TÜRK CEZA HUKUKUNDA FİDYE SALDIRILARI VE SALDIRIYLA MÜCADELE YÖNTEMLERİ

TÜRK CEZA HUKUKUNDA FİDYE SALDIRILARI VE SALDIRIYLA MÜCADELE YÖNTEMLERİ

Dinamik veri işleme faaliyetleri ve değer zincirlerinin birbirine bağlanması ile veri kendine çok daha fazla alanda yer buldu. Bu yolla arttırılmış gerçeklik, akıllı sözleşmeler, yapay zeka temelli etik güvenlik konuları daha tartışılabilir hale geldi.

Dijital dönüşümle beraber karşımıza çıkan en önemli kavramın dijital dayanıklılık olduğu gözlemlenmektedir. Gelinen son noktada ise siber güvenlikteki asıl hedef altyapılarda belirli bir siber saldırı direncinin oluşturulması zeminine oturtulmuştur. Aşağıda açıklayacağımız fidye saldırılarında olduğu gibi siber güvenliğin sağlanması için ilk kriter sistemin başlı başına kendi içerisinde güvenli olmasıdır. Bu anlamda mevcut en iyi, güncel uygulama ve prensiplerin hayata geçirilmesi, sistemin tasarıda ve varsayılan durumda güvenli olmasının sağlanması ve dışarıdan gelebilecek potansiyel saldırılar planlanarak saldırılara karşı dayanıklı bir yapının oluşturulması stratejik olarak tercih edilmesi gereken yöntemlerdir.

Türk Ceza Kanunu’nda yer verilmiş olan klasik suç tiplerinin gerçek hayatta giderek sanallaştığı ve yaşanan dijital dönüşümle beraber suç tiplerine “siber” alanda da sıklıkla rastlanmaya başladığı görülmektedir. Son yıllarda özellikle fidye ile gerçekleştirilen siber saldırıların nitelik ve nicelik bakımından artışı da yine dikkat çekmektedir. 2020 yılında Türkiye Siber Risk Algı Araştırması (Mars&TÜSİAD) raporunda siber risk yönetimi açısından yaşanan en büyük zorluğun insan kaynağı tarafından ortaya çıktığı sonucuna varılmıştır. İnsan kaynaklı zafiyetler biraz sonra anlatacağımız fidye saldırılarına da kapı aralayarak şahsi veya ticari birçok kayba sebebiyet vermektedir. Zararlı yazılımlar bilgisayarların işletim sistemlerine bulaşan ve sistemi enfekte eden, verileri kullanılamaz hale getiren, dosyalara erişimi engelleyen şifreleme algoritmaları kullanan yazılımlardır. Fidye yazılımları enfekte ettikleri sistem içerisindeki resimler, filmler, dosyalar ve diğer veri tabanlarını şifreleyerek menfaat elde etmeyi amaçlayan kötücül yazılımlardır.

Fidye saldırıları ile kişisel ve kurumsal bazda büyük veri kayıpları ya da maddi kayıplar gerçekleştirilebilmektedir. 2017 yılında yapılan geniş çaplı anket ile fidye virüsün en hızlı büyüyen güvenlik tehdidi olduğu, fidye saldırılarına karşı savunmaya çok az bütçenin ayrıldığı, çalışanlara yeterli düzeyde farkındalık eğitimi verilmediği, yedekleme gibi etkin çözümlerin kullanılmadığı, saldırılara ilişkin stratejilerin geliştirilmediği ve hatta belirlenmediği tespit edilmiştir. 2024 yılı itibari ile geldiğimiz noktada da mevcut durumun yüksek farkındalık ile iyileştirildiği söylenemez. Fidye saldırılarına bütçe azlığı, saldırıların artan karmaşıklığı ve yetersiz insan kaynakları sebep gösterilmektedir.

