Bilişim Suçları Kategorileri ve Çeşitleri

Yazarı:
Zeynep Sadunoğlu
-
0
1341
views
Günümüz teknolojisi altyapısında, bilgisayar ve bilgisayar ağlarının kullanılması ile işlenen suç olarak ifade edilen bilişim suçları; verilerin işlenmesi ve/veya iletimi kapsamında yapılan her türlü yasadışı, gayri ahlaki veya yetki dışı davranış olarak tanımlanmaktadır. Bu yazıda bilişim suçları kategorileri ve çeşitleri bakımından incelenecektir.

A) Bilişim Suçlarına Ait Kategoriler

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Bilişim suçlarının ele alış amacı ile farklı kategoriler açığa çıkmaktadır. Teknik açıdan bilgisayar sistemlerinin suça konu olan işlerle ilişkisine bağlı olarak üç farklı kategori ile değerlendirilmektedir

 

A.1) Bilgisayar Hedefli Suçlar (Computer-Targeted Crimes)

Bilgisayarın bir saldırının birincil kurbanı/hedefi olması durumundaki suç kapsamıdır. Bu kapsamda değerlendirilen bilişim suçları aşağıdaki gibi örneklendirilebilir.

  • Dağıtılmış hizmet reddi (DDoS) saldırısı: Hedefin veya çevresindeki altyapının bir Internet trafiği baskısı ile karşı karşıya kalarak, hedeflenen bir sunucunun, hizmetin veya ağın normal trafiğini bozma/kesme amaçlı bir girişim olarak tanımlanır.
  • Zararlı yazılımlar: Bilgisayar virüsü, solucan (worm), truva atı, fidye virüsü, casus yazılım, mantık/koşul (logic) bombaları, reklam destekli yazılım ve diğer istenmeyen davranış sergileyen yazılımları oluşturan gruba verilen genel isimdir. Temelde bilgisayar sistemlerinin işlevlerini bozmak, kritik bilgileri toplamak, özel bilgisayar sistemlerine erişim sağlamak ve istenmeyen reklamları göstermek veya yönlendirmek amacı ile kullanılırlar. Bu yazılımlar bilgisayar sistemine; e-posta(oltalama) iletimi, kullanıcıların ziyaret ettiği web sayfa içeriklerine gömülmesi, taşınabilir depolama özelliği olan yapıların sistemle fiziksel etkileşimi (USB vb.) veya güvenlik sistemlerinin atlatılması (hacking) şeklinde çeşitli yöntemler ile bulaşırlar. Örneğin son zamanlarda da artış gösteren disk/dosya şifreleyen fidye yazılımları (ransomware) ile kurbandan sanal para talep edilmektedir. Bir başka örnek de korku/tehdit amacı ile geliştirilen yazılımlardır (scareware). Ele geçirilen (hacklenen) bir siteye giren kurbanın bilgisayarının kilitlenmesi ve ekranına polis/savcılık gibi bir uyarı mesajı (pedofili/cinsel içerikleri sitelere girilmesi sonucu yasal soruşturma açılacağı, bu esnada video kaydı yapıldığı gibi) çıkarılarak kurbandan maddi getiri talep edilebilmektedir.
  • Güvenlik açıklıklarının istismarı: Bilişim temelli sistemlerde (sunucu, modem, swich, vb.) bulunan açıklıkların kullanılması/istismar edilmesi ile iç kaynaklara/verilere sağlanan usulsüz erişim/etkileşim şeklinde ifade edilir.

 

A.2) Bilgisayar Destekli Suçlar (Computer-Assisted Crimes)

Bilgisayarın suç işlemeye yardımcı olmak için bir araç olarak kullanılması ile açığa çıkan suça denir. Bu kapsamda değerlendirilen bilişim suçları aşağıdaki gibi örneklendirilebilir.

  • Dolandırıcılık ve kimlik hırsızlığı: Bilgisayar sistemleri kullanılarak, hileli davranışlarla kişiyi aldatıp, onun veya başkasının zararına olup, kendisine veya başkasına bir yarar sağlanması amacıyla elektronik girdi, çıktı ve depolanmış içeriklerin yetkisiz olarak değiştirilmesi, yok edilmesi, yavaşlatılması veya kötüye kullanılması olarak ifade edilir. Bu kapsamdaki suçlarda, ağırlıklı olarak kişisel bilgilerinin çalınması (kullanıcı adı, giriş şifresi, kredi kartı bilgileri vb.) şeklinde gözlemlenmektedir.
  • Bilgi çalma: İş-ekonomik, siyasi veya askeri avantaj amaçlı düşman ya da rakiplerin sırlarını elde etmek için bilgisayar sistemlerine casusluk uygulaması (keşif-sömürü vb.) veya ilişkili bilgilerin ifşa edilmesi olarak ifade edilir.
  • Sanal taciz (Siber zorbalık): Elektronik iletişim araçları kullanılarak (e-posta, sosyal medya ve mesajlaşma platformları) karşı kullanıcıyı direk hedef olarak alıp, rahatsızlık verme, uygunsuz içerik, korkutma, hakaret vb. şeklinde olan, ifade özgürlüğünü aşan saldırgan tutum ve davranışlar bu kapsamda ifade edilir

 

A.3) Arızi Bilişim Suçları (Computer is Incidental)

Bilgisayar sisteminin mutlak olarak araç veya hedef olmayıp, ister istemez olaya dahil olması durumuna denir.

