Sunucuya Yetkisiz Erişim ve Ceza Kanunu

Sunucuya Yetkisiz Erişim ve Ceza Kanunu: TCK 243 ve Hapis Cezaları

Dijital dünyada bir binanın kapısını kırıp içeri girmek neyse, bir sunucuya (server), e-posta hesabına veya veritabanına şifreleri aşarak girmek de hukuken odur. Birçok kişi, "Sadece sisteme girdim, hiçbir şey çalmadan çıktım" diyerek suç işlemediğini düşünür. Ancak Türk Ceza Kanunu'na (TCK) göre, dijital kapıdan izinsiz içeri adım attığınız an suç tamamlanmıştır.

İstanbul, Kartal ve Anadolu Yakası'ndaki şirketlerin sunucuları, ticari sırların ve kişisel verilerin deposudur. Bu sunuculara yapılan yetkisiz erişimler, sadece teknik bir ihlal değil, kişinin hürriyetini bağlayıcı cezalara neden olan ağır bir suçtur. Bir Kartal Bilişim Avukatı olarak, sunucuya yetkisiz erişimin hukuki boyutunu, TCK maddelerini ve yargılama sürecini detaylandırıyoruz.

TCK 243: Bilişim Sistemine Girme Suçu

Sunucuya yetkisiz erişim, TCK'nın 243. maddesinde düzenlenen "Bilişim Sistemine Girme" suçunu oluşturur.

Kanun maddesi şöyledir:

"Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adli para cezası verilir."

Bu Ne Anlama Geliyor?

• Zarar Şart Değil: Sunucuya girdikten sonra dosya silmeniz, veri çalmanız veya sistemi bozmanız gerekmez. Güvenlik duvarını aşıp "admin paneline" veya "root" dizinine eriştiğiniz an suç işlenmiş olur.

• Kalmaya Devam Etmek: Sisteme yasal olarak girmiş olsanız bile (örneğin eski bir çalışansınız), yetkiniz bittiği halde çıkmayıp sistemde kalmaya devam ederseniz yine bu madde uygulanır.

TCK 244: Sistemi Engelleme, Bozma ve Verileri Yok Etme

Eğer yetkisiz erişim sağlayan kişi, sadece girmekle kalmayıp sisteme zarar verirse, suçun vasfı değişir ve ceza katlanarak artar.

TCK 244. maddeye göre:

• Bir bilişim sisteminin işleyişini engelleyen veya bozan,

• Verileri bozan, yok eden, değiştiren veya erişilmez kılan (Örn: Ransomware ile şifreleyen),

• Sisteme veri yerleştiren veya var olan verileri başka bir yere gönderen kişi, 1 yıldan 5 yıla kadar hapis cezası ile cezalandırılır.

Önemli Ağırlaştırıcı Neden: Bu suç, bir bankaya, kredi kurumuna veya kamu kurumuna ait sunuculara karşı işlenirse ceza yarı oranında artırılır.

Yetkisiz Erişim Sayılan Eylemler Nelerdir?

Hukukta "yetkisiz erişim" kavramı geniştir. Aşağıdaki eylemlerin tamamı TCK 243 veya 244 kapsamına girer:

1. Şifre Kırma (Brute Force): Deneme-yanılma yöntemleriyle şifreyi bulup girmek.

2. SQL Injection: Web sitesi üzerindeki açıklardan faydalanarak veritabanı sunucusuna komut göndermek.

3. Phishing (Oltalama): Kullanıcıyı kandırarak şifresini ele geçirmek ve bu şifreyle sunucuya girmek.

4. Açık Portlardan Sızma: Sistemin kapatılmamış portlarından veya güvenlik yaması yapılmamış açıklarından sızmak.

5. Yetki Aşımı: Bir personelin, sadece "okuma" yetkisi varken, hack yöntemleriyle "yönetici" (admin) yetkisi alması.

Mağdurlar İçin Hukuki Süreç: Delil Tespiti ve Şikayet

Sunucunuza yetkisiz erişim tespit ettiğinizde, saldırganın cezalandırılması için izlenecek adımlar kritiktir.

1. Log Kayıtlarının Korunması

Saldırganın en büyük düşmanı "Log" (İz) kayıtlarıdır. Sunucuya hangi IP adresinden, hangi saatte, hangi kullanıcı adıyla girildiği ve hangi işlemlerin yapıldığı loglarda yazar.

• Uyarı: Sisteme format atmayın! Format atmak, parmak izlerini silmek demektir.

2. Adli Bilişim Raporu

Mahkemeler teknik terimleri anlamakta zorlanabilir. Bu nedenle, bağımsız bir adli bilişim firmasından veya bilirkişiden; "Şu saatte, şu IP adresinden, şu güvenlik açığı kullanılarak yetkisiz giriş yapılmıştır" şeklinde teknik bir rapor alınmalıdır.

3. Savcılık Şikayeti

Kartal Adliyesi'ndeki İstanbul Anadolu Cumhuriyet Başsavcılığı Bilişim Suçları Bürosu'na dilekçe ile başvurulmalıdır. Dilekçede IP adresleri ve log kayıtları delil olarak sunulmalıdır.

Şüpheliler İçin Savunma Stratejisi

Eğer "Sunucuya yetkisiz erişim" suçlamasıyla karşı karşıyaysanız, durum ciddidir. Ancak teknik ve hukuki savunma yolları mevcuttur.

• IP Spoofing (IP Sahteciliği): Saldırgan sizin IP adresinizi taklit etmiş olabilir (Zombie bilgisayar). Bilgisayarınızın incelenmesi ve o saatte sizin işlem yapmadığınızın kanıtlanması gerekir.

• Yetki Karmaşası: Eğer bir şirket çalışanıysanız ve size verilen şifreyle girdiyseniz, ancak "o dosyaya bakman yasaktı" deniliyorsa; burada TCK 243 değil, disiplin suçu veya yetki aşımı tartışılabilir. "Hukuka aykırılık bilinci" unsuru oluşmamış olabilir.

• Etik Hackerlık (White Hat) Savunması: "Güvenlik açığını bulup şirketi uyarmak için girdim" savunması, yazılı izin yoksa TCK nezdinde geçerli değildir. İzinsiz yapılan her giriş (iyi niyetli olsa bile) suçtur. Ancak cezada indirim sebebi (takdiri indirim) olabilir.

Somut Vaka Analizi: Eski Çalışanın VPN İle Girişi

Olay: Kartal'da bir yazılım şirketinden ayrılan (A), elindeki VPN şifrelerinin iptal edilmediğini fark eder. Meraktan şirketin sunucusuna bağlanır, yeni projeleri inceler ve çıkar. Hiçbir veriyi kopyalamaz veya silmez.

Hukuki Süreç:

1. Tespit: Şirket IT ekibi, loglarda (A)'nın kullanıcı adıyla mesai saatleri dışında giriş yapıldığını fark eder.

2. Dava: Şirket şikayetçi olur. (A) hakkında TCK 243 (Bilişim Sistemine Girme) suçundan dava açılır.

3. Savunma: (A), "Şifremi iptal etmemişlerdi, ben de girdim" der.

4. Karar: Mahkeme, "İş akdi feshedildiği için sisteme girme hakkının kalmadığını bildiği halde girmesi hukuka aykırıdır" diyerek (A)'yı hapis cezasına çarptırır (HAGB uygulanabilir).

Sıkça Sorulan Sorular

Şifre çok basitti (123456), girmek suç mu? Evet. Kapının kilidinin zayıf olması veya açık olması, içeri girme hakkı vermez. Şifrenin zorluğu suçun oluşumunu etkilemez.

WiFi şifresini kırıp başkasının internetine girmek bu suç mu? Evet. Modem de bir "bilişim sistemi" parçasıdır. Başkasının WiFi ağına izinsiz girmek TCK 243 kapsamındadır.

Yurt dışındaki bir sunucuya Türkiye'den girersem ne olur? TCK'ya göre suç Türkiye'de işlenmiş sayılır (hareketin yapıldığı yer). Türk mahkemeleri yetkilidir ve ceza alırsınız.

Sisteme girdim ama hemen çıktım, ceza alır mıyım? Evet. Suçun oluşması için "girmek" yeterlidir, kalma süresi önemli değildir.

Şirketim bu yüzden zarar gördü, tazminat alabilir miyim? Evet. Ceza davası sonucunda sanık suçlu bulunursa, Asliye Hukuk veya Ticaret Mahkemesi'nde maddi tazminat davası açarak; sistemin kapalı kaldığı süre, IT masrafları ve itibar kaybını talep edebilirsiniz.

Sunucuya yetkisiz erişim, dijital dünyanın "haneye tecavüz" suçudur. Teknik bir merak veya anlık bir hata, sicilinize işleyecek bir hapis cezasına dönüşebilir. Mağdurlar için ise bu durum, ticari sırların ifşası riskini taşır.

İster mağdur olun ister şüpheli, bilişim suçlarında süreç "teknik delillere" (Log, IP, MAC adresi) dayanır. Bu delilleri doğru okuyabilen bir hukuki destek hayati önem taşır.

Kartal Avukat olarak, Bilişim Suçları alanındaki  ; yetkisiz erişim vakalarında delil tespiti, savcılık şikayetleri ve ceza davası savunmalarında yanınızdayız. Dijital haklarınızı savunmak için bizimle iletişime geçebilirsiniz.

Kartal Bilişim Avukatı