Kartal Avukat

Fidye Yazılım Saldırısına Uğrayan Firmaların Hakları

Fidye Yazılım Saldırısına Uğrayan Firmaların Hakları

Fidye Yazılım Saldırısına Uğrayan Firmaların Hakları

Fidye Yazılım Saldırısına Uğrayan Firmaların Hakları

Fidye Yazılımı (Ransomware) Saldırısına Uğrayan Firmaların Hukuki Hakları ve Yol Haritası

Fidye yazılımı (Ransomware) saldırıları, işletmelerin kritik verilerini şifreleyerek erişilemez hale getiren ve sistemlerin açılması karşılığında maddi menfaat talep eden siber suç faaliyetleridir. Bu saldırılar sadece operasyonel bir kesinti değil; 6698 sayılı KVKK, Türk Ticaret Kanunu ve Türk Ceza Kanunu nezdinde çok boyutlu bir hukuk krizidir. Veri sorumlusu sıfatını haiz işletmelerin, saldırı sonrası yasal bildirimleri süresinde yapması ve dijital delilleri hukuka uygun şekilde muhafaza etmesi, idari para cezalarından ve tazminat yükümlülüklerinden korunmak adına hayati önem taşır.

1. KVKK Bildirim Zorunluluğu: Kritik 72 Saat Kuralı

Fidye yazılımı saldırısı neticesinde kişisel verilere erişimin engellenmesi, mevzuat uyarınca bir "veri ihlali" olarak kabul edilir.

  • Kurul Bildirimi: KVKK m. 12 uyarınca veri sorumlusu, ihlali öğrendiği andan itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na bildirim yapmalıdır.

  • İlgili Kişi Bildirimi: Verileri erişilemez hale gelen veya sızdırılma riski taşıyan gerçek kişilere (müşteri, çalışan vb.) makul olan en kısa sürede bilgi verilmelidir.

  • İdari Yaptırım: Bildirim yükümlülüğünün yerine getirilmemesi, veri güvenliği ihlalinden bağımsız olarak yüksek tutarlı idari para cezalarına yol açmaktadır.

2. Fidyeyi ödemenin Hukuki ve Mali Riskleri

Saldırganların taleplerini karşılamak, işletmeyi yasal ve finansal bir belirsizliğe sürükler:

  • Terörizmin Finansmanı Riski: ödemenin yapıldığı kripto varlık cüzdanlarının uluslararası yaptırım listelerindeki yapılarla bağlantılı olması, işletmeyi adli soruşturma riskiyle karşı karşıya bırakabilir.

  • Mali Kayıt Dışılık: Hackerlara yapılan ödemeler faturalandırılamadığı için "açıklanamayan gider" statüsündedir ve vergi denetimlerinde eleştiri konusudur.

  • Hukuki Geçersizlik: Fidyeyi ödemek, verilerin geri alınacağına dair hukuki bir teminat oluşturmaz ve KVKK nezdindeki sorumluluğu ortadan kaldırmaz.

3. Dış Hizmet Sağlayıcılara (IT/Yazılım) Rücu Hakkı

Birçok işletme, siber güvenlik altyapısını dışarıdan temin etmektedir. Eğer saldırı;

  • Güvenlik duvarlarının güncellenmemesi,

  • Yedekleme prosedürlerinin (backup) hatalı işletilmesi,

  • Zayıf şifreleme protokollerinin kullanılması gibi nedenlerle gerçekleşmişse, işletme uğradığı zararı hizmet aldığı firmaya rücu edebilir. TTK m. 18 uyarınca her tacir, ticaretine ait bütün faaliyetlerinde basiretli bir iş adamı gibi hareket etmek zorundadır.

4. Adli Bilişim ve Savcılık Şikayeti

Şirketin "mağdur" sıfatının hukuken tescili için Cumhuriyet Başsavcılığı Bilişim Suçları Bürosu'na suç duyurusunda bulunulmalıdır.

  • Delil Tespiti: Sisteme format atmadan önce, uzmanlarca adli bilişim (forensics) incelemesi yapılarak log kayıtları ve saldırı yöntemi mühürlenmelidir. Bu rapor, işletmenin "gerekli teknik ve idari tedbirleri" aldığını ispatlayan en önemli belgedir.

  • Suç Duyurusu: TCK m. 243 (Bilişim sistemine girme), TCK m. 244 (Verileri yok etme/değiştirme) ve TCK m. 107 (Şantaj) suçlarından şikayet süreci işletilmelidir.

5. Siber Risk Sigortası ve Tazminat Süreci

İşletmenin siber risk sigortası poliçesi bulunuyorsa, hasar tazmini için poliçedeki ihbar sürelerine riayet edilmelidir. Sigorta şirketleri genellikle bağımsız bir adli bilişim raporu ve savcılık şikayetini "hasar dosyası" için şart koşmaktadır.

Sıkça Sorulan Sorular

Saldırı bir çalışanın hatasıyla (phishing) olduysa sorumluluk kimdedir? Veri sorumlusu sıfatıyla işletme, çalışanının kusurundan üçüncü kişilere karşı sorumludur. Ancak çalışana siber güvenlik eğitimi verildiği ispatlanırsa, işletmenin idari sorumluluğu hafifleyebilir.

Hackerlar verileri Dark Web'de yayınlarsa ne yapılmalıdır? Bu durumda ek bir KVKK bildirimi yapılmalı ve 5651 sayılı Kanun uyarınca Sulh Ceza Hakimliği'nden içeriğe erişim engelleme kararı talep edilmelidir.

Dava süreçleri ne kadar sürer? IT firmalarına karşı açılan rücu davaları ve tazminat süreçleri, teknik bilirkişi incelemeleri nedeniyle ortalama 1.5 - 2 yıl sürebilmektedir.

Yasal Uyarı (Disclaimer): Bu içerik, fidye yazılımı (ransomware) saldırıları sonrası yürütülecek hukuki süreçler ve kriz yönetimi hakkında genel bilgilendirme amacıyla hazırlanmıştır. Bilişim Hukuku ve Veri Koruma Mevzuatı; teknik bilirkişi raporlarının analizi, log kayıtlarının yorumlanması ve kısa hak düşürücü süreleri içeren teknik detaylar içeren bir alandır. Her veri ihlali; sızıntının boyutu, veri kategorisi ve mevcut teknik tedbirler perspektifinden özel olarak değerlendirilmelidir. Yanlış kurgulanan bir kriz yönetimi veya eksik bildirim, işletmenin ticari varlığını tehlikeye atacak yaptırımlara yol açabilir. Bu nedenle, siber saldırı mağduriyetlerinde bir hukukçu rehberliğinde yürütülen süreçlerle hukuki destek alınması tavsiye edilir.

Yasal Uyarı: Bu içerik, teknolojik imkanlar desteğiyle hazırlanmış bir bilgilendirme metnidir. Sitede yer alan veriler genel bilgilendirme amaçlı olup, hukuki tavsiye veya mütalaa teşkil etmez. Mevzuat ve yargı kararları zamanla değişkenlik gösterebileceğinden, buradaki bilgilerin doğruluğu ve güncelliği noktasında kesinlik arz etmeyebilir. Olası hak kayıplarının önlenmesi adına, sürecin takibi için bir avukattan hukuki yardım alınması önem arz etmektedir. Sitedeki bilgilere dayanarak gerçekleştirilen işlemlerden doğabilecek sorumluluk kullanıcıya aittir.

İçindekiler

Bilişim Hukuku Avukatı Kartal Bilişim Avukatı


← Siber Saldırılar ve Hukuki Cezalar Veritabanı Saldırısı Sonrası Hukuki Süreç →

İletişim Bilgilerimiz

Sabit

0

Mobil

0

Email

0

Çalışma Alanlarımız

Menü

Tümü

Haber & Duyurular

Torba yasa maddeleri neler ve hangi borçları kapsıyor?

11.04.2023

Adres

Ofis

0
Tümü

Dökümanlar

  1. Ana Sayfa
  2. Bilgiler
  3. Fidye Yazılım Saldırısına Uğrayan Firmaların Hakları
logo

Web Sayfamız Düzenlenme ve Yapım Aşamasındadır!!!!
Bilgilendirme ve Yasal Uyarı: Bu internet sitesinde yer alan tüm içerikler, Türkiye Barolar Birliği’nin ilgili mevzuatına uygun olarak yalnızca kamuyu bilgilendirme amacıyla hazırlanmıştır. Sitede sunulan bilgiler hukuki mütalaa veya tavsiye niteliği taşımamakta olup, bu veriler üzerinden bir avukat-müvekkil ilişkisi kurulamaz. Mevzuatın ve yargı kararlarının dinamik yapısı gereği, hak kaybına uğramamak adına hukuki süreçlerin bir avukat vasıtasıyla takip edilmesi önem arz etmektedir.

Sitemiz henüz hazırlık aşamasındadır. Paylaşılan metinlerde yer alan bilgiler tamamen genel bilgilendirme amaçlı olup bu içerik bir hukuki tavsiye niteliği taşımamaktadır ve bu bilgiler üzerinden doğrudan bir avukat-müvekkil ilişkisi kurulamaz. Hukuki sorunlarınız için mutlaka bir hukukçuya danışmanız önerilir.

Web Sitemiz üzerinde yer alan içerikler genel bilgilendirme amaçlıdır ve spesifik hukuki tavsiye niteliği taşımamaktadır. Ziyaretçiler, web sitemiz üzerinden edindikleri bilgileri hukuki tavsiye olarak kabul etmemeli ve bu bilgilere dayanarak hukuki işlem başlatmamalıdır. Bu doğrultuda avukatkartal.com.tr , web sitesinde ki içeriklerden ve bilgilerden doğabilecek herhangi bir zarar veya kayıptan sorumlu tutulamaz.

Hukuki yardım veya danışmanlık hizmeti almak isteyen ziyaretçilerin, direkt bir avukat ile iletişime geçmeleri önerilir.