T.C. POLİS AKADEMİSİ GÜVENLİK BİLİMLERİ ENSTİTÜSÜ ULUSLARARASI GÜVENLİK ANABİLİM DALI SİBER SUÇLAR VE TÜRKİYE’NİN ULUSAL POLİTİKASI YÜKSEK LİSANS TEZİ Polatkan AKDAĞ Danışman Doç. Dr. Mehmet ÖZCAN Ankara – 2009 T.C. POLİS AKADEMİSİ BAŞKANLIĞI GÜVENLİK BİLİMLERİ ENSTİTÜSÜ MÜDÜRLÜĞÜNE Yüksek lisans tezi olarak sunduğum bu çalışmayı bilimsel ahlak ve geleneklere aykırı düşecek bir yol ve yardıma başvurmaksızın yazdığımı, yararlandığım eserlerin kaynakçada gösterilenlerden oluştuğunu, bunlardan her seferinde yollama yaparak yararlandığımı belirtir; bunu şerefimle beyan ederim. Enstitü veya başka herhangi bir mercii tarafından belli bir zamana bağlı kalmaksızın, tezimle ilgili bu beyana aykırı bir durumun tespit edilmesi durumunda, ortaya çıkacak tüm ahlaki ve hukuki sonuçlara katlanacağımı bildiririm. 25/08/2009 Polatkan AKDAĞ ÖZET AKDAĞ, Polatkan, (2009), Siber Suçlar ve Türkiye’nin Ulusal Politikası, Yüksek Lisans Tezi, Danışman: Doç. Dr. Mehmet ÖZCAN, 209 sayfa. Bilgi toplumu olabilmenin önemini kavramış ülkelerin, başta ekonomik olmak üzere pek çok bakımdan diğer ülkelerin ötesinde bir güç olma yolunda ilerlemekte olduğu, yaşanmakta olan bilgi savaşları ve siber espiyonaj faaliyetlerinden anlaşılmaktadır. Devlet veya özel sektör eliyle yürütülen kritik alt yapı sistemleri giderek bilişim teknolojilerine bağımlı hale gelmektedir. Sağlıktan ekonomiye, savunma sistemlerinden yaşamsal kaynaklara kadar pek çok alanın, internet üzerinden kontrol edilmeye başlanmasıyla birlikte, suçlular tarafından bilişim sektörüne doğru yoğun bir eğilim başlamıştır. Organize suç şebekeleri ve terörist organizasyonlarda en az devletler kadar bilişime önem vermektedirler. Özellikle 11 Eylül saldırılarının ardından fiziksel anlamda alınan savunma tedbirleri, terörizm ideolojisi ile hareket eden profesyonel düşmanları siber alana yönlendirmektedir. Siber terör eylemi diyebileceğimiz türden bir saldırı gerçek anlamda henüz gerçekleşmemişse de, terör eylemlerini destekleyen bir unsur olarak siber suç olaylarının yaşandığı, kaleme alınan raporlardan anlaşılmaktadır. Bilişim alanında etik bilince sahip bilgi toplumu hedefini sürdüren ve teknolojik imkanları vatandaşlarına hizmet olarak sunmaya çalışan ülkemizde, siber saldırı durumlarına karşı cevap verebilecek profesyonel kurumların yokluğu bir sorun olarak karşımızda durmaktadır. Saldırılara cevap vermeden öte, yapılabilecek saldırılara karşı önleyici tedbirler alma konusunda da sıkıntılar yaşanmaktadır. Özgürlükler ve bireysel mahremiyet arasındaki dengeyi koruyabilecek politikaların hayata geçirilmesi ise terörle mücadele anlayışının içinde kabul edilmelidir. Uluslararası organizasyonların belirledikleri çerçevelerin ve tavsiyelerin tüm ulusların yararına düşünülmesi ve ortak kararların alınması, sınır ve coğrafi engel tanımayan siber suçlulara yönelik atılabilecek en büyük adımdır. Anahtar Kelimeler: Siber Suçlar, Bilgi Savaşları, Terör, Espiyonaj, Politika i ABSTRACT AKDAĞ, Polatkan, (2009), Cyber Crimes and National Policy of Turkey, MA Dissertation, Supervisor: Assoc. Prof. Dr. Mehmet Özcan, 209 pages. It emerges from the contemporary information wars and cyber intelligence efforts that the countries, which have realized the importance of transformation into information societies, are on their way to becoming a power beyond the remaining ones on many aspects. The critical infrastructure systems, whether maintained by the states or private corporations, are becoming more dependant on information technologies. As many fields, from health to economy or from defense systems to vital resources management, are being controlled via internet, the criminals are intensively inclined in information sector. The organized crime networks and terrorist organizations are committed to informatics as much as the states. Especially, the physical measures taken after the 9/11 terrorist attacks direct the professional enemies, motivated by terrorism ideology, towards cyber space. Even not a single attack, which can be regarded as a cyber attack, was recorded; some special reports make it clear that some cyber crimes in support for the terrorist attacks have been carried out. In our country, that has the ambition to create an information society with ethical consciousness and tries to satisfy the technological needs of her citizens, nonexistence of a professional institution which should respond cyber attacks, is an urgent problem. Further than responding the attacks, there are some problems in taking preventive measures. The implementation of the policies which should maintain the balance between the liberties and the individual privacy should be handled in counter terrorism policies. The adoption of joint resolutions and respecting the interests of every nation in international agencies will be the most important step in countering cyber crimes. Keywords: Cyber Crimes, Information Wars, Terrorism, Espionage, Policy ii İÇİNDEKİLER Sayfa ÖZET ……………………………………………………………………….. I ABSTRACT …………………………………………………………….…... II İÇİNDEKİLER …………………………………………………………….. III KISALTMALAR …………………………………………………………... VI TABLOLAR ……………………………………………………………….. IX ŞEKİLLER …………………………………………………………………. X GİRİŞ ………………………………………………………………….……. 1 BİRİNCİ BÖLÜM BİLİŞİM SUÇLARI VE İNTERNET 1.1. BİLİŞİM SUÇU KAVRAMI ……………………………………….. 1.2. BİLİŞİM SUÇLARININ VE SUÇLA BAĞLANTILI İNTERNET FENOMENİNİN GELİŞİMİ ..…..…………………………………. 4 11 1.2.1. İnternet Kullanımındaki Artış ve Siber Suçlar Arasındaki Bağlantı ……………………………………………………………… 15 1.2.1.1. Global İnternet Kültürünün Gelişimi …………............... 15 1.2.1.2. İnternet Suçlarının Gelişimi ……………………….......... 22 1.2.2. Türkiye’de Bilişim Suçları ve İnternetin Gelişimi …………. 36 1.2.2.1. Ülkemizde ve Çevre Ülkelerde İnternetin Gelişimi ........... 36 1.2.2.2. Siber Suç Olgusunun Türkiye’deki Durumu …………... 44 İKİNCİ BÖLÜM BİLİŞİM SUÇLARININ SINIFLANDIRILMASI 2.1. BİLİŞİM SUÇLARININ ÇEŞİTLERİ …………………………….. 54 2.1.1. Çıkar Amaçlı Bilişim Suçları …...…………………………… 57 2.1.1.1. Çıkar Amaçlı Bilişim Suçlarında Kullanılan Yöntemler .. 59 2.1.1.1.1. Çöpe Dalma …………………………………………. 59 2.1.1.1.2. Gizli İzleme …………………………………………. 59 2.1.1.1.3. Veri Hırsızlığı ve Dolandırıcılığı …………….……... 60 2.1.1.1.4. Bukalemun ………………………………….………. 62 iii 2.1.1.1.5. Salam Tekniği ………………….…………………… 62 2.1.1.1.6. Zararlı Yazılımlar ……..…………………….………. 62 2.1.1.1.7. Phishing Yöntemi ……………..…………………….. 64 2.1.1.1.8. Key Logger ve Screen Logger …………………........ 66 2.1.1.1.9. TOR …………………………………………………. 67 2.1.2. Siyasi Amaçlı Bilişim Suçları ..……………………………… 67 2.1.2.1. Siber Espiyonaj …………………………………..................... 67 2.1.2.2. ECHELON ……………………………………………….. 75 2.1.2.3. PROMIS ………………………………………………….. 83 2.1.3. Siber Savaş …………………………………………....................... 84 2.1.4. Siber Terörizm ………………………………………….......... 87 2.1.5. Organize Siber Suç Örgütleri, Siber Teröristler ve Hackerler Arasındaki İlişki …...……………………………………. 2.2. 111 SİBER SUÇLARLA MÜCADELEDE KARŞILAŞILAN ZORLUKLAR VE ÇÖZÜM ÖNERİLERİ ……………………...... 124 ÜÇÜNCÜ BÖLÜM TÜRKİYE ULUSAL BİLİŞİM POLİTİKASI 3.1. TÜRKİYE’DE BİLİŞİM POLİTİKASI ………………………….. 132 3.1.1. Ulusal Bilişim Politikasının Tarihi Gelişimi ve Mevcut Durum …...…………………………………………………………... 135 3.1.1.1. Bilim-Teknoloji-Sanayi Politikaları Çalışma Grubu……. 139 3.1.1.2. TUENA Projesi …………………………………………... 140 3.1.1.3. Dokuzuncu Ulaştırma Şurası Haberleşme Komisyonu … 140 3.1.1.4. Yedinci Beş Yıllık Kalkınma Planı ……………………… 141 3.1.1.5. Sekizinci Beş Yıllık Kalkınma Planı ……………………. 141 3.1.1.6. Türkiye Bilişim Şurası …………………………………… 141 3.1.1.7. e – Avrupa+ Hareket Planı ve e – Türkiye Çalışmaları … 144 3.1.1.8. Vizyon 2023: Bilim ve Teknoloji Stratejileri ……………. 145 3.1.1.9. Dokuzuncu Beş Yıllık Kalkınma Planı Stratejisi ……….. 146 3.1.2. Ulusal Bilişim Politikasında Yaşanan Temel Sorunlar …...... 148 3.1.3. Ulusal Bilişim Politikasının Analizi …..................................... 153 iv DÖRDÜNCÜ BÖLÜM ULUSLARARASI ALANDA BİLİŞİM SUÇLARI 4.1. ULUSLARARASI SİSTEMDE BİLİŞİM SUÇLARININ HUKUKİ DURUMU ………………………………………………... 159 4.1.1. Avrupa Konseyi Tarafından Yapılan Bilişim Suçları ile İlgili Çalışmalar …............................................................................... 162 4.1.1.1. Avrupa Siber Suç Sözleşmesi ……………………………. 162 4.1.1.2. Bilişim Sistemleri Aracılığı İle İşlenen Irkçı ve Yabancı Düşmanı Eylemlerinin Suç Haline Getirilmesi için Avrupa Siber Suç Sözleşmesi’ne Ek Protokol ………………………….................... 164 4.1.1.3. Avrupa Konseyi Terörizmin Önlenmesi Sözleşmesi ……... 165 4.1.1.4. Avrupa Konseyi Siber Suç Sözleşmesi ve Türk Hukukunda Bilişim Suçları …………………………………………. 165 4.1.2. Avrupa Birliği Tarafından Yapılan Bilişim Suçları ile İlgili Çalışmalar …........................................................................................ 171 4.1.2.1. Avrupa Birliği Politikaları ve Türkiye’nin Uyumu …...…. 173 4.1.3. O.E.C.D Ülkeleri Bilişim Teknolojileri Politikası .................. 175 4.1.3.1. Bilgi Sistemleri Güvenliğine İlişkin OECD Rehber İlkeleri ve Türkiye Bilişim Sistemleri Güvenliği Politikası …...……. 177 4.1.3.1.1. Bilinç …………………………………………………. 177 4.1.3.1.2. Sorumluluk …..……………………………………….. 178 4.1.3.1.3. Tepki ………………………………………………….. 179 4.1.3.1.4. Etik …..……………………………………………….. 179 4.1.3.1.5. Demokrasi ……………………………………………. 180 4.1.3.1.6. Risk Değerlendirmesi ………………………………… 180 4.1.3.1.7. Güvenlik Tasarımı ve Uygulama ……………………. 181 4.1.3.1.8. Güvenlik Yönetimi …………………………………... 181 4.1.3.1.9. Yeniden Değerlendirme ……………………………... 181 SONUÇ ……………………………………………………………………... 183 KAYNAKÇA ……………………………………………………………….. 190 v KISALTMALAR AB ABD ACLU ADL AİHM AİHS AK AKBK AP ARBİS : : : : : : : : : : ARPANET : ASIO : ASN.1 : ASSS : ATM : BM : BSD : BT : BTPD : BTSTP : BTYK : CCRC : CERT/CC: CIA : CM/Rec : CNRS : COMINT : CSI : CSS : CTIW : CTO : DARPA : DDoS : DEA : D.G.K. : DHS : DNS : DoD : DoS : DPT : ECTA : EDT : EGM : ENIAC : EPA : EPTC : FAPSI : Avrupa Birliği Amerika Birleşik Devletleri American Civil Liberties Union Anti-Defamation League Avrupa İnsan Hakları Mahkemesi Avrupa İnsan Hakları Sözleşmesi Avrupa Konseyi Avrupa Konseyi Bakanlar Komitesi Avrupa Parlamentosu Araştırmacı Bilgi Sistemi Advanced Research Projects Administration Network Australian Security Intelligence Organization Avrupa Suç Sorunları Komitesi Avrupa Siber Suç Sözleşmesi Automated Teller Machine Birleşmiş Milletler Berkeley Software Distribution Bilişim Teknolojisi Bilim ve Teknoloji Politikası Dairesi Başkanlığı Bilim-Teknoloji-Sanayi Tartışmaları Platformu Bilim ve Teknoloji Yüksek Kurulu Computer Crime Research Center Computer Emergency Readiness Team/Coordination Center Central Intelligence Agency Committee of Ministers Recommendation Centre National de la Recherche Scientifique Communication Intelligence Computer Security Institute Central Security Service The Center on Terrorism and Irregular Warfare Chief Technical Officer Amerikan Defense Advanced Research Projects Agency Distributed Denial of Service U.S Drug Enforcement Agency Dünyanın Geri Kalanı Department of Homeland Security Domain Name System Department of Defence Denial of Service Devlet Planlama Teşkilatı European Competitive Telecommunications Association Electronic Disturbance Theater Emniyet Genel Müdürlüğü Elektronik Sayısal Doğrulayıcı ve Bilgisayar Environmental Protection Agency European Parliament Temporary Committee Federalnoe Agenstvo Pravitelstvennoi Svyazi i Informatsii vi FARC FBI FED FISA FSB GAO GCHQ GIMF GPS GSM GSMH GSYİH GTISC HP IDS IP IRC ISACs IT ITU IWS IXPs İDB KGB KOM KOMDB LAN ODTÜ OJEU MIT MoD MSIR MSRT NAPs NASA NATO NCFTA NCSD NIPC NIPRNet NNSA NSA NSF NSFNET NWC OECD OJEU P2P PDA : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : The Revolutionary Armed Forces of Colombia Federal Bureau of Investigation Federal Reserve Bank Foreign Intelligence Surveillance Act Federal Güvenlik Teşkilatı Government Accountability Office Government Communications Headquarters Global Islamic Media Front Global Positioning System Global System for Mobile Communications Gayri Safi Milli Hasıla Gayri Safi Yurt İçi Hasıla Georgia Tech Information Security Center Helwett Peckard Intrusion Detection System Internet Protocol Internet Relay Chat Information Sharing and Analysis Centers Information Technology International Telecommunications Union Internet World Stats Internet Exchange Points İnternet Daire Başkanlığı Sovyet Gizli Haber Alma Teşkilatı Kaçakçılık ve Organize Suçlarla Mücadele Kaçakçılık ve Organize Suçlarla Mücadele Daire Başkanlığı Local Area Network Orta Doğu Teknik Üniversitesi Official Journal of the European Union Massachusetts Institute of Technology Ministry of Defence Microsoft Security Intelligence Report Microsoft Malicious Software Removal Tool Network Access Points National Aeronautics and Space Administration North Atlantic Treaty Organization Ulusal Siber Adli Bilişim ve Eğitim Birliği National Cyber Security Division US National Infrastructure Protection Center Non - secure Internet Protocol Router Network National Nuclear Security Administration National Security Agency National Science Foundation National Science Foundation Network Naval War Collage Organisation for Economic Co-operation and Development Official Journal of the European Union Peer to Peer Personal Digital Assistant vii PRISM : PROMIS : RBN : SANS : SIGINT : SNMP : STE : STK : TARABİS : TBTP : TCK : TCP/IP : TDK : T.D.K : TİB : TraCCC : TUENA : TUTCS : TÜBA : TÜBİTAK : t.y. UKUSA USCB USSS UYAP v.d. VoIP WANK WANs WIPO WTO WWW : : : : : : : : : : : : Project for the Research of Islamist Movements Prosecutor’s Managemen Information System Russian Business Network SysAdmin, Audit, Network, Security Signal Intelligence Simple Network Management Protocol Syrian Telecom Establishment Sivil Toplum Kuruluşu TÜBİTAK Ulusal Araştırma Altyapısı Bilgi Sistemi Telekomünikasyon ve Bilişim Teknolojileri Politikası Türk Ceza Kanunu Tranmission Control Protocol/Internet Protocol Türk Dil Kurumu Toplam Dünya Kullanıcıları Telekomünikasyon İletişim Başkanlığı Transnational Crime and Corruption Center Türkiye Ulusal Enformasyon Altyapısı Ana Planı Projesi Terrorism, Unconventional Threats and Capabilities Subcommittee Türkiye Bilimler Akademisi Türkiye Bilimsel ve Teknolojik Araştırmalar Kurumu Tarihi Yok UK – USA, United Kingdom, United States of America United States Census Bureau The United States Sigint System Ulusal Yargı Ağı Projesi ve diğerleri Voice over Internet Protokol Worms Against Nuclear Killers Wide Area Networks Dünya Fikri Mülkiyet Hakları Kuruluşu Dünya Ticaret Örgütü World Wide Web viii TABLOLAR Sayfa Tablo 1 : Dünyadaki İnternet Kullanıcıları ve Nüfus İstatistiği 16 Tablo 2 : WEB'te Kullanılan İlk On Dil (2000 – 2008) 17 Tablo 3 : Avrupa’nın En Çok İnternet Kullanan 10 Ülkesi (Aralık 2007) 18 Tablo 4 : Avrupa’nın En Çok İnternet Kullanan 10 Ülkesi (Haziran 2008) 19 Tablo 5 : Zararlı Aktivite İçinde Bulunan İlk On Ülke Sıralaması (2007) 31 Tablo 6 : En Yüksek İnternet Kullanıcı Nüfusuna Sahip Yirmi Ülke 37 Tablo 7 : En Yüksek İnternet Kullanıcı Nüfusuna Sahip Yirmi Ülke (2007) 38 Tablo 8 : Yıllara Göre Türkiye’de İnternet Kullanıcıları İstatistiği Tablo 9 : En Yüksek İnternet Kullanıcı Nüfusuna Sahip Yirmi Ülke (2008) 40 Tablo 10: Bulgaristan İnternet Kullanıcı Nüfusu (2000 – 2008) 41 Tablo 11: Ermenistan İnternet Kullanıcı Nüfusu (2000 – 2008) 41 Tablo 12: Irak İnternet Kullanıcı Nüfusu (2000 – 2008) 42 Tablo 13: İran İnternet Kullanıcı Nüfusu (2000 – 2008) 42 Tablo 14: İsrail İnternet Kullanıcı Nüfusu (2000 – 2008) 43 Tablo 15: Suriye İnternet Kullanıcı Nüfusu (2000 – 2008) 43 Tablo 16: 1998 – 2001 Yılları Arasında İşlenen Bilişim Suçlarına Karışan 39 Kişilere Ait Durum İstatistiği 45 Tablo 17: İnternet Daire Başkanlığı İhbar İstatistiği 23.11.07 – 01.11.08 46 Tablo 18: İnternet Daire Başkanlığı İhbar İstatistiği (09.02.09) 47 Tablo 19: İnternet Daire Başkanlığı Katalog Suç İhbar İstatistiği (09.02.09) 47 Tablo 20: İhbarlara Yönelik Yapılan Re’sen ve Yargısal İşlemler (09.02.09) 48 Tablo 21: KOMDB Türkiye Bilişim Suçları İstatistiği (2005 – 2007) 49 Tablo 22: KOMDB Türkiye Bilişim Suçları İstatistiği (2006 – 2008) 51 Tablo 23: Bilişim Suçları Olay Sayısına Göre İlk On İl 52 Tablo 24: IXP siteleri ile NSA’ın İnternet İletişim İstihbarat (Comint) Erişimi Tablo 25: Avrupa Birliği’nde En Çok İnternet Kullanan İlk On Ülke 75 171 ix ŞEKİLLER Sayfa Şekil 1: 2008’in Birinci Yarısında Tespit Edilen Ülkesel/Bölgesel Zararlı Yazılım Dağılımı 33 Şekil 2: Echelon Elektronik İzleme Sistemi 79 Şekil 3: Ülkemizin 6. Çerçeve Planı’ndaki Başarı Durumu 156 Şekil 4: Organizasyon Tiplerine Göre AB Çerçeve Programı’na Katılım 157 Şekil 5: Desteklenen Projelere Göre Organizasyonların Etkinlik 157 x GİRİŞ Tarihsel olarak, yerleşik toplum düzeninden sanayi toplumuna evirilen insanoğlu, artık kendine yeni bir yön belirleyerek bilgi toplumu olma yolunda ilerlemektedir. Fakat bunu yaparken, geçmişe bakıldığında çok daha hızlı bir evrimden söz etmek mümkündür. Bilindiği gibi son yirmi yıl içerisinde muazzam bir gelişme kaydeden bilişim teknolojilerinin, bugün önümüze sunduğu yeni gelecek anlayışı pek çok yönden yararları olan bir olgudur fakat genelden ziyade istisnalar içinde yeni bir kapı açtığı muhakkaktır. 1950’li yıllarda icat edilen transistorün ardından geliştirilen mikro işlemciler, yarı iletken bellekler ve lazer teknolojisi, günümüzde kullanıma sunulan kişisel bilgisayarların temelini oluşturmaktadır. İşte o yıllarda geliştirilen bu teknolojiler şimdilerde ifade edilen bilgi toplumunun kaynağını oluşturmaktadır. Sanayi toplumundan bilgi veya sanayi ötesi topluma geçiş aşamasında da belli sıkıntıların yaşanıyor olması kaçınılmazdır (Ceyhun ve Çağlayan, 1997: 2 – 3). Sınırları tek bir tıklamayla ve herhangi bir belgeye gerek duymadan saniyelerden daha kısa bir sürede aşan/kaldıran pek çok teknolojiden farklı olarak bilişim teknolojileri bireyleri interaktif bir karar verici haline de getirmiştir. Sınırlar arası bir olgunun bireylere vereceği zararın ise yalnızca ulusal mevzuatlarla giderilmesi ve zararın sorumlusunun sadece ulusal yasalarla takibi elbette mümkün değildir. Teknolojilerin sağladığı imkânları suç olgusu ile birleştiren suçluların ise adalete teslimi ortak ve birbiriyle uyumlu yasalarla mümkündür. Bilişim suçları ile ilgili olarak, ülkeler tarafından atılan pek çok olumlu adımın birbirinden bağımsız ve farklı uygulamalara dönüşmesi bu olumlu gelişmeleri gölgelemektedir. Küresel ve tarihi bir tehdit olarak algılanan terörizmin bile tanımı yapılmamışken, bilişim teknolojileri gibi yeni bir fenomenin düzenlenmesinde, sınırlandırılmasında ve takibinde ortak bir tanımlamaya geçilememesi normal gözükmektedir. Ülkelere göre değişen güvenlik ve suç algılamaları, ortak konsensüslerin hazırlanması ve nihayetinde yaşama geçirilmesi önünde duran en büyük engeldir. Bu engelin ise bir anda ve tamamen pürüzsüz bir şekilde ortadan kaldırılması rasyonel bir düşünce değildir. Liberal düşünce akımına göre işbirlikleri, 1 hem çatışma ortamını ortadan kaldırmakta, hem de ülkelerin kazan – kazan politikaları geliştirmelerinde lokomotif görevi görmektedirler. İnternet ortamı üzerinden bomba yapımı bilgilerin verilmesi, çocuk ve kadınların cinsel istismar görüntülerinin yayınlanması veya uyuşturucu trafiğinin bile internet üzerinden takip edilip yönetilmesi, şüphesiz bir denetim mekanizmasının varlığını gerekli kılmaktadır. Bu mekanizmanın tam olarak kendini ifade edebilmesi ise uluslararası bir işbirliği gerektirir. Kişisel özgürlüklerin korunduğu fakat kanunsuzluğun engellendiği bir sistem ise ideali temsil eder. Bunu başarmak ise uygun politikaların hazırlanıp yürürlüğe girmesi, toplumda bir bilincin oluşması ve kamunun tek başına inisiyatif sahibi olmamasına bağlıdır. Türkiye ile Avrupa Birliği (AB) arasında uzun yıllar tam üyelik müzakereleri için yürütülen diplomasi çalışmalarının bir meyvesi olarak, 3 Ekim 2005 günü Lüksemburg’da toplanan AB Hükümetlerarası Konferansı’nda alınan kararla müzakerelerin başlamasına onay verilmiştir. Bilgi toplumu projeleri bağlamında, toplumun unsurlarından biri olarak kabul edilen iletişimin, bilişim teknolojileri politikaları ile birlikte anılması tesadüfî bir olgu değildir. AB’nin temel amaçları içerisinde olan bilişim toplumunun oluşturulması ve şekillendirilmesi çalışmaları, temel politikalara yansıdığı gibi, bilişim teknolojileri politikalarının şekillendirilmesi hedefleriyle de desteklenmektedir. Bilişim sektörünün özgür (rekabetçi), güvenli ve gelişmelere açık bir şekilde oluşturulması kapsamında, teknolojinin daha hızlı ve ucuz hale getirilmesi çalışmaları bir alt yapı ve alt yapının desteklenmesi politikalarının gerekliliğine işaret eder. Ülkemizde ise durum, bu politikaların oluşturulmasında, yani sorunun çözümünün başında bir sorun olarak karşımıza çıkmaktadır. Dolayısı ile sorun strateji ve politika oluşturmakta değil, oluşturulan bu strateji ve politikaların uygulanabilirliği ile uygulama iradesindeki isteksizliktedir. Bu çalışma, AB’nin Kopenhag Kriterleri’nin önemli bir ayağı olan AB Müktesebatının 35 maddesinden biri olan Telekomünikasyon ve Bilişim Teknolojileri Politikası’nın (TBTP) Türkiye için önemi ve gelinen aşamada yaşanan problemlerle bu problemlerin aşılması konusunda çözüm aramak amacıyla kendinden sonraki çalışmalar için bir dayanak teşkil etmesi düşüncesiyle yapılmıştır. Çalışmada, ulusal mevzuatımızın hem işbirliklerine açık, hem de güncel kalmasını 2 sağlayacak politikaların oluşturulması kapsamında değerlendirilmesine yardımcı olmak amacıyla öneriler getirilmiştir. Siber suçluların ve siber teröristlerin yakın zamanda eylemlerini ciddiye almamızı sağlayacak gelişmelere değinilecektir. Türkiye’nin tarafı olmadığı sözleşmeler ve üyesi olmadığı örgütlerden ötürü, Türkiye ulusal bilişim politikası belirli bir alan içerisinde değerlendirilmiştir. Çalışmanın birinci bölümünde; bilişim suçları ve internet arasındaki ilişkiye, ikinci bölümünde; bilişim suçlarının çeşitlerine, üçüncü bölümde; Türkiye’nin ulusal bilişim politikasına, son bölümde ise; uluslararası alanda bilişim suçlarının durumuna değinilmiştir. 3 BİRİNCİ BÖLÜM BİLİŞİM SUÇLARI VE İNTERNET 1.1. BİLİŞİM SUÇU KAVRAMI Suç kavramını insanlık tarihiyle bir bütün halinde düşünmek gerekirse, sayısız çeşidi bulunan bir olgudan bahsetmemiz gerekir. En anlaşılır ve basit haliyle suç, toplumsal düzen içerisinde oluşturulmuş kanunların yasakladığı ve yapıldığında cezai bir müeyyidesinin olduğu her türden davranış olarak tarif edilebilir. Tarihin köklerinden gelmesi sebebiyle pek çok suç türünden bahsetmek olasıdır. Günümüz dünyasında ise özellikle kişisel bilgisayarların gelişmesi ve sayılarında ki artış ile orantılı olarak karmaşıklaşan bir iletişim ağı sistemi bulunmaktadır. İnsan hayatını kolaylaştıran yönlerine paralel olarak, bu iletişim ağı üzerinde artan bir suç potansiyelinden de bahsetmek mümkündür. Bilişim suçu kavramına geçmeden önce bilişimin tanımını yapmak gerekmektedir. Günümüzde hemen hemen her ortamda karşılaştığımız ve kullandığımız bilgi teknolojilerinin köklerinde var olan bilişim; insanoğlunun teknik, ekonomik ve toplumsal alanlardaki iletişiminde kullandığı ve bilimin dayanağı olan bilginin özellikle elektronik makineler aracılığıyla düzenli ve akla uygun bir biçimde işlenmesi bilimi olarak tanımlanmaktadır (TDK, 2008). Parker ise bilişim suçunu, fail tarafından kasıtlı bir şekilde çıkar elde etmek amacıyla, bilgisayar veya bilgisayar teknolojisi kullanma olarak tanımlar (Parker, 1980: 338). Aydın’a göre ise bilişim suçu, bilişim sistemlerine karşı işlenen suçlar ve bilişim sistemleri ile işlenen suçlar olarak ikiye ayrılır (Aydın, 1992: 27). Her bir tanımlama kendi içinde doğrulara işaret etmektedir, fakat önemli olan ve unutulan nokta bilişim suçlarında güvenlik zafiyetleri konusudur. Suç işlemeyi kafasına koyan bir fail için güvenliğin zaafları birinci derecede önemlidir bununla birlikte, suçtan zarar gören mağdurlarda suçu bildirme konusunda bir iştahsızlık mevcuttur. Çoğu zaman fail tarafından ufak bir tatmin için bile saatlerce zaman harcanırken, suça konu mağdur için üzerinde 4 fazlaca düşünülecek bir durum yoktur, keza mağdur için suçun tespiti de, ispatı da zordur. Bilişim suçu ise pek çok dilde, farklı isimler altında ifade edilebilmektedir. Bilgisayar destekli suçlar (Computer assisted Crimes), Bilgisayara karşı işlenen suçlar (Crimes against Computer), Bilgisayar bağlantılı suçlar (Computer related Crimes), Bilgisayar Ağları ile ilgili suçlar (Computer Networks related Crimes), Bilgisayar suçları (Computer Crimes – Computerkriminalitat – la Fraude Informatique), IT Crimes (Information Technologies – Bilgi Teknolojileri Suçları), Cyber Crimes (Siber Suçlar), Crimes of Network (Ağ Suçları) ve Bilişim suçluluğu (la Criminalita Informatica) verilebilecek pek çok örnekten birkaçıdır (Pocar, 2004: 27 – 37). Günümüzde, Avrupa Ekonomik Topluluğu Uzmanlar Komisyonunun Paris toplantısında (Mayıs 1983) ortaya koyduğu bilişim suçu tanımı, genel geçerliliği en kabul edilebilir tanım olarak görünmektedir. Bu tanımlamada bilişim suçları, sistem içinde bilgileri otomatik işleme tabi tutan veya verilerin nakline yarayan her türlü işlemi ahlaki ve kanuni olmayan, bununla birlikte yetki aşımı veya yetki tecavüzü ile gerçekleştirilen davranış olarak tarif edilmektedir (Kurt, 2005: 50). Ülkemizde ise bilişim suçları, çeşitli yazarlar tarafından yukarda ki örneklere benzer ifadeler ile dile getirilmekteyse de hukuki olarak 26.9.2004 tarihinde kabul edilen 5237 sayılı Türk Ceza Kanununun (TCK) İkinci Kitap üst başlığı, Özel Hükümler ön başlığı altında, Birinci Kısım (Uluslararası Suçlar) Onuncu Bölüm – Bilişim Alanında Suçlar alt başlığı altında düzenlenmiştir (243–244–245–246.ncı maddeler). Ayrıca yine TCK’nın Birinci Kitap, Onuncu Bölüm’ü (Malvarlığına Karşı Suçlar) içerisinde Nitelikli Hırsızlık alt başlığı altında 142.nci Maddenin ikinci fıkrasının e bendinde “Bilişim sistemlerinin kullanılması suretiyle” ve Nitelikli Dolandırıcılık alt başlığı altında 158.inci Maddenin birinci fıkrasının f bendinde “Bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması suretiyle” ifadeleri kullanılarak bilişim terimine atıfta bulunulmuştur. Kanun koyucunun yeni ceza kanununda altını çizmek istediği, bilişim teknolojileri ile işlenebilecek her suçun doğasında diğer suç türleriyle aynı olduğudur. Mal varlığına yönelik suçlar gibi, şahsa karşı işlenebilecek (adam 5 öldürmeye azmettirme suçu gibi) suçlarında bilişim teknolojileri vasıtası ile işlenebilirliği mümkündür. Önder de bu yönde görüş bildirirken kendine göre bir bilişim suçu tarifi yapmıştır. Yazara göre bilişim suçu, kanunlara aykırı, ahlaki bakımdan kabul edilmeyen veya haksız davranışların otomatik bilgi işleyen sistem ile işlenmiş olmasını kapsamalıdır (Önder, 1994: 504). Bilişim suçunu, bilgisayarı da içine alan fakat daha kapsamlı olarak bilişim araçları ile veya bilişim araçlarına karşı işlenen suçlar olarak tanımlamak mümkündür (Ersoy, 1994: 151; Yazıcıoğlu, 1997: 142). Bu tanımlamaya ek olarak bilişim suçlarının devlete ve kamu düzenine karşı işlenebilirliğinden de bahsedebiliriz (Yazıcıoğlu, 2001: 69). Günümüzde belli başlı suçları bilişim teknolojileri ile işlenebilir ve işlenemez olarak ayırmak, gelecekte yaşanması muhtemel hukuki sıkıntılara neden olacaktır (Yücel, 1992: 505). Tüm bunların yanında ülkemizde bilişim suçlarının fikir birliğine varılmış net bir tanımlaması bulunmamaktadır (Yazıcıoğlu, 1997: 141). İnsan zekâsının sınırlarının çizilemediği göz önünde bulundurulduğunda, kötü niyetli zekânın bilişim teknolojileri yoluyla bize gelecekte ne tür suçları armağan edeceğini düşünmek için kâhin olmaya gerek yoktur. İleriki bir zaman diliminde, yeni suç türleri ve bambaşka suçlu profilleri kendini ortaya koyacaktır, fakat bu konuda şimdiden bir genelleme yapmak zor görünmektedir (Kurt, 2005: 51). Nitekim 22.03.2008 tarihinde ABD merkezli Epilepsi Vakfı'nın forum sitesine daha önce Scientology tarikatına karşı başlattığı kampanyayla adını duyuran Anonymous adlı grup tarafından bir siber saldırı başlatılmıştır. Gönderilen hareketli, yanıp sönen, parlak renkli, ışık ve görsel unsurlar barındıran mesajlar, siteden bilgi edinen, tecrübe ve tavsiyelerini paylaşan epilepsi hastalarının migren ağrıları çekmesine ve epilepsi krizine girmesine neden olmuştur. Sıradan insanların etkilenmeyeceği bu mesajlardan etkilenen epilepsi hastalarının yaşadıkları bu kötü tecrübe aslında hukuk dünyasını yakından ilgilendiren örnek bir olaydır. Sistemin araç insan hayatının ise amaç olarak hedef alındığı bu saldırı, epilepsi hastalarında kalıcı hasarlar bırakabileceği gibi, yaşamlarına dahi son verebilecek türdendir (Radikal, 2008). Bilişim suçlarına yönelik bu düşünce yaklaşımına, farklı yazarlardan farklı eleştiriler ve yaklaşımlar geliştirilmiştir. Kimi düşünürler bilişim suçu kapsamı içinde bilgisayarın net bir şekilde var olması gerekliliğine inanmaktadır. Bu 6 yaklaşımda bilişim suçunun aracı da amacı da bilgisayardır. Ayrıca klasik suç kavramı bilgisayarla işlendiği takdirde, bilişim suçu olmaktadır (Aydın, 1993: 75). Diğer bir düşünce akımına göre, bilişim suçları yalnızca mal varlığına yönelik suçları kapsamaktadır. İşlenen elektronik verilerin sistem içinde depolanması, depolanan bu verilerin kasıtlı olarak ele geçirilmesi ile meydana gelen ihlaller ve sonuçta malvarlığı bilgilerinin edinilmesi, kullanılması ve maniple edilmesi bilişim suçunun konusunu oluşturmaktadır (Akbulut, 2000: 550; Yücel, 1992: 505). Sieber’e göre bilişim suçu, mülkiyet hakkının bilişim sistemleri ile tecavüze uğradığı durumları ifade eder. Yazara göre mülkiyet hakkı ihlali ana unsurdur ve mülkiyete ait elektronik verilerin muhatap olduğu her türden işlem (değiştirme, tahrip etme, yetki dışı kullanma ve yararlanma) suçun işleniş biçimiyle alakalıdır (Aydın, 1992: 32 – 33). Bir diğer ayrım, bilişim suçu tanımlamasında kendini, faili irdeleyerek gösterir. Öncelikle suçu işleyenin yani failin, temel ya da yüksek seviyede bilgisayar bilgisine sahip olması gerekmektedir (Akbulut, 2000: 550; Yücel, 1992: 506). Yazıcıoğlu bilişim suçunun, mesleki suçlar kapsamında değerlendirildiğine de değinmektedir (Yazıcıoğlu, 1997: 98). Fakat bu değerlendirme günümüzde genel geçer özelliğini yitirmiştir. Geçmişte belli kurumların kullandığı bilgisayar ağı bağlantısı artık global bir hal almış, kurumlar vatandaşın hizmetine sunmak adına kendilerini e – leştirmiştir. Yani geçmişte bilişim suçu kurumsal bir olguyken ve kurum içi personel tarafından işlenebilir bir düzeydeyken, günümüzde kurumlar dünyanın bilmediğimiz bir adasından bile bilişim saldırısı mağduru olabilmektedirler. Bilişim suçları ayrıca farklı yazarlar tarafından değerlendirmede araç olarak düşünülen suçlar kapsamındadır. Bu görüşe göre; fail tarafından bilişim teknolojilerini kullanma bir araç olabilir bununla birlikte hedefteki detay bilişim içeriği olabileceği (her türden veri) gibi kişinin vücut bütünlüğüne yönelik bir eylemde olabilmektedir. Keza araç olarak kullanılan sistem, fiber optik kablolar ile biçimlendirilmiş siber bir dünyayı anlatırken, amaç gerçek kişi veya tüzel kişilere ait bir takım fiziksel nesne veya bizzat can güvenliğine yönelmiş durumdadır. Güdülenmiş birey için evinde otururken, havada gezinen radyo dalgaları aracılığı ile elde edilebilecek kişisel verilerin paraya çevrilmesi imkansız bir tablo değildir. İnternet üzerinden ise kişisel bilgilerin para karşılığı pazarlandığını söylemek, artık karşımızdaki insanları şaşırtmamaktadır. 2007 yılında Symantec firması tarafından 7 dünya çapında hazırlanan İnternet Güvenliği Tehdit Raporuna göre, saldırıların % 68’i kişisel bilgileri elde etme amacı taşımaktadır. Bu saldırı tipinde faillerin elde edilen bilgileri pazarlaması ve ticaretini yapması, yer alt ekonomisine bir canlılık getirmektedir. Elbette her ekonomik durumda olduğu gibi arz ve talep dengeleri, bilgi fiyatlarının belirlenmesinde büyük etken olmaktadır. Sağlık hizmeti veren bir kuruma yapılacak siber ataklar, hastalık sebebiyle orada bulunan insanların can güvenliğine yönelik bir saldırı olabilme özelliğini barındırmaktadır. Farklı hastaların tahlil bilgilerinin veya tahlil değerlerinin değiştirilmesi olası bir saldırının sonucu olabilir. Amaç her ne olursa olsun neticede araç olarak bilişim teknolojileri kullanılmıştır. Bilişim suçunun amaç olarak düşünülmesi ise kişisel bilgisayarların bir ağ üzerinden birbirlerine bağlanabilmesi ile oluşan sistemi iyi anlayabilmemizle bağlantılıdır. Bir devlet kurumunda birbirine bahsettiğimiz ağlar ile bağlanan yüzlerce bilgisayar olduğunu varsayarak örneklemimizi kuralım. Bu bilgisayar ağı, kurumdaki günlük işlerin işleyişi, vatandaşa verilen hizmetin yerine getirilmesi, kurumlar arası yazışmaların yapılması ve hizmette verimliliğin devamı için oluşturulmuş bir yapıdır. Doğal olarak sistemde yaşanan bir sorun, yukarıda bahsedilen tüm işlemlere yansıyacak, sistem sorunu vatandaşa verilen hizmetten, kurum içi ve dışı faaliyetlere uzanan bir problemler zincirinin doğmasına sebep olacaktır. Neticede fail hedef amaç olarak kendine sistemi seçtiğinde ortaya yine bir suç çıkacaktır. Kamu veya özel olsun faaliyet gösteren, hizmet veren bir sistemin yine sistem aracılığı ile işleyemez hale getirilmesi bir suçun varlığını göstermektedir. Örneklemimizi Ulusal Yargı Ağı Projesi (UYAP) gibi gerçek bir sisteme uyarladığımızda, sistemin sekteye uğraması ile oluşacak kaosu ve milli mali zararı düşünelim. Amaç sistemin işlemez hale getirilmesi, araçsa sistemin ta kendisidir. Netice itibariyle sistemin çökmesiyle oluşabilecek zarar sonucu ifade eder. Burada daha çok altı çizilmek istenen konu, suçu işleyecek kişinin güdülenmesinin ne yönde olduğu ile alakalıdır. Kast edilen hareket her halükarda sistem ise kullanılan araçta sistemin kendisi olacaktır. Elbette bilişim ve bilişim teknolojileri dendiğinde akla ilk gelen bilgisayar kavramıdır. Günümüzde kullandığımız el bilgisayarları, masa üstü bilgisayarlar ve 8 diz üstü bilgisayarların atası olarak kabul edilen ilk bilgisayar yine ABD’de Savunma Bakanlığı’nın yetki ve sorumluluğunda geliştirilmiştir. İlk bilgisayar özelliği taşıyan bu cihaza verilen isim ise ENIAC’tır. Elektronik Sayısal Doğrulayıcı ve Bilgisayar olarak kullanıma sokulan bu cihazın boyutları ise devasa bir görünüm arz etmekteydi. Yaklaşık olarak otuz ton ağırlığında, 167 m2 ebadında ve 150 Kw güç harcayan bu cihazı gözümüzün önüne getirdiğimizde, 1943 yılından günümüze nelerin değiştiğini daha iyi anlayabiliriz (Taşçı ve Mutlu, 1992: 25 – 30; Dülger, 2004: 56). Esasen bilişim teknolojilerinde yaşanan günlük gelişmeler neticesi her an yeni bir suç türüyle karşılaşmak olasıdır. Bilgi toplumunun ve suçluluğun akışkanlığı ve insan zekâsının bir sonucu olarak, bilişim suçu kavramıyla ilgili genel kabul edilmiş bir tanım bulunmamaktadır. Ülkeler bilişim suçlarını ya ayrı bir bölüm içerisinde tasnif etmekte ya da mevcut suç türlerinin içerisinde dijital ortam ibaresi gibi çeşitli ibareler koyarak durumu açıklamaya çalışmaktadırlar. Bilişim suçu genel anlamıyla bilgisayar suçu olarak da ifade edilmektedir. Fakat ceza hukukunda suçun işlendiği suç aletinin suçun adını oluşturması düşünülemez kaldı ki bilişim suçları kapsamında pos makineleri, ATM (Automated Teller Machine) cihazları ve cep telefonları da suçun konusu alet olabilmektedir. Basit ev aletlerinin bile bilişim suçunun konusu olabilecek birer eşya haline geldiğini görebiliyoruz. Bilinen bu örneklerin yanında internet aracılığı ile bağlantı kurarak istenilen müziği download eden müzik çalarların, yemek tarifi araştıran ve size öneride bulunan buzdolaplarının, kendini yine internet üzerinden sisteme bağlayarak veri alıp güncelleyen uydu alıcılarının hayatımıza girdiğini unutmamalıyız (Doğan, 2000: 119). Bu araçlar üzerinden saldırıya maruz kalmamak hayal olmamakla birlikte, bu tür saldırılara karşı tedbirlerin alınması ve ileride hukuk düzleminde kendine yer bulması çok uçuk önermeler olmayacaktır. Bahsedilen bu yeni teknolojik gelişmeler hukuksal açıdan bakıldığında, bilişim suçlarını sadece bilgisayarla işlenmesi mümkün suçlar olmaktan çıkarmaktadır. Örneğin Alman doktrininde kullanılan Computerkriminalitat yani bilgisayar suçluluğu terimi, eleştirilen bir hukuki terimdir (Tiedemann, 1975: 331; Önder, 1994: 504). Günümüzde hemen hemen devrelerle oluşturulmuş her cihaz, bilişim suçuna konu bir alet olabilme özelliğini 9 taşıyabilmektedir. Testereyle işlenilmiş bir cinayet olayının, testere cinayeti olarak isimlendirilmesi ne kadar yanlışsa, bilişim suçlarını sadece kullanılan cihazın ismine atıfta bulunarak ifade etmekte o kadar yanlıştır, doğal olarak bilgisayar suçu/suçluluğu terimi dönemin şartlarını karşılamaktan uzaktır (Dursun, 1998: 339). Bilişim suçlarında fail sayısı bir veya daha fazla olabilir, bunun yanında suçtan zarar gören mağdur sayısı da birden fazla olabilmektedir. Bilişim sistemleriyle ilgili kötü kullanımlar neticesi faili belli olan ya da olmayan, fakat mutlak özel ya da tüzel manada bir mağduru olan veyahut kamuoyunda bir infial uyandıran her türden eylem bilişim suçudur. Burada bilişim sistemi bir araç ya da hedefi temsil edebilmektedir. Yani bilişim suçu kapsam itibariyle insan hayatını, beyaz yaka suçlarını ve veri tabanlı her türlü kötü amaçlı ve kasti kullanımı içermektedir. Burada vurgulanacak nokta ise elektronik ortam içinde gerçekleşen bir suçun var olmasıdır. Terör ve organize suç hareketlerinin, cinsel istismar ve organ kaçakçılığı gibi insan ticaretine dayalı suçların ayrıca dolandırıcılık gibi adi suç türlerinin bile günümüzde bir ağ üzerinden kendisine faaliyet imkânı bulduğunu düşündüğümüzde, aslında fiziki hayatın sanal hayata yani 0 ve 1 sayı kodlarından 1 oluşan bir dünyaya aktığını, evrimleştiğini ve daha komplike bir hal aldığını söyleyebiliriz. Kolluk kuvvetlerinin suçlulara ve suç gruplarına karşı yürüttüğü teknik takibe dayalı projeli çalışmalarda ise suç işlemeyi planlayan kişiler tarafından daha fazla gizliliğe ve arkada delil bırakmamaya özen gösterilmesinden kaynaklı sıkıntıların yaşandığı göze çarpmaktadır. Bu sıkıntılara; a) Minimum riskle kolay kazanç yolunun açık olmasını, b) İlgili kanun maddelerinin yeni bir alan olan bilişimde yetersiz veya eksik kalmasını, c) Kolluk kuvvetleri kadar suç işlemeyi amaç edinen kişilerinde teknolojiyi yakından takip ettiği ve kullanışlı bir araç olarak amaçları doğrultusunda maniple ettiklerini, 1 Bilgisayarın işleyişinde temel olan elektrik sinyalinin varlığı (1) sayısı ile ifade edilirken, elektrik sinyalinin yokluğu (0) sayısı ile ifade edilir. 10 d) Saldırıların gerçek yaşamda işlenen türlerinden daha ağır maddi ve manevi sonuçlar doğurduğunu, e) Hedef olarak finansal şirketlerin ve kamu kurumlarının seçilmesiyle birlikte, bahse konu kuruluşlarca prestij kaybı olacağı düşüncesiyle saldırıya maruz kalınan konuyla ilgili açıkların açıklanmamasını, f) Bu sebeple fail ya da faillerin kendilerine daha fazla güven duymalarını (Demirbaş, 2005: 266), g) Faillerin bilgili ve genç bir kesimi oluşturduğunu, alanda çalışan kişilerle yapılan mülakatlardan öğrenilen kadarıyla ekleyebiliriz (Kurt, 2005: 55 – 61). Kötü amaçlı kişi veya grupların bilişim teknolojilerini yeni bir kapı olarak görmelerinin altında ise farklı çıkar hesapları vardır. Teknolojinin hızlı gelişimi ve takibinin zor olması, klasik suç türlerinden içerik ve işleniş şekli bakımından farklılıklar arz etmesi, mağdurun mağduriyetini çok geç fark etmesi veya hiç fark edememesi, mağdur sayısının birden fazla olabilme ve belirlenememe özelliği, failin veya faillerin belirlenmesinde yaşanan zorluklar, bu suç türüyle mücadele edebilecek seviyede personelin olmayışı veya uygun personelin siber suçlarla mücadele biriminde istihdam edilmemesi, suç saikıyla hareket eden kişileri motive ederken, mağdurları ise suçun aydınlatılması yönünde müracaat etmemeye teşvik etmektedir. Bu sebepler ışığında, siber suç kapsamında pek çok olay ya faili meçhul olarak kalmakta yada hiç yaşanmamış gibi addedilerek bir kenara bırakılmaktadır. 1.2. BİLİŞİM SUÇLARININ VE SUÇLA BAĞLANTILI İNTERNET FENOMENİNİN GELİŞİMİ Bilişim suçlarının gelişimi, bilgisayar teknolojilerinin ve internet kullanımının gelişimiyle paralel bir seyir izlemektedir, suç potansiyelinin artması, suçlu profillerinin derinleşmesi bu konuda kanuni bazı açılımların yapılmasını gerekli kılmaktadır ve kanun yapıcıların bu konu üzerinde çalışma yaptıkları bilinmektedir (Dülger, 2004: 59). Geçen yüzyılda insanoğlunun keşfettiği bilgisayarları ve elektronik eşyaları birbirine bağlama fikri bizlere hem görsel, hem işitsel hem de interaktif bir haberleşme, bilgi alma ve verme, araştırma, para kazanma, alışveriş 11 yapmayla birlikte para harcama imkânı vermiştir (Demirbaş, 2005: 264). Bu düşünce aslında yeni bir dönemin işaretidir ve sanayi çağı yerini bilişim çağına bırakmıştır. Yeni bir çağ dememizin sebebi ise toplumda meydana gelen köklü değişimler ve ekonomik alandaki etkileşimdir. Sınırların olmadığı ve bilginin özgürce paylaşıldığı bu yenidünya düzeninde bilişim önemli bir yer ihtiva eder. Birbiriyle etkileşime geçen milyonlar yeni bir toplumun da temellerini atmışlardır ki bu toplum içinde yeni ırklar, yeni diller, yeni bir kültür ve bilinçaltı arzular su yüzüne çıkmaya başlamıştır. Bizim siber toplum dediğimiz gerçek insanların arasında gerçek olmayan, bir gölge gibi dolaşan siber suçlularda, işledikleri siber suçlarda gün geçtikçe çoğalmakta ve şekil değiştirmektedir (Yazıcıoğlu, 1997: 50 – 51). Bilişimin tarifinde hemen ilk akla gelen internetin ülkemizde kullanıma sokulması 1990’ın ilk yıllarına rastlar. 1969 yılında Amerikan Defense Advanced Research Projects Agency (DARPA) Rusların Nükleer saldırı tehdidine karşı, bilgisayar ağının bir parçası yok olursa kalan kısımlar iletişime devam edebilsin diye merkezi bir kontrol olmadan bilgisayarların birbirleriyle haberleşebileceği bir network geliştirmeye karar verdiler. Bu amaçla 1960’ın sonlarına doğru Pentagon tarafından soğuk savaş döneminde termonükleer bir saldırıdan korunmak amacıyla geliştirilen ve internetin ilk hali olan ARPANET 2 (Advanced Research Projects Administration Network), devre anahtarlamalı sistemler gibi iki nokta arasındaki iletişimi değil fakat paket anahtarlamalı bir sistem olarak iletişimi birden fazla nokta arasında sağlayabiliyordu, geliştirildi. Birden fazla nokta arasında bağımsız bir iletişim ise 1970'lerin ortalarına doğru geliştirilen TCP/IP (Tranmission Control Protocol/Internet Protocol) protokolü sayesinde olmuştur. TCP/IP ucuza mağledilebilen ve sistem kaynaklarını daha iyi kullanabilen bir protokol olması sebebiyle büyük ilgi görmüştür. 1983 yılında ise ilk olarak Berkeley Software Distribution (BSD) tarafından UNIX (release 4.2)'e eklendi ve çok kısa zamanda diğer bütün UNIX'lerde de kullanılmaya başlandı ardından da günümüze kadar ulaştı (Anonymous, 2002: 97–110). 1980’li yılların ortasında Amerikan Ulusal Bilim Kuruluşu (National Science Foundation) tarafından devralınan ARPANET isim değişikliğiyle NSFNET adını alarak sivil bir hüviyete kavuşmuştur. ABD’de 2 Savunma Bakanlığı ile üniversiteler arasında bilgi alış verişinin yapılması amacıyla dizayn edilmiştir. 12 geliştirilen diğer sivil ve ticaret ağları da NSFNET’ e bağlanarak, günümüzde internet denen olgunun temelini oluşturmuşlardır. 1993 yılında TUBİTAK ve ODTÜ ortak projesiyle, kullanıma sunulan internetin ülkemize gelmeden önce yirmi dört yıldır yürürlükte olması ve esasında bilimsel bir amaca hizmet etmesi amacıyla devşirilmesi kamuyu bu konuda bir politika üretmekten gecikmelide olsa alıkoymuştur. Daha sonraki yıllarda kişisel bilgisayar sahipliğinin artması ve dış dünyaya olan ilginin varlığı insanları internete daha da bağımlı hale getirir olmuştur. O yıllarda kimileri için bilgi, kimileri için oyun, kimileri içinse yeni bir sektör olarak tanımlanan internet hızla yaygınlaşmış ve hayatımızın hemen tüm alanına sirayet etmiştir. Durumu günümüz koşullarında incelersek, internet jeostratejik ya da jeopolitik bir sınır tanımadan, ekonomik ya da sosyal herhangi bir konuda insanlara sınırsız bilgi sunan ve kendisini ifade etmek isteyen insanları özgür kılan yeni bir medeniyetin ta kendisidir. Bu medeniyetin henüz evrensel bir kontrol mekanizması yoktur, bununla beraber bir hukuk alanı oluşturma çabası da henüz, ancak havayı elle tutmaya yakın bir düzeydedir. Bilgisayar ağlarının çoğalmaya başladığı 1990’lı yıllara kadar genellikle meydana gelen suçlar kurum içinde yaşanan kötü kullanımlar olarak kendini göstermiştir. Çünkü 1990 öncesinde iş yeri ve kurumlarda çalışan bilgisayar ve bilişim uzmanı kişiler sayılı insanlardı, ayrıca bilişim sistemlerine giriş yetkisine sahip insanlarda yine aynı kişilerdi. Bilindiği gibi birbiriyle bağlantılı ağ yapısından yoksun sistemlerde saldırı ve tecavüzler yine kurum veya iş yeri personeli tarafından yapılıyordu (Kovacich, 1999: 10 – 13). Fakat ilerleyen zamanda çok hızlı bir şekilde gelişen teknolojik devrime paralel olarak, bilişim suçlularının hem sayısında hem de uzmanlık seviyesinde, bilişim suçunda ise hem suç çeşidinde, hem de işleniş şeklinde büyük bir artış yaşanmaktadır. İnternetin ilk zamanlarında, pozitif düşünceler barış ve zenginlik ön planda iken insanlar zamanla internetin, protestocuların, teröristlerin ve savaş çığırtkanlarının elinde bir oyuncak olduğunu gördüler. Devlet destekli ve hükümet dışı aktörler internet silahlarını kendi geleneksel cephanelerinin yanına koydular. Global anlamda yaşanan en büyük sorunun, siber hırsızlar tarafından çalınan kimlik bilgileri ve birikimler olduğu günümüzde, internet saflığını kaybetmiş durumdadır. 13 1980’lerde ortaya çıkan ilk siber saldırı silahları protestocular tarafından oluşturulmuştur. Hackerlar dünya barışı için, o yıllarda en bilinen örneği ile NASA bilgisayarlarına WANK (Worms Against Nuclear Killers – Nükleer Katillere Karşı Kurtlar) kurtçuğu ile saldırmış ve protestolarını bu şekilde göstermişlerdir. 1989’da gerçekleştirilen bu saldırı ile aynı anda nükleer karşıtı göstericiler, Galileo Uzay aracının fırlatılmasını protesto ediyorlardı. Göstericiler uzay aracının fırlatılmasını durduramamışlardır ama NASA bilgisayarlarına bulaştırılan virüs bir ay boyunca bilgisayarların etkilenmesine sebep olmuştur. Uzay ajansı zaman ve kaynak kaybının yarım milyar dolar civarında bir maliyeti olduğunu düşünmektedir. 1990’larda dijital çağın dijital protestoları da şekil değiştirmiş, Web siteleri siyasi ve sosyal amaçlı mesajlarla ara yüzleri değiştirilerek veya ilgili sitelere DoS saldırıları düzenlenerek erişim engellenmiştir. Saldırılar çoğunlukla bireysel olarak düzenlenmekteyse de, bazen bireylerin ve ufak grupların oluşturduğu platformların da saldırılara katıldığı bilinmektedir. New York City temelli Electronic Disturbance Theater (EDT) bu tür web forumlarına sponsorluk eden online bir forum portalıdır. EDT’ nin 1990’larda yaptıkları ilk eylemler, Meksika hükümetine karşı Zapatistaların başlattığı savaşı destekleme türü eylemlerdi fakat zaman içinde saldırılar farklı amaçlarla düzenlenmeye başlandı. Örneğin 2008’de başlatılan web temelli eylemler, Irak Savaşı’na ve diğer tüm savaşlara neden olduğu düşünülen nano – teknoloji ve bio – teknoloji firmalarıydı (Denning, 2008). Doğaldır ki, iletişimin sınır tanımadığı internet ortamından faydalanan kişiler, bilgi alış verişi ile kendilerini yetiştirmekte, farklı taktik ve saldırı modellerini paylaşıp tartışmakta kısaca kendilerini güncel tutmaya çalışmaktadırlar. Genel olarak 15 – 21 yaş arası saldırıları bloke edilebilir olarak değerlendirilen grup, genel hack bilgisini internetten indirdiği hacking tools dediğimiz saldırı programları ile birleştirmekte, çoğu gerçek yaşamda hiçbir suç eylemine karışmamış fakat sanal alemde bir suç makinesi olma yarışı içinde olan kesimi oluşturur. Bununla birlikte farklı ülkelerden, farklı dillerden fakat birlikte çalışarak siyasi olarak motive olmuş ve büyük cirolarla çalışan ticari firmalara saldıran, küresel ticari ilişkilere karşı bir hacker grubu vardır. 14 Son olarak yaşları 15 – 35 arasında değişen kendini oldukça geliştirmiş, insanların kişisel bilgilerini onlar fark etmeden kendi bilgi depolarına aktaran, insanların kredi kartı bilgileri gibi önemli bilgilerine hiç fark edilmeden sızabilen çoğunlukla erkek şahısların oluşturduğu bir profesyonel grup vardır (Australian Crime Commission, 2004: 6 – 7). Öyle ki Newbe dediğimiz henüz öğrenme aşamasında olan bir hacker bile internet ortamından elde ettiği dokümanlar ve çeşitli saldırı programları ile suç işleme gayreti içine girmekte, zararsız gibi gözükse de ciddi maddi ve manevi zararlar verebilmektedir (Wilt, 1998: 4 – 11). 1.2.1. İnternet Kullanımındaki Artış ve Siber Suçlar Arasındaki Bağlantı 1.2.1.1.Global İnternet Kültürünün Gelişimi Hızla gelişen internet bağlantıları ve kullanıcı sayısındaki artış, yukarıda değindiğimiz üzere suç oranlarında büyük bir patlamaya sebep olmuştur. Global sektörün ekonomik açıdan sanal boyut kazanması, suç işleme arzusu ile dolup taşan newbe, lamer ve hackerların iştahını kabartmıştır. Teknolojik gelişmeler, internet kullanımı açısından fiyat kırma sonucunu doğurduğundan sanal ortamda artan oranda bir nüfus patlaması yaşanmıştır. Orta Doğu ülkeleri her ne kadar Avustralya’dan sonra en az internet kullanıcısı oranına sahip konumdaysa da, 2000 – 2008 yılları arasında internet kullanımında muazzam bir atılım yapmışlardır. Kullanıcı sayısı itibari ile % 1,176.8’lik bir artış oranıyla, internet alt yapısına yapılan yatırımın ne düzeyde olduğu konusunda bize bir fikir vermektedir. Özellikle Arap yarımadasında ki dünyaya açılma arzusu ve dış ticaret potansiyeli bu artışın ana sebebini oluşturmaktadır. 15 Tablo 1: Dünyadaki İnternet Kullanıcıları ve Nüfus İstatistiği 3 İnternet Kıtalar 2008 Tahmini Kullanıcı Nüfus Sayısı (31.11.2000) İnternet Kullanımı (30.06.2008) İnternet Kullanımının Nüfusa Oranı % İnternet Kullanımının Dünyaya Oranı % Kullanımdaki Artış (2000–2008) % Afrika 955.206.348 4.514.400 51.065.630 5.3 3.5 1,031.2 Asya 3.776.181.949 114.304.000 578.538.257 15.3 39.5 406.1 Avrupa 800.401.065 105.096.093 384.633.765 48.1 26.3 266.0 Orta Doğu 197.090.443 3.284.800 41.939.200 21.3 2.9 1,176.8 K.Amerika 337.167.248 108.096.800 248.241.969 73.6 17.0 129.6 G.Amerika 576.091.673 18.068.919 139.009.209 24.1 9.5 669.3 Avustralya 33.981.562 7.620.480 20.204.331 59.5 1.4 165.1 6.676.120.288 360.985.492 1.463.632.361 21.9 100.0 305.5 Dünya Toplam Ortadoğu’da bir istisna olarak İsrail, zaten 2008 yılı içinde internet kullanım yüzdesi olarak belirli bir noktaya gelmiştir. % 70’e yakın bir internet kullanıcı oranı ile Orta Doğu coğrafyasında bu konuda, aslında pek çok bakımdan her konuda, üstünlüğü elinde bulundurmaktadır. Dünya coğrafyasına genel bir bakış attığımızda ilk göze çarpan yalnızca Orta Doğu’da yükselen internet kullanım oranı değildir, bununla birlikte Afrika Kıtasında da büyük bir sıçrama meydana geldiği söylenebilir. 2000 yılında internet kullanıcısı sayısı 4,5 milyon civarında olan bu yaşlı kıtanın sekiz yılda kat ettiği yol gerçekten dudak ısırtan cinstendir. 2000 – 2008 yılları arasında internet kullanıcı oranı 11 kattan daha fazla artış gösteren Afrika’da günümüz itibari ile elli milyonun üstünde bir internet kullanıcısı bulunmaktadır. Dünyanın yaklaşık % 22’sinin internet kullandığını düşündüğümüzde aslında sayısal değerlerin önümüzdeki yıllarda ne denli bir değişim geçireceğini kestirmek zor görünmektedir. Fakat şu bir gerçektir ki, 2000 – 2008 yılları arasında dünya çapında internet kullanımı oranı % 305,5’dir ve bu oranın daha yavaş bir seyir halinde artacağını tahmin etmek zor değildir. İnternet kullanım oranı dünya genelinde yukarıda gösterildiği gibi bir dağılım sergilerken, incelenmesi gereken diğer bir veri de global manada en çok hangi dilin 3 www.internetworldstat.com/eu/tr.htm 16 kullanıldığıdır. Tahmin edildiği gibi internet ortamında da İngilizce en çok tercih edilen dildir fakat nüfus yoğunluğu bakımından Çincede internette kullanım yönünden tercih edilen ikinci dil olarak göze çarpmaktadır. Türkçenin ilk on sıralamasında yerini alamaması ise kullanımda yoğun fakat üretimde düşük kalmamamızla açıklanabilir. Bunun en büyük sebebi ise bilgi teknolojileri konusunda uzman personelin yada eğitimli kişilerin sayısındaki yetersizliktir. Eğitim sistemiyle de alakalı olan bu konunun detayına üçüncü bölümde yani ulusal bilgi toplumu politikamızın incelenmesi kısmında değinilecektir. Tablo 2: WEB'te Kullanılan İlk On Dil (2000 – 2008) 4 Dile Göre Tüm İnternet Diller Kullanıcılarına Oranı % Kullanan Kişi Sayısı İnternet Nüfuz Oranı % İnternette Kullanılan Kişi Sayısına Dillerdeki Artış Göre En Çok Oranı Konuşulan İlk (2000–2008) On Dil (2008) % İngilizce 29.4 430.802.172 21.1 203.5 2.039.114.892 Çince 18.9 276.216.713 20.2 755.1 1.365.053.177 İspanyolca 8.5 124.714.378 27.6 405.3 451.910.690 Japonca 6.4 94.000.000 73.8 99.7 127.288.419 Fransızca 4.7 68.152.447 16.6 458.7 410.498.144 Almanca 4.2 61.213.160 63.5 121.0 96.402.649 Portekizce 4.1 59.853.630 16.8 2,063.7 357.271.398 Arapça 4.0 58.180.960 24.3 668.0 239.646.701 Korece 2.4 34.820.000 47.9 82.9 72.711.933 İtalyanca 2.4 34.708.144 59.7 162.9 58.175.843 İlk On Dil 84.9 1.242.661.604 23.8 278.3 5.218.073.846 Diğer Diller 15.1 220.970.757 15.2 580.4 1.458.046.442 Dünya Genel 100 1.463.632.361 21.9 305.5 6.676.120.288 Avrupa ülkeleri nezdinde de internet kullanımının yaygınlaştığı yayınlanan veriler ışığında gözlemlenmekteyse de daha detaylı inceleme yine araştırmanın ikinci bölümünde yapılacaktır. Bu noktada kısaca bahsetmek istediğimiz nokta, Avrupa’nın doğusunda bulunan ülkelerde, özellikle eski doğu bloğu ülkelerinde internet 4 www.internetworldstats.com/me/sy.htm 17 kullanımının giderek yaygınlaşması konusudur. ECTA (The European Competitive Telecommunications Association) tarafından yapılan araştırmada Avrupa ülkeleri içerisinde 2000–2007 yılları arasında internet kullanımı artışının en çok yaşandığı ülkeler Arnavutluk, Bosna, Belarus, Moldova, Ukrayna, Makedonya, Faroe Adaları, Rusya, Romanya ve Türkiye’dir (Ectaportal, 2009). Hatta bir sonraki bölümde detaylandıracağımız üzere Türkiye internet kullanımı ve bilişim teknolojilerine yapılan alt yapı yatırımlarının ne derece yüksek bir ivme içinde olduğunu görmekteyiz. Tablo 3: Avrupa’nın En Çok İnternet Kullanan 10 Ülkesi (Aralık 2007) 5 2007 yılı içinde yapılan araştırmada Türkiye Avrupa ülkeleri arasında internet kullanan nüfus bakımından ilk onda yedinci sırayı alırken, 2008 yılında İspanya’yı geçerek bir üst sıraya yani altıncılığa yükselmiştir. Avrupa ülkelerinde internet kullanıcılarının nüfusa etki oranı oldukça yüksektir. Örneğin 2007 yılı itibari ile dünya genelinde nüfusa oranı bakımından ilk kırk ülkenin yirmi ikisi Avrupa ülkesidir. Bu ülkeler; Norveç (% 88), Hollanda (% 87,8), İzlanda (% 85,4), Portekiz (% 73,1), Lüksemburg (% 70,6), İsveç (% 77,3), Faroe Adaları (% 71,6), İsviçre (% 69,2), Danimarka (% 68,8), İngiltere (% 66,4), Almanya (% 64,6), Liechtenstein (% 5 www.internetworldstats.com/stats4.htm 18 6,2), Slovenya (% 63,7), Finlandiya (% 62,7), Monako (% 61,2), Estonya (% 57,8), İtalya (% 57), Avusturya (% 56,7), İspanya (% 56,5), Belarus (% 56,3), Fransa (% 54,7) ve Belçika (% 52,8)’dır. Bununla birlikte Avrupa ülkelerinden San Marino (% 52) ve İrlanda (% 50,1) yüksek sayılabilecek bir yüzde dilimiyle, kendilerine ilk 45 ülke arasında yer bulmuştur (IWS, 2008). Tablo 4: Avrupa’nın En Çok İnternet Kullanan 10 Ülkesi (Haziran 2008) 6 Yukarıda incelediğimiz tabloda istatistikî bilgilerden de anlaşılacağı gibi, Türkiye dışında Avrupa ülkelerinden hiç biri, bir sene içerisinde internet kullanıcısı bakımından yüksek bir sıçrama oranına erişememiştir. Örneğin Almanya 2007’ye göre yaklaşık bir milyon kişi daha az internet kullanıcısı nüfusuna sahip duruma düşmüştür. Yani kullanıcı bakımından Almanya geçen seneye nazaran daha az nüfusa sahip durumdadır. Bunun sebebini Almanya’nın yaşlı sayılabilecek nüfus dağılımına bağlayabiliriz. İngiltere’de dünyanın genel seyrine uygun olarak internet kullanıcısı yönünden yaklaşık olarak 1,5 milyon kişi artış göstermiştir. Fransa’da yaklaşık bir milyon, İtalya’da yine yaklaşık olarak bir milyon, Rusya’da yaklaşık üç milyon, İspanya’da yaklaşık olarak 2,5 milyon, Polonya’da 2 milyon, Hollanda’da yarım milyonluk bir internet kullanıcısı artışı olmuşken, Türkiye de durum oldukça farklıdır. 6 www.internetworldstats.com/stats4.htm. 19 Bir sene içerisinde, 10,5 milyon kişinin internet kullananlar arasına geçişi Avrupa ülkeleri arasında Türkiye’yi farklı bir noktaya taşımıştır. Bununla birlikte Romanya’nın yükselişi de kayda değer bir bilgidir. 2007 yılında ilk onda bulunmayan Romanya, 2008 yılında son sırada da olsa kendine ilk onda yer bulabilmiş, böylece Portekiz’i listenin dışına itmiştir. İlerleyen süreçte Avrupa ilk on sıralamasında çok daha farklı bir listeyle karşılaşacağımız açıktır. Hollanda’nın listenin dışında kalacağı nüfus yönünden daha kalabalık ülkelerin zamanla listeye girecekleri, özellikle eski demir perde ülkelerinde bu yükselişin bir süre aniden, ardından yavaş yavaş olacağı düşüncesindeyiz. Siber suç genel olarak internetle ilişkilendirilse de, bilginin elde edilmesi bazen küçük ve taşınabilir sanal belleklerle de mümkündür. Bilgiyi yasadışı yollarla elde etmenin yanı sıra, bilgisayara ve oradan hareketle sisteme zarar verme türü eylemlerde bu ufak flash belleklerle gerçekleştirilebilir. Teknoloji piyasasında kapasitesi 128 GB’ta kadar ulaşabilen taşınabilir flash bellek bulmak mümkündür. 7 Kaldı ki çok daha gelişmiş olanların, sadece yukarıda ve genel olarak eserin tamamında bahsedilen sebepler yüzünden endüstriyel savaş veren firmalar ve şirketler tarafından üretilip kullanılması muhtemeldir. Siber suç, genel olarak teknolojiye ilgi duyan ve teknoloji konusunda kendini yetiştirmiş kişiler tarafından gerçekleştirilen, genellikle bu çevre içerisinde popülarite sağlamak için, daha ziyade internet ağı üzerinde hacking olarak bilinen eylemlerdir. Fakat siber alemde yeni bir trend hız kazanmaktadır ve bu yönelişle birlikte suçlular ve uzman dediğimiz profesyoneller daha özel amaçlarla kendilerine hedef belirlemekte ve internet üzerinde gerçekleştirdikleri siber saldırılarla kendilerine fayda sağlamaktadır. 7 USB bellek aygıtı, “USB flaş sürücü (USB hafıza ünitesi), USB 1.1 veya 2.0 arayüzü ile entegre edilmiş, kapasiteleri 128 GB'a kadar ulaşabilen, küçük, hafif, çalışma esnasında sökülüp takılabilir NAND-tipinde flaş belleklerdir. Neredeyse USB veriyolunu destekleyen tüm sistemler tarafından kullanılabilir. USB flaş bellekler aynı zamanda flaş sürücü, flaş disk adları ile de bilinmektedir. Flaş sürücüler sadece bilgisayarın USB girişine takılı olduğu sürece çalışır durumdadırlar ve harici güç kaynağı veya pil gücüne ihtiyaç duymazlar. Ve her türlü bilgi saklanabilir. USB flaş bellekler saklayabildikleri veri miktarına göre çeşitlendirilirler. Örneğin 128 MB, 256 MB, 512 MB, 1 GB, 2GB, 4 GB, 8 GB, 16 GB, 32 GB, 64 GB, 128 GB boyutlarında USB flaş bellekler vardır.” Kaynak: http://tr.wikipedia.org/wiki/USB_bellek_ayg%C4%B1t%C4%B1 (Erişim: 14.03.2008). 20 Bu amaçlarla motive olmuş siber suçlular kimi zaman bir örgüt gibi hareket etmekte, kimi zamansa para için yeteneklerini siber suçlar vasıtası ile sergilemektedirler. Bazı durumlarda sadece bilgi – para veya bilgiyi bozma, yok etme – para alışverişi olurken, müşteri ile müşterisi için suç işleyen yetenekli suçlu birbirlerini dahi görmemektedir. Siber suçlara karşı alınan yargısal tedbirlere rağmen, coğrafi imkânları maksimum düzeyde kullanan suçlular, ülkeler arası koordinasyonun sağlanmamasından çokça faydalanmaktadır. Bilgi konusunda zafiyeti olmayan siber suçlular, bazen öyle ağ bağlantıları kullanır ki, suç yeri konum itibari ile henüz siber suçlara karşı bir yasa çıkartmamıştır. Siber suç kapsamında suçun cezalandırılmadığı, cezalandırmadan da öte siber suçun tanımının yapılmadığı ülkeler mevcuttur. Tüm bunların yanında suçlular için imkan bitmez. Örneği siber bir saldırı için gerekli programlar internette para ile satılmakta ya da ücretsiz olarak meraklıların hizmetine sunulmaktadır. Programın yapımcısından, daha önce nerelerde kullanıldığına, programın kullanımının görsel izahatından yardımcı program ya da programcıklara kadar her şey internette mevcuttur. Oldukça organize olarak, kendi aralarında bir hiyerarşi benimseyerek eylemelerini gerçekleştiren ve gerçekleştirdikleri eylemleri web siteleri üzerinden tanıtan, paylaşan gruplar mevcuttur. Dini değerleri veya milli duyguları da istismar eden organize örgütler olduğu gibi, yalnızca çıkar aramacıyla bir araya gelmiş örgütlerde bulunmaktadır. Örgüt eleman kazanma amacıyla yeni mezun, yetenekli bilişim uzmanları ve bilgisayar mühendislerinin peşindedir. Ülkemizde bu konuda yetişen gençlerin kendilerine iş bulamama sebebiyle bu tür suç organizasyonlarının içine girmesi kuvvetle muhtemeldir. Kendilerine en yüksek faydayı getirecek hedefleri tespit eden suç örgütlerinin, yetenekli yandaşlar toplama isteği pek tabi normaldir. Belirlenen aday özel kurslara ve eğitime tabi tutulmaktadır. Uzmanlaşanlar ise suçta kullanılmakta ve pastadan pay verme ile suça ortak edilerek örgüt içine adapte edilmektedir (McAfee, 2006: 3 – 21). Siber ataklar çoğunlukla arkasında hiçbir iz ya da zarar verme emaresi bırakmadan ve kurbanın bilgisi olmadan gizlice bilginin elde edilmesi amacıyla tasarlanır. Bu tür saldırılarda yakalanma veya teşebbüsün fark edilmesi durumlarına 21 has tedbirler alınır. Gelecekte henüz çok fazla örneği olmayan cep telefonlarına yönelik saldırılarda beklenmelidir. Gelişmiş mobil cihazlar, cep bilgisayarları, PDA’lar, Blackberry, Iphone ve Palm tarzı cihazların bilgi deposu olarak şirketlere ait personelce kullanılıyor olması, bu tür saldırıların olabileceğine dair bir ipucudur. Bununla birlikte bluetooth ve wireless özellikleri ile bu cihazların internete bağlandıkları bilinmektedir. İnternet ağını paylaşan her cihazın, bağlanma anı ile birlikte saldırılara açık hale geldiğini, kişisel olmaktan çıkıp kamu malı olduğunu söylemek zor değildir. 1.2.1.2. İnternet Suçlarının Gelişimi Gelişimin etkisiyle teknolojinin kötüye kullanımı hukukun doğasında var olan savunma güdüsünü tetiklemiş, tepkisel manada teknolojik gelişmede kendi hukuk alanını yaratmıştır (Aydın, 1992: 15). Özellikle savunma ağırlıklı hükümete bağlı kurumların bilgisayar sistemlerine girilerek ya da özel şirketlere ait sistemler hack edilerek geçilen bu yıllardan sonra ağ sistemlerinin yaygınlaşması ile yeni bir dönem başlamıştır. Kişisel bilgisayarların boyut olarak küçülmesi ve fiyat olarak alınabilir bir seviyeye çekilmesi ile ağ üzerinde artan trafiğin kontrolü zorlaşmış ve kötü kullanımlarda bir artış söz konusu olmuştur. Birey iş yerinde çalışmakta iken farklı bir iş yerine ait projeye odaklanabilmekte veya suç unsuru veri kayıtlarını kurumun bilgisayarında arşivleyebilmektedir. Bu duruma birde ağların küreselleşmesi süreci eklenmiş ve bilgisayar alt yapılı uluslararası suçların ilk örnekleri oluşmaya başlamıştır. 1960’lı yıllarda ABD’de ilk bilişim suçları telefon kullanımını ücretsiz şekilde gerçekleştirme olarak kendini göstermiştir. Phreaker olarak adlandırılan bu kişiler telefon ağları üzerinden milletlerarası ya da ülke içinde yaptıkları tüm telefon görüşmelerini ücretsiz olarak yapmaktaydılar. Ayrıca sadece bununla yetinmeyip telefon abonelerini farklı telefonlara yönlendirip, telefon kullanıcılarının yüklü miktarda fatura ödemelerine de sebep olmuşlardır (Kurt, 2000). Bilişim suçlarının ilk versiyonları diyebileceğimiz bu hadiselerden sonra ortaya yeni bir grup çıkmaktadır. Bunlara da hacker denmektedir. Hackerler ise ilk olarak Massachusetts Institute of Technology (MIT) üniversitesinde ortaya çıkmış insanlardır. Amaç olarak bilgisayar 22 sistemlerinin ve kablolu bu iletişim ağının nasıl çalıştığını çözmeyi benimsemişlerdi. Yaptıkları hack programları ile o zamana ait hantal bilgisayarları daha işlevsel hale getirip kendileri için gerekli bilgiyi elde etmeye çalışmışlardır. Phreakerlıktan hackerlığa uzanan bu gelişim süreci ile şaka yollu yapılan suç filleri artık kendilerini adli suç kovuşturmalarının içinde bulmuştur. Wall ise hacker’ı, yüksek düzeyde tecrübe edilmiş bilgi ile bilinen tüm verilere istediği zaman ve şartta giriş özgürlüğünü kendinde bulan kişi olarak tanımlamıştır (Wall, 1999: 110). Yine 60’lı yılların sonlarına doğru yaşanan bir olay kısa sürede zararsız eylemlerin, ciddi suç hadiselerine dönüştüğünü göstermektedir. Bu olayda; Minneapolis City Bank tarafından işe alınan bir bilgisayar programcısı sadece üç gün için programladığı bir yazılımla hesabına para aktarmak istemişken, programın açık olarak unutulması neticesi dört ay boyunca programcının hesabına para aktarım işlemi devam etmiş, daha sonra sistemde meydana gelen bir hata neticesi durumun ortaya çıkması sonucu banka sorumluları FBI’a başvurarak olayın aydınlatılmasını talep etmişlerdir. Olaydan da anlaşılacağı üzere banka zarara uğratılarak zimmet suçu işlenmiştir (Aydın, 1992: 13; Parker, 1998: 8). Bilgisayar ağlarının çoğalmaya başladığı 1990’lı yıllara kadar genellikle meydana gelen suçlar kurum içinde yaşanan kötü kullanımlar olarak kendini göstermiştir. Bu dönemde dikkat çekici husus ise bilgisayar virüslerinin bilişim suçları kapsamında yerini almasıdır. Zaman ve mantık bombaları şeklinde yazılan programlara ek olarak ağ solucanları ve Truva atları da eklenmiştir. Hackerler 1990’ların sonlarında kendilerini daha fazla hissettirmeye başlamıştır. The New York Times gazetesinde yayınlanan bir makaleye göre, 1997 yılında hacking ile ilgili bilgilerin ve yazılım araçlarının bireyler tarafından tedarik edilebileceği 1.900 kadar web sitesi ve 30 kadarda hacker topluluğu bulunmaktadır (Denning, 2001b: 252). Özellikle savunma ağırlıklı hükümete bağlı kurumların bilgisayar sistemlerine girilerek ya da özel şirketlere ait sistemler hack edilerek geçilen bu yıllardan sonra ağ sistemlerinin yaygınlaşması ile yeni bir dönem başlamıştır. Kişisel bilgisayarların boyut olarak küçülmesi ve fiyat olarak alınabilir bir seviyeye çekilmesi ile ağ üzerinde artan trafiğin kontrolü zorlaşmış ve kötü kullanımlarda bir artış söz konusu 23 olmuştur. Bu duruma birde ağların küreselleşmesi süreci eklenmiş ve bilgisayar alt yapılı uluslararası suçların ilk örnekleri oluşmaya başlamıştır. Bunun en güzel örneği I Love You ve Code Red Worm virüs yazılımlarıdır. I Love You adı verilen virüs Filipinlerde bir bilgisayar okulundan mezun iki sevgili tarafından hazırlanmış ve tüm dünyada yaklaşık olarak on milyon kullanıcıyı etkileyerek, sekiz milyar dolarlık bir hasar yaratmıştır (Aşut, 2008). Bunun yanında yukarıda ismi zikredilen Code Red Worm adlı virüs ise on dört saatten daha kısa bir süre içerisinde tüm dünyada yaklaşık olarak 359.000 bilgisayar kullanıcısını etkilemiştir (Moore ve Shannon, 2007). 26 Ocak 2004 yılında tüm dünyaya mail yoluyla yayılan, Norvarg ismiyle de bilinen ve internet performansını yaklaşık olarak % 10 oranında yavaşlatan MyDoom adlı virüsün ise bugüne kadar ne kadar hasara neden olduğu bilinmemektedir. Hemen ardından aynı yıl yani 30 Nisan 2004’te Windows 2000 ve XP yazılımlarının açılarından faydalanarak on milyonlarca dolar zarara neden olan Sasser adlı virüs, Alman bir lise gencinin 18. yaşına girerken yaydığı, Delta Havayolları şirketinin uçuşlarının ertelenmesine neden olacak kadar ciddi bir virüs olarak tarihteki en tehlikeli on virüs arasına girmiştir. Dünyanın bilinen en tehlikeli on virüsü ise; CIHÇernobil (1998), Melissa (1999), ILOVEYOU (2000), Code Red (2001), SQL Slammer (2003), Blaster (2003), Sobig.F (2003), Bagle (2004), MyDoom (2004) ve Sasser (2004)’dır (Öztürk, 2008). Botnetler siber suçlar için çok elverişli bir alet olma yolunda hızla ilerlemektedir. Çünkü botnetler bilgisayar sistemlerini pek çok yöntem kullanarak ciddi şekilde etkilemekte hatta kontrol altına almaktadırlar. Botlar kullanıcının bilgisayarına gizlice yüklenen ve kullanıcıyı etkisiz hale getirerek uzaktan kumanda yolu ile sistemleri örneğin, IRC, peer-to-peer (P2P) ve HTTP gibi iletişim kanallarını hedef alır. Bu kanallar uzaktan kumanda ile saldırı hedefleyen saldırgana birbiri ile bağlantı halinde olan botnet ile enfekte olmuş bilgisayarları kontrol etme imkânı tanır, böylece bu bilgisayarlar, koordine saldırıların başlatılması için kullanılabilir (Symantec, 2008: 20). 24 Siber suçlular ise önemli teknik bilgileri olmaksızın botnet kiralayan ya da ücretsiz olarak sunan servis sağlayıcılarından bu tehlikeli saldırı aracını elde etmektedir. Kötü niyetli yazılımlar sayesinde siber suçlular internet üzerinden onlarca hatta binlerce bilgisayarı uzaktan kumanda edebilmekte, kendi amaçları için kullanabilmektedir. Dünyada en çok bilgisayar bağlantısına sahip bilinen en ünlü botnet Srizbi (Cbeplay ya da Exchanger olarakta adlandırılmaktadır) 315.000 bota 8 sahiptir ve bu botlarla günlük 60 milyar mesaj atabilmektir. İkinci sırada ise Bobax adlı botnet vardır ve 185,000 bota sahiptir, böylece günde 9 milyar mesaj atabilmektedir (Keizer, 2008). Botnetler spam göndermek, ülkeler ya da bölgeler arası siber savaş aracı olarak kullanılan DDoS ataklarının hazırlanmasında, zararlı yazılım veya illegal içeriklerin, botnetin uygulandığı bilgisayara yerleşmesi ve bu bilgisayarda sunucu görevi görerek zararlı yazılımın yayılması amacıyla ve son olarak click dolandırıcılığı denilen, web sitelerinde çokça görülen reklam görünümde fakat istenmeyen şekilde bilgisayarda açılan web sayfalarının dizaynında kullanılmaktadır (MSIR, 2008: 15). Bir arkadaştan gönderilen Facebook mesajının içeriğinde ilgi çekici muhtemel bir YouTube video linki hemen herkesin günlük alabileceği e – maillerdendir. Video linki tıklandığında, videonun açılabilmesi için Flash Player yazılımına ihtiyaç duyulduğu ve son sürümünün mevcut olduğu şeklinde bir ibareyle karşılaşılması yine olağan bir durumdur. Olağan dışı olan husus ise, Flash Player yazılımının yüklenmesi sonrası yaşanabilecek durumdur. Kullanıcı adı geçen yazılımı yüklediğini düşünerek aslında farkında olmadan bilgisayarına zararlı bir yazılım yüklemiş olabilir. Bu şekilde bilgisayara yüklenen yazılımın aktif bir botnet olabileceği akıldan çıkarılmamalıdır. Esasında verilen bu örnek Facebook, MySpace ve bunlar gibi pek çok sosyal iletişim ağının ve sahte domain 9 sitelerinin, art niyetli kişiler tarafından kolayca kendi çıkarları için kullanılabileceğine dair basit bir örneklemdir (GTISC, 2009: 1). 8 Kontrol altına alınmış bilgisayar – Zombie İnternet'e bağlı her bilgisayarın kendine özgü bir adresi vardır. Domain Name System (DNS) olarak adlandırılan hiyerarşik bir isimlendirme sistemi ile (İnternet adresi), internete bağlı bilgisayarlara ve bilgisayar sistemlerine isimler verilir. DNS de, bir TCP/IP servis protokolüdür. DNS, 'host' olarak adlandırılan internete bağlı tüm birimlerin yerel olarak bir ağaç yapısı içinde gruplandırılmasını sağlar. Bu şekilde, bütün adreslerin her yerde tanımlı olmasına gerek kalmaz. Örnek olarak, odtu.edu.tr altında, ehb.itu.edu.tr, onun altında da, titan.ehb.itu.edu.tr şeklinde dallanmış birçok adres olabilir (Wolwerian, 2007). 9 25 Los Angeles’ ta yaşamakta olan ve aynı yerde 3G Communications adlı güvenlik şirketinde çalışan John Kenneth Schiefer (26), dolandırıcılık, banka dolandırıcılığı, ağ dolandırıcılığı ve elektronik iletişimi illegal yollarla aksatmak suçlarından 60 yıl mahkûmiyet ve 1.75 milyon dolar para cezasına çarptırılmıştır. FBI tarafından yakalanan Schiefer’ın botnetler aracılığı ile 250.000 bilgisayarı enfekte ettiği ve 19.000 dolar gelir elde ettiği bildirilmiştir. 2007 yılında yaşanan bu hadiseden öncede yine aynı yılın başında Max Ray "Max Vision" Butler adında bir güvenlik yazılımı araştırmacısı tutuklanmıştır (Goodin, 2007). Gerek para kazanma hırsı gerekse suç örgütleri için giderek iştah kabartan bir yapısı ve etkisi olan botnetler, birçok işe uygun tehlikeli bir silah olarak, sanal dünyanın ve yer altı ekonomisinin İsveç çakısı olarak tanımlanmaktadır. Bu enfekte olmuş bilgisayarlar ordusu ile internet trafiği bloke edilebilmekte, kesintiye uğratılabilmekte, hedef kurbana ait önemli bilgiler ele geçirilebilmekte, en önemlisi sanal dünyanın 30 yıllık öyküsü spamlar, bilgisayarın ortaya çıktığı yıllardan bu yana hayatımızda olan virüsler ve pek çok kötü niyetli yazılım yayılabilmektedir. Daha çok para kazanmak amacıyla tercih edilen spamlar ise, giderek daha yaygın bir şekilde internet hayatımıza girmektedir. 2008’de yayımlanan ve 2008’in ilk yarı ile ilgili global eğilimlerin anlatıldığı Microsoft Güvenlik İstihbarat Raporu (Microsoft Security Intelligence Report – MSIR)’na göre, Microsoft spam araştırmacıları, kapanmadan önce her e – mail hesabından en az 40 – 50 mesaj yollayarak spam üreticilerin para kazandığını düşünmektedir (MSIR, 2008: 68). Botnet yaratıcılarının ya da diğer adıyla botmasterların, teknik servis pazarı ile büyük meblağlar elde ettikleri bildirilmektedir. Örneğin 21 yaşında Underground grubu üyelerinden olan bir Botmaster olan Jeanson Ancheta’nın, 400.000 farklı bilgisayarı gizlice enfekte ederek, internet reklamcılığı yapan şirketlerden 58.000 dolardan fazla para kazandığı söylenmektedir. Böylece bu şirketler adına spamlar veya istenmeyen reklam iletileri göndermektedir. Ancheta 2006 yılında 5 yıl hapis cezası ve Birleşik Devletler Federal Hükümet Askeri bilgisayarlarına enfekte edip 26 zarar verdiği için 15.000 dolar para cezası ile mahkûm edilmiştir (Spam Daily News, 2006). Symantec güvenlik şirketi 2006 yılının ikinci yarısı için botnet ile enfekte olmuş 6 milyon bilgisayar olduğunu tespit etmiştir. Symantec 2007 yılının ikinci yarısında ise günlük ortalama 61.940 bilgisayarın aktif bir şekilde botlar tarafından enfekte edildiğini ve 2007’nin ilk yarısına oranla % 17’lik bir artışın olduğunu tespit etmişlerdir. 2007’nin sonunda ise botnetler tarafından enfekte olmuş bilgisayar sayısı rapora göre 5.060.187’dir. 2007 yılında en fazla enfekte olmuş bilgisayar İspanya Madrid’ te iken, dünyada en fazla enfekte olmuş bilgisayar ise ABD’de bulunmaktadır (Symantec, 2008: 5 – 21). The Shadowserver Foundation adlı internet üzerinde hizmet veren emir komuta sunucularını takip eden organizasyon ise Kasım 2006’dan Mayıs 2007’ye kadar olan dönemde enfekte olmuş sunucuların sayısının 1400’den 3 milyona ulaştığını rapor etmiştir (Bort, 2007). McAfee’nin 11 Temmuz 2005’te yayınladığı raporda da, botnet olaylarının, 2005’in ilk üç ayında 3000 civarında iken, ikinci üç ayında 13.000’e ulaştığı belirtilmiştir. Bazı botnet sahipleri kendi ağlarını saatlik olarak 200 ile 300 dolar arasında bir rakama kiralamaktadır ve botnetler dolandırıcılık ve gasp amaçlı olarak kullanılan bir silah haline gelmektedir (MacLean, 2005). Geleneksel olarak botnetler, botmasterlar tarafından kimi zaman dinamik, çoğu zaman ise statik olarak yerinden yönetme ve kontrol sistemi ile ağa ilişkilendirilir, fakat üstünde durulması gereken nokta botnetlerin kendi kendini hiyerarşik bir tavır içinde organize etmesidir. Güvenlik uzmanları için bu merkezi kontrol noktasının varlığı botnetin yayılma noktasının tespitinde oldukça önemlidir, çünkü botnetin tespit ile botnetin varlığı yine aynı merkez noktadan sonlandırılabilir. Bununla birlikte, yakın gelecekte güvenlik uzmanları, botnet yaratıcılarının çok daha karmaşık bir dizayn ile tespitin ve iz sürmenin daha da zor olacağı konusunda endişe duymaktadır (Broersma, 2007; Schoof ve Koning, 2007: 1–7). 2007 baharında Estonya hükümet bilgisayar sistemi bazı uzmanların tabiri ile siber savaş, siber terör ya da siber suç saldırıları olarak adlandırılan bir dizi siber atağa maruz kalmıştır. 2007 Nisan ayında Estonya resmi makamları Nazilere karşı 27 savaşmış adı bilinmeyen bir Rus’un Sovyet döneminden kalma anma törenini iptal etmişlerdir. Bu hareket bazı duyguları canlandırmış, Estonya’ da yaşayan etnik Ruslar tarafından gösteriler düzenlenmesine neden olmuş, iş Moskova’daki Estonya Konsolosluğunun kuşatılarak gösteriler yapılmasına kadar varmıştır. Bu olayların ardından, sanal âlemde de bakanlıklara ve başbakanın kendi partisi olan Reform Partisinin sitesine ve farklı Estonya ulusal web sitelerine DDoS (Distributed Denial of Service) 10 saldırıları başlatılmıştır (Vamosi, 2007). Estonya resmi makamlarına göre, siber atakların ilk gününde normalde günlük olarak 1000 kişinin ziyaret ettiği devlet sitelerine saniyede 2000 kişi giriş yapmış bu da web sitelerinin saatlerce veya daha uzun süreler için devam eden şekilde kapanmasına sebep olmuştur (Greenemeier, 2007; Rhoads, 2007). Bu saldırıların boyutu o derece ciddi seviyelere ulaşmıştır ki, NATO ve ABD Estonya’ ya bilgisayar güvenliği konusunda uzmanlarını göndermiştir. Bu uzmanlar Estonya’ ya ataklardan kurtulma ve korunma, saldırıların metodunu analiz etme ve saldırı kaynağını tespit etme amacıyla çalışmalara başlamıştır. Nihayetinde Estonya resmi makamları, siber bir savaş başlatmak amacıyla yapılan bu siber saldırıların Rus Hükümeti tarafından düzenlendiğini dile getirerek Rusya’yı suçlamıştır. Uzmanlar Sovyet Rusya’nın yıkılması ile ortaya çıkan uluslararası siber suçluların ya da bireysel veya geniş kitlelerin bu saldırıların arkasında olduğunu tartışmışsa da, zaman içinde saldırıların sayısında bir azalma meydana gelmiş ve güvenlik uzmanları kesin olarak bu siber saldırıların Rusya Hükümeti tarafından başlatıldığı konusunda hemfikir olamamıştır (Thomson, 2007). 2008 yılının şubat ayında Estonya yargı makamları 2007 yılında yapılan bazı siber saldırıların ve resmi web sitelerinin çökertilmesinin sorumlusu olarak Dmitri Galushkevich adında Eston bir erkek şahsı mahkûm etmiştir. Bu kişinin evinde kullandığı bilgisayar vasıtası ile saldırıları gerçekleştirdiği, 20 yaşında ve Rus kökenli bir Eston olduğu anlaşılmıştır. Estonya’ ya karşı bir dönem devam ettirilen bu siber saldırıların araştırması devam etmekteyse de şimdiye kadar yalnızca bir kişi bu saldırıların sorumlusu olarak hüküm giymiştir (Sachoff, 2008). 10 2007’nin ikinci yarısında en fazla DOS (Denial of Service) ataklarına maruz kalan ülke dünya genelinde % 56’lık bir oranla ABD’dir. Bununla birlikte 2007 yılının ilk yarısında bu oran % 61’dir (Symantec, 2008: 5). 28 Avrupa ve Amerika savunma gücü olarak NATO, 2005 yılında başlayan uluslararası iletişim teknolojileri konusunda çözüm önerileri sunan Telindus adlı firma ile bir sözleşme imzalamıştır. NATO’nun iletişim ağı 26 üyesi ile birlikte operasyonel faaliyet gösterdiği Afganistan ve Balkanlar gibi coğrafi alanları da kapsamaktadır. Bu iletişim ağı içerisinde telefon, bilgisayar ve video konferans teknolojileri de mevcuttur. Afet kurtarma ve kritik ulusal binaların korunması gibi askeri olmayan operasyonel faaliyetlerde de bahsedilen iletişim ağı kullanılmaktadır. NATO kapsamında şimdilik 70 network sistemi bulunmaktadır. Gelecekte daha çok ülke, daha geniş alan ve daha da gelişmiş network bağlantılarına ihtiyaç duyulacağı aşikardır. Her aşamada önleme, tespit, karşılık ve onarma, ana görev olarak benimsenmiştir. Proje hayata geçtiğinden bu yana tespit edilen pek çok saldırı, hackerlerin tecrübelerinde bir artış olduğunu göstermektedir. 11 Eylül 2001 saldırıları ve Mayıs 2007’de Estonya’ya yapılan DDoS saldırılarından sonra NATO, siber savunma konusunda çok daha duyarlı bir hale gelmiştir. Çünkü NATO’nun kendiside, diğer tüm sınır aşırı organizasyonlar gibi web üzerinden iş yürütmekte ve dolayısıyla saldırılara açık bir hedef haline gelmektedir. Telindus güvenlik projesinde, Saldırı Tespit Sistemi (Intrusion Detection System – IDS) projenin en büyük parçasıdır. Bu sayede saldırının aydınlanması ve saldırının merkezinin tespit edilmesi sağlanır. Ayrıca saldırının içeriğine göre savunma veya hasar onarma şeklinde tepki verilir. Virüsler ya da trojanlar gibi zararlı yazılımlar, bir bilgisayarı veya bilgilerin depolandığı herhangi bir ortamı, içindekileri almaya ve uzaktan kontrol edilmeye açık hale getirebilir yazılımlardır. Hedefe zarar vermeyi, kişisel bilgisayar üzerinden yapılan hesap işlemlerinin şifre ve kullanıcı isimlerinin alınmasını, hedefle bağlantılı kişilere de aynı virüsü yaymayı, sistemi veya ağı yok etmeyi amaç edinmiş zararlı kodlardan söz etmek artık hayal olmaktan çıkmıştır. Mail adresinize gönderilmiş bir resmin arkasına saklanmış farklı bir yazılımın veya Windows Messenger’ınıza gelen ve MP3 formatında sandığınız bir şarkının içinde bulunan gizli ve zararlı yazılımların, bilinmeden kendi bilgisayarınıza yüklenmesi her an başımıza gelebilecek türden bir senaryodur. Symantec tarafından, 2007’nin ikinci yarısında 499.811 yeni zararlı yazılım rapor edilmiştir ve 2007’nin ilk yarısında göre % 136’lık 29 bir artış olduğu bildirilmiştir. 2007’nin ikinci yarısında tespit edilen zararlı yazılım ailesinin ilk on sıralamasında, beş Trojan, iki worm, iki arka kapı dediğimiz açıkları kullanan worm ve bir tanede virüs bağlantılı worm bulunmaktadır. Solucanda denilen wormların % 43’ü Avrupa, Ortadoğu ve Afrika kökenlidir. Aynı dönemde tespit edilen trojanların ise % 46’sı Kuzey Amerika orijinlidir (Symantec, 2008: 7). Bununla birlikte bu tür geniş katılımlı mail ve iletişim servislerinin kendi içerisinde de geliştirdiği birden fazla ve iç içe geçmiş güvenlik duvarı mevcuttur. Unutulmamalıdır ki her şeyden önce kendi güvenliğimizi almamız yararımıza ve bizim sorumluluk alanımıza girer. Gerçek hayatta kişisel güvenliğimiz için gösterdiğimiz özene, siber yaşamda da göstermek durumundayız. Bu konuya bir örnek vermek gerekirse, 2005 yılında çokça bilinen MySpace ve Wikipedia adreslerini ziyaret eden ve gerekli güvenlik donanımı almayan pek çok kullanıcının bilgisayarında bulunan bilgilerinin enfekte olduğu bildirilmiştir. 2006’nın ilk yarısında, Microsoft Güvenlik Timi, yaklaşık olarak 4 milyon bilgisayar ve web sitesinden, 10 milyon zararlı yazılımı tespit edip kaldırmıştır (Ackerman, 2007). 2007 yılında Google analizcileri milyonlarca web sitesinin zararlı yazılım testini gerçekleştirmiş, 4,5 milyon web sitesinin şüpheli olduğu kanaatine varmışlardır. Bu şüpheli 4,5 milyon şüpheli web sitesinin ise yapılan inceleme neticesi, yaklaşık olarak 1.150.000’ninde zararlı yazılım barındırdığı ve bu yazılımların kullanıcılar tarafından indirilmeye hazır olduğu, üçte ikiden fazla yazılımın ise bot programı olduğu ve siber suçluların mail adreslerine, siteyi ziyaret eden kişilerin kullanıcı adı ve hesap bilgilerini e – posta yolu ile gönderdiği tespit edilmiştir (Provos v.d, 2007: 2). 30 Tablo 5: Zararlı Aktivite İçinde Bulunan İlk On Ülke Sıralaması (2007) 11 Şuan ki Sıral ama Bir Önceki Ülkeler Sıralama Şimdiki Yüzde Bir Bot Önceki Sıralama Yüzde sı Komuta Phishing Kontrol Web Sitesi Server Sağlayıcısı Sıralaması Sıralaması Zararlı Spam Yazılım Zombi Sıralaması Sıralaması Saldırı Merkezi Sıralama sı 1 1 ABD 31 30 1 1 1 1 1 1 2 2 Çin 7 10 3 5 2 2 4 2 3 3 Almanya 7 7 2 2 3 7 2 3 4 4 İngiltere 4 4 9 6 7 3 12 5 5 7 İspanya 4 3 4 19 15 9 9 4 6 5 Fransa 4 4 8 13 6 11 7 6 7 6 Kanada 3 4 13 3 5 4 35 7 8 8 İtalya 3 3 5 10 11 10 6 8 9 12 Brezilya 3 2 6 7 13 21 3 9 10 9 G.Kore 2 3 15 4 9 14 13 10 Symantec şirketinin yayınladığı rapora göre, 2007’nin ilk yarısındaki saldırı seviyesi global çerçevede % 25 olan ABD, 2007 yılının ikinci yarısında % 24’lük seviye ile dünya çapında en fazla saldırı gerçekleştiren ülke olma konumunu korurken yüzdelik dilimde bir puan gerilemiştir. Aynı raporun Saldırı eğilimleri alt başlıklı verilerine göre, eğitim sektörüne yapılan saldırıların % 30’dan % 24’e düştüğü fakat en fazla saldırı yapılan alan olduğu belirtilmiştir. Kimlik bilgilerinin çalındığı en büyük alan ise hükümet sektörü olmakla birlikte 2007’nin ilk yarısında geçmiş raporlara göre % 12’lik bir artışın kaydedildiği belirtilmiştir (Symantec, 2008: 5). Çalınan bilgilerle elde edilebilecek kredi kartları, çalınan kredi kartlarıyla yapılabilecek harcamalar, düzenlenecek sahte belgeler, giriş kartları ve bunun gibi pek çok şeyin terör aktivitelerinde kullanılması farazi bir senaryo değildir. 2007 yılında Japonya’nın en büyük bankalarından biri olan Resona Bank, dijital ya da doküman olup olmadığı açıklanmayan 980.000 müşteri bilgisinin kaybolduğunu açıklamıştır. Müşteri şifreleri haricinde, müşterilere ait isim, hesap numarası ve işlem bilgilerinin olduğu gizli kalması gereken verilerin kaybolduğu 2006’nın sonunda anlaşılmış, fakat detaylı raporun hazırlanması 2007 yılında mümkün olmuştur (Wilson, 2007). Klasik anlamda terör örgütlerinin para elde etme yöntemleri arasında nasıl karapara aklama, uyuşturucu kaçakçılığı, insan ticareti, göçmen kaçakçılığı, 11 Symantec, 2008: 10. 31 gasp, adam kaçırma, fidye isteme, soygun ve bunun gibi pek çok suç türü mevcutsa, sanal âlemde de bu tür suçlar elektronik devreler yardımıyla işlenmektedir. Öyle ki çok daha az risk, çok daha az zaman ve çok daha yüksek kazançla. 2007 yılında Britanya’da görülen davada siber suçla, dini motifli terörist gruplar arasında önemli sayılabilecek bir bağlantı olduğu ortaya çıkmıştır. Bu davada üç İngiliz vatandaşı, Tariq al-Daour, Waseem Mughal ve Younes Tsouli yargılanarak, internet vasıtası ile adam öldürmeye azmettirmek suçundan mahkûm edilmişlerdir. Çaldıkları kredi kartı bilgilerini online alış – veriş sitelerinde kullanarak faaliyet gösteren ve dini motifli teröristleri destekleyen bu kişiler, internet üzerinden gece görüş dürbünleri, çadırlar, GPS cihazları ve bunlara ait yüzlerce batarya ve 250’den fazla uçak biletini, 110’dan fazla çalıntı kredi kartıyla satın alınmıştır. Ayrıca çalıntı 72 kredi kartıyla 95 farklı web sitesi hosting şirketinden 180’den fazla internet sitesi satın almışlardır. Bu grup ayrıca 130’dan fazla çalıntı kredi kartı ile online kumar sitesinde karapara aklama faaliyeti içine girmiştir. Üçlü aynı zamanda toplamda 3,5 milyon dolarlık bir dolandırıcılık suçunu, hesap sahiplerinin adının, adresinin, doğum tarihinin ve kredi limit bilgisinin bulunduğu 37.000 kredi kartı numarasıyla işlemiştir (Krebs, 2007). Finjan Zararlı Kod Araştırma Merkezinin 2007 yılının ilk çeyreğinde yaptığı ve Finjan 2007 Web Security Trends Report başlığı ile yayınladığı verilere göre Britanya kaynaklı on milyon sitenin internet trafiği analizinde, sitelerin % 90’ının zararlı içerik barındırdığı tespit edilmiştir. Finjan CTO’ su Yuval Ben-Itzhak bu durumu; “ Siber suç yasalarının daha az gelişmiş olduğu ülkelerin, daha çok zararlı yazılım barındıran web sitesine sahip olduğuna dair mit bu çalışmayla yıkılmıştır” şeklinde yorumlamıştır. Aynı merkezin 2008’in sonunda yayınladığı Web Security Trends Report Q4 2008 başlıklı raporda ise hiçbir şirketin veya kurumun güvende olmadığı, bunun 2008 yılının Kasım ayında Pentagon’a yönelik saldırılarla ispatlandığı, gerekli güvenlik önlemleri alınmadıkça, enerji ve finans sektörlerinin öncelikli hedef olacağı vurgulanmıştır (Finjan, 2008). 32 Şekil 1: 2008’in Birinci Yarısında Tespit Edilen Ülkesel/Bölgesel Zararlı Yazılım Dağılımı 12 Botnet ve diğer zararlı kodlar, siber suçluların kimlik hırsızlığı yapabilmesi kolaylaştırmaktadır. FBI araştırmaları, kimlik hırsızlığının Amerikan şirketlerine ve onların müşterilerine mali zarar verdiğini ve yıllık olarak 50 milyar dolara varan meblağların ortaya çıktığını göstermektedir. “Tebrikler 100 Kontör Kazandınız” ya da “Tıkla Sohbete Başla” gibi başlıkları taşıyan reklam sayfaları zararlı kodların bu tür sitelere gizlenmesine olanak sağlar ve bu adrese giren kullanıcıların kişisel bilgilerinin siber suçluların eline geçmesi kolaylaşır. Yukarıda değindiğimiz botnetler haricinde, pek çok zararlı yazılım, siber suçluların kullandığı yöntemler içinde mevcuttur. Bunlardan en çok bilineni, bilgisayar kodlarına eklenen yazılımlarla ve bu kodların çalıştırılmasına bağlı olarak çalışan virüslerdir. Servis açıklarını kullanarak yayılan solucanlar ise herhangi bir kullanıcı işlemine gerek kalmadan kendi kendine çoğalıp yayılabilme özelliğine sahiptirler. Art niyetli hareketli yazılımlar ise tarayıcının açıklarını, sunucudan aktarıldıktan sonra güvenlik zafiyetlerini veya kullanıcı bilgisizliğini kullanarak zarar veren yazılımlardır. Bunun yanında saldırganlar tarafından hedef bilgisayara yerleştirilen ve yerleştiği bilgisayarın güvenlik geçitlerine yakalanmadan faaliyet göstermesine yarayan arka kapı dediğimiz, saldırgana kolaylık sağlayan zararlı yazılımlarda bulunmaktadır. 12 MSIR, 2008: 69 33 Trojan ya da Truva Atı denilen yazılımlar ise herhangi bir yazılımın içine yerleştirilerek kullanılırken, rootkit dediğimiz yazılımlar ise bilgisayarın zararlı yazılım yüklenmesi halinde bunu tespit edememesine yarayan kötü niyetli yazılımlardır. Casus yazılımlar olarak adlandırılan spywareler ise kullanıcı bilgilerinin ele geçirilmesini sağlar, son olarak bahsedebileceğimiz kötü niyetli yazılım çeşidi ise yukarıda bahsedilen yazılımların birden fazlasını aynı anda ihtiva eden combo malwarelerdir (MSIR, 2008: 16 – 18). Bilgisayarlara veya bilgisayar özellikleri taşıyan cihazlara, zararlı yazılımların yerleşmesinin ardından bir tarama işlemi gerçekleşir. Kurbana ait isim – soy isim, adres, doğum yeri ve tarihi, T.C kimlik numarası, okul numarası, anne kızlık soyadı ve telefon numarası tarama sonunda siber suçlunun elindedir. Bu bilgiler fail tarafından yine internet üzerinden pazarlanır ya da fail bu bilgileri kendi için kullanır. Artık hemen hemen pek çok insanın evinde olan, video kamera veya dijital fotoğraf makinesi, renkli printer ve her yerde rahatlıkla yaptırılabilecek kaplatma işlemi ile gerçek gibi görünen nüfus cüzdanı, ehliyet veya banka cüzdanı elde edilen bilgilerle yapılabilir. Bu duruma en güzel örnek 2005 yılında Amerika’da üst üste yaşanan güvenlik açığı olayıdır. Boston Kolejlinde 2005’in martında bir hacker 106.000’den fazla kişisel bilgiyi hacklemiş, aynı ay içerisinde Kaliforniya’da bulunan Chico Devlet Üniversitesi’nin veri tabanına giren bir hacker ise eski ve hali hazırda öğrenim gören öğrencilerin 59.000’ine ait sosyal güvenlik numarasını ve isimlerini ele geçirmiştir. Nisan 2005 ‘te ise sosyal güvenlik numaralarının da bulunduğu 310.000 Birleşik Devletler vatandaşına ait kişisel bilgiler çalınmış, bu çalınan bilgiler ve şifrelerle bilindiği kadarıyla ulusal veri tabanına 59 adet izinsiz giriş yapılmıştır (Bank ve Conkey, 2005: 1). Kişisel veri hırsızlığı dünya genelinde oldukça yaygın bir durumdadır. Elbette dijital ortamda saklanan bilgilerin, özellikle kişisel bilgilerin muhafazası için çokça çaba sarf edilmektedir. Buna rağmen çok güvenilir olarak düşündüğümüz kamu veya özel sektör alt yapılarının dahi risk altında olduğu unutulmamalıdır. Dünya genelinde hizmet veren ticari oluşumların güvenlikten yana zafiyet göstermesi, global krizlerin yaşanmasına neden olmaktadır. Örneğin 2003 yılında, ABD’de bulunan 650 milyon Visa ve Mastercard sahibinden 5,4 milyonuna ait kredi kartı bilgisi bilgisayar 34 korsanları tarafından çalınmıştır. Kurbanlardan iki milyonu Mastercard sahibi iken geri kalan 3,4’ü Visa kart sahibidir (BBC News, 2003). Yine Mastercard International 2005 yılında 40 milyon Amerikalı müşterisinin kredi kartı numarasının bilgisayar korsanları tarafından ele geçirildiğini bildirmiştir (Menn, 2005; Krim ve Barbaro, 2005: 1). Bu kredi kartı numaralarının ayrıca bir Rus web sitesinde satıldığı bilgisine ulaşılmıştır. Japon UJF Bank yetkilileri kendi müşterilerinden bir kısmının da, Mastercard bilgilerinin çalınması olayı ile bağlantılı olarak dolandırıcılık mağduru olabileceğini bildirmiştir (BBC News, 2005). Yapılan incelemelerde analistler bu kredi kartı bilgilerinin 42 dolardan daha az bir meblağa satıldığını, platinum ve gold kartlar gibi premium kartlarında maksimum 70 dolara satıldığını tespit etmişlerdir. Ayrıca Visa ve Mastercard 40 milyon hesabın bu durumdan etkilendiğini söylese de, CardSystems Solutions firması en az 68.000 kredi kartı hesabının yüksek risk taşıdığını belirtmiştir (CCRC, 2005). Haziran 2006 da Birleşik Devletler yetkilileri, Enerji Bakanlığı bünyesinde faaliyet gösteren Ulusal Nükleer Güvenlik Dairesine (National Nuclear Security Administration – NNSA) ait 1500 personelin bilgilerinin ağ bağlantısı ihlali yapılarak 2004 yılında çalındığını bildirmişlerdir. NNSA meydana gelen güvenlik ihlalini ancak olayın olmasından bir yıl sonra keşfetmiştir (Cantwell, 2006). Almanya Landeskriminalamt Polis Biriminin İnternet suçları bölümü siber suçlular tarafından zararlı ve casus yazılımlar kullanarak kredi kartı ve kişisel bilgi çalmada kullanılan www.codesoft.cc adındaki forum sitesini kapattığını duyurmuştur. Ayrıca bu sitenin liderliğini yaptığı iddia edilen "tr1p0d" rumuzlu 22 yaşındaki İsviçreli bir kişinin çaldığı, banka ve online ödeme hesabı şifrelerini sattığı bildirilmiştir. Polisin yaptığı araştırmada bu kişinin evinde site veritabanında olması gereken kullanıcılara ait IP adresleri ve suçta kullanılan hard diskler ele geçirmiştir. Ayrıca 20 yaşlarında iki Alman vatandaşının da, tr1p0d tarafından adlandırılan Codesoft PW Stealer trojanı ile dünya çapında 80.000 bilgisayarı enfekte ederek şifre çaldıkları ve diğer siber suçlulara çaldıkları bilgileri sattıkları iddia edilmektedir (Higgins, 2009). 35 Son veriler ışığında 2008 yılı içinde meydana gelen web saldırılarında en çok tercih edilen yöntemlerde; 1. Popüler web sitelerinden download edilen yazılımlar içine gizlenen zararlı yazılımlarda artış olduğu, 2. Geleneksel antivürüs yazılımlarının, saldırı sayısındaki yoğunluktan ötürü işlevlerini yerine getiremediği, 3. Saldırılar browser'ın kendisinden ziyade, eklentilerine yönelik yapıldığı, 4. Yanıltıcı uygulamaların kullanıcı bilgisayarlarını enfekte ettiği ve bu durumun giderek arttığı, 5. SQL enjeksiyon adı verilen saldırı türünün, popüler web sitelerini etkilemek için kullanıldığı, 6. Zararlı içerik ihtiva eden reklam ilanlarının, kullanıcıları zararlı kod ihtiva eden web sitelerine yönlendirdiği, 7. Zararlı yazılım ve kodlarda bir patlama yaşandığı gözlemlenmiştir (Symantec, 2009: 4). 1.2.2. Türkiye’de Bilişim Suçları ve İnternetin Gelişimi 1.2.2.1. Ülkemizde ve Çevre Ülkelerde İnternetin Gelişimi Bilişim bağlantılı en yaygın kullanıma sahip fenomen olan internetin yıllar geçtikçe popülaritesi gitgide artmış, dünya genelinde milyonlarca insan aynı sistem içerisinde bir şeyler öğrenmeye, bir şeylerden zevk almaya ve alış veriş yapmaya başlamıştır. Ülkemizde de durum aslında dünya genelinde neyse o şekildedir, hatta pek çok ülkeye nazaran internet kullanımında ülkemiz kayda değer bir ilerleme sarf etmiştir. Global internet kullanımı istatistiklerine bakıldığında, en yüksek kullanıcı kitlesinin elbette internetin vatanı olan Amerika Birleşik Devletlerinde olduğunu görmekteyiz. 36 Tablo 6: En Yüksek İnternet Kullanıcı Nüfusuna Sahip Yirmi Ülke 13 Fakat veriler ışığında uzak doğu ülkelerinin de 2007 yılı itibari gözle görülür şekilde interneti benimsediğini söyleyebiliriz. Elbette internet kullanımının amacı ülkeden ülkeye değişmekteyse de, uzak doğu olarak kabul ettiğimiz; Çin Halk Cumhuriyeti, Japonya, Hindistan, Güney Kore, Endonezya, Vietnam, Tayvan ve Filipinlerde internet kullanımının diğer uzak doğu ülkelerine nazaran daha yüksek olduğu, aynı yüksek oranın ekonomik sıçramalarda da yaşandığı ve kendi komşu ülkelerine nazaran çok daha ileride bir görünüm arz ettiği gözlerden kaçmamaktadır. Aynı şekilde ülkemizde de internet kullanımı yıllara göre hızlı bir şekilde artış göstermiştir. Gelinen noktada 2007 yılı itibari ile Türkiye 16 milyon kullanıcı ile dünyada en çok internet kullanıcısına sahip 17. ülke konumuna yükselmiştir. 13 www.internetworldstats.com. 37 Tablo 7: En Yüksek İnternet Kullanıcı Nüfusuna Sahip Yirmi Ülke (2007) 14 Ülke İnternet Kullanan Kişi Sayısı Ülke Nüfusuna Oranı % Dünya Nüfusuna Oranı % ABD 210.575.287 69.7 18.0 Çin 162.000.000 12.3 13.8 Japonya 86.300.000 67.1 7.4 Almanya 50.426.117 61.1 4.3 Hindistan 42.000.000 3.7 3.6 Brezilya 39.140.000 21.0 3.3 İngiltere 37.600.000 62.3 3.2 G.Kore 34.120.000 66.5 2.9 Fransa 32.925.953 53.7 2.8 İtalya 31.481.928 52.9 2.7 Rusya 28.000.000 19.5 2.4 Meksika 22.700.000 21.3 1.9 Kanada 22.000.000 67.8 1.9 Endonezya 20.000.000 8.9 1.7 İspanya 19.765.033 43.9 1.7 Vietnam 16.511.849 19.4 1.4 Türkiye 16.000.000 21.1 1.4 Avustralya 15.085.600 71.9 1.3 Tayvan 14.500.000 63.0 1.2 Filipinler 14.000.000 16.0 1.2 İlk 20 Ülke 915.131.767 21.7 78.0 D.G.K. 257.978.158 11.0 22.0 T.D.K. 1.173.109.925 17.8 100 Miniwatts Marketing Group tarafından 30 Haziran 2007 yılında hazırlanan dünya internet kullanıcı istatistiği raporu, Nielsen/NetRatings, International Telecommunications Union, resmi ülke raporları ve diğer güvenilir araştırma kaynaklarından elde edilen bilgilere göre, ülkemizde internet kullanımının hızlı bir yükseliş içinde olduğunu göstermektedir. Bu rapora göre Türkiyeli internet kullanıcıları, ülke nüfusunun % 21,1’ini, dünya nüfusunun ise % 1,4’ünü oluşturmaktadırlar. 14 www.internetworldstats.com. 38 2000 yılından bu yana internet kullanımında ülkemizde kayda değer bir artış olduğunu söylemek yanlış olmaz keza istatistiki verilere göre, 2000 yılında 2 milyon internet kullanıcısı varken 2004’te bu sayı 5,5 milyon kişiye, 2006’da ise 10 milyon 220 bin kişiye kadar yükselmiştir. Aynı şekilde yükseliş devam etmekte 2007 yılındaki 16 milyonluk sayı 2008 yılında 26 milyon 5 yüz bine ulaşmıştır. Ayrıca 2008 yılı itibari ile dünya genelinde kullanıcı sayısı bakımından Türkiye dört sıra yükselerek 13. sıraya çıkmıştır. Yani neredeyse bir yıl içinde internet kullanımında 10 milyon kişilik bir artış gözlemlenmektedir. Tablo 8: Yıllara Göre Türkiye’de İnternet Kullanıcıları İstatistiği 15 Yıllar Kullanıcı Sayısı Nüfus (Tahmini) Nüfusa Etkisi % Kaynak 2000 2.000.000 70.140.900 2.9 ITU 2004 5.500.000 73.556.173 7.5 ITU 2006 10.220.000 74.709.412 13.9 Comp. Ind. Almanac 2007 16.000.000 75.863.600 21.1 ITU 2008 26.500.000 71.892.807 36.9 ITU 2007 ve 2008 yılları arasında değişen istatistikî bilgiler ışığında, başta Çin olmak üzere, Hindistan, Fransa, Türkiye, İspanya, İran ve Pakistan’da internet kullanıcısı oranlarında kayda değer bir artış olduğu gözlemlenirken, Güney Kore, Avustralya, Tayvan ve Filipinlerde bu oranın çok fazla değişmediğine hatta özellikle Tayvan ve Filipinlerin liste dışında kaldığına şahit olmaktayız. Dünya genelinde ise internet kullanımı yönünden devam eden bir artışın olduğu kabul edilmelidir. Bunun pek çok sebebi olduğu gibi belli başlı dört neden başı çekmektedir. Bunlardan birincisi ve en önemlisi ekonomik açılımların ve global sektörün vazgeçilmezi ve parlayan yıldızı e – ticaret hacminde meydana gelen doğal artış, ikincisi kişisel bilgisayar ve kamu sektöründe kullanılan bilgisayar sayısının artması, bununla birlikte e – devlet projelerinin ülkeden ülkeye kalitesinin değişmesine rağmen birer birer uygulamaya konması, üçüncüsü internet fiyatlandırmasında özel şirketlerin kah devlet zoruyla, kah rekabet yüzünden fiyat kırması son olarak ise, insanların hayatında yeni bir dönemin hızlı adımlarla hayata geçirilmesi ve bir 15 www.internetworldstat.com/eu/tr.htm 39 şekilde insanların sorularına cevap arama isteği ile meraklarını giderme arzusu, özellikle farklı kültürleri tanıma ve iletişime geçme bunda temel sebeplerdir. Tablo 9: En Yüksek İnternet Kullanıcı Nüfusuna Sahip Yirmi Ülke (2008) 16 Ülke İnternet Kullanan Ülke Nüfusuna Dünya Nüfusuna Kişi Sayısı Oranı % Oranı % Kullanıcı Artış Oranı (2000 – 2008) % Çin 253.000.000 19.0 17.3 1.024.4 ABD 220.141.969 72.5 15.0 130.9 Japonya 94.000.000 73.8 6.4 99.7 Hindistan 60.000.000 5.2 4.1 1.100.0 Almanya 52.533.914 63.8 3.6 118.9 Brezilya 50.000.000 26.1 3.4 900.0 İngiltere 41.817.847 68.6 2.9 171.5 Fransa 36.153.327 58.1 2.5 325.3 G.Kore 34.820.000 70.7 2.4 82.9 İtalya 34.708.144 59.7 2.4 162.9 Rusya 32.700.000 23.2 2.2 954.8 Kanada 28.000.000 84.3 1.9 120.5 Türkiye 26.500.000 36.9 1.8 1.225.0 İspanya 25.623.329 63.3 1.8 375.6 Endonezya 25.000.000 10.5 1.7 1.150.0 Meksika 23.700.000 21.6 1.6 773.8 İran 23.000.000 34.9 1.6 9.100.0 Vietnam 20.159.615 23.4 1.4 9.979.8 Pakistan 17.500.000 10.4 1.2 12.969.5 Avusturalya 16.355.388 79.4 1.1 147.8 D.G.K 347.918.789 15.2 23.8 391.2 T.D.K 1.463.632.361 21.9 100 305.5 Dışarıdan ülkemize bir göz attıktan sonra, birde içeriden komşu ülkelerdeki duruma göz atmak yerinde olacaktır. Çünkü bir ülkenin çevresindeki ülkeler ne kadar gelişirse, o ülkede kendini o kadar geliştirir ya da geliştirmek zorunda hisseder. Türkiye açısından durum, zorunda hissetme ile ifade edilebilir. Alfabetik sırayla Bulgaristan’dan başlayarak duruma bir göz atalım. Bilindiği gibi Bulgaristan eski bir 16 www.internetworldstats.com. 40 doğu bloğu ülkesi, 1 Ocak 2007 tarihi itibari ile de yeni AB üyesidir (BBC News, 2007). Ülkenin nüfusu Internet Usage Stats – Usage and Population Statistic’e göre 2007 itibari ile 7.673.215’dir. İnternet kullanıcısı ise yine aynı veriler ışığında 2.200.000’dür ve bu sayı ülke nüfusunun % 28,7’sine tekamül etmektedir. 2000 yılından bu yana incelersek tablo aşağıdaki gibidir. Tablo 10: Bulgaristan İnternet Kullanıcı Nüfusu (2000 – 2008) 17 Yıllar Kullanıcı Sayısı Nüfus Nüfusa Oranı % Kaynak 2000 43.0000 7.932.984 5.4 ITU 2004 1.545.100 7.521.066 20.3 ITU 2008 2.200.000 7.673.215 28.7 ITU Tablo 11: Ermenistan İnternet Kullanıcı Nüfusu (2000 – 2008) 18 Yıllar Kullanıcı Sayısı Nüfus Nüfusa Oranı % GSMH Kaynak 2000 30.000 3.002.594 0.1 410 $ ITU 2001 40.000 3.000.164 0.5 500$ ITU 2006 161.000 2.950.060 5.5 1060$ ITU 2008 172.800 2.968.586 5.8 (2006)1470$ ITU Ermenistan, eski bir medeniyet ve Hıristiyan inancını ülkenin resmi dini olarak kabul eden ilk ülkedir. Ülkemize zaman zaman siyasi arenada sorunlar yaşatsa da, ikili ilişkilerin gün geçtikçe arttığı söylenebilir. Ülke nüfusu United States Census Bureau (USCB)’ya göre 2008 yılı itibari ile 2.968.586’dır. Dünya genelinde artış gösteren internet kullanımı bu ülkede de yıllara göre gelişme göstermiştir. Fakat bu noktada Ermenistan için söylenebilecek diğer bir konu ise kişi başına düşen GSMH’nın yükselişiyle internet kullanımındaki artışın paralellik gösterdiğidir. Tabloda gösterilen kişi başına düşen GSMH, Birleşmiş Milletler (BM) Ekonomik ve Sosyal İşler Departmanı tarafından verilen rakamlardır. Gürcistan’da eski bir Sovyet Bloğu ülkesi olarak, bağımsızlıktan sonra demokratikleşme yolunda önemli adımlar atmaya çalışan, bu sebeple denge politikaları üzerine kurulu bir siyasi yapısı olan, sırtını AB ülkelerine yaslamış, 17 18 www.internetworldstats.com/eu/bg.htm. www.internetworldstats.com/asia/am.htm. 41 gelişmekte olan ülkeler arasındadır. Ülkenin 2007 itibari ile nüfusu 4.389.004’tür. 2000 yılında internet kullanımı kabaca 20 bin kişi ile sınırlı iken, 2006 yılında bu sayı yine kabaca 332.000’e ulaşmıştır. İnternet kullanıcılarının nüfusa oranı ise % 7,6’dır (IWS, 2009). Irak ise, 1990’lı yıllardan bu yana savaş ve kan içinde kötüleşen durumuyla kendi içinde mücadeleleriyle, dış baskılarla ve en önemlisi işgalle toprak bütünlüğünü koruma çalışan, maddi ve manevi yardıma muhtaç bir ülke olmakla birlikte, bilişim yönünden de aşırı derecede zayıf bir ülkedir. Ülke nüfusu USCB’ye göre 28.221.181 olan Irak’ın internet kullanım oranı aşağıdaki gibidir. Tablo 12: Irak İnternet Kullanıcı Nüfusu (2000 – 2008) 19 Yıllar Kullanıcı Sayısı Nüfus Nüfusa Oranı % Kaynak 2000 12.500 26.628.187 0.1 ITU 2002 25.000 26.095.283 0.1 ITU 2008 275.000 28.221.181 1.0 ITU Bölgenin en gelişmiş ülkelerinden biri olan İran’da ise Türkiye’deki duruma benzer bir gelişme söz konusudur. Öyle ki Tablo 13’den de anlaşılacağı gibi İran 2008 yılında en çok internet kullanan ülkeler sıralamasına girmiş, kullanıcı sayısında ise % 9.100’lük bir artış sergilemiştir. Bölgede aykırılığı İsrail’le birlikte temsil eden İran’ın gelişim tablosu aşağıdaki gibidir. Tablo 13: İran İnternet Kullanıcı Nüfusu (2000 – 2008) Yıllar Kullanıcı Sayısı Nüfus Nüfusa Oranı % Kaynak 2000 250.000 69.442.905 3.8 ITU 2002 5.500.000 69.442.905 7.5 ITU 2005 7.500.000 69.442.905 10.8 ITU 2008 23.000.000 65.875.223 34.9 ITU 20 Ortadoğu’nun en gelişmiş ve uluslararası bağlantıları olan ülkesi İsrail’in internet kullanım oranı oldukça yüksektir. TNS’ye göre Mayıs 2008 itibari ile 5.263.146 internet kullanıcısına sahiptir. Bu sayı ülke nüfusunun % 74,0’üne tekamül etmektedir. Bahsedilen yüzde ışığında İsrail’in dünyanın en yüksek internet kullanıcısı oranına ve en yüksek geniş bant nüfuzuna sahip olduğunu söyleyebiliriz. 19 20 www.internetworldstats.com/me/iq.htm. www.internetworldstats.com/me/ir.htm. 42 İsrail 1990’lı yılların ortalarından buyana dört GSM operatörüne, altı uluslararası servis sağlayıcısına ve üç yerel kablo ve uydu yayını altyapısına sahiptir. Oldukça gelişmiş bir bilişim sektörü olan İsrail’in ekonomik gelişim tablosu da ortadadır. Dünya Bankası 2007 verilerine göre, kişi başına düşen GSMH 21.900 dolardır. 2000 – 2008 yıllarına ait tablo ise aşağıdaki gibidir. Tablo 14: İsrail İnternet Kullanıcı Nüfusu (2000 – 2008) 21 Yıllar Kullanıcı Sayısı Nüfus Nüfusa Oranı % Kaynak 2000 1.270.000 6.986.639 18.2 ITU 2008 5.263.146 7.112.358 74.0 TNS Güney komşumuz Suriye’de de durum diğer ülkelerden farklı değildir ve internet kullanıcısı sayısı yıllara göre gelişim göstermektedir. 2007 yılı itibari ile nüfusu 19.172.000 olan Suriye’nin (Haberler.com, 2007), internet kullanıcısı sayısı 2008 itibariyle 2.132.000’dir. Suriye son yıllarda girdiği liberal değişim sürecinde, AB’ne verdiği sözle birlikte 2010 yılına kadar piyasayı devlet tekelinden tamamen çıkaracağını taahhüt etmiştir. Hali hazırda pek çok servis sağlayıcının alt yapısı bir devlet teşekkülü olan STE (Suriye Telekom Kurumu) tarafından desteklenmektedir. Suriye ile ilgili ayrıntılı bilgilere aşağıdaki tablodan göz atabiliriz. Tablo 15: Suriye İnternet Kullanıcı Nüfusu (2000 – 2008) 22 Yıllar Kullanıcı Sayısı Nüfus Nüfusa Oranı % Kaynak 2000 30.000 17.868.100 0.2 ITU 2002 220.000 18.586.743 1.2 ITU 2005 800.000 19.046.520 4.2 ITU 2008 2.132.000 (2007)19.172.000 8.9 ITU Yukarıda bahsedilen veriler ışığında, internetin yoğun ve hızlı bir şekilde hayatımıza girmiş olduğunu, gerek ülkemizde gerekse çevre ülkelerde internet kültürünün tüm devlet yaşamını bile etkiler şekilde yeşerdiğini söyleyebiliriz. İnternetle birlikte pek çok kez bahsettiğimiz gibi siber suç olgusunun da geliştiğini 21 22 www.internetworldstat.com www.internetworldstats.com/me/sy.htm. 43 yine sayısal rakamlarla açıklamaya çalışacağız. Aşağıdaki bölümde siber suçlardaki artışın ülkemizdeki yansıması konu alınacaktır. 1.2.2.2. Siber Suç Olgusunun Türkiye’deki Durumu Son yıllarda internet kullanımıyla ilgili olarak, gerek sivil toplum kuruluşlarının gerekse devlet eliyle yapılan pozitif propagandanın etkili olduğunu söylemek yerinde olacaktır. Sanal âlemde meydana gelen suç türleri bakımından ülkemiz hukukunda belirli bir düzenleme mevcutsa da, suça konu faaliyetlerin ihbar olarak çeşitli kurumlara farklı vasıtalar ile iletilmesi, istatistikî verilerin yeknesaklığı açısından sorun yaratmaktadır. 23.05.2007 tarihinde yürürlüğe giren 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele edilmesi Hakkında Kanun’da bazı eksiklikler mevcuttur. Konumuz itibariyle ilgili kanundaki en büyük eksikliğin, terör suçlarına yönelik bir düzenleme içermemesi olduğu düşünülmektedir. 5651 sayılı kanunun Erişimin engellenmesi kararı ve yerine getirilmesi alt başlığında; 26.9.2004 tarihli ve 5237 sayılı Türk Ceza Kanununda geçen; 1) İntihara yönlendirme (madde 84), 2) Çocukların cinsel istismarı (madde 103, birinci fıkra), 3) Uyuşturucu veya uyarıcı madde kullanılmasını kolaylaştırma (madde 190), 4) Sağlık için tehlikeli madde temini (madde 194), 5) Müstehcenlik (madde 226), 6) Fuhuş (madde 227), 7) Kumar oynanması için yer ve imkân sağlama (madde 228), suçlarına yer verilmiştir. Dokurer’in eserinde bulunan, bilişim suçlarına ait 1998 – 2001 yıllarını kapsayan suç istatistiklerine baktığımızda, suç sayısında yıllara göre bir artış gözlemlenirken, aynı zamanda suç kategorisinde de bir artış gözlemlenmektedir. Özellikle 2000 yılına kadar lisans hakları ile ilgili bir suç oranı ya da bilgisi görünmemekteyken, 2000 yılından sonra lisans hakları ihlaliyle ilgili suç istatