Arama yapmak için lütfen yukarıdaki kutulardan birine aramak istediğiniz terimi girin.

Sızma Testleri ile Türk Ceza Kanunu’nun 243, 244 ve 245/A Maddelerinde Düzenlenen Suçlar Arasındaki İlişkinin Değerlendirilmesi

Evaluation of the Relationship Between Penetration Testing and Offenses Set Forth in Articles 243, 244 and 245/A of the Turkish Penal Code

Ahu KARAKURT EREN

Bilişim sistemlerinin güvenliği ve güvenilirliğini temine yönelik olarak kullanılan mücadele yöntemlerinden biri suç haline getirmedir. Türk Ceza Kanunu’nda (TCK) Bilişim Alanında Suçlar Bölümünde yer alan suçlar bu anlayışın ürünüdür. Bilişim sistemlerinin güvenliği ve güvenilirliğine yönelik riskleri zarar oluşmadan önce gidermek açısından başvurulabilecek diğer bir araç ise sızma testleridir. Sızma testlerine yönelik hizmet veren kişi ve kuruluşlar, sızma testleri kapsamında bilgi toplama, keşif, zafiyet taraması, açıkların istismar edilmesi, sistemin ele geçirilmesi ve izlerin temizlenmesi faaliyetleri yürütülmekte, sızma testlerinde kullanmak üzere yazılımlar üretmekte, bulundurmakta veya satın almaktadır. Sızma testleri yapılırken bilgisayar korsanlarının yöntemlerinin kullanılıyor olması sebebiyle sızma testleri kapsamında gerçekleştirilen faaliyetler ile TCK’nın Bilişim Alanında Suçlar bölümünde 243, 244 ve 245/A maddelerinde tipikleştirilen fiiller arasında ince bir nüans bulunmaktadır. Okuyacağınız makalede bu nüansa işaret edilmeye, salt sızma testleri açısından belirtilen suç tiplerine ilişkin düzenlemeler olan ve olması gereken hukuk açısından değerlendirilmeye çalışılacaktır.

Sızma Testi, Bilişim Alanında Suçlar, Bilişim Sistemine Girme Suçu, Bilişim Sisteminin İşleyişini Engelleme, Bozma, Verileri Yok Etme, Değiştirme, Erişilmez Hale Getirme veya Başka Yere Gönderme ya da Veri Yerleştirme Suçları, Yasak Cihaz ve Programlar.

Criminalization is one of the methods of struggle to ensure the security and reliability of data processing systems. Offenses set forth under the section of Offenses Related to Data Processing Systems of the Turkish Penal Code (TPC) are the products of this understanding. Penetration testing is another tool that can be used to eliminate the risks regarding the security and reliability of data processing systems before the damage occurs. Persons and organizations providing services for penetration testing carry out activities such as collecting information, investigation, vulnerability scan, exploitation of vulnerabilities, seizing the system, and cleaning up traces, and also produce, own or purchase software for penetration testing. There is a subtle nuance between the activities carried out within the scope of penetration testing due to the hackers’ methods used in performing penetration tests and the deliberate actions typified under Articles 243, 244 and 245/A of the section on Offenses Related to Data Processing Systems of the TPC. This study points out this nuance and evaluates the regulations regarding the types of offenses specified for pure penetration testing in terms of de lege lata (the law as it exists) and de lege ferenda (what the law should be).

Penetration Test, Offenses Related to Data Processing Systems, Offenses of Unlawfully Access to Data Processing System, Offenses of Hindering or Destroying Operation of a Data Processing System, Offenses Ofobscuring, Deleting, Changing or Preventing Access to Data, or Data Placement or Sending Available Data to Other Places, Forbidden Devices and Programs.

Giriş

Bilişim alanındaki gelişmelere paralel olarak bilişim sistemlerinin güvenliği ve güvenilirliğine yönelik riskler her geçen gün artmaktadır. Özellikle bilişim sistemlerinin hayatımızın hemen hemen tüm alanlarına girişi, bu riskleri bireysel ve toplumsal yaşamın devamı bakımından giderilmesi zorunlu tehlikelere dönüştürmektedir. İfade edilen durum, bilişim sistemlerinin güvenliğine ve güvenilirliğine yönelik riskleri önlemek ya da azaltmak bakımından çok boyutlu bir mücadeleyi gerektirmektedir.

Bilişim sistemlerinin güvenliğine ve güvenilirliğine yönelik mücadelede faydalanılan araçlardan birisi, bilişim alanında suçları cezalandırmaya yönelik yapılan düzenlemelerdir. Hukukumuzda kanunkoyucu, bu hükümlere Türk Ceza Kanununun (TCK) “Bilişim Alanında Suçlar” bölümüne yer vermiştir.

Bilişim sistemlerinin güvenliği ve güvenilirliğine yönelik riskleri zarar oluşmadan önce gidermek için başvurulan araçlardan bir diğeri ise sızma testleridir. Sızma testleri, bilişim sistemlerinin güvenlik açıklarının üçüncü bir göz tarafından tespitini sağlamaktadır. Sızma testlerine yönelik hizmet veren kişiler ve kuruluşlar, sızma testlerinde kullanmak üzere yazılımlar imal etmekte, bulundurmakta veya satın almaktadır. Sızma testleri kapsamında bilgisayar korsanlarının kullandığı metotlarla hizmet satın alanın hak sahibi olduğu bilişim sistemlerine girilmeye, erişim elde edilmeye ve erişim yönetilmeye çalışılmaktadır.