Avrupa Birliği Siber Güvenlik Ajansı’nın yayınladığı raporlarda gerçekleştirilen fidye saldırıları binler ile ifade edilmektedir. Tartışmalı olmakla birlikte yağmacı olarak nitelendirilen bu virüsler beş aşamadan oluşur ve bulaştığı sistemleri erişilmez kılmak sureti ile saldırıyı gerçekleştiren kişiye menfaat sağlama amacını taşır. ENISA tarafından yayınlanan raporlar ile altı çizilen, ABD Federal Ticaret Komisyonu tarafından “iş dünyası ve bireylerin karşılaştığı en ciddi çevrimiçi tehditlerden biri” ve “kullanılan en kârlı zararlı yazılım” olarak nitelendirilen fidye virüsleri işleyiş ve türleri bakımından kendi ailesi içinde farklılıklar barındırmaktadır. Fidye virüslerin dönüm noktası olan ağ solucanlarının oluşturulması ve kullanılmaya başlanması ile saldırı seviye atlayarak binlerce şirket, yüz binlerce kişisel ve kurumsal bilişim sistemini etkisi altına almayı başarmıştır.

FİDYE YAZILIM TÜRLERİ

İşleyiş biçimleri, sistemi ele geçirme şekilleri ve sistem üzerinde gerçekleştirdikleri eylemler bakımından birçok tür bulunmaktadır. Kimi fidye virüs yalnızca sistemi enfekte etmeyi amaçlarken kimi virüs sistemde RSA olarak ifade edilen ve 2048 bit büyüklüğünde kuvvetli kriptografik şifrelemeler yaparak hem dosyaları hem de buna bağlı olan diğer kümeleri şifreleyebilmektedir. Günümüze kadar CyrptoLocker, Wannacry gibi pek çok fidye yazılımı ile saldırganlar tarafından milyonlarca dolarlık zararlar meydana getirilmiştir. Saldırının mağduru gerçek kişiler olabileceği gibi tüzel kişiler de olabilir. Gerçek kişilerin mağdur olduğu olaylarda saldırganlar tarafından belirlenen menfaatin sağlanmaması halinde kişilerin önemli verilerinin, mahrem görüntülerinin veya özel nitelikli içeriklerinin silineceği, yok edileceği ya da ifşa edileceği belirtilirken; tüzel kişilere yapılan saldırılarda menfaatin sağlanmaması halinde kişilik için kritik öneme sahip tüm verilerin yok edileceği tehdidi öne çıkmaktadır. Fidye yazılımı zararlı yazılım çeşitleri olup en sık rastlananı kripto fidye yazılımıdır. Yine mobil fidye yazılımları gibi “scareware” fidye saldırıları ise daha çok önemli verilerin veya sistemlere bağlı büyük zarar doğurabilecek kayıpların yaşanacağı endişesi yaratılarak mağdurdan menfaat temin etmeye çalışılır.

Virüs dosyaları şifreleyebileceği gibi bir başka yöntem olarak dosya uzantılarını da değiştirebilir. Bilişim sistemindeki verileri erişilmez hale getirir ve sistemi engellerken aynı zamanda bilgisayarları zombi bilgisayar haline getirip başka suçların işlenmesinde bir araç olarak da kullanabilir.

Somut dosyalar incelendiğinde ise, saldırganın sistemdeki verileri ele geçirene ve sistemi bloke edene kadar çoğunlukla sistem işleyişini durdurmadığı ve kendini fark ettirmeden son aşamada kullanıcı ekranında bir fidye mesaj görüntüsü ile ortaya çıktığı görülmektedir. VirLock, Trojan, Petya gibi pek çok fidye türü bulunmakla beraber birçoğu dosyaları enfekte ederek verilere zarar verme veya verileri ele geçirme amacı güder.

SALDIRI AŞAMALARI

Yukarıda da ifade etmiş olduğumuz gibi fidye yazılımları beş aşamada incelenmektedir. Saldırganın sistemi ele geçirmesi için ilk olarak saldırının gerçekleştirileceği sisteme erişmesi gerekecektir. Sisteme erişim yöntemine göre suçun kanundaki tanımı da değişiklik göstermektedir. Sistemin ele geçirilmesi zararlı bir dosyanın gönderilmesi, ziyaret edilen internet sitesine zararlı parçaların yerleştirilmesi, sosyal mühendislik yöntemleri veya doğrudan ağa yönelik saldırılar ile erişim sağlanabilir. Sisteme zararlı fidye virüsünü aktaran saldırgan erişim sağladıktan sonra sistemi ele geçirmeyi amaçlar. Sisteme zararlı virüs yükledikten sonra bilgisayara komut için beklemeye başlar ve üçüncü adıma geldiğinde mağdurun bilişim sisteminin tümüne veya bir kısmına, dosyalarına veya verilerine erişimi engeller. Fail bu aşamada mağdura vereceği zararı da nitelik ve nicelik bakımından öngörebileceği matematiksel kaynak, analizlere dayanabilir ve bu yolla talep edeceği fidyenin değerini hesaplayabilir.

