logo

Kartal Avukat

Siber Saldırıya Uğrayan Firmaların Hukuki Destek İhtiyacı

Siber Saldırıya Uğrayan Firmaların Hukuki Destek İhtiyacı

Siber Saldırıya Uğrayan Firmaların Hukuki Destek İhtiyacı

Siber Saldırıya Uğrayan Firmaların Hukuki Destek İhtiyacı

Siber Saldırıya Uğrayan Firmaların Hukuki Yol Haritası ve Kriz Yönetimi

Dijital dünyada "güvenli liman" yoktur; sadece "henüz saldırıya uğramamış" firmalar vardır. İstanbul’un sanayi ve ticaret üssü olan Kartal, Maltepe, Pendik ve Tuzla aksındaki şirketler, sahip oldukları değerli ticari sırlar ve müşteri dataları nedeniyle siber korsanların (hacker) bir numaralı hedefi konumundadır. Bir sabah iş yerine geldiğinizde tüm dosyalarınızın şifrelendiğini (Ransomware) veya müşteri veritabanınızın Dark Web’de satışa çıkarıldığını görmek, sadece teknik bir felaket değil, aynı zamanda hukuki bir depremdir.

Siber saldırı anında şirketlerin yaptığı en büyük hata, sadece IT (Bilgi İşlem) departmanına odaklanıp, hukuki yükümlülükleri göz ardı etmektir. Oysa ki 6698 sayılı KVKK ve Türk Ceza Kanunu, saldırıya uğrayan firmaya çok sıkı "bildirim" ve "delil saklama" zorunlulukları getirmiştir. Bu yükümlülüklerin yerine getirilmemesi, hackerların verdiği zarardan çok daha büyük idari para cezalarına ve itibar kaybına neden olabilir. Bir Kartal Bilişim Avukatı olarak, siber kriz anında firmanızı hukuken nasıl koruyacağınızı adım adım anlatıyoruz.

Krizin İlk Anı: "72 Saat Kuralı" ve KVKK Bildirimi

Bir siber saldırı tespit edildiği anda (örneğin sunuculara sızıldığı veya verilerin dışarı çıkarıldığı anlaşıldığında), hukuki kronometre çalışmaya başlar. KVKK’nın 12. maddesi ve Kurul kararları gereği, veri sorumlusu olan şirket, ihlali öğrendiği tarihten itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na (KVKK) bildirim yapmak zorundadır.

Bildirim Yapılmazsa Ne Olur?

Eğer şirketiniz, "Duyulursa rezil oluruz" veya "Halletmeye çalışıyoruz" diyerek 72 saati geçirirse ve Kurul bunu sonradan öğrenirse (ki genellikle sızan veriler nedeniyle öğrenilir), şirketiniz veri güvenliğini sağlayamama cezasının yanında bir de bildirim yükümlülüğüne aykırılık nedeniyle milyonlarca lirayı bulan idari para cezasıyla karşı karşıya kalır.

İlgili Kişilere (Müşteri/Çalışan) Bildirim

Sadece Kurul’a değil, verileri çalınan kişilere de "en kısa sürede" bildirim yapılmalıdır. Bu bildirimde; hangi verilerin çalındığı, olası riskler ve alınan önlemler şeffafça anlatılmalıdır.

Adli Bilişim ve Delil Tespiti: "Format Atmayın!"

Siber saldırı anında yapılan en büyük teknik ve hukuki hata, panikle sistemlere format atmak veya sunucuları sıfırlamaktır. Bu eylem, saldırının izlerini siler ve sizi hukuken savunmasız bırakır.

Hukuki destek sürecinde ilk talimatımız şudur: "Sistemi dondurun, logları koruyun."

  • Delil Niteliği: Hackerların bıraktığı IP izleri, giriş logları ve zararlı yazılımın (malware) yapısı, savcılık soruşturmasında kullanılacak en önemli delillerdir.

  • Kusursuzluk İspatı: İleride müşterileriniz size tazminat davası açtığında, "Biz her türlü önlemi aldık, bu saldırı çok sofistikeydi" diyebilmeniz için, siber güvenlik tedbirlerinizin (Firewall, Antivirüs, Güncellemeler) tam olduğunu ispatlamanız gerekir. Bu da ancak format atılmamış sistemlerin Adli Bilişim (Computer Forensics) incelemesiyle mümkündür.

Fidye Yazılımları (Ransomware) ve Hukuki Boyutu

Kartal ve çevresindeki fabrikaların ve lojistik firmalarının en çok maruz kaldığı saldırı türü Ransomware'dir. Hackerlar sistemleri şifreler ve açmak için kripto para (Bitcoin) ister.