 

Not: Son kategori, bilgisayar sistemlerinin modern yaşamın vazgeçilmez bir bileşeni olması nedeniyle yaygın olarak ortaya çıktığı görülmektedir. İlk iki kategori ise bilişim suçu kavramında daha çok öne çıkmaktadır. Bunların yanı sıra sosyolojik açıdan bahse konu olan bilişim suçunun içerden mi yoksa dışardan mı gerçekleştirildiği ayrımına da gidilebilir.

 

B) Bilişim Suçlarında Zorluklar

Bilişim sistemlerine yönelik suç faaliyetleri, dünya çapında yaygın, finansal güdümlü eylemlerdir. Bu tür bilgisayarla ilişkili suçlar yaygın olup dünyadaki suç eylemlerinin yaklaşık üçte birini oluşturmaktadır. Bilişim suçlarının kovuşturulmasının en zor yanlarından biri, suçun nicelik/nitelikte dayandırılması mevzusudur. Bir saldırganın, bir başkasının kontrolü altında farklı sistemleri kullanabileceği veya suç kaynağında aldatma yapabileceği göz önüne alındığında, cezai takibatta ispat zorunluluğunun karşılanması zor olabilmektedir. Bu süreçte gözlemlenen genel zorluklar;

  • Adres / kimlik sahteciliği (spoofing)
  • Log kayıtlarının silinmesi/bozulması
  • Uzman kişi/personel eksikliği
  • Botnetler/zombi makineler
  • Güvenlik ihlal bildirimlerinin az olması
  • Maddi ve maddi olmayan varlıkların güncel tespit ve kaydının eksik olması

… şeklinde sıralanabilir.

Geçerli bilgisayar suç yasaları yargı yetkisine göre tüm dünyada değişiklik göstermesi ile birlikte, bölgeden bağımsız olarak bazı genellikleri de bulunmaktadır. Siber Suç Sözleşmesi (Convention on Cybercrime), 43 ülke tarafından Avrupa Konseyi‘nde 2001 yılında kabul edilmiştir. 2004 yılında uygulamaya konulan sözleşme, internet ve diğer iletişim ağlarının izinsiz ihlaline yönelik kabul edilen ilk ve tek uluslararası sözleşmedir. Sözleşmeye göre, katılımcı ülkeler kendi kanunlarını siber bağlantılı aktiviteler/suçlar kapsamında güncelleme ve birbirine yakın hale getirme gereksinimi bulunmaktadır. Siber suç sözleşmesi ile ilgili detaylar için kaynaklardaki COE bağlantısı incelenebilir.

Bunlara ek olarak özel şirketler de bulunulan ülkelerdeki yasal zorunluluklara uymalıdır. Örneğin X isimli bir türk firması, Fransa’da çalışma yürütüyorsa, (en azından o ülkede) GDPR’a uygun olarak hizmet vermelidir.

 

C) Bilişim Suçlarında Faktörler

Kurumdaki sorumlu/görevli güvenlik uzmanları tarafından, olası bilişim suçları saldırılarının etkisi değerlendirilirken bazı faktörler göz önüne alınmaktadır. Bunlar;

  • Fikri mülkiyet ve hassas verilerin kaybı
  • Hizmet ve istihdam kesintileri de dahil olmak üzere durum maliyetleri
  • Marka imajında ve şirket itibarında hasar
  • Müşterilere ödenecek cezalar ve telafi edici ödemeler (rahatsızlık vb.) veya sözleşmeye bağlı tazminat (gecikmeler vb.)
  • Karşı önlemlerin maliyeti ve sigorta
  • Etki azaltma stratejileri ve siber saldırılardan kurtulma maliyeti

… şeklinde belirtilebilir.

Ponemon Institute’un 2013 Siber Suç Maliyeti araştırmasında, ABD’deki ortalama bir şirketin her yıl 100’den fazla başarılı siber saldırı deneyimlediğini ve 11,6 milyon dolar maliyete neden olduğunu gösterdi. Bu rakam, 2012 yılındaki değerlere göre %26’lık bir artış demekti. Diğer bölgelerdeki şirketlerde daha iyi sonuçlar alınmış olmasına rağmen önemli kayıpların yaşandığını çalışma raporu göstermekteydi. 2013 yılındaki bu çalışma Amerika Birleşik Devletleri, İngiltere, Almanya, Avustralya, Japonya ve Fransa’da 230’dan fazla kuruluşa anket uygulanması ile gerçekleştirilmiştir.

