1-Giriş

Fidye yazılımları esas itibariyle çok da yeni olmayan İngilizce dilinde popüler bir şekilde ransomware olarak adlandırılan zararlı bir yazılım türüdür. Fidye yazılımında saldırganlar sistemleri korumak maksadıyla keşfedilen şifreleme teknolojilerini kendilerine kazanç sağlamak için son derece etkili ve kolay bir şekilde kullanırlar (Çelik ve Çeliktaş 2018: s.107). Fidye yazılımı 2017 yılında gerçekleşen WannaCry saldırısı ile birlikte kendisini dünyaya göstermiştir (Adam 2022: s. 15). Küresel çapta gerçekleşen bu saldırılarda hackerlar dinamik IP adresi kullanmakta ve tek başına hareket etmemekte olup daha çok kripto ve diğer sanal paraları kullanan hackerlar her geçen gün yeni ve daha zor savunulabilen fidye yazılımı üretmekte ve ransomware her geçen gün daha büyük bir siber tehdit olarak karşımıza çıkmaktadır (Adam 2022: s. 15). Bu fidye yazılımlarının ebetteki ceza hukukunda bir karşılığı bulunmaktadır. Bunun ceza hukukundaki karşılığı mağdurlar açısından büyük önem arz etmekte olup bu yazıda hem fidye yazılımlarının ne olduğuna ve sistemleri nasıl etkileyeceğine hem de ceza hukuku bakımından sonuçlarına değinilecektir.

2-Fidye Yazılımı (Ransomware)

Fidye yazılımları, siber suçlular tarafından sistemleri korumak maksadıyla keşfedilen şifreleme teknolojilerini kullanarak ele geçirdikleri mobil telefonlar, bilgisayarlar ve diğer bağlantılı cihazlar üzerindeki elektronik verileri fidye için elinde tutup ilgili tarafın bu dosyalara yeniden ulaşması için para talep etmekte kullanmış oldukları yazılımlardır (Kara 2019: s.117). Bu yazılımlar şirketlerde veya diğer kurum ve kuruluşlarda sadece maddi kayıplara neden olmaz; ayrıca itibar, müşteri ve pazar kaybına da neden olur.  Son zamanlarda fazlaca rastlanan bu zararlı yazılımlar, dil, bölgesel kurumlar vb. sebeplerle uygulandığı yerlere göre ciddi farklılıklar göstermektedir; bu yazılımlardan korunmak için alınan tedbirler ne yazık ki çoğunlukla yetersiz kalmakta olup alınan tüm güvenlik önlemlerine rağmen her geçen gün bu saldırıya maruz kalan sayısı artmaktadır (Kara 2019: s.117-118). Birçok çeşit saldırı yöntemi kullanan bu zararlı yazılımlar, genellikle zararsız gibi gözüken bir e-posta vb. mesajların ekinin açılması ya da içeriği değiştirilmiş bir internet sitesinden kullanıcıların sistemine sızılmasıyla sonuçlarını göstermektedir (Kara 2019: s.117-118). Bu bağlamda fidye yazılımlarında daha çok phishing (oltalama) yöntemi kullanıldığı söylenebilecektir; fidye yazılımlarında diğer yazılımlara nazaran, bir defa sisteme girdiğinde mağdurların sistemdeki verilere fail hackerların onayı olmadan ulaşması çok zor olacaktır, ayrıca yukarıda da ifade etmiş oluğumuz üzere çok güçlü şifre algoritmalar kullanılması ve genellikle kripto paraların tercih edilmesi nedeniyle kötü niyetli hackerlar(siyah şapkalı hackerlar) tarafından en çok tercih edilen yazılımlardır (Adam 2022: s. 29). Dünya’daki ilk fidye yazılımını 1989 yılında Joseph Popp adında bir biyolog araştırmacı hazırlamış olup Popp fidye yazılımının adının verilmesine sebep olan PC Cyborg adında bir şirket kurmuş ve bu şirket tarafından zararlı yazılım dağıtılmıştır; AIDS hastalığına yakalanmanın riskini tespit eden bir ifade altında ilgili yazılım araştırmacılara gönderilmiş ve yazılımı açan araştırmacılardan Popp, lisans bedeli adı altında fidye talep etmiştir;  daha sonra şantaj suçundan dolayı yakalanan ve tutuklanan Popp akli dengesi yerinde olmadığı için ABD’ye iade edilmiştir (Adam 2022: s. 30).

