Veritabanı Saldırısı Sonrası Hukuki Süreç

Veritabanı Saldırısı (Data Breach) Sonrası Hukuki Süreç ve Kriz Yönetimi

Veri, 21. yüzyılın petrolüdür. Müşteri listeleri, kredi kartı bilgileri, çalışan kayıtları ve ticari sırlar; şirketlerin en değerli varlıklarıdır. Ancak bu varlıklar, siber saldırganların da iştahını kabartmaktadır. İstanbul’un teknoloji ve ticaret üssü Kartal ve Anadolu Yakası'ndaki firmalar, SQL Injection, Brute Force veya içeriden sızma yöntemleriyle veritabanı saldırılarına maruz kalmaktadır.

Bir veritabanı saldırısı gerçekleştiğinde, şirket yöneticilerinin aklına gelen ilk soru "Verileri nasıl kurtarırız?" olsa da, hukukçuların sorduğu soru şudur: "Bu krizden en az hasarla ve ceza almadan nasıl çıkarız?" Çünkü 6698 sayılı KVKK ve Türk Ceza Kanunu, veri güvenliğini sağlayamayan şirketlere karşı acımasızdır. Bir Kartal Bilişim Avukatı olarak, veritabanı saldırısı sonrası izlemeniz gereken yasal yol haritasını çiziyoruz.

1. İlk Müdahale: Kriz Anı ve Delillerin Korunması

Saldırı tespit edildiği an yapılan en büyük hata, panikle sunucuları kapatmak veya sisteme format atmaktır. Bu, saldırganın izlerini siler ve sizi hukuken savunmasız bırakır.

• Sistemi İzole Edin: İnternet bağlantısını kesin ama sunucuyu kapatmayın (RAM üzerindeki deliller kaybolabilir).

• Log Kayıtlarını Yedekleyin: Saldırganın IP adresi, hangi saatte girdiği, hangi verileri çektiği (Exfiltration) gibi bilgiler firewall ve sunucu loglarında saklıdır.

• Adli Bilişim (Forensic) İncelemesi: Mahkemede ve KVKK nezdinde kendinizi savunabilmeniz için, bağımsız bir adli bilişim firmasından rapor almalısınız. Bu rapor, "Biz her türlü önlemi aldık ama saldırı çok sofistikeydi" savunmasının temelidir.

2. KVKK Bildirim Zorunluluğu (Kritik 72 Saat)

Hukuki sürecin en can alıcı noktası burasıdır. KVKK 12. madde uyarınca, veri sorumlusu (şirket), kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumu en kısa sürede (72 saat içinde) Kişisel Verileri Koruma Kurulu’na (Kurul) bildirmek zorundadır.

Bildirim Yapılmazsa Ne Olur?

Eğer saldırıyı gizlerseniz ve veriler "Dark Web"de ortaya çıkarsa; Kurul, şirketinize hem veri güvenliğini sağlayamama (teknik eksiklik) hem de bildirim yükümlülüğüne uymama (idari eksiklik) nedeniyle çifte ceza keser. Bu cezalar milyonlarca lirayı bulabilmektedir.

İlgili Kişilere Bildirim

Verileri çalınan müşterilere veya çalışanlara da bildirim yapılmalıdır. Bu bildirimde; "Hangi verileriniz çalındı?", "Olası riskler nelerdir?" ve "Ne gibi önlemler aldık?" soruları şeffafça yanıtlanmalıdır.

3. Cumhuriyet Başsavcılığına Suç Duyurusu

Saldırganların yakalanması ve şirketin "mağdur" sıfatının tescillenmesi için Kartal'daki İstanbul Anadolu Cumhuriyet Başsavcılığı Bilişim Suçları Bürosu'na suç duyurusunda bulunulmalıdır.

Suç duyurusu dilekçesinde şu suçlar vurgulanmalıdır:

• Bilişim Sistemine Girme (TCK 243): Sisteme izinsiz erişim.

• Sistemi Engelleme, Bozma, Verileri Yok Etme veya Değiştirme (TCK 244): Veritabanının silinmesi veya şifrelenmesi.

• Kişisel Verileri Hukuka Aykırı Ele Geçirme (TCK 136): Müşteri datalarının çalınması.

Savcılık başvurusu, ileride müşterilerinizin size açacağı tazminat davalarında "Biz de mağduruz, suçluların peşindeyiz" diyebilmeniz için hayati önem taşır.

4. Hukuki Sorumluluk ve Tazminat Davaları

Veritabanı sızıntısı, şirketinizi müşteriler ve iş ortakları karşısında tazminat yükümlülüğü altına sokar.

Müşteri Davaları

Verisi çalınan kişiler, "Kişisel verilerimi koruyamadınız, dolandırılma riskiyle karşı karşıyayım" diyerek Asliye Hukuk Mahkemesi'nde Manevi Tazminat davası açabilirler.

Şirket Yöneticilerinin Sorumluluğu

Türk Ticaret Kanunu'na göre yönetim kurulu üyeleri, şirketin siber güvenliği için "Basiretli Tacir" gibi davranmak ve gerekli yatırımları yapmak zorundadır. İhmal varsa, şirket ortakları yöneticilere karşı sorumluluk davası açabilir.

5. Yazılım veya Destek Firmasına Rücu Hakkı

Birçok şirket, veritabanı yönetimini veya yazılım hizmetini dışarıdan (Outsource) alır. Eğer saldırı;

• Yazılımdaki basit bir kod hatasından (Örn: SQL Injection açığı bırakılması),

• Sunucunun güncellenmemesinden,

• IT firmasının yedek almayı unutmasından

kaynaklanıyorsa; şirketin ödemek zorunda kaldığı KVKK cezaları ve müşteri tazminatları, kusurlu olan IT/Yazılım firmasına rücu edilebilir (yansıtılabilir). Bunun için IT firmasıyla yapılan sözleşmedeki "Güvenlik Taahhütleri" ve "Cezai Şartlar" incelenmelidir.

Somut Vaka Analizi: E-Ticaret Sitesi SQL Açığı

Olay: Kartal'da faaliyet gösteren bir e-ticaret sitesinin veritabanına, ödeme sayfasındaki bir açıktan faydalanılarak SQL Injection saldırısı yapılmış ve 10.000 müşterinin kredi kartı bilgileri (maskesiz) çalınmıştır. Şirket, saldırıyı 1 hafta boyunca fark etmemiş, fark ettiğinde de "müşteriler kaçmasın" diye gizlemiştir.

Hukuki Sonuç:

1. İfşa: Çalınan kartlar kullanılmaya başlanınca bankalar durumu fark edip KVKK'ya bildirmiştir.

2. Ceza: Kurul, şirketin kredi kartı bilgilerini PCI-DSS standartlarına aykırı olarak "açık metin" (Clear Text) şeklinde sakladığını ve saldırıyı gizlediğini tespit etmiştir. Şirkete üst sınırdan idari para cezası kesilmiştir.

3. Dava: Bankalar, oluşan dolandırıcılık zararlarını şirketten tahsil etmek için dava açmıştır.

4. İflas: Şirket, hem itibar kaybı hem de ağır tazminatlar nedeniyle ticari faaliyetini durdurmak zorunda kalmıştır.

Sıkça Sorulan Sorular

Veriler şifreliydi ama yine de çalındı. Sorumlu muyum? Verilerin şifreli (Kriptolu) saklanması çok güçlü bir hafifletici nedendir. Eğer şifreleme anahtarı çalınmadıysa ve veriler saldırgan için "anlamsız" ise, KVKK ceza kesmeyebilir veya çok düşük keser. Teknik tedbirler hukuki koruma sağlar.

Çalışanım şifresini kaptırdı, saldırı öyle oldu. Ne yapabilirim? Çalışana siber güvenlik eğitimi verdiğinizi ispatlayabilirseniz, şirketin kusuru azalır. Ancak eğitim vermediyseniz, çalışanın hatasından işveren olarak siz sorumlu tutulursunuz.

Saldırgan fidye istiyor, ödersem hukuki sorun olur mu? Fidye ödemek hukuken önerilmez. Ödeme yapmak, saldırıyı finanse etmek anlamına gelebilir ve verilerin geri geleceğinin garantisi yoktur. Ayrıca bu gider muhasebeleştirilemez.

Küçük bir firmayım, benim veritabanıma neden saldırsınlar? Siber saldırganlar genellikle otomatik botlar kullanır ve "açık bulduğu" her sisteme saldırır. Küçük firmaların güvenlik önlemleri daha zayıf olduğu için aslında daha kolay hedeftirler. Hukuki sorumluluk firmanın büyüklüğüne göre değişmez.

Veritabanı saldırısı, sadece bir "hacklenme" olayı değil, şirketin varlığını tehdit eden çok boyutlu bir hukuk krizidir. Teknik ekip yangını söndürmeye çalışırken, hukuk ekibinin de şirketi cezalardan ve davalardan koruyacak kalkanı (KVKK bildirimi, delil tespiti, savcılık süreci) oluşturması gerekir.

Bu süreçte "bekle-gör" politikası uygulamak, şirketin sonunu getirebilir.

Kartal Avukat olarak; saldırı anında kriz yönetimi, Kurul bildirimlerinin hazırlanması, savcılık şikayetleri ve rücu davalarında yanınızdayız. Verilerinizi ve şirketinizi korumak için bizimle iletişime geçebilirsiniz.

Kartal Bilişim Avukatı