amerika Birleşik Devletleri istihbarata karşı koyma yetkilileri, 140 farklı
yabancı istihbarat biriminin düzenli olarak ABD hükümet ajansları ve ABD şirketleri
bilgisayar sistemlerine hacking saldırıları teşebbüsünde bulunduğunu söylemektedir
(Stanton, 2000). Güvenlik Uzmanları, ABD Federal Birimlerini siber uzayda kötü
niyetli aktörleri sınır tanımaksızın askeri ve sivil hedeflere yönelik saldırılarda
bulundukları konusunda uyarmaktadır. IBM tarafından 2005 Ağustosunda kaleme
alınan bilgisayar güvenliği raporuna göre, 2005 yılının ilk yarısında küresel
bağlamda 237 milyondan fazla güvenlik saldırısı rapor edilmiştir. Bu saldırıların
ağırlık noktası hükümet ajanslarıdır ve 54 milyondan fazla saldırıya maruz
kalmışlardır. Bununla birlikte ikinci sırada 36 milyon saldırıyla üretim yapan
firmalar, tahminen 34 milyon saldırı ile üçüncü sırada finans merkezleri ve 17
milyondan fazla saldırı ile sağlık kurumları dördüncü sırada yer almaktadır. 2005
yılının ilk yarısında meydana gelen bu saldırıların çoğunluğu devlet kurumları ve
endüstri kurumlarına yönelik olarak yapılmış, ABD 12 milyon saldırı ile birinci
sıraya yerleşmiş, Yeni Zelanda 1,2 milyon saldırı ile Amerika'yı takip etmiş, Çin ise
bir milyon saldırı ile üçüncü sırada kalmıştır (IBM, 2005).
Zararlı kod yazılımlarından korunmaya yönelik çalışmalar sürdüren F – Secure
firması, Blacklight adında bir yazılım geliştirilmiştir, bu yazılım sayesinde,
bilgisayar sistemi içinde dosyaların arka planda çalışmasını sağlayan rootkitler tespit
73
edilmektedir. Yazılımın keşfettiği bir rootkitin, Windows ile yazılım arasındaki
irtibatı kopardığı tespit edilmiştir. İşin ilginç tarafı ise, rootkitin F – Secure
firmasının yazılımları içine yüklenmiş olduğudur, firma bu durumu tespit edene
kadar bir kaç ay geçtiğini ve kendi yazılımlarını kullanan kullanıcıların
bilgisayarında rootkit tarafından açılan bir arka kapı sayesinde bilgisayardaki tüm
bilgilerin Çin'e gönderildiğini doğrulamıştır. Firma tarafından yapılan açıklamaya
göre, şüpheliler Çinli olmayabilir fakat iletişim Çin üzerinden gerçekleştirilmiştir. Bu
duruma açıklık getirmek için yapılan bilgilendirmede, banka Trojanları gibi
müşterileri hedef alan zararlı kodların pek çoğunun Rusya ve Doğu Avrupa ile ilişkili
olduğu ifade edilmiştir. Facebook veya LinkedIn gibi sosyal ağların sayısındaki artış,
maalesef saldırganlara şirket ilişkileri konusunda ve şirket çalışanları bağlantısı ile
şirket hakkında espiyonaj faaliyetleri yürütebilmeleri için imkan tanımaktadır. Açık
Kaynak Espiyonajı adı verilen bu bilgi toplama faaliyetinde kamuyla paylaşılan
şifreli olmayan bilgilerden saldırganlarda faydalanmaktadır. MySpace veya Google
gibi arama motorlarına bazı firmaların diğer firmalarla ilgili bilgileri koydukları ve
internet üzerinden paylaşıma sundukları bilinmektedir (Messmer, 2008).
Kıtalararası internet haberleşme sistemi ABD merkezlidir ve internet üzerinden
yapılan her işlem kontrol edilebilir niteliktedir. Uluslararası internet aynı zamanda
NSA (National Security Agency – Ulusal Güvenlik Ajansı)’in haberleşme ağı
Pathway ağ sistemini de içine almaktadır. NSA internet omurga sisteminde dokuz
İnternet Değişim Noktası (Internet Exchange Points – IXPs) ve koklayıcı siteler adı
verilen belirli simge ve ifadelerin geçtiği haberleşmeyi anında takip edip kaydeden
yazılımlar sayesinde bahsettiğimiz istihbarat toplama faaliyetini sürdürür. ABD
hükümeti tarafından kontrol edilen ilk iki IXPs, FIX East ve FIX west olarak
adlandırılmaktadır. Bu iki IXPs ticari bilgilerin izlendiği MAE East ve MAE West'le
birbirine sıkı sıkıya bağlıdır. Diğer üç IXPs ise ABD Ulusal Bilim Vakfı tarafından
geliştirilmiş Network Access Points (NAPs)'lardan oluşur ve internetin omurgasını
teşkil eder (Campbell, 1999).
74
Tablo 24: IXP siteleri ile NSA’ın İnternet İletişim İstihbarat (Comint) Erişimi 32
İnternet Sitesi
Konum
Operatör
Tanımlama
FIX East
College Park, Maryland
ABD Hükümeti
Federal Information Exchange
FIX West
Mountain View, California ABD Hükümeti
Federal Information Exchange
MAE East
Washington, DC
MCI
Metropolitan Area Ethernet
NAP
Pennsauken, New Jersey
Sprintlink
Network Access Point
SWAB
Washington, DC
PSInet/Bell Atlantic
SMDS Washington Area Bypass
Chicago NAP
Chicago, Illinois
Ameritech/Bellcorp
Network Access Point
NAP
San Francisco, California
Pacific Bell
Network Access Point
MAE West
San Jose, California
MCI
Metropolitan Area Ethernet
CIX
Santa Clara California
CIX
Commercial Internet Exchange
New York
San Francisco
İnternet üzerinden yürütülen her kamu veya özel hizmet ağı, hizmet yürüten
kurum veri tabanına bağlıdır. Bilgisayar korsanları ise yazılımlar, donanımlar ve en
önemlisi zekaları ile bu sistemlere sızmaya çalışır. Sızıntının temel hedefi fark
edilmemek ve istenilen bilgiye ulaşmaktır. Henüz ciddi bir rakibi olmayan
Microsoft’un, NSA tarafından desteklendiği ve talimatlandırıldığı, 2000 yılında
Fransa Savunma Bakanlığı’na bağlı Stratejik İşler Kurulu tarafından hazırlanan
raporla ifade edilmiştir. Rapora göre, NSA görevlileri Microsoft yazılımlarının içine
istihbarat toplamak amacı ile backdoor yazılımları eklemekte ve casus yazılımlarla
uluslararası boyutta bilgi toplamaktadır. Buna benzer bir iddia da Almanya Dışişleri
Bakanlığı tarafından dile getirilmiştir. Microsoft yazılımı içinde bulunan casus
yazılımlarla, NSA’ın Alman Genelkurmay Başkanlığı ve Dışişleri Bakanlığına ait
gizli belge ve verileri elde ettiği tespit edilmiştir (Yılmaz, 2007: 432 – 434).
2.1.2.2. ECHELON
İnternet, uydu linkleri ve kablosuz yerel ağlar, şimdilerde daha yeni daha ucuz ve
daha az riskli espiyonaj fırsatları sunmaktadır. ECHELON’un soğuk savaş
döneminde 1971 yılı içinde elektronik izleme sistemi olarak kurulduğu
söylenmektedir. Avrupa Birliği üyelerinden İngiltere, sistemin yönetilmesine yardım
32
Campbell, 1999
75
etmekteyken, Kanada, Avustralya ve Yeni Zelanda iletileri dinleyebilmektedir. Adı
geçen ülkeler İkinci Dünya Savaşından bu yana UKUSA (UK – USA, United
Kingdom, United States of America) istihbarat birliği üyesidirler. İkinci Dünya
Savaşının hemen ardından bu ülkeler arasında SIGINT (Signals Intelligence) olarak
adlandırılan sinyalizasyon istihbarat anlaşması imzalanmıştır. Bu birlik varılan
anlaşmaya dayanarak, dünyanın çeşitli bölgelerini kendi aralarında paylaşarak,
izlemektedir. UKUSA kapsamında, Kanada eski Sovyetler Birliği'nin kuzey
bölümünü izleyip, tüm iletişim trafiğini toplarken ABD, Latin Amerika ülkelerinin
büyük kısmını, Asya ve Rusya'nın güneyi ile Çin'i, İngiltere, Avrupa, Afrika ve
Rusya'nın batı kısmını, Avustralya ise Asya'nın güneyinde Hindiçin olarak bilinen,
Myanmar, Kamboçya, Malezya, Laos, Tayland ve Vietnam ülkeleri ile Endonezya ve
Çin'in güney bölgesini, Yeni Zelanda ise batı Pasifik’in tamamını izlemekte ve tüm
iletişim kanallarında geçen görüşmeleri kaydetmektedir (New Statesman, 1998;
Goodspeed, 2000; Özcan, 2002).
. İkinci Dünya Savaşı yıllarında, kurucu ABD ve İngiltere ile birlikte İngilizce
konuşan diğer üç ülkenin (Avustralya, Yeni Zelanda ve Kanada) ikinci grup olarak
dahil olduğu UKUSA haricinde, en az 30 ülkenin Comint tarzı yapılanması
mevcuttur. Bunlardan en büyüğü Rusya’nın liderliğini yaptığı ve eski KGB, şimdiki
FSB tarafından koordine edilen, FAPSI’nin 33 2000 yılı verilerine göre 54.000
çalışanı vardır. Çin’in de ciddi anlamda yürüttüğü bir SIGINT yapılanması mevcuttur
ve bu sistem ABD ve Rusya ile ortaklaşa yönetilmektedir. İsrail, Hindistan ve
Pakistan gibi pek çok Ortadoğu ve Asya ülkesi de SIGINT sistemi alt yapısı için
yatırımlarda bulunmaktadır (Campbell, 1999).
İletişim istihbaratı (Communication intelligence – Comint) NSA tarafından,
istenilen alan içerisinde yabancı iletişiminden arzulanan istihbari ve teknik bilginin,
yapılan geniş çaplı operasyonlarla elde edilmesi olarak tanımlanmaktadır. Comint,
radar emisyonları gibi iletişim kabul edilmeyen sinyallerinde toplanmasını içeren
SIGINT’in önemli bir parçasıdır. ABD Sigint Sistemi (The United States Sigint
System – USSS); NSA, askeri destek ünitelerinin müştereken oluşturduğu CSS
33
FAPSI, Federal Agency of Governmental Communications and Information (FAGCI) olarak da
adlandırılır.
76
(Merkezi Güvenlik Servisi – Central Security Service), CIA’nın bazı birimleri ile
diğer kurumları bünyesinde barındırmaktadır. Comint operasyonlarının hedefleri
oldukça çeşitlilik arz eder. Comint’in en klasik hedefleri, askeri iletişimler ve ülke
başkentleri ile ulusal yurt dışı görev noktaları arasındaki diplomatik iletişimdir.
Comint açısından, 1960’larda giderek artan oranda gelişen dünya ticareti ile
ekonomik istihbarat ve bilimsel ve teknik bilginin elde edilmesi büyük önem
kazanmıştır. Bununla birlikte, uyuşturucu kaçakçılığı, kara para aklama, terörizm ve
organize suçlarda Comint’in hedefleri arasındadır. Her ne kadar uluslararası iletişim
kanallarının takibinde ki amaç belliyse de, bu kanallardan amaç dışında her türden
bilgininde geçtiğini belirtmek gerekir ki, istihbarat birimleri arasında bu türden
bilgilerin devlet veya siyasi diğer amaçlar için kullanıldığının da altının çizilmesi
gerekmektedir. NSA ve İngiliz akranı GCHQ (Devlet İletişim Genel Merkezi –
Government Communications Headquarters), 1960’lı yılların sonu ile 1970’li yılların
ortalarında, Comint öncelikli bilgilerinin dışında, hükümet tarafından rakip olarak
görülen siyasi kişilerinde bilgilerini toplamıştır (Campbell, 1999).
Dijital iletişimin ve internetin global manada dramatik ve kayda değer bir
şekilde gelişmesiyle, Comint oluşumlarının çok fazla iş yoğunluğu içerisinde yeterli
çalışmayı yapamayacağı düşüncesi tamamen yanlış bir argümandır. 1980’li yıllarda
NSA ve UKUSA’nın diğer ortakları arasında, internetle aynı teknolojiye sahip fakat
internetten çok daha geniş uluslararası bir iletişim ağı bulunmaktaydı. UKUSA’nın
İngiliz ortağı GCHQ’a göre, GCHQ sistemleri birbirine geniş bir yerel bölge ağı
(Local Area Network – LAN) ile Avrupa bölgesinde bağlıdır, bu yerel ağlarla,
İnternet Protokol (IP) ağ protokolü vasıtası ile dünyanın diğer noktalarında bulunan
merkezlere de bağlantı sağlanmaktadır ki, bu da o zamanların en geniş WANs (Wide
Area Networks) iletişimi anlamına gelmektedir. Bu global ağ PATHWAY ve
NSA’nın ana bilgisayar iletişim ağını kapsayan EMBROIDERY projesi ile
geliştirilmiştir (Campbell, 1999).
Alt yapısını UKUSA’nın oluşturduğu ECHELON ise, global bir casusluk
sistemi olarak tarif edilmekte aynı zamanda dünyanın herhangi bir bölgesinde hemen
hemen tüm kablosuz telefon görüşmelerini, e – mailleri ve faks mesajlarını dahi takip
edebilme ve engelleyebilme özelliğine sahiptir (Anderson ve Cohn, 1999; Asser,
77
2000; EPTC, 2001: 11 – 21). Amerika, UKUSA birliğinin lider ülkesi olarak dünya
üzerindeki üs noktalarının personel ihtiyacını, yüksek kapasiteli bilgisayar uzmanları
ile karşılamaktadır. Ana merkezi Maryland – Fort Mead’de bulunan sistem bağlantı
alt yapısı, aynı zamanda ABD Ulusal Güvenlik Ajansı (National Security Agency –
NSA) ile de bağlantılıdır. Bu alt yapı ağ sistemi, dünyanın pek çok noktasında
bulunan yer üsleri ile de bağlantılı iken ana merkez kapasitesine sahip dokuz merkezi
üs noktasıyla koordinasyon halindedir. NSA’ın 2000’li yılların başında sahip olduğu
personel sayısı 38.000 iken, yıllık bütçesi 4 milyar dolar civarlarındadır. Bu bütçe
aynı zamanda o yıllarda FBI ve CIA’nın toplam bütçesinden bile fazladır (Bomford,
1999; Goodspeed, 2000). ABD’li resmi yetkililer ise, ECHELON’un varlığını ya da
yokluğunu açık bir şekilde dile getirmeden, NSA’ın 1978 tarihli Yabancı İstihbarat
İzleme Yasası (Foreign Intelligence Surveillance Act – FISA)’na sıkı sıkıya bağlı
olduğunun altını çizmektedirler. FISA, NSA’ı hem Amerikan vatandaşlarını hem de
denizaşırı ülkelerin vatandaşlarını dinlemekten, yalnızca yabancı bir devletin
espiyonaj veya diğer suçları işleme şüphesi durumları ve terörist aktiviteler hariç,
men etmektedir (Loeb, 1999; ACLU, 2005).
Amerikan Sivil Özgürlükler Birliğine göre ECHELON, veri toplama işlemini
dört temel unsuru kullanarak gerçekleştirmektedir;
Uydular: Şehirlerarasındaki iletişim esnasında çevreye yayılan veriler pek çok
uydu tarafından yakalanır. Daha sonra uydular topladıkları bu verileri yer üslerine
işlenmek üzere iletir. ABD, İngiltere, Avustralya ve Almanya'da bulunan merkez
üslerde bahse konu veriler işlenerek ayrıştırılır ve kullanılabilir bilgi olarak
arşivlenir.
İnternet: Web üzerinde hareket eden anahtar bağlantı noktalarındaki veri
paketlerinden, sniffer (koklayıcı) adı verilen aygıtlar vasıtası ile bilgiler toplanır.
Ayrıca ECHELON tarafından tarayıcı yazılımları ile Web sitelerinde işe yarar veriler
araştırılır ve toplanır.
78
Radyo Antenleri: ABD, Türkiye, İtalya, İngiltere, Yeni Zelanda, Kanada ve
Avustralya ile başta olmak üzere pek çok ülkede dev radyo antenleri vasıtası ile
radyo yayınları izlenmekte hatta engellenmektedir.
Sualtı Kabloları: Kesin olmamakla birlikte ECHELON sistemi dâhilinde,
denizaşırı iletişimi taşıyan ve okyanus altından geçen fiber optik kablolara
yerleştirilen
cihazlarla
araya
girilerek
istenilen
özelliklere
sahip
bilgiler
toplanmaktadır. Elde edilen ve sisteme katılan ülkelerin önceliklerine göre belirlenen
adresler, isimler, kurumlar ve diğer anahtar kelimeler gibi ham bilgiler, incelenerek
bilgisayar sistemleri vasıtası ile işlenir. Etiketlenen bilgiler ise ilgili ülkeye
ayrıştırılarak gönderilir (Loeb, 1999).
Şekil 2: Echelon Elektronik İzleme Sistemi 34
Dinleme İstasyonları
Sabit Uydular
Uydu Yörüngesi
NATO ülkeleri tarafından ECHELON sistemine yapılan katkı dolayısı ile bu
ülkelerde de lokal olarak adı geçen sistemin kullanıldığı, Türkiye’nin de dokuz ayrı
noktasında (Adana, Ağrı, Antalya, Diyarbakır, Edirne, İstanbul, İzmir, Kars ve
Sinop) yer üssü bulunduğu, ayrıca 1998 verilerine göre, ECHELON’un saatte iki
milyon, 24 saat içerisinde ise üç milyar telefon görüşmesini izleyip dinlediği, internet
trafiğinin ise %90’ının kontrol edilebildiği ifade edilmektedir. Buna ilaveten sistem,
34
Harita, http://www.turkish-media.com/harita/dunya.html sitesinden referans alınmıştır, Echelon
Sistemini gösterir diyagram ise http://news.bbc.co.uk/2/hi/europe/820758.stm sitesinden referans
alınarak harita üzerine işlenmiştir.
79
dünya yörüngesinde bulunan Mercury uydusu ile deniz altında yapılan iletişimi de
takip edebilmektedir. 11 Eylül saldırılarından önce ise sistemin içine sızılarak,
sistemin susturulduğu da iddia edilmektedir (Zahn, 1999; Yılmaz, 2007: 453 – 454).
30 Mart 2000 tarihinde, Avrupa Parlamentosuna, tartışmalı casusluk ağı
ECHELON hakkında gensoru önergesi verilmiştir. Verilen gensoru önergesi,
ABD'nin ECHELON elektronik izleme sistemini kullanarak Avrupa hükümetlerinin
ve şirketlerinin ticari sırlarını çaldığı konusunu ihtiva etmekteydi. Avrupa
Parlamentosu Yeşiller Partisi milletvekillerinden bazıları ise ABD'nin ECHELON
sistemini kullanarak milyarlarca telefon görüşmesini, faks ve e – mail mesajlarını
izlediği ve ekonomik avantaj sağladığı iddialarını araştırmak üzere özel bir komite
oluşturulmasını talep etmişlerdir. Avrupa Parlamentosu tarafından yayımlanan rapora
göre ECHELON, endüstri espiyonajı yapma amacıyla geliştirilen bir gizli dinleme
aracıdır. Pek çok Avrupa Parlamentosu milletvekili ise İngiltere'nin ECHELON
bağlantısını tartışma konusu yapmıştır (Blane, 2000). ECHELON hakkındaki
paranoya Avrupa ve dünyanın diğer bölgelerinde öyle bir hal almıştır ki, 21 Ekim
1999’da dünyada internet kullanıcısı pek çok kişi Jam Echelon Day olarak
adlandırılan bir eylem başlatmıştır. Bu eylemde internet kullanıcıları birbirlerine, o
güne mahsus içinde “suikast” ve “bomba” gibi ulusal güvenliğe tehdit olarak
düşünülen kelimeler barındıran milyonlarca mail atarak, NSA’ın süper bilgisayarını
(SuperComputer) kilitlemeyi ve mail trafiğini en yüksek seviyeye çekerek NSA’ın
anlayacağı şekilde sanal bir ulusal tehdit oluşturmayı amaçlamışlardır (Loeb, 1999).
Avrupa Parlamentosu (AP) tarafından oluşturulan komisyon raporunda,
İngiltere'nin ABD'nin Avrupalı ortaklarına yönelik casusluk faaliyetleri yürütmesine
yardımcı olduğu iddia edilmektedir. Her iki ülkede bu iddiaları, raporun
yayınlanmasının ardından yalanlamıştır. Bununla birlikte, Fransa İçişleri Bakanlığı,
ekonomik espiyonaj faaliyetlerinden korunma amacıyla şifrelenmiş iletişim
kullandıklarını, Alman Hristiyan Demokratik Parlamento üyesi Christian von
Boetticher ise casusluk faaliyetlerinden ötürü Avrupa iş çevrelerinin 20 milyar Euro
ekonomik zarara uğradığını, Belçika Dışişleri Bakanı Michel ise, casusluk
iddialarının kabul edilemez olduğunu dile getirmişlerdir. Elektronik espiyonaj
faaliyetleri konusunda yirmi yılını vermiş bağımsız İskoç araştırmacı yazar Duncan
80
Campbell tarafından hazırlanan raporda, Fransız firması Thomson – CSF’nin
Brezilya şirketi SIVAM ile 1,3 milyar dolar değerindeki radar teknolojisi anlaşmasını
Raytheon 35 adlı Amerikan firmasına karşı kaybetmesine sebep olan önemli ticari
bilgilerin ve Avrupa Airbus konsorsiyumunun ABD Boeing firması karşısında
kaybettiği altı milyar dolar değerindeki aircraft anlaşmasının ECHELON tarafından
ele geçirilen bilgiler yüzünden olduğu iddia edilmiştir. Raporda ayrıca Campbell,
Microsoft ve IBM gibi mikroçip üreticisi firmalarında, gizli dinleme yapabilme
amacıyla dizayn edilen teknolojiyi desteklediğini belirtmiştir (Campbell, 1999;
Kleiner ve Jones, 1999; BBC News, 2000; Goodspeed, 2000).
2001 yılında AP tarafından oluşturulan Özel Soruşturma Komitesi, Amerika
Birleşik Devletlerini ECHELON elektronik casusluk ağını kullanarak Avrupa
şirketlerine karşı endüstriyel casusluk yaptığı konusunda suçlamıştır. AP Özel
Komitesi tarafından, ECHELON’un topladığı bilginin Birleşik Devletlere 1994
yılında Suudi Arabistan’a uçak satışı konusunda Avrupa Airbus Konsorsiyumuna
karşı yardımcı olabileceği değerlendirilmektedir (Pemstein, 2000; Meller, 2001).
Fransa ise 1995 yılında, içlerinde Paris CIA şefinin de bulunduğu beş Amerikan
diplomatı ve resmi personelini, ECHELON bağlantılı endüstriyel casusluk
aktiviteleri sebebiyle sınır dışı etmiştir (Marsden, 2000). PROMIS gibi ECHELON’
da ekonomik, siyasal ve suç unsuru olan tüm faaliyetlerde istihbari nitelikte bilgileri
toplamakta ve konularına göre arşivlemektedir. ORATORY adı verilen sözlük
programı ile sözlükte geçen Oliver North, Vince Foster, Malcolm X, Delta Force,
Randy Weaver, Davidian and Whitewater gibi kelimeler ve önemli diğer kelimelerin
zikredildiği her veri taranır ve incelenebilir, bu işlemlerle birlikte verinin çıkış
noktası ile ulaştığı nokta tespit edilerek kayıt altına alınır (Anderson ve Cohn, 1999;
Bomford, 1999; Campbell, 1999; Goodspeed, 2000; Yılmaz, 2007: 454).
Yeni nesil teknolojik gelişmeler, beraberinde yeni imkanlar sunarlarken yeni
sorunlarda ortaya çıkarır. İş çevrelerinin siber espiyonaj kurbanı olmama düşüncesi
çerçevesi içerisinde, yapılan tüm iletişimin kriptografi uzmanları tarafından
şifrelenmesi, istihbarat toplama hevesinde olan her unsurun keyfini kaçırmaktadır.
35
Raytheon şirketi, NSA’ın ECHELON uydu takip istasyonu Sugar Grove’un mühendislik
hizmetlerini sağlamaktadır.
81
Bununla birlikte, daha çok uzman, daha çok zaman ve çalışma ile bu şifreleme
tekniklerinin çözümü için çaba sarf edilmektedir. % 100 istihbarat hiçbir zaman
mevcut bir amaç olmamıştır. İnsan faktörünün her an takip edilen işlemin akışını
değiştirebileceği düşünülerek, elde edilen bilgilerin birleştirilmesi, geçmiş bilgilerin
gözden geçirilmesi ve gelecek için öngörülen eylemlerin eldeki verilerle
karşılaştırılması ile istihbari çalışmalar yapılabilir. Ulusal güvenlik, günümüzde
sadece sınırların güvenliği anlamına gelmediği gibi, yalnızca askeri unsurları da
kapsamamaktadır. Ekonomik güvenlik, sosyal yapının korunması ve proaktif
istihbarat yapılanması ulusal güvenlik unsurları arasındadır.
Ulusal çapta faaliyet gösteren kamu sektörü, gizli veya önemli bilgilerin
saklandığı veya aktarıldığı bilgisayarlara internet erişimini iptal etmiştir, bununla
birlikte kullanılan intranet ağları vasıtası ile kurumlar içi faaliyetler sürdürülür.
Bakanlıklar arasında veri akışının hızlanması kapsamında bir bağlantı kurulması
düşünülmüşse de, güvenlik ihlallerinin önlenememesi göz önüne alınarak bu
düşünceden vazgeçilmiştir. Kurumların kullandıkları mevcut veri alt yapısının
birleştirilmesi, esasında çok fazla masraf gerektirmeyen bir oluşumun ilk adımı
olabilir. Devletin tüm kurumları arasında sağlanacak iletişimin getirilerinin ve
olumsuz etkilerinin iyi hesaplanması ve irdelenmesi gerekir. Güvenlikten tasarruf
edemeyeceğimiz gibi, güvenlik endişeleri nedeniyle daha verimli olabilecek sistem
alt yapılarının kullanılmasını engelleme gibi bir tasarrufun lüks olacağını da
belirtmemiz gerekir. Kurumlar arası ve kurum içi Ar – Ge faaliyetlerinin
desteklenmemesi, güvenliğe ne kadar önem verilirse verilsin, dışa bağımlılığa sebep
olacaktır. Dışa bağımlılık, ekonomik ve teknolojik gelişmelerin önünde bir engel
olacağı gibi, ulusal güvenliği tehdit edebilecek özelliklerde taşır. Ülkemizde
neredeyse tüm devlet ve özel kurumların kullandığı yazılımların, hemen hemen
tamamı aynı yazılımlardır. Bu yazılımlardan birinin içine yerleştirilecek bir siber
istihbarat yazılımı, pek çok bilginin istenmeyen ellere teslim edilmesine neden
olacaktır. Dünyanın en gelişmiş izleme ve takip teknolojisi (ECHELON) bile,
disiplinli bir güvenlik anlayışının kapılarını zorlayamaz. Unutmamak gerekir ki,
verimlilik güvenlikten ödün verilerek sağlanamaz.
82
2.1.2.3. PROMIS
ABD Savunma Bakanlığı, adli soruşturma işlerinin daha aktif ve verimli
sürdürülebilmesi amacıyla Inslaw şirketi ile bir bilgisayar yazılımı yapılması
konusunda anlaşma yapmıştır. 1982 yılında yapılan bu anlaşma sonucu Inslaw şirketi
PROMIS (Prosecutor’s Managemen Information System) adlı yazılımı hayata
geçirmiştir. Bilgisayar üzerinde, istenilen konu ile ilgili tam bir istihbarat toplama
özelliğine sahip bu program, daha sonra kullanma amacı dışında, gizli servisler ve
istihbarat birimleri tarafından; hükümetlerce politik muhalifler hakkında bilgi
toplamak, açık ve zayıf yönlerini tespit etmek, diğer ülkelerdeki uluslararası
şirketlerin faaliyetlerini tespit etmek, ihalelerde avantaj sağlamak, istihbarat işi yapan
kurumlar gibi önemli kurum ve kuruluşların bilgilerine ulaşmak ve son olarak ulusal
veya uluslararası suçluları takip etmek amacıyla kullanılmaya başlanmıştır (Yılmaz,
2007: 439 – 440).
Genel olarak PROMIS yüklü olduğu bilgisayarlarda, yine ABD tarafından
geliştirilen Carnivore ve Total Information Awereness sistemleri gibi istenilen
hedefle ilgili bilgileri toplar, bağlantılarını ortaya koyar, bilgileri istenilen önem
sırasına göre dizer ve kullanıcıya sunar. Sivil, resmi ve askeri her sisteme nüfuz
edebilen bu program her türlü izleme, arama, tarama ve bilgi aktarma işini yaparak
gerçek bir dijital silah olarak kullanılabilir. PROMIS yazılımına yüklenen bir arka
kapı (backdoor) programı, yazılımın kurulduğu sistem üzerinde erişime açık bir geçit
açar. İnternet üzerinden açık portun niteliğini bilen her kullanıcı, yazılımın kendisi
için derlediği bilgileri, ilgili sistem veri tabanı veya bilgisayardan çekebilir (Stanley
ve Steinhardt, 2003: 8 – 12; Yılmaz, 2007: 440).
1991 yılında Inslaw şirketi ve ABD Adalet Bakanlığı arasında cereyan eden
hukuk savaşında yukarıda bahsettiğimiz hadiselerin, hem ABD gizli servislerince,
hem de İsrail gizli servisi MOSSAD tarafından kullanıldığı ortaya çıkmıştır.
Yazılımın geliştirilmesini sağlayan Bill Hamilton, adli mercilere verdiği ifadesinde
ilgili programın Kanada Polis Teşkilatı ve İstihbarat servisleri tarafından da
kullanıldığını belirtmiştir. Yazılım ayrıca içlerinde Ortadoğu ülkelerinin bulunduğu
pek çok ülkeye ve Türkiye’ye de satılmıştır. Genel anlamda siber espiyonaj amaçlı
83
kullanılan bu yazılımın, siber terör, fiziksel terör, uyuşturucu, insan ve silah
kaçakçılığının önlenmesi ve takibi için kullanıldığını belirtmek gerekir. Bilgi
savaşlarının sonu gelmez yarışında istihbarat toplama ve istihbarata karşı koyma
faaliyetleri belki de en öncelikli konudur. Organize suç örgütleri kadar, terör faaliyeti
içinde olan gruplarında, siber dünyayı kendi emelleri doğrultusunda profesyonelce
kullandığı bilinmekte iken, bahsedilen yazılım tarzı programların çok daha gelişmiş
versiyonlarının hukuk devleti olan ülkelerde kullanılması elzemdir (Yılmaz, 2007:
440 – 442).
2.1.3. Siber Savaş
Güvenlik uzmanları siber savaş konseptinin ilerleyen dönemlerde, klasik askeri
eylemlerle birlikte anılacağına inanmaktadır. Özellikle gelecek yıllarda ülkelerin
ekonomik alt yapılarına yönelik düşmanca girişimlerin, bu şekilde sürdürüleceği
düşünülmektedir. Dünya devletleri bilgisayar sistemlerine yapılan ve yapılacak
saldırılara cevap vermede, sistemlerini uzmanlara ve politika yapıcılara dikkatli bir
şekilde takip ettirmektedir. ABD'de özellikle bu tür gelişmeler, siber savaş olarak
adlandırılan savaş için ulusal politikanın bir parçası olarak değerlendirilmektedir.
Rusya ve Gürcistan arasından yaşanan son kısa süreli savaş esnasında ortaya çıkan
siber saldırı anlayışının, gelecek dönemlerde bize bir fikir verme açısından önemi
büyüktür. Fakat siber savaş konsepti çok daha eskilere dayanan bir geçmişe sahiptir.
Uluslararası çatışmalar ülkelerde milliyetçilik akımını güçlendirirken, bu kişiler
tarafından yapılan siber saldırılara devlet ya kendi eliyle destek vermekte ya da
saldırganın gerçekleştirdiği bu illegal eyleme göz yummaktadır. Hindistan
tarafından, İrlanda kaynaklı Doğu Timor web sitesine yönelik düzenlenen bir dizi
saldırı bu kapsamda düşünülmelidir. Bu saldırılar İrlanda üzerinden yayın akışını
sürdüren Doğu Timor web sitesini kapatmaya ve siteyi başka bir servis sağlayıcı
tarafından hizmet almaya zorlamıştır. Çin ve Tayvan siber savaş olgusunun bir
sonraki aşamasını ifade etmektedir. Tayvan başkanı Lee Teng-hui, adaların
özgürlüğünü 1999 yazında desteklediğini dile getirdiğinde Çin, Tayvan hükümetinin
resmi web sitesini bozmak amacıyla bir dizi siber saldırı başlatmıştır. Bu durum
ülkeler arası bir siber savaş olarak düşünülebilir, sonuçta bu saldırılarda tamamıyla
84
devlet teşekkülleri hedef alınmıştır. Lee'nin konuşmasından yaklaşık olarak bir ay
kadar sonra temmuz ayının sonlarında, Tayvan ulusal çapta bir elektrik kesintisine
uğramıştır. Bir hafta sonra pek çok devlet bankasının ATM'si çökmüştür. Tayvan,
tüm bu olanları inkar etmiştir fakat bu inkar bile çok daha ağır sonuçları olan bir
siber savaş yaşandığını göstermektedir (Stanton, 2000).
İleride yaşanacak siber savaş anlayışının kapsamının daha iyi anlaşılabilmesi
için 9 Ağustos 2008’de Rusya’nın, Gürcistan'a karşı başlattığı fiziksel askeri
harekatla birlikte, siber savaş harekatını da aynı anda başlatması güzel bir örnek
olarak verilebilir. Rus savaş uçaklarının başlattığı saldırı ile aynı zaman dilimi içinde,
Rusya'nın DDoS saldırıları ile Gürcistan'a yönelik siber bir saldırı harekatı başlattığı
tutulan loglardan ve ağ trafiğindeki yoğunluktan anlaşılmaktadır. Başlatılan siber
saldırıların hedefi, Gürcistan'ın Gori kentindeki basın ve devlete ait yerel iletişim
sistemleri iken Rus hava kuvvetleri de saldırılarını aynı kente yöneltmiştir. Rus
askeri idarecileri ile hacking gruplarının gerçekleştirdikleri fiziksel ve siber
saldırıların zamanlaması ve seçilen hedeflerdeki benzerliklerden ötürü, saldırıların
bir koordinasyon içinde sürdürüldüğüne inanılmaktadır (Danchev, 2008; GTISC,
2009: 3).
Gürcistan’ın internet trafiğinin büyük bölümü Rusya ve Türkiye üzerinden
geçmektedir. 10 Ağustos 2008’de Türkiye üzerinden geçen internet akımı neredeyse
bloke edilmiş, Rusya üzerinden geçen IP trafiği ise yavaşlatılmış ve etkinlik olarak
kullanılamaz hale getirilmiştir. Gürcistan IP adres trafiğinin büyük bölümü, Rusya
tarafından işletilen Rostelecom tarafından, trafiğin akışına yapılan müdahaleler
neticesi durdurulmuştur. Rusya, Moskova merkezli COMSTAR ağı ile koordine
içinde istediği değişiklikleri yapma imkanına sahiptir. Gürcistan ağlarının en büyük
DNS Server’ını hedef alan DDoS saldırıları, devlet destekli Rostelecom ve
COMSTAR ağları üzerinden gerçekleştirilmiştir. RBN 36 (Russian Business Network
36
Çoğunlukla RBN olarak bilinen Russian Business Network çok yönlü bir siber suç örgütüdür. Daha
çok kişisel bilgi hırsızlığı ve kişisel bilgi pazarlaması konusunda uzmanlaşmıştır. Rus crackerlar
tarafından geliştirilen PHP temelli zararlı yazılım aracının ve bir milyonla elli milyon arasında
bilgisayarı etkilediği düşünülen Storm botnetinin yaratıcısı olduğu iddia edilmektedir. St. Petersburg
merkezli örgütün yasadışı yollarla çocuk pornografisi, phishing, spam ve zararlı yazılımlar geliştirerek
ve yayımlayarak maddi gelir elde ettiği bilinmektedir. Son olarak örgütün kurucusu ve lideri olarak
bilinen Flyman rumuzlu kişinin ise Rus politikacılarla iyi ve güçlü ilişlilerinin olduğu iddia
edilmektedir. 2007 yılında Estonya’ya ve Ağustos 2008’de Gürcistan ve Azerbaycan’a yönelik DoS
85
– Rus İş Ağı)’un eski ortaklarının kontrolünde olan Türkiye ağ sisteminin bir bölümü
üzerinden yapılan saldırılarda, yine aynı yöntem ve taktikler kullanılmış ayrıca aynı
hedeflere yönelik saldırılar gerçekleştirilmiştir. Adı geçen eski ortakların, yerel Saint
Petersburg hükümeti ile bağlantılarının olduğu, dolayısı ile bağlantıların Rus gizli
servisi FSB’ye kadar uzandığına inanılmaktadır (GTISC, 2009: 3).
Gürcistan’a yönelik saldırılarda, basın ve devlete ait web sitelerine yapılan
DDoS ataklarına ilaveten, veri hırsızlığı, sahte Gürcistan web siteleri kurarak bu
siteler üzerinden yanlış bilgilendirme ve propaganda, ağlara yönelik kapsamlı DDoS
saldırıları ve Brute Force 37 saldırıları gerçekleştirilmiştir. Rus istihbaratı, askeri
kaynaklar ve hacking gruplarının ortaklaşa hareket ettiği bu savaş düzeninde fiziksel
saldırılar, ucuz maliyetli siber saldırılarla desteklenmiş, Gürcistan saldırılar
karşısında bir siber savunma sistemine ihtiyaç duymuştur. Bununla birlikte beklide
ülkeler arası savaş durumlarında bu tür siber saldırılara yönelik yasal bir boşluğun
varlığı hissedilmiştir (Danchev, 2008; GTISC, 2009: 3 – 4).
Siber savaş konseptinin, gelecekte Çin ve ABD arasında çök önemli bir rolü
olacaktır. Şimdiki BlueFin Security’nin kurucusu George Heron; “Çin orijinli siber
tehditler oldukça gerçektir ve artarak devam etmektedir.” demektedir. Ülkelerin
ulaşım sistem altyapıları, iletişim sistemleri, enerji alt yapıları, sulama sistem
altyapıları gibi hayati öneme sahip alt yapılar düşman devletler tarafından siber tehdit
anlamında önemli birer hedeftirler. Siber savaş kapsamında ülkeler bu hayati öneme
sahip yapılara ait açıklara yönelik araştırmalar yürütmektedirler, araştırmaların amacı
kendi ülkesindeki alt yapı sistemlerinin zafiyetlerinin giderilmesi ve ileride elde
edilecek bilgilerden faydalanmadır (GTISC, 2009: 4). ABD gibi internet ve IP
temelli
teknolojilere
bağımlı
ülkeler
bu
konularda
yoğun
araştırmalar
gerçekleştirmektedirler. Bu kapsamda 2008 Martında, ABD İç Güvenlik Bakanlığı
(Department of Homeland Security – DHS)’na bağlı Ulusal Siber Güvenlik Birimi
(Denial of Service) atakları gibi siber terör aktiviteleri içinde olduğu düşünülen RBN’nin Rus
istihbarat servisleriyle de bağlantılarının olduğu düşünülmektedir (Wikipedia, 2009).
37
Algoritma tasarımı yaparken akla gelen en basit yol kullanılarak izlenen yöntemdir, mesela sıralı bir
dizi içinde bile arama yaparken brute force yöntemi kullanılırsa aranan değer için bütün elemanlara
teker teker bakılır. Bu yöntemin çalışma zamanı çoğu zaman diğer algoritma tekniklerinden daha
yüksektir fakat kullanılması kaçınılmaz olan yerler de mevcuttur. Kısaca olasılıkların tamamını
deneme yanılma yöntemi ile araştırmaktır.
86
(National Cyber Security Division – NCSD) tarafından, ikinci yıllık Siber Fırtına
(Cyber Storm II) 38 eğitimi gerçekleştirilmiştir. Siber savaşın kaçınılmazlığı
düşüncesi ile gerçekleştirilen bu eğitime dokuz eyalet, beş devlet (Avustralya,
Kanada, Yeni Zelanda, Britanya, ABD), 39 18 federal birim, 10 Bilgi Paylaşım ve
Analiz Merkezi (Information Sharing and Analysis Centers – ISACs) ve 40 özel
şirket katılmıştır. Çalışma kapsamında kimyasal, ulaşım, iletişim ve bilgi
teknolojileri konularına ağırlık verilmiştir. Yapılan eğitimlerden, siber tehditlerin ve
bunlara karşı alınacak önlemlerin tespiti için özel ve kamu sektörünün ortaklığına
ihtiyaç duyulduğu sonucu çıkmıştır (DHS, 2008).
2.1.4. Siber Terörizm
1970’lerde günümüz internetinin hayata geçirildiğinde merkezi bir yapısı vardı,
bunun en temel sebebi ise soğuk savaş sırasında Sovyet Rusya korkusuydu. Yaklaşık
olarak 20 yıl kadar süren araştırmalardan sonra internet özel ve kamu kullanıcılarının
hizmetine sunuldu. Böylece insanlar dünyanın herhangi bir yerinden bağlandıkları
internet vasıtasıyla her türlü bilgiye ulaşma imkânı buldular. İnternete bağlanmak
beraberinde riskler getirmektedir, oluşan güvenlik risklerinin sebebi ise internete
bağlı olan her şeyin herkes tarafından ulaşılabilir olmasıdır. Güvenlik tedbirleri
alınmadıkça da sisteme sızmaların önlenmesi mümkün değildir. Siber terör
saldırılarına detaylı olarak göz attığımızda, saldırıların ciddiyeti kadar saldırılara
karşı önlem almanın da ciddi bir konu olduğunu görebiliriz.
Kolay
erişim
imkânı,
sansürleme 40
gibi
hükümet
kontrolü
içeren
uygulamalardan uzak, neredeyse hiçbir kuralın olmadığı dünya çapında büyük
kitlelere ulaşma imkanı, sesli ve görüntülü, aynı zamanda interaktif iletişim, hızlı
38
Cyber Storm eğitim çalışmalarının ilki 2006 yılında gerçekleştirilmiştir. Bu eğitim çalışmalarına
federal, eyalet ve yerel yönetimlerden 115’in üstünde kuruluş katılmıştır. Çalışma ulaşım, iletişim,
bilgi teknolojileri ve enerji altyapıları konularında yürütülmüştür.
39
Görüldüğü gibi UKUSA ve ECHELON birlikteliği, bilişim teknolojilerinin söz konusu olduğu her
alanda kendini göstermektedir.
40
Ürdünlü yetkililer, Ürdün’de satılan The Economist gazetesinin 40 basılı kopyasında yer alan bir
makaleyi sansürlemiş, gazete aboneleri ise internetten ilgili makaleyi indirerek 1.000 Ürdünlüye
fakslamışlardır. Bu olay, internetin ulusal sınırları by – pass ettiğini gösteren güzel bir örnektir
(Denning, 2001b: 244). Aynı şekilde ülkemizde yargı yolu ile erişime kapatılan YouTube olayı,
insanları farklı siteler üzerinden veya Proxy ayarlarını değiştirerek bu siteye ulaşmaya itmiştir.
Yasaklar internet üzerinde delinmeye mecburdur ve sansür terimi internet insanları için kendi
içlerinde geliştirecekleri bir kontrol mekanizması olma yolundadır.
87
bilgi akışı, ucuz maliyet ve gelişim, görsel veya yazılı yayın takibi yapabilme,
bunları kendi bilgisayarına indirme ve paylaşabilme, son olarak basın yayın
faaliyetlerinin çok daha kapsamlı takip edilebilmesi imkanı, organize örgütler kadar
terörist yapılanmalar içinde dehşet salma, korkutma, plan yapma, propaganda yapma,
adam kazanma, şantaj yapma, eğitim verme ve saldırı gerçekleştirme amacıyla
interneti uygun ve kolay bir araca dönüştürmektedir (Weimann, 2004a).
Siber terörün tanımına geçmeden önce, siber terörle ilgili iki farklı temel görüşe
değinmek gerekir. Bu görüşlerden birincisine göre, siber terörizm gelecekte
karşılaşacağımız en büyük tehdittir ve teknolojik alt yapı sistemlerine bağımlı ülkeler
bu durumdan en fazla etkilenecek olan ülkelerdir. Örneğin kritik alt yapı sistemlerini
internet üzerinden denetleyen ve devam ettiren ülkeler bu kapsamdadır. İkinci temel
görüşe göre ise siber terörizm asla gerçekleşmeyecek bir mittir. Siber terör insanların
kafalarında olması gerektiğini düşündükleri varsayımları ifade eder. Bu durum anti –
virüs yazılımları üreten şirketlerin, mallarının satılması amacıyla virüsleri yazması ve
kendi ürünlerini insanlara pazarlaması varsayımına benzer bir durumdur (Ellsmore,
2002: 8). Gerçekten siber terörle ilgili bildiğimiz konu ise, terör örgütlerinin
teknolojiyi kendi ideolojileri amacıyla kullanmaya günümüzde daha çok önem
verdikleridir. Takipten kurtulmak veya iletişim amacıyla teknolojik gelişmeler terör
örgütleri tarafından kullanılmaktadır. El – Kaide gibi PKK/Kongra – Gel terör örgütü
de, lojistik amaçla, teknik kapasiteleri ile finansal alt yapılarını korumak ve devam
ettirmek için teknolojiyi sonuna kadar sömürmektedirler. Bu bilgiler ışığında
gelecekte kapsamlı bir siber terör dalgasıyla karşılaşabileceğimiz varsayımını ciddiye
almamız gerekmektedir. Pek çok terör örgütü teknik kapasitesini ve örgüt
elemanlarının hacking yeteneklerini geliştirmek için yoğun çaba içerisindedir.
Nihayetinde siber terör olaylarını gerçekleştirecek bir açık bulmak terör örgütleri için
uzun zaman almayacaktır.
Siber terör eylemi sadece insan hayatına veya devlet kurumlarına ve alt
yapılarına yönelik olmak zorunda değildir. Çevre felaketleri ile doğal yaşamın sona
erdirilmesi, doğal yaşamının kirletilmesi sonucu iklim değişikliklerinin yaşanması,
çevrenin kullanılamaz hale gelmesi ile iş sektöründe yaşanan olumsuzluklara neden
olabilecek türden eylemler ideolojik amaçla işlenmişse bunlarında siber terör
88
içerisinde değerlendirilmesi gerekmektedir. İstanbul körfezinin temizlenmesi için
kurulan artıma sistemine sızılması ile kirli atıkların denize boşaltılması bir çevre
felaketine sebep olmakla birlikte, denizcilik ve balıkçılık sektörüne ayrıca doğal
yaşam içinde belli mevsimlerde Marmara’ya göç eden balıkların, kuşların ve diğer
hayvanların göç yönlerinin değişmesine olumsuz yönde etki edecektir ve durum siber
terör kapsamında düşünüldüğünde değerlendirilmesi gereken iddialı bir örnektir. Bu
örneği destekleyen yaşanmış bir hadise 2000 yılının nisan ayında Avustralya’da
cereyan etmiştir. Vitek Boden adında bir bilgisayar korsanı, Maroochy Shire
Council’in atık yönetim kontrol sistemini hackleyerek, milyonlarca litre lağım
suyunu Queensland, Sunshine Coast’ ta bulunan parklara ve koylara boşaltmıştır.
