Sızma testi bir kurumun veya sistemin güvenlik açıklarının belirlenmesi amacı ile gerçekleştirilen bilinçli bir saldırı testidir. Bir saldırıda açıklar bulunabilecek yerel ağ, internet ya da web uygulaması, mobil uygulama, kullanılan yazılım gibi muhtemel saldırı alanlarında bulunabilecek güvenlik açıklarını zayıflıkları ve riskleri ortaya çıkaracak bir testtir ve simülasyondur. Özellikle Kişisel Verilerin Korunması Kanunu kapsamında getirilen düzenlemeler ve kişisel verileri koruma kurumu tarafından yayımlanan veri güvenliği rehberine de bakıldığında sızma testinin önemine vurgu yapılmaktadır. Sızma testi gerçekleştirilirken bilinçli olarak bilişim sistemlerine girilse de yapılacak hatalar birtakım hukuki sorumluluklara yol açabilir. Bu kapsamda sızma testi ve getirdiği hukuki sorumluluklar, sızma testi yapılırken hazırlanacak sözleşmeleri ve metinleri önemli hale getirmektedir. Bu yazımızda sızma testinin hukuki boyutunu beraberinde getirdiği hukuki sorumlulukları ve dikkat edilmesi gereken hususlardan bahsedeceğiz.
Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerin bilgi ve iletişim güvenliği kapsamında genel olarak alması gereken tedbirleri belirlemek için 06.07.2019 tarih ve 30823 sayılı Resmi Gazete’de Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 sayılı Cumhurbaşkanlığı Genelgesi yayımlanmıştır. Yayımlanan Genelge doğrultusunda Cumhurbaşkanlığı Dijital Dönüşüm Ofisi koordinasyonunda paydaşların katılımıyla Bilgi ve İletişim Güvenliği Rehberi hazırlanmıştır. Söz konusu genelge ve rehberde dikkat çekilen konulardan biri de sızma testinin önemi ve yapılması gerekenleri içermektedir. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayımlanan rehberde Sızma Testi, bilgi teknolojileri ve güvenlik sistemleri kapsamında güvenlik açıklarının tespit edilmesini sağlayan, yetkin kişiler tarafından ve yasalara uygun olarak gerçekleştirilen güvenlik testleridir şeklinde tanımlanmıştır. Söz konusu sızma testi yetkin kişiler tarafından gerçekleştirilmiş olsa da ilk olarak yasalara uygun şekilde gerçekleştirilmesi gerekmektedir. İzinsiz gerçekleştirilen bir sızma testi cezai anlamada testi gerçekleştirenler bakımından hukuki sorumluluklar doğurabilir.
Türk Ceza Kanunu’nun 243. Maddesinde “bilişim sistemine girme” suçu tanımlanmıştır. Bu kapsamda
“(1) Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ve orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.
(2) Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi halinde, verilecek ceza yarı oranına kadar indirilir.
(3) Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, altı aydan iki yıla kadar hapis cezasına hükmolunur.”
Yargıtay 8. Ceza Dairesi 2014/29566 Esas 2015/13421 sayılı karında bilişim sistemine girme eylemi "bir bilişim sisteminde bulunan verilerin bir kısmına veya tamamına, fiziken ya da uzaktan başka bir cihaz yoluyla erişilmesidir. Erişimi gerçekleştirmek için gevşek güvenlik önlemlerinden faydalanılabileceği gibi, var olan güvenlik önlemlerindeki boşluklar da kullanılabilir. Ağ üzerinden virüsler (komik resimler, kutlama kartları veya ses ve görüntü dosyaları gibi ekler halinde), truva atı (trojan horse), macro virüsü, solucanlar gibi kullanılarak veya sistemin açık kapıları zorlanarak giriş yapılabilir. Bilgisayar veri ve sistemlerine yapılan izinsiz giriş, aynı zamanda, “bilgisayara tecavüz”, “kod kırma” ya da “bilgisayar korsanlığı” olarak da tanımlanmaktadır.” şeklinde tanımlanmıştır. Bilişim sistemine girme suçunun başkasına ait bilgisayarın açılarak içindeki verilerin görülmesi biçiminde olabileceği gibi, bir ağ aracılığıyla bilişim sisteminde oturum açılması yoluyla da işlenebileceğinden, sisteme girmede, iletişimin kablolu veya kablosuz olması ile mesafenin yakın ve uzak olması arasında da fark olmadığından, mağdurun kişisel bilgisayarına ait işletim sistemine bir başka internet kullanıcısının, mağdurun rızası olmaksızın girmesinin de suç oluşturacağından bahsedilmiştir. Dolayısıyla bilişim sistemlerine izinsiz girmek Türk Ceza Kanunu kapsamında suç oluşturmaktadır. İyi niyetli olarak bir sistemin açığını bulmak amacı ile herhangi bir bilişim sistemine izinsiz erişimler de suç niteliğindedir. Örneğin bir hacker açık tespit ettiği bilişim sistemlerine girip bir açığı kapatabilir. Sistemin açığını kapatmaya yönelik bu izinsiz hareket ceza hukuku bağlamında