2.1-Fidye Yazılımı Türleri

Fidye yazılımı şifreleyici ve kitleyici fidye yazılı olmak üzere ikiye ayrılmaktadır. Bu iki tür aşağıda açıklanacaktır.

2.1.1-Şifreleyici Fidye Yazılımı

Şifreleyici fidye yazılımı hedef sisteme sızdıktan sonra sistemde mevcut olan ofis dosyalara, sistem dosyaları, oyun dosyaları vb. tüm verileri şifrelemekte olup şifreleme işleminin tamamlanmasının akabinde mağdurlara yapılan işlem ve dosyalara tekrar erişebilmek için bir bilgi mesajı gönderilir; bu bilgi mesajında mağdurların bahse konu bilgi ve kayıtlara sadece özel bir anahtar ile ulaşabileceği, bu anahtarında sadece yazılımcı failde olduğu, bu anahtara da ortalama 300 USD gibi bir fidye vererek ulaşabileceği ifade edilir (Kara 2019: s.118). Ödemeler genelde kripto para ve sanal para üzerinden yapılmaktadır.

2.1.2-Kitleyici Fidye Yazılımı

Kitleyici fidye yazılımları diğer fidye yazılımlardan farklı olarak sadece belirli dosyaları tüm sistemi kitlemektedir; bu yazılım hedef sisteme bulaştıktan sonra ana ekranda yine şifreleyici fidye yazılımda olduğu gibi fail saldırgana ait bir mesaj görünür; bu mesajda da genellikle sistemin tekrar kullanıma açılması için belirli bir fidye ödenmesi gerektiği yazmaktadır (Kara 2019: s.118). Bu yazılım mağdurların sisteme ulaşmasını engellediği için “ComputerLocker” olarak da adlandırılmaktadır (Adam 2022: s. 30). Bu yazılımda da daha çok ödeme yöntemi olarak kripto ve sanal para tercih edilmektedir.

2.1.3-Dünyade En Büyük Etki Yaratan Fidye Yazılımları

Yukarıda da değindiğimiz üzere fidye yazılımlarının artmasıyla birlikte dünya gündemine bomba gibi düşen saldırılar meydana gelmiştir. Bu saldırılarda “WannaCry, Petya, TeslaCrypt, CryptoLocker, Samsam, “Ryuk”  en önemlilerindendir (Adam 2022: s. 33).

2.2-Fidye Yazılımlarının Bulaşma Yöntemleri

Yukarıda da ifade ettiğimiz üzere fidye yazılımları genellikle, tüm diğer virüslerde olduğu gibi kullanıcıların kötü niyetli bir şekilde tasarlanmış olan bağlantıya tıklaması, bir dosyayı indirmesi veya bir e-posta ekini açması ya da etkili sosyal mühendislik tekniklerini kullanarak kullanıcıların dikkatini çekme şeklinde sisteme enjekte olmaktadırlar; ayrıca virüslü yazılım kullanma, web sitelerinin hacklenmesi,  açıklardan yararlanma,  kötü amaçlı komut dosyaları ve makrolar,  kötü amaçlı reklamlar, hedefli saldırılar,  RDP(Remote Desktop Protocol) saldırıları, sunucu korsanlığı  vb. hususlar da fidye yazılımının sisteme bulaşma yöntemleri arasında ifade edilmektedir.

Hackerlar, bahse konu dosyaları pdf, docx vb. bir masum dosyaymış gibi şifreler ve mağdurlar bu dosyanın virüs olduğunu hiçbir şekilde fark etmez, bu süre içerisinde bahse konu yazılım arka planda çalışır; ayrıca mağdurlar belirli bir zaman dilimi içerisinde hiçbir şey fark etmeyecek olup hackerlar bu zaman diliminde yazılım aracılığıyla sisteme ulaşıp hem verileri şifrelemek için hem de şifreleri çözmek için bir iki tane anahtar üretecektir; mağdurlar bu durumu ancak veriler şifrelendiğinde ve kendilerine fidye teklif edilen not ulaştığında öğreneceklerdir

Bu yazılımlar firmaları, kuruluşları ve diğer bireyleri ciddi bir şekilde mağdur etmektedir. Bu saldırılar ne yazık ki ülkemizde de görülmekte olup bu saldırıların ceza hukuku kapsamında karşılığı bulunmaktadır. Yazının devamında fidye yazılımı saldırısı sonucunda oluşan suçlar incelenecektir.

3-Fidye Yazılımı (Ransomware) Saldırısı Sonucu Oluşacak Suçlar

Öncelikle fidye yazılımlar kişisel veri niteliğinde olsun veya olmasın herhangi bir veriyi ele geçirmez veya ifşa etmezler; dolayısıyla bu fiillerin sonucunda fidye virüsler bakımından TCK m. 136’da yer alan “Kişisel Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” suçunun  oluşmadığı kanaatindeyiz; zira yukarıda da ifade etmiş olduğumuz Wannacry saldırısından sonra yapılan incelemelerde bu husus tartışılmış; bilindiği üzere, ABD hukukunda Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (The Health İnsurance Portability And Accountability Act) uyarınca sağlık verilerin ifşası durumunda, ilgili kurum tarafından veri

sahibine bilgi verilmesi gerekliliği söz konusu olup saldırıya maruz kalan sağlık şirketlerinin de söz konusu yükümlülüğü yerine getirebilmesi için öncelikle sağlık verilerinin ifşa edilip edilmediği değerlendirilmiş ve neticeten, fidye yazılımının kişisel verileri ifşa etmediği sonucuna varılmıştır; zira amaç sadece kişilerin bahse konu verilere ulaşmasını engellemek olup herhangi bir ifşa gibi bir amaç yoktur (Değirmenci 2019: s.185).  Ancak, şartları varsa TCK madde 135’de yer alan “Kişisel Verilerin Kaydedilmesi” suçu oluşacaktır.  Şu hususu da ifade etmek de fayda vardır; eğer hackerlar fidye yazılımı kullanarak şifreledikleri veya kitledikleri verileri hukuka aykırı bir şekilde ele geçirir ve ifşa ederlerse TCK 136’nın varlığından da bahsedilecektir.

Bununlar birlikte TCK madde 245/A’da “Bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun; münhasıran bu Bölümde yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden, ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran kişi, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adli para cezası ile cezalandırılır” şeklinde ifadelere yer verilerek “Yasak Cihaz veya Programlar” suçu düzenlenmiştir. Bu kapsamda fidye yazılımları değerlendirildiğinde fidye yazılımı saldırılarında bu yazılımı imal eden, ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran kişi bu suçun faili olacaktır (Adam 2022: s. 110).

Ayrıca, TCK madde 243 kapsamında “Bilişim Sistemine Girme” suçunun da bu kapsamda tartışılması gerekmektedir; zira bu suçun oluşması için mağdurun zararlı yazılımı bilgisayara nasıl yüklediği önem arz etmektedir. Eğer fidye yazılımı sisteme sosyal mühendislik, phishing yoluyla bulaştıysa mağdur yazılımı bizzat kendi sisteme indirdiği için bu suç oluşmayacaktır; ancak ilgili yazılım mağdurun rızası dışında sisteme girdiyse bu suçun oluştuğundan bahsedilecektir (Adam 2022: s. 77, Değirmenci 2019: s.193). Ancak, TCK 244’de yer alan “Sistemi engelleme, bozma, verileri yok etme veya değiştirme” suçu bu fiillerin sonucunda oluşacaktır.  

Bu konuda tartışılması gereken bir diğer suç ise TCK 107’de yer alan şantaj suçudur. Bilindiği üzere TCK 107 “(1) Hakkı olan veya yükümlü olduğu bir şeyi yapacağından veya yapmayacağından bahisle, bir kimseyi kanuna aykırı veya yükümlü olmadığı bir şeyi yapmaya veya yapmamaya ya da haksız çıkar sağlamaya zorlayan kişi, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adlî para cezası ile cezalandırılır. (2) (Ek: 29/6/2005 – 5377/14 md.) Kendisine veya başkasına yarar sağlamak maksadıyla bir kişinin şeref veya saygınlığına zarar verecek nitelikteki hususların açıklanacağı veya isnat edileceği tehdidinde bulunulması halinde de birinci fıkraya göre cezaya hükmolunur.” Hükmünü içermektedir. Öncelikle birinci fıkrayı değerlendirdiğimizde hukuka aykırı bir şekilde ele geçirilen verilerde fidye yazılımı sahibinin herhangi bir hakkı ve yükümlülüğü olduğundan bahsedilemeyeceğinden bu suçun birinci fıkrası hiçbir hal ve şart altında oluşmayacaktır; ancak ele geçirilen verilerde bir kişinin şeref veya saygınlığına zarar verecek nitelikteki hususlar var ise bu suç oluşabilecektir (Adam 2022: s. 52-53).

Ayrıca bu kapsamda değerlendirilmesi gereken bir diğer suç de yağma suçudur. Zira, öğretide fidye yazılımı olarak işlenen suçlar siber yağma olarak da adlandırılmaktadır (Adam 2022: s. 114). Fidye yazılımlarında verilere ilişkin tehdit ile mağdurlardan kripto para temini eyleminin yağma suçunu oluşturup oluşturmadığı belirlenirken kanaatimizce iki husus ortaya çıkarılmalıdır; ilk olarak verilerin kalıcı olarak ulaşılamaz kılınmasının, yağma suçunun oluşumu için tehdidin konusu bakımından “mağdurun malvarlığı açısından büyük bir zarar” oluşturup oluşturmayacağı meselesi çözümlenmeli daha sonra mağdur tarafından faile yapılan ödemelerde kullanılan kripto paranın, TCK m. 148’de yer alan “bir malı teslime veya malın alınmasına karşı koymama” kapsamında mal olarak değerlendirilip değerlendirilmeyeceği ortaya konmalıdır (Değirmenci 2019: s.195).  Öncelikle, tehdit malvarlığına ilişkin bir tehdit olup olmadığının değerlendirmesinde  sistemde yer alan veriler, malvarlığı değeri olarak da kabul görmektedir; zira bankacılık sistemindeki kaydi paralar malvarlığı değeri olarak kabul görmektedir; ikinci olarak kripto paraların bir mal olarak görülüp görülmeyeceği tartışılmaktadır; Yargıtay Ceza Genel Kurulu’nun, 17.11.2009 tarihli ve 11-193/268 sayılı kararında internet bankacılığı hesap şifrelerinin kullanılarak, hesaplarında yer alan parayı temsil eden verilerin, başka hesaplara nakledilmesi fiillerinde oluşan suçun “Bilişim Sistemlerinin Kullanılması Suretiyle İşlenen Hırsızlık” olmasına ilişkin kararı ile kripto paraların da mal olarak görüleceği öğretide kabul edilmektedir(Değirmenci 2019: s.195-196).  Dolayısıyla, yağma suçunun da oluşacağını düşünmekteyiz.

Sonuç

Yukarıda da ifade ettiğimiz üzere teknolojinin gelişmesiyle bilişim sistemleri aracılığıyla işlenen suçlar her geçen gün daha da artmaktadır. Fidye yazılımı da insanlar ile kurum ve kuruluşlar için en büyük tehditlerden biridir. Fidye yazılımı ile mağdurların verilerini şifreleyen veya kitleyen hackerlar, mağdurlardan veriler karşılığında fidye istemektedirler. Yazımızda bu fiiller kapsamında hangi suçların oluştuğundan bahsettik. Ancak, yukarıda da ifade ettiğimiz üzere fidye yazılımı saldırıları ile birçok suçun aynı anda oluştuğu gündeme gelebilecektir (TCK m 107/2, 135, 136, 148, 243, 244, 245/A). Ancak, bu kadar suçun aynı anda tartışılması uygulamacılar için de zor olacak olup kanımca günümüzce gittikçe artan bu bilişim suçları için birçok suçu içine alan bileşik bir suça ilişkin düzenlemeye gidilmesi yerinde olacaktır. Bu düzenleme uygulamacıların yaşadığı zorluğun da önüne geçecektir.

KAYNAKÇA

Adam, C. A.(2022), Hacker’ların Fidye Yazılımları Kullanarak İşleyebileceği Suçlar, Ankara Adalet Yayınevi.

Çelik S. ve Çeliktaş B. (2022), “GÜNCEL SİBER GÜVENLİK TEHDİTLERİ: FİDYE YAZILIMLAR”, http://www.cyberpolitikjournal.org/index.php/main (Erişim Tarihi: 19.11.2022).

Kara, ,İ. (2019), “İNTERPOL FİDYE YAZILIM SALDIRISI VE ANALİZİ”, https://dergipark.org.tr/tr/pub/duzceitbd/issue/51527/566286 , (Erişim Tarihi: 19.11.2022).

Değirmenci, O. (2019), “CRYPTOLOCKER; BİR FİDYE VİRÜSÜNÜN CEZA HUKUKU AÇISINDAN ANALİZİ”, https://dergipark.org.tr/en/download/article-file/1335226 , (Erişim Tarihi: 19.11.2022).

https://secromix.com/blog/ransomware-fidye-yazilimlari/ (Erişim Tarihi: 19.11.2022).

https://www.niobehosting.com/blog/ransomware-nedir-ransomware-nasil-onlenir/  (Erişim Tarihi: 19.11.2022).