EPA (Environmental Protection Agency – Çevre Koruma Ajansı)’na göre deniz
hayatı yok olmuş, koy çevresindeki sular siyaha dönmüş ve çevreye yayılan koku
bölge insanını tahammül edilemeyecek derecede etkilemiştir (Ellsmore, 2002: 9 –
10).
Siber terörizmin ne olduğu konusunda on kişiye bir soru yöneltseniz
muhtemelen dokuz farklı cevap alırsınız. Eğer sorduğunuz bu on kişi bilgisayar
güvenliği konusunda uzman kişilerden ise, siber terörizme can sıkıcı bir durumdan
çok komik hadiseler olarak bakacaktır. Bununla birlikte devlet güvenliği birimlerinde
çalışan kişilere siber terörizmi sorduğunuzda ise konu birden ciddi bir boyut kazanır.
Siber terör konusunda daha bilimsel yaklaşımlara ihtiyaç duymamızın sebebi ise işte
bu farklı algılamalardan dolayıdır. Siber terör teriminin açıkça kullanılan sabit bir
tanımı bulunmamakla birlikte, terim ilk kez 1980'lerde Barry Collin tarafından
kullanılmıştır. Daha öncede bahsedildiği gibi, 11 Eylül saldırılarında bilgisayar ve
internetin kullanıldığı açık bir şekilde bilinse de, bu teknolojinin eylemde ne kadar
geniş çaplı kullanıldığına dair bir bilgi mevcut değildir. Fakat teröristlerin yolculuk
planları yapmada ve biletlerini almada, Florida, Delray Beach'te bulunan kamuya ait
kütüphanenin bilgisayarlarını kullandığı bilinmektedir. 11 Eylül saldırıları bize bir
şeyi çok net göstermiştir, o da büyük resmi görmemiz gerektiğidir. Terörist
saldırıların gerçek nesneleri hedef alabileceği gibi, sanal hedefleri de hedef
alabileceği açıktır. Terörün tek yönlü düşünülmesi bizleri zafiyete sürükleyecektir.
Terör çok yönlü bir disiplin ile ele alınması gereken ciddi bir konudur (Gordon ve
Ford, 2004: 3 – 9).
89
Siber uzay daimi olarak ciddi ve maliyeti yüksek saldırılara maruz kalmaktadır.
Siber casuslar, hırsızlar, sabotajcılar ve maceracılar bilgisayar sistemlerine girmekte,
kişisel ve ticari bilgileri çalmakta, web sitelerine zarar vermekte, hizmeti aksatmakta,
sistemleri ve verileri sabote etmekte, bilgisayar virüslerini yaymakta, sahte işlemler
yürütmekte, bireylere ve şirketlere zarar vermektedirler. Bu saldırılar, binlercesi
internetteki web sitelerinden elde edilebilir vaziyette olan ve giderek güçlenmekte
olan, kullanımı kolay yazılımlarla düzenlenmektedir (Denning, 2000a). Diğer tüm
suçları terörizmden ayıran temel değer ideolojidir. Siber terörizmin, terörizmin
tanımı gibi pek çok tanımı mevcuttur. Güvenlik uzmanı Denning, siber terörizmi
‘ciddi ekonomik yıkım veya insan hayatının sonlanması gibi büyük zararları kendine
amaç edinen ve bu içgüdü ile siyasi olarak hack saldırıları yapmaya motive olma’
olarak tanımlamıştır (Denning, 2001a). Siber terörizm genel olarak; bilgisayarlara,
ağlara ve bilginin depolandığı yerlere, hükümeti veya siyasi ve sosyal yaşamını
devam ettiren halkı sindirmek, korkutmak veya baskı yapmak amacı ile yapılan
kanunsuz saldırı veya tehdit olarak tanımlanabilir. Siyasi amaçlı bilişim suçları terör
motivasyonu ile işlenmektedir. Terörizmin ana hedefi bir ulusa ait değerlerin
sarsılması ve tahrip edilmesi, elde edilen başarının ise propaganda aracı olarak
kullanılmasıdır.
Yine bireysel ya da toplu olarak icra edilebilen teknoloji destekli terör
hareketleri, siber terör olarak adlandırılmaktadır. Amaç ve saik belli siyasi ve yok
etmeye programlı her elektronik saldırı siber terör olarak adlandırılabilir. Gümüş ve
Atıcı,
ABD’nin
kendi
ticari
firmalarına
internet
üzerinden
ECHELON
teknolojisinden yararlanarak elde ettiği ticari bilgileri aktarmasını ve haksız rekabete
yol açmasını da siber terör kapsamında ele almıştır (Gümüş ve Atıcı, 2003a; Tiryaki,
2005).
Elbette ki ticarete ve ekonomiye yapılan saldırılarda bir terör ideolojisi
mevcutsa bununda siber terör kapsamında değerlendirilmesi pek doğaldır. Bilindiği
üzere devletler mali ve finansal değerleriyle bir bütün olarak vatandaşlarına hizmet
vermektedirler ve eğer bir terör saldırısı ülke ekonomisini de etkileyebiliyorsa, siber
uzayda ya da reel dünyada bunun adı terörist eylemdir. Üretim faaliyetinde bulunan
imalat firmalarını da aynı kapsam dâhilinde düşünmek gerekir.
90
Siber terörü fiziksel terörden ayıran yegâne şey ise bilgisayar ağlarıdır. Siber
terörü, bilgi savaşı veya siber savaştan da ayrı tutmak gerekir. Bilgi savaşlarında
düşman olarak kabul edilen bilgisayar sistemleri hedef alınır. Siber savaş veya bilgi
savaşı dediğimiz ve ulus devlet ajanları tarafından gerçekleştirilen daha önce
bahsettiğimiz espiyonaj faaliyetlerini, siyasi amaçlarla çökertme veya yıkma amacı
güden siber terörist eylemlerinden ayıran temel misyon korku oluşturmaktır. Bilgi
savaşı genel olarak üç kategoriye ayrılır, bunlar:
1 – Kişisel Bilgi Savaşı: Bireylere ait verilere yönelik yapılan bilgisayar temelli
saldırıları ifade eder. Bu saldırılar, tıbbi ve kredi bilgileri gibi gizli kişisel bilgilerin
çökertilmesi, değiştirilmesi veya bireyin bilgilere ulaşmasını engelleyici saldırılar
olabilir.
2 – Kolektif Bilgi Savaşı: Burada ise endüstriyel espiyonaj veya internet
üzerinden diğer katılımcı firmaların yanlış bilgilerle yönlendirilmesi durumu söz
konusudur.
3 – Global Bilgi Savaşı: Global bilgi savaşları, bir ülkenin önemli bilgisayar
sistemlerini hedef alır. Amaç, hedef ülkenin enerji, iletişim ve ulaşım gibi önemli
sistem alt yapılarının kullanılamamasını sağlamaktır (Prichard ve MacDonald, 2004:
279 – 280).
Bir diğer siyasi amaçlı bilgisayar saldırıları ise hacktivizm olarak adlandırılır.
Hacktivizimde, siyasi amaçlı eylem ve hacking eyleminin bir arada olması durumu
söz konusudur. Çok ciddi zarar verme amaçlanmamakla birlikte hacktivizmde,
günlük işleyişin engellenmesi amaçlanmaktadır. Örneğin, bir web sitesine otomatik
olarak yapılan toplu e-mail protestosu ya da zayıf virüs saldırıları hacktivizm olarak
tanımlanmaktadır. Bu nedenle hacktivizm siber terörizmden, siyasi olarak
güdülenmiş hackerların zarar vermedeki amaçlarındaki seviye olarak da farklılık
gösterir. ABD NIPC (US National Infrastructure Protection Center – Ulusal Alt Yapı
Sistemlerini Koruma Merkezi), 11 Eylül saldırılarından sonra Afganistan'a başlatılan
harekattan sonra, ABD'li hackerlerin Pakistan resmi hükümet sitesini hacklediğini
fark etmiştir.
91
NIPC ayrıca ABD'li hackerlerin Afgan News Network, Afgan Politics,
Taleban.com ve Talibanonline.com sitelerini de hacklediğini açıklamıştır. 14 Eylül
2001'de dünyanın bilinen en ünlü hackerlerinden biri olan Fluffi Bunni, İngiltere
menşeli NetNames firmasının DNS serverini kontrolü altına alarak Bin Laden'e
yönelik olarak pek çok siteyi hacklemiş ve internet trafiğini kontrolü altına alarak
geçici süre ile durdurmuştur (Ellsmore, 2002: 5 – 6). Yapılan bu saldırıların siber
terör eylemlerinden çok hacktivizm olarak görülmesi gerekir. Sonuç itibari ile bir
tepki koyma eylemleri olarak düşünülmesi gereken bu tür hareketler yüksek mali
zararlara sebebiyet vermekte ve onarım süresi uzun zaman almaktadır. Hacktivizm,
siber uzayda sivil itaatsizlik eylemleri olarak tanımlanabilir ve dört farklı şekilde icra
edilir, bunlar; a. Sanal protesto ve engelleme, b. Otomatik e – mail bombardımanı, c.
Web sitelerinin hacklenmesi ve bilgisayarlara yetkisiz erişim, d. Bilgisayar virüsleri
ve kurtçuklarıdır (Denning, 2000b; Denning, 2001b: 263).
Siber uzayda yapılan protestolarda eylemciler konuya dikkat çekmeyi
hedeflerler. Engellemelerde ise protesto edilen konuyu temsil eden bir web sitesi
binlerce eylemci tarafından aynı anda ziyaret edilerek gerçekleştirilir. Bu durumda
web sitesi aşırı yükleme sebebiyle normal trafik akışından farklı olarak diğer
kullanıcılara yeterli hizmeti veremez. E – mail bombardımanı ise binlerce e – mailin
aynı zaman aralığında aynı hedefe gönderilmesini ifade eder. Bunun için günümüz
koşullarında aynı fikre sahip binlerce eylemciye ihtiyaç duyulmamaktadır. Aynı
hedefe binlerce maili aynı anda gönderebilen ufak programlar mevcuttur. Web
sitelerinin hacklenmesi, yalnızca script denilen ara yüz yazılımının eylemci
tarafından yeniden hazırlanarak, ilgili siteye yapıştırılması olarak düşünülmemelidir.
Web sitesinin başka web sitelerine yönlendirilmesi ve hizmet akışını yerine
getirememesi de hacking eylemi olarak değerlendirilmelidir. Mail hizmeti veren bir
web sitesinin, Japonya’da bankacılık hizmeti veren yabancı bir firmanın sitesine
yönlendirilmesi, hedef web sitesinin kullanıcılarına yeterli hizmeti verememesine
neden olur. Yetkisiz erişimde ise kişisel bilgisayarlara çeşitli yöntemler uygulanarak
ulaşma durumu anlaşılmalıdır. Bu sebeple kullanılan pek çok yazılım mevcuttur ve
bahsedilen
yazılımların
pek
çoğu
internet
üzerinden
ilgililerin
hizmetine
sunulmaktadır. Bilgisayar virüsleri ve kurtçukları ise tamamıyla zarar verme
92
amacıyla kullanılabileceği gibi web sitelerine veya kişisel bilgisayarlara nüfuz etme
amacıyla da kullanılabilir yazılımlardır (Denning, 2001b: 264 – 280).
Hacktivizm amacıyla gerçekleştirilen pek çok siber saldırı, vatandaşı olduğu
devletin kontrolünde olmayan milliyetçi vatandaşlar tarafından, kendi ülkelerini
koruma maksadıyla gerçekleştirilen hacking eylemidir. Çinli hackerler bahsedilen bu
amaçlarla faaliyet gösteren en aktif kişilerdir. Eylemlerini daha çok Tayvan, Japonya
ve ABD web sitelerinin çökertilmesi şeklinde icra etmektedirler. 1999 yılında
Kosova savaşı sırasında, Belgrat’taki Çin elçiliğinin yanlışlıkla bombalanması ve
2001’de yaşanan casus uçak olayında verilen karşı tepki bu duruma verilebilecek
örneklerdendir. Çinli hackerler ABD’nin, içlerinde İçişleri ve Enerji Bakanlıkları ile
Beyaz Saray’a ait devlet sitelerinin de bulunduğu pek çok siteye saldırılarda
bulunmuştur. ABD’li hackerler da cevap olarak Çin’e ait sitelere saldırılarda
bulunmuştur, bunun yanında Ortadoğu ve Keşmir’deki anlaşmazlıklar ve çatışmalar
sebebiyle Pakistanlı hackerlerin İsrail ve Hindistan web sitelerine saldırması olayı da
aynı kapsamda değerlendirilebilir. Uluslararası çatışmaların yaşanması ile birlikte
hükümetlerin kontrolünün ötesinde faaliyet gösteren hackerlerda, kendi istekleri ile
ülkeleri için bir şeyler yapmaya çalışmaktadır (Denning, 2008; Spencer, 2002).
Siber suç olgusu önemli bir aktivite haline geldiğinden bu yana, saldırının
terörist bir faaliyet mi yoksa çıkar amaçlı bir durum mu olduğunu ayırt etmek
oldukça zor bir hal almıştır. İnsanları korkutmak ve bir şey yapmaya ya da
yapmamaya zorlamak için devlete ait veritabanlarının teröristler tarafından
hacklenmesi veya hastane veritabanını hackleyen bir teröristin hastalara ait bilgileri
değiştirmesi ve hastaların ölmesine veya yanlış tedavi dozajı ile alerjik vakaların
yaşanmasına, ilaç veya yemek zehirlenmelerine neden olması da bir terör saldırısı
anlamına gelir. 2003 yılında internet çökerse, bu iş dünyasında yaklaşık olarak 6,5
milyar dolarlık bir zarar oluşturur şeklinde iddialı bir önerme yapılmıştır.
Anlaşılacağı gibi, aşırı dinci terörist yapılanmaları ve bölücü-yıkıcı terörist
organizasyonlar için, siber terörizm geleceğin yeni düzeni olmuştur. Askeri
tesislerin, elçiliklerin ve kamu kurumlarının fiziksel olarak bombalanmasından
ziyade, teröristler yıkıma neden olabilmek için yeni bir yöntem bulmuşlardır
(Coleman, 2003). 1998 yılında etnik Tamil Gerillaları, Sri Lanka elçiliklerine günlük
93
800 e – mail göndermiştir ve bu eylem iki hafta boyunca sürdürülmüştür. İstihbarat
kaynaklarına göre yapılan bu eylem, bir ülkenin bilgisayar sistemine yönelik bilinen
ilk eylemdir ve saldırganlar mesajlarında “Bizler İnternet Kara Kaplanlarıyız (Black
Tigers) ve bunu iletişiminizi kesmek için yapıyoruz.” şeklinde bir ibare
kullanmışlardır (Denning, 2000a; Özcan, 2003).
İngiltere’de IT/BT (Information Technology/Bilişim Teknolojisi) hizmeti veren
TDM Group adlı şirketin yaptığı araştırma sonuçlarına göre 360 bine yakın ticari
firmanın bilgisayar sistemlerinin, sanal terörist saldırılara karşı savunmasız olduğu
belirtilmektedir (Mengüarslan, 2003). Çin askeri ajanslarına göre muhtemel bir siber
terör saldırısı, Amerikan finans sektörüne büyük bir darbe vurabilir. Fakat Amerikan
finans sektörünün zarar görmesi demek Çin ekonomisinin de zarar görmesi demektir.
Yenidünya düzeninde, ekonomik bağların ülkeler arasında saldırı olasılığını azatlığı
düşünüldüğünde ağır darbelere neden olacak devlet destekli siber saldırıların olma
olasılığının zayıf kaldığını söyleyebiliriz. Global ekonomik yapıyı emperyalizm
düşünce sisteminin bir parçası olarak gören, hükümet dışı organizasyonlar veya
uluslararası aktörler (El-Kaide, PKK/KONGRA GEL, Hizbullah, Hamas), ekonomik
sisteme zarar verecek büyük çaplı siber terör saldırılarının kullanışlı bir yol olduğunu
düşünmektedir (Özcan, 2002; Lewis, 2002).
Siber terör dalgası yine bilgisayar ağlarının gelişmeye başladığı dönemden bu
yana kendini hissettiren bir olgu olmuştur. Siber terörün kategorize edilmesi yine pek
çok yazar tarafından farklı şekillerde ele alınmışsa da, esas itibariyle ikiye ayırarak
bir tanıma ulaşılması daha realist bir düşüncedir. Terör hareketlerinin pek çok çeşidi
mevcut iken siber terörün genel tanımı içerisinde iki hali vardır. Bunlardan birincisi
basit saldırılardır ve bilinen saldırı yöntemleriyle amaca ulaşmak hedeflenir. İkinci
olarak ele alınan saldırılar ise kapsamlı ve kompleks olanlardır, ileri düzey bir
yapılanma ve karmaşık bir koordinasyona sahiptirler. Naval Postgraduate School,
içinde araştırmalarda bulunan CTIW (The Center on Terrorism and Irregular
Warfare) araştırmacılarına göre, kapsamlı ve kompleks bir saldırı hazırlığı iki ile on
yıl arası bir çalışmayı gerektirmektedir (Gümüş ve Atıcı, 2003b; Denning, 2000a).
Günümüzde kapsamlı olarak niteleyebileceğimiz bir siber terör olayı henüz rapor
edilmemiş olsa da, 9/11 saldırılarından hemen sonra gözünü enerji altyapılarına
94
çeviren siber teröristler aktivitelerine hız vermişlerdir. Keza yapılan araştırmalar 9/11
saldırılarından hemen sonra, enerji alt yapılarına yapılan saldırıların eskisine nazaran
iki katına çıktığını göstermektedir (Tiryaki, 2005).
Güney ve Kuzey Kore arasında cereyan eden yeni bir soğuk savaş dalgasında
ise konu tamamen devlet destekli siber terör hareketine dönmüştür. Kuzey Kore,
Güney Koreli askeri stratejistlere göre hacking konusunda uzmanlaşmış elit bir
askeri güç ile Güney Kore’ye ait bilgileri elde etmeye çalışmakta ve hacking
konusunda askeri personeline iyi bir eğitim sağlamaktadır. 41 Seul Kyonggi
Üniversitesi’nden askeri stratejist Nam Joo-Hong, 1994’de ki nükleer krizin hemen
ardından, Pyongyang hükümeti tarafından, pek çoğunun henüz bilinmediği
elektronik bir savaşın başlatıldığını ifade etmektedir (LonghornFreeper, 2004).
Devletler bazında da siber terör hareketlerine karşı savunma gücünü arttırıcı ve
saldırı sonucu kriz yönetimi alt yapı ve hazırlıkları sürmektedir. CIA tarafından,
ülkede olası bir kapsamlı siber saldırı sonucu alınabilecek önlemler ve karşı tepki
tatbikatı yürütülmektedir, fakat ayrıntı o ki tatbikat Amerika’nın beş yıl sonrası için
yapılmaktadır. Saldırı tatbikatının beş yıl sonraki Amerika için tasarlanmış olmasını
ise FBI Direktörü Robert Mueller, henüz hiçbir terör örgütünün ABD'nin kritik bilgi
bankalarına siber saldırı planlayacak yetenek ve motivasyonunun olmamasına
bağlamaktadır (Aksam.com.tr, 2005). Her ne kadar resmi ağızlardan yapılan bu tür
açıklamalar mevcutsa da, aksi yönde yaşanan olayların varlığı konunun hassasiyeti
noktasında, ulusal politikaların oluşturulmasını gerekli kılmaktadır. Örneğin, 2004
yılında meydana gelen iki farklı olayda, ABD Askeri Uzay ve Füze Savunma
Komutanlığı çok gizli bilgisayar sistemlerine virüs bulaştığı bildirmiştir. Fakat ne tür
bir virüsün sisteme nüfuz ettiği ve nasıl bir etki bıraktığı bilinmemektedir. Dahası
güvenlik politikası anlayışı bir yana, sözü geçen sistem bilgisayarlarının basit anti
virüs güvenliğinden bile yoksun olduğu bildirilmiştir (Onley, 2004). Güvenlik
uzmanları bilgisayar sistemleri için ne kadar güvenlik tedbiri alınırsa alınsın,
hackerlerin bilgisayar sistemleri güvenlik önlemlerini bulacakları yeni yöntemlerle
her zaman etkisiz hale getirebilecekleri belirtmektedir (Wait, 2004).
41
Nam Joo-Hong’a göre her yıl Kuzey Kore askeri akademisinden 100 Hacker mezun olmaktadır
95
Güvenlik uzmanları, planlı bir siber saldırının, teröristler tarafından
konvansiyonel bir nükleer, kimyasal ya da biyolojik saldırının etkilerini arttırmak
için kullanılabileceği konusunda aynı görüşü paylaşmaktadır. Bununla birlikte, bu
güvenlik uzmanlarının pek çoğu, gelişmiş ülkelerin kritik altyapılarını kontrol eden
bilgisayarlara karşı yapılacak saldırının muhtemel etkisi konusunda aynı fikirde
değildir. Bazılarına göre Amerika’nın bilgisayar teknolojilerine bağımlı, bu tür
saldırıları geniş çaplı ekonomik zararlar vermeye potansiyel görmekteyken, diğerleri
Amerikan teknolojik alt yapısının çabuk toparlanabilir ve kolay onarılır olmasından
dolayı herhangi bir ciddi veya felaket derecesinde ağır sonuçların oluşmayacağı
görüşünü savunmaktadır (Wilson, 2005: 6).
Bilim adamları organize ve aynı anda başlatılan koordine siber bir saldırının,
bir bilgisayar ağını ne derece etkiyeceğini test etmek için bilimsel bir test
yapmışlardır. Testle kullanılan güç ünitesi hemen hemen devlet sektöründe ve özel
sektörde kullanılan kapasitede bir ünitedir. Sonuç ise oldukça dramatik olmuştur.
Teste katılan hackerlerin saldırı başlatmaların hemen ardından, ünite aşırı ısınmadan
ötürü kendini kapatmıştır. Aynı kapasiteye yakın güç ünitelerinde de siber bir saldırı
ile aynı sonuç alınmıştır. Temmuz 2002’de NWC (Birleşik Devletler Deniz
Muharebesi Koleji – Naval War Collage), Dijital Pearl Harbor adını verdikleri ve
koordine bir siber terör olayını senaryo ettikleri bir savaş oyununa ev sahipliği
yapmıştır. Bu senaryoya göre bilgisayar güvenliği uzmanları kritik bilgisayar
altyapılarına devlet destekli siber savaş kapsamında saldırıda bulunacaktır. Kritik
altyapı dediğimiz sistem finans sektörünün yani Amerika da Fedwire ya da Fednet
olarak bilinen FED (Amerika Merkez Bankası) dijital altyapısıdır. Ayrıca saldırılar
Birleşik Devletler iletişim ağına da hedef almıştır. Sonuçta sisteme öyle büyük bir
zarar verilmiştir ki, sistemi düzeltmek geniş alana yayılmış, zarar durumundan dolayı
mümkün olmamıştır. Kaldı ki Amerikan Merkez Bankasının faaliyetlerinin durması
yada buradaki mali kaynağın başka bir kaynağa aktarılması tüm dünya için kaos
anlamına gelir (Jackson, 2002; Butters, 2003).
Diğer bir örnekte, ABD’ye ait önemli bir elektronik şebeke sistemine yapılan eş
zamanlı hacker saldırısı, yayınlanan bir video ile görüntülenmiştir. Videoda, bir
endüstri tribününün pervanelerinin kendini kapatana kadar kontrol dışı bir şekilde
96
çok hızlı döndüğü ve bağlı olduğu güç kaynağında kısa devre yaparak kapanmasına
sebep olduğu görüntülenmiştir. İç Güvelik Bakanlığı tarafından yayınlanan bu video,
hackerler tarafından yapılan saldırının, kontrol mekanizmasını ne derece etkili bir
şekilde bozacağını göstermektedir (Bridis ve Sulluvian, 2007). Bridis ve Sulluvian’a
göre bu tür yapılara karşı, siber manada ve siber tekniklerle yapılacak saldırıların,
teknik olarak mümkün olduğu ve etkisinin ne denli yıkıcı olduğu bu video ile gözler
önüne serilmektedir.
Bazı araştırmacılara göre El – Kaide siber saldırıları, amacına ulaşmak için
insan ölümlerine sebep olan saldıralar kadar önemli görmektedir (Swartz, 2004).
Kimi araştırmacılara göre ise de siber saldırı veya siber terörizm eylemlerini
planlayan, hazırlayan ve uygulayan terörist gruplar vardır ve bu gruplar hedef olarak
kendisine endüstri yoğun toplumları özellikle Avrupa ve Birleşik Devletleri
seçmektedirler. Ayrıca uluslar arası terörist gruplar bazen de hedef olarak teknoloji
konusunda çok fazla gelişmemiş fakat gelişmekte olan ülkeleri seçmektedir. Aynı
kaynaklara göre El-Kaide organize ve sofistike teknoloji atılımlar içindedir ve 11
Eylül saldırılarında El-Kaide militanlarının interneti yoğun bir şekilde kullandığına
dair deliller mevcuttur. Daha önceki yıllarda El-Kaide gruplarının yepyeni bir
internet tabanlı telefon servisini deniz aşırı diğer terörist hücrelerle iletişim için
kullandığı belirtilmektedir (Kaplan, 2003; Wilson, 2005: 9).
Dünya Ticaret Merkezine yapılan saldırının mimarlarından biri olan Halid Saik
Muhammed’in en az iki uçak eylemcisi ile özel bir internet chat programı ile
haberleştiği bilinmektedir. Dünya Ticaret Merkezinin 1995’de bombalanması
olayının faili ve ömür boyu hapis cezasına çarptırılan Remzi Yusuf, elektrik
mühendisliği eğitimi almıştır. Remzi Yusuf Asya ülkelerinde Birleşik Devletlere
gidecek olan 12 ABD uçağına karmaşık elektronik ayarlı bombalar yerleştirmeyi de
planlamıştır, yakalandığında adli makamların planlarını okumasını engelleyebilmek
içinde kompleks bir şifreleme yöntemi kullanmıştır. 1995 Martında Tokyo metrosuna
sarin gazı ile saldıran, 12 insanın ölmesine ve 6.000’den fazla insanın yaralanmasına
neden olan Aum Shinrikyo Tarikatı’ da, bilgisayar kayıtlarını korumak amacıyla
şifreleme tekniğini kullanmıştır. Kayıtların yapılan incelemesinde, ABD ve
97
Japonya’da toplu ölümlere neden olacak silahların taşınması niyetlerinin olduğu
planlar ele geçirilmiştir (Denning, 2000a).
Zayıf fiziksel güvenlik önlemleri, genel olarak tüm dünya ülkelerinde mevcut
olan durumu anlatmak için uygun bir ifadedir ve bu durum gelecekte terörist
grupların fark edilme riskini ortadan kaldıran siber saldırı operasyonları
gerçekleştirmeleri için cesaret verici bir zemin hazırlamaktadır. 11 Eylül
saldırılarının akabinde dünyada olduğu gibi ülkemizde de, kamuya ait binaların
güvenliği konusunda atılan ciddi adımlardan sonra, siber saldırıların cazibesi daha da
artmıştır. Özellikle siber terör eylemleriyle birleştirilmiş, klasik terör faaliyetlerinin
ne derece etkili olduğu Dünya Ticaret Merkezi binalarına yapılan yeni nesil
saldırılardan sonra daha iyi anlaşılmıştır (Özcan, 2003). Bazı güvenlik uzmanlarına
göre ise terörist gruplar konvansiyonel silahlarla yapacakları saldırıları daha az
fiziksel etki ve toplumsal duyarsızlık gösterileceği düşüncesi ile siber saldırılara
tercih etmektedir. Aynı uzmanlar, siber saldırının gerçek bir fiziksel zarar ve can
kaybına neden olacak düzende olmadıkça, terörist gruplar tarafından bu saldırının
nükleer, biyolojik ya da kimyasal bir saldırı kadar ciddi sonuçlar doğurmayacağını
inancında olacaklarını dile getirmektedirler (Lewis, 2002; Wilson, 2005: 6).
Akademisyenlerin bazılarına göre, kritik kurum ve kuruluşların zafiyetleri ile
bilgisayar ağları arasındaki zafiyetler aynı öneme sahiptir. Yapılacak bir terör
saldırısı hem gerçek hem de sanal dünyada aynı sonuçları doğurabilir. Örneğin
teknolojik gelişmelerdeki gözle görülür ilerleme, ekonomik faaliyetlerin icra
edilmesinde de aynı ilerlemeyi göstermektedir. Bilgisayar ağları ile kritik altyapılar
arasındaki zafiyete uğrama ilişkisi, ulusal güvenliği de etkiler mahiyettedir. Özcan’a
göre, siber terör saldırıları ile klasik terör saldırıları arasında eylemin yayıldığı
çerçeve farklılık arz eder. Klasik terör eylemlerinde hedefler seçilir ve eylem
gerçekleştirilerek maksimum can kaybı hedeflenir. Hedef bir yapı olabileceği gibi
insan hayatı da olabilmektedir. Yani eylemin etki alanı Özcan’ında ifade ettiği gibi
yereldir. Fakat siber terör eylemlerinde hedef, teröristin inisiyatifine göre istendiği
kadar genişletilebilir. Örneğin Amerikan Merkez Bankası (FED) altyapısına
yapılacak bir siber saldırının ardından tüm dünyaya yayılacak ekonomik kaos, pek
çok ulusal ve uluslar arası şirketi etkileyecektir. Yine Özcan’a göre, siber terör
98
eylemleri psikolojik etki alanı itibari ile klasik terör eylemlerinden ayrılır. İnternetin
dünya genelinde ulaşılabilir özelliğinin aksine, siber anlamda yapılacak eylem
yalnızca bu konuda bilgisi olanlar tarafından bilinebilecektir. Fakat klasik terör
eylemlerinde yapılan eylem genellikle siber terör eylemlerinden farklı olarak insan
hayatına yöneliktir ve medya sektörünün global yapısı sebebiyle, etkili bir eylem
büyük uluslararası medya organları tarafından dünyaya servis edilmektedir (Özcan,
2003).
Savaş alanında çeşitli stratejiler yürürlüğe konur. Örneğin yeni yüzyılın
savaşlarında düşman ülkenin stratejik alt yapılarına saldırı düzenleme anlayışı daha
da önemli bir ilk vuruş doktrini olarak benimsenmektedir. Aynı stratejik savaş
teknikleri daha az çaplı olarak tarihte mevcuttur. Buna benzer bir doktrini
benimsemiş terörist örgütlerinde, aynı ideoloji çerçevesinde düşman kabul etkileri
ülkelerin alt yapılarına, stratejik kapsamlı siber saldırı eylemleri gerçekleştirmeleri
mümkündür. Daha öncede bahsedildiği gibi saldırının etkili olması, saldırının
devamlılığına ve hedefin mahiyetine göre değişir. Bununla birlikte siber saldırının,
fiziksel terör eylemi ile de desteklenmesi etkinin artmasına sebep olacak unsurdur.
Askeri bir birliğe veya ulusal emniyet hizmeti gören bir kuruma yapılacak bombalı
bir saldırıyla eş zamanlı düzenlenecek bir siber terör saldırısı ile iletişimin
kapatılması sonucu, görevliler yapmaları gerekenleri yapamayacak duruma düşerler.
İşte bu noktada terör örgütü istediği sonuca maksimum seviyede ulaşmış olur.
Başbakanlık hava araçlarından birine yapılacak sabotaj neticesi düşen hava aracından
kurtulan olsa da, hava aracıyla acil yardım ekiplerinin arasındaki iletişim
kapatılması, terörist için amaçlanan hedefe ulaşmada büyük üstünlük kazandırır.
Terör eyleminin, siber terör eylemiyle birlikte gerçekleştirilmesi işte bu noktada
ölümcül sonuçlara neden olabilecektir (Ellsmore, 2002: 9).
Tüm bu terör eylemlerine etki edecek unsurlara ilaveten, atlanmaması gereken
diğer önemli bir husus ise insan faktörüdür. Ülkenin elektrik alt yapısına etki edecek
devamlı bir siber saldırının akabinde, fiziksel terör eyleminin de gerçekleşmesine
rağmen, toplumda var olan duyarlılık dirayet ve var olan toplumsal psikoloji
saldırının hiçbir manevi amaca ulaşamamasına neden olacaktır. Beklide batı
toplumları ile doğu toplumları arasındaki bu belirleyici fark, terörist eylemlerin
99
ileride kendine seçeceği hedefler konusunda bize bir fikir verebilir. Uzun süreli
devam edecek bir su kesintisinin doğu toplumlarını sokağa dökecek bir hadiseye
dönüşeceği öngörülmemekle birlikte, aynı olayın Avrupa ülkelerinde meydana
gelmesi halinde yaşanacak toplumsal tepkiyi gözümüzün önüne getirelim. Sonuçta
savaş alanında, psikolojik harekâtın öneminin pek çok saldırı silahından bile daha
önemli hale gelebileceğini unutmamak gerekir.
Siber saldırıların her alanda tek avantajı ucuz bir maliyete sahip olmasıdır, genç
bir hackerin dizüstü bilgisayarla yapabilecekleri bilgisayarla boy ölçüşemeyecek
derecede pahalı teknolojilere sahip savaş araçlarının yapabileceklerinden çok daha
büyük bir yıkıma sebep olma noktasında, aradaki farkı göstermede önemli bir
örnektir. Aynı şekilde klasik terör eylemlerinde eylemi gerçekleştiren terörist
hayatını belli ölçülerde tehlikeye atarken, Yüksel caddesinde oturduğu bir kafede,
ısmarladığı kahvesini içen ve çevredekilerin internette sörf yaptığını düşündüğü bir
siber terörist o anda Dışişleri Bakanlığına ait bir siteden istediği bilgileri çekip,
sistemin çökmesine sebebiyet verebilir. Ankara’nın merkezinde bulunan herhangi bir
bakanlığa ait binaya teröristler tarafından konvansiyonel silahlarla saldırmanın
mantıksızlığı yanında, yukarıda bahsedilen örnek dahilinde saldırmanın çekiciliği
vurgulanması gereken bir konudur (Özcan, 2003). Her şeye rağmen günümüzde
endüstri alanındaki teknolojik atılımlar, insan gücüne ihtiyaç duyacak derecede
gelişebilmiştir. Elektrik kesintilerine sebep olan ağaç devrilmeleri yağış ve rüzgâr
gibi doğal etkiler, halen siber terör saldırılarından daha tehditkârdır. Bir siber terörist
hala bir yolcu uçağını uzaktan kumanda ile kaldırıp indirebilme yeteneğine sahip
değildir, bunun en büyük sebebi ise bu teknolojik seviye henüz ulaşılamamasıdır.
ABD’de aylık olarak 15.000 ile 20.000 arasında uçuş ya ertelenmekte ya da iptal
edilmektedir ki bu normal bir durumdur. Siber terör saldırısının hava kontrol
sistemlerini hedef olarak seçmesi ve ertelemelere veya iptallere sebebiyet vermesi ise
abartılacak bir ulusal tehdit fenomeni yaratmayacaktır (Lewis, 2002).
Uçuş ve hava kontrol sistemleri, internet üzerinden yürütülen faaliyetler
değildir ve tamamen yerel ağ bağlantısı sayesinde işlemler yürütülmektedir. Daha
öncede bahsettiğimiz gibi, dışarıdan bir saldırının günümüz koşullarında bu yerel ağ
sistemini tehdit etmesi mümkün değildir, fakat olasılık dâhilindedir. Elbette bu güne
100
kadar bu tür bir vakanın yaşanmaması böyle bir olayın yaşanmayacağı anlamına
gelmemektedir. İngiltere’de yaşanan bir olayda, genç bir hacker, New England’da
lokal telefon servislerini engellemeyi başarmış, bölgesel havaalanı kontrol kulesinin
işlemlerini yerine getirmemesine ve pist ışıklarının yanmamasına sebep olmuştur.
Altı saat süren bu kesintiye rağmen hava alanında hiçbir kaza olayı yaşanmamıştır.
Sonuçta, ulusal güvenliği tehdit eder bir olayın yaşanmış olduğunu söylemek yersiz
olur. Bunun ötesinde, finans ve sanayi sektöründe yaşanabilecek siber suç ve siber
espiyonaj faaliyetlerinin, bu iki sektörün internete olan bağımlılığı nedeniyle
yoğunlaşacağının da unutulmaması gerekir (Lewis, 2002).
Buna benzer bir olayda, 1997 yılında Massachusetts'deki Worcester
Havaalanı'nda yaşanmıştır. Yine genç bir hacker, bilgisayar sistemlerine sızarak
telefon iletişimini engellemiştir. Bunun sonucunda, Federal Havacılık Kurumu
kontrol kulesinin, havaalanı itfaiye birimi, havaalanı güvenliği, hava durumu servisi
ve özel hava yolu taşımacılığı yapan şirketle arasındaki telefon irtibatı altı saat
boyunca kesilmiştir. Bu durum, elbette ki mali açıdan zarara sebebiyet verdiği gibi,
kamu sağlığına ve güvenliğine de bir tehdit oluşturmuştur. Fakat durumun ulusal
güvenliği tehdit eder bir yapısı söz konusu değildir. Konunun, havada bulunan
araçların yere inişini engelleyecek veya hava araçlarını yanlış yönlendirecek bir
saldırı söz konusu olmadığı için, çok ciddi sonuçları olacak bir durum olarak
değerlendirilmemesi gerekir (Denning, 2000a).
2002 yılında internette açılan modemdeki önemli portların bazılarında büyük
bir açık tespit edilmiştir. Bu açığa karşı saldırı olursa Simple Network Management
Protocol (SNMP) dediğimiz protokol devre dışı kalabilir ve bu da internet
modemleriyle iletişim ağının dünya çapında çökmesine sebep olur. Bilgisayar ağı ve
diğer internet gereksinimleri ticaretiyle uğraşan dünya genelindeki firmalar, bu
durumu hackerler tarafından tespit edilip kullanmasınlar diye acilen düzeltmeye
çalışmışlardır. Amerikan hükümeti konuya o kadar hassas davranmıştır ki, sistemin
ve açığın düzeltilebilmesi için gerekli donanımın sağlanması ve temininin
yapılmasına kadar bu bilgiyi gizli tutmaya en yüksek düzeyde çaba sarf etmiştir
(Messmer, 2002). FBI tarafından yazılı olarak yapılan hesaplamaya göre, güvenlik
açığı fark edilip bu açıktan faydalanılsaydı, yaygın telefon ağının çökmesi ve yer ve
101
hava araçları arasındaki bilgi akışını sağlayan uçuş güvenlik sisteminin durması gibi
ciddi sorunlar meydana gelebilirdi. Bu açık oldukça yaygın bir kullanımı olan ASN.1
(Abstract Syntax Notation One)’ın şifre sisteminde bulunmuştur (Gellman, 2002).
Terörün bilinen tüm yöntemlerinden farklı olarak siber terörde, eylem yapacak
bireyin almış olduğu riskler az,
güvenlik kuvvetlerinin eylemi aydınlatmada
izleyeceği yöntemlerin zorluk derecesi yüksek, eylemcinin kimliğinin belirlenmesi
ise neredeyse imkânsızdır. Klasik terör eylemlerinde eylemci, amaç olarak kendine
sesini duyurmak ve propagandayı seçmişken, siber terör olaylarında, eylemci amaç
olarak devletin kurum ve sistemini sekteye uğratmayı, vatandaşın devlete olan inanç
ve güvenini sarsmayı seçer. Her iki terör hareketinde de eylemde sınır yoktur, İkiz
Kulelerin altında kalan 3000 kişinin hayatını yitirmesi ya da nükleer başlık taşıyan
bir füzenin harekete geçirilmesi ile yok olacak milyonların terörist için tek önemi
siyasi söylemin yaratacağı etkidir. Amaç dost ve düşman kuvvetlerine gücünü
göstermek, pazarlık şansını ve eleman kazanımını arttırmak, toplumda ve hedef
devlette korkuya sebep olmaksa, klasik terör ya da siber terör hareketlerinin nasıl
eyleme dönüştürüldüğünün bir önemi yoktur. Özcan’a göre ise, klasik terör
eylemlerinde teröristlerin amacı eylemi gerçekleştirmenin ötesinde, eylemin ne kadar
kişiyi etkileyeceği ve topluma ne derece korku salacağı iken, insanlık adına hiçbir
değer gözetilmez. Siber saldırılarda ise eylemin amacı, teröristin eylemi ile sınırlıdır.
Terörist eylem eğer bir enerji alt yapısına yönelikse, hedefe ulaşmak eylemci için
yeterlidir ve bu durumda toplumda büyük bir infial yaşanmayacağı eylemci tarafında
da bilinmektedir. Bu durumun tek istisnası, insan hayatına yönelik bir eylemin
varlığıdır. Sonuçta enerji alt yapısının beslediği temiz su dağıtım istasyonunun,
yapması gereken işlemi yapamaması ve temiz su yerine, kirli suyun şehir şebekesine
verilmesi durumunda toplu ölümlerin yaşanması, eylemin amaç olmaktan çıkıp araç
olmasına sebep olur (Özcan, 2003).
Siber terörizm de, insanların can güvenliğine doğrudan zarar verebilecek
düzeydedir. Sağlık problemleri nedeni ile hastanede tedavi altında bulunan bir üst
düzey devlet görevlisinin, elektronik ortamda tutulan takip çizelgesinin sisteme
enjekte olarak giren bir terör eylemcisi tarafından değiştirilmesi olası bir eylem
çizgisini ifade edebilir. Her iki terör hareketinde de hedefe ulaşmak için seçilen
102
bireylerin bir yaş eşiği bulunmamaktadır. Terörist eylem, Adana’da 2,5 kiloluk bir
C–4 patlayıcısının cep telefonuyla patlatılması için kullanılan 12 yaşında bir kız
çocuğu (Ntvmsnbc, 2008) ya da okuduğu okulun bilgisayar laboratuarından bir
mantık bombasıyla devlet rejimini tehdit eden ortaokul öğrencisi tarafından
gerçekleştirilebilir.
Amaca ulaşmada her yolun mubah, ahlaki değerlerin ise lüzumsuz olarak
değerlendirildiği bir inanışın, insancıl ya da demokratik bir yol ve yöntem seçmesi
zaten beklenmemektedir. Bilinen bomba türlerine, siber terörde yeni bir bomba
çeşidi daha eklenmiştir, e – bomba. Klasik terör eylemlerinde büyük kayıplar
verdirmek veya propaganda alanında daha iyi bir etki yaratmak amacıyla kullanılan
bombalardan, fiziksel olarak biraz daha farklı bir yapıya sahip bu bombaların, etkileri
ise muazzam derecede etkileyicidir. Alan ve çevre sınırlaması yalnızca teröristin
niyetine göre değişen e – bombalar, kimi analistlere göre Körfez Savaşı’ndan bu
yana kullanılmaktayken, kimileri içinse araştırma aşamasında bir teknolojidir (Kopp,
1996). Fakat bilinen o ki, dizayn edilebilen portatif bir cihazla istenilen hedefte tüm
elektronik sistemleri durduracak bu teknoloji, C–4 ve benzeri patlayıcıların ötesinde
bir yıkıma sebep olabilmektedir. Daha geliştirilmiş e – bombaların ise medeniyetleri
bile 200 yıl geriye götürebileceği ifadeleri, terör amaçlayan her örgütün sahip olmayı
isteyebileceği bir teknolojidir (Harris, 2003).
Terörist organizasyonların amaçlarına hizmet vermek amacıyla kurulu bulunan
internet sitelerinin de, hücre yapılanması ile sistematik eylemler gerçekleştirmeye
hazır potansiyel teröristlere şifreli bilgi ve talimatlar verdiği bilinmektedir
(Weimann, 2004a). İşte bu sebeple, terörist örgütler klasik anlamda eleman
kazanmada, sorunlu bireylerden faydalanıp, fakir, eğitimsiz, psikolojik sorunları olan
insanların duygularını maniple ederken, siber terör eylemlerinde eleman kazanma
anlayışı farklılık kazanmaktadır. Örgütler, siber terör eylemlerinde kullanmak üzere,
üniversite mezunu yetenekli bilişim teknoloji uzmanları aramakta, hatta eylem
yapabilmek için bu yetişmiş insanları sadece o eylem için kiralamaktadırlar.
Teröristin yaş aralığında veya milliyet içeriğinde bir değişim olmamakla birlikte,
teknik anlayış kapasitesinde gözle görülür bir gelişmenin olduğu aşikardır (Özcan,
2003).
103
Özelikle 9/11 saldırılarının ardından, terörist eylemleri gerçekleştiren El –
Kaide üyelerinin aşırı bir İslami sitenin şifre korumalı bir bölümünü kullanarak 2001
yılının Mayıs ayından saldırıların gerçekleşmesinden iki gün önceye kadar ve
ağırlıklı olarak Ağustos ayında birbirleri ile binlerce kez mailleştikleri bilgisine
ulaşılmıştır. Elde edilen bu bilgiler ışığında terörist yapılanmaların bilişim
teknolojileri bağlamında giderek artan oranda tecrübe kazandıklarını söylemek yanlış
olmaz. Saldırılardan hemen sonra Hizbullah bağlantılı Al-Manar televizyonunun
internet sitesinde, 11 Eylül saldırılarının olduğu gün 4000 yahudinin işe gitmediği
şeklinde bir haberin kamuoyu ile paylaşılması ile anti-semist bir eylemin
hazırlıklarının yapıldığı ve yine Hamas’ın Amerika’da kurulu Kutsal Topraklar
Yardım ve Geliştirme Vakfı’nın (Holy Land Foundation for Relief and
Development) web sitesi aracılığı ile maddi destek elde ettiği bilgilerine ulaşılmıştır
(ADL, 2002: 4). Terör örgütlerinin internete yönelmesinin, internetin tüm dünyaya
yayılarak gelişmesi ve artık bir medeniyet haline gelmesinde büyük payı vardır.
Filistin Halk Kurtuluş Cephesi’de 2007 yılı içinde kuruluşunun 40. yıldönümünde
kendisine ait İngilizce yayın yapan bir internet sitesi kurmuştur (ADL, 2008). Diğer
yandan, ABD’nin Irak işgalinin akabinde İsrail ve Amerikan sitelerine yapılan
amatör fakat zararlı saldırılar da mevcuttur (Mengüarslan, 2003).
ABD tarafından 11 Eylül saldırılarının ardından başlatılan Afganistan işgali
sırasında, yapılan operasyonlardan kaçan El – Kaide militanlarına ait önemli
dokümanlara ulaşılmıştır. Bu dokümanlarda Almanca, Türkçe, Kürtçe, İngilizce ve
Rusça olarak yayınlanmış, elektrik ve kimyasal mühendislik, atom fiziği, balistik,
bilgisayar ve radyo yayınları ile ilgili bilgilerin olduğu, yapılan bilimsel teknik
incelemeleri
okuma
fırsatı
olan
araştırmacılar
ve
haberciler
tarafından
doğrulanmıştır. 2002 yılında Bali' de iki gece kulübünün bombalanması olayının
sorumlularından Iman Samudra'nın yazdığı orijinal ismiyle Aku Mekawan Terrorist,
Türkçe karşılığı ile Teröriste Karşı Ben adlı kitapta Samudra, Müslüman gençliğe
ABD'ye ait bilgisayar ağlarına saldırabilmeleri için hacking bilgilerini geliştirme
tavsiyesinde bulunmaktadır. Samudra ayrıca Müslüman gençliği, ABD ve
ittifaklarına saldırılar yapabilmek için gerekli parasal kaynağın sağlanabilmesi için
kredi kartı bilgilerinin ele geçirilmesi ve kartların kaynak sağlama amacıyla
kullanılması konusunda teşvik etmektedir. Bali' de yaşanan olay gibi diğer pek çok
104
ülkede yaşanan terör saldırılarının çalınan bu kredi kartları ile finanse edildiği
düşünülmektedir (Wilson, 2005: 9 – 10).
Hamas eylemcilerinin chat odalarını kullandıkları ve e – mail yoluyla
eylemlerini planladıkları ve koordine ettikleri, bu şekilde İsrailli güvenlik
kuvvetlerinin örgüt içi mesajları ve içeriğini takip etmede zorlanmasının amaçlandığı
ifade edilmektedir. Aynı şekilde The Revolutionary Armed Forces of Colombia
(FARC), basınla olan irtibatını e - maillerle sağlamaktadır. Perulu terörist grup
Tupac Amaru, 17 Aralık 1996'da başkent Lima'daki Japon Büyükelçiliğine bir eylem
düzenleyerek 400 diplomatik ve askeri görevliyi rehin almıştır. Bu olayın akabinde
Kanada ve ABD'de ki örgüt sempatizanları, web siteleri üzerinden eyleme destek
vermiş, hatta bir web sitesinde binanın detaylı çizimleri ve saldırının planlaması
yayınlanmıştır. Terör örgütlerinin yaptığı eylemle, kendini yenileme, sesini duyurma
ve mensuplarına ulaşma noktasında kullandıkları basın yayın organlarının yerelliğini
ortadan kaldıran internetin, geçmişte olduğu gibi günümüzde de kitlelere ulaşma
konusunda önemli bir konumu vardır (Denning, 2000a; Denning, 2001b: 259).
İsrail, Herzliya’ da faaliyet gösteren PRISM (İslami Hareketleri Araştırma
Projesi – Project for the Research of Islamist Movements) yöneticisi Reuven Paz’a
göre web sitelerinde yaşanan bu artış, sanal bir İslam ülkesi yaratma girişimine
benzemektedir. Paris CNRS, Jean Nicod Enstütisü’nden araştırmacı Scott Atran,
teröristlerin grup dinamikleri üzerine araştırmalar yapan biri olarak, Madrid, Londra
ve Bali’ deki terörist saldırıları gerçekleştirenlerin otonom gruplar olduğunu ve
“Kalabalıkları vur ve kaç.” taktiğiyle hareket ettiklerini, bununla birlikte internetle
beraber bu tür otonom gruplarda bir artış yaşandığını ve artışa devam edeceğini, son
olarak internet olmasaydı cihat motivasyonu ile hareket eden global bağımsız
otonom grupların sayısında bu derece büyük bir artışın yaşanmayacağını dile
getirmiştir. Atran “Sanırım, internet yüzünden otonom gruplardan bağımsız saldırılar
konusunda çok daha fazlasını beklemeliyiz.” şeklinde bir ifade kullanmıştır. 11 Mart
2004’de Madrid’de gerçekleşen tren bombalama olayları bu konuda güzel bir
örnektir. Saldırganlardan birinin bilgisayarından elde edilen, sistematik olarak aynı
siteden indirilen ve katliamdan birkaç ay önce nette dolaşan “Irak Cihadı: Umutlar ve
Tehlikeler.” başlıklı doküman, bizim için Atran’ın bahsettiği konuda anlamlı bir delil
105
sunmaktadır. Doküman içeriğinde, İspanya askeri birliklerinin Irak’tan çekilmesi
için, saldırıda bulunma çağrısı yapılmaktadır (Ariza, 2005).
Hem İsrail hem de Amerikalı uzmanlar, İslami Cihat anlayışında, Allah için
şehit düşmeyi anlayamamaktadırlar. Fakat her iki ülkede, cihadın aslında farklı
anlamlar taşıyan bir terim olduğunun farkındadır. Terörist organizasyonlarının
internet üzerinde yayınladıkları mesajları değiştirerek veya yanlış bilgilendirme
siteleri kurarak cihat amacıyla hareket eden terörist organizasyonların başarısız
kılınacağına inanan bu iki ülkenin, forum sitelerine sızan güvenlik görevlilerinin
terörist ideolojiyi yenebileceklerine olan inancı, henüz cihat anlayışını batı
toplumunun
tam
olarak
anlayamadığı
şeklinde
değerlendirmemiz
gerekir.
Mücahitlerin gerçek dünyada savaşçı yapılarından, topluma yardım eden bir gruba
dönüştüğüne inanan batı düşünce sistemi, fiziksel alanda yapılan ciddi işlerle, aynı
başarının siber uzayda da yakalanacağına inanmaktadırlar (Ariza, 2005).
1998 yılında Hizbullah'ın üç web sitesi bulunmaktaydı. Bunlardan biri merkezi
basın bürosu olarak (www.hizbollah.org), bir diğeri İsrail hedeflerine düzenlenen
saldırıların anlatılmasında (www.moqawama.org) ve sonuncusu bilgi ve haber
amaçlı (www.almanar.com.lb) olarak kullanılmaktaydı. Yerel ve ufak çaplı terör
örgütlerinden, uluslararası faaliyet gösterenlere kadar terör örgütleri interneti, pek
çok ülkede insanları yanlış bilgilendirmek ve eylemlerini haklı göstermek için
kullanmaktadır. Terörist söylemlerin, ifade özgürlüğü olarak düşünüldüğü ülkelerde,
mantar gibi çoğalan bu web sitelerine yönelik yapılabilecek çok fazla şey
bulunmamaktadır. Ülkemizde tüm faaliyetleri yasaklanmış olan ve AB tarafından
terörist örgüt olarak kabul edilen PKK/Kongra - GEL, günümüzde pek çok AB ülkesi
üzerinden yayın yapan web sitesinden sempatizanlarına ulaşabilmekte, eylemlerini
duyurabilmekte, uluslararası alanda destek arayışı içine girmekte, farklı ülkelerdeki
insanlara kendilerini özgürlük savaşçısı olarak gösterip sempati toplayabilmektedir.
Demokrasinin bile terör konusunda sınırlarının olması gerektiği noktasından
hareketle, internet üzerinden girişilen tüm terörist aktivitenin durdurulması için, ifade
özgürlüğünün sınırsız olduğu ülkelerde dahi yasal anlamda harekete geçilmesi
gerekmektedir (Denning, 2000a).
106
Siber terörizm nedeniyle meydana gelebilecek, su sistemlerinin durdurulması,
doğal gaz akımının aksatılması, hava, deniz ve yer ulaşımının kesilmesi gibi bilim
kurgu olmayan ve olması muhtemel senaryolar karşısında, gerçekleşmiş bir takım
terör kaynaklı olmayan hususlara da değinmek gerekir (Collin, 2004). Bilindiği gibi
doğal afetler nedeniylede bu tür aksaklıklar ve ulusal buhranlar yaşanmıştır. Kaldı ki
bu tür hadiseler gelecekte de yaşacaktır ve terör saldırıları gibi ne zaman olacağı
kestirilemeyen bir özelliği ortak olarak paylaşmaktadırlar. Bunun yanında siber
saldırılar konuya uzman kişilerin müdahale etmesiyle çok daha kısa sürede çok daha
az hasarla son verdirilebilirken, doğal afetlerin tahrip gücü tahmin edilememektedir.
Siber teröristlerin başarılı olabilmesi (stratejik hedeflere) çoklu eş zamanlı ve uzun
süreli sonuçları olacak ve toplumda bir terör yaratma özeliği taşıyan yada devlet
güvenliğine güçlü bir darbe vurabilecek marjinal siber terör saldırılarına bağlıdır.
Yapılamaz olmamakla birlikte gerçekleştirilmesi zor bir konudur. Fakat gerçek bir
terör saldırısının siber terörle desteklenmesi çok daha mümkün ve ağır sonuçları
olacak bir hadisedir. En güzel örneği ise 9/11 saldırılarıdır. Siber âlemin iletişim
aracı olarak kullanılması, teknolojinin saldırı için öğrenilmesi, inanmış ve
adamışlığın terörle harmanlanması, bize bu güne kadar rastlanan en trajik terör
eylemini resmetmiştir.
Günümüzde internet kullanıcılarının sayısı bir milyarı geçmiş durumdadır ve
kullanıcıların pek çoğunun birbirleri ile bağlantısı yoktur. 9/11 saldırılarının ardından
terörist aktivite içinde olan web sitelerinde muazzam bir artış yaşanmıştır. O zamana
kadar sayıları üç dört haneli rakamlarla ifade edilen sitelerin günümüzde, beş haneli
rakamlarla ifade edildiğini söyleyebiliriz. Bu web sitelerinin pek çoğu militan
propaganda faaliyeti yürütmekte ve eleman kazanma yöntemlerini sempatizanlarına
iletmektedir. Bu gün yazılı ve görsel meydanın yapabileceği etkiden çok daha fazlası
internet üzerinden yapılmaktadır. İnternet ve gelişmiş iletişim araçları, insanların
günümüzde hükümetler tarafından yapılan politikaları etkileyebilmesine olanak
tanımaktadır. Global anlamda hükümet karşıtı grupların kurduğu koalisyonlar
varlıklarını belki de teknolojinin bu gelişmişliğine borçludurlar. PKK/Kongra – GEL
terör örgütünün ulusal veya yerel sivil ayaklanma ve baş kaldırma anlamına gelen
“serhildan” çağrısı sempatizanlarına online olarak iletilmektedir. Bunun en güzel
örneklerinden biride PKK/Kongra – GEL terör örgütü lideri Abdullah ÖCALAN’ın
107
Kenya’da yakalanıp yurda getirilmesiyle yaşanmıştır. İnternetin örgüt için ne derece
önemli bir haberleşme sistemi olduğu bu olayla bir kez daha gözler önüne serilmiştir.
Öcalan’ın yakalandığı haberinin ajanslara yansımasının ardından, protesto amacıyla
gösteri düzenlenmesi için örgütün üst düzey sorumluları tarafından yapılan çağrılar
birkaç saat içinde cevap bulmuştur. Yapılan çağrıların, internet ve web üzerinden
PKK/Kongra – GEL terör örgütü sempatizanlarına ulaştırıldığı bilinmektedir.
Günümüzde hemen her yerden ulaşılabilen internet, örgüt sempatizanlarının eylem
planlaması yapmasından haberleşmeye, eleman kazanmaktan, propaganda yapmaya
kadar tüm aktiviteler için kullanılmaktadır (Denning, 2001b: 256 – 257).
Web üzerinde gösterilen faaliyetlerdeki bu artışlara önlem almak amacıyla
çeşitli girişimler başlatılmıştır. Örneğin, ABD vatandaşı Hsinchun Chen tarafından
dizayn edilen DarkWeb, web üzerinde faaliyet gösteren terör örgütü elemanlarının
isimlerini toplamaktadır. Bu veri tabanı pek çok dilden işlem yürütmekte ve 20.000
üye ile yarım milyon mesaj barındırabilme özelliğine sahiptir. DarkWeb’ten önce
Chen, ilk projesine 1997 yılında başlamıştır. Proje yine bir web sitesinde suç ve
terörizm gibi ana etkenlerin sosyal yaşamı nasıl etkilediğine yönelik izleme amacıyla
oluşturulmuştur. Chen, Tucson Arizona Polis Departmanına ve Ulusal Bilim
Kurumunun Coplink adı verilen intranet sisteminin geliştirilmesine yardımcı
olmuştur. Bu sistem, kanun uygulayıcıların dosyaları paylaşmasında ve güçlü bir veri
tabanı oluşturmasında çok etkili olmuştur. Örneğin, Washington D.C.’de 2002’nin
sonlarında yaşanan Beltway Sniper olayı Coplink sayesinde çözülmüştür. Bu ve buna
benzer başarıların ardından Ulusal Bilim Kurulu (National Science Foundation –
NSF), Chen’e terörizmle savaşta yardımcı olacak Coplink tarzı bir sistemi yapıp
yapamayacağı konusunda görüş sormuştur. İşte DarkWeb fikri bu şekilde başlamış
ve birkaç aksama dışında büyük başarı yakalamıştır. Chen, DarkWeb’in Irak
savaşından önce yürürlüğe konabilmesi halinde, El-Kaide ve Saddam Hüseyin
arasındaki olası iletişimin gerçek mi yoksa hayal ürünümü olduğunu ispatlama
imkanı için güzel bir fırsat yakalayabileceklerini ifade etmiştir (Kotler, 2007).
Chen çevrimdışı ve şifrelenmiş iletişim yöntemini kullanan bu tür gizli örgüt
faaliyetlerinin takibinin NSA’ın görevi olduğu söylemlerine katılmamaktadır.
DarkWeb dizaynının esas amacı cihat propagandası yapanları yakından takip
108
etmektir. Eleştirilere rağmen, DarkWeb güzel sonuçlar ortaya çıkarmıştır.
Patlayıcıların yerlerinin tespitinden, elle yapılan patlayıcıların nasıl yapıldığına dair
eğitimlere kadar pek çok bilgiye ulaşma imkanı sağlanmıştır. Bu bilgiler ışığında
sivillerin ve askeri tesislerin güvenliği konusunda tedbirler yürürlüğe konmuştur.
Günümüzde toplumsal olarak siber suçların önemli bir konu haline gelmesi,
saldırının herhangi bir hacker tarafından mı, yoksa bir terörist yada terörist bir
organizasyona çalışan bir hacker tarafından mı gerçekleştiği konusunun ayırt
edilebilmesinde yaşanan zorlukla başlamıştır. Siber suçların geçmişten günümüze kat
ettiği mesafeyi düşündüğümüzde güvenlik ve savunma ağırlıklı düzenin kendisini
hissettirmede ne kadar etkili bir hal aldığını görmekteyiz. DarkWeb tarzı savunma
mekanizmaları, yerel güvenlik güçlerinin terörizmle savaşta internet ortamında
yardımcısı olmaktadır. Uluslararası resmi ya da gayri resmi kuruluşlarda, web
üzerinden gerçekleştirilebilecek saldırılara karşı güvenlik önlemlerini arttırmaktadır.
Çin’e ait savaş uçağı ile ABD’ye ait keşif uçağı arasında 2001 yılında pasifik
bölgesi üzerinde yaşanan it dalaşı sonucu iki ülke arasında oluşan diplomatik ve
siyasi münakaşa nedeniyle, her iki ülke hackerleri arasında bir siber savaş
başlamıştır. ABD Dartmouth College Güvenlik ve Teknolojik Çalışmalar Enstitüsü
(US Institute for Security and Technology Studies at Dartmouth College) tarafından
hazırlanan rapora göre 2001 yılında Beyaz Saray, ABD Hava Kuvvetleri ve Enerji
Bakanlığı’nın da içlerinde olduğu 1200’den fazla sitenin DDoS saldırılarının konusu
olduğu ve Çin’e ait imajların bu sitelerin ara yüzlerine konduğu ifade edilmektedir.
Bahsedilen saldırıların uzun soluklu olması ve Çin Hükümeti tarafından saldırılarda
bulunan, Çin Honker Birliği (Honker Union of China) ve Çin Kızıl Misafir Ağ
Güvenlik Teknoloji İttifakı (The Chinese Red Guest Network Security Technology
Alliance) gibi hacker gruplarına yönelik yasal bir uygulama başlatılmaması, bu
örgütlere yönelik hükümetin direkt desteğini göstermese de, en azıdan Çin hükümeti
tarafından bu tür saldırılara tolerans gösterildiği imajını doğurmaktadır. Belirtmek
gerekir ki, aynı siber savaş kapsamında ABD’ye ait PoizonBox adındaki hacker
grubu da, Çin’e ait yüzden fazla siteyi tahrif etmiştir.
Siber savaş örnekleri yalnızca Çin ve ABD arasında yaşanmamaktadır.
Örneğin, Ekim 2000’de üç İsrail askerinin kaçırılması olayının ardından İsrailli
109
hackerler, Filistin Yönetimine ait sitelere DDoS saldırılarında bulunmuş, akabinde
Filistinli hackerler da İsrail Parlamentosu Knesset’e, İsrail Savunma Güçlerine,
Dışişleri Bakanlığına, İsrail Bankasına ve Tel Aviv Borsasına ait sitelere yönelik
saldırılar başlatmışlardır. Her ne kadar uzmanlar tarafından siber terör eylemlerinin,
insan ölümlerine sebebiyet verme gibi ciddi zararlar yaratması veya kamuoyunu
hedef alan korku yaratma amaçlı tehditler içermesi gerektiği ifade edilse de,
meydana gelen bu tür olayların, siyasi amaç taşıyan saldırılar olarak düşünülmesi
gerekir ve siyasi motivasyon taşıyan bu olaylar bir çeşit siber terör eylemidir
(Prichard ve MacDonald, 2004: 281 – 282; ZDNet UK, 2004).
Buraya kadar olan bölüm içinde teröristlerin siber medeniyeti; 1. Haberleşme 2.
Terörist manifestoda var olan rejime yani devletin kendisine ve ekonomik gücüne
saldırı ve 3. Teröristin bilmesi gereken her türlü bilgiyi ve desteği elde edebilmesi 4Propaganda amaçlı kullanma eğiliminde olduğunu görmekteyiz. Fakat bu güne kadar
herhangi bir kritik alt yapının siber teröristler tarafından engellendiği veya
çökertildiğine dair bir delile ulaşılamamıştır. Sıkılmış bir üniversite öğrencisinin
veya daha ufak yaşta macera meraklısı bir bilgisayar hackerı tarafından yapılan
saldırılar, terörist eylem arayışı içinde olan örgütlerin siber saldırılarından çok daha
fazladır. Siber teröristlerin günümüzde gerçekleştirdiği en önemli saldırılar şimdilik
espiyonaj faaliyetleridir. Devlet bilgisayarlarına sızarak ele geçirdikleri bilgileri,
şantaj veya nüfuz amaçlı kullanabilme yeteneklerine sahip teröristlerin, topladıkları
bilgiler ulusal güvenlik için çok daha büyük bir tehdittir. Fikir ve sanat eserleri
kapsamında değerlendirilen yazılımların veya kitap ve MP3 gibi pazar piyasası olan
eserlerin, yayın haklarının ihlal edilerek çoğaltılması da ülke ekonomisine büyük
zararlar vermektedir. Terör kapsamında değerlendirilmeyen bu konunun, terör
örgütleri tarafından organize edildiğini varsayarsak, ne derece ciddi bir durumla karşı
karşıya kaldığımızı düşünmemiz gerekir. DHKP/C veya PKK/Kongra – Gel terör
örgütleri gibi yapılanmaların, ekonomik bütçe arayışı içinde kendi içinde bu yönde
bir çalışma başlatmadıklarını ya da başlatmayacaklarını göz ardı etmeden
irdelememiz yerinde olacaktır. İnternet yeni girişimlere açık bir yapı gibi görünse de,
terör anlayışı eski bir geleneğe sahiptir.
110
Siber terör ve siber savaş kavramları amacı dışında pek çok olay için gereksiz
bir şekilde kullanılmaktadır, siber espiyonaj ve siber suç olgusunun çok daha yaygın
olduğunu da belirtmek gerekir. Altını çizmemiz gereken bir diğer konu ise, siber
saldırıların ve siber terör eylemlerinin; insan yaşamını etkileyen günlük işleyişin,
sanayi sektörünün ve kamusal işlemlerin, internet üzerinden yapılan işlem hacmine
dayalı bir yapıya yerini bırakmasıyla önem kazanacağıdır. İnternet, bu üç alanda ne
kadar yoğun olarak kullanılırsa, siber saldırılara ve siber terör eylemlerine maruz
kalma olasılığı da o kadar artacaktır. Her üç alanda da bilgisayar teknolojilerine
yönelik eğilimin giderek arttığı düşünüldüğünde, ülkelerin ulusal güvenlik konsepti
içinde siber saldırılara yönelik gerekli önlem tedbirlerini, yapılan planlı politikalarla
birlikte alması aşikârdır. Teröristler saldırılarını gelecekte, sırtlarında taşıdıkları
bomba paketleri yerine, hazırladıkları veri paketleri ile temel hizmet ağlarına veya
bilgisayar ağlarını kontrol eden sistem bağlantılarına gerçekleştireceklerdir.
2.1.5. Organize Siber Suç Örgütleri, Siber Teröristler ve Hackerler Arasındaki
İlişki
Uluslararası suç örgütleri ile terör hareketlerinin birleşmesi büyük bir yıkıma ve
bozulmaya sebep olmaktadır. Organize suç örgütleri gibi terör örgütleri de, genç
nüfus içinde iş bulma konusunda ekonomik bir alternatif olarak görülmektedir.
Elbette suç örgütleri içerisinde yaşamak zorunda kalmak bir şans olarak görülmese
bile, her iki örgüt yapılanması da gençlere sosyal statü kazandırma yönünde bir
seçenek sunmaktadır. Bireysel ihtiyaçlar, global ekonomik düzen, aile yapısı ve
medya, suça meyilli veya kötü tecrübeler yaşamış gençlerimizi bu türden örgütlerin
önüne yem olarak sunmaktadır (Sen, 1997: 150 – 153). Örgütlerse eleman kazanma
noktasında bu sebeplerden ötürü sıkıntı yaşamamaktadır. Siyasi ve ekonomik
şartlardan dolayı, uluslararası suç örgütleri ile terör örgütleri birbirinden ayrı birer
fenomen olarak görünse de aynı amaçlara ulaşma konusunda birleşmektedir.
Günümüzde teröristler ve uluslararası suçlular eylemlerini gerçekleştirebilmek için
aynı stratejileri kullanmakta ve planlama yaparken de, hayata geçirirken de, bilişim
teknolojilerini
kullanmaktadır.
Uluslararası
hareket
kabiliyeti
ve
bilişim
teknolojilerinin dünya çapında hızla gelişmesi, her iki suç yapılanmasının da bu
akıma yönelmesini zorunlu hale getirmiştir. İletişimin sınır ve zaman tanımayan
111
yapısal evrimi ve daha az eleman ihtiyacı, coğrafik engellerin ortadan kalkmasına ve
her iki örgüt içinde operasyonlarını hemen hemen her yerde gerçekleştirebilme
kolaylığına kavuşturmuştur. Pek çok terör örgütü yapılanması ve organize suç
örgütünün temel çıkış noktası gelişmekte veya değişmekte olan ülkelerdir (Farer,
1999: 244 – 252).
Birleşmiş Milletlerin 1990'ların sonlarında yapmış olduğu değerlendirmeye
göre dünya ticaretinin % 7'sini uyuşturucu trafiği oluşturmaktadır (BM, 1999: 124).
Bu büyük gelir payı, organize suç ve terör örgütlerini konumlandıkları ülkelerde ve
çevresinde önemli ve güçlü bir aktör haline getirmektedir. Yasal ekonomik
faaliyetlerin içine elde ettikleri yasal olmayan gelirlerle giren bu tür yapılanmaların,
siyasi ve iş çevresine olan etkisi de etkileyicidir. Yasadışı gelirlerin kazandırdığı
ekonomik güç, bu tür örgütlerin uluslararası veya yerel en iyi uzmanları
kiralamalarına da olanak sağlamaktadır (Baugh ve Denning, 1997: 45 – 49). Bilişim
teknolojileri de, örgütlerin gizli faaliyetlerini devam ettirmelerinde büyük destek
olmakta ve suçu kolaylaştırmaktadır. Uluslararası uyuşturucu kaçakçıları; kriptolu ve
şifreli mesajları, uydu telefonlarını ve bilgisayarlara ait IP numaralarını değiştirmeye
yarayan yazılımları en çok kullanan kullanıcılardır.
Dünya çapında terörizme karşı alınan fiziksel önlemler, terörist grupları
özellikle İslam dinini kendi amaçları için kullanan aşırı grupları, internet üzerinden
organize halde hareket etmeye zorlamaktadır. Ayrıca bu tür örgütler, çözümü
imkansız ya da çok zor mesajlar yazabilen ve steganografi tekniği ile gönderilen
yazılı bilgilerin içine anlaşılmayacak şekilde mesajlar yazabilen teknik uzmanları
kiralamakta veya bizzat bu teknikleri örgüt içinde kullanabilen kişileri iletişim ağının
sorumlusu olarak atayarak kullanmaktadır. Terörist organizasyonlar ve organize suç
örgütleri uluslararası operasyonlarını işte bu şekilde sınır güvenliğine veya herhangi
bir güvenlik önlemine yakalanmadan icra etmektedirler. Terör örgütleri ve organize
suç örgütleri teknik kapasiteye sahip uzmanları, bölgesel imkanları kullanarak
bulmaktadırlar, örneğin eski Sovyet rejimi bilim adamları veya Hindistan yarım
adasındaki uzmanlar bu tür örgütlerce büyük paralar karşılığında kiralanmaktadırlar.
Kimi teknik uzman, kendisine verilen para haricinde ne tür bir iş için çalıştığını
112
bilmezken, kimileri de bizzat örgüt yapılanması içinde önemli konumlara sahip birer
şebeke elemanı gibi hareket etmektedir (Shelley v.d., 2000: 9 – 39; Wilson, 2005: 9).
Pek çok gelişmekte olan ülkede yaşanan yolsuzluk problemi, uluslararası suç
örgütlerinin ve terör örgütlerinin sayısal açıdan hızla artmasına neden olmaktadır.
Resmi kurumlardaki yolsuzluk ise bu durumu, daha da kolaylaştırmaktadır ve örgüt
faaliyetleri yalnızca rüşvet vermek ya da almakla sınırlı değildir. Yüksek hükümet
görevlilerinin organize örgütlere ve terör örgütlerine hazırladığı sahte belgeler, kanun
uygulayıcıları şüpheli gruplara karşı eyleme geçmede sınırlamakta ve suç örgütlerine
faaliyetlerini yürütmek için güvenli bir ortam yaratmaktadır. Bu sebeple suçlular eski
Sovyet Bloğu ve Punjab bölgesinde bulunabilinen yüksek seviyeli teknolojiyi
kullanmakta, hem organize örgütler, hem de terör örgütleri dünyanın diğer
bölgelerinde bile bu vesile ile kendilerine ait güvenli alanlar yaratmaktadırlar. Bu
yolla
suçlular
bilişim
teknolojisini
kendi
faaliyetlerini
yürütmek
için
kullanmaktadırlar. Organize suç örgütleri ile terör örgütleri arasındaki ilişki yalnızca
gelişmekte olan ülkelerde değil, gelişmiş ülkelerde de mevcuttur. İncelemeler 11
Eylül saldırılarında, teröristlerin gelişmiş ülkelerde örneğin İspanya’da sahte uçak
bileti sattıklarını veya Amerika’da organize suç örgütleri gibi kara para aklama işi
yaptıklarını yani adi suçlarda işleyebildiklerini ve hayatta kalabilmek için yalnızca
ideoloji ile hareket etmediklerini göstermiştir (Özcan, 2002; Shelley, 2003: 304).
Beyaz yaka suçları kapsamına giren suç yapılanmalarının da içine giren
organize örgütler (özellikle 90’lı yıllarda Amerikan çeteleri ve Rusya kökenli
örgütlerin, Wall Street Borsasında yarattıkları online manipülasyonlar gibi) borsa
işlemlerinde yarattıkları manipülasyonlarla büyük meblağlar elde etmektedirler.
Borsada mali değeri düşük olan hisse senetlerini değerinden fazla göstermek için
hileli olarak online satın alan organize örgütler, ardından yatırım yapacak kişilere bu
yüksek meblağlı senetleri önermekte ve son olarak da en yüksek seviyede ellerindeki
senetleri çıkarmaktadırlar. Pump and dump denilen bu yöntemle örgütler gerçekten
çok yüksek paralar kazanmışlardır. Kaba kuvvet, dağa kaldırma, fazla eleman
çalıştırma, ölüm ya da yaralanma gibi riskleri olmayan bu suç türü yeni nesil
organize mafya yapılanmalarının yeni trendi haline gelmiştir. Bonnano, Genovese
ve Colombo suç aileleri gibi Rusya kökenli göçmenlerin oluşturduğu Bor adlı
113
organize örgütlerin tercih ettiği bu sistem, yatırımcıları her yıl yaklaşık olarak on
milyar dolar zarara uğratmaktadır.
Uluslararası hukuk normlarının, her ülkede aynı şekilde uygulanamamasından
en çok organize suç örgütleri ve terörist gruplar faydalanmaktadır. 11 Eylül
saldırılarından önce Washington Eyaletinin farklı bölgelerinde bile telefon dinleme
izni almak için farklı yasal gereksinimlere ihtiyaç duyulmakta idi. 11 Eylül
saldırılarını gerçekleştiren teröristlerde bu yasal durumun ve kendi telefonlarının
dinlenebileceğinin bilincindeydi. Teröristler kanun uygulayıcıların sınırlarının
farkında olarak, telefon görüşmelerinin izlenmesini önleyebilmek için birbirleri ile
değişik telefonlardan iletişim kurmuşlardır. Gelecekte de teröristler, yasaların
uygulanmasındaki farklılıklardan faydalanacaklardır. 11 Eylül saldırılarına ön
hazırlıklarının çoğu Almanya’da gerçekleştirmiştir. Nazi döneminden kalma kötü
hatıralar nedeniyle, özel hayatın gizliliğinin ön planda tutulduğu Almanya’da, polisin
elindeki yetkilerin azlığı ve önleme amaçlı tedbirlerin sınırlılığı, teröristleri iletişim
araçlarını en yüksek seviyede kullanma ve tespit edilmeme konusunda avantajlı bir
konuma getirmiştir. Terörist hücrelerin yapacakları operasyonlar için, analiz ve
istihbarat
toplama
faaliyetlerinde
sofistike
bilgi
teknolojisindeki
gelişim
imkanlarından faydalandıkları görülmüştür. Bilişim teknolojisindeki gelişmeler,
teröristlere büyük gelirler elde etmede en az risk ile hareket etme kabiliyeti
kazandırmaktadır, bu da teröristlerin operasyonlarını desteklemek amacıyla, internet
üzerinden kredi kartı dolandırıcılığı gibi adi suçları da işlemekte olduğunu
göstermektedir. Böylece teröristler, ilk olarak kendilerini deşifre etmemiş olmakta,
ikinci olarak yaralanma veya ölme riskini ortadan kaldırmış olmaktadır (Shelley,
2003: 306).
İnternet yolu ile işlenen uluslararası dolandırıcılık veya kredi kartı hırsızlığı
gibi suçlar, teröristler tarafından da işlenmektedir. TraCCC’nın 2000 yılında organize
ettiği konferansta Ukraynalı uzmanlar, internet ve bilgisayar yolu ile ülkelerinde pek
çok finansal suçun işlendiğini ifade etmişlerdir. Ukrayna belki pek çok suçun
kaynağı olabilir ama bu suçları Ukraynalı vatandaşların işlediğine dair somut bir
bilgi mevcut değildir. Ukrayna ağ sistemini kullanan pek çok yabancı vardır ve
beklide bu yabancı kullanıcılar, Ukrayna’nın internet suçlarına karşı sınırlı bir kanun
114
düzenlemesi
olduğunu
düşünüp,
ekonomik
suçları
işlemekte
daha
rahat
davranmaktadır. Yüksek düzeyli bilişim teknolojisine sahip fakat yeterli kanuni
düzenlemeye sahip olmayan ülkeler, teröristler ve organize suçlar için birer cennet
konumundadır (Shelley, 2003: 306).
Gelişmekte olan ülkelerdeki kanun uygulayıcı kurumlar, uluslararası suç
örgütlerinin
faaliyetleri
ile
savaşacak
kapasitede
personel
ihtiyacını
karşılayamamaktadır. Düşük ücret ve devlet kurumlarında ki yolsuzluk, yüksek
kapasiteli teknik donanıma sahip bireyleri, devlet sektöründe çalışma konusunda
isteksizliğe sevk etmektedir. Özel sektörde ve bilinçli veya bilmeden suç örgütleri ve
terör örgütleri ile çalışmayı yeğleyen bilgisayar uzmanları da, gelişmekte olan
ülkelerde düşük maaşla kamu sektöründe çalışmak istememektedir. Bazı ülkelerde
ise, devlet bu özel eğitimli uzmanları kendi bünyesine dahil etmiş olsa bile,
yolsuzluk o kadar ileri bir düzeydedir ki, suç örgütleri veya terörist faaliyetler
gösteren örgütler bu kişilere ulaşmakta ve kısa süreli işlerinde yüksek paralarla bu
insanları kullanmakta zorlanmamaktadır. Bilişim sektöründe uzman kişiler ise, genel
itibari ile bu konularda gelişmiş Amerika ve Avrupa ülkelerine göç etmekte, bu
şekilde bir beyin göçü yaşanmakta ve gelişmekte olan ülkelerde yeterli personelden
yararlanılamamaktadır. Dahası, gelişmekte olan kimi ülkelerde, konusunda yetişmiş
personel olsa dahi, bilişim dalında yeterli yasal düzenleme olmadığı için hukuksal
dayanağa ihtiyaç duyulmaktadır. Ayrıca, gerekli yasaların olduğu ülkelerde ise
zararlı bir sitenin kapatılması için yeterli teknoloji eğitimi olan personel yokluğu,
diğer ülkelerde bu sitenin içeriğinden faydalanan kişilere çanak tutmaktadır. Örneğin,
Orta Afrika ülkelerinden birinde çocuk pornografisi içerikli yayın yapan bir sitenin,
uzman personel tarafından kapatılamaması, dünyada milyonlarca insanın bu siteden
veri indirebilmesine sebep olmaktadır.
Uluslararası siber suç örgütlerinde, örgüt elemanları dünyanın herhangi bir
noktasından birlikte hareket etme kabiliyetlerini kullanarak, sistemleri hackleyerek
her türden bilgiliyi çalarak satmakta ya da tehdit yoluyla maddi kar etmektedir.
Bununla birlikte, organize örgütler gibi terör örgütleri de, uluslararası taşımacılık
sisteminden faydalanarak faaliyetlerini yönetirken, taşınan malın veya yasa dışı
göçmen tarzı insan topluluğunun yasal denetimden geçmemesi için, çeşitli program
115
ve yazılımlarla kanun uygulayıcı kurumların sistemlerine girerek elde ettikleri
bilgilerden yararlanmakta ve taşımacılık rotasını ayarlamaktadırlar. Organize suç
örgütleri online suçları, sokakta suç işlemekten daha güvenli bulan gençleri saflarına
katmaya çalışırlar. McAfee tarafından 2006 yılında yayınlanan bir rapora göre,
organize suç örgütleri akademik çevrede yetenekli öğrencileri hedef alarak teknoloji
yoğun suç alanına yönlendirmektedir (McAfee, 2006: 7). McAfee tarafından
yayınlanan bu Sanal Kriminoloji Raporu (Virtual Criminology Report) Avrupa’nın
lider teknoloji yoğun suç önleme birimleri ve FBI tarafından da doğrulanmaktadır
(Brenner, 2006a).
Gelecekte siber uzayda organize suç örgütlerinin yeni ve değişik türlerini
görmemiz mümkündür. Siber uzay bireylere fiziksel dünyada yapamayacakları
şeyleri yapmalarına olanak sağlar, bunun yanında şu anki organize örgütlerin
çevrimiçi suç olgusuna tam olarak adapte olduğunu söyleyemeyiz. Siber suç olgusu
daha az personel iletişimine, daha az biçimsel organizeye ve sınırsız coğrafi kontrol
imkânına sahiptir. Bu sebeple bazı araştırmacılar, klasik hiyerarşik düzene sahip
organize suç örgüt yapısının internet ortamına uygun olmadığı konusunu
tartışmaktadırlar. Sonuç olarak çevrimiçi suç aktiviteleri daha gevşek bir yapı ve
hiyerarşi yerine, ağ bağlantısı sistemine uygundur (Council of Europe Octopus
Programme, 2004: 48).
Organize suç örgütleri için eleman yetiştirmenin ve o elemana güvenmenin ne
derece uzun sürdüğü bilinen bir gerçektir. Bununla birlikte online siber suç örgütleri
için durum çok farklıdır. Bu tür örgüt yapılanmalarında yapılacak işin mahiyetine
göre belirlenen örgüt elemanlarının, o işe göre belirli bir süre için bir arada
çalışmaları planlanır. Yani suç türü ne ile ilgili ise, o konuda uzman eleman
çalıştırmak bu tür organize örgütler için kullanılan bir yoldur. Kanun uygulayıcılar
için ise bu tür yapılanmalar, işin içinden çıkılamayacak derecede zor durumlar
yaratmaktadır. Anlık ya da sadece o gün için kurulmuş mafya veya kartel
yapılanmaları,
kanun
uygulayıcıların
geçici
olarak
oluşturulan
organize
yapılanmalara dahil katılımcıları deşifre etmesini zorlaştıracak ve böylece organize
siber
suç
örgütlerinin
istediklerini
yakalanmadan
yapabilmelerine
olanak
sağlayacaktır (Brenner, 2002).
116
2005 yılında Britanya’da meydana gelen metro ve otobüs bombalama
eylemlerinde ayrıca 2007 yılındaki araba bombalama eylemi teşebbüsünde; terörist
grupların iletişim ağlarını ve bilgisayar destekli sistemleri yoğun şekilde kullanarak
birbirleriyle
haberleştiklerini,
önemli
sayılacak
derecede
IT
(Information
Technology) konusunda tecrübe sahibi oldukları bilgisine ulaşılmıştır. Londra polis
makamları teröristlerin 2005 yılındaki saldırılarda yüksek kalitede bombaları, Doğu
Avrupa suç örgütlerinden sağladıklarına inanmakta olduklarını söylemişlerdir (Lal,
2005; Porter, 2004). Siber suç uzmanları, uluslararası arenada Afganistan’da ki
uyuşturucu akışına yönelik olduğu gibi, Ortadoğu’da ve diğer bölgelerde ki illegal
uyuşturucu finansmanıyla birlikte kredi kartı hırsızlığı gibi suç aktivitelerini, terörist
gruplara destek amacıyla bağlantılı olduğu için sıkı şekilde takip etmektedir (Bergen,
2006: 1).
Narkotik suçlarla mücadelede uzmanlar genel itibari ile internet üzerinden
yapılan iletişimin deşifre edilebilmesi için eğitim almaktadır, hatta bilgisayar
teknolojileri konusunda yüksek seviyede uzmanlaşmış personelin kiralanması da söz
konusudur. Birleşik Devletler Uyuşturucuyla Mücadele Birimi (U.S Drug
Enforcement Agency – DEA) yetkililerine göre 2003 yılında ABD yabancı terörist
organizasyonları listesinde bulunan 36 örgütten 14’ü uyuşturucu ticareti ile
ilgilenmektedir. 2002 yılında Birleşik Devletler Federal Araştırma Bölümü (Federal
Research Division)’nün kongrede sunduğu raporda, dini motifli terörist gruplarla,
diğer terörist gruplar arasında uyuşturucu kaçakçılığının artış gösterdiği, hem
uyuşturucu trafiği, hem de silah ticaretiyle ilgilenen farklı terörist grupların birlikte
ve işbirliği içinde olduğuna dair az da olsa delil olduğu vurgulanmıştır. Sonuç olarak
DEA yetkilileri terörizm ve uyuşturucu kaçakçılığı ile mücadelenin birbiriyle
bağlantılı olduğunu ifade etmektedir (Berry v.d., 2002: 2 – 11).
Narko – terörizmin, terör örgütlerinin finansmanı bağlamında önemli bir
sacayağı olduğu su götürmez bir gerçektir. Narko – terörizmi finansal açıdan bir
destek olarak gören terör örgütleri, aynı zamanda düşman olarak gördükleri
devletlere karşı da toplumu ahlaki olarak çökertme kapsamında kullanmaktadırlar.
Bilindiği gibi narkotik bağımlılık vücut bütünlüğüne karşı bir düşman olduğu kadar,
ahlaki açıdan da toplumu olumsuz olarak etkilemektedir. Uyuşturucu bağımlısı bir
117
hackerin, terör örgütleri tarafından kullanılması olası bir önermedir. Terör ve
uyuşturucu arasındaki en güzel resmeden ülke tahmin edildiği gibi Afganistan’dır.
Eroin piyasasının % 90’nı Afganistan üzerinden yönlendirilmektedir. Tabi ki
durumun altı çizilmesi gereken noktası, bu yüzdeye Afganistan’ın ABD işgalinden
sonra ulaşmış olmasıdır. % 90’lık oran dünya piyasasının 3,1 milyar dolarına tekabül
etmektedir ve Birleşik Devletler istihbarat servislerinin 2007 raporuna göre
Afganistan’da faaliyet gösteren El – Kaide terör örgütü 9/11 saldırılarından önceki
durumundan çok daha iyi bir durumdadır. Bununda ötesinde batılı devletlere yönelik
saldırı gücünde de El – Kaide çok daha iyi bir düzeye erişmiştir (Associated Press,
2007; Lee ve Shrader, 2007).
Teröristlerle hackerler veya terörizmi destekleyen ülkelerle, hackerler arasında
bir bağ kurmak zor değilse de, kolay olmadığı da açıktır. Fakat yüksek düzeyli
bilgisayar bilgisi olan hackerların bireysel olarak veya toplu olarak terörist faaliyet
göstermesi olasılığı oldukça düşüktür. Bunun yanında gizli faaliyetler gösteren
yüksek kapasiteli bilgisayar hackerlarının oluşturduğu grupların varlığı da
bilinmektedir. Bilgisayar bağlantılı karapara aklama aktiviteleri her iki suç grubu
tarafından da kullanılmaktadır. Çıkar grubu suç örgütleri yaptıkları eylemlerin ya da
suçların propagandasını yapmasalar da hükümet üzerinde baskı oluşturmak için veya
devlete yakınlaşıp içeriye sızabilmek için internet ortamını kullanmaktadırlar.
Terörist grupların ise yeni dünyada propaganda aracı olarak kendine interneti
seçmesi oldukça doğal bir sonuçtur. Yerel ya da ulusal kanalların sansür ettiği bazı
görüntü veya imajların internet ortamında çok daha rahat paylaşılması mümkündür.
Propagandanın yanında kendi yandaşlarına her türlü eğitim faaliyeti sunabilen terör
örgütleri için internet ortamı, kamuoyu baskısı oluşturma ve teröristler arası iletişim
aracı olarak da kullanılmaktadır.
Hackerler kimi zamanda El Kaide ve küresel cihat amacıyla hareket eden
terörist organizasyonların saflarında yer almaktadır. 2001’de ABD güçleri
Afganistan’ı işgal ettiğinde, kendilerini Online El-Kaide İttifakı (al Qaeda Alliance
Online) olarak tanıtan bir grup Pakistanlı hacker, ABD devlet sitelerine yönelik
kapsamlı bir saldırı başlatmış, ele geçirilen sitelere Usame bin Ladin’in mesajları ve
ABD işgalini kınayan mesajlar bırakılmıştır. Aradan geçen zaman içinde bu grup
118
ortadan kaybolmuş olsa da diğer pek çok grup, ABD ve batı toplumlarına ait internet
sitelerine siber saldırılarda bulunmuştur. Irak Savaşı, Danimarka'da meydana gelen
Hz. Muhammed'e yönelik karikatür krizi ve Guantanamo Üssü’nde tutulan
mahkumlara yönelik kötü muamele iddiaları, bu tür saldırıların yoğunlaşmasına
sebep olmuştur. Elektronik alanda başlatılan bu siber cihat saldırıları, cihat amacı
güden forum sitelerinden koordine edilmekte, ayrıca hacking amacı ile dizayn
edilmiş yazılımlar ve gerekli bilgiler bu siteler üzerinden paylaşılmaktadır (Denning,
2008).
İnternet uzun süredir terörizm için önemli bir anlam ifade etmektedir. İnternetin
hem propaganda hem de diğer her türlü araç olarak kullanılmasına örnek olarak,
Global İslami Medya Cephesi (Global Islamic Media Front – GIMF)’nin www.alfarouq.com/vb/ 42 sitesinde yayınladığı bildiride, El-Kaide Üniversitesi, Cihat
Çalışmaları adında bir fakültenin mevcudiyetini duyurması verilebilir. Site ayrıca
elektronik, basın, ruhani ve finansal cihat alanlarında uzmanlaşmayı da
hedeflemektedir. Cihat propagandası yapan terör örgütleri içinde, dünya genelinde
eleman kazanma noktasında internet önemli bir konuma sahiptir. İsrail Hayfa
Üniversitesinde iletişim alanında profesör olan Weimann’a göre, 1997’de sayıları bir
düzine kadar olan terörizmi veya siyasal şiddeti savunan web sitelerinde, 2005 yılı
itibariyle 400 kat artış yaşanmış ve bu sitelerin sayısı 4.700’e ulaşmıştır (Weimann,
2004b). Yaşanan bu artışla birlikte ifade edilmesi gereken önemli bir husus ise,
1997’de var olan toplam web sitesi sayısının, 2005 itibari ile 50 ile 100 kat kadar
artmış olmasıdır. Anlaşılacağı üzere tüm web sitelerinin varlığında yaşanan artış,
terör içerikli sitelerin varlığında yaşanan artışın ¼’ü kadardır. Terör içerikli web
sitelerinde yaşanan artışın ise % 70’ini İslam dinini kendi amaçları için kullanın terör
örgütlerinin dizayn ettiği web siteleri oluşturmaktadır (Ariza, 2005).
42
Kısa süre önce yayınlanan haber raporlarına göre, İslami aşırı gruplar siber saldırı eylemlerinde
görev almak üzere hackerlara ihtiyaç duyduğunu ve İslami Hackerler adlı bir oluşumun hazırlıklarının
yapıldığını duyurmuştur. al - Farouq web sitesine gönderilen maillerde siber saldırıların detayları,
spyware programlarının indirilmesine yarayan linkler ve hedef kullanıcılara ait şifrelerin nasıl
öğrenileceğini gösteren bilgiler bulunmaktadır. Diğer pek çok aşırı dinci web sitelerinde de, güvenli
hücre evlerinin nasıl seçileceğini, silah bakımının nasıl yapılacağını veya yakalanıldığında neler
yapılacağını anlatan online eğitim kampları mevcuttur. Hatta kimi web sitelerinde, İsrail Polis
Teşkilatında veya hükümet içerisinde görevli potansiyel hedeflerin mail adres listeleri
yayınlanmaktadır (Wilson, 2005: 9).