Fidye Ödenmeli mi? Hukuki Bakış Hukuken fidyeyi ödemek doğrudan bir suç olarak tanımlanmasa da, gri bir alandır ve önerilmez.

  1. Garantisi Yoktur: Ödeme yapsanız bile verilerin geri geleceğinin garantisi yoktur.

  2. Terörün Finansmanı: Paranın gittiği adres bir terör örgütüyle bağlantılı çıkarsa, şirketiniz "Terörizmin Finansmanı" suçlamasıyla soruşturma geçirebilir.

  3. Vergisel Sorun: Hackerlara ödenen para faturalandırılamaz, gider gösterilemez. Şirket kasasından çıkan bu para, muhasebe açısından "örtülü kazanç" veya "açıklanamayan gider" riski doğurur.

Cumhuriyet Başsavcılığına Suç Duyurusu

Siber saldırı, TCK 243 (Bilişim Sistemine Girme) ve TCK 244 (Sistemi Engelleme, Verileri Yok Etme) maddeleri uyarınca ağır bir suçtur. Şirket avukatınız aracılığıyla derhal Kartal'daki İstanbul Anadolu Cumhuriyet Başsavcılığı Müracaat Savcılığı'na veya Bilişim Suçları Bürosu'na suç duyurusunda bulunulmalıdır.

Bu başvuru neden önemlidir?

  • Mağduriyetin Tescili: Şirketinizin suçlu değil, "mağdur" olduğunu resmi kayıtlara geçirirsiniz.

  • Sorumluluktan Kurtulma: Çalınan verilerle başka suçlar işlenirse (örneğin şirketinizin e-postasıyla başkaları dolandırılırsa), savcılık başvurunuz sizi korur.

Sözleşmesel Sorumluluklar ve Siber Sigorta

Hukuki destek süreci sadece kamu kurumlarıyla sınırlı değildir. Şirketinizin; müşterileri, tedarikçileri ve iş ortaklarıyla imzaladığı sözleşmeler incelenmelidir.

  • Gizlilik Sözleşmeleri (NDA): Veri sızıntısı nedeniyle sözleşmeleriniz feshedilebilir veya cezai şart ödemek zorunda kalabilirsiniz. Mücbir sebep (Force Majeure) maddelerinin siber saldırıyı kapsayıp kapsamadığı analiz edilmelidir.

  • Siber Sigorta: Eğer şirketinizin siber risk sigortası varsa, hasarın tazmini için sigorta şirketine ihbar sürelerine (genellikle çok kısadır) uyulmalıdır. Hukuki deliller sigorta ödemesi için şarttır.

Somut Vaka Analizi: Lojistik Firması Veri Sızıntısı

Olay: Kartal'da uluslararası taşımacılık yapan bir lojistik firmasının sunucularına girilmiş, müşteri veritabanı ve finansal kayıtlar şifrelenmiştir. Hackerlar 50.000 USD fidye istemiştir. Firma yönetimi olayı gizlemeye karar vermiş, KVKK'ya bildirim yapmamış ve kendi imkanlarıyla sistemi açmaya çalışmıştır.

Hukuki Sonuçlar:

  1. İfşa: Hackerlar parayı alamayınca verileri internette yayınlamıştır.

  2. KVKK Cezası: Kurul, ihlali gizlediği ve 72 saat kuralını ihlal ettiği için firmaya 2.500.000 TL idari para cezası kesmiştir.

  3. Müşteri Davaları: Verileri sızan müşteriler, "Ticari sırlarımız ifşa oldu" diyerek firmaya tazminat davaları açmıştır.

  4. İtibar Kaybı: Firmanın güvenilirliği sarsılmış, büyük müşteriler sözleşmelerini iptal etmiştir.

Olması Gereken: İlk andan itibaren şeffaf olunmalı, KVKK bildirimi yapılmalı, savcılığa gidilmeli ve kriz profesyonel hukuki destekle yönetilmeliydi.

IT Firmasının (Hizmet Sağlayıcının) Sorumluluğu

Birçok firma siber güvenlik hizmetini dışarıdan (Outsource) alır. Eğer saldırı, IT firmasının ihmali (Güncelleme yapmaması, basit şifre kullanması, yedek almaması) yüzünden gerçekleşmişse; ödemek zorunda kaldığınız cezaları ve zararları IT firmasına rücu etme (yansıtma) hakkınız vardır. Bu süreç Borçlar Kanunu kapsamında yürütülür.

