Geçenlerde Netsec listesinde “web sayfanızda güvenlik açığı buldum diyenlere cevabınız ne olurdu” konulu bir tartışma geçti. Amacım ortalıkta fütursuzca sağa sola saldıran(aralarında prof. olarak yapanlar da var:)) gençliğe şirketlerde çalışan güvenlikçilerin bakış açısını ölçmekti.
Tartışmada genel itibariyle yapılan işin değil yapılış yönteminin(izinsizce) yanlış olduğu konusunda hemfikir olduk. Bu sevindirici bir durum.
Kişisel olarak benzeri durumlarla çoğu zaman karşılaşıyorum. Her ne kadar açığı bildiren arkadaş bildirerek iyi niyetli davranmış olsa da açığı bulmak için uğraşırken kanunlara aykırı davranmış olabiliyor ve hiç beklemedik bir anda karşısına yasal orunlar çıkabiliyor. Bu konuda canlı bir iki örnek yaşadım.
Ekte Türk Ceza Kanunu’naki bilişim suçları maddelerini yazdım. Bir yerleri izinsiz kurcalamadan yasal olarak ne sorunlarla karşılaşılaşılabilir, sistemlerimizi izinsiz kurcalayanlara karşı ne haklarımız var bilmek faydalı olacaktır.
Bilişim sistemine girme
MADDE 243. – (1) Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ve orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.
(2) Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi hâlinde, verilecek ceza yarı oranına kadar indirilir.
(3) Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, altı aydan iki yıla kadar hapis cezasına hükmolunur.
Sistemi engelleme, bozma, verileri yok etme veya değiştirme
MADDE 244. – (1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.
(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır. [Next page…]
(3) Bu fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza yarı oranında artırılır.
(4) Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması hâlinde, iki yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezasına hükmolunur.
Banka veya kredi kartlarının kötüye kullanılması
MADDE 245. – (1) Başkasına ait bir banka veya kredi kartını, her ne suretle olursa olsun ele geçiren veya elinde bulunduran kimse, kart sahibinin veya kartın kendisine verilmesi gereken kişinin rızası olmaksızın bunu kullanarak veya kullandırtarak kendisine veya başkasına yarar sağlarsa, üç yıldan altı yıla kadar hapis cezası ve adlî para cezası ile cezalandırılır.
(2) Sahte oluşturulan veya üzerinde sahtecilik yapılan bir banka veya kredi kartını kullanmak suretiyle kendisine veya başkasına yarar sağlayan kişi, fiil daha ağır cezayı gerektiren başka bir suç oluşturmadığı takdirde, dört yıldan yedi yıla kadar hapis cezası ile cezalandırılır.
Tüzel kişiler hakkında güvenlik tedbiri uygulanması
MADDE 246. – (1) Bu bölümde yer alan suçların işlenmesi suretiyle yararına haksız menfaat sağlanan tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.
Kaynaklar:
http://www.tbmm.gov.tr/kanunlar/k5237.html
https://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/turkiyede-bilisim-guvenligiyle-ilgili-yasal-altyapinin-analizi.html
Bu haliyle sistemde açık bulup onu “kullanmamış” olanlar suçsuz mu sayılıyor?
Kanuna gore oyle gozukuyor ama maddeleri bir hukukcu yorumlayarak baska seyler cikarabilir:)
iyilikten maraz doğar demişler. bulcaksın ama sölemiceksin yasalarımızı seviyorum.