119
İnternet
propaganda
aracı
olarak
yalnızca
teröristler
tarafından
kullanılmamaktadır. Denning’e göre internet üzerinden yapılan propaganda savaşının
ilk örneği Kosova savaşı esnasında yaşanmıştır. NATO güçleri Yugoslavya basın
yayın organlarının ve diğer tüm iletişim ağlarının bombalanmasını stratejik olarak
doğru bulmuş fakat internet iletişiminin kesilmesine, Milosevic rejimince
gerçekleştirilen cinayetlerin ve soykırımının Yugoslavyalılar tarafından anlaşılması
için sıcak bakmamıştır. Kosova Savaşı sırasında, Yugoslavya'da yaşayan insanların
internete ulaşma imkanında herhangi bir sorun yaşanmamıştır. Washington Post
gazetesinin ABD ve İngiltereli resmi yetkilere dayanarak yayınladığı habere göre,
NATO Yugoslavya internet sağlayıcısı dört erişim noktasının da kontrolünü elinde
bulunduruyor ve internet iletişimini dezenformasyon ve propaganda amacı ile bilerek
ve kasıtlı olarak kesmiyordu. Ayrıca gazete haberinde, Belgrat'ta 1,5 milyon insan
yaşamaktadır ve bu insanların 100.000'inin kendi evlerinden erişim imkanı
olmaksızın, internet kafelerden interneti kullandıkları belirtilmiştir (Denning, 2001b:
240 – 242; Özcan, 2003).
Kosova Savaşı sırasında dünya çapında organizasyonlar ve bireyler kendi web
sitelerinden savaşla ilgili bilgiler yayınlamış, insan hakları grupları, insani yardım
kuruluşları, kiliseler ve kadın grupları gibi hükümet dışı organizasyonlar Kosova ile
alakalı pek çok site kurarak desteklerini göstermişlerdir. İngiliz Dışişleri Ofisi, web
sitesini Sırplara karşı propaganda yapmak amacıyla kullanmıştır. İnternet sitesinde
Robin Cook'a ait yayınlanan mesajda, İngiltere'nin Sırplara karşı olmadığı fakat
Milosevic'in zalimliğinin durdurulması gerektiği belirtilmiştir. Ayrıca İngiltere
Savunma Bakanı George Robertson Savunma Bakanlığı'na (Ministry of Defence –
MoD) ait sitenin, Belgrat'ın haberleri sansürleme eğilimine yönelik olarak Sırpçaya
çevrilmesini söylemiştir. İnternet, Sırplarında dünyanın önde gelen haber kanallarına
ulaşmasını sağlamıştır. Ülkenin önde gelen grupları ve üniversitelerinden insanlar
NATO bombardımanın durdurulması için çağrılarda bulunmuş, mesajlarında insan
haklarının Sırp bölgelerinde bombaların altında kaldığını ifade etmişlerdir (Denning,
2001b: 242 – 250; Özcan, 2003).
Üyeler arasında yapılan haberleşmede terör aktiviteleri ile aynı kapsamda
düşünülmelidir. Davetiyeli üyelik sistemi ile hareket eden bu grup faaliyetlerini de
120
gizli gerçekleştirir ve kullandığı yeni nesil hack programlarını da üyeler arasında
kurulan hiyerarşik düzende üst seviyede kemik bir grup bilip geliştirmektedir. Sistem
içinde dizayn edilen saldırıların hangi hacker veya hacker timi tarafından
gerçekleştirileceği dahi daha önceden belirlenmektedir. Ast – üst ilişkisi ve kendi
kendini denetlemenin üst seviyede olduğu bu gruplar kimi zaman siyasi amaçlarla,
kimi zaman yalnızca dini motivasyonla, kimi zamansa fayda saikıyla organize suç
şebekesi içinde hareket etmektedir. Örneğin daha önce bahsettiğimiz botnet
saldırıları ile ele geçirilen bilgisayarlar uzaktan kumanda ile kullanılabilecek şekilde
piyasada 150 ile 500 dolar arasında pazarlanmaktadır. Daha önce piyasaya
sürülmemiş saldırı araçlarının ise 1000 ile 1500 dolar arasında satıldığı
bilinmektedir. Bu tür software dediğimiz saldırı araçlarının genel alıcıları ise
organize suç örgütleri, devletler ve ticari amaç güden bilgisayar şirketleri ile terörist
organizasyonlardır (Francis, 2005).
Her iki örgüt yapılanması da, artan bir şekilde internet üzerinden dolandırıcılık
veya phishing tekniklerini kullanmaktadır. Botnetler vasıtası ile ele geçirdikleri
bilgisayarların veya hesapların, kişiler listesinde olan diğer üçüncü şahıslara
şüphelenmeyecekleri şekilde, absürt içerik taşımayan yöntemlerle, işin içine birazda
sosyal mühendislik katarak gönderilen mesajlarla pek çok suç geliri elde
edilebilmektedir. Sosyal yapının içinde karışıp giden ve kendilerini saklamayı
beceren suçlular, farklı insanlara ait kimlik bilgilerini kullanarak suç aktiviteleri
içindedir. Geliştirilen yazılımlarla kişilerin bilgilerine, şifre tahmini yapan
programcıklarla bireysel özgürlüklere saldıran örgüt elemanları giderek artmaktadır.
Teknolojik gelişmeler de bu duruma ön ayak olmak zorunda kalmıştır. 128 GB’lık
harici bellekler bir parmak ebadında her yerde taşınabilir şekilde üretilirken, bilgi
çalmak için çok fazla çaba harcamaya gerek kalmamaktadır. Gelecekte, akıllı
telefonlar ve pek çok özelliği içinde barındıran bilgisayar donanımlı cihazlar daha
kullanılır bir hale geldiğinde, bluetooth teknolojisi ve VoIP kanalıyla telefon hacking
suçlarında da büyük bir artış yaşanacağı tahmin edilmektedir. Terör örgütleri ve
organize suç örgütleri ile bu örgütler tarafından kiralanan hackerler için yeni bir suç
işleme ve bilgi – gelir elde etme imkânı teknolojik gelişmelerle birlikte artmaya
devam edecektir (Brenner, 2006b).
121
Siber terörizmin açıklanmasında iki görüş ön plana çıkmaktadır. Etki temeli ve
internet temeli siber terörizm. Etki temeli siber terörizmde klasik terörde meydana
gelen korku yaratma durum söz konusu iken, internet temelli siber terörizmde ciddi
ve yoğun hasara neden olacak ekonomik yıkım söz konusudur. Siber saldırı dört
alanda etkisini göstermek ister bunlar; bütünlüğün, varlığın ve güvenilirliğin
kaybedilmesiyle fiziksel yıkımdır (US Army TRADOC, 2005). Teröristlerin internet
ve diğer iletişim cihazlarını kullanma yoğunluğu giderek artmaktadır. Ulusal
devletlerin aldığı fiziksel tedbirler ve artan sınır güvenliği, teröristleri internet
üzerinden saldırı yapmaya zorlamaktadır. İnternet ve bilgisayar güvenliğindeki
zafiyetler, organize örgütler ve terörist organizasyonları, bilgisayar bilgilerini
geliştirmek için cesaretlendirmektedir. Böylece organize siber terör saldırıları
tertiplemek hayal olmayacaktır. Terörist grupların finansal kaynak sağlama
konusunda yeni yöntemlerinden biride yine internet üzerinden kredi kartı
dolandırıcılığıdır. Bu sayede ya maddi gelir edilmekte ya da kara para aklama yolu
ile dikkat çekmeden finans akışının sağlanması devam ettirilmektedir.
Ortadoğu’daki ve Güney Asya’daki teröristler ve aşırı dinci gruplar, paranın
uluslararası hareketini kontrol edebilmek için organize suç şebekeleri ile işbirliğini
arttırmaktadır.
Aynı
işbirliği
yasadışı
uyuşturucu
ve
silah
kaçakçılığının
yönlendirilmesi içinde geçerlidir. Hackerler ve siber suçlar arasındaki bağlantılar,
teröristlerin kendi organizasyonlarını devam ettirmeleri için, yüksek seviyede
bilgisayar bilgisi olan kişilerle işbirliği içine girmeleri gerektiği içgüdüsünü
tetiklemektedir.
Temmuz 2005’te İngiltere’de metro ve otobüs bombalama olaylarına karışan
aşırı dinci gruplar ve sempatizanlarının, halkın arasına karışmış teknoloji konusunda
kayda değer bilgileri olan insanlar olduğu görülmüştür. Çoğu zaman teröristlerin
gerçekleştirdikleri siber saldırılarla hackerlerin gerçekleştirdikleri siber saldırıların
ayırt edilmesi çok zor olmaktadır. Teröristler gibi siber suçlularda gelecekte
hazırlayacakları saldırılar için sistemde veya bilgisayarlarda bulunan zayıflıkları
araştırmaktadırlar. Böylece elde etmek istedikleri bilgi veya maddi kazanca ulamaya
çalışırlar. FBI raporlarına göre genel olarak teröristler tarafından gerçekleştirilen
siber saldırılar mail bombardımanı ve herhangi bir sistemin çökertmesi ile sınırlıdır.
122
Fakat yinede bilgi teknolojisi konusunda, teröristlerin kendini geliştiriyor olması, ağ
saldırıları riskinin arttığına işaret etmektedir. Ayrıca FBI teröristlerin bilgi
teknolojileri konusunda gelişim gösterirken büyük çaplı konvansiyonel siber
saldırılar gerçekleştirmek için hackerler kiralama yoluna gideceğini öngörmektedir.
2007 yılında sunulan yıllık tehdit değerlendirmesinde FBI direktörü Mueller,
teröristlerin, iletişim, operasyonel planlama, dini propaganda yapma, eleman
kazanma, eğitim verme ve lojistik mali destek elde etme amaçlarıyla, interneti
kullanma oranında büyük bir artış yaşandığına değinmiştir. IBM 2005 yılında,
saldırganlar tarafından gerçekleştirilen bilgisayar güvenliğine yönelik saldırıların %
50 oranında arttığını, özellikle devlet kurumları ile endüstri firmalarının çok daha
sıklıkla saldırıya maruz kaldığını rapor etmiştir (IBM Report, 2005). Siber
saldırıların eğilimi bize, ileride çok daha yoğun, hızlı ve kompleks saldırıların
meydana geleceğini göstermektedir. ABD Government Accountability Office (GAO)
tarafından ifade edildiğine göre, eğer saldırılar bu şekilde devam ederse, hükümet
kurumları saldırılara cevap vermeye yetişemeyeceklerdir (Wilson, 2005: 2 – 4).
Koordineli bir yasal uygulama ihtiyacı, hem organize örgütler hem de terör
örgütleri tarafından istismar edilmektedir. Yapılan kanunlar devlet temellidir, fakat
günümüzde suçlular uluslararası çalışmaktadır. Bununla birlikte, pek çok bilişim
teknoloji sisteminin özel sektörün elinde olması, idari uygulamalara, denetime ve
düzenlemeye engel olmaktadır. Ülkemizde özel sektörle, kamu sektörü arasında
olmayan işbirliği sebebiyle, basit suçların önlenebilmesi konusunda bile büyük
aksaklıklar
yaşanmaktadır.
Halbuki
uluslararası
bir
konsept
dahilinde
gerçekleştirilecek işbirliği ile pek çok sorunun üstesinden gelinebileceği aşikardır.
Sivil toplum örgütleri bu konuda ülkemizde özel ve kamu sektörü arasında harç
görevi görmeyi şiddetle arzulamaktaysa da, şimdilik emekleme aşamasında olan bu
yapılanmanın önümüzdeki beş veya on yıllık dönemde ciddi bir şekle girmesi
mümkün görünmemektedir. Günümüzde en çok konuşulan konuların başında gelen,
hükümet ve finansal alt yapılara düzenlenecek ciddi ve sistemli saldırıların etkileri
içinde alınmış bir önlem yoktur. Herhangi bir ülkede yaşanan olumsuz finansal bir
durum, kimi zaman tüm dünya mali sistemini etkilemektedir. Avrupa ülkelerinin
birinde yaşanacak bu tarz bir olumsuzluktan, Türkiye veya ABD’de etkilenecektir.
Japon borsa sistemine yapılan siber bir saldırı sonrası (sistem veri tabanına yayılarak
123
hesap bilgilerini sıfırlayan veya karıştıran bir virüs), yatırımların farklı bir noktaya
kaydırıldığını düşünelim, sonuç tüm dünya için mali kriz niteliği taşır. Birbirine
domino taşları gibi yakın bu mali yapının herhangi bir yerinde yaşanacak sıkıntı,
diğer tüm taşların yerinden oynamasına neden olmaktadır.
Bu ve benzeri pek çok sebep yüzünden özel sektörle kamu sektörünün web
üzerinde şüpheli hareketleri izleme konusunda işbirliği içinde olması gerekir.
Teknolojik olarak ileride olan ülkelerin, gelişmekte olan ülkelerle işbirliği içinde
olması bir yana teknik destek bağlamında özel uzmanlarını görevlendirerek, organize
örgütlerin ve terör örgütlerinin faaliyetlerinin takibi ve alınması gereken önlemlerin
tespiti için daha da istekli olması şarttır. Kamu ve özel sektörden ziyade, sivil toplum
örgütlerinin ve bireylerin de, bu tür eylemlerin aydınlatılması veya takip edilmesini
kolaylaştırma adına, fark ettikleri şüpheli durumları yetkililere bildirmesi için
ödüllendirme şeklinde bir yapılanmaya gidilebilir. Bilginin internet yolu ile
özgürleşmesi, elbette daha demokratik toplumların yeşermesi anlamında parlak bir
gelişmeyse de, organize örgütler ve terör örgütleri için iletişim ve diğer tüm imkanlar
kapsamında faydalanılabilir bir uygarlıktır da. Ulusal güvenlik, suçların takibi ve
uluslararası terör örgütlerinin faaliyetlerinin incelenmesi ile bireysel özgürlükler
arasında bir dengenin kurulması, kamu ve özel sektörle birlikte, sivil toplum
kuruluşları ve bireylerinde içinde bulunacağı bir ortak komisyonla mümkündür.
2.2. SİBER SUÇLARLA MÜCADELEDE KARŞILAŞILAN ZORLUKLAR VE
ÇÖZÜM ÖNERİLERİ
Pek çok ticari amaçlı geliştirilen bilgisayar yazılımı, güvenlik gereksinimlerinden
yoksun olarak üretilmektedir. Bu tür eleştirilere cevap olarak, yazılım endüstrisi daha
güvenli ürünler üretebilmek amacıyla mühendislerle birlikte çalışmaya önem
verdiklerini ifade etmektedirler. Örneğin Microsoft, özel bir Güvenlik Tepki Merkezi
(Security Response Center) oluşturmuştur. Bu merkez ABD Savunma Bakanlığı
(Department of Defance – DoD), endüstri ve hükümet liderleriyle birlikte çalışmakta,
yeni ürünlerin güvenlik yazılımını geliştirmek amacıyla işbirliği yapmaktadır. Buna
rağmen, pek çok yazılım endüstrisi yetkilisi, yazılım güvenliği geliştirme
yatırımlarının gelecekte hayata geçecek ürünlerin kompleks yapısından ötürü, yeterli
124
olmayacağını ve yazılımların zayıf noktalara sahip olacağını ifade etmektedir
(TUTCS, 2004: 6 – 17).
Yazılım güvenliğinin yetersizliği bir yana, içeriden gelecek tehditlere de
zamanında tepki vermenin zorluğu ortadadır. Dışarıdan gelecek saldırılara karşı
kurulan güvenlik çemberleri ve güvenlik kapılarına rağmen içeriden gelecek olan
saldırılara veya sızmalara karşı geliştirilen tedbirler yetersiz kalmaktadır. 2003
Ocağında ABD Sikorsky Aircraft Şirketi çalışanlarından yirmi işçi, gizli ve önemli
askeri teknolojileri içeren birimlere, hazırladıkları sahte kimlikleri kullanarak gizli
giriş imkanı sağladıkları için tutuklanmışlardır. 2004 Nisanında gözaltına alınan
işçilerden biri hariç diğer tüm şüpheliler suçlu bulunarak tutuklanmışlardır. Şirketin
iç güvenlik sızmasını tespit edene kadar geçen sürede dışarıya çıkan gizli bilgileri
düşündüğümüzde, iç tehditlerin ne derece önemli olduğunu kavramamız gerekir.
Kaldı ki ekonomik istihbarat amacıyla girişilen bu saldırı, siber bir terör saldırısı
içinde düşünülmüş olabilirdi. Hava araçlarının kontrolü için oluşturulan dijital
beynin, teröristler tarafından içine yüklenen bir yazılım neticesi savaş alanında tek
bir kurşun atmadan birer birer düşmesi, neredeyse sıfır maliyetle büyük bir bozguna
sebebiyet verecektir. Buna benzer bir olayda 1996 yılında yaşanmıştır. Olayda
Dışişleri Bakanlığında görevli yazılım uzmanı Ronald Hoffman, geliştirilen gizli
yazılımları, Nissan Motor Company, Mitsubishi Electric, Mitsubishi Heavy
Industries ve Ishikawajima – Harima Heavy Industries gibi Japon Stratejik Savunma
Eşgüdüm İnisiyatifine satmıştır. Hoffman, yazılımları sivil havacılık projelerinde
kullanan müşterilerinden elde ettiği 750.000 dolar para ile yakalanmıştır (Vaknin
2003).
Yazılımlar periyodik olarak yama ve güncelleme programlarıyla yenilense de,
kurumsal bilgisayarlarda kullanılan yazılımların güvenlik yamaları zamanında
yüklenmemekte, kimi zaman yeni yamalar çıktıktan haftalar veya aylar sonra
bilgisayarlara bu yamalar kurulmaktadır. 2007'nin ikinci yarısında Mozilla
browserında 88, Safari'de 22, İnternet Explorer'da 18 ve Opera'da 12 zayıf nokta
rapor edilmişken, geçen periyotta Internet Explorer'da 39, Mozilla' da 34, Safari'de
25, Opera'da ise 7 açık tespit edilmiştir. Symantec 2007'nin ikinci yarısında 9 ilk gün
açığı raporlamıştır, 2007'nin ilk yarısında ise bu sayı altıdır (Symantec, 2008: 6). Bu
125
tür açıkların bilinen en büyük yazılım firmaları tarafından bile önlenemediği, zaman
içinde geliştirilen yamalarla bu açıkların kapatıldığı görülmektedir. Ayrıca bir
araştırmaya göre, 2000 bilgisayar kullanıcısının % 42’si Blaster virüsünü durduracak
yazılımı, yazılım şirketi yazılımı yayınlamış olmasına rağmen yüklemediğini, % 23’ü
düzenli olarak yazılım güncellemesi yapmadığını, % 21’i anti – virüs programını
güncel tutmadığını, % 70’i ise kendi şirketleri tarafından Blaster virüsü konusunda
uyarılmadığını söylemiştir (Vijayan, 2003). Bununla birlikte güvenlik yazılımları
veya yamaları kurulum esnasında çok fazla zaman harcamaktadırlar ve ayrıca
bilgisayarın işlem hızını da yavaşlatmaktadırlar. Bu sebeple özellikle büyük şirketler
ve firmalarla, kamu kurum ve kuruluşları bu tür yazılımlarla zaman harcayıp, işin
yavaşlamasını istememektedir. Geri plana atılan güvenlik anlayışı ise çoğu zaman
daha büyük zaman kayıplarına, bununla birlikte mali kayıplara ve hizmet aksaklığına
sebebiyet vermektedir.
Siber saldırılar ve siber suçların yoğunluğu ve sayısında giderek artan oranda
yeni metotlar ortaya çıkmaktadır. Örneğin Cooperative Association for Internet Data
Analysis tarafından yapılan bir çalışmaya göre 25 Ocak 2003’te SQL Slammer
virüsü (Sapphire olarakta bilinmektedir), dünya çapında zayıf noktasını tespit ettiği
bilgisayarların % 90’ına internet üzerinden on dakika içinde yayılmayı başarmıştır.
İnternet tarihinde o güne kadar yayılan en hızlı virüs olma özelliği ile Slammer
virüsü kendini her 8,5 saniyede bir ikiye katlamış ve saniyede 55 milyon tarama
hızına yaklaşık olarak üç dakika sonra ulaşmıştır. Bu virüs çok güçlü bir hasar
bırakma özelliğe, uçuşların iptal edilmesine ve ATM cihazlarında hatalara neden
olmuştur (Dakss, 2003).
Siber suçluların yalnızca %5’inin yakalandığı ve mahkûm edildiği tahmin
edilmektedir. Çünkü anonim bir yapıya sahip web aktivitesinin bu yapısı suçluların
yakalanmasını zorlaştırmaktadır ve siber suçla, suçlu arasındaki bağlantının
mahkemede ispatlanması oldukça zordur. Her ne kadar kanun uygulayıcılar gizliliğin
devam ettirilmesinin şirketlerin yaşamlarını uzun tutma anlayışına uygun olmadığını
dile getirse de, çalışmalar siber suç olaylarının nadiren bildirildiğini, özellikle
şirketler tarafından müşterilerinin güvenini kaybetme olasılığı ve negatif bir imajdan
kaçınma sebebiyle bu tür olayların bildirilmediğini göstermektedir. 2006’da
126
gerçekleştirilen RSI bilgisayar Güvenliği Konferansında, kanun uygulayıcılar,
akademik çevre ve özel sektörün işbirliğinin, siber suçu anlama ve azaltmada anahtar
rol oynadığını dile getirmiştir. Caydırıcı yasal tedbirlerin alınması noktasında,
hükümet kurumlarının sırtına büyük yük binmektedir. Örneğin, Singapur hükümeti
tarafından 2004 yılında çıkarılan Bilgisayar Suiistimal Yasası (Computer Misuse
Act), kanun uygulayıcılara, suçun önlenmesi amacıyla büyük yetkiler kazandırmıştır.
Her nekadar bu yasal düzenleme eleştirilere maruz kalsa da, ağır yaptırımları ile
suçun önlenmesi için atılan önemli bir adım olmuştur. Bir web sitesinin hacker
tarafından ara yüzünün değiştirilmesi bile, üç yıldan fazla hapse veya 10.000 dolar
cezaya sebep olmaktadır (ZDNet UK, 2004).
Her yıl Bilgisayar Güvenliği Enstitüsü (Computer Security Institute – CSI),
FBI’ında desteğiyle Amerikalı kamu ve finans kurumları ile üniversitelerden binlerce
güvenlik uzmanı tarafından yürütülen bir çalışmaya ev sahipliği yapmaktadır. Yıllık
olarak yayımlanan CSI/FBI Bilgisayar Güvenliği Suçu ve Güvenlik Araştırması,
kaynak olarak en geniş kullanıcı bilgisine sahip bir araştırma olarak, ne kadar
bilgisayar suçunun meydana geldiği ve bu suçların ne kadara mal olduğuna dair en
iyi bilgileri vermektedir. 2006 yılında yayımlanan rapora göre, güvenlik ihlallerinden
ötürü oluşan ortalama maliyet 167.713 dolardır ve geçen seneye nazaran % 18’lik bir
azalma meydana gelmiştir. 2005 yılında meydana gelen olaylardan ötürü maliyetin
ortalama 203.606 dolar olduğu belirtilmektedir. Bununla birlikte bazı araştırmacılar,
CSI/FBI tarafından yayımlanan analizlerin soru işaretleriyle dolu olduğunu, çünkü
araştırmanın metodolojisinin istatistiksel olarak geçerli olmadığını ifade etmektedir
(Brenner, 2006b). Bunun sebebinin ise araştırmanın CSI üyeleri ile sınırlı olduğu, ek
olarak 2006 CSI/FBI araştırmasına konu şirketlerin meydana gelen güvenlik ihlali
olaylarını, 2005 yılında yayımlanan rapora göre daha az göstermek için sumen altı
yaptığı ve bu tür olayları gizleme anlayışının devam ettiği ifade edilmektedir.
İstatistiksel verilerin sağlıklı olmayışı, bilgisayar suçlarının maliyeti ile sayısal
ve çeşitlilik yönünden bilgisayar güvenliği ihlallerinin yoğunluğu konunun gerçek
boyutunu anlayamamamıza sebep olmaktadır. Botnetlerin ve sofistike zararlı
yazılımların kullanımındaki artış, raporlanan siber suçlardan yüzde olarak çok daha
fazladır. Bununla birlikte yüzde olarak daha da artmakta ve hem botnetler hem de
127
kompleks zararlı yazılımlar çoğalmaktadır. Pek çok siber saldırı, kurum tarafından
bir saldırı olduğu anlaşılamadığından veya anlaşılsa bile bunu kamuoyu ile paylaşıp,
böyle bir tecrübe yaşadıklarını dile getirmeye istekli olmadıklarından dolayı
bildirilmemektedir. CERT/CC (Computer Emergency Readiness Team/Coordination
Center) 43 meydana gelen siber saldırıların % 80’inden fazlasının bildirilmediğini
tahmin etmektedir (Dacey, 2003: 7).
Kanun uygulayıcılar siber suçluların elde ettiği gelirleri takip etme konusunda
çok az mesafe kat ettiklerini kabul etmektedirler. Siber suçlular bu duruma karşılık,
online alış veriş servisleri vasıtası ile kanun uygulayıcılar fark etmeden gelirlerini
aklamaktadır. PayPal ve E – Gold gibi online servisler suçlular tarafından en çok
tercih edilen servislerdir. Intermix Media adlı kuruluş, kişisel bilgisayarlardan
kullanıcı bilgilerini casus yazılımlar yayarak gizlice elde ettiği için 7,5 milyon dolar
cezaya çarptırılmıştır. Buna rağmen bu casus yazılımları kullanan siber suçlular, her
yıl milyonlarca dolar kazanmaktadır.
Siber suç uluslararası bir konu olmasına rağmen, ülkeden ülkeye bile siber
suçlarla ilgili düzenlemeler değişmektedir. Siber suç Sözleşmesi, 43 ülke tarafından
oluşturularak Strasburg’ ta faaliyet gösteren Avrupa Konseyi tarafından 2001 yılında
kabul edilmiştir. 2004 yılında uygulamaya sokulan sözleşme, internet ve diğer
iletişim ağlarının izinsiz ihlaline yönelik kabul edilen ilk ve tek uluslararası
sözleşmedir. Sözleşmeye göre, katılımcı ülkeler kendi kanunlarını hacking, fikir
eserlerinin korunması, bilgisayar bağlantılı dolandırıcılık, çocuk pornografisi ve
diğer siber bağlantılı aktiviteler konusunda güncelleme ve birbirine yakın hale
getirme gereksinimi bulunmaktadır. 44 ABD, sözleşmeyi imzalayıp kabul etmiş
olmasına karşın, internet üzerinden yapılan ırkçılık ve yabancı düşmanlığı suçlarını
içeren protokolü anayasa ihlali olacağı görüşüyle imzalamamıştır (Dumount, 2004).
43
Bilgisayar Acil Durum Müdahale Timi/Koordinasyon Merkezi, ağları ve sistemleri korumak için
uygulanması gereken faaliyetleri beş ana başlık altında toplamıştır. Bu başlıklar; 1- Koruma ve
Sağlamlaştırma, 2- Hazırlık, 3- Tespit, 4- Müdahale, 5- İyileştirme’dir. İlk başlık hariç diğer
başlıkların uygulanmasından sonra geri dönüşüm (feedback) sağlanır. CERT/CC bu temel uygulama
yol haritasını geçmiş yıllarda yaşanan güvenlik problemlerinden edindiği tecrübeye göre hazırlamıştır
ve uygulamalara uyulması halinde güvenlik ihlallerinin %80’inin meydana gelmeden önleneceğini
düşünmektedir.
44
Convention on Cybercrime CETS No. 185 adlı belgeye bu adresten ulaşılabilir: http://conventions
.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=185&CM=8&DF=18/06/04&CL=ENG
128
Türkiye bu sözleşmeye tarafa devletlerden biri değildir ve ikinci bölümde
ülkemizdeki
durumla,
sözleşmeye
taraf
devlet
arasındaki
uyum
konusu
değerlendirilecektir. Bundan önce değerlendirilmesi gereken somut bir nokta vardır.
Bu nokta, uluslararası işbirliği mecburi olan siber suçların, 2001’de imzalanan ve
2004’te yürürlüğe giren bu sözleşme hariç ortak bir paydası yoktur. Bilindiği gibi,
siber suçlular gerçekleştirecekleri eylemleri farklı merkezler üzerinden de
gerçekleştirebilmektedirler. Brezilyalı bir hacker oturduğu yerde kahvesini içerken
bilgisayarından, Kongo’daki Rusya Büyükelçiliği bilgisayar sistemine girerek bu
sistem üzerinden, Japonya’da faaliyet gösteren bir araba fabrikasına sibersaldırı
düzenleyebilir. Yukarda değinilen durumdan çok daha karmaşık olayların meydana
geldiğini belirtmek yerinde olacaktır ve işte bu durum uluslararası işbirliklerini
kaçınılmaz kılmaktadır.
Politika ve strateji olmaksızın bu hızlı sosyal yaşama ayak uydurmak mümkün
görünmemektedir. Yeni nesil bu sosyal yaşam alanı, katı ve sınırları olan bir
anlayışla
anlamlandırılamaz.
Ulusal
politikaların
oluşturulması
kapsamında
ülkemizde, bilişim teknolojisi ve siber suçların değerlendirilmesi için, aşağıda
belirtilen hususlara dikkat edilmesi yerinde olacaktır;
1- Yazılan yerel yazılımların güvenliğinin korunması amacıyla, teknik destek
ve güncelleme bağlantılarının, kullanıcılar ve üretici firma tarafından aksatılmaması
için yazılımın tanıtımı amacıyla ufak brifinglerin hazırlanması, firma tarafından
güncel saldırı durumlarının tespiti ve zamanında kullanıcılara aktarımının
sağlanması,
2- İçeriden gelecek tehdit algılamalarının yapılarak, gerekli güvenlik
önlemlerinin alınması, kademeli ve iç içe geçmiş güvenlik duvarlarının (ISO/IEC
15938 veya ISO/IEC 21001 tarzı güvenlik kurulumu) uygulanması ve bir standart
haline getirilmesi,
3- Özellikle kamu kurum ve kuruluşları ile stratejik öneme sahip kurum ve
kuruluşların güncel güvenlik yapılanmalarını takip etmesi, güvenlikten hiçbir zaman
ve safhada kısıtlama yapmaması, bu durumu personele verilecek olan eğitimlerle
desteklemesi,
129
4- Devlet teşekkülleri, özel sektör ve bilimsel çevrenin alınabilecek önlem ve
geliştirilebilecek teknolojileri sivil toplum kuruluşlarını da içine dâhil ederek
düşünmesi, uzun ve kısa vadede stratejiler oluşturması,
5- Adli bilişim konusunda yetişmiş uzman personelden faydalanılması, bu
konuda yetenekli kişilerin eğitim alarak ulusal yargı alanına kaydırılması, hali
hazırda adli konuda görevli personelin eğitimlerinin devam ettirilmesi, adli bilişimde
sürekli gelişimin ulusal politika anlayışı içinde değerlendirilmesi,
6- Değil
ulusal,
kurumsal
bir
siber
saldırı
cevap
birimimiz
bile
bulunmamaktadır. CERT tarzı bir yapılanmanın, Başbakanlık veya MİT Müsteşarlığı
bünyesinde kurulması, bununla birlikte ülkenin güvenlik kurumlarında da bu tür bir
yapının
hazır
olması
gerekmektedir.
Uluslararası
işbirlikleri
çerçevesinde
düşünülmesi gereken bu organizasyonun, ufak bir birim olmaktan ziyade, iyi
derecede temsil için en az şube müdürlüğü veya daire başkanlığı nezdinde faaliyet
göstermesi gerekmesi,
7- TİB tarafından, Emniyet Genel Müdürlüğü ve Jandarma Genel Komutanlığı
siber suç verileri toplanmalı, artış ve eğilimlere yönelik sağlıklı bilgilerin elde
edilmesi sağlanmalıdır. Sağlıklı bilgiler olmadan yapılacak işlemlerin havanda su
dövmekten
farkı
yoktur.
Geliştirilecek
stratejiler
eldeki
verilere
göre
hazırlanacağından, adı geçen kurumların kendi sorumluluk alanlarında meydana
gelen olayları ve özelliklerini tam ve net bir şekilde aktarması gerekmektedir. Kendi
sorumluluk bölgesinde yaşanan olayların fazlalığı veya azlığı nedeniyle, suç
sayılarını gizleme veya arttırma ulusal stratejilerin başından yanlış yürütülmesine
sebep olacağından, bu tür kurumlararası çatışmalarında ortadan kaldırılması
gerekmektedir. Aynı şekilde özel sektör alanında da, meydana gelen siber suç
konularının gizlenmemesi gerektiği yapılacak olan seminer ve toplantılarla ilgililere
anlatılmalıdır.
8- Ülkemizdeki iletişim altyapısı giderek özel sektöre doğru kaymaktadır.
Devlet tekelinden çıkıp özel sektör yapılanmasına giden bu alt yapının güvenliğinin
ve takibinin daha da zorlaşacağı aşikârdır. Bu sebeple yukarıda değinilen konuların,
ülkemizde henüz gelişmekte olan internet altyapısına adapte edilmesi gerekmektedir.
Rusya ve Çin gibi ülkelerin tekelden yönettiği ve hem kontrolünün hem de
koordinesinin kolay olduğu yapılar tarafından, sanal dünyamızın tehdit altında
130
tutulmaması için elzem konuların bir an önce hayata geçirilmesi gerekmektedir.
Sektörel zafiyetlerin ulusal çıkarlara yapacağı olumsuz etkilerin minimuma
indirgenmesi, hasarın en kısa sürede düzeltilmesi ve karşı tepki hızının geliştirilmesi
için, özel ve kamu sektörü arasında oluşturulacak koordinasyonun aksatılmaması,
politika anlayışı içinde olmak zorundadır (Greenemeier, 2007).
Gelecekle birlikte fiber kablolara olan bağımlılığımız şüphesiz daha da
artacaktır. Bilişim teknolojilerine olan bağımlılık sebebiyle kurumlar arası karşılıklı
bağımlıklarında artması kaçınılmazdır. Ülkelerarası savaş durumları ve ulusal
güvenlik politikaları kapsamında atılması gereken adımlar vardır. Özellikle siber
savaş olarak bilinen bilgi savaşlarına yönelik önleyici tedbirlerin, ulusal çıkarlar
kapsamında ele alınması önem arz etmektedir. Ülkemiz adına siber savaş durumuna
ve bilgi savaşlarından korunmaya yönelik olarak ivedilikle,
a) İnternet ve IP adres temelli sistemlerin ve diğer sistemlerle olan karşılıklı
bağımlılığın tespit edilmesi,
b) Sistemin konumunu ve sorumluluğunu, açıkların tespitini ve düzeltilmesini,
tehdidin minimuma indirilmesi ve karşı tepkinin verilmesini içeren kapsamlı bir
koruma planının geliştirilmesi,
c) Geliştirilecek yazılımların, geleceğe yönelik bilgi güvenliğinin, ağ
sistemlerinin ve mobil iletişim teknolojisi alt yapılarının güvenliğine yönelik
tedbirlerin alınması gerekmektedir.
131
ÜÇÜNCÜ BÖLÜM
TÜRKİYE ULUSAL BİLİŞİM POLİTİKASI
3.1. TÜRKİYE’DE BİLİŞİM POLİTİKASI
Türkiye ile AB arasında uzun yıllar tam üyelik müzakereleri için yürütülen diplomasi
çalışmalarının bir meyvesi olarak, 3 Ekim 2005 günü Lüksemburg’da toplanan AB
Hükümetlerarası Konferansı’nda alınan kararla müzakerelerin başlamasına onay
verilmiştir.
AB’nin
Müktesebatının
35
Kopenhag
maddesinden
Kriterleri’nin
biri
olan
önemli
bir
ayağı
Telekomünikasyon
olan
ve
AB
Bilişim
Teknolojileri Politikası’nın (TBTP) Türkiye için önemi ve gelinen aşamada yaşanan
problemlerle bu problemlerin aşılması konusunda çözüm aramak amacıyla, ülke
kapsamında ulusal politikalar oluşturmak üzere değişik çalışmalar sürdürülmektedir.
Bilgi toplumu projeleri bağlamında, toplumun unsurlarından biri olarak kabul
edilen iletişimin, bilişim teknolojileri politikaları ile birlikte anılması tesadüfî bir
olgu değildir. AB’nin temel amaçları içerisinde olan bilişim toplumunun
oluşturulması ve şekillendirilmesi çalışmaları, temel politikalara yansıdığı gibi,
bilişim
teknolojileri
politikalarının
şekillendirilmesi
hedefleriyle
de
desteklenmektedir. Bilişim sektörünün özgür (rekabetçi), güvenli ve gelişmelere açık
bir şekilde oluşturulması kapsamında, teknolojinin daha hızlı ve ucuz hale getirilmesi
çalışmaları bir alt yapı ve alt yapının desteklenmesi politikalarının gerekliliğine işaret
eder. Ülkemizde ise durum, bu politikaların oluşturulmasında, yani sorunun
çözümünün başında bir sorun olarak karşımıza çıkmaktadır. Dolayısı ile sorun
strateji ve politika oluşturmakta değil, oluşturulan bu strateji ve politikaların
uygulanabilirliği ile uygulama iradesindeki isteksizliktedir.
Hâlbuki, ulusal bilgi politikalarının üretilmesi, yönetilmesi, işlenmesi,
erişilmesi ve kullanılması yine ulusal yasalarla korunmasına ve denetlenmesine
bağlıdır. Politikalar genel manada ulusal üretimin ve kalkınmanın üst seviyeye
çekilmesi amacıyla planlandığı için, bilgi politikalarında da tabana yayılma hedef
132
alınmalıdır. Bunun için politikada bir bütünlük, süreklilik ve siyasi dirayet gerekir.
Böylece sosyal alanlarda halkın bilinçlenmesi ve teşviki sağlanır, taban desteği
görmeyen politikaların alışılageldik başarılar elde edebilmesi zor görünmektedir
(McClure ve Dugan, 1996: 216). Ulusal bilgi politikalarının oluşturulması içinse tüm
enstrümanları yönetecek bir kurumun varlığı gerekmektedir. Kaldı ki milli politika
bilgiyi kullanan, alan, işleyen, yön veren kişilerin/uzmanların, teknolojinin
kendisinin, yasal çerçevenin, mali giderlerin ve elde edilebilecek gelirin son olarak
kurumlar arası işbirliğinin ne seviyede olduğu ile de yakından ilgilidir.
Bilgi politikaları düzenlenirken önceliğin ulusal kalkınmaya mı yoksa ulusal
bilinçlenmeye mi verileceği konusunun netlik kazanması gerekmektedir. Aslında
bilgi altyapısından ne anladığımız bu sorunun cevabıdır. Bilgi altyapısı olmadan bilgi
politikası oluşturulamayacağı hemen hemen tüm akademisyenlerin hem fikir olduğu
konu iken, altyapıdan ne anlaşıldığı bir bilim adamından bir başka bilim adamına
göre değişmektedir (Gülle, 1991: 99). Altyapı, teknolojik bir takım gelişmeleri, araç
– gereç ve bağlantı sistemlerini ifade edebileceği gibi, ulusal bilinci, etik anlayışı,
yasal alt yapıyı ve denetim mekanizmasını da ifade edebilmektedir. İşte bu noktada
bilim adamları fikir ayrılığına düşmekte, teknolojiye önem verme noktasında bilinci
geri planda bırakmakta ve yanlışa düşmektedirler. Üretebilmeyi, yasal düzen içinde
çalışma ahlakını korumayı, milli bilişim sektörüne katkıda bulunabilmeyi
öğretebildiğimiz takdirde bir altyapıdan bahsetmek mümkündür, aksine üretimi
tamamlanmış son teknoloji araçları kullanıcının eline vermek, sadece ağlar kurarak
sistemin tüm ülkeye yayılmasını sağlamak, tüketimi körükleyici tamamen kapital
düzene has reklamlara göz yummak, ulusal altyapının tamamlanmasına yetmez.
Güvenli kullanımdan Ar – Ge çalışmalarına, üretimden pazar oluşturmaya kadar pek
çok sacayağı eğitimle birlikte bilişim politikasının temel altyapısını teşkil etmelidir.
Bahsettiğimiz altyapı sürecini tamamlamış ülkelerin, bilişim altyapısını
tamamlayamayan ülkelere göre; ekonomik büyüme ve verimlilik, yeni iş sahalarının
kurulması ve istihdam, Ar – Ge çalışmalarına verilen önem sonucu teknolojik
liderlik, ulusal sermayenin ve beyin göçünün önlenmesi, hizmet sektörlerinin
kalitesinin artması ve az maliyetle ulaşılabilmesi, bilinçli ve eğitimli bireylerin
yetişmesi, kamu hizmetlerinin verimli ve kaliteli hale gelmesi konularında daha
133
avantajlı olacağı altı çizilmesi gereken önemli bir husustur (Gülle, 1991: 99). Yaşam
kalitesindeki artışın suç oranının azalmasına, terör örgütlerinin yürüttüğü karşı
propagandaya büyük darbe vurulmasına ve terörist unsurların olmazsa olmazı olan
halk desteğinin tamamen olmasa da azımsanmayacak derecede azalmasına sebep
olacağı unutulmamalıdır. Bununla birlikte terör örgütleri içerisinde faaliyet gösteren
bireylerin, ülkede cereyan eden standart üstü yaşam anlayışından etkilenerek
eylemlerinden vazgeçmesi, örgütten kurtularak teslim olması, kartopu etkisi ile örgüt
içerinde iç dinamiklerin çökmesi ve toplu silah bırakmalara kadar gidecek zincirleme
bir reaksiyonun yaşanması içten bile değildir. Bahsettiğimiz önermeleri uzatmak
mümkündür fakat konunun özünün insanların yaşam standardına bir değişiklik
getirerek arttırılmasını sağlamak ve böylece terör ideolojisinin önüne geçebilmek
olduğu unutulmamalıdır, bunun en büyük destekçisi ise bilişim alanında yeni iş
sahaları yaratarak ulusal sermayenin geliştirilmesidir.
Bilgi alt yapılarının düzenlenmesinin ardından gelecek için düşünülen
politikaların oluşturulmasına esas olacak unsurlar için önem sırasına göre bir
sıralama yapılması gerekir. Bu sıralamada, bilgi teknolojilerinin alt yapısının
oluşturulmasında maliyet analizi ilk sırada olmalıdır. Bilgi politikalarının
oluşturulması aşamasında gereken finansal ihtiyaç ve bilişim teknolojilerinin üretimi,
dağıtımı ve kamu sektörü ile özel sektörde kullanımı sonucu oluşacak maliyet,
maliyet analizinin kapsamını oluşturur. Ardından bilişim suçlarına yönelik mevzuatın
oluşturulması, yasal çerçevenin çizilmesi, bilişim teknolojisinin gelişmesine katkı
sağlayacak ve olası sorunlara cevap bulabilecek eğitimli profesyonellerin
yetiştirilmesi, teknolojinin kullanıcılara ulaştırılması ve son olarak sivil inisiyatif
örgütlerinin önünün açılması, politika oluşumu içinde söz hakkının verilmesi
gerekmektedir. Politika yapıcıların yukarıda zikrettiğimiz unsurlara aynı hassasiyeti
göstermesi, devamlılık açısından önemli olduğu kadar, inandırıcılık açısından da
önemlidir.
Bilginin hızlı bir şekilde üretimi ile zamanlaması ve tüketimi, globalleşen
dünyada bütün ekonomik ve sosyal faaliyetleri etkilemektedir. Bilginin ekonomik
faaliyetleri etkilediği durumlarda karşımıza bilgiye dayalı ekonomiler ve bilgiye
dayalı ekonomilere sahip toplumlar çıkmaktadır ki bu toplumlara bilgi toplumu
134
denmektedir. Türkiye’de, gelecek için kalkınmanın oluşturulacak bilim politikaları
ile gerçekleşeceğini erken fark eden ülkelerdendir. Gelecek için ulusal politikaların
oluşturulması anlayışı 1961 Anayasası ile kurulan Devlet Planlama Teşkilatı
(DPT)’na kadar uzanmaktadır. DPT’nin ilk kalkınma planı olarak hazırladığı
bilimsel çalışma 1963 yılında yürürlüğe girmiştir ve ulusal bilim ve teknoloji
politikalarının bir merkezden yürütülerek, kalkınmanın hız kazanmasını sağlamak
için Türkiye Bilimsel ve Teknik Araştırmalar Kurumu (TÜBİTAK)’nun kurulması
planlanmıştır. Böylece 1964 yılında ulusal bilim politikalarının oluşturulmasını
hedefleyen ilk kurum faaliyete geçmiştir. TÜBİTAK sadece bir bilim ve teknoloji
koordinasyon kurumu olarak kalmamış, kendi bünyesinde araştırma faaliyetleri de
yürütmüştür. TÜBİTAK tarafından yapılan araştırmaların başında, ulusal bilim
politikalarının
hazırlanması
gelmektedir.
Kurum
bünyesinde
politikaların
oluşturularak takip edilebilmesi amacıyla, Bilim ve Teknoloji Politikası Dairesi
Başkanlığı (BTPD) kurulmuştur. Bütün bilim dallarını kapsayan bir bilim politikası
oluşturulması gayesiyle daha sonra ki aşamada, Türkiye Bilimler Akademisi (TÜBA)
kurulmuştur (1993).
3.1.1. Ulusal Bilişim Politikasının Tarihi Gelişimi ve Mevcut Durum
Tarihsel süreç içerisinde değerlendirdiğimizde, ülkemizde bilim ve teknoloji alanında
bir politika izleme arayışı planlı dönem denilen beş yıllık kalkınma planlarının
yürürlüğe girmesiyle birlikte başlamıştır. I. Beş Yıllık Kalkınma planı ile kurulan
TÜBİTAK bu arayışın ilk sinyalleridir. 1963 yılında faaliyetlerine başlayan
TÜBİTAK bilim ve teknoloji politikalarının oluşturulmasında katalizör bir rol
oynamıştır. Devam eden kalkınma planlarında da teknolojik gelişme ve transferi
konuları ele alınmışsa da, bir politikadan söz etmek için IV. Beş Yıllık Kalkınma
Planının beklenmesi gerekmiştir. Söz konusu politika içeriğinde teknoloji
politikalarının sanayi, yatırım ve istihdam politikaları ile birlikte ele alınması
gerekliliğine değinilmiştir. Böylece bazı alanlarda faaliyet gösteren sektörel
kuruluşların kendi teknolojilerini üretmesi öngörülmüştür (TÜBİTAK, 1999). Sorun
olarak rapora geçen noktalar ise, Ar – Ge faaliyetlerine yetersiz kaynak aktarımı,
ulusal bir bilim ve teknoloji sisteminin oluşturulamaması, sektörel anlamda sanayi
faaliyeti gösteren kuruluşlarla, Ar – Ge kuruluşları arasında oluşmamış bir işbirliği,
135
transfer edilen teknoloji ile ekonominin devamının sağlandığı ve teknoloji
transferinin yüksek maliyet sorunlarıdır (Göksel, 2004: 1 – 2).
Ülkemizde bilişim politikalarının oluşturulması ve oluşturulan politikaların
uygulanabilmesi için atılan esaslı ilk adım ise, 77 sayılı Kanun Hükmünde
Kararname’nin 18181 sayılı Resmi Gazete'de yayımlanması ile 4 Ekim 1983
tarihinde yürürlüğe giren Bilim ve Teknoloji Yüksek Kurulu’nun oluşturulmasıdır.