sorumluluk doğurmaktadır. Sızma testleri de aslında bilinçli olarak yukarıda bahsedildiği gibi bilişim sistemlerine çeşitli yollar ile girilmesidir. Ceza sorumluluğu açısından burada önemli olan nokta bilişim sistemlerine girilmesinde ve kalmaya devam edilmesinde sızma testi gerçekleştirilen tarafın bu konuda rızasının olup olmadığıdır. Bilişim sistemlerine girilmesi konusunda rızanın bulunması durumunda bilişim sistemine girme suçu oluşmayacaktır. Bu sebeple ilk dikkat edilmesi gereken durumlardan bir tanesi sızma testi hizmetini sunan tarafın hukuka uygun bir şekilde testi gerçekleştirmeden önce karşı tarafın rızasını almasıdır. Sisteme girme ile beraber izinsiz sistemde kalmak da TCK kapsamında suç oluşturmaktadır. Bu kapsamda sızma testinin ne kadar süreceği ne kadar süre ile sistemde kalınacağı iyi belirlenmeli buna yönelik onay alınmalı ve testin gerçekleştirilmesi sırasında olası bir sistemden çıkma yönünde iradenin ortaya konulması halinde derhal sızma testi durdurulmalıdır. Bu noktada sızma testini gerçekleştirecek hizmet sunan firmanın sızma testi hizmetini alan firma ile arasında gerçekleşecek penetrasyon testine yönelik onay mekanizmasının doğru işletilmesi gerekmektedir. Sistemlerine erişilecek kişilerin onayı alınmadan bilişim sistemlerine iyiniyetli de olsa önceden erişilmemesi gerekmektedir. Bu kapsamda hizmet sözleşmenin imzalanması ve açıkça onayın alınması akabinde penetrasyon testinin gerçekleştirilmesi gerekmektedir.
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayımlanan rehberde de Sızma testleri ve güvenlik denetimleri gerçekleştirilmeden önce testi gerçekleştirecek taraftan, test süresince elde edilen hiçbir verinin yetkisiz kişilere verilmemesi, aktarılmaması ve ifşa edilmemesine yönelik taahhüt alınması gerektiğinden bahsedilmekte ve sızma testi ve güvenlik denetimi kapsamı tanımlanmalı ve dokümante edilmesi gerektiği vurgulanmaktadır. Burada aslında sızma testi hizmet sözleşmelerinin öneminden ve gizlilik sözleşmesinin öneminden bahsedilebilir. Gerçekten de sızma testinin hangi alanlara uygulanacağı hangi alanların kapsamda olduğu bu testleri gerçekleştirmeye kimlerin yetkili olduğu sözleşme kapsamında belirlenmeli ve bu sınırlar dahilinde hareket edilmelidir.
Sızma testini şirketlerin gerçekleştirmesi durumunda bu testin gerçekleştirilmesinde firma çalışanları aktif olarak rol almaktadırlar. Bu kapsamda çalışanlar kurumlarda ilgili kişilere ve şirkete ait birçok veriye erişebilmekte ve bazı durumlarda işlemlerinde kullanmaktadır. Bu sebeple öğrenilen bilgilerin korunması bakımından çalışan-firma, hizmet alan-hizmet veren arasında yapılan gizlilik taahhütnameleri önem taşımaktadır. Gizlilik taahhütnameleri genel olarak verilerin ifşa edilmemesi ve amacı dışında kullanılmaması yükümlülüklerinden oluşmaktadır. Tarafların aralarında bulunan mevcut ilişkiden dolayı elde ettiği bilgilerin başkaca bir amaçla kullanılmaması, bu bilgilerden dolayı kendine veya bir başkasına menfaat sağlamaması ve bu bilgileri kullanarak taraflara bir zarar gelmemesi açısından yapılacak gizlilik sözleşmesi önemlidir.
Bunlarla beraber hata sonucu sistemlere zarar verilebilir veya yapılan bir hata sonucu çeşitli veriler üçüncü taraflara sızabilir ve veri ihlaline sebebiyet verilebilir. Şirket içerisinde sistemlerin devre dışı kalması, bozulması durumları ile karşı karşıya kalınabilir. Bu durumda uğranılan zararın tazmini, tarafların sorumlulukları ve uygulanacak usuller de sözleşme ile detaylı bir şekilde belirlenmedir. Bir diğer açıdan sızma testini sunacak kişi veya firmanın yeterince güvenlik önlemi alıp almadığı mevzuata uyumlu hareketi sağlayıp sağlamadığının da ileride doğabilecek sorunlar açısından tespitinin sağlanması ve bu duruma göre şartların belirlenmesi gerekmektedir.
Sızma testi niteliği itibari ile kurumun dijital kapılarının sağlamlığının test edilmesidir. Bu kapsamda son derece önemli olan penetrasyon testinin çeşitli hukuki güvencelerle ve yapılacak sözleşmelerle sağlamlaştırılması gerekmektedir. Sızma testleri ve beraberinde getirdiği hukuki sorumluluklar ve güvenceler disiplinler arası çalışmayı ve teknik ve hukuki bilgiyi gerektirdiğinden sızma testi hizmeti verecek firma veya hizmet alacak kurumların mutlaka bilişim alanlarında uzmanlardan hukuki ve teknik anlamda destek alınması gerekmektedir.
Av. Girayhan OCAK
Comments