Saldırgan fail kimliğini gizlemek amacı ile internetin arka kapısı olarak atfedilen ve tünellerle kişilere ulaşılmasını engelleyen TOR üzerinden eylemlerini gerçekleştirmektedir. Yukarıda da belirtmiş olduğumuz gibi, dördüncü adımda ise komutaya hazır hale getirdiği sisteme emir vererek sistemin tamamını/bir kısmını veya verileri şifreler ve mağdura talep ettiği fidyenin ödenmesi halinde verilere tekrar erişilebileceğine ilişkin bir mesaj gönderir. Bahse konu fidye saldırısında mağdurun sistemi veya dosyaları asimetrik anahtarın kullanıldığı ve çok güçlü bir algoritma ile şifrelendiğinden sistem sorumluları tarafından bahse konu saldırının sona erdirilmesi veya anlık olarak çözülmesi mümkün değildir.

Fail son aşamada fidye ödendiği takdirde kripto anahtarını mağdura vererek bilişim sistemine veya verilere erişimin kurulmasını sağlayabilir. Ancak bunun yanında fidye ödenmesi karşısında dahi mağdurlar çoğunlukla tüm verilerine erişememekte ve gelecekteki saldırılar için birer hedef olmanın ötesine geçememektedir. Fidyenin karşılığı ise bu suç tipi bakımından aynı TOR iletişiminde olduğu gibi takipsizlik yaratabilmesi avantajı ile büyük oranda bitcoin veya diğer kripto para türleri olmaktadır. Kripto paranın yasal bir düzenlemeye tabi olmaması ve takip edilebilirliğinin belirli bir yere kadar gerçekleştirilebiliyor olması, saldırganların kimliklerini gizlemek amacı ile sıklıkla kullandıkları bir yöntemdir. Açıkladığımız bu beş aşamada gerçekleşen eylemler Türk Ceza Kanunu kapsamında somut olaya göre değerlendirilecek ve farklı normlar uygulanacaktır.

SUÇA İLİŞKİN YAPTIRIMLAR

 

Öncelikle fidye virüsleri ile gerçekleştirilen saldırılar bakımından Türk Ceza Kanunu’nda spesifikleştirilmiş bir suçun olmadığının altını çizerek başlamak isteriz. Özellikle “yağma” suçu bakımından öğretide tartışmalar var olmakla birlikte kimi yazarlar fidye saldırıları ile yağma suçunun oluştuğunu kabul ederken kimi yazarlar kanun metnindeki “mal” kavramının kanuniliği karşılamaması sebebi ile yağma suçunun oluşmadığı görüşüne katılmaktadır. Daha önce de bahsetmiş olduğumuz gibi fidye saldırıları ile en çok talep edilen menfaatin dolar karşılığında kripto para fidyesi şeklinde olduğu saptanmaktadır. Kripto para talebiyle malvarlığı menfaati sağlamaya çalışan saldırgan eylemlerinin suça konu unsurların geniş yorumlanması çerçevesinde yağma suçu oluşturduğuna katıldığımızı belirtmek isteriz.

 

Fidye virüsü ile gerçekleştirilen saldırıların öncelikli amacı sistemin engellenmesi ve neticesinde menfaat elde edilmesidir. Bu bakış açısıyla, saldırganın ilk olarak bilişim sistemine hukuka aykırı şekilde girmesi gerekmektedir. Bilişim sistemine girmek ise sanıldığından çok daha kolaydır. 500 Doları bulmayan çeşitli yazılımlar ve ücretlerle bilişim sistemine yetkisiz giriş hizmeti veya yazılımı satın alınabilir; bu vasıta ile bilişim sistemine girişi gerçekleştirebilirsiniz.

Saldırganın bu yazılımları üretmek ve bilişim sistemlerindeki verilere veya sisteme zarar vermek amacı ile yazılımları oluşturması, bulundurması ise TCK 245-a “Yasak Cihaz veya Programlar” suçu kapsamında değerlendirilmektedir. Bilişim sistemine yerleştirdiği fidye virüs ile sisteme giriş yapan saldırgan, bazı durumlarda ise sistemi tamamen enfekte eder, saldırının ve amaçladığı neticenin türüne göre sistemdeki verileri de kısmen veya tamamen silebilmektedir. Sistemdeki verilerin saldırgan tarafından silinmesi halinde, TCK 244-2 ile yer verilen “Sistemde Yer Alan Verileri Erişilmez Kılma Suçu”nun oluşacağı malumdur.