Yüksek Kurul'un oluşumunu düzenleyen 3'üncü madde ile kararların uygulanmasına
ilişkin 5'inci madde, 18 Kasım 1989 tarih ve 20336 sayılı Resmi Gazete'de
yayımlanan 391 sayılı Kanun Hükmünde Kararname ile değiştirilmiştir. Kurulun
başlıca görevleri;
1. Türk Bilim Politikasının yürütülmesi, uzun vadeli Bilim ve Teknoloji (BT)
politikalarının tespitinde hükümete yardımcı olunması, hedeflerin saptanması,
2. Öncelikli araştırma ve geliştirme alanlarını belirlemek, bunlarla ilgili plan ve
programları hazırlamak, koordinasyonu sağlamak,
3. Araştırma – geliştirme alanındaki plan ve programlar doğrultusunda kamu
araştırma kuruluşlarını görevlendirmek, gerektiğinde özel sektörle işbirliği yapmak
ve özel sektörle ilgili teşvik edici ve düzenleyici tedbirleri saptamak,
4. Bilim ve teknoloji sisteminin etkinleştirilmesi ve geliştirilmesi amacıyla
bilim ve teknoloji alanındaki yasa tasarılarını ve mevzuatını hazırlatmak, araştırma
merkezlerinin kurulması için tedbir almak,
5. Araştırıcı insan gücünün yetiştirilmesi ve etkin bir şekilde kullanımı için
gerekli önlemleri saptamak ve uygulanmasını sağlamak, olarak sıralanmıştır.
Bilim ve Teknoloji Yüksek Kurulu, Başbakanın başkanlığında, ilgili Devlet,
Milli Savunma, Maliye, Milli Eğitim, Sağlık, Orman, Tarım ve Köy işleri, Sanayi ve
Ticaret, Enerji ve Tabii Kaynaklar Bakanları ile YÖK Başkanı, Devlet Planlama
Teşkilatı Müsteşarı, Hazine ve Dış Ticaret Müsteşarları, TÜBİTAK Başkanı ile bir
yardımcısı, TAEK Başkanı, TRT Genel Müdürü, TOBB Başkanı ve YÖK’ün
belirlediği bir üniversitenin seçeceği bir üyeden oluşur. Yasayla yılda en az iki defa
toplanması planlanan Yüksek Kurul’un ilk toplantısı, 9 Ekim 1989’da yapılmıştır
(TÜBİTAK, 2007).
136
Bilim ve Teknoloji Yüksek Kurulu (BTYK), 3 Şubat 1993 günü yaptığı ikinci
toplantıda, 1993–2003 yıllarını kapsayan Türkiye Bilim Politikası dokümanını kabul
etmiştir. Bu doküman kapsamında hedefler, öncelikli alanlar ve bu hedeflere erişmek
için alınması gereken önlemler de tespit edilmiştir (TÜBİTAK, 2003: 3). O tarihte
kaleme alınan bu toplantı raporunun içinde telaffuz edilen bilişim kelimesi,
geliştirilmeye çalışılan politikanın ne kadar ileri görüşlü olduğunun aslında bir
ispatıdır. Gelişen çağa ayak uydurmak, ekonomik düzen dâhil hemen tüm alanlarda
etkisini attırmaya başlayan bilişim teknolojilerinin o dönem içerisinde görülmesi ve
buna karşı önlem alınması kapsamında öncelik verilerek çalışmalara başlanması
günün koşulları altında alınan çok önemli konulardır.
Görüldüğü gibi esasında, AB politikalarından çok daha eski bir tarihte
benimsenmiş olan bu politikaların, sayılan amaçların tamamında ağırlıklı olarak
görülen yetişmiş personel ve AR – GE desteği ile teşvik edilmesi ve o yıllarda
düşünülerek kanunlaştırılması, atılan adımların ne kadar büyük, günümüzdeki durum
göz önüne alındığında ise uygulamaların ne derece küçük kaldığının bir
göstergesidir.
Bilişim Sektörü ile ilgili olarak hazırlanan politika metnine göre, Türkiye'nin
bilişimden gerekli faydayı sağlayabilmesi için:
1. İnsan gücü yetiştirilmesi,
2. Kamu sektörünün öncülüğünde bilişim teknolojilerinin yaygınlaştırılması,
3. Yasal düzenlemelerin yapılması,
4. Bilişim teknolojileri araştırma ve geliştirme projelerinin desteklenmesi ve
hedeflerinin belirlenmesi konularında çalışmalar yapılması karara bağlanmıştır.
Ayrıca alınan önlemlerle,
a. İç pazarda bir rekabet ortamının oluşması ve özel sektörün üretime ve Ar-Ge
faaliyetlerine katılımının arttırılması,
137
b. Üniversitelerde lisans düzeyinde, fen dallarından kaçışı durduracak ve bu
dallara yönelimi teşvik edecek önlemlerin alınması,
c. 1992 yılında uygulamaya konulan ve büyük başarıyla sürdürülen eski
Sovyetler Birliği'nden bilim adamı getirme programının kapsamının genişletilerek
devam ettirilmesi,
d. Küçük ve orta ölçekli işletmelerde araştırma geliştirme faaliyetlerinin
özendirilmesi,
e. Türkiye'de yatırım yapan çok uluslu şirketlerin ülkemizde araştırma –
geliştirme birimleri kurmalarının özendirilmesi,
f. Üniversiteler ve araştırma kurumları ile sanayi arasındaki işbirliğinin
gelişmesinde önemli bir araç olan teknopark faaliyetlerinin TÜBİTAK ile koordine
edilerek yürütülmesi,
g. Patent ve Fikri Mülkiyet Mevzuatının güncelleştirilmesi ve özellikle bilişim
sektörünün en önemli kesimini oluşturan yazılım sektörünün Fikri Mülkiyet Kanunu
çerçevesi içine alınması,
h. İleri Araştırma Merkezleri (Centers of Excellence) kurulması,
i. Hem pozitif hem de sosyal bilimlerin tüm alanlarının kapsayacak Türkiye
Bilimler Akademisi'nin kurulması planlanmıştır (TÜBİTAK, 2003: 6 – 7).
Ülkemizde bir bilişim toplumu oluşturmanın ve bilişimi ülke kalkınmasında bir
araç olarak kullanmanın gerekliliği, sadece yukarda belirtilen çalışma ile
şekillendirilmemiştir. Bu çalışmaya ilave olarak;
1.
1992–1995
yılları
arasında
Bilim-Teknoloji-Sanayi
Tartışmaları
Platformu'na (BTSTP) bağlı Enformatik Alanına Yönelik Bilim-Teknoloji-Sanayi
Politikaları Çalışma Grubu,
2. 1997–1999 yılları arasında Türkiye Ulusal Enformasyon Altyapısı Ana Planı
Projesi (TUENA),
3. Haziran 1998’de başlatılan 9. Ulaştırma Şurası Haberleşme Komisyonu
çalışmaları,
138
4. 18 Temmuz 1995 tarihli Yedinci Beş Yıllık Kalkınma Planı, Bilim ve
Teknolojide Atılım Projesi
5. 27 Haziran 2000 tarihli Sekizinci Beş Yıllık Kalkınma Planı, Bilim ve
Teknoloji Yeteneğinin Geliştirilmesi
6. Mayıs 2002’de Türkiye Bilişim Şurası,
7. Yine 2002 yılında başlatılan e – Türkiye Çalışmaları ve
8. Vizyon 2023 Teknoloji Öngörüsü Çalışmaları,
9. 21 Nisan 2006 tarihinde 2006/14 sayılı Kararla kabul edilen Dokuzuncu Beş
Yıllık Kalkınma Planı Stratejisi (2007 – 2013), geniş katılımlı ulusal bilişim
politikaları belirlenmesinde yardımcı olmak üzere başlatılmıştır (TÜBİTAK, 2002:
12). Yapılan bu çalışmaları gelecekte üretilecek politikaların hazırlanmasında yol
gösterici olarak kısaca irdelemek yerinde olacaktır.
3.1.1.1. Bilim-Teknoloji-Sanayi Politikaları Çalışma Grubu
1992 yılının sonlarında sivil bir girişim olarak kurulan BTST Platformu, “Yaşanan
sorunlara kalıcı çözümler bulmanın, Türkiye'nin bilim – teknoloji ve sanayi
yeteneğini yükseltmekle mümkün olacağı” inancını ile hareket etmiştir. TÜBA,
TÜBİTAK ve TTGV' nin de 1994 yılında bu oluşuma katılmasıyla platform,
Enformatik Çalışma Grubu adını almıştır. Mayıs 1995’de hazırlamış oldukları
politika ve strateji raporu ile uluslararası arenada ülkemizin konumunu
koruyabilmesi ve bu konumu geliştirebilmesi için, ulusal enformasyon alt yapısının
kurulması gerekliliği vurgulanmıştır. Ayrıca, uluslararası arenada pazar payının
genişletilmesi, bunun için ise üretime ağırlık verilmesi ve Ar – Ge çalışmalarına hız
kazandırılarak ulusal bir bilincin oluşturulması, bilinçlenmeyle birlikte ulusal bir
dayanışma ile irade göstererek atılımlara hız kazandırılması ifade edilmiştir
(TÜBİTAK, 2002: 13). Aynı grup bu kez 1992 Ekim’inde “Enformatik Alanında
Düzenleyici Kuruluşlar ve Yeni Politikalar” başlıklı raporu yayımlamıştır. Bu raporla
ülkemizdeki durum ile uluslararası camiadaki sistemler analiz edilmiş, kurum ve
kuruluşların yapıları otopsi edilerek ilgili ülke mevzuatları masaya yatırılmış ve
ülkemizdeki duruma uygunlu bağlamında tavsiyelerde bulunulmuştur.
139
3.1.1.2. TUENA Projesi
1997 yılının haziran ayında başlatılan TUENA projesinin öncesinde, Milli Güvenli
Kurulu Sekreterli, 1996 yılında bir toplantı çağrısı yaparak, ülkenin enformasyon
alanında gelecekte karşılaşabileceği tehditlerin belirlenmesi konusunda kamu
kurumlarından fikir beyan etmelerini istemiştir. Toplantı sonunda Başbakanlık
tarafından 5 Şubat 1996 yapılan yazılı açıklama ile enformasyon teknolojilerinin
geliştirilmesi ve bilgi toplumuna geçişin sağlanması maksadıyla, enformasyon
alanında kamu güvenliği ve menfaatleri, sosyoekonomik, yasal, kurumsal ve
düşünülebilecek diğer hususları da kapsayan bir enformasyon (internet dâhil)
politikasının geliştirilmesine duyulan ihtiyaç nedeniyle Ulaştırma Bakanlığı
sorumluluk
ve
koordinatörlüğünde,
sekretarya
hizmetlerini
TÜBİTAK
Başkanlığı’nın yürüteceği Türkiye’de Enformasyon Politikası ve Enformasyon
Altyapısı Master Planı’nın oluşturulmasını kararlaştırılmıştır.
1999 yılında Ulaştırma Bakanlığı tarafından kabul edilen TUENA projesi
hedefini uzun soluklu bir yapıda inşa etmiş ve vizyonunu; Sürdürülebilir gelişme için
genel sosyoekonomik yararın en çoğa çıkarılması, enformatik sektörünün donanım,
iletişim hizmetleri, yazılım ve içerik sanayi alt dallarında ulusal katkı payını yukarı
doğru sıçratması, küresel enformatik pazarından pay alabilmek için bölgesinde
öncülük yapması ve bu noktaları gerçekleştirecek politikalar ve yapılanmalar
üretilmesi olarak belirlemiştir (Ulaştırma Bakanlığı, 1999).
3.1.1.3. Dokuzuncu Ulaştırma Şurası Haberleşme Komisyonu
Bilgi toplumunun alt yapısı olan elektronik ticaret ile ilgili teknik alt yapının
planlanması ve yönlendirilmesi, ülke kapsamında internet ve diğer iletişim
alanlarının tam anlamıyla bütüncül bir bilinç anlayışı ile kullanıcılara ulaştırılması
amacıyla 1998 yılında bir şura toplantısı olarak gerçekleştirilmiştir (TÜBİTAK,
2002: 16).
140
3.1.1.4. Yedinci Beş Yıllık Kalkınma Planı
Düzenlenen Yedinci Beş Yıllık Kalkınma Planı’nda, Bilim ve Teknolojide Atılım
Projesi başlığı altında mevcut durum, amaçlar, ilkeler, politikalar ile hukuki ve
kurumsal düzenlemeler kaleme alınmıştır. Daha çok Ar-Ge faaliyetlerinin
geliştirilmesi için kaynak artırımı ve bilim adamı yetiştirme konularına değinilmiştir.
Burada devletin bilim, sanayi ve teknoloji yeteneğinin geliştirilmesi amaçlanmış,
ayrıca AB ile uyum çalışmaları kapsamında mevzuat düzenlemelerinin önemine
değinilerek, AB, Japonya ve ABD başta olmak üzere gelişmiş ülkeler ile uluslararası
bilimsel ve teknolojik işbirliğinin geliştirilmesinin önemine vurgu yapılmıştır (DPT,
1995: 70 – 77).
3.1.1.5. Sekizinci Beş Yıllık Kalkınma Planı
Bilim ve Teknoloji Yeteneğinin Geliştirilmesi başlığıyla VI. Bölümde, 1190 madde
ile 1268 arasında bir durum değerlendirilmesi yapılarak, bundan sonraki dönemde ele
alınacak konular ve yapılması gerekenler ifade edilmiştir. Ayrıca aynı çalışmada IV.
Sekizinci Beş Yıllık Kalkınma Planının Temel Amaç, İlke ve Politikaları (2001–
2005) başlığı altında, 59–61 maddeler bağlamında Bilim ve Teknoloji Yeteneğinin
Geliştirilmesi ile Bilgi ve İletişim Teknolojileri alt başlıkları ile planlamalar
yapılmıştır (DPT, 2000: 125 – 131, 226).
3.1.1.6. Türkiye Bilişim Şurası
2002’nin mayıs ayında Ankara’da Başbakanlık Müsteşarlığı, Türkiye Zekâ Vakfı,
Türkiye Bilişim Derneği, Türkiye Bilişim Vakfı ve Türkiye Bilgi İşlem Hizmetleri
Derneği tarafından oluşturulan Türkiye Bilişim Şurası’nın temel amacı ülkemizin
bilgi toplumuna dönüştürülebilmesi ve bilişim teknolojilerini hem kullanan hem de
dünya genelinde üreten bir konuma gelmesi yönünde bir strateji oluşturmaktır.
Varılan noktada kamuoyuna sunulan sonuç bildirgesinde (Bilişim Şurası, 2002);
a. TBMM Bilişim Şurası Kurulu üyesi milletvekillerinin oybirliği ile
kurulmasını benimseyip, taahhüt ettikleri TBMM Bilişim Komisyonu’nun kurulması,
141
b. Gidilecek kurumsal bir düzenlemeyle, ülkenin bilişim stratejilerinin
oluşturulması, uygulamaların koordine ve takip edilmesi ve sorunlara müdahale
edilmesi,
c. Kurumsal yapıya geçilmeden önce geçici olarak Başbakanlığa bağlı
kurumların,
özel
sektör
kuruluşlarının,
sivil
toplum
kuruluşlarının
ve
akademisyenlerin oluşturacağı bir Bilişim Kurulu’nun kurulması,
d. Ulusal programda belirtilen e – Avrupa+ girişiminin ülkemize uyarlanması
bağlamında bir e Türkiye projesinin oluşturulması, bu konuyla ilgili topluma bir e
kültür bilincinin kazandırılması,
e. Devlet sektöründe bütün hizmetlerin e – Devlet yaklaşımı ile yeniden
düzenlenmesi ve verimlilik ile vatandaş memnuniyetinin bu yaklaşımda esas
alınması,
f. Hukuk devleti çerçevesinde, bilgiye ulaşma özgürlüğü, kişisel verilerin
korunması ile fikri emeğin korunması kapsamında bir vizyonun geliştirilmesi,
g. Yenilenen bir eğitim politikası ile toplumun düşünme, öğrenme ve iletişim
alışkanlıklarını geleceğin gereksinimlerine yanıt verecek biçimde değiştirebilecek,
girişimci, esnek, yenilikçi ve sorgulayıcı bir düşünce tarzının teknoloji odaklı olarak
düzenlenmesi,
h. Ülke geneline yayılacak bir Ar – Ge kültürü oluşturmak, uluslararası
düzeyde Ar – Ge faaliyetleri yürütmek ve yazılım alanında üretici ve pazar alanı
geniş bir konuma yükselmek için, AB 6. Çerçeve Programı’na katılım kararının
gereklerinin yerine getirilmesi,
i. ABD ile ülkemiz arasında görüşülen Nitelikli Endüstriyel Bölge
anlaşmalarına bilişim teknolojilerinin de dâhil edilmesini sağlamak, bu kapsamda
üniversitelerimiz ile sanayi firmalarımız arasında işbirliğini destekleyerek, teşvik
mekanizmaları ve yasal düzenlemelerin önünün açılması,
142
j. Ulusal bilişim altyapısının tamamlanmasıyla birlikte, ülkemizin coğrafi
konumundan da yararlanarak Avrasya Sayısal Kavşak Noktası pozisyonuna
getirilmesi,
k. Geniş bant altyapısının desteklenmesi ile internete daha yaygın, ucuz, hızlı
ve güvenli bir yapı kazandırılması, bunun için Sayısal Abone Hattı (DSL)
altyapısının tüm yurdu kapsayacak biçimde oluşturulması,
l. Adil rekabet ortamında iletişimin özelleştirilmesinin sağlanması,
m. Bilişim Şurası Sektörün Gelişimi Çalışma Grubu tarafından hazırlanmış
olan Türkiye'de Yazılım Üretiminin Teşvik Edilmesi Hakkında yasa taslağının
TBMM’ye sunularak yasalaştırılması, konularına değinilerek, Bilişim Reformu
kapsamında tüm siyasi örgütlerin uzlaşı ile bu sonuçları desteklemesi talep edilmiştir.
11 Mayıs 2004 yılında yayınlanan ikinci sonuç bildirgesinde de hemen hemen
aynı konuların altı çizilmiş, bunlara ilave olarak (Bilişim Şurası, 2004);
• Yazılımda Mükemmeliyet Merkezi projesinin hayata geçirilmesi,
• E imzanın yaygın bir şekilde kullanımını sağlam için imza yasasının
önündeki rekabet hukuku ilkelerinin yeniden düzenlenmesi gerekliliği,
• Eğitim faaliyetleri kapsamında MEB projelerinin yanı sıra;
a.
İnsan kaynaklarının geliştirilmesi,
b.
Bilişim okuryazarlığı atılımının başlatılması,
c.
Kariyer odaklı sertifika programlarının uygulanması,
d.
Bilgi Ekonomisi ve Bilgi Toplumu’nun ulusal Ar-Ge ve inovasyon
sistemi üzerinde yükselmesi,
e.
Avrupa Araştırma Alanı ile bütünleşmenin önünü açacak Türkiye
Araştırma Alanı’nın tamamlanması,
143
f.
Kamu ve TSK teknoloji alımlarının yerine, ayrılan bu fonların milli Ar-
Ge faaliyetlerine harcanması ve Ar-Ge faaliyeti görecek lider kurumların
oluşturulması,
g.
Kaynakların bilişim Ar-Ge faaliyetlerine aktarılmasını,
h.
Ar-Ge faaliyetleri için bir ölçme, izleme ve değerlendirme döngüsünün
kurulması,
i.
AB standartlarına yaklaşılması bakımından teknoparkların altyapılarının
genişletilerek, yabancı sermaye akışının hızlandırılması çalışmalarına başlanması,
j.
Firma odaklı İnovasyon sistemlerinin geliştirilmesi, konuları masaya
yatırılmıştır.
3.1.1.7. e – Avrupa+ Hareket Planı ve e – Türkiye Çalışmaları
2000 yılında AB üye ülkeleri, gelecek için bilgi toplumu olma, bilişim sektöründe
gelişmiş ülkeleri yakalama ve pazara hâkim olma arzusuyla e- Avrupa adında bir
proje başlatmışlardır. Buna paralel olarak AB’ye aday ülkeler için de e – Avrupa+
Hareket Planı olarak adlandırılan bir proje yürürlüğe konmuştur. Türkiye de e –
Avrupa+ Hareket Planı projesine dâhil olan ülkelerden biridir ve 2003 yılından
buyana AB, Türkiye’nin bilişim teknolojilerine AB ile uyum durumunu ilerleme
raporları ile takip etmektedir. Uyum çalışmaları kapsamında, 2001 yılı içinde bilgi
toplumu geçiş çalışmalarına hız kazandırmak amacıyla e – Dönüşüm Türkiye projesi
başlatılmıştır. Başlatılan e – Türkiye Girişimi kapsamında Başbakanlık Müsteşarlığı
koordinasyonunda 2001 Ekim ayı içinde 13 çalışma grubu oluşturulmuştur. Bu
gruplar ve koordinatörleri aşağıdaki gibidir (TÜBİTAK, 2002: 17 – 19):
• Eğitim ve İnsan Kaynakları Çalışma Grubu - Koordinatör Kuruluş: Milli
Eğitim Bakanlığı
• Altyapı Çalışma Grubu - Koordinatör Kuruluş: Ulaştırma Bakanlığı
• Hukuki Altyapı Çalışma Grubu- Koordinatör Kuruluş: Adalet Bakanlığı
• Standartlar Çalışma Grubu- Koordinatör Kuruluş: Türk Standartları Enstitüsü
Başkanlığı
144
• Güvenlik Çalışma Grubu- Koordinatör Kuruluş: Genelkurmay Başkanlığı
• E-Ticaret Çalışma Grubu- Koordinatör Kuruluş: Dış Ticaret Müsteşarlığı
• Yatırımlar ve Planlama Çalışma Grubu- Koordinatör Kuruluş: Devlet
Planlama Teşkilatı Müsteşarlığı
• Arşiv ve Dijital Depolama Çalışma Grubu- Koordinatör Kuruluş: Devlet
Arşivleri Genel Müdürlüğü
• Uluslararası İzleme ve E-Avrupa+ Grubu-Koordinatör Kuruluş: AB Genel
Sekreterliği
• Özel Projeler Çalışma Grubu-Koordinatör Kuruluş: Türkiye Bilişim Vakfı
• Mevcut Durumun Tespit Çalışma Grubu- Koordinatör Kuruluş: KAMUNET
Teknik Kurulu
• Ulusal Bazda Takip, Koordinasyon ve İzleme Grubu- Koordinatör Kuruluş:
Türkiye Bilişim Derneği
• Sağlık - Çevre Çalışma Grubu – Koordinatör Kuruluş: Başbakanlık
Mart 2002’de, e – Avrupa+ Girişimi Ara Raporu’na Türkiye katkısı olarak,
Avrupa Komisyonu’na ulusal bazda yürütülen çalışmaların ilk sonuçları iletilmiştir.
3.1.1.8. Vizyon 2023: Bilim ve Teknoloji Stratejileri 45
Muasır bir medeniyet ve bilgi toplumuna ulaşma sürecinde bilim ve teknolojinin
maksimum düzeyde kullanılan bir araç haline getirilmesi büyük bir hedeftir.
Ülkemizde bu hedefe ulaşmak adına geliştirilen diğer bir strateji belgesi de Bilim ve
Teknoloji Yüksek Kurulu’nun 13 Aralık 2000 tarihli toplantısında, 2000/1 nolu
kararla 2003–2023 yılları için Türkiye’nin Bilim ve Teknoloji Stratejileri Belgesidir.
Şu ana kadar incelediğimiz kadarıyla belirli tarih aralıkları ile pek çok bilişim
stratejisi geliştirilmiş, fakat bu stratejiler tam olarak uygulamaya konulamamıştır.
Bunun sebebi olarak ise ortaya bir vizyonun konulamamış olması gösterilmiştir. Bu
bağlamda, ülkemizdeki siyasi erklerin, kamunun, özel kesimin ve üniversitelerin
45
Konuyla ilgili daha detaylı bilgi; TÜBİTAK, Bilim, Teknoloji ve Yenilik Politikaları Daire
Başkanlığı, Vizyon 2023, adlı eserden edinilebilir, (http://www.tubitak.gov.tr/home.do?ot=
1&sid=472&pid=468).
145
ortaklaşa olarak sahipleneceği bir vizyon oluşturma gayesiyle yaklaşık bir yıl süren
hazırlık çalışmaları ardından, 24 Aralık 2001 tarihli Yedinci Bilim ve Teknoloji
Yüksek Kurulu toplantısında, Vizyon 2023: Bilim ve Teknoloji Stratejileri projesi
onaylanmıştır.
Vizyon 2023 Projesinin ana teması; bilim ve teknolojiye hâkim, teknolojiyi
bilinçli kullanan ve yeni teknolojiler üretebilen, teknolojik gelişmeleri toplumsal ve
ekonomik faydaya dönüştürme yeteneği kazanmış bir "refah toplumu" yaratmak
olarak belirlenmiştir. Projede, Türkiye’nin bilim ve teknoloji alanında mevcut
konumunun saptanması, dünyada bilim ve teknoloji alanındaki uzun dönemli
gelişmelerin saptanması, Türkiye’nin 2023 hedefleri bağlamında, bilim ve teknoloji
taleplerinin belirlenmesi, bu hedeflere ulaşılabilmesi için gerekli stratejik
teknolojilerinin saptanması ile bu teknolojilerin geliştirilmesi ve/veya edinilmesine
yönelik politikaların önerilmesi çalışmaları planlanmıştır. Vizyon 2023 Projesi;
Teknoloji Öngörü Projesi, Ulusal Teknoloji Envanteri Projesi, Araştırmacı Bilgi
Sistemi (ARBİS), TÜBİTAK Ulusal Araştırma Altyapısı Bilgi Sistemi (TARABİS)
Alt Projelerinden oluşmaktadır.
3.1.1.9. Dokuzuncu Beş Yıllık Kalkınma Planı Stratejisi
Rekabet Gücünün Artırılması ana başlığı altında düzenlenen Ar – Ge ve
Yenilikçiliğin Geliştirilmesi ile Bilgi ve İletişim Teknolojilerinin Yaygınlaştırılması
alt başlıkları ayrıca Kamu Hizmetlerinde Kalite ve Etkinliğin Artırılması ana başlığı
altında e – Devlet Uygulamalarının Yaygınlaştırılması ve Etkinleştirilmesi alt başlığı
ile düzenlenen Türkiye’nin gelecek bilişim toplumu anlayışında yine Ar – Ge
faaliyetlerinin istenilen düzeye getirilmesi için çalışmaların başlatılmasına,
GSMH’nin 2002 verilerine göre % 0,67 sinin aktarıldığı Ar – Ge uygulamalarının
uluslararası düzeyde rekabet edilebilecek seviyeye getirilmesine değinilmiştir (DPT,
2006: 29 – 30).
Bunun yanında, yetişmiş bilim adamlarının ortalamasının yine 2002 verilerine
göre 10000 kişiye göre % 13,6 da kaldığı, OECD ülkelerinde ise ortalama yüzdenin
66,6 olduğuna değinilerek, 2005 yılında TÜBİTAK tarafından uygulamaya geçirilen
146
Türkiye Araştırma Alanı Programı kapsamında, “Akademik ve Uygulamalı Ar – Ge
Destek”, “Kamu Ar – Ge Destek”, “Sanayi Ar – Ge Destek”, “Savunma ve Uzay Ar
– Ge Destek”, “Bilim ve Teknoloji Farkındalığını Artırma” ve “Bilim İnsanı
Yetiştirme ve Geliştirme” Programlarına atıfta bulunulmuştur.
Ek olarak plan stratejisinde;
a. Elektronik haberleşme sektöründe rekabetin attırılması,
b. Alternatif altyapı ve hizmetlerin hazırlanması ile bilgiye, etkin,
hızlı, güvenli ve uygun maliyetlerle yaygın erişimin sağlanması,
c. Bilgi teknolojileri sektöründe yazılım ve hizmetler alanında bölgesel
ve küresel bir oyuncu olma arzusu,
d. Bilgi ve bilişim teknolojilerinin işletmelerde yaygına hale getirilerek
ekonomide verimliliğin arttırılması,
e. Görsel ve işitsel yayıncılık altyapısının geliştirilmesiyle bilgiye
erişimin daha da yaygınlaştırılması,
f. Elektronik haberleşme hizmetlerindeki yüksek vergi yükünün, bilgi
toplumuna dönüşüm sürecinde makul seviyelere çekilmesi,
g. Geniş bant erişim altyapısının yaygınlaştırılması,
h. Bilgi teknolojilerinde uluslararası rekabetin arttırılması amacıyla,
doğrudan yabancı yatırımlar için uygun ortamların oluşturulması gerekliliği,
i. Bu yolla teknoloji transferinin sağlanması ve
j. Teknopark yazılım ve hizmetler alanında bölgesel ve öncelikli
endüstrileri destekleyecek şekilde ihtisaslaşılması gerekliliği konularına
değinilmiştir. 46
46
Konuyla ilgili detaylı bilgi; 2006/10399 sayılı Bakanlar Kurulu Kararı, Dokuzuncu Kalkınma Planı
Stratejisi (2007–2013) Hakkında Karar, IV.1. Rekabet Gücünün Artırılması başlığı altında, Bilgi ve
İletişim Teknolojilerinin Yaygınlaştırılması adlı resmi evrakta mevcuttur.
147
3.1.2. Ulusal Bilişim Politikasında Yaşanan Temel Sorunlar
1990 yılı değerlerine göre, ülkemizdeki Ar-Ge harcamalarının GSYİH’ ye oranı %
0.33 olup, toplam harcamaların kurumlar arasında dağılımı şöyledir:
Üniversiteler % 69
Kamu kuruluşları % 13
Özel kuruluşlar % 18
Ülkemiz bilime katkısı itibariyle ise 1990 yılında 40'ıncı sıradadır. Bilim
üretimi tekelinin birkaç eklemeyle G8 adı verilen ekonomik bakımdan da dünyanın
en gelişkin ülkeleri olan grubun elindedir. Bu grup toplam bilimsel ürünün yaklaşık
% 80'ini üretmektedir (TÜBİTAK, 2003: 10). 2000 yılına gelindiğinde ise bilim ve
teknoloji göstergeleri açısından Ar-Ge harcamalarının GSYİH içindeki payı %
0,60’a, Ar – Ge harcamalarında özel sektörün payı ise % 0,20’ye yükselmiştir. AB,
ABD ve Japonya verileri ile karşılaştırıldığında, Türkiye’deki kamu ve özel sektör
kuruluşlarının Ar – Ge’ye ayırdığı kaynakların yetersiz kaldığını ve % 2 seviyelerine
yükseltilmesi gerektiği söyleyebiliriz (Kaplan, 2004: 193).
Ülke olarak yaşanan sorunlara sistematik olarak göz attığımızda;
a) Ar – Ge faaliyetlerine tahsis edilen kaynaklar yetersiz olduğunu,
b) Araştırıcı sayısının uluslararası sistem ele alındığında üretim yapabilme
açısından yetersiz olduğunu,
c) Ar – Ge personelinin büyük bir yüzdesini barındıran üniversitelerimizde,
eğitim-öğretim yükünün araştırma faaliyetine pek zaman bırakmayacak ölçüde
yüksek olduğunu, 47
d) Ar – Ge faaliyetlerinin evrensel bir boyut kazanabilmesi bakımından önemli
bir girdi olan kitap ve süreli yayınlar bakımından büyük bir yetersizliğin olduğunu,
47
1990’lı yıllarda Öğretim üyesi başına 50 lisans, 2 yüksek lisans 1 doktora öğrencisi düşmektedir.
148
e) İnsan gücü yetersizliğinin, parasal kaynak yetersizliğinin aksine kısa vadede
çözülebilir bir sorun olmadığını, sorunun çözümü için ciddi bir planlama, kararlı ve
uzun vadede sabırlı bir uygulamanın olması gerektiğini,
f) Evrensel düzeyde bilim üretebilme potansiyeline sahip doktoralı elemanların
yetiştirilmesinden sorumlu kurumların (YÖK, MEB, TÜBİTAK), arasında bir
koordinasyonun olmadığını, bundan dolayı yetişmiş insan gücünün yeterli düzeyde
oluşturulamadığını,
g) Lisans programlarında eğitim gören insanlarımızın ise, nitelik yönünden
erozyona uğramış, güncel olmayan, yaratıcı düşünceye önem vermeyen bir eğitime
tabi tutulduğunu, görmekteyiz.
Ayrıca, özel sektörün araştırma ve geliştirme konularında, gelişmiş ülkelerdeki
payı düşünüldüğünde ülkemizde bu konuda atılması gereken adımlara ihtiyacı vardır.
Bununla birlikte yabancı yatırımında teşvik edilmesi elzemdir. Yarı kapalı bir sistem
ülkemiz için uygun olandır. Keza gelişmekte olan bilişim teknolojileri alanında,
teşviklerin ekseriyetle milli olmasına özen gösterilmelidir. Yerli yatırımcılara
sağlanacak teşviklerin bir prosedür, inceleme ve denetleme mekanizmasından
geçerek aktarılması şarttır. Fakat daha önce de değinildiği gibi yabancı yatırımın
ülkemizde göstereceği etkinlikte önemli bir kazanç sağlayacaktır. Bu bağlamda Ar –
Ge altyapıları ile ülkemize gelen yabancı yatırımdan olumlu yönde istifade
edilebilecektir. 2006 verilerine göre 399 milyar 673 milyon dolarlık GSMH’si olan
ülkemizin (Yılmaz, 2007), bilişim sektöründe sözü geçen ve 31 Ekim 2006’da sona
eren mali yılsonunda 91,7 milyar dolar cirosu olan HP firmasından yararlanabileceği
çok daha fazla alan olduğuna inanmak gerekir (HP, 2007). Ulusal politikamızda ise
böyle bir öngörü henüz oluşturulamamıştır. Yatırımların yanında gelişmiş
uluslararası ve çokuluslu dev bütçeli firmaların Ar – Ge altyapılarının ülkemizde de
faaliyetlerde bulunması noktasında üzerimize pek çok görev düşmektedir. Piyasayı
korkutmadan yapılacak hukuki düzenlemelerin bu noktada yardımcı olacağı
düşünülebilir. Bununla birlikte, kamusal veya özel sektör işbirlikleriyle geliştirilecek
ikili ilişkilerin bahsedilen altyapı faaliyetlerini ülkemize kaydıracağı pragmatik bir
yaklaşımdan ziyade realist bir düşünce olarak görülmelidir.
149
İngiltere, ABD, Almanya, İsviçre, İsveç, Fransa, Hollanda ve Belçika
19.Yüzyılın ikinci yarısı ile İkinci Dünya Savaşı öncesindeki dönem içinde,
Danimarka 60'lı yılların başında, İtalya ve Japonya ise 70'li yıllarda, ileri ve özellikli
üretim faktörlerinin tam anlamıyla sağlanması ile teknolojik rekabet gücüne
ulaşmışlardır. Yakın geçmişte bu aşamayı geçerek yatırıma dayalı bir rekabet gücüne
sahip hale gelen tek ülke Güney Kore'dir. Tayvan, Singapur, Hong Kong, İspanya ve
bir ölçüde de Brezilya, G.Kore gibi temel üretim faktörlerine dayalı rekabet gücünü
aşma yolundadırlar.
Bilişim, biyoteknoloji ve ileri düzey teknolojik malzemelerin üretilmesi
konularının, ülkemiz bağlamında üretimi ve ihracatı gibi belirli noktalara gelmesi,
tarihi bir strateji olan teknolojiyi transfer etmek, transfer edileni öğrenmek ve
özümsemek, öğrenilip özümseneni ekonomik anlamda icraata dönüştürmek, üretilen
yeni milli teknolojiyi geliştirerek bir üst seviyeye çıkarmak ve sağlanan bu
gelişmelerin kurumlaşmasını ve bir ahlak haline gelmesini sağlayacak yapıların
oluşturulmasını sağlamak döngüsünde saklıdır. Teknoloji transfer döngüsünün
önemini, 2,5 trilyon dolarlık dünya iletişim ve bilişim pazarının yüzde 12’sini
yazılım sektörünün oluşturduğunu söyleyerek vurgulayabiliriz. Keza, Türkiye’nin
yazılım alanında 109 milyon dolarlık dışalımı ile 18 milyon dolarlık dışsatımı göz
önünde bulundurulduğunda bahsedilen döngü teorisinin önemi ülkemiz adına daha
da artmaktadır (Ulusaler, 2007: 40). Fakat ülkemiz genelinde TÜBİTAK haricinde
Ar – Ge faaliyeti gösteren, iyi bir bütçe finansmanı ile desteklenmiş, yetişmiş
personel sayısı bakımından üstün bir kamu kurumu yoktur. Bu konuda özel sektör
içinde tam anlamıyla Ar – Ge faaliyeti gösteren bir kuruluş zaten bulunmamaktadır.
Yıllardır üstüne basılarak defalarca tekrarlanan Ar – Ge ihtiyacı ve önemi ülkemizde
hem kamu alanında hem de özel sektörde kavranamamıştır. Personel ve finansman
sorununun aşılması, uzay ve savunma araştırmaları ile bilim parklarının
oluşturulması gelecek on yıl içinde bilişim teknolojileri ve buna paralel olarak bilgi
toplumu vizyonunun yakalanmasına yardımcı olacaktır (DPT, 2005). Ar – Ge’ye
ayrılan mali pay oranı AB içinde 2003 verilerine göre 1.81’dir ve yine 10.000 çalışan
başına düşen Ar – Ge personeli ve araştırmacı sayısı sırasıyla 102 ve 59’dur. 2010
yılında AB tarafından Ar – Ge’ye ayrılan mali pay oranı % 3 olarak hedeflenmiştir.
Tüm bu verilerin yanında 2004 yılı içinde Türkiye’de 10.000 çalışan başına düşen Ar
150
– Ge personeli ve araştırmacı sayısı sırasıyla 18 ve 16’dır. Türkiye’de 2010 yılı için
hedeflenen Ar – Ge’ye ayrılan mali pay oranı ise % 2’dir (Çiftçi, 2006). Üretilen
strateji ve politikaların zamanın şartlarına göre yeniden düzenlenmemiş olması,
hepsinden önemlisi üretilen politikaların bile ciddiye alınmadan bir kenara bırakılmış
olması son 20 yıl içinde ülkemizin Bilişim sektöründe global bir aktör olamamasının
rasyonel birer nedenidir.
Bilişim politikalarının seyrinde gitmesine engel bir diğer konuda çıkarılan
yasaların gerektiği gibi kullanılamaması, bundan da öte yasaların uygulanması için
yasa ihlallerinin tespitinin merkezi bir kurum tarafından takip edilememesidir. Bu
konuda yaşanan en büyük sıkıntı ülkesel bir fikri mülkiyet hakkı gaspıdır. Değerlerle
ifade etmek gerekirse IDC’nin 2006 yılı raporuna göre Türkiye’de % 64 oranındaki
korsan yazılım kullanım oranını sadece % 10 düşürmek:
• Türkiye’deki yazılım sektörünü % 120 büyüterek 5,3 Milyar dolar büyüklüğe
ulaştırabilir,
• 2008 – 2011 yılları arasında GSYİH’ya 625 milyon dolar ilave kaynak
oluşturulmasını sağlayabilir,
• 36,000 kişiye istihdam yaratabilir,
• Ekonomiye bir milyar dolar katkı sağlayabilir ve
• Vergi gelirlerinde de 80 milyon dolar artışa olanak sağlayabilir.
Korsan yazılım kullanmak kamu kurumlarında bile görülen bir hastalık olarak
karşımıza çıkmaktadır. Hiçbir teknik desteği olmamasına, güvenilirliği ve verimliliği
bulunmamasına rağmen kullanılan korsan yazılımların önüne geçebilmek içinse,
1. Dünya Fikri Mülkiyet Hakları Kuruluşu’nun (WIPO) yayınladığı
yükümlülüklere uygun şekilde, Ulusal telif hakları yasalarını güncellemek,
2. Dünya Ticaret Örgütü (WTO) tarafından yayınlanan yükümlülüklere uygun
olarak güçlü yaptırım mekanizmaları oluşturmak, korsanlığa karşı katı kanunlar
çıkarmak,
151
3. Konuyla ilgili eğitimlere ağırlık vererek toplumu ve kurumları korsan
yazılım kullanımı konusunda bilinçlendirmek, kamu ve özel sektörde yasal
yazılımların kullanılmasını zorunlu kılarak denetimleri kolluk ve maliye görevlileri
ile teknik bilgiye sahip uzman kişiler aracılığıyla ulusal bazda gerçekleştirmek,
gerekmektedir (IDC, 2008).
Son olarak, ulusal politikalara ve ülkenin demokratik anlayışına ters düşen
kamuoyunda 5651 sayılı kanun olarak bilinen ve 04.05.2007 tarihinde yürürlüğe
giren İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla
İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’a değinmek gerekmektedir.
Bilindiği gibi kanunun uygulanmasından sorumlu olan kurum Telekomünikasyon
Kurumu’dur ve ilgili kanunun Erişimin engellenmesi kararı ve yerine getirilmesi
başlığı altında düzenlenen 8. maddesi uyarınca internet ortamında yapılan ve içeriğinde;
• İntihara yönlendirme (TCK madde 84),
• Çocukların cinsel istismarı (TCK madde 103, birinci fıkra),
• Uyuşturucu veya uyarıcı madde kullanılmasını kolaylaştırma (TCK madde
190),
• Sağlık için tehlikeli madde temini (TCK madde 194),
• Müstehcenlik (TCK madde 226),
• Fuhuş (TCK madde 227),
• Kumar oynanması için yer ve imkân sağlama (TCK madde 228) ve
• 25.7.1951 tarihli ve 5816 sayılı Atatürk Aleyhine İşlenen Suçlar Hakkında
Kanunda yer alan suçları, oluşturduğu hususunda yeterli şüphe sebebi bulunan yayınlarla ilgili olarak erişimin engellenmesine karar verilir denmektedir.
Görüldüğü gibi terör suçları bu kapsama dâhil edilmemiştir. Bundan daha
vahim bir konu olarak erişimin engellenmesi kararı verilen sitelerin, tamamen
ulaşılamaz şekilde süresiz olarak kapatılmasıdır. Bilindiği gibi ilgili sitelerin
kapatılması yalnızca Türkiye’den kullanıcıları etkilemekte herhangi bir şekilde diğer
152
ülkelerde siteye erişilememesi gibi bir durum söz konusu olmamaktadır. Demokratik
bir ülke olma yolunda atılan dev adımların ve AB ile sürdürülen tam üyelik
müzakerelerinin altını oyar şekilde yürürlüğe konulan bu madde ile uluslararası
arenada puan kaybetmekte olduğumuzu görmek zorundayız. Kaldı ki, kapatılan
sitelerde kanunlara aykırı unsurların varlığı kadar bilgilendirici envanterde
bulunmaktadır. Sitenin tamamen hizmete kapatılması, yasal bilgi arayan kullanıcıları
da cezalandırmak anlamına gelmektedir. Ayrıca internet kullanıcıları biraz araştırma
ile kapatılan sitelere girmenin yolunu zaten bulmaktadırlar. Bu da yeni oluşan bilgi
ve bilişim toplumu bilinçaltını olumsuz yönde etkilemektedir. İnsanları suça
karışmaya iten bir yasa düşünülemeyeceği gibi, tamamen yasal verilerden
yararlanmak
isteyen
kullanıcıların
engellenmesi
uluslararası
toplumda
açıklanabilecek bir şey de değildir. Bunun yerine terör suçlarını da kapsayan şekilde
derlenmiş, site kapatmayı değil fakat ilgili suç unsuru yayına ulaşmayı engelleyici ve
engellenen suç fiilinin, ilgili sitenin, hangi kapsamda ne kadar süre ile yayının
engellendiğinin kamuoyu ile paylaşıldığı bir yaklaşım benimsenmelidir. Tüm
bunların ötesinde karar verici olarak adli mercilerin konuyla ilgili eğitilmesi,
bilinçlendirilmesi gerekmektedir. Bilişim ve internet kapsamında işlenen suçlara
bakacak ihtisas mahkemelerinin en kısa sürede kurulması ve faaliyete geçmesi ise
gelecek yıllarda oranı giderek artan siber suçların çözümlenmesinde önemli bir atılım
olacaktır.
3.1.3. Ulusal Bilişim Politikasının Analizi
Daha önceki ifadelerde ülke planlaması çerçevesinde ulusal bilişim politikasının
günümüze kadar olan dönemde etkinliğine değinilmiş olsa da, derinlemesine bir
analizin yapılması ileriki dönemde uygulanma şansı yakalayabilecek politikaların
etkinliği açısından gereklidir. Geri besleme olarak da değerlendirilebilecek bu analiz
anlayışı bu güne kadar yapılanların ve yapılması gerekenlerin neler olduğu
konusunda bir yol haritası olarak kullanılabilir.
Özel ve yerel teşebbüslerin önünü açmak kamunun yapması gereken
eylemlerden biridir fakat ülkemizde son 15 yıl için bu konuda, telekom, cep telefonu,
mobil telefon ve internet teknolojileri kapsamında kamunun gelişmenin önünü
153
açacak bir politikası olmamıştır (Salman ve Yapıcı, 2007: 31). Dolayısı ile etkin bir
bilişim teknolojileri politikası da uygulanamamıştır. Bu konuda örnek alınabilecek
İsrail, İrlanda ve Hindistan gibi ülkelerde ise kamu desteği ile geliştirilen eğitim
reformları, özel sektörün etkin bir bilişim alt yapısı oluşturulmasında kullanılmıştır.
Altyapının ve yazılım teknolojilerinin gelişmesinde daha önce de bahsedilen
teknoloji transferi ve transfer edilen teknolojinin uyarlanması liberal bir sisteme
sahip olmayan Çin’de bile en üst seviyede uygulanabilmişken, neden sonra
ülkemizde de bu sistemin uygulanabilirliği gündeme gelmiştir. Önümüzdeki on yıl
içinde bilişim teknolojileri bağlamında bir merkez haline gelecek olan Çin’in batıdan
akan müşteri ülke potansiyelinin bir kısmının yatırımların, eğitimin ve bilişim
kültürünün geliştirilmesiyle ülkemize çekilmesi gerekmektedir. Ülke olarak sağlam
politikalar uygulandığında başarılı sonuçlar alındığını e-devlet dönüşüm projesinde
görmekteyiz. Örneğin, OECD Türkiye e – Devlet İncelemesi 2007 sonuçlarına yer
verilen raporda, Türkiye’nin iş dünyası için verilen kamu hizmetlerinin olgunluk
düzeyinde % 84 oranıyla, İzlanda, Norveç ve İsviçre’nin de dâhil edildiği AB 25
ülkelerinin ortalaması olan % 86’yı yakaladığı belirtilmiştir. Capgemini adlı
araştırma şirketinin Eylül 2007 raporunda da Türkiye’nin de İzlanda, Norveç ve
İsviçre ile birlikte dâhil edildiği AB 27 için ortalama iş dünyasına sunulan sekiz
hizmetteki olgunluk düzeyinin % 84 olduğu, Türkiye’nin ise % 86 ile bu ortalamayı
aştığı belirtilmiştir. Fakat aynı etkinlik performansı yurttaşlara yönelik hizmetlerde
yakalanamamıştır. Yine OECD Türkiye e – Devlet İncelemesi 2007 sonuçlarına göre
% 55 düzeyiyle, üç gelişmiş ülkenin de dâhil edildiği AB 25 ortalaması olan % 68’in
gerisinde kalınmıştır. Capgemini şirketinin araştırması da yakın sonuçlarla
(Vatandaşa verilen hizmette söz konusu ülkelerdeki olgunluk düzeyi % 70’i
bulurken, Türkiye’de % 57’dir.) durumu istatistiksel olarak değerlendirme imkânı
vermektedir. Etkinlik analizi, mali analizle birlikte ele alındığında ise Bilgi Toplumu
Stratejisi çerçevesinde kamunun 2006–2010 yılları arasında yapması planlanan 2
milyar 884 milyon YTL’lik yatırım tutarının, kamunun 2002–2006 dönemini
içerisinde 2007 yılı fiyatlarıyla yaptığı harcama tutarı olan 2 milyar 954 milyon
YTL’nin gerisinde öngörülmüş olduğu ortaya çıkıyor (TMMOB, 2007: 58 – 59).