2019 yılında Allianz Global Corporate&Specialty (AGCS) tarafından yapılan araştırma sonucunda, bilişim suç maliyetlerinin 2014 yılında dünya ekonomisine 445 milyar dolar olan zararın, 2019 itibari ile 600 milyar dolara çıktığını gösterdi. Bu değer, doğal felaketlerden kaynaklanan son on yıllık ortalama ekonomik zararın üç katına denk gelmektedir. Araştırma, aralarında CEO’lar, risk yöneticileri, brokerlar ve sigorta uzmanlarının da bulunduğu 86 ülkeden 2 bin 415 uzmanın görüşleri ile rekor katılıma ulaşarak sonuçlanmıştır.

 

D) Siber Suçlar ile İlgili Kurumlar

ABD’de siber suçlar ile mücadele eden bazı kurumlar aşağıdaki gibi sıralanabilir.

  • National Computer Security Center (NCSC): Bilgisayar güvenlik ürünlerini değerlendiren ve devlet dairelerine ve özel firmalara teknik destek sağlayan merkezi bir kurumdur.
  • Software Protection Association (SPA): Yazılım korsanlığının önlenmesi ile ilgilenir.
  • Business Software Alliance (BSA): Yazılım yasalarının ihlal edilmemesini sağlamak için kurulmuştur.

 

Not: Siber suçlar olmasa da diğer kapsamdaki suçlar ile mücadele eden bazı kurumlar da aşağıdaki gibi sıralanabilir.

  • Department of Defense (DoD – Savunma Bakanlığı): Amerika Birleşik Devletleri ordusunu kontrol eder ve faaliyetlerini koordine eder. Savunma Bakanlığı, bilgisayar suçlarını araştırmaz.
  • Central Intelligence Agency (CIA): Amacı, Amerika Birleşik Devletleri’nin ulusal güvenliğini ve tüm Amerikalıların hayatını korumaktır.

 

E) İlgili Diğer Konular

E.1) Arama Kararı (Reasonable Searches)

ABD anayasındaki 4. değişiklik (The Fourth Amendment) kanunu ile mantıklı bir sebep olmaksızın, vatandaşlara arama ve yakalama yapılamaz. Yargıç kararı olmadan gerçekleştirilen bu aramalarda tespit edilen kanıtlar da mahkemede hukuksuz sayılır. Yargıç kararında, hangi kolluk kuvveti ile hangi alanlarda arama yapılacağı belirtilir.

Bunun yanında aşağıdaki gibi durumlarda bir kararı olmadan arama yapılmayabilir;

  • Ortak / halka açık alanlarda
  • İnsan hayatına mal olabilecek veya kanıtın yok edilebileceği durumlarda

Not: Bu gibi durumlarda mahkeme, bu arama veya el koyma işleminin yasal olup olmadığını yeniden değerlendirme hakkına sahiptir.

 

E.2) Tuzağa Düşürme (Entrapment)

Bu eylem, kolluk kuvveti görevlisinin, bir kişinin bir suçu işlemeye niyeti olmadığı halde, o kişiyi suç işlemeye ikna etmesi ve tuzağa düşürmesidir. Bu durum, mahkemede suçlanan kişi için bir savunma aracı olarak değerlendirilebilir ve juri, bu kişiyi suçsuz olarak görebilir.

 

E.3) Baştan Çıkarma / Cezbetme (Enticement)

Bu eylem ise, kolluk kuvveti görevlisinin, bir kişinin bir suçu işlemeye niyeti olduğu zaman, o kişiye suçu işlemeye elverisli bir ortam hazırlaması, yani suç işlemeye niyetli kişiyi suçu işlemesi için ayartmasıdır.

Mahkemede, juri yapılan eylemin tuzak (Entrapment) mı yoksa cezbetme (Enticement) mi olduğuna karar verir.

 

Kaynaklar:

https://www.amazon.com/CISSP-Study-Guide-Eric-Conrad/dp/0128024372

https://www.nadirkitap.com/bilgi-ve-bilgisayar-guvenligi-casus-yazilimlar-ve-korunma-yontemleri-gurol-canbek-kitap15985588.html?gclid=EAIaIQobChMIiJzl06v26AIVyBsYCh04CweNEAYYAyABEgJhK_D_BwE
https://www.nadirkitap.com/guncel-tehdit-siber-suclar-huseyin-cakir-mehmet-serkan-kilic-kitap14145677.html?gclid=EAIaIQobChMIo77G9av26AIVxUQYCh0DaABIEAQYAiABEgIvBfD_BwE
https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185

 

 

 

 

İlişkili Yazılar:
Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Benzer YazılarYAZARIN DİĞER İÇERİKLERİ

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.