Bir Fidye Virüsünün Ardından: “CryptoLocker” ve Tatbik Edilebilecek Ceza Normları
Olgun DEĞİRMENCİ
Başlarken
Faydalı amaçlarla çevrenin insan tarafından belli bir bakış açısıyla değiştirilmesi olarak da tanımlanan teknoloji ile hukuk arasındaki ilişki bağımlı ve karşılıklı bir ilişki olarak karşımıza çıkmaktadır.1 “İnsanlık ilk önce kendi araçlarını inşa eder, sonra kendi tarafından inşa edilen araçlar da insanlığı”2 ifadesi, aslında bu açıdan bakıldığında bir doğruyu da ifade etmektedir. Teknolojik sistemlerin büyüyüp gelişmesi toplum ile aralarındaki şekillenme - şekillendirme ilişkisine ters yönde etki etmekte ve toplumu daha fazla şekillendirirken, kendisi toplum tarafından daha az şekillendirilmektedir.3
Bu bağlamda teknoloji daha yoğun olarak hayatımızı şekillendirmektedir. Yaptırıma bağlanmış toplumsal kurallar olan hukuk kuralları da, söz konusu şekillendirmeden nasibini almaktadır. Gelişen teknolojinin yarattığı ihtilaflar, ya hukuk kuralları içerisinde hukuki normlarla çözülmekte ya da yeni normlara ihtiyaç duymaktadır. Cockfield’in muhafazakâr (conservative) ve yenilikçi (forward - looking approach) yaklaşım tarzı olarak isimlendirdiği durum da tam budur.4
Teknolojinin gelişmesiyle birlikte; yorumlanması, değerlendirilmesi, fikir üretilmesi, parçalarına ayrılıp yeniden inşa edilmesi gereken birçok hukuki sorun da beraberinde gelmektedir. Bu alanda bir şeyler yazmaya çalışan bir akademisyen olarak, tespit ettiğim teknolojik sorunlar üzerine görüşlerimi yansıtacak bilimsel makaleler yazacak kadar zamanımın olmadığını ifade etmeliyim. Burada geçen “zaman sıkıntısı”, şahsıma ait olan bir zaman sıkıntısı değil; teknolojik gelişmelerin yarattığı hızlı gündem değişikliklerinde, mevcut durumun yorumlanması için gereken zaman darlığıdır.
Türkiye, 2015 yılının Aralık ayında, özellikle bankacılık sektörünü ve kısmen de devlet kuruluşlarını hedef alan siber saldırılarla karşı karşıya kaldı. Aslında, birkaç kötü niyetli bilişim suçu failinin (hacker - bilişim korsanı) faaliyetiymiş gibi duran saldırıların, devlet destekli siber saldırı olması olasılığı da çok kuvvetliydi. Nitekim 2007 Estonya, 2008 Gürcistan örneklerinde Türkiye’ye yönelik siber saldırılarda olduğu gibi DDoS (Distributed Denial of Service - Dağıtık Hizmetin Engellenmesi) saldırıları kullanılmıştır. Bu bağlamda siber saldırı5 , “kuvvet kullanma yasağı” veya “haksız saldırı suçu” kapsamında değerlendirilebilir mi üzerinde düşünürken, bir anda siber güvenlik gündemi fidye yazılımlarla meşgul olmaya başladı.
Bu hızlı değişimin sonucunda, gündemdeki teknolojik gelişmelerin, özellikle ceza hukuku ekseninde yorumlanması ihtiyacı ortaya çıktı. Bu yorumlama, akademik kaygılardan uzak bir şekilde, ceza hukuku bakış açısından teknolojik gelişmelerin görülmesi şeklinde gerçekleşmeliydi. Söz konusu yorumların ilgili kişilere de ulaşabilmesi amacıyla düzenli ve geniş kitlelere ulaşan bir dergide yayınlanması gerekmekteydi.
Bu okuduğunuz yazı, bu tür kaygılarla başlayan ve Terazi Hukuk Dergisinin Yayın Kurulunun desteği ile oluşturulan sürekli bir köşede yayımlanması amacıyla kaleme alınmıştır. Bu köşede, yukarıda yer alan kaygılar merkezli olarak teknolojik gelişmeler, özellikle ceza hukuku perspektifinden ele alınacak ve sizlere ulaştırılacaktır. Bu yazıların tüketici bir çalışma olduğu yönünde bir iddiamız olmadığı gibi; ileri sürülen tüm görüşlere yer vermek gibi bir çabamız da bulunmayacaktır.
Bir Fidye Yazılım: “CryptoLocker”
Bilişim teknolojilerinde de durum, ifade etmeye çalıştığımız şekilde olmuştur. 1948 yılında John Von Neuman tarafından geliştirilen ve “automata” olarak isimlendirilen kendi kendini kopyalayabilen bir program olan virüsler, ilk başlarda tamamen faydalı amaçlarla oluşturulmuş ve kullanılmıştır.6 1985’te Güney Kaliforniya Üniversitesinde yüksek lisans öğrencisi olan Fred Cohen tarafından ilk kez kullanılan ‘bilgisayar virüsü’ ifadesi, söz konusu öğrencinin tezinde “… kendisinin azıcık değiştirilmiş bir kopyasını içerecek şekilde değiştirmek yoluyla, diğer programları enfekte edebilen bir programdır” diye tanımlanmış ve baştaki faydalı amaçlar tamamen ortadan kalkmıştır.7
Önce insanlığın şekillendirdiği bir araç olan virüsler, daha sonra insanlığın davranışlarını şekillendirmiş ve suç işleme araçları olmuşlardır. Brain, Crazy Boot Ver. 1.0, Ping Pong, Melisa, Disc Killer, Çernobil gibi virüsler, zamanında bilişim sistemlerine büyük ölçüde zarar vermişler ve yaşadığımız şu günlerde unutulmuşlardır. Günümüzde bilişim teknolojileri kullanıcılarını meşgul eden zararlı yazılım tehditlerinin iki temel kategoriye ayrılması mümkündür. Birinci grup içinde “ileri seviye gelişmiş kalıcı tehditler” yer almaktadır. Bunlar devlet destekli, stratejik, belirli bir hedefe yönelik ve daha çok casusluk amaçlı saldırı türleridir. Bu tür zararlı yazılımlar çok uzun sürelerde ve sinsice sistemlere sızarlar, sistemlere herhangi bir zarar vermeden veya istenilen anda zararı vermek için tespit edilmelerini güçleştirecek uygulamalarla desteklenirler. Stuxnet, Duqu, Flame ve Gauss birinci grup yazılım tehditlerine örnek olarak gösterilebilirler. İkinci grupta ise menfaat sağlamak amacıyla araç olarak kullanılan zararlı yazılımlar vardır. Bunlar, bugünkü yazımızın da konusu olan çoğunlukla fidye yazılım şeklindedir.8
İkinci kategori olan fidye yazılımlar (ransom-ware), İngilizce “fidye” - “ransom” kelimesinden türetilmiş bir bileşik kelimedir. Fidye yazılımlar genel olarak zararlı yazılımlar (malware) arasında değerlendirilir ve üç temel özelliğe sahiptirler9 ;
1) Herhangi bir sisteme kendisini yerleştirdikten sonra söz konusu bilişim sistemine erişimi kısıtlamaktadır. Söz konusu erişim kısıtlaması, bilişim sistemi malikleri bakımından en değerli bölümüne, yani sistemdeki verilere yönelik bir erişim kısıtlaması şeklindedir.