Böylece geleceğe dönük atılması gereken adımların daha küçük olması durumu ile
karşı karşıya olduğumuzu görüyoruz. Hal böyle olunca da politikaların etkinliğinin
önemli bir ayağı olan mali destek konusu zayıf kalıyor. AB ile diğer bilişim
154
teknolojileri ve bilgi toplumuna geçiş yapmış olan ülkelerin finansal kaynak aktarımı
konusunda gösterdiği başarılı performans artırımı bu durumda gelecek için ülkemiz
adına bir hayal olmaktan öteye gitmeyecektir.
Elbette mali kaynak aktarımı başlı başına etkinlik için bir kıstas değildir.
Özellikle politikaların uygulanmasında en başta eğitimin yeterli düzeyde verilmesi,
verilen eğitim sonunda alt yapının oluşturulması bakımından sürdürülebilir iş
olanaklarının ve Ar-Ge yatırımlarının tüm kamu ve özel sektör nezninde
geliştirilmesi gerekmektedir. AB’nin 6. Çerçeve Programı dâhilinde 200 milyon Euro
ile programa destek veren ülkemizin sadece 50 milyon Euro’luk proje alması, mali
kaynak aktarımının yeterli olmadığını bize göstermektedir. Toplam bütçesi 53,2
milyar Euro olan Avrupa Araştırma – Geliştirme (Ar – Ge) Ortak Pazarı'nın
kurulması hedefiyle oluşturulan 7. Çerçeve Programı 'na da katılan ülkemizin en
başta düşünmesi gereken konu uluslararası boyutta kabul görecek projelerin hayata
geçirilmesi, bundan da önemlisi bu tür projelerin oluşturulmasında kamu ve özel
sektöre gerekli eğitim ve bilginin verilmesinin sağlanmasıdır (Radikal, 2007).
Ufak bütçeli etkin eğitim programları ile büyük bütçeli projelerin hayata
geçirilmesi sosyal refah düzeyimizin artmasına da katkı sağlayacaktır. Bu bağlamda
TÜBİTAK tarafından hali hazırda 6. Çerçeve Programı fiyaskosunun ardından
verilmeye başlanan eğitim çalışmaları (TÜBİTAK, 2006a: 6 – 7) mevcutsa da bu
eğitimlerin kapsamının ve sürelerinin uzatılmasında fayda vardır. Eğiticilerin
çoğaltılması
kapsamında
verilecek
eğitim
kurslarının
da
yararlı
olacağı
düşünülmelidir. Devlet memuru olma şartı aranmaksızın özel iş çevreleri ve sanayi
kuruluşlarından, üniversitelere kadar her daldan personelin eğitim kurslarına
katılması için fırsat ve imkân yaratılmalıdır.
Eğitim ve bilinçlenmenin önemi kendini TÜBİTAK tarafından başlatılan kurs,
seminer, çalıştay ve sektörlere yönelik farkındalık programları ile daha da
hissettirmiştir. 2005 yılında tamamlanan TÜBİTAK değerlendirmesine göre
ülkemizin son dört yıllık performansı değerlendirildiğinde, programa katılım
sağlayan kuruluşların performansının her yıl artmakta olduğu ve değerlendirmede
başlangıçta % 10,5 olan ülkemiz kuruluşlarının yer aldığı proje konsorsiyumlarının
155
kabul oranının, son iki yılda % 19,3’e çıktığı belirtilmektedir. Ayrıca bu son iki yıllık
kabul edilme oranının AB ortalamasıyla aynı düzeyde olduğu ve 6. Çerçeve
Planı’nda Çerçeve Programlarına ilk kez tam katılım sağlayan tek aday ülke
olmasına rağmen en çok fon geri dönüşü sağlayan aday ülke haline geldiği
söylenmektedir (TÜBİTAK, 2006a: 11).
Şekil 3: Ülkemizin 6. Çerçeve Planı’ndaki Başarı Durumu 48
Organizasyonel anlamda etkinlik konusu değerlendirildiğinde, AB 6. Çerçeve
Programı’na ülkemizden giden proje ortaklığı başvurularının organizasyon tiplerine
göre dağılımı; üniversiteler % 54, KOBİ’ler % 17, araştırma merkezleri % 15,
endüstri kuruluşları % 6, STK’lar % 3, Devlet Kuruluşları % 1 ve diğer % 5 olarak
biçimlenmiştir. Görüldüğü gibi başvuru sayısının hemen hemen yarısı üniversiteler
tarafından gerçekleştirilmiştir. Bunun en büyük sebebi ise Ar – Ge harcamalarına
ayrılan paydır. 2003 yılı istatistiklerine göre, ülkemizdeki tam zamanlı Ar-Ge
personelinin % 63,2’si üniversitelerimizde, % 20,5’i sanayi sektöründe ve % 16,3’ü
devlet kuruluşlarımızda görev yapmaktadır. Türkiye’de 2004 yılında yapılan toplam
Ar – Ge harcamaları içinde üniversitelerimizin, sanayi kesiminin ve kamu kesiminin
payları ise sırasıyla % 67,9, % 24,2 ve % 8’dir. Doğal olarak üniversitelerimiz
yapılan içsel yatırımları geleceğe dönük politikaların hayata geçirilmesinde olumlu
kullanabilmişken, içsel yatırımlarını Ar – Ge’ye aktarmayan devlet kuruluşları ise
politikaların devam ettirilmesi bağlamında somut adımlar atamamışlardır.
48
TÜBİTAK, 2006a: 11.
156
Şekil 4: Organizasyon Tiplerine Göre AB Çerçeve Programı’na Katılım 49
Şekil 5: Desteklenen Projelere Göre Organizasyonların Etkinlik 50
.
49
50
TÜBİTAK, 2006b: 5 – 6
TÜBİTAK, 2006b: 5 – 6
157
TÜBİTAK, Kamu kuruluşlarımızın 7. Çerçeve Programında daha etkili katılım
sağlamalarına katkıda bulunmak amacıyla, AB Çerçeve Programları Ulusal
Koordinasyon Ofisi tarafından Kamu Farkındalık Programı başlatmıştır. Programın
amacı ise kamu kurumlarımızı Çerçeve Programları hakkında bilgilendirmektir ve bu
kapsamda çeşitli faaliyetler yürütülmektedir. Avrupa Komisyonu tarafından
desteklenen proje ortaklıklarına bakıldığında da yine toplam ortaklıkların % 51’inin
üniversiteler, % 20’sinin araştırma merkezleri, % 15’nin KOBİ’ler, % 5 endüstri
kuruluşları, % 3 STK’lar, % 1 devlet kuruluşları ve % 5 diğer kuruluşlar tarafından
yerine getirildiği görülmektedir (TÜBİTAK, 2006b: 2 – 14). Toparlamak gerekirse,
başvuru ve uygulanabilirlik bağlamında en etkili organizasyonumuz üniversitelerimiz
iken, Devlet Kurumlarımız en pasif organizasyon olarak karşımıza çıkmaktadır. Bu
konuda söylenebilecek diğer önemli husus ise Ar-Ge yatırımları ile etkinliğin
birbirine paralel olarak seyrettiği gerçeğidir.
158
DÖRDÜNCÜ BÖLÜM
ULUSLARARASI ALANDA BİLİŞİM SUÇLARI
4.1.
ULUSLARARASI
SİSTEMDE
BİLİŞİM
SUÇLARININ
HUKUKİ
DURUMU
Bilişim teknolojileri küresel anlamda son 20 yıl içinde, devletler, özel sektör
kuruluşları ve bireysel kullanıcılar tarafından giderek artan bir oranda kullanılmaya
başlanmıştır. Hızlı bir şekilde yukarıda bahsedilen öğeler, her gün artan oranda
ağlarla birbirine bağlanmakta, ulusal ve uluslararası bir yapının, bir kültürün
oluşmasına bir şekilde katkıda bulunmaktadırlar. Oluşan kültürün ve ayrı bir
medeniyet olarak karşımıza çıkan bu iletişim ağının, güvenliği ise büyüdükçe daha
da zorlaşmaktadır. Güvenliğin sağlanması ve hepsinden önce sağlanan güvenliğin
korunması bilişim teknolojilerinde ele alınması gereken önemli bir konudur.
Güvenlik konusu esas itibariyle iki ucu keskin bir bıçağa benzetilebilir. Aşırı
güvenlik tedbirleri, iletişimin ve etkileşimin hızını düşürürken, kişisel özgürlükleri ve
kişi mahremiyetini olumsuz yönde etkileyebilme kapasitesine sahipse, güvenlik
tedbirlerinin azaltılmış seviyede uygulanması da aynı şekilde kişi mahremiyeti ve
özgürlüklerinin kötü niyetli kullanıcılar tarafından ihlal edilebilir bir hale gelmesine
neden olabilir.
Artan oranda teknolojik gelişmelerle desteklenen internet alt yapısı günümüzde
dünyayı kapsama alanı içine almış ağlar bütününden teşkil bir yapıdır. Kurumlar
yada kişiler arasında kullanılan kapalı ağ sistemi yerini global bir kablo bağlantısına
bıraktığı gibi, kablosuz iletişimle de mobil bir hal almıştır. İnternet özellikle mali,
enerji ve ulaştırma gibi hayatın ve devletlerin stratejik alt yapı sistemlerini de
destekler bir yapı haline dönüşmüştür. Devletler haricinde ulusal veya uluslararası
ticaretle uğraşan firmalarda internetin kitlelere ulaşma ve verimlilik faydalarından
yararlanmaktadırlar. Büyüyen iletişim ağının faydalarının yanında, güvenlik
zaaflarından kaynaklı zararları da mevcuttur. Pek çok bakımdan güvenlik
sistemlerinin etkilenebileceği çeşitli tehdit uygulamaları artan oranda kullanıcıları
159
rahatsız etmektedir. Tehditlerin tamamen önlenmesi mümkün olmamakla birlikte
alınacak önlemler ve kazandırılacak bilinçle birlikte, hasarın meydana gelmesinden
sonra yapılacak müdahalelerle hasarın büyümesini önlemek ve tehdidi etkisiz hale
getirmek mümkündür. Hizmeti sunan ve hizmeti alanların, tehdidin zararlarından
minimum düzeyde etkilenmesi, sistemin güvenli bir şekilde tekrar hizmete
sunulması, benzer tehditlere karşı güvenlik şemsiyelerinin oluşturulması, tehditle
birlikte elde edilen tecrübenin aynı tehdidin varyasyonlarına karşı geliştirilerek
güvenlik sistemine dahil edilmesi elbette bir bilişim toplumu kültürü ile mümkündür.
Bu konuda en başında atılması gereken adım ise güvenlik ile ilgili politikanın,
bilişim teknolojileri kullanıcılarına uygun bir şekilde anlatılması ve bilişim
teknolojileri
güvenlik
kültürünün
kazandırılmasıdır.
Kamu
politikaları
ile
desteklenecek sivil bilinçlenme, bu işi yerine getirecek STK’ların teşvik edilmesi ve
yönlendirilmesi ile mümkündür. Bununla ilgili olarak yapılacak değerlendirmede,
kamunun
mevcut
politikasını
yeniden
yapılandırması,
uygulamaya
dönük
faaliyetlerin, önlem ve prosedürlerin ise gözden geçirilerek revize edilmesi gerekir.
Bilişim teknolojilerinde, ulusal ve uluslararası yapının, sosyal ve ekonomik
bağlantıların belirli ve belirli olmayan tehditlere karşı güvenliğinin arttırılması, bu
konuda meydana gelecek olumsuz bir olayın uluslararası işbirliği ile desteklenerek
çözüme kavuşturulması, ortak bir medeniyeti kullanan bizlerin yararınadır.
Bilişim sistemleri kullanılarak gerçekleştirilen suç fiillerinin coğrafi olarak
sınırlandırılması mümkün değildir. Bilişim suçu, Türkiye’de bulunan bir fail
tarafından Çin ağ sistemi üzerinden faydalanılarak Avustralya’da yaşayan bir
öğretmenin kendi evinde kullandığı kişisel bilgisayarına yönelik olarak icra
edilebilir. Bu durumun çok daha karmaşık olan yapıları da mevcuttur ve olasılık
dahilindedir. Siber suç olayının yaşanmasının ardından, suçun faili hakkında işlem
başlatılıp başlatılmayacağı, başlatıldı ise sonucu ve failin alacağı ceza durumu
ülkeden ülkeye değişmektedir. Özellikle suç fiilinin takibi ve suçlulara yönelik
caydırıcılığın sağlanabilmesi için uluslararası arenada ortak bir konsensüsün
sağlanması ve işbirliğinin sağlam temeller üzerine oturtulması gerekmektedir.
Günümüzde yapılan işbirlikleri şu aşamada ikili işbirliklerine dayalı bir şekilde
devam etmektedir. Bazı uluslar üstü organizasyonların global işbirliği çalışmaları
160
mevcutsa da, genel itibari ile tamamlanan çalışmalar organizasyona üye ülkelere
ortak ve kalıcı bir birliktelikten yoksun olarak tavsiye niteliği taşımaktadır. Yinede
tavsiye niteliği taşıyan ortak kararların alınabilmesi bile, ileriki aşamada ortak
fikirlere sahip ülkelerin ortak ve kalıcı kararlar alabilmesi için önemli bir aşamanın
tamamlanması anlamına gelmektedir. Bilişim sistemleri ile ilgili düzenlemelere
ulusal ve uluslararası örnekler üzerinden baktığımızda genel olarak, dolandırıcılık,
sahtekarlık, sabotaj, verilere zarar verme, verilerin hukuka aykırı olarak ele
geçirilmesi, veri hırsızlığı ve sisteme izinsiz girerek gerçekleştirilen eylemler
konusunda düzenlemeler yapıldığını görmekteyiz.
Bilişim suçlarının tasnifi konusunda farklı tanımlamalar yapılmakta, bu
durumda ortak bir bilişim suçu tanımı yapılmasını zorlaştırmaktadır. Bilişim suçları,
teknolojiye bağımlı olarak hedef ve şekil değiştirirken, teknik olarak işleniş
biçimlerinde de farklılıklar yaşanmaktadır. Bu hızlı değişim doğal olarak hukuki
durumu etkilemekte, sonuçta ceza yaptırımlarının niteliği değişmektedir. Genel
olarak değişen şekline rağmen bilişim suçlarının büyük bölümü ekonomik suç
kapsamında işlenmektedir. Avrupa ülkelerinin oluşturduğu organizasyonlarda
konuya bu şekilde yaklaşmaktadır (Yücel, 1992: 505). Bilinen ilk uluslar üstü
düzenleme 1970'li yıllarda Avrupa Konseyi (AK) tarafından yapılan elektronik bilgi
bankalarında işlenen veriler nedeniyle, bireylerin özel hayatının korunmasına yönelik
yapılan çalışmalardır. AK Bakanlar Komitesi 1973 ve 1974 yılarında bu konuda iki
tavsiye kararı almıştır. Komite tarafından yapılan tavsiyeler, Avrupa ülkeleri
tarafından
1970'li
yılların
sonunda
kendi
hukuk
mevzuatları
içerisinde
değerlendirilmiş ve mevzuatlara dahil edilmiştir.
İlerleyen yıllarda konunun giderek küreselleşmesi karşısında, uluslararası bir
sözleşme yapılmasının gerekliliği ortaya çıkmıştır. 1981 yılında Kişisel Verilerin
Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması'na ilişkin 108
sayılı sözleşme AK üyesi ülkeler tarafından imzalanarak yürürlüğe girmiştir. Bu
sözleşmeye Türkiye'de imza atmıştır. Bilişim suçlarının doğası itibariyle hızlı bir
şekilde gelişerek değişmesine paralel olarak, AK tarafından çok daha titiz çalışmalar
yapılması gerektiği düşüncesi ile OECD'nin 1986 yılında yayınladığı bilişim suçları
raporu referans alınarak yeni bir düzenleme yapma çalışmaları başlatılmıştır.
161
Çalışma, bilişim teknolojileri ihlallerinin üye ülkeler tarafından cezalandırılması
amacıyla hukuki düzenlemeler yapılması düşüncesi ile hazırlanmıştır. Böylece ceza
müeyyidesi gerektiren bilişim suçlarının tespiti yapılabilecek ve özgürlükle güvenlik
arasındaki uyuşmazlıklar aşılacaktır. Yayımlanan OECD raporuna yapılan ilaveler ile
hazırlanan taslak AK Bakanlar Komitesi tarafından 1989 tarihinde benimsenerek
yürürlüğe girmiştir. AK tarafından yapılan bu çalışmalar ilerleyen dönem içinde
hazırlanacak olan Avrupa Siber Suç Sözleşmesi (ASSS – EST No. 185) ve Bilişim
Sistemleri Aracılığı ile İşlenen Irkçı ve Yabancı Düşmanı Eylemlerinin Suç Haline
Getirilmesi için Avrupa Siber Suç Sözleşmesi’ne Ek Protokol (ETS No. 189)’a temel
teşkil etmektedir (Dülger, 2004: 103 – 104).
4.1.1. Avrupa Konseyi Tarafından Yapılan Bilişim Suçları ile İlgili Çalışmalar
4.1.1.1. Avrupa Siber Suç Sözleşmesi 51
Bilişim suçları ile mücadele anlayışı içinde işbirlikleri oluşturma kapsamında vücut
bulan en önemli ve tek uluslararası sözleşme olan Avrupa Siber Suç Sözleşmesi, AK
Devlet ve Hükümet Başkanları tarafından 10–11 Ekim 1997 tarihinde Strazburg'da
yapılan İkinci Zirve'de kabul edilen ve yeni bilgi teknolojilerinin gelişimi konusunda
Avrupa Konseyinin standartları ve değerlerine dayanan ortak tepkiler verme amacına
yönelik
eylem
alanı
göz
önünde
bulundurularak,
Macaristan’ın
başkenti
Budapeşte’de 2001 Kasımında imzaya açılmış ve ilk beş onayın ardından 1 Temmuz
2004’de yürürlüğe girmiştir. 2008 Kasım ayı itibariyle 39’u AK üyesi ülke ve beş
üye olmayan ülke (ABD, Japonya, Güney Afrika, Kanada ve Dağlık Karabağ)
tarafından imzalanmıştır. Sözleşmeyi imzalayan ülkelerden 23’ü (Arnavutluk,
Ermenistan, Bosna Hersek, Bulgaristan, Hırvatistan, Kıbrıs, Danimarka, Estonya,
Finlandiya, Fransa, Macaristan, İzlanda, İtalya, Latviya, Litvanya, Hollanda, Norveç,
Romanya, Slovakya, Slovenya, Ukrayna, ABD 52 ve Makedonya) onaylayıp iç
hukukuna dâhil etmiştir. İmzalanan sözleşme dört bölüm ve 48 maddeden oluşmakta,
birinci bölümde tanımlamalara, ikinci bölümde ulusal düzeyde alınacak önlemlere,
51
Sözleşmenin orijinal metnine, http://conventions.coe.int/treaty/en/projects/cybercrime.htm
adresinden,
Sözleşme’nin
gayri
resmi
Türkçe
tam
metnine
ise,
www.binbilen.org/belgeler/Siber_Suclar_Sozlesmesi .pdf adresinden ulaşılabilir.
52
ABD Senatosu Siber suç Sözleşmesi’ni, 3 Ağustos 2006 tarihinde onaylamıştır (McCullagh ve
Broache, 2006).
162
üçüncü bölümde uluslararası işbirliğine ve son olarak dördüncü bölümde diğer
hükümlere yer verilmiştir. 30 Haziran 2003 yılına kadar sözleşmeye taraf ülkeler
tarafından, sözleşmede belirtilen hususların kendi iç hukuklarına uydurulması ve
sözleşmenin yürürlüğe konması kararlaştırılmıştır. Avrupa Siber Suç Sözleşmesi,
AK’nin alt çalışma komitelerinden biri olan ASSK (Avrupa Suç Sorunları Komitesi)
tarafından hazırlanmıştır. İlk hazırlık çalışmaları 1996 yılında başlayan sözleşmenin
2000 yılında internetten yayınlanarak alınan eleştiriler doğrultusunda hazırlanan ilk
taslak metni 2001 yılında ASSK tarafından AK Bakanlar Komitesi’ne sunulmuştur
(Özcan, 2002; Özcan, 2003).
Sözleşmede tanımlanan suç tipleri dört ana başlık altında ve dokuz kategoride
toplanmıştır. Bilgisayar veri veya sistemlerinin gizliliği, bütünlüğü ve kullanıma açık
bulunmasına yönelik suçlar yani, yasadışı erişim, yasadışı müdahale, verilere
müdahale, sistemlere müdahale ve cihazların kötüye kullanımı birinci ana başlığı,
bilgisayar aracılığı ile işlenen sahtecilik suçları ve bilgisayar aracılığı ile işlenen
dolandırıcılık yani sanal sahtecilik ve dolandırıcılık suçları ikinci ana başlığı, içeriğe
ilişkin suçları yani, çocuk pornografisine ilişkin materyale sahip olma ve uluslararası
düzeyde dağıtımının sağlanması üçüncü ana başlığı, fikri mülkiyet haklarının ihlali
ve uluslararası düzeyde dağıtımının sağlanması ise dördüncü ve son ana başlığı
oluşturmaktadır (Dülger, 2004: 106).
Sözleşme bir ilk olmasının getirdiği sıkıntıları içerisinde barındırmaktadır. Bazı
akademisyenlere göre sözleşmeyle birlikte kamunun otoritesi bireysel özgürlüklerin
üzerinde kalmıştır ve bireysel temel hak ve özgürlükler bu sözleşmeyle
sınırlandırılmaktadır. Diğer bir eleştiri konusu ise sözleşmenin bilgisayar suçlarına
yönelik yaklaşımından kaynaklanmaktadır. Sözleşme, bilişim suçunun var olabilmesi
için bir bilgisayar sisteminin varlığını aramaktadır. Sözleşme içerisinde yer alan suç
tanımlamaları içerisinde özellikle iki ve onuncu madde arasında internet veya siber
uzay olarak kullanılan bilişim ortamı ifadelerine hiç yer verilmemiştir. Günümüzde
bilgisayar kadar özellikli cihazların varlığı kendini daha çok hissettirmekteyken,
gelecekte kullanıma sunulacak teknolojik cihazlara yönelik saldırılar için adı geçen
sözleşmede suç tanımlaması yapılmamış olması, sözleşmeye getirilen en ciddi
eleştirilerden biridir. Yaklaşık olarak dört yıllık bir çalışmanın ardından hazırlanan
163
sözleşmenin sektörel ve kamusal ihtiyaçları karşılayamaması, taslak metni
halindeyken bile sözleşmenin yeterli incelemeden geçirilmediği yorumlarına zemin
hazırlamaktadır. Avrupa Siber Suç Sözleşmesine getirilen diğer eleştirilerden bazıları
yine sözleşmenin hazırlanmasında STK’ların görüş ve önerilerinin alınmaması,
servis sağlayıcılara ağır mali yükümlükler getirmesi ve soruşturma – araştırma
faaliyetlerinin yürütülmesinde uluslararası insan haklarının ihlal edildiği konularında
birleşmektedir.
4.1.1.2. Bilişim Sistemleri Aracılığı İle İşlenen Irkçı ve Yabancı Düşmanı
Eylemlerinin Suç Haline Getirilmesi için Avrupa Siber Suç Sözleşmesi’ne Ek
Protokol 53
Avrupa Birliği’nin giderek artan oranda sınırlarını kaldırması, göç olgusunun AB’nin
en büyük sorunu haline gelmesi ve bu duruma karşılık AB vatandaşlarının göç etmiş
bireylere karşı takındıkları tavır sebebiyle ırkçılık ve yabancı düşmanlığı AB
içerisindeki ülkeler için büyük bir sorun haline gelmiştir. Bu sebeple imzaya açıldığı
Ocak 2003’ten bu yana 30 üye devlet ve Kanada ile Güney Afrika toplam 32 devlet
tarafından imzalanan protokol, beş onayın ardından 1 Mart 2006’da yürürlüğe
girmiş, Kasım 2008 itibariyle de yalnızca 13 üye devlet (Arnavutluk, Bosna Hersek,
Hırvatistan, Danimarka, Estonya, Finlandiya, Fransa, Kıbrıs, Latviya, Litvanya,
Norveç, Slovenya, Ukrayna ve Makedonya) tarafından onaylanıp iç hukuka dâhil
edilmiştir. Dört ana başlıktan ve 16 maddeden oluşan protokolün birinci bölümü
Genel Hükümler, ikinci bölümü Ulusal Düzeyde Alınabilecek Tedbirler, üçüncü
bölümü Sözleşme ve Protokol Arasındaki İlişkiler ve son bölümü ise Son Hükümler’
den oluşmaktadır (Özcan, 2003; Dülger, 2004: 108).
Ek protokol, Avrupa Siber Sözleşmesinin kapsamının esasa, usule ve
uluslararası işbirliğine dair hükümleriyle birlikte ırkçılık ve yabancı düşmanlığı
propagandası suçlarını içerecek şekilde genişletilmesini amaçlamaktadır. Protokolün
sözleşmeye ilave edilmesi, hukuksal açıdan maddi unsurların belirlenmesi ve
uluslararası işbirliklerinin güçlendirilmesi gayesiyle yapılmıştır. Bu şekilde
53
Ek Protokol’ün orijinal metnine; http://conventions.coe.int/Treaty/en/Treaties/Html/189.htm
adresinden ulaşılabilir.
164
sözleşmeye taraf devletler, ırkçılık ve yabancı düşmanlığı ile ilgili dijital ortamda
yapılan yayınların ve propagandanın önlenmesi ve durumun suç sayılmasını kabul
etmektedirler. Ayrıca protokol, suç unsuru içerik kavramının tanımlamasını
yapmakta ve suç unsuru eylemlerin neleri içereceğini belirlemektedir. Buna göre II.
Dünya Savaşı sırasında yaşanan soykırım ve insanlığa karşı suçların inkarı,
küçümsenmesi, onaylanması ve meşru görülmesi dahi ırkçılık ve yabancı
düşmanlığını içeren tehdit ve aşağılamalar olarak cezalandırılması gereken suçlar
kapsamı içine alınmıştır.
4.1.1.3. Avrupa Konseyi Terörizmin Önlenmesi Sözleşmesi 54
2005 yılında Varşova’da imzaya açılan Avrupa Konseyi Terörizmin Önlenmesi
Sözleşmesi (CETS No. 196), 2007 Haziran’ında yürürlüğe girmiştir ve yukarıda
bahsedilen ASSS ve Ek Protokol’den farklı olarak ülkemiz tarafından imzalanmıştır.
Sözleşme web sitesi engelleme önlemi getirmemekle birlikte, yayın ve propaganda
suçlarına yönelik yaptırımlar getirmektedir. Türkiye, Avrupa Konseyi Çocukların
Cinsel Sömürü ve İstismardan Korunmasına Dair Sözleşmeyi 55 (CETS No. 201)
imzalamış fakat henüz iç hukuka geçirmemiştir. Çocuk pornografisi suçlarını (20.
madde) içeren bu Avrupa Konseyi Sözleşmesi’nde de bu tür suçlarla ilgili olarak
erişim engelleme önlemi yer almamaktadır. Sözleşmeyle birlikte 56 internet üzerinden
terör suçlarının işlenmesine tahrik, terör amaçlı eleman toplama ile terörizm amaçlı
ideolojik ve askeri eğitimin verilmesi suçlarına yönelik ülkelerin konuyla ilgili
yapacakları düzenlemelere hukuki temel oluşturulmuştur.
4.1.1.4. Avrupa Konseyi Siber Suç Sözleşmesi ve Türk Hukukunda Bilişim Suçları
10–11 Ekim 1997 tarihinde, yeni bilgi teknolojilerinin gelişimi konusunda Avrupa
Konseyinin standartları ve değerlerine dayanan ortak tepkiler verme amacına yönelik
olarak Strazburg'da yapılan İkinci Zirve'de toplantısında, Avrupa Birliği Siber Suçlar
54
Sözleşmenin orijinal metnine; www.icj.org/IMG/pdf/CoE_Convention-2005.doc.pdf adresinden
ulaşılabilir.
55
Sözleşmenin orijinal metnine;
http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=201&CL=ENG adresinden
ulaşılabilir.
56
Avrupa Konseyi Terörizmin Önlenmesi Sözleşmesi’nin, 5 – 6 ve 7. maddeleri.
165
Sözleşmesi Avrupa Konseyi Devlet ve Hükümet Başkanları tarafından kabul
edilmiştir. Sözü edilen sözleşme hali hazırda ülkemiz tarafından onaylanmamıştır
fakat sözleşmede geçen pek çok konuya gerek TCK, gerekse 5651 Sayılı yasada
değinilmiştir. Bu bölümde Avrupa Konseyi Siber Suç Sözleşmesi ile ilgili ulusal
mevzuatlar arasındaki benzerliklere ve farklılıklara değinilecektir.
ASSS, Bölüm II - Ulusal Düzeyde Alınacak Önlemler Kısım 1 - Maddî Ceza
Hukuku ve Başlık 1 - Bilgisayar veri ve sistemlerinin gizliliğine, bütünlüğüne ve
kullanıma açık bulunmasına yönelik suçlar altında madde ikiden başlamak suretiyle
ilgili suç tanımlarını sıralamıştır. Madde 2’de geçen Yasadışı Erişim kapsamında
sözü edilen suç unsuru fiil, hukukumuzda TCK 3. Kısım Onuncu Bölüm, Bilişim
Alanında Suçlar ana başlığı altında Bilişim Sistemine Girme (madde 243) alt başlığı
nezdinde açıklanmıştır. Avrupa Konseyi Siber Suç Sözleşmesi madde 3, 4 ve 5
kapsamında suç sayılan haller ise yine TCK madde 244’de ifade edilmiştir. ASSS,
Madde 6’da Cihazların Kötüye Kullanımı konusuna değinilmiştir. Bu maddede daha
önce bahsedilen ve 2. maddeden 5. maddeye kadar olan bölümde işlenen suçların
icrasına yönelik cihazların satışı, kullanım amacıyla tedariki, ithali, dağıtımı veya
başka surette elde edilmesi hususu ele alınmıştır. Bu maddeyle ilgili ulusal
mevzuatımızda 5846 sayılı Fikir ve Sanat Eserleri Kanunu kapsamında tam
anlamıyla olmasa bile 73. Maddenin (Değişik: 1/11/1983–2936/13 md.) beşinci
bendinde;
“(Ek: 7/6/1995 – 4110/25 md.) Yegane amacı bir bilgisayar programını korumak için
uygulanan bir teknik aygıtın geçersiz kılınmasına veya izinsiz ortadan kaldırılmasına
yarayan herhangi bir teknik aracı ticari amaç için elinde bulunduran veya dağıtan,
(Değişik: 7/6/1995 – 4110/25 md.) Kişiler hakkında üç aydan üç yıla kadar hapis ve 300
milyon liradan 600 milyon liraya kadar ağır para cezasına hükmolunur.” şeklinde bir
düzenleme bulunmaktadır.
TCK ile ilgili olarak eleştirilecek bir nokta 243. maddede geçen:
“Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler
hakkında işlenmesi hâlinde, verilecek ceza yarı oranına kadar indirilir.” ifadesidir.
166
İlgili ifade muğlâk bir ifade olup bedeli karşılığı yararlanılabilen sistemler ile
neyin kastedildiği açıkça izah edilmemiştir. ASSS’ de Başlık 2 kapsamında
Bilgisayarlarla
İlişkili
Suçlar
tanımlanmıştır.
Bu
bağlamda
Madde
7’de
Bilgisayarlarla İlişkili Sahtecilik Fiillerini, Madde 8’de ise Bilgisayarlarla İlişkili
Sahtekârlık Fiilleri düzenlemiştir. 7. maddede:
“Taraflardan her biri, söz konusu verilerin doğrudan doğruya okunabilir ve anlaşılabilir
nitelikte olup olmadığına bakılmaksızın, bilgisayar verilerine yeni veriler ilave etme ve
bilgisayar verilerini değiştirme, silme veya erişilemez kılma ve böylece orijinal
verilerden farklı veriler meydana getirme fiilinin, söz konusu farklı verilerin hukuki
açıdan orijinal verilermiş gibi değerlendirilmesi amacıyla, kasıtlı olarak ve haksız şekilde
yapıldığında kendi ulusal mevzuatı kapsamında cezaî birer suç olarak tanımlanması için
gerekli olabilecek yasama işlemlerini ve diğer işlemleri yapacaktır. Taraflar, bu gibi
durumlarda cezaî sorumluluğun ortaya çıkmasını, hile veya benzeri bir sahtekârlık
niyetinin mevcut olması şartına bağlayabilirler” denmektedir. 8. maddede ise:
“Taraflardan her biri, aşağıdaki faaliyetlerde bulunmak suretiyle bir başkasının
mülkiyetinin ziyanına sebep olma fiilinin, kasıtlı ve haksız olarak yapıldığında, kendi
ulusal mevzuatı kapsamında cezaî birer suç olarak tanımlanması için gerekli olabilecek
yasama işlemlerini ve diğer işlemleri yapacaktır:
a. Sahtekârlık yoluyla kendisi veya bir başkasına haksız maddi menfaat sağlamak
amacıyla, bilgisayar verilerine herhangi bir şekilde yeni veriler ekleme, bilgisayar
verilerini herhangi bir şekilde değiştirme, silme veya erişilemez kılma;
b. Sahtekârlık yoluyla kendisi veya bir başkasına haksız maddi menfaat sağlamak
amacıyla, bir bilgisayar sisteminin işleyişine herhangi bir şekilde müdahale etme.”
ifadeleri yer almaktadır.
Bahsedilen 7. ve 8. maddeler, TCK 244 maddede spesifik olarak sahtecilik ile
bağlantılı halde değerlendirilmiştir. Keza 5237 Sayılı TCK, madde 244 ile bilişim
suçlarında suça konu yazılım ve verileri koruma altına almış, bilişim sisteminin
donanımına karşı yapılabilecek zarar verme eylemlerini de; bozmak, yok etmek,
erişilmez kılmak şeklinde suç saymıştır. Ayrıca madde 244’de geçen; “(4) Yukarıdaki
fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız
bir çıkar sağlamasının başka bir suç oluşturmaması hâlinde, iki yıldan altı yıla kadar hapis ve beş bin
güne kadar adlî para cezasına hükmolunur.” ifadesi ile haksız kazanç kavramına dâhil
167
olunacak sahtecilik ve emniyeti suiistimal yolu ile dolandırıcılık fiilleri bilişim
vasıtasıyla işlense bile cezai yaptırım içine alınmıştır. Bununla birlikte hırsızlık
konusu suç fiilinin, bilişim sistemleri ile işlenmesi nitelikli hırsızlık kapsamında
değerlendirilmiş ve TCK madde 142/2-e bendi ile ifade edilmiştir. Aynı şekilde
dolandırıcılık suçu da TCK Madde 158/1-f bendinde; Bilişim sistemlerinin, banka
veya kredi kurumlarının araç olarak kullanılması suretiyle işlenmesi şeklinde nitelikli
dolandırıcılık kapsamında izah edilmiştir.
ASSS’de, 3.Başlık altında İçerikle İlişkili Suçlar düzenlenmiş, madde 9
kapsamında ise Çocuk Pornografisiyle İlişkili Suçlar düzenlenmiştir. Çocuk
pornografisi ile ilgili yasal düzenleme Çocukların Cinsel İstismarı başlığı altında
TCK madde 103’de ifade edilmiştir. Ayrıca 5651 sayılı İnternet Ortamında Yapılan
Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele
Edilmesi Hakkında Kanunun 8. maddesinin 2, 5 ve 6. bendenlerinde TCK’nın ilgili
maddelerine atıfta bulunularak çocuk pornografisi ile ilgili bir düzenleme yapılmıştır.
Telif Haklarının ve Benzer Hakların İhlaline İlişkin Suçlar konusu ASSS’de 4.
Başlık, 10. Madde’de incelenmiştir. Söz konusu suç kavramı Edebi ve Sanatsal
Eserlerin Korunmasına Yönelik Bern Konvansiyonu çerçevesindeki 24 Temmuz
1971 tarihli Paris Yasası, Fikri Mülkiyet Haklarının Ticari Yönlerine İlişkin
Sözleşme ve WIPO Telif Hakları Anlaşması kapsamında değerlendirilmiş ve ilgili
ülkelere yukarda bahsedilen sözleşmelere ithafen kendi iç hukuklarındaki
düzenlemeye yönelik bir uygulama tercihi sunulmuştur. Ülkemizde ise telif
haklarıyla ilgili düzenleme ayrı bir kanun olan 5846 sayılı Fikir ve Sanat Eserleri
Kanununda yapılmıştır. İlgili kanunun 6. maddesinin 10 ve 11 bendlerinde durum;
“10. (Ek: 7/6/1995 – 4110/3 md.) Bir bilgisayar programının uyarlanması düzenlenmesi veya herhangi
bir değişim yapılması; 11. (EK: 7/6/1995 – 4110/3 md.) Belli bir maksada göre ve hususi bir plan
dâhilinde verilerin ve materyallerin seçilip derlenmesi sonucu ortaya çıkan veri tabanları (Ancak,
burada sağlanan koruma, veri tabanı içinde bulunan verilere materyalin korunması için
genişletilemez).” şeklinde ifade edilmiştir. Ayrıca çoğaltma hakkı ile ilgili olarak 5846
sayılı kanunun 22. Maddesinde kanun koyucu: “Çoğaltma hakkı, bilgisayar programının
geçici çoğaltılmasını gerektirdiği ölçüde, programın yüklenmesi, görüntülenmesi, çalıştırılması,
iletilmesi ve depolanması fiillerini de kapsar.” şeklinde bir ifade kullanarak, bilgisayar
programlarını diğer fikir ve sanat eserleriyle aynı tutmuştur. Çoğaltma ve kopya
168
eserin kullanımı ile ilgili daha kapsamlı bir açıklama ilgili kanunun 38. maddesinde
Şahsen Kullanma başlığı altında düzenlenmiştir. Bu maddeye göre; “Bütün fikir ve sanat
eserlerinin, yayımlanma veya kar amacı güdülmeksizin şahsen kullanmaya mahsus çoğaltılması
mümkündür.” ve devamındaki ifadelerde bilişim konusuyla ilgili açıklamalarda
bulunularak, bilişim ve bilgisayar teknolojileri çerçevesinde bilgisayar kodları ve kod
formu, bilgisayar programları ve program parçaları fikir ve sanat eseri sıfatı
dâhilinde değerlendirilmiştir.
Fikir ve sanat eserlerinin işaretlenmesi ile ilgili Madde 44’te de; “Her türlü boş
videokaseti, ses kaseti, kompakt disk, bilgisayar disketi imal veya ticari amaçla ithal eden gerçek ve
tüzel kişiler, imalat veya ithalat bedeli üzerinden yüzde beşi geçmemek üzere Bakanlar Kurulu
kararıyla belirlenecek orandaki miktarı keserek, bir ay içinde topladıkları meblağı, sonraki ayın en geç
yarısına kadar Kültür Bakanlığı adına bir ulusal bankada açılacak özel hesaba yatırmakla
yükümlüdürler.” denilerek aynı şekilde bilişim kapsamındaki pek çok materyal, fikir ve
sanat eseri kapsama alınmıştır.
Son olarak, ASSS’ nin 5. Başlığında ele alınan İlave Yükümlülük ve
Yaptırımlar alt başlığı altında, Madde 11’de Teşebbüste bulunmak ve yardım ya da
yataklık etmek, Madde 12’de Kurumsal yükümlülük ve Madde 13’te Yaptırımlar ve
Önlemler konularına değinilmiştir. İlgili başlıklar altında üye ülkelere mevzuatların
uyumu için diğer maddelerde olduğu gibi suçun tanımı ve müeyyideleri ile ilgili
tavsiyelerde bulunulmuştur. Ülkemizde TCK’da Madde 11 genel teşebbüs tanımı
içinde değerlendirilmiş, madde 12’deki kurumsal yükümlülükler hususu tüzel kişileri
de kapsayacak şekilde tamamlanmış ve madde 13’te belirtildiği üzere gerekli cezai
yaptırımlar ve önlemler ilgili suç konusu fillilerin tanımından sonra kanuna
eklenmiştir.
Sonuç olarak, ülkemizde bilişim teknolojileri vasıtasıyla işlenebilecek suçlara
karşı genel anlamda TCK içinde, özel olarak ise 5651 sayılı İnternet Ortamında
Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla
Mücadele Edilmesi Hakkında Kanun ve 5846 sayılı Fikir ve Sanat Eserleri Kanunu
ile önlem alınmıştır. Kanun koyucu TCK bünyesinde ayrıca 2. Kısım: Dokuzuncu
Bölüm, Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar başlığı altında madde
132’den 140’a kadar;
169
a. Haberleşmenin Gizliliğini İhlal (TCK m.132)
b. Kişiler Arasındaki Konuşmaların Dinlenmesi ve Kayda Alınması (TCK
m.133)
c. Özel Hayatın Gizliliğini İhlal (TCK m.134)
d. Kişisel Verilerin Kaydedilmesi (TCK m.135)
e. Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme (TCK m.136)
f. Nitelikli Haller (TCK m.137)
g. Verileri Yok Etmeme (TCK m.138)
h. Şikâyet (TCK m.139) ve
i. Tüzel Kişiler Hakkında Güvenlik Tedbiri Uygulanması (TCK m.140),
konularında düzenleme yapmıştır.
Bununla birlikte yine kanun koyucu TCK’da 3. Kısım Onuncu Bölüm, Bilişim
Alanında Suçlar başlığı altında, 245. maddede Banka veya Kredi Kartlarının Kötüye
Kullanılması alt başlığının birinci bendinde, kredi kartlarının yasadışı yollarla ele
geçirilmesini, kullanılmasını ve kullandırılmasını suç fiili olarak saymıştır. Aynı
maddenin ikinci bendinde, sahte banka veya kredi kartlarını üretmeyi, devretmeyi,
satmayı, almayı veya kabul etmeyi yine bilişim suçları kapsamında değerlendirmiştir.
Yine mevzuatımızda, 5070 sayılı Elektronik İmza Kanununda elektronik imza
usulleri düzenlenmiş, ilgili kanunun Denetim ve Ceza Hükümlerini kapsayan üçüncü
kısmında Madde 16’da imza oluşturma verilerinin izinsiz kullanımı ve 17.
Maddesinde ise elektronik sertifikalarda sahtekârlık konuları ve cezai hükümleri
açıklanmıştır. Yeni bir alan olan siber suçlar ve bilişim teknolojileri vasıtasıyla
işlenen suçların kapsamının gelişmelere açık bir şekilde ele alınması gerekmektedir.
Bu bağlamda hukuksal kavramların güncellenerek kanunlaştırılmasında büyük önem
vardır. Avrupa Konseyi Siber Suç Sözleşmesi kapsamında ifade edilen konular üye
ülkelerin uymaları gereken konular olarak belirlenmiştir fakat uygulama kısmının
üye ülkelere bırakıldığını söyleyebiliriz. Bu bakımdan ülkemiz açısından
düşünüldüğünde, sözü geçen sözleşmede istenen hususlar zaten ulusal mevzuatlara
konulmuş haldedir. Fakat bilindiği gibi Türkiye ASSS’yi henüz onaylamamıştır.
170
Bilişim hukukunun, uluslararası bir boyuta doğal olarak sahip olduğu düşünülürse,
uluslararası işbirliği çerçevesinde, özellikle AB ile yakın ilişkilerimizin varlığı göz
önüne alınarak gerekli adımların atılması ve ASSS’ye taraf olunması şu aşamada bir
gereklilik arz etmektedir denilebilir. Uygulamaya dönük yaklaşımlarda kendini
zaman içinde bulacaktır. Gerek mahkemelerimiz tarafından alınan ortak kararlar,
gerekse uluslararası hukukta varılan içtihatlar global bir bilişim hukuku mevzuatının
ortaya çıkmasına yardımcı olacaktır.
4.1.2. Avrupa Birliği Tarafından Yapılan Bilişim Suçları ile İlgili Çalışmalar
27 üyeli AB’de 2008 yılı verilerine göre internet kullanıcısı sayısı 292.988.821’dir.
Dünya nüfusunun % 7’sini oluşturan AB ülkelerinin internete nüfuz oranı ise %
59,9’dur 57 ve 2000 yılından 2008 yılına kadar internet kullanım oranı % 210,4 artmış
olan AB internet kullanıcı nüfusu, dünya çapında internet kullanan toplam nüfusun
% 20’sini oluşturmaktadır. 30 Haziran 2008 tarihli verilere göre AB’ne aday
ülkelerin durumuna göz attığımızda ise Hırvatistan ve Makedonya ile birlikte
Türkiye’nin de internet kullanımında 2000 yılından bu yana büyük bir artışın
yaşandığını söyleyebiliriz. AB’ye üye ülkelerin ortalama internet kullanım oranı %
37,2 iken, Türkiye’de bu oran % 36, 9’dur ve internet kullanım oranında ortalamaya
yakın bir seviyededir (IWS, 2008).
Tablo 25: Avrupa Birliği’nde En Çok İnternet Kullanan İlk On Ülke 58
57
58
İnternet kullanımında dünya ortalaması ise % 21,9’dur.
IWS (Internet Usage in European Union), www.internetworldstats.com/stats9.htm.
171
AB için bilişim teknolojileri önemli bir politikaya dayandırılmalıdır ve AB’nin
temel ruhuna aykırı uygulamalardan kaçınılması gerektiği çıkarılan Çerçeve
Kararlarla
defaten
dile
getirilmektedir.
Elektronik
alanda
yapılan
ticari
faaliyetlerden, bilginin serbest dolaşımına kadar pek çok konu üzerinde hassasiyetle
durulmaktadır. Aynı şekilde AB’ne aday ülkelerinde internet kullanımı konusunda
hassasiyet içinde hareket ettiğini Birlik, yayınladığı raporla takip etmektedir. AB’ne
aday statüsü kazanan ülkemizde yaşanan gelişmelerle birlikte bilişim sektörü için bu
güne kadar atılan adımlara ek olarak sağlam politikaların oluşturulması için, AB’nin
aldığı kararların iyi bir şekilde analiz edilmesi ve uygun yollarla hukuksal ve
kamusal alana adapte edilmesi sağlanmalıdır. Yasaklamaların ve engellemelerin
ötesinde, güncel, tüm alanlarda uygulanabilir ve kabul edilebilir uygulamaların
hayata geçirilmesi gerekmektedir. Bunun için ise teknoloji pazarına hakim bir anlayış
benimsenerek Ar – Ge çalışmalarına AB standartlarında önem verilmesi
gerekmektedir.