Sıkça Sorulan Sorular

Siber saldırıyı gizlersek ne olur? Saldırıyı gizlemek, bir "kumardır" ve genellikle kaybedilir. Veriler Dark Web'e düştüğünde veya bir müşteri şikayet ettiğinde, gizleme eylemi "ağır kusur" sayılır ve cezalar katlanarak artar.

Şirketim hacklendi, ben de ceza alır mıyım? Şirket yöneticileri (Yönetim Kurulu), TCK kapsamında doğrudan ceza almaz (suçun faili hackerlardır). Ancak veri güvenliğini sağlamada ihmaliniz varsa (yatırım yapmamak, eğitim vermemek), şirket ortaklarına karşı "Basiretli Tacir" gibi davranmadığınız için hukuki sorumluluğunuz doğabilir.

Çalışan hatasıyla virüs bulaştı, çalışanı kovabilir miyim? Çalışanın "kasıtlı" bir eylemi yoksa (şirkete zarar vermek istemediyse), sadece bir phishing mailine tıkladı diye tazminatsız kovulması İş Hukuku açısından risklidir. Ancak çalışana daha önce siber güvenlik eğitimi verildiği ispatlanabilirse, "İş güvenliğini tehlikeye atmak" gerekçesiyle işlem yapılabilir.

Veri ihlali bildirimi nasıl yapılır? KVKK'nın web sitesindeki "Veri İhlali Bildirim Formu" doldurularak online yapılır. Formda ihlalin ne zaman olduğu, nasıl olduğu ve kaç kişinin etkilendiği detaylıca yazılmalıdır.

Avukat ne yapabilir, teknik iş değil mi bu? Saldırıyı durdurmak teknik iştir, ancak şirketi "kapatılmaktan" veya "iflastan" kurtarmak hukuki iştir. Avukat; KVKK cezasını minimize eder, savcılık sürecini yönetir, müşteri davalarını göğüsler ve sigorta/rücu süreçlerini takip eder.

 

Siber saldırı, modern iş dünyasının bir gerçeğidir. Şirketinizin başına gelmesi bir "felaket" olabilir, ancak bu felaketin şirketin sonunu getirmemesi kriz yönetimine bağlıdır. Teknik duvarlar (Firewall) kadar, hukuki duvarların (Sözleşmeler, Politikalar, Hukuki Müdahale) da sağlam olması gerekir.

Saldırı anında panikleyip yanlış kararlar vermek yerine, önceden hazırlanmış bir "Hukuki Acil Eylem Planı" ile hareket etmek hayat kurtarır.

Kartal Avukat olarak, siber güvenlik hukuku ve KVKK alanındaki; saldırı sonrası kriz masası yönetimi, Kurul bildirimleri, savcılık şikayetleri ve tazminat süreçlerinde şirketinizin yanındayız. Dijital krizleri en az hasarla atlatmak için bizimle iletişime geçebilirsiniz.

Bankacılık Avukatı Kartal Bankacılık Avukatı


← Sahte Sosyal Medya Hesaplarıyla Mücadele En Çok Açılan Bilişim Davası Türleri →

İletişim Bilgilerimiz

Sabit

0 505 918 21 49

Mobil

0 505 918 21 49

Email

[email protected]

Uzmanlık Alanlarımız

Menü

Tümü

Haber & Duyurular

Torba yasa maddeleri neler ve hangi borçları kapsıyor?

11.04.2023

Adres

Ofis

Kartal/İSTANBUL
Tümü

Dökümanlar

  1. Ana Sayfa
  2. Bilgiler
  3. Siber Saldırıya Uğrayan Firmaların Hukuki Destek İhtiyacı
logo

Web Sitemiz üzerinde yer alan içerikler genel bilgilendirme amaçlıdır ve spesifik hukuki tavsiye niteliği taşımamaktadır. Ziyaretçiler, web sitemiz üzerinden edindikleri bilgileri hukuki tavsiye olarak kabul etmemeli ve bu bilgilere dayanarak hukuki işlem başlatmamalıdır. Bu doğrultuda avukatkartal.com.tr , web sitesinde ki içeriklerden ve bilgilerden doğabilecek herhangi bir zarar veya kayıptan sorumlu tutulamaz.

Hukuki yardım veya danışmanlık hizmeti almak isteyen ziyaretçilerin, direkt bir avukat ile iletişime geçmeleri tavsiye edilir. Avukatkartal.com.tr