Saldırganlar çoğunlukla sistemi enfekte ettikten sonra mağdura mesaj atarak tehdidin dikkate alınmaması ve fidyenin kendilerine temin edilmemesinin bir sonucu olarak verilerin daimi olarak erişilmez kılınabileceği, sistemin engelli şekilde kalabileceği bildirilmektedir. Tehdit akabinde de bir fidye talep eden saldırgan mağdura talebinin yerine getirilmesi için belirli bir süre verir. Daha önce de belirtmiş olduğumuz gibi asimetrik şifreleme yöntemleri kullanılan ve çok güçlü şifrelemelerin gerçekleştirildiği sistemlerin eski haline getirilmesi ise neredeyse imkansızdır. Verilerin kalıcı şekilde erişilmez kılınacağı tehdidi ile mağdurdan kripto para veya benzeri bir menfaat temin eden saldırgan, mağdur üzerinde ciddi bir endişe yaratır. Dolayısı ile saldırganın fidye saldırısına konu eylemleri ile Türk Ceza Kanunu’nda bilişim sistemlerine karşı işlenebilecek suçlar kapsamında düzenlenmiş olan birden fazla suçun oluştuğu belirtilmelidir.

VİRÜSE SEBEP OLAN BAZI FAKTÖRLER

Bu kısımda birçok faktör sayılabileceği gibi ilk sebebin etkin yedeklemenin yapılmaması ve kullanılan cihazın güncelliğini yitirmesidir. Kullanılan sistemlerin eski yazılım işleyişlerine sahip olması, önleyici korumanın sağlanması amacıyla yamalardan faydalanılmamış olması, yedekleme plan ve stratejilerinin oluşturulmamış olması, bütçe ayrılmaması en büyük sebepler arasında gösterilmektedir. Bu sebeple siber güvenliğe ve tabi fidye saldırılarına karşı belirli bir bütçe ayrılarak sağlam bir planlamanın yapılmasını önermekteyiz. Yayınlanan son raporlar ve siber güvenlik trendlerine ilişkin bilgiler içerisinde de siber risk yönetimi açısından yaşanan en büyük sorunun insan kaynağı tarafına vurgu yapılmaktadır. Nitekim siber güvenlik konusunda gerekli zamanın ayrılmaması ve nitelikli siber uzmanların olmaması, güvenliğe ilişkin tüzel kişiler içerisinde herhangi bir ekibin bulunmaması maddeleri sorunlar arasında en çok gözlemlenen unsurlardır. Siber güvenlik ve saldırıların önlenmesine ilişkin rekabetin sağlanabilmesi için stratejilerin geliştirilmesi şart haline gelmekte.

SALDIRIDAN KORUNMA YOLLARI

Fidye saldırılarına karşı en etkin korunma yöntemi düzenli şekilde etkin yedeklemenin yapılmasıdır. Ancak saldırıya en çok açık kapı bırakan sebeplerin ise e-posta ve internet kullanımı sırasında tıklanan zarar eklentiler olduğu görülmektedir. Çoğu kurum çalışanı phising e-postaya karşılık vermekte veya zararlı eklenti konan internet sitesini ziyaret etmektedir. Bu sebeple siber güvenlik uzmanlarının birçoğu fidye saldırılarını durdurmak için en etkin yöntemin sistemlerdeki yamaların zamanında yapılması, çalışanlara düzenli farkındalık eğitimleri gerçekleştirilmesi, internet kanalıyla açık olarak erişilebilen ve SMB’ye sahip kurumlarda 139 ve 445 numaralı portların trafiğinin engellenmesi, veri yedekleme ve yedekten geri yükleme stratejilerinin geliştirilmesi, uç cihaz güvenliğinin sağlanması olarak belirtmektedir.
Fidye saldırısı gerçekleştirildiğinde neticeye ilişkin birden fazla seçenek bulunmaktadır. Maalesef saldırıya maruz kalan birçok mağdur verilerini geri alabilmek, enfekte edilmiş sistemini kurtarmak veya kendisine yöneltilen tehdidi engellemek amacı ile talep edilen fidyeyi saldırgana ödemektedir. Ancak fidyenin ödenmesi halinde dahi saldırganlar çoğunlukla kazandıkları menfaate karşılık sistemi mağdura geri vermemekte, dosyalar kurtarılamamakta, mağdur gelecekte yeni saldırıların olası hedefi haline gelmekte ve mağdur açısından istenmeyen senaryolar oluşmaktadır. Menfaat sağlamak isteyen saldırganların sözlerini tutarak sisteme koymuş oldukları şifreleri kaldıracaklarının hiçbir garantisi bulunmamaktadır. Fidye saldırısı insan vücudunu enfekte eden bir hastalık gibi düşünülebilir. Dolayısıyla erken tespiti de kötü amaçlı yazılımın diğer dosya ve verilere ve pek tabi sistemin tamamına yayılmasını engellemektedir. Bilişim sistemine yayılan bu virüs için de erken teşhis hayat kurtarır.
 
Fidye saldırılarından korunmanın birçok yöntemi olmakla birlikte ilk adımda, saldırının gerçekleştirilmesinde kullanılacak kötü amaçlı internet siteleri, istenmeyen eklentilerin sisteme yüklenmesi, zararlı eklentilerin indirilmesi gibi istenmeyen eylemlerin engellenmesi gerekir. Fidye saldırılarının tespiti için güçlü mekanizma ve stratejilerin belirlenmesi iyi bir yöntemdir. Bu kapsamda, virüs tarayıcılarının aktive edilmesi, dosya uzantılarının teyidi ve kontrolü, veri barındıran dosyaların düzenli ve etkin şekilde şifrelenmesi, ağ trafiğinin izlenmesi, şüpheli ağ trafiklerinin engellenmesi ve buna yönelik önleyici mekanizmaların geliştirilmesi sağlanmalıdır. Doğru güvenlik yazılımlarını kullanmak hayati önem taşımaktadır. Güvenlik yamalarından fayda sağlayabilmek için kullanılan yazılımlar sürekli güncel tutulmalıdır.

Tüzel kişiler bakımından ise fidye saldırılarından korunmak için muhakkak siber güvenlik planlamasına ilişkin bir bütçe ayırmalıdır. Güvenlik açıklarına ilişkin strateji ve önleyici eylem planları ile çalışanlar desteklenmelidir. Kurum içerisinde çalışanların konuya ilişkin farkındalığı arttırılmalı; sistemlerde düzenli şekilde yedekleme ve güncellemeler yapılmalıdır. Görüldüğü üzere, tek bir virüs tipi ile tüm sistemler kilitlenebilir ve ticari anlamda saatler içerisinde milyonluk zararlar meydana getirilebilir. Sanal ortamdaki silahlanmanın hızı ve çeşitliliği de göz önünde bulundurulduğunda ciddi etkiler yaratacak siber güvenlik tehditlerinden korunmak için geç kalınmaksızın önlem alınması gerekmektedir. İlk paragraf ile yer vermiş olduğumuz gibi sistem içerisine oturtacağımız güvenlik prensiplerinin yaşam döngüsü boyunca devam etmesine özen gösterilmeli, saldırılara karşı maksimum seviyede dayanıklı bir yapı kurgulanmalı, son kullanıcının bilgilendirilmesi için farkındalık çalışmaları yapılmalı, risk temelli yaklaşım benimsenmeli, tipik erişim kontrolleri ve kimlik doğrulamaları gerçekleştirilmelidir. Bunların yanında ise fidye saldırıları özelinde yapılan değerlendirmeler dikkate alındığında, TCK’daki ilgili maddelerde değişiklik yoluna gidilmeli ve klasik suçlar bakımından da siber alana yakınlaştırılmış düzenlemelerin yapılması yerinde olacaktır. Türk Ceza Kanunu’nda yer alan ilgili hüküm ve suç tiplerinin kanundaki mevcut hali ile çağın ve dijital dönüşümün gerisinde kaldığı, yaptırımların ve kanunilik ilkesi gereğince hükümlerin somut olaylara konu olan eylemleri karşılamadığı değerlendirilmeli ve ivedi şekilde kanunda düzenleme yoluna gidilmesi gerekmektedir.