Bilginin serbest dolaşımını, temel hedeflerinden biri olarak tanımlayan Avrupa
Birliği’nde, bir bilgi toplumu yaratma gayesi ile elektronik ticaretin geliştirilmesi,
verilerin korunması, özel yaşamın gizliliğinin korunması, kadın haklarının
kuvvetlendirilmesinin sağlanması, çocukların cinsel istismarının önlenmesi, ırkçılık
ve yabancı düşmanlığı ile mücadele edilmesi, terörizmle ilintili her türlü hareketin
izlenmesi ve önlenmesi amacıyla gerekli tedbirlerin alınması ve ileri teknoloji
suçlarıyla mücadele amacıyla işbirliklerinin kuvvetlendirilmesi hedeflenmektedir.
Avrupa Komisyonu kapsamında pek çok sorunun 1996’dan bu yana araştırıldığını ve
tanımlandığını belirtmek yerinde olacaktır. AB Komisyonu, 1998 yılında internetin
daha güvenli kullanımı amacıyla bir Eylem Planı (Action Plan) geliştirmiş ve plan
kapsamında zararlı içerik durumlarına, hukuka aykırı içerik durumlarından farklı bir
şekilde muamele edilmesi önerisinde bulunmuştur. AB’nin temel sütunlarını
oluşturan özgürlük, güvenlik ve adalet bölgesi oluşturma inancının devam
ettirilebilmesi, AB Konseyi tarafından 1999 Ekiminde Tampere’de yapılan toplantıda
ele alınan siber suçların önlenmesi için mücadele anlayışı ile desteklenmektedir.
AB, bilişim suçlarıyla mücadele politikasını özgürlükler üzerine kurmuştur.
2004 yılında Konsey Çerçeve Kararı (OJEU, 2004: 44 – 48) ile 2005 yılında alınan
172
Konsey Çerçeve Kararıyla (OJEU, 2005: 67 – 71), çocuk pornografisi ve bilişim
suçları ile mücadele de düzenlemeler yapılmıştır. Yine AB tarafından alınan Konsey
Çerçeve Kararı ile ırkçılık ve yabancı düşmanlığı ile mücadele için üye ülkelere
yönelik bir yasal düzenleme yoluna gidilmiştir. AB’nin terörizmle mücadele
konseptinde Avrupa toplumunun geneline internete özgür gelişim anlayışı hakimdir.
Birlik, kapatma kararının kullanışlı bir seçenek olmadığını, kapatılan sitelerin tekrar
yayına açıldığını, erişimin engellenmesi seçeneğinden çok terörist propaganda ve
uzmanlığın yayılmasını önlemek amacıyla hukuki yasal düzenlemelerin hayata
geçirilmesini genel politika olarak benimsemektedir.
Siber suçların önlenmesi ve kullanıcıların siber suç mağduru olmalarının önüne
geçilmesi amacıyla 2002 yılında daha güvenli internet kullanımı için AB Eylem
Planı hazırlanmıştır. Yapılan bu eylem planı ilk olarak üç yıl için tasarlanmıştır.
Fakat daha sonra plan 2008 yılını da kapsayacak şekilde genişletilmiş, ardından 2013
yılına kadar uzatma kararı alınmıştır. 2005 yılından 2008’e kadar yapılan ilk
uzatmada, plana ayrılan bütçe 45 milyon Euro’dur. Bu bütçenin yaklaşık yarısı
farkındalığı arttırmak, üçte biri yasal olmayan içerikle mücadele amacıyla, yaklaşık
%15’ i zararlı içeriğin engellenmesi ve % 15’ i de daha güvenli bir internet ortamına
özendirilmesi çalışmalarına ayrılmıştır. İkinci uzatmada ise çocukların güvenli
internet kullanımını, kamusal farkındalığın artırılmasını ve yasadışı içeriğin ihbarının
yapılabilmesi amacıyla ulusal merkezlerin kurulması göz önünde bulundurulmuştur.
Bu sebeple 2009’ dan 2013’e kadar uzatılan eylem planına 55 milyon Euro bütçe
ayrılmıştır. AB Ülkeleri eylem planı kapsamında bir engelleme veya kapatma
kararını alırken AİHS’ nin 10. maddesine ve AİHM tarafından verilen kararlara
uygun hareket etmek zorundadır. AB üyesi herhangi bir ülkenin zorunlu toplumsal
gereksinimine dayalı engelleme veya kapatma kararının AİHS’ nin 10.maddesi ile
güvence altına alınan ifade özgürlüğüyle uyumlu olup olmadığına, nihai olarak
Avrupa Mahkemesi karar verir.
4.1.2.1. Avrupa Birliği Politikaları ve Türkiye’nin Uyumu
Ülkemizdeki uygulamaların aksine, Avrupa Konseyi Bakanlar Komitesi (AKBK)
2007 tarihli tavsiye kararıyla (Committee of Ministers Recommendation – CM/Rec),
173
haberleşme özgürlüğü ve internetin sınırsız yaratıcılığını teşvik etmeleri için üye
ülkelere çağrıda bulunmuştur. Yapılan çağrının genel amacı, bireylerin özgürce ve
sınırlandırılmadan özellikle interneti ve diğer iletişim araçlarının tamamını
kullanabilmelerinin, vatandaşı oldukları ülkelerin resmi kurumlarınca sağlanmasıdır.
AKBK tarafından 26 Mart 2008’de Bakan temsilcilerinin 1022. toplantısında kabul
edilen tavsiye kararında ise 2003 tarihli AKBK Bildirgesine atıfta bulunularak, kamu
otoritesinin genel engelleme ve filtreleme önlemleriyle, kamusal bilgilere erişimi ve
internet üzerinden kesintisiz iletişimi engellememeleri hatırlatılmıştır.
Aynı tavsiye kararında bazı web sitelerine erişimin siyasi gerekçelerle
engellendiği ve ön denetime dayalı bu devlet uygulamalarının kınanması gerektiği
ifade edilmiştir. Tüm bu özgürleştirme çalışmalarının yanında, çocukların zararlı
içeriklerden korunabilmesi amacıyla devlet eliyle okul, kütüphane ve toplu erişimin
mümkün olduğu internet kafe tarzı yerlerde filtreleme uygulamalarının hayata
geçirilmesi de yine aynı kararda belirtilmiştir. 6 Mart 2008 tarihli AKBK tavsiye
kararında ise üye ülkelerin, internete erişimin yasaklanması kararı alınırken, Avrupa
İnsan Hakları Sözleşmesi ve Avrupa İnsan Hakları Mahkemesi’nin aldığı kararlara
atfen benimsenen içtihatlara uygun şekilde davranmanın altı çizilmiştir.
AKBK tarafından 26 Mart 2008’de alınan karar gereği düzenlenen rehbere
göre, internet kullanıcılarına, içeriğin filtrelenmesi veya engellenmesi durumunda,
alınan bu yasaklama kararına karşı itiraz yoluna gidebilme, yasaklamaya ilişkin
açıklama isteme ve düzeltme isteme haklarının verilmesi gerekmektedir. Aynı
rehbere göre devlet otoritesi tarafından yürütülen filtreleme veya engelleme
uygulaması, filtrelemenin belli ve açıkça bilinen bir içerikle ilişkili olmasına, içeriğin
hukuka aykırılığının yetkili ulusal yargı makamları tarafından onanmasına ve alınan
karara karşı AİHS’nin 6. maddesi gereğince bağımsız ve tarafsız bir mahkeme veya
düzenleyici bir kurum tarafından yeniden incelenmesinin mümkün olmasına bağlıdır.
Tüm bunlara ek olarak alınan engelleme ve filtreleme kararlarının, zararlı
içeriklerden özellikle çocukları korumaya yönelik olması, olumsuz etkilenebilecek
grubun parçası olmayan kullanıcılar açısından yaygın engelleme ve filtrelemelerden
kaçınılması gerektiği vurgulanmıştır.
174
Ülkemizdeki güvenlik amacıyla devlet otoritesi üzerinden yürütülen filtreleme
ve engelleme uygulamalarına baktığımızda genel itibariyle çocuk ve yetişkin ayrımı
gözetilmediğini görmekteyiz. AB standartlarına uymayan uygulamalar ülkemizi
uluslararası alanda zor duruma sokmaktadır. İçeriğe konu suç unsurlarının
filtrelenmesinden ziyade, YouTube sitesinin mahkeme kararıyla engellenmesi gibi
hizmet sağlayan bir internet sitesinin tamamen kaldırılması türü uygulamalara yer
verilmektedir ve bu yöntem bilinen en popüler uygulamadır. Bu uygulamanın ise
günümüz ve internet şartları ile geçerliliği yoktur. Mahkeme kararına rağmen belirli
sunucular üzerinden YouTube dahil istenilen tüm internet adreslerine ulaşmak
mümkündür. Bir sitenin tamamen engellenmesinden ziyade içeriğe ilişkin engelleyici
tedbirlerin alınması uygulamada çok daha yapıcı ve geçerli olacaktır. Belirtmek
gerekir ki, AB ve AK uygulamaları ile ülkemizdeki uygulamaların bir kısmı
örtüşmese de, engelleme kararının yerel mahkemeler tarafından alınıyor olması ve
itiraz yolunun açık olması, alınan kararların gerekçelerinin belirtilmesi uygulamanın
usul olarak doğru yapıldığını göstermektedir.
Bu kapsamda 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi
ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’un
uluslararası ve supranasyonel örgütler tarafından sürdürülen politikalar ile uyum
sorunu yaşadığı, vurgulanması gereken önemli bir konudur. Yasaklamacı bir
politikadan ziyade bilgi toplumu olmanın temel özelliklerinden olan eğitici ve
bilinçlendirici
yaklaşımların
ulusal
politikaya
yansımasını
kolaylaştırmanın
yollarının aranması gerekmektedir. Kaldı ki AB Bakalar Konseyi tarafından
yayımlanan bildirge ve tavsiyelerde ve AK tarafından hazırlanan Avrupa Konseyi
Siber suç Sözleşmesi, Ek Protokolü ve Terörizmi Önleme Sözleşmesi’nde internet
özgürlüğe açılan bir kapı olarak görülmekte, suç amaçlı internet kullanımına yönelik
olarak
erişimin
engellenmesi
uygulamalarına
pozitif
bir
seçenek
olarak
bakılmamaktadır.
4.1.3. O.E.C.D Ülkeleri Bilişim Teknolojileri Politikası
Bilgi Sistemleri Güvenliğine İlişkin OECD Rehber İlkeleri ülkelerin egemenlik
haklarını etkilemeden, isteğe bağlı olarak, geliştirilecek ulusal politika, uygulama ve
175
önlem prosedürlerine yol gösterici olarak ele alınmış ve kullanıcılar üzerinde bir
kültür bilincinin oluşmasına katkı sağlayacağı düşünülerek analiz edilmeye
çalışılmıştır. Ulusal ve uluslararası politikaların koordinasyonun sağlanması, ilgili
ülkelerin hazırlayacağı güvenlik kültürü çerçeve ilkelerinin tüm bilişim teknolojileri
kullanan, sağlayan, geliştiren, sahip olan ve hizmete sunan öğelere dağıtılması,
tanıtılması ve uygulanması ile mümkündür. Ülkelerin hazırlayacağı çerçeve ilkeler
ise bilişim teknolojileri kullanıcısı olan kurum ve kuruluşların, iş çevrelerinin ve
kişisel kullanıcıların ortak bir platformda buluşturulması ve görüşlerinin alınması ile
belirlenecek dönemler içerisinde yeniden gözden geçirilerek geliştirilmelidir.
Kurumsal kullanımlar içinde bile bilişim teknolojisinin kullanıcısı bireydir. Gerekli
bilinçlenme ve güvenlik algılaması önce bireylerden başlamalıdır ve kişisel güvenlik
kültürünün geliştirilmesi ile teşviki bu bağlamda önceliklerimizden olmalıdır.
Türkiye’nin de üyesi olduğu OECD topluluğu kuruluşundan bu yana bilgi ve
bilim politikalarına önem veren önemli bir organizasyondur. OECD, üye ülkelerin
bilişim suçlarıyla ilgili kendi kanunlarında düzenledikleri ulusal ceza yargılaması
çalışmalarını uyumlaştırmak için 1983 yılında çalışmalar başlatmıştır. Başlatılan bu
çalışmalar bilinen ilk uygulamaya dönük uyum çalışmalarıdır. Çalışmalar 1986
yılında yayınlanan Computer – Related Crime: Analysis of Legal Policy (Bilgisayar
Bağlantılı Suçlar: Yasal Politika Analizi) başlıklı raporla somutlaştırılmıştır.
Hazırlanan bu politika oluşturma raporuna göre üye ülkelere;
a. Bilgisayar yoluyla dolandırıcılık,
b. Bilgisayar yoluyla sahtecilik,
c. Bilgisayar program ve verilerinde değişiklik yapılması,
d. Bilgisayar programlarının telif haklarına aykırı olarak kopyalanması,
çoğaltılması ve dağıtılması,
e. Telekomünikasyon sistemlerinin, bilgisayarın diğer fonksiyonların ve
iletişimin değişikliğe uğratılması, konularında yasal düzenleme yapmaları konusunda
çağrıda bulunulmuştur (Değirmenci, 2003).
Bilgisayar Bağlantılı Suçlar: Yasal Politika Analizi adlı raporu hazırlayan
komite, ayrıca üye ülkelerin ticari sırların korunması, bilgisayar sistemlerinin
176
yetkisiz kullanımı ve bilgisayar sistemlerine yetkisiz girişi de yasal düzenlemelerle
ceza hukuku kapsamında değerlendirmesi gerektiğini tavsiye etmektedir. OECD bu
tavsiyelerde bulunurken üye ülkelerin hukuksal uygulamalarını karşılaştırmış ve
ortak bir konsensüs oluşturmayı amaçlamıştır. OECD’nin 1990’lı yıllardan sonra
yapmış olduğu çalışmalar sistem güvenliği üzerine yoğunlaşmıştır. STK, özel sektör
temsilcileri, hükümet personeli ve akademisyenlerle ortak bir politika oluşturma
çalışmalarına ağırlık veren OECD, diğer uluslararası kuruluşların bilişim sistemleri
ile ilgili çalışmalarına uyum konusunda çaba sarf etmektedir. Bu kapsamda
OECD’nin 1997 yılında yayınladığı OECD Guidelines For Cryptography Policy:
Report On Background And Issues Of Crytography Policy 59 üye ve üye olmayan
ülkelerle, özel sektör kuruluşlarına yön gösterici bir özellik taşımaktadır.
4.1.3.1. Bilgi Sistemleri Güvenliğine İlişkin OECD Rehber İlkeleri ve Türkiye
Bilişim Sistemleri Güvenliği Politikası
Bilgi Sistemleri Güvenliğine İlişkin OECD Rehber İlkeleri 60 toplam dokuz
maddeden oluşmaktadır ve bu maddeler içerik olarak birbirini tamamlar niteliktedir.
OECD bu ilkeler ile güvenlik algılamalarının ve politikalarının oluşturulmasında,
kişisel mahremiyete saygı ile bilginin açık ve serbest dolaşımı konularına özel
hassasiyet göstermektedir. Bahsedilen ilkeler; 1. Bilinç, 2. Sorumluluk, 3. Tepki, 4.
Etik, 5. Demokrasi, 6. Risk Değerlendirmesi, 7. Güvenli Tasarımı ve Uygulama, 8.
Güvenlik Yönetimi ve 9. Yeniden Değerlendirme olarak başlıklandırılmışlardır.
Başlıkların genel tavsiyelerine bağlı kalmak üzere, ülkemiz açısından bir
değerlendirme yapmak, uluslararası işbirliklerinin geliştirilmesi ve ulusal bilgi
toplumu yaratma konularında bizlere yol gösterici bir seçenek sunacaktır.
4.1.3.1.1. Bilinç
Bilişim teknolojileri kullanımı açısından yaklaşıldığında, ülkemizde teknolojinin
kullanılabilirliği bakımından herhangi bir sorun yaşamamaktadır. Bununla birlikte,
59
Raporun orijinal metnine;
www.oecd.org/document/36/0,3343,en_2649_34255_1814820_1_1_1_1,00. html, adresinden
ulaşılabilir.
60
Bilgi Sistemleri Güvenliğine İlişkin OECD Rehber İlkeleri’ne ait belgeye; ftp://ftp.dtm.gov.tr/etik/
Duyurular/OECD_BilgiGuv_Rehberi.pdf, adresinden ulaşılabilir.
177
bilgi sistemleri ve ağ güvenliği açısından kişisel güvenliğin sağlanması konusunda
özellikle kamusal alanda faaliyet gösteren personelde genel bir bilinç mevcut
değildir. Güvenliğin sağlanması kapsamında ilk duvarı oluşturan bilinç ihmal edilmiş
bir konudur. Bilişim teknolojileri ile ilgili yeterli bilincin oluşturulması verilecek
hizmet içi kurslarla mümkün iken, kurum içindeki çalışma şartlarının yoğunluğu ve
kurumlarda bir eğitim planlamasının oluşturulmaması, ulusal bir bilinç kültürü
oluşturmada sınırlılık ve bir eksiklik olarak değerlendirilmektedir. Her bilişim
teknolojisi kullanıcısının bilmesi gereken temel güvenlik uygulamaları, dönemsel
olarak ya da gerek görüldüğünde kamu kurum ve kuruluşlarında var olan bilgi işlem
bölümleri tarafından yerine getirilmektedir.
Çoğu zaman güvenlik konusunda yeterli bilgi sahibi olunmamasından ötürü,
yaşanan sıkıntılar göz ardı edilmekte yahut yaşanan sıkıntılara bilgisayar
teknolojilerinden sınırlı seviyede anlayan personel müdahale ederek sorun çözme
yoluna gidilmektedir. Özel sektör kuruluşlarında bilişim güvenliğine ilişkin
uygulamalar çok daha profesyonelce yapılmaktadır. Özel sektörün uygulamaları
kamusal alanda örnek olarak kullanılabilir. Özellikle devlet teşekküllerinde yaşanan
bilişim güvenliği sorunu Ar – Ge politikalarının yetersizliğinden kaynaklanmaktadır
ve sağlam temellere oturtulmuş Ar – Ge politikalarından elde edilecek sonuçlara
kadar bilişim güvenliği ile ilgili sorunların çözümü konusunda özel sektör
kuruluşlarından profesyonel destek sağlanması daha mantıklı bir politika olarak
düşünülebilir.
4.1.3.1.2. Sorumluluk
Bilişim teknolojilerini kullanan her personel esasen kullanmış olduğu cihazın
güvenliğinden sorumlu olmalıdır. Bu cihaz bir tablet bilgisayar olabileceği gibi cep
telefonu da olabilir. Sonuç itibariyle bilişim teknolojisinin kullanıldığı her şey bir
iletişim veya hizmet aracı olarak kullanılmaktadır. Cüzdanımızda taşıdığımız kimlik
ve evimizde bulundurduğumuz değerli eşyalarımız kadar, personeli olduğumuz
kurumun bilgi envanterinin depolandığı ve paylaşıldığı her türlü cihazın sorumluluğu
ve sorumluluk bilinci personelimizde olması gereken bir niteliktir. Bilginin
güvenliğinin korunması kullanılan cihazın özelliklerine göre değişse de, sorumluluk
178
bilinci değişmemelidir. Aşılanacak bilinçle birlikte, geliştirilecek sorumluluk
duygusu, personelin kendi otomasyonunu yapabilmesine olanak sağlayacaktır. Belirli
prosedürler eşliğinde düzenli olarak kontrol edilecek bilgi teknolojisi cihazın,
prosedür güncellenmesi ise sorumluluk bilincinin kazanılmasıyla mümkündür.
4.1.3.1.3. Tepki
Personel, genel anlamda bilişim teknolojilerinde meydana gelebilecek güvenlik
ihlallerinin önlenmesinde kurulu bulunan yada kurulması planlanan acil müdahale
ekipleriyle birlikte hareket etmeli, önleme stratejileri ilk ayak olarak sistemli bir
şekilde oluşturulmalı, meydana gelen güvenlik ihlallerinde ise zamanında tespit ve
koordinasyon içinde müdahale sağlanmalıdır. Koordinasyonun sağlanması işbirliğine
bağlıdır ve işbirliği bilişim teknolojilerinde en hızlı şekilde icra edilmelidir. Saniyeler
içinde gerçekleşecek güvenlik ihlallerinde işbirliği ve koordinasyon hayati öneme
sahiptir. Ülkemizde bilişim güvenliği konusunda yaşanacak olan ve kamuya ait kritik
alt
yapılara
yönelik
bir
saldırıya
cevap
verecek
acil
müdahale
birimi
bulunmamaktadır. Uluslararası yaşanacak bir bilişim güvenliği ihlalini operasyonel
anlamda takip edip, sonuçlandıracak tepki biriminin kurulması ve sanal dünyada
yaşanacak önemli suç konularına yoğunlaşması, bilişim suçlarıyla mücadelede ulusal
ve uluslararası tecrübe kazanmamıza olanak sağlarken, uluslararası işbirliklerinin de
sağlam temeller üzerinde yükselmesine etki edecektir.
4.1.3.1.4. Etik
Bilişim teknolojileri kullanıcılarının meydana gelebilecek bir güvenlik açığında
göstereceği sorumsuzluk diğer bağlantı ve kullanıcılarında risk altına girmesine
sebep olabilir. Kullanılan ağa dışarıdan ya da içeriden yapılacak kötü niyetli bir
müdahale tüm sistemi etkileme kapasitesine sahip olabilir, bu bakımdan tüm
kullanıcıların etik çerçeve içerisinde bilinçli olarak sorumluluk göstermesi gerekir.
Bu bakımdan bilinç ve sorumluluğun benimsenmesi ile meydana gelebilecek
ihlallerin önüne geçilebilir. Hukuksal açıdan düşünüldüğünde, bilgisayar veya
sistemlerine izinsiz girmek suç sayılmaktadır, ahlaki açıdan düşünüldüğünde ise
kişisel mahremiyete karşı yönelik bir tecavüz olarak etik açıdan yanlış bir harekettir.
179
Kurum içi sistemlere sniffer programları ile giriş yapılabileceği gibi ağ üzerinden
yapılan uygulamaları görmede yine bu ve benzeri programlar ile yapılabilir. Fakat
hem hukuksal açıdan hem de etik açıdan düşünüldüğünde, kişi mahremiyetine
yönelik tecavüzler bilişim toplumu olma yolunda yaşanan olumsuz örneklerdir.
Bilişim ve bilgi toplumu psikolojisi ile hareket etmeye başlanıldığında bu tür
saldırıların azalacağı düşünülmektedir.
4.1.3.1.5. Demokrasi
Demokratik toplumlar, kişisel bilgilerin korunması ve şeffaflık üzerine bir sistem
geliştirmek zorundadır. Ulusal açıdan değerlendirildiğinde, kişisel bilgilerin
korunması temel değerlerdendir. Geliştirilen e – devlet sistemleri, bireylere sınırlıda
olsa bilgi edinme konusunda yardımcı olmaktadır. Adli uygulamaların hazırlık
aşaması, yine bir e – devlet uygulaması olan UYAP gibi ulusal bir hizmet prensibi
içeren örnek bir alt yapı ile bireylerin hizmetine sunulmuş durumdadır. Kamusal
açıdan düşünüldüğünde güvenlik ve kişisel bilgilerin korunması kanuni bir
sorumluluktur ve bu sorumlulukla birlikte geliştirilmiş bir etik anlayış ulusal
anlamda mevcuttur.
4.1.3.1.6. Risk Değerlendirmesi
Ülkemiz açısından risk değerlendirmesi temel olarak kamu kurum ve kuruluşları,
STK’lar ve özel kuruluşlar tarafından yapılmalıdır. Bilişim sektörü çok yönlü bir
konu olduğu için risk analizinin sadece kamu tarafından yapılması yeterli
olmayacaktır. Kamusal alanda öncelikle personelin bilgi depolaması yapılan yerlerin
güvenliğini ve ne derece güvenilir olduğunu saptaması gerekmektedir. Bunun için
fiziksel, insan kaynaklı ve teknolojik risk değerlendirilmesi gibi iç ve dış faktörlerin
belirlenmesi ve uluslararası standartlarda bir prosedür uygulaması geliştirilmelidir.
Bilginin mahiyeti, hasar veya zarara uğradığında oluşabilecek riskler göz önünde
bulundurularak derecelendirilmiş bir güvenlik şemsiyesi prosedürün içeriğinde
değerlendirilmelidir. Güvenlik yapılanmasının prosedürlerinin standart olarak
uygulanması içinde konunun kamu alanında en azından bir bakanlık düzeyinde veya
bir bakanlığa bağlı olarak yürütülmesi gerektiği düşünülmektedir.
180
4.1.3.1.7. Güvenlik Tasarımı ve Uygulama
Geliştirilen alt yapı sistemleri ile intranet özelliği taşıyan bilişim ağı alt yapılarında
yeni yeni gelişmekte olan, sistemlere yetkisiz erişim veya erişim esnasında dijital
imza bırakacak bir güvenlik yönelimi mevcuttur.
E – İmza ve e – ticaret
kavramlarının yaygınlaşması ve uluslararası bir yapıya bürünmesiyle birlikte bu
konuda hem kamu alanında hem de özel sektör alanında bir iyileştirme ve uyum
sağlama çalışmasının sürdürüldüğü gibi, bu noktada kayda değer bir ilerlemenin
sağlandığı da söylenebilir. Bunun yanında yerel ağ haricinde kullanılan diğer bilişim
teknolojilerinin güvenliği içinde bir yapılanma henüz mevcut değildir. Genel olarak
sektörel anlamda değer yönünden önemli bilgilerin güvenliği, diğer sıradan bilgilerin
güvenliği seviyesinde sağlanmaktadır. Bu konunun risk değerlendirmesi kapsamında
ele alınması ve birlikte değerlendirmeye tutulması daha uygun bir seçenektir.
4.1.3.1.8. Güvenlik Yönetimi
Bilişim teknolojilerini kullanan personelin, öncelikle güvenliği her safhada aktif bir
şekilde sağlaması ve yukarıda belirtilen ilkeleri yerine getirmede dinamik bir
devamlılığı takip etmesi gerekmektedir. Ulusal alt yapı sisteminin, bakım, onarım,
inceleme ve arızaları önleme, saptama ve müdahale gibi olmazsa olmazları ile
kurumlara has hizmet veren intranet alt yapı sistemlerinin oluşturulacak tepki
merkezleri tarafından düzenlenmesi ve incelenmesi gerekir. Bununla birlikte yerel
tepki merkezleri aracılığı ile ufak çaplı sorunların onarılması çok daha verimli
olacaktır.
4.1.3.1.9. Yeniden Değerlendirme
Güvenlik bilincinin ön şart olmasıyla birlikte, güvenliğin uygulanırlığı sürekli bir
şekilde denetlenmeli, gerekli güncellemeler yapılmalı ve yeni riskler bir bülten
halinde personele duyurulmalıdır. İstihbarat kadar önemli olan istihbara karşı koyma
kapsamında düşünüldüğünde, yeni risklerin tanınması ve bunlara karşı önlem
alınması caydırıcılığı kadar güvenilirliği de temelden etkileyen unsurlardır. Tüm bu
ilkelerle bağlantılı olan bu son ilkenin geçerliliği, diğer ilkelerin tamamının
181
uygulanmasına bağlıdır. Bu noktadan hareketle uluslararası standartlarda ve
işbirliklerine açık politikaların hayata geçirilmesi, uygulamaların düzenli olarak
denetlenmesi ve aksaklıkların giderilebilmesi, yeniden gözden geçirme ve yapıcı
düzenlemelerin hayata geçirilmesi ile bağlantılıdır.
182
SONUÇ
Bir hedefe ulaşmada izlenecek yolun başında belirlenmesi gereken politikanın önemi
ileriki aşamalarda, üniter bir devlet için küresel anlamda mücadele ve pazar elde
etme bağlamında düşünülmedir. Günlük hayatta bile birey yapacakları için bir plan
veya program belirlemekteyse, devlet gibi uluslararası yapının temel aktörü olan bir
oluşumun geleceğe yönelik açılımları için bir plan belirlemesi kaçınılmazdır. Bilişim
teknolojileri, günümüz dünyasında önemi giderek artan bir paradigma olarak görülse
de kimi ülkeler için öncelikli olabildiği gibi, kimi ülkeler içinde ikinci veya üçüncü
derecede önemli bir konu olarak algılanmaktadır. Sanayi devriminin Türkiye’de ne
zaman sonra gerçekleşmesi, uluslararası arenada sanayi ihracatı ve teknoloji devrimi
konularında gündemi geriden takip etmek zorunda kalındığının nedeni olarak
görülmelidir. Çokça kullanılan tabiriyle küresel bir köy haline gelen dünyanın,
globalleşme aşamasında sınırların kalktığı bir devletler topluluğu haline geldiği
söylenebilir. Gücün bilgiye eşit olduğu yüzyılımızda ise yeniliklerin keşfedilmesi,
kıtaların keşfi kadar önemli bir hal almıştır. Bu bağlamda, içe döndüğümüzde kamu
eliyle güçlendirilecek bilgi hâkimiyeti ve rekabeti, Türkiye’yi küresel arenada söz
sahibi haline getirebilir. Gelişen ve gelişmekte olan olarak kalacak bilişim
teknolojileri, ülkelerin ihracat dolayısıyla finansal kaynak sağlama yeteneklerinden
biri haline gelmiştir. Büyük bir pazar payı bulunan teknoloji ihracatı Türkiye içinde
değerlendirilmesi gereken bir alandır. Bu kapsamda öncelikli amaç eğitim
faaliyetlerinin sürekli hale gelmesi ve altyapının tamamlanması olmalıdır. Bunun için
yukarıda da değinildiği gibi kamunun yönlendirici pozisyonda olması ve özel
teşebbüsleri desteklemesi gerekmektedir.
Kamunun bu desteği çeşitli şekillerde olabilir, örneğin kamu alımları yoluyla iç
piyasada rekabet ve talep yaratılabileceği gibi, Ar – Ge faaliyetlerinde bulunmak
isteyen özel teşebbüslere mali destekte de bulunulabilir. Fakat bu mali yardımların
her kesime ulaşabilir olması, tekellerin önlenmesi bakımından önemlidir. Yardımda
bulunulan teşebbüslerin geliştirdiği ürünlerin, kamuya satılması aşamasında
uluslararası standartlara uyup uymadığı kontrol edilmelidir, aksi halde kısır döngü
içinde gelişemeyen güdük bir teknoloji üreticisi konumundan öteye gidilemez.
Burada değinilmesi gereken bir diğer önemli husus ise, yardımda bulunulan
183
teşebbüslerden alım yapılacağı gibi bir inancın ortadan kaldırılmasıdır. Kamuya
düşen bu büyük görev, uluslararası çapta rekabet edebilecek dev şirketlerin
Türkiye’de milli sermayeyi ve ülke refahını arttırma anlamında filizlenmesine vesile
olacaktır. Unutulmaması gereken bir diğer hususta, yerli firmaların yabancı firmalara
karşı teknoloji ve pazar payı bakımından kafa tutar hale gelene kadar
desteklenmesidir. Günümüzde gelişmiş ülkelerde bile yeni geliştirilen teknoloji
global anlamda bir güç haline gelene kadar kamu tarafından desteklenmektedir.
Kamu kapsamında yürütülecek Ar–Ge faaliyetlerinde ise bir koordinasyon
kaçınılmazdır. Aynı konuda birden fazla araştırmanın, aynı seviyede gelişmemiş bir
halde yürütülmesi finansal açıdan bir sorun yaratabileceği gibi, zaman anlamında da
bir savurganlık olarak görülebilir. Her ne kadar aynı konu kapsamında farklı
düşüncelerle bir çalışma mevcudiyetinin varlığı daha sağlam temellerin atılmasını
hazırlasa da, koordine olmayan birçok başlılık kamusal kaynakların israfı olarak
görülmelidir. Denetim mekanizmasının, bahsi geçen bir koordinatör organ tarafından
yerine getirilmesi, her kurumun kendini denetlemesinden çok daha anlamlı olacaktır
(TÜBİTAK, 2003: 13 – 14).
Bu sebeple yeni bir bilişim teknolojileri politikasının sil baştan oluşturulması
ve şablon olarak tüm kamu kurumlarına uygulanabilir şekilde adapte edilmesi
gerekmektedir. Geçmiş dönemlere ait ve zamanın mükemmel denebilecek
politikaları günümüzde işlememektedir. Bunun en büyük sebebi ise teknolojideki
büyük sıçramadır. Son 20 yılda muazzam boyutlarda gelişmiş bir sektörün geçmiş
politika anlayışları ve arayışlarıyla karşılanması mümkün değildir. Soğuk savaş
döneminin geride kalması ile güvenlik endişelerinin yerini ekonomik endişelere
bırakmış olması, bilişim teknolojileri politikasında önemli bir yeri olan bilişim
güvenliğinin ötelenerek geri planda kalmasına etki etmemelidir. Savunma
sanayisinin bel kemiği haline gelen yazılımların amacı dışında veya terör amaçlı
olarak kullanılması kulağa ne kadar ürkütücü geliyorsa, ekonomi temelli fakat
güvenlikten yoksun bir bilişim teknolojisi politikası da kulağa o kadar eğreti
gelmelidir. Politika yapıcılığı üstlenmiş TÜBİTAK’ın bu konuda yeni bir oluşum
içine girerek, yeni, sürdürülebilir ve geliştirilebilir bir politika üretmesi şarttır. Bunun
için öncelikli olarak gecikmeyi kaldırmayan bilişim teknolojilerinin daha hızlı
şekillendirilebilmesi, yani gereksiz resmi protokollerin güvenliği aksatmayacak
184
şekilde düzenlenmesi gerekir. Kurumlar arası farklılıkları ortadan kaldıran ve aynı
yatırımlara eşit oranda sahip olabilecek yenilikçi bir bakış açısının oluşturulması,
bunun için daha hızlı yol kat edecek kurumlara daha fazla yatırım yapılması
anlayışının kazandırılması, kamu kurumlarına Ar – Ge yatırımları için teşviklerde
bulunulması, yatırımların sürekli olarak denetlenmesi, teşviklerin gelişmekte olan
alanlara doğru kullanılmasının sağlanması gibi marjinal bir top yekûn bilgi toplumu
olma politikasının desteklenmesi, halkında çeşitli yollarla bilinçlendirilmesi
sağlanmalıdır. Son dönemlerde sigaraya karşı geliştirilen dumansız hava sahası
politikaları oldukça olumlu sonuçlar doğurmuştur. Bunun en büyük sebebi ise başta
halkın bilinçlenmesine büyük önem verilmesi ve kamu kurumlarının yani yine halkın
en çok uğradığı yerlerin bu noktada halka örnek oluşturmasıdır denebilir.
Bu çok kapsamlı bilişim teknolojileri politikasının bir diğer ayağı ise özel
kurumlar ve internet sağlayıcı ticari kuruluşlardır. Gelişmiş her ülkenin özel sektörü,
Ar – Ge politikalarında devletten destek görmektedir. Bunun bir sonucu olarak devlet
yaptığı cüzi miktarda yatırımla, muazzam teknolojiler edinebilmektedir. Ulusal
politikaların olmazsa olmazı olan özel sektörle paralel bir çizgide hareket etme
anlayışının geliştirilecek olan bu yeni politikada yerini alması oldukça önemlidir.
İnternet sağlayıcı ticari iş yerlerinin ise bilinçlendirilmesi, denetlenmesi ve
oluşturulacak
politikalara
ortak
edilmesi
gerekir.
Uygulanamayacak
veya
uygulanması tamamen ticari iş yerine zarar verecek, oldu bitti, göstermelik
politikaların hem vatandaşa hem de ülkenin güvenliğine olumsuz etki edeceğini
belirtmekte yarar vardır. Kontrol edilemeyecek şeylere, izin verilmiş olması, kontrol
edilebilir hale getirilmeye mahal değildir. Her sokak başında görebileceğimiz
internet kafe adında ticari bir oluşum içine girmiş iş yerlerinin denetlenmesi, zaten
kendi kurumuna yetişemeyen profesyonel ve eğitimli personelin yetersizliğinden
ötürü gerçekleşmemektedir. Bambaşka bir araştırma konusu olacak internet kafelerin
durumunun göz önünde bulundurularak, buna benzer gelecekte karşılaşılabilecek
olumsuzlukların önlenebilmesi için gerekli yaptırımların sistematize edilmesi
gerekir.
Gelişmiş ve gelişmekte olan ülkeler ayırımı Ar – Ge harcamalarına bakılarak
yapılmaktadır. Bir ülkenin Ar – Ge harcamalarına ayrılan kaynak, GSYİH’ nın % 2
185
den fazla ise o ülke gelişmiş ülke olarak adlandırılır. Örneğin ABD’de Ar – Ge
harcamaları GSYİH’ nın % 2,67’sine Japonya’da ise % 3.12’sine tekabül etmektedir.
Bilişim sektörü global bir yapıya sahipse de, teknolojik gelişim 15 – 20 ülkenin
tekelindedir. Teknolojik olarak gelişmiş ülkelerin Ar – Ge yatırımları dünya
genelinde % 95’lik bir oranı ifade etmekteyken, dünya nüfusunun % 70’ni oluşturan
gelişmekte olan ülkelerin Ar – Ge kaynaklarına yaptığı yatırım % 5’te kalmaktadır.
OECD ülkelerinde Ar – Ge yatırımlarına ayrılan kaynak ortalama GSYİH’ nın % 2,
26’dır. AB ülkelerinde ise bu oran ortalama olarak % 1.83 seviyelerindedir.
Türkiye’deki Ar – Ge yatırımları ise GSYİH’ nın yaklaşık olarak % 0.67’sini
oluşturmaktadır. Ar – Ge yatırımlarında Türkiye’de üniversiteler % 64,3 ile ilk sırayı
almaktayken, kamu ve özel sektörün oluşturduğu sanayi bloğunun yatırım oranı %
28,7’dir. En yüksek Ar – Ge yatırımına sahip olması gereken kamu sektöründe ise bu
oran % 7 seviyelerinde kalmaktadır. Ar – Ge yatırımlarına aktarılan kaynaklar,
üretilen yazılımların güvenliğine de etki edecektir. Bilinen en büyük siber savaş
operasyonları siber espiyonaj faaliyetleri olarak sürdürülmektedir. Dışa bağımlı
bilişim sistemlerinin güvenilirliği konusunun ne derece ciddi bir konu olduğu daha
önce bahsedilen PROMIS adlı yazılımın kullanılma alanına bakıldığında
anlaşılacaktır. Siber uzay mahremiyetlerin ortadan kalktığı bir alan olma yolunda
ilerlemekte iken, ulusal güvenlik politikaları doğrultusunda bilişim politikalarının
revize edilmesi kaçınılmazdır. Ulusal bilişim politikasının en olmazsa olmazı ise Ar
– Ge yatırımlarıdır.
E – Devlet Dönüşüm Projesi konusunda da yine koordinatör bir kuruma olan
ihtiyaç karşımıza çıkmaktadır. Projenin, kamu hizmetlerini vatandaşa sunmada bir
araç olarak görülmesi, bu kapsamda kamu faaliyetlerinde şeffaflaşmanın önünün
açılarak kontrol edilebilirlik ve hesap verilebilirlik standartlarına getirilmesi gerekir.
Böylece kamu kurumları arasında standartlaşan bir hizmet sunma kalitesi
yakalanabilir. Birbirine entegre olabilecek kamu kurumları bilişim altyapıları,
verilere daha hızlı ulaşılmasında, hizmetin daha hızlı ve kaliteli yürütülmesinde etkili
olacaktır (Kesen, 2005: 5). E – devlet çalışmaları Türkiye’de teknolojinin
geliştirilmesi ve Ar – Ge faaliyetlerinin artması için bir fırsat olarak
değerlendirilirken, yerli firmaların uluslararası tekelleşmiş firmalarla başa çıkabilme
yetenekleri geliştirilmelidir (Yazıcı v.d., 2006). Ticari faaliyet gösteren firmaların
186
yanı sıra araştırma kurumları, üniversiteler ve sanayi kuruluşları arasında da Ar – Ge
faaliyetlerinin kapsamının geliştirilmesi gerekmektedir.
Kamu ile saydığımız bu organizasyonlar arasında ulusal bilim ve teknoloji
politikalarının oluşturulması ve bir birlikteliğin sağlanması gerekmektedir.
Bahsedilen koordinatör yapının önemi bu kısımda da kendini göstermektedir. Ulusal
bir program olan AB tam üyeliği, ulusal bir bilim ve teknoloji politikası ile
desteklenmelidir. Politikaların ise AB müktesebatına uygun olarak düzenlenmesi
gerekir. Bilim ve Teknoloji yönünden global bir aktör olmak isteniyorsa, uluslararası
rekabetin benimsenmesi, 7. Çerçeve Programı’na daha kapsamlı bir şekilde entegre
olunması, özellikle 6. Çerçeve Programı’nda geri planda kalmış devlet kuruluşları,
araştırma kurumları ve STK’ların katılımının sağlanması gerekmektedir.
Bu çerçevede, mevcut eğitim faaliyetlerinin ve istihdam politikalarının revize
edilmesi, nitelikli işgücü potansiyelinin arttırılması, mevzuat düzenlemelerinin
tamamlanması, bilgi toplumu politikalarına önem verilmek suretiyle bilişim
teknolojilerinin
kullanımının
yaygınlaştırılması,
dışa
bağımlılığı
azaltacak
yatırımların Ar – Ge faaliyetlerine kaydırılması, transfer edilen teknolojinin
geliştirilerek
ihraç
edilecek
duruma
getirilmesi,
inovasyon
atılımına
hız
kazandırılması kapsamında çeşitli aktivitelerin hem kamu hem de özel iş çevreleri
tarafından desteklenmesi gerekmektedir (Kaplan, 2004: 193 – 194).
Yazılım sektörü alanında büyük bir pazar payının varlığından daha önceki
satırlarda bahsedilmişti. Yazılım mühendisliği konusunda eğitim ve uygulanan
politikaların sonuçlarına baktığımızda; iyi ve yeterli eğitim almış mühendislerin
gelişmekte olan bu sektörde hak ettikleri şekilde ödüllendirilmediklerini, maaş
konusunda dünyadaki emsallerine göre Türkiye’de daha kısıtlı imkânlarının
olduğunu, yetişmiş nitelikli iş gücünün bir parçası olan yazılım mühendislerinin ne
yazık ki bu sebeple farklı ülkelere göç ettiğini hemen ilk anda görebiliriz. Tüm bu
olumsuzlukların yanında liyakat gösteremeyen bireylerin, yetişmiş kimselerin
önünde iş imkânlarına kavuşuyor olmaları da, sektöre yetişmiş eleman ihtiyacı
hisseden Türkiye’de istekli bireylerin, başka dallara yönelmesinde etkili olmaktadır
(Soğancı, 2007: 40). Bunun yanında yerli yazılımlar yerine, teknik destekten yoksun
187
yabancı yazılımların kamu kurumları da dâhil pek çok organizasyon tarafından tercih
edilmesi katma değer anlayış bakımından olumsuz bir hava oluşturmaktadır. Bunlar
rekabet edebilirlik politikalarının gelişememesinde önemli ve bir an önce giderilmesi
gereken sorunlardır (Elmas, 2007: 43). Geliştirilen bir yazılımın açık kodlu olarak
piyasaya sunulması, alınacak telif hakları lisans ücretlerinin geri dönüşüm
kapsamında yine Ar-Ge programlarına kaynak olarak aktarılması, hem tekelleşmeyi,
hem de uluslararası rekabet gücünü arttıracaktır (Yıldırım, 2007: 43). Uluslararası
rekabetin yanında, ulusal rekabetinde sağlanması gerekir, bunun için Rekabet
Kurulu, Telekomünikasyon Kurumu ve Ulaştırma Bakanlığı nezdinde yürütülecek
bir işbirliği gereklidir. Fiyat ve tarifeler konusunda mümkün olduğu kadar rekabetin
sağlanması şarttır (BTSTK Platformu, 2001).
Bugün gelinen noktada, bilgi toplumu olma hedefi pek çok özel veya kamu
kurumu üst düzey yetkilisi tarafından dile getirilmektedir. Bu ulvi bir amaç olarak
görülüyorsa ve pazar payı düşünüldüğünde, gelecekte hesaplara katılırsa kamu adına
koordinasyonun sağlanması kapsamında bir desteğe ihtiyaç duyulmalıdır. Bu desteği
sağlayacak kamu kurumunun ise TÜBİTAK veya TÜBİTAK’a bağlı bir kurum
olarak düşünülmesi gerekir. Bilişim ve Teknoloji Bakanlığı olarak pek çok yerde
dillendirilen ayrı bürokratik bir yapının teknoloji gibi hızla ilerleyen bir alanda işleri
yavaşlatacağı unutulmamalıdır. Bürokratik konum elde etme arzusundan, bilgi ve
bilişim teknolojileri toplumu olma iradesine doğru bir anlayışın varlığının
pekiştirilmesi gerekmektedir. Bilişim sektörü içinde olan her organizasyonun veya
bireyin, yeni, gelişmeye açık, sürdürülebilir ve yenilikçi bir bilgi teknolojileri
politikasına katılımının sağlanması ileride doğabilecek sıkıntıların ortak olarak
paylaşılması
ve
daha
çabuk
sonuç
alınabilmesi
için
önemlidir.
Bilişim
teknolojilerinin Türkiye için öneminin pekiştirilmesi temeli sağlam bir yol haritası ile
mümkündür. Bu kapsamda öncelikle politikaların sürdürülebilir ve uygulanabilir bir
şekilde temellendirilmesi, akabinde yasal boşlukları olmayacak şekilde politikanın
desteklenmesi, son olarak ise teknolojinin geliştirilmesine ciddiyet verilmesi gerekir.
Öncelikle gelecekle ve yapılacaklarla ilgili planlamaların oluşturulması yani ulusal
bilgi ve bilişim politikalarının şekillendirilmesi temel hedef olarak ele alınmalıdır.
Ulusal bir politikanın eksikliği yasal düzenlemelerin gereği gibi yapılamamasına,
yargısal açıdan boşlukların meydana gelmesine etki edeceği için politika inşa
188
edilecek yapının temelini oluşturmaktadır. Sağlam bir yapının üstüne her şekilde
düzenleme yapabilme lüksüne sahip olabiliriz, keza sistem politikaların doğru
uygulanmasıyla kendini yapılan hatalar karşısında çabucak toparlayacaktır. Politika
uygulamasının
devamında,
geliştirilecek
yasal
düzenlemelerle
temelin
güçlendirilmesi işleminin tamamlanması vardır. Yasaların politikalarla paralel olarak
şekillendirilmesinin devamında ise teknolojik gelişmeye ve bölgesel liderlik anlayışı
ile Ar – Ge yatırımlarına ağırlık verilmesinin altı çizilmesi gereken önemli bir konu
olduğu unutulmamalıdır. Türkiye’nin milli yazılımlarla kendine global arenada
önemli bir konum kazanması, politika – yasal düzenleme ve teknoloji transferi
politikalarının bahsedilen sıra doğrultusunda uygulanmasına bağlıdır. Bilgi güçse
kazanmak stratejilere bağlı, koşullara göre değişkenlik gösteren zorlu bir yoldur.
Doğru ulusal bilişim politikaları, hukukun üstünlüğü ve teknoloji transfer politikaları
bir bütün olarak ele alınması gereken tamamlayıcı unsurlar olarak görülmelidir.
189
KAYNAKÇA
Ackerman, Elise, (2007), “Hackers' Infections Slither Onto Web Sites”,
http://seattletimes.nwsource.com/html/businesstechnology/2003556913_hacker
s05.html (Erişim Tarihi: 11.10.2008).
ACLU,
(2005),
“NSA
Spying
on
Americans
Is
Illegal”,
http://www.aclu.org/privacy/spying/23279res20051229.html (Erişim Tarihi:
14.09.2008).
ADL, (2002), “Jihad Online: Islamic Terrorists and the Internet”,
www.adl.org/Learn/internet/jihad_online.pdf (Erişim Tarihi: 26.03.2008).
ADL,
(2008), “PFLP Launches English Language Web Site”,
http://adl.org/main_Terrorism/pflp_website_english.htm
(Erişim
Tarihi:
26.03.2008).
Akbulut, Bozdoğan B., (2000), “Bilişim Suçları” Selçuk Üniversitesi Hukuk
Fakültesi Dergisi Milenyum Armağanı, C. 8, S. 1 – 2, ss. 545–555.
Aksam.com.tr,
(2005),
“CIA
terörizmle
oyun
oynuyor”,
http://www.aksam.com.tr/arsiv/aksam/2005/05/27/teknoloji/teknoloji2.html
(Erişim Tarihi: 12.02.2008).
Anderson, Jack and Cohn, Douglas, (1999), “Shh! Uncle Sam is Listening”,
http://www.fas.org/irp/program/process/991116-echelon.htm (Erişim Tarihi:
09.04.2008).
Anonymous, (2002), Maximum Security: A Hacker's Guide to Protecting Your
Internet Site and Network, 4. Baskı, U.S.A: Paperback Edition.
Ariza, Luis M., (2005), “Virtual Jihad, The Internet as the ideal terrorism recruiting
tool”, http://www.sciam.com/article.cfm?id=virtual-jihad (Erişim Tarihi:
12.06.2008).
Asser, Martin, (2000), “Echelon: Big brother
http://news.bbc.co.uk/1/hi/world/europe/820758.stm
04.04.2008).
without a
(Erişim
cause?”,
Tarihi:
Associated Press, (2007), “Afghanistan's poppy crop could yield more than 2006's
record haul, UN says”, http://www.iht.com/articles/ap/2007/06/25/asia/ASGEN-Afghan-Drugs.php (Erişim Tarihi: 02.05.2008).
190
Aşut, Mahir, t.y., "I love you melissa...",
www.bthaber.net/269/menu_teknolojidunyasi01.htm (Erişim Tarihi:
16.03.2008).
Australian Crime Commission, (2004), “Parliamentary Joint Committee On The
Australian Crime Commission Cybercrime Report”, Commonwealth of
Australia 2004, Parliament House Canberra: The Senate Printing Unit.
Aydın, Emin, (1992), Bilişim Suçları ve Hukukuna Giriş, Ankara: Doruk Yayınları.
Aydın, Öykü D., (1993), “Bilişim Suçları” Bilişim’93 Bildiriler, Türkiye Bilişim
Derneği Bilişim 93 Etkinlikleri, 28 Eylül – 1 Ekim 1993, İstanbul: İnterpro
Yayıncılık Araştırma ve Organizasyon Hizmetleri A.Ş., ss. 72 – 81.
Bajkowski, Julian, (2008), “Spy warns of growing foreign cyber-espionage activity:
China and Russia’s increased electronic warfare capabilities”, http://misasia.com/news/articles/spy-warns-of-growing-foreign-cyber-espionage-activity
(Erişim Tarihi: 20.10.2008).
Bank, David and Conkey, Christopher, (2005), “New Safeguards for Your Privacy,
Filed Under:
Credit and Identity Protection, Insurance Agents”,
http://www.filife.com/stories/new-safeguards-for-your-privacy (Erişim Tarihi:
08.09.2008).
Baugh, William E., and Denning, Dorothy E., (1997), "Encryption and Evolving
Technologies: Tolls of Organized Crime and Terrorism”, Trends in Organized
Crime, Vol. 3, Issue:3 Dated:Spring 1998, Washington, D.C.: National
Strategy Information Center, ss.44 – 75.
BBC News, (2000), “US spy system under attack”,
http://news.bbc.co.uk/2/hi/654394.stm (Erişim Tarihi: 20.02.2008).
BBC News, (2003), “Credit card database hacked”,
http://news.bbc.co.uk/2/hi/business/2774477.stm (Erişim Tarihi: 11.11.2008).
BBC News, (2005), “Japan cardholders 'hit' by theft”,
http://news.bbc.co.uk/2/hi/business/4114252.stm#top (Erişim Tarihi:
12.11.2008).
BBC News, (2007), “Bulgaristan ve Romanya AB'de”,
www.bbc.co.uk/turkish/news/story/2007/01/070101_eu_membership.shtml
(Erişim Tarihi: 01.01.2007).
191
Bergen, Peter, (2006), “The Taliban, Regrouped And Rearmed”,
www.washingtonpost.com/wpdyn/content/article/2006/09/08/AR2006090801614.html (Erişim Tarihi:
28.05.2008).
Berry, LaVerle; Curtis, Glenn E.; Hudson, Rex A. and Kollars, Nina A., (2002), A
Global Overview of Narcotics-Funded Terrorist and Other Extremist Groups,
Washington D.C.: Library of Congress under an Interagency Agreement with
the Department of Defense.
BTSTK Platformu, (2001), Bilişim Sivil Toplum Örgütleri Platformu Ortak
Deklarasyonu, http://bt-stk.org.tr/bt-stk.html (Erişim Tarihi: 29.02.2008).
Bilişim Şurası, (2002), “1. Bilişim Şurası Sonuç Bildirgesi”,
www.bilisimsurasi.org.tr/2002/ (Erişim Tarihi: 17.03.2008).
Bilişim Şurası, (2004), Türkiye 2. Bilişim Şurası Sonuç Bildirgesi, 10–11 Mayıs
2004, Ankara: ODTÜ.
BM, (1999), Birleşmiş Milletler Uluslararası Uyuşturucu Kontrol Program: Dünya
Uyuşturucu Raporu, England: Oxford University Press.
Blane, Colin, (2000), “Calls to investigate US spy network: MEP's want an
envestigation in spying allegations”,
http://news.bbc.co.uk/2/hi/europe/695535.stm (Erişim Tarihi: 16.03.2008).
Bomford, Andrew, (1999), “Echelon spy network revealed”,
http://news.bbc.co.uk/2/hi/503224.stm (Erişim Tarihi: 13.02.2008).
Bort, Julie, (2007), “Attack of The Killer Bots, Network World”,
http://www.networkworld.com/research/2007/070607-botnets.html?fsrc=rsssecurity (Erişim Tarihi: 04.08.2008).
Brenner, Bill, (2006a), “Criminals Find Safety in Cyberspace”,
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1235455,0
0.html (Erişim Tarihi: 01.09.2008).
Brenner, Bill, (2006b), “Security Blog Log: Has CSI/FBI survey jumped the shark?”,
www.searchsecurity.techtarget.com/news/column/0,294698,sid14_gci1202328,
00.html# (Erişim Tarihi: 01.09.2008).
192
Brenner, Susan, (2002), “Organised Cybercrime? How Cyberspace May Affect the
Structure of Criminal Relationships”,
http://www.jolt.unc.edu/Vol4_I1/Web/Brenner-V4I1.htm
(Erişim
Tarihi:
03.09.2008).
Bridis, Ted and Sullivan, Eileen, (2007), “US video shows simulated hacker attack”,
http://www.industrialdefender.com/general_downloads/news_industry/2007.09.
27_us_video_shows_simulated_hacker_attack.pdf (Erişim Tarihi: 12.07.2008).
Broersma, Matthew, (2007), “Peer-to-Peer Botnets a New and Growing Threat”,
http://www.symantec.com/business/news/article.jsp?aid=IN_041807_Botnets
(Erişim Tarihi: 17.05.2008).
Butters, George, (2003), “Expect terrorist attacks on Global Financial System”,
http://www.theregister.co.uk/2003/10/07/expect_terrorist_attacks_on_global/
(Erişim Tarihi: 21.03.2008).
Campbell, Duncan, (1999), “Interception Capabilities 2000”,
www.fas.org/irp/eprint/ic2000/ic2000.htm#N_38_ (Erişim Tarihi: 12.02.2009).
Cantwell, Maria, (2006), “Cantwell Demands Answers: Better Safeguards Following
Theft
of
Thousands
of
Hanford
Workers’
Personal
Data”,
(Erişim
Tarihi:
http://cantwell.senate.gov/news/record.cfm?id=256889
12.11.2008).
CCRC, (2005), “Russia, Biggest Ever Credit Card Scam: Computer Crime Research
Center”,
http://www.crime-research.org/news/08.07.2005/1349/%5D/ (Erişim Tarihi:
12.11.2008).
Ceyhun, Yurdakul ve Çağlayan, M. Ufuk, (1997). Bilgi Teknolojileri Türkiye İçin
Nasıl Bir Gelecek Hazırlamakta, Ankara: Türkiye İş Bankası Kültür Yayınları.
Coleman,
Kevin
G.,
(2003),
“Cyber
Terrorism”,
www.directionsmag.com/article.php?article_id=432&trv=1 (Erişim Tarihi:
21.05.2008).
Coleman, Kevin G., (2008), “Cyber Espionage Targets Sensitive Data”,
http://sip-trunking.tmcnet.com/topics/security/articles/47927-cyber-espionagetargets-sensitive-data.htm (Erişim Tarihi: 06.01.2009).
193
Collin, Barry C., (2004), “The Future of CyberTerrorism: Where the Physical and
Virtual Worlds Converge”, http://afgen.com/terrorism1.html (Erişim Tarihi:
12.05.2008).
Council of Europe Octopus Programme, (2004), “Summary of the Organized Crime
Situation Report 2004”, Focus on the Threat of Cybercrime, Strausbourg.
Çiftçi, Elif, (2006), “Türkiye’nin Bilişim Politikası”,
http://www.ekonometri.com.tr/kategori.php?link=devam&grup=9&kat_id=0&s
ayfa_id=129 (Erişim Tarihi: 26.04.2008).
Dacey, Robert F., (2003), “Information Security Further Efforts Needed to Fully
Implement
Statutory
Requirements
in
DOD”,
http://www.gao.gov/new.items/d031037t.pdf (Erişim Tarihi: 09.07.2008).
Dakss, Brian, (2003), “Internet Worm Keeps Striking: Virus-Like Disruption
Crippled
Thousands
Of
Computers
Worldwide”,
www.cbsnews.com/stories/2003/01/28/tech/main538200.shtml (Erişim Tarihi:
03.01.2008).
Danchev, Dancho, (2008), “Coordinated Russia vs Georgia cyber attack in progress”,
www.infowarmonitor.net/modules.php?op=modload&name=News&file=article&sid=1965
(Erişim Tarihi: 01.02.2009).
Değirmenci, Olgun, (2003), “Bilişim Suçları Alanında Yapılan Çalışmalar ve Bu
Suçların Mukayeseli Hukukta Düzenlenişi”, www.caginpolisi.com.tr/37/59-6061-62-63-64.htm (Erişim Tarihi: 19.06.2008).
Demirbaş, Timur, (2005), Kriminoloji, Ankara: Seçkin Yayınları.
Denning, Dorothy E., (2000a), “Cyberterrorism”,
www.cs.georgetown.edu/~denning/infosec/cyberterror-GD.doc (Erişim Tarihi:
09.11.2008).
Denning, Dorothy E., (2000b), “Hacktivism: An Emerging Threat to Diplomacy”,
http://www.afsa.org/fsj/sept00/Denning.cfm (Erişim Tarihi: 21.07.2008).
Denning, Dorothy E., (2001a), “Is Cyber War Next? Social Science Research
Council – SSCR”, http://www.ssrc.org/sept11/essays/denning.htm (Erişim
Tarihi: 09.11.2008).
194
Denning, Dorothy E., (2001b), “Chapter Eight: Activism, Hacktivism, And
Cyberterrorism: The Internet As A Tool For Influencing Foreign Policy”, John
Arquilla ve David F. Ronfeldt (Der.), Networks and Netwars: The Future of
Terror, Crime, and Militancy, U.S.A National Defense Research Institute:
Rand Corporation.
Denning, Dorothy E., (2008), “The Web Ushers In New Weapons of War and
Terrorism”, www.sciam.com/article.cfm?id=web-brings-new-weapons-of-war
(Erişim Tarihi: 18.05.2008).
DHS,
(2008),
“Cyber
Storm:
Securing
Cyber
Space”,
www.dhs.gov/xprepresp/training/gc_1204738275985.shtm (Erişim Tarihi:
14.11.2008).
Diffie, Whitfield and Landau, Susan, (2008), “Internet Eavesdropping: A Brave New
World
of
Wiretapping”,
www.sciam.com/article.cfm?id=interneteavesdropping (Erişim Tarihi: 07.10.2008).
Doğan, Mahir, (2000), “Geleceğin Akıllı Evleri”, PCLife, 2000 Mayıs Sayısı, ss. 106
– 116.
Dokurer, Semih, (2008), “Ülkemizde Bilişim Suçları ve Mücadele Yöntemleri”,
http://bilisimsurasi.org.tr/dosyalar/17.doc (Erişim Tarihi: 11.02.2008).
DPT,
(1995), “Yedinci Beş Yıllık Kalkınma Planı 1996
http://ekutup.dpt.gov.tr/plan/plan7.pdf (Erişim Tarihi: 12.04.2008).
–2000”,
DPT, (2000), Uzun Vadeli Strateji ve Sekizinci Beş Yıllık Kalkınma Planı (2001 –
2005), Ankara: DPT.
DPT, (2005), VIII. BYKP - 2005 Yılı Programı,
http://ekutup.dpt.gov.tr/program/2005/bilim1.html (Erişim Tarihi: 22.04.2008).
DPT, (2006), Dokuzuncu Kalkınma Planı 2007 – 2013, Ankara: DPT.
Dumount, Etselle, (2004), “Council of Europe ratifies cybercrime treaty”,
http://news.zdnet.co.uk/itmanagement/0,1000000308,39149470,00.htm (Erişim
Tarihi: 30.03.2008).
Dursun, Hasan, (1998), “Bilgisayar İle İlgili Suçlar”, Yargıtay Dergisi, C. XXIV,
S.3, ss. 334 – 339.
Dülger, Murat Volkan, (2004), Bilişim Suçları, Ankara: Seçkin Yayınları.
195
Ectaportal, (2009), “Broadband & Scorecards”,
www.ectaportal.com/en/basic650.html (Erişim Tarihi: 03.02.2009).
Ellsmore, Nick, (2002), Sift Special Report, Cyber-Terrorism in Australia: The Risk
to Business And A Plan To Prepare, Australia: SIFT Pty Ltd.
Elmas, Çetin, (2007), “Uluslararası Tekellere Bağımlılık”, TMMOB Elektrik
Mühendisleri Odası Elektrik Mühendisliği Dergisi, S.432, ss. 40 – 43.
Ersoy, Yüksel, (1994), Genel Hukuki Koruma Çerçevesinde Bilişim Suçları,
Ank.Üni.Siy.Bil.Fak.Dergisi, C. 49, S. 3 – 4, ss. 149 – 183.
EPTC (European Parliament Temporary Comittee), (2001), “Draft Report on the
Existence of a global System for the Interception of Private and Commercial
Communications (ECHELON Interception System)”, Rapporteur: Gerhard
Schmid, (PR/439868en.doc – 1/113 – PE 305.391), Brussel.
Farer, Tom J, (1999), “Conclusion Fighting Transnational Organized Crime:
Measures Short of War”, Tom J. Farer (Der.), Transnational Crime in the
Americas, New York and London: Routledge.
Finjan, (2008), “Info Center: Web Security Surveys and Web Security Trends
Reports”,
http://www.finjan.com/Content.aspx?id=827
(Erişim
Tarihi:
28.10.2009).
Francis, Bob, (2005), “Know thy hacker, The dollars and cents of hacking”,
www.infoworld.com/article/05/01/28/05OPsecadvise_1.html (Erişim Tarihi:
18.06.2008).
Gaudin, Sharon, (2007), “T.J. Maxx Security Breach Costs Soar To 10 Times Earlier
Estimate”,http://www.informationweek.com/news/globalcio/compliance/showArticle.jhtml?articleID=201800259 (Erişim Tarihi: 19.09.
2008).
Gellman, Barton, (2002), “Cyber-Attacks by Al Qaeda Feared: Terrorists at
Threshold of Using Internet as Tool of Bloodshed, Experts Say”,
www.washingtonpost.com/wpdyn/content/article/2006/06/12/AR2006061200711.html
(Erişim
Tarihi:
25.12.2008).
Goodin, Dan, (2007), “Botmaster owns up to 250,000 zombie PCs: He's a security
consultant”,
196
http://www.theregister.co.uk/2007/11/09/botmaster_to_plea_guilty/
Tarihi: 07.01.2009).
(Erişim
Goodspeed, Peter, (2000),
“The new space invaders Spies in the sky”,
http://www.fas.org/irp/program/process/docs/000219-echelon.htm
(Erişim
Tarihi: 10.06.2008).
Gordon, Sarah ve Ford, Richard, (2004), Cyberterrorism?, White Paper – Symantec
Security Response, Alan O'Day (Der.), Aldershot, UK: Ashgate Publishing
Limited.
Göksel, Nilüfer K., (2004), “Türkiye’de Bilim ve Teknoloji Politikalarının Gelişimi
ve Teknoloji Transfer Politikası”,
http://www.dtm.gov.tr/dtmweb/index.cfm?action=detayrk&yayinID=542&iceri
kID=648&dil=TR (Erişim tarihi: 07.09.2008).
Greenemeier, Larry, (2007), “China's Cyber Attacks Signal New Battlefield Is
Online”,
http://www.sciam.com/article.cfm?id=chinas-cyber-attackssign&page=2 (Erişim tarihi: 24.12.2008).
Grow, Brian; Epstein, Keith and Tschang, Chi-Chu, (2008), “The New E-spionage
Threat”,
http://www.businessweek.com/magazine/content/08_16/b4080032218430.htm
(Erişim tarihi: 02.01.2009).
GTISC, (2009), “Emerging Cyber Threats Report
www.gtisc.gatech.edu/pdf/CyberThreatsReport2009.pdf
11.02.2009).
for 2009
(Erişim
Data”,
Tarihi:
Guvenliweb, (2009), “11.05.2009 Tarihli İhbar İstatistikleri Yayınlanmıştır”,
http://www.guvenliweb.org.tr/node/372 (Erişim Tarihi: 08.03.2009).
Gülle, M. Tayfun, (1991), “Türk Bilim Politikası ve Ulusal Enformasyon Sistemi:
Gelişmekte Olan Ülkeler Açısından Sosyolojik Bir Yaklaşım”, KütüphaneEnformasyon-Arşiv Alanında Yeni Teknolojiler ve TürkMARC Sempozyumu
Bildiri Metinleri, 1–4 Ekim 1991, Beyazıt Devlet Kütüphanesi, İstanbul: Türk
Kütüphaneciler Derneği İstanbul Şubesi, ss. 90–102.
Gümüş, Çetin ve Atıcı, Bünyamin, (2003a), “Sanal Ortamda Gerçek Tehditler; Siber
Terör – 4”, http://turk.internet.com/haber/yazigoster.php3?yaziid=8841 (Erişim
Tarihi: 24.03.2008).
197
Gümüş, Çetin ve Atıcı, Bünyamin, (2003b), “Sanal Ortamda Gerçek Tehditler; Siber
Terör – 1”, http://turk.internet.com/haber/yazigoster.php3?yaziid=8838 (Erişim
Tarihi: 24.03.2008).
Haberler.com,
(2007),
“Suriye'nin
Nüfusu
19
Milyonu
Geçti”,
www.haberler.com/suriye-nin-nufusu-19-milyonu-gecti-haberi/ (Erişim Tarihi:
05.02.2009).
Harris, Tom, (2003), “How E-Bombs Work”, http://science.howstuffworks.com/ebomb.htm (Erişim Tarihi: 07.11.2007).
Higgins, Kelly J., (2009), “German Authorities Shut Down Cybercrime Ring's Web
Forum”,
www.darkreading.com/security/client/showArticle.jhtml?articleID=215800738
(Erişim Tarihi: 11.03.2009).
Hines,
Matt,
(2008),
“Cyber-espionage
moves
into
B2B”,
ww.infoworld.com/article/08/01/15/Cyber-espionage-moves-into-B2B_1.html
(Erişim Tarihi: 25.06.2008).
HP, (2007), “HP Başarılı İş Ortaklarını Ödüllendirdi”,
http://h41131.www4.hp.com/tr/tr/press/HP_Baarl__Ortaklarn_dllendirdi.html
(Erişim Tarihi: 10.04.2008).
IBM Report, (2005), “Government, Financial Services and Manufacturing Sectors
Top Targets of Security Attacks in First Half of 2005; 'Customized' Attacks
Jump
50
Percent
As
New
Phishing
Threats
Emerge,
http://findarticles.com/p/articles/mi_m0EIN/is_2005_August_2/ai_n14841707/
(Erişim Tarihi: 07.06.2008).
IDC, (2008), “IDC’nin Her Yıl Yaptığı Korsan Yazılım Araştırması Tamamlandı”,
http://w3.bsa.org/turkey/press/newsreleases/bsa_ebulten_06_02_2008.cfm
(Erişim Tarihi: 21.03.2008).
IWS,
(2008),
“Internet
Usage
in
European
www.internetworldstats.com/stats9.htm (Erişim Tarihi: 14.07.2008).
Union”,
IWS, (2009), “Asia Marketing Research: Internet Usage, Population Statistics and
Information”, http://www.internetworldstats.com/asia.htm#ge (Erişim Tarihi:
15.07.2009).
İDB, (2008), “23 Kasım 2007 – 23 Kasım 2008 Faaliyet Raporu”, Rapor No:1,
www.tib.gov.tr/dokuman/faaliyet_raporu.pdf (Erişim Tarihi: 08.10.2008).
198
Jackson, William, (2002), “War college calls a digital Pearl Harbor doable”,
http://gcn.com/articles/2002/08/23/war-college-calls-a-digital-pearl-harbordoable.aspx (Erişim Tarihi: 14.03.2008).
Kaplan, David E., (2003), “Playing Offense, The inside story of how U.S. terrorist
hunters are going after al Qaeda”,
http://www.usnews.com/usnews/news/articles/030602/2terror.htm
(Erişim
Tarihi: 24.10.2008).
Kaplan, Zeynep, (2004), “Avrupa Birliği’nde Bilim ve Teknoloji Politikaları ve
Adaylık Sürecinde Türkiye’nin Uyumu”, 3. Ulusal Bilgi, Ekonomi ve Yönetim
Kongresi, 25 – 26 Kasım 2004, Eskişehir Osmangazi Üniversitesi İktisadi ve
İdari Bilimler Fakültesi, Eskişehir: Osmangazi Üniversitesi, ss. 187 – 195.
Keizer, Gregg, (2008), “Top Botnets Control One Million Hijacked Computers”,
http://www.pcworld.com/article/144359/top_botnets_control_one_million_hija
cked_computers.html (Erişim Tarihi: 22.04.2008).
Kesen, Nesteren, (2005), “Türk Bilişim Sektörü AB Standartlarına Ne Ölçüde
Uyuyor?”,
www.izto.org.tr/NR/rdonlyres/271E2928-83D9-49BD-AB014D1CF9767A75/6288/BILISIM.pdf (Erişim Tarihi: 29.08.2008).
Kleiner, Kurt and Jones, Mother, (1999), “Trade Secrets: Is the U.S.'s most advanced
surveillance system feeding economic intelligence to American businesses?”,
(Erişim
http://www.fas.org/irp/program/process/991101-echelon-mj.htm
Tarihi: 18.06.2008).
KOMDB, (2007), “Bilişim Suçları ve Sistemleri”, KOMDB 2007 Raporu, Ankara.
KOMDB, (2008), “Bilişim Suçları ve Sistemleri”, KOMDB 2008 Raporu, Ankara.
Kopp, Carlo, (1996), “The Electromagnetic Bomb - a Weapon of Electrical Mass
Destruction”, www.globalsecurity.org/military/library/report/1996/apjemp.htm
(Erişim Tarihi: 07.11.2007).
Kotler, Steven, (2007), “‘Dark Web’ Project Takes On Cyber-Terrorism”,
www.foxnews.com/story/0,2933,300956,00.html (Erişim Tarihi: 14.05.2008).
Kovacich, Gerald, (1999), “Computer Fraud & Security”, ScienceDirect Vol. 1999,
Issue 7, July 1999, Pages 12 – 17.
199
Krebs, Brian, (2007), “Three Worked the Web to Help Terrorists”,
http://www.washingtonpost.com/wpyn/content/article/2007/07/05/AR2007070501945_pf.html (Erişim Tarihi:
02.02.2008).
Krim, Jonathan and Barbaro, Michael, (2005), “40 Million Credit Card Numbers
Hacked:
Data
Breached
at
Processing
Center,
http://www.washingtonpost.com/wpdyn/content/article/2005/06/17/AR200506
1701031.html (Erişim Tarihi:11.11.2008).
Kurt, Ertan, (2000), “Hacker’lığın Kısa Tarihçesi”,
www.olympos.org:81/article/articleview/283/1/10 (Erişim tarihi 19.03.2008).
Kurt, Levent, (2005), Açıklamalı-İçtihatlı Tüm Yönleriyle Bilişim Suçları ve Türk
Ceza Kanunundaki Uygulaması, Ankara: Seçkin Yayınları.
Lal,
Rollie, (2005), “Terrorists and Organized Crime Join Forces”,
http://www.iht.com/articles/2005/05/23/opinion/edlal.php
(Erişim
Tarihi:
02.05.2008).
Lee, Matthew ve Shrader, Katherine, (2007), “Al-Qaida has rebuilt, US intel warns”,
www.chinadaily.com.cn/world/2007-07/12/content_5433408.htm
(Erişim
Tarihi: 14.05.2008).
Lewis, James, (2002), “Assessing the Risks of Cyber Terrorism: Cyber War and
Other Cyber Threats”, www.csis.org/tech/0211_lewis.pdf (Erişim Tarihi:
04.09.2008).
Loeb, Vernon, (1999), “Critics Questioning NSA Reading Habits: Politicians Ask if
Agency Sweeps In Private Data”, www.fas.org/irp/program/process/066l111399-idx.htm (Erişim Tarihi: 14.06.2008).
LonghornFreeper, (2004), “North Korean Military Hackers Unleash "Cyber-Terror"
On South Korean Computers”, http://www.freerepublic.com/focus/fnews/1143440/posts (Erişim Tarihi: 21.02.2008).
MacLean, Susan, (2005), “Report warns of Organized Cyber Crime”,
http://www.itworldcanada.com/a/IT-Focus/39c78aa4-df47-4231-a083ddd1ab8985fb.html (Erişim Tarihi: 12.09.2008).
Marsden, Chris, (2000), “European Union to investigate US-run satellite spy
network:
France
launches
independent
probe
into
Echelon”,
200
http://www.wsws.org/articles/2000/jul2000/eche-j10.shtml
29.07.2008).
(Erişim
Tarihi:
McAfee, (2006), “Mcafee Virtual Criminology Report Organised Crime And The
Internet”,
http://www.sigma.com.pl/pliki/albums/userpics/10007/Virtual_Criminology_R
eport_2006.pdf (Erişim Tarihi: 17.09.2008).
McClure, Charles R. and Dugan, Robert E., (1996), “Libraries and Federal
Information Policy”, Journal of Academic Librarianship, 22(3), 214–218,
EBSCOhost, Academic Search Premier.
McCullagh, Declan and Broache, Anne, (2006), “Senate ratifies controversial
cybercrime
treaty”,
http://news.cnet.com/Senate-ratifies-controversialcybercrime-treaty/2100-7348_3-6102354.html (Erişim Tarihi: 11.08.2008).
Meller, Paul, (2001), “European Parliament adopts 'Echelon' report”,
http://archives.cnn.com/2001/TECH/internet/09/07/echelon.report.idg/ (Erişim
Tarihi: 29.07.2008).
Mengüarslan, Emin, (2003), “İslami Hacker’lar Siber Savaşı Başlattı”,
www.aksam.com.tr/arsiv/aksam/2003/03/25/magazin/magazin2.html (Erişim
Tarihi: 16.03.2008).
Menn, Joseph, (2005), “Hackers Tap 40 Million Credit Cards”,
http://articles.latimes.com/2005/jun/18/business/fi-mastercard18.
Tarihi: 11.11.2008).
(Erişim
Messmer, Ellen, (2002), “President's advisor predicts cybercatastrophes unless
security improves”, www.networkworld.com/news/2002/0709schmidt.html
(Erişim Tarihi: 19.06.2008).
Messmer, Ellen, (2008), “Cyber espionage seen as growing threat to business,
government: SANS Institute ranks it No. 3 on cyber menace list”,
www.networkworld.com/news/2008/011708-cyberespionage.html
(Erişim
Tarihi: 14.08.2008).
MSIR, (2008), “An in-depth perspective on software vulnerabilities and exploits,
malicious code threats, and potentially unwanted software, focusing on the first
half of 2008, January through June 2008”,
http://www.microsoft.com/downloads/details.aspx?FamilyID=aa6e0660-dc244930-affd-e33572ccb91f&displaylang=en#filelist (Erişim Tarihi: 28.10.2008).
201
Mills, Elinor, (2008), “Report: U.S. vulnerable to Chinese cyber espionage,
November 24, 2008”, http://news.cnet.com/8301-1009_3-10107323-83.html
(Erişim Tarihi: 15.11.2008).
Moore, David and Shannon, Colleen, (2007), “The Spread of the Code-Red Worm
(CRv2)”, www.caida.org/research/security/code-red/coderedv2_analysis.xml
(Erişim Tarihi 15.03.2008).
NewStatesman, (1998), “Somebody's listening, They've got it taped”, ss. 10–12.
http://jya.com/echelon-dc.htm (Erişim Tarihi: 30.11.2008).
NTVMSNBC, (2008), “PKK bombasını 12 yaşındaki kız bırakmış”,
http://arsiv.ntvmsnbc.com/news/439341.asp (Erişim Tarihi: 16.03.2008).
OJEU, (2004), “Council Framework Decision 2004/68/JHA of 22 December 2003 on
combating the sexual exploitation of children and child pornography”,
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:013:0044
:0048:EN:PDF (Erişim Tarihi: 22.11.2008).
OJEU, (2005), “Council Framework Decision 2005/222/JHA of 24 February 2005 on
attacks
against
information
systems”,
http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2005:069:0067:0071:EN:P
DF (Erişim Tarihi: 23.11.2008).
Olzak, Tom, (2006), “Cyber-espionage: How vulnerable are
http://it.toolbox.com/blogs/adventuresinsecurity/cyberespionage-howvulnerable-are-we-12138 (Erişim Tarihi: 09.10.2008).
we?”,
Onley, Dawn S., (2004), “Army urged to step up IT security focus”,
http://gcn.com/articles/2004/09/02/army-urged-to-step-up-it-securityfocus.aspx (Erişim Tarihi: 22.01.2009).
Özcan, Mehmet, (2002), “Siber Terörizm ve Ulusal Güvenliğe Tehdit Boyutu”,
http://www.bayar.edu.tr/bilisim/dokuman/siberteror.pdf
(Erişim
Tarihi:
24.12.2007).
Özcan, Mehmet, (2003), “Yeni Milenyumda Yeni Tehdit Siber Terör”,
www.egm.gov.tr/egitim/dergi/eskisayi/34/yeni/web/Mehmet_OZCAN.htm
(Erişim Tarihi: 24.12.2007).
Önder, Ayhan, (1994), Şahıslara ve Mala Karşı Cürümler ve Bilişim Alanında
Suçlar, 4. Baskı, İstanbul: Filiz Kitapevi.
202
Öztürk, Selim, (2008), “Gelmiş geçmiş en tehlikeli 10 virüs”,
http://www.chip.com.tr/konu/Dunyanin-en-tehlikeli-10-virusu_8489.html
(Erişim Tarihi: 02.10.2008).
Parker, Donn B., (1980), “Computer Abuse Research Update”, Computer - Law
Journal, Vol. II, No: 2, ss. 329 – 352.
Parker, Donn B., (1998), Fighting Computer Crime: A New Framework For
Protecting Information, New York: Wiley Computer Publishing.
Pemstein, Ron, (2000), “Europe Spy Correspondent Report”,
http://www.globalsecurity.org/intell/library/news/2000/03/000330echelon1.htm (Erişim Tarihi: 30.07.2008).
Pocar, Fausto, (2004), “New Challenges for International Rules Against
Cybercrime”, European Journal on Criminal Policy and Research, London,
Vol. 10, No: 1, ss. 27 – 37.
Porter, Barbara, (2004), “Forum Links Organized Crime and Terrorism”,
www2.gwu.edu/~bygeorge/060804/crimeterrorism.html (Erişim Tarihi:
06.05.2008).
Poulsen, Kevin, (2005). “Feds square off with organized cyber crime”,
http://www.securityfocus.com/news/10525 (Erişim Tarihi: 11.11.2008).
Prichard, Janet J. and MacDonald, Laurie E., (2004), “Cyber Terrorism: A Study of
the Extent of Coverage in Computer Security Textbooks”, Lynn Hunt (Der.),
Journal of Information Technology Education, Vol. 3, Smithfield: Bryant
University, ss. 279 – 289.
Radikal, (2007), “Türkiye 53.2 milyar avroluk AB 7'nci çerçeve programı için
atakta”, http://www.radikal.com.tr/haber.php?haberno=213927 (Erişim Tarihi:
04.01.2008).
Radikal, (2008), “Dünyanın en garip hacker eylemi”
http://www.haberturk.com/haber.asp?id=64297&cat=210&dt=2008/03/31
(Erişim Tarihi: 31.03.2008).
Rhoads, Christopher, (2007), “Cyber Attack Vexes Estonia, Poses Debate”,
http://online.wsj.com/public/article/SB117944513189906904__3K97ags67ztibp8vLGPd70WXE_20070616.html
(Erişim
Tarihi:
15.08.2008).
203
Provos, Niels; McNamee, Dean; Mavrommatis, Panayiotis; Wang, Ke and
Modadugu, Nagendra, (2007), “The Ghost In The Browser Analysis of Webbased Malware”,
http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf
(Erişim Tarihi: 21.09.2008).
Sachoff, Mike, (2008), “Man Convicted In Estonia Cyber Attack, Russians Deny
Involvement”,
http://www.webpronews.com/topnews/2008/01/24/manconvicted-in-estonia-cyber-attack (Erişim Tarihi: 04.09.2008).
Salman, Banu ve Yapıcı, Kahraman, (2007), “Türkiye Stratejik Bakışını Yitirdi”,
TMMOB Elektrik Mühendisleri Odası Elektrik Mühendisliği Dergisi, S. 432, ss.
29 – 33.
Schoof, Reinier and Koning, Ralph, (2007), “Detecting Peer-to-Peer Botnets”,
http://staff.science.uva.nl/~delaat/sne-2006-2007/p17/report.pdf (Erişim Tarihi:
11.07.2008).
Sen, Amartya, (1997), “On Corruption and Organized Crime”, World Drug Report,
Oxford, England: Oxford University Press.
Shelley, Louise I.; Picarelli John T. and TRACCC, (2000), Transnational Crime,
Corruption, and Information Technology, Transnational Crime and Corruption
Center 2000 Annual Conference: Conference Report, November 30-December
1 2000, Sponsored by the Hills Family Foundation and the Transnational Crime
and Corruption Center.
Shelley, Louise I., (2003), “Organized Crime, Terrorism and Cybercrime”, Security
Sector Reform: Institutions, Society and Good Governance, Alan
Bryden/Philipp Fluri (Der.), Baden: Nomos Verlagsgesellschaft, ss. 303–312.
Simpson, Gemma, (2007), “U.K. warns of Chinese cyber espionage”,
http://www.zdnetasia.com/news/security/0,39044215,62035105,00.htm (Erişim
Tarihi: 12.02.2008).
Soğancı, Mehmet (2007), “Uluslararası Tekellere Bağımlılık”, TMMOB Elektrik
Mühendisleri Odası Elektrik Mühendisliği Dergisi, S.432, ss. 40 – 43.
Spam Daily News, (2006), “Zombie master Jeanson Ancheta sentenced to 5 years in
prison”
ve “Zombie master Jeanson Ancheta pleads guilty”,
http://www.spamdailynews.com/publish/Zombie_master_Jeanson_Ancheta_se
ntenced_to_5_years_in_prison.asp
204
http://www.spamdailynews.com/publish/Zombie_master_pleads_guilty.asp
(Erişim Tarihi: 11.03.2008).
Spencer, Vikki, (2002), “Cyber Terrorism: Mass Destruction or Mass Disruption?”,
http://www.crime-research.org/library/mi2g.htm (Erişim tarihi: 03.09.2008).
Stanley, Jay and Steinhardt, Barry, (2003), “Bigger Monster, Weaker Chains:
Growth
of
an
American
Surveillance
Society”,
http://www.aclu.org/FilesPDFs/aclu_report_bigger_monster_weaker_chains.pd
f (Erişim Tarihi: 08.07.2008).
Stanton, John, (2000), “Rules of Cyber War Baffle U.S. Government Agencies”,
http://www.nationaldefensemagazine.org/archive/2000/February/Pages/Rules4
391.aspx (Erişim Tarihi: 08.04.2008).
Swartz, Jon, (2004), “Cyberterror impact, defense under scrutiny”,
http://www.usatoday.com/tech/news/2004-08-02-cyber-terror_x.htm (Erişim
Tarihi: 29.10.2008).
Symantec, (2008), “Symantec Global Internet Security Threat Report Trends for
July–December 07”, Symantec Enterprise Security, Vol. XII, U.S.A: Symantec
Corporation World Headquarters.
Symantec, (2009), “White Paper: Customize Confidence in a Connected World, Web
Based Attacks”, Symantec Enterprise Security, U.S.A: Symantec Corporation
World Headquarters.
Ulaştırma Bakanlığı, (1999), Türkiye Ulusal Enformasyon Altyapısı Anaplanı Sonuç
Raporu, Ankara: ODTÜ.
Taşçı, Cemalettin N. ve Mutlu, M. Emin, (1992), Bilgisayar Tarihi, İstanbul: Ağaç
Yayınları.
TDK (Türk Dil Kurumu), (2008),
http://tdkterim.gov.tr/bts/?kategori=veritbn&kelimesec=45464, (Erişim Tarihi:
16.02.2008).
TUTCS, (2004), Information Technology in 21st Century Battlespace, Washington
D.C.: U.S. Government Printing Office.
Thomson, Iain, (2007), “Russia 'hired botnets' for Estonia cyber-war: Russian
authorities accused of collusion with botnet owners”,
205
http://www.computing.co.uk/vnunet/news/2191082/claims-russia-hired-botnets
(Erişim Tarihi: 09.10.2008).
Tiedemann, Klaus, (1975), Bilgisayarla İşlenen Suçların Ceza Hukuku Yönünden
İncelenmesi (Çev. Feridun Yenisey), C. XLI, İstanbul: İÜHFM Yay.
Tiryaki, Hakan, (2005), “Bugünün ve yarının tehdidi Siber Terör”,
www.aksam.com.tr/arsiv/aksam/2005/01/10/gundem/gundem1.html (Erişim
Tarihi: 22.03.2008).
TMMOB, (2007), “Hedefler Yarı Yarıya Bile Gerçekleşmiyor”, TMMOB Elektrik
Mühendisleri Odası Elektrik Mühendisliği Dergisi, S. 432, ss. 57 – 59.
TÜBİTAK, (1999), “Türkiye'nin Bilim ve Teknoloji Politikası: Özet”,
http://www.baskent.edu.tr/~omadran/eskiweb/eskiweb/donem0405/ilf301/dersn
otu/btpolitika.doc (Erişim Tarihi: 20.03.2008).
TÜBİTAK, (2002), Bilgi Toplumu Politikaları Üzerine Bir Değerlendirme, Dünya ve
Türkiye, Ankara: TÜBİTAK.
TÜBİTAK, (2003), Türk Bilim ve Teknoloji Politikası 1993–2003, Ankara:
TÜBİTAK.
TÜBİTAK, (2006a), TÜBİTAK’ın 7. Çerçeve Programı Hazırlıkları ve Türkiye’nin
6. Çerçeve Programı Performansı, 2005/203 Ek–1, Ankara: TÜBİTAK.
TÜBİTAK, (2006b), AB 6.Çerçeve Programı Türkiye’nin Katılımı Organizasyon
Tiplerine Göre Dağılım Analizi, Ankara: TÜBİTAK.
TÜBİTAK,
(2007),
“Bilim
ve
Teknoloji
Yüksek
Kurulu”,
http://www.tubitak.gov.tr/home.do?ot=5&rt=&sid=470&pid=&cid=646
(Erişim Tarihi: 11.04.2008).
Tumgazeteler.com, (2006), “Üç poşet çocuk saçıyla yakalandı”,
http://www.tumgazeteler.com/?a=1781597 (Erişim Tarihi: 14.03.2008).
Türkmen, Mustafa, (2008), “Bilişim Suçları Büro Amirliği İstatistiki Veriler”,
Mersin Emniyet Müdürlüğü, KOM Şube Müdürlüğü 2008 Brifing Dosyası,
Mersin Emniyet Müdürlüğü.
Ulusaler, Kemal, (2007). “Uluslararası Tekellere Bağımlılık”, TMMOB Elektrik
Mühendisleri Odası Elektrik Mühendisliği Dergisi, S. 432, ss. 40 – 43.
206
US Army TRADOC (Training and Doctrine Command Deputy Chief of Staff for
Intelligence Assistant), (2005), “Cyber Operations and Cyber Terrorism”,
DCSINT Handbook No. 1.02,
http://stinet.dtic.mil/cgibin/GetTRDoc?AD=ADA439217&Location=U2&doc=GetTRDoc.pdf (Erişim
Tarihi: 09.06.2008).
Vaknin, Sam, (2003), “The Industrious Spies Industrial Espionage in the Digital
Age”, http://samvak.tripod.com/pp144.html (Erişim Tarihi: 11.02.2008).
Vamosi, Robert, (2007), “Newsmaker: Cyberattack in Estonia--what it really
means”, http://news.cnet.com/Cyberattack-in-Estonia-what-it-reallymeans/2008-7349_3-6186 751.html (Erişim Tarihi: 22.10.2008).
Vijayan, Jaikumar, (2003), “Microsoft, users cope with worms' chaos: IT managers
say they are being worn down by wave of attacks”,
http://www.accessmylibrary.com/coms2/summary_028624369119_ITM?email=pakdag33@hotmail.com&library= (Erişim Tarihi:
24.08.2008).
Wait, Patience, (2004), “Defense IT security can't rest on COTS”,
http://gcn.com/articles/2004/09/24/defense-it-security-cant-rest-on-cots.aspx
(Erişim Tarihi: 21.01.2009).
Wall, David S., (1999), “Cybercrimes: New wine, no bottles?”, Pam Davies, Peter
Francis ve Victor Jupp (Der.), Invisible Crimes: Their Victims and Their
Regulation, London: MacMillan, ss. 105–139.
Weimann, Gabriel, (2004a), “How Modern Terrorism Uses the Internet, Special
Report No. 116”, http://www.usip.org/pubs/specialreports/sr116.html (Erişim
Tarihi: 13.04.2008).
Weimann, Gabriel, (2004b), “Cyberterrorism: How Real Is the Threat?, Special
Report No: 119”, http://www.usip.org/pubs/specialreports/sr119.html (Erişim
Tarihi: 11.03.2008).
Wikipedia,
(2009),
“Russian
Business
Network”,
http://en.wikipedia.org/wiki/Russian_Business_Network
(Erişim
Tarihi:
02.04.2009).
Williams, Phil, (2002), “Organized Crime and Cyber-Crime: Implications for
Business”, www.cert.org/archive/pdf/cybercrime-business.pdf (Erişim Tarihi:
01.07.2008).
207
Wilson, Clay, (2005), “Emerging Terrorist Capabilities for Cyber Conflict Against
the U.S. Homeland”, Congressional Research Service of the Library of
Congress, Washington D.C.: Library of Congress Press.
Wilson, Tim, (2007), “Japanese Bank Loses 1M Records”,
http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleI
D=208804614 (Erişim Tarihi: 22.07.2008).
Wilt, Gloria, (1998), “Making Information Safe”, Science & Technology Review
January/February 1998, ss. 4 – 11, https://www.llnl.gov/str/pdfs/01_98.1.pdf
(Erişim Tarihi: 02.02.2009).
Wolwerian, (2007), “Internet adresi nedir? Domain ismi ve IP numarası ne
demektir?”, www.webhatti.com/network-ve-internet/96352-internet-adresinedir-domain-ismi-ve-ip-numarasi-ne-demektir.html (Erişim Tarihi:
13.08.2008).
Yazıcı, Mehmet; Tansal, Şule; Tırgil, Mehmet ve Coşkun C. Görkem, (2006),
“TMMOB Elektrik Mühendisleri Odası 40. Genel Kurulu Bilişim Komisyonu
Raporu”,
http://www.emo.org.tr/genel/bizden_detay.php?kod=48380&tipi=4&sube=0
(Erişim Tarihi: 04.04.2008).
Yazıcıoğlu, Yılmaz, (1997), Bilgisayar Suçları, İstanbul: Alfa Yayınevi.
Yazıcıoğlu, Yılmaz, (2001). “TCK 2000 Tasarısında Bilişim Şebekesi Vasıtasıyla
İşlenen Suçlar”, Uluslararası İnternet Hukuku Sempozyumu, 21 – 22 Mayıs
2001, İzmir: Dokuz Eylül Üniversitesi, ss. 451 – 470.
Yıldırım, Meltem, (2007), “Uluslararası Tekellere Bağımlılık”, TMMOB Elektrik
Mühendisleri Odası Elektrik Mühendisliği Dergisi, S.432, ss.40 – 43.
Yılmaz,
Tarık,
(2007),
“Beş
Yılda
Üç
Kat
Büyüdük”,
http://arsiv.sabah.com.tr/2007/04/03/eko121.html (Erişim Tarihi: 10.04.2008).
Yılmaz, Sait, (2007), 21. Yüzyılda Güvenlik ve İstihbarat, İstanbul: Elif Kitapevi,
Milenyum Yayınları Ltd. Şti.
Yücel, Mustafa, (1992), “Bilişim Suçları”, Ankara Barosu Dergisi, Y.49, Sayı 4, ss.
497 – 512.
208
Zahn, Paula, (1999), “Fox News Network The Edge With Paula Zahn”,
http://www.fas.org/irp/program/process/991021-echelon-fox.htm
(Erişim
Tarihi: 18.10.2008).
ZDNet UK, (2004), “Cyberterror: Clear and present danger or phantom menace?”,
www.zdnet.co.uk/specials/networksecurity/0,39025061,39118365,00.htm
(Erişim Tarihi: 13.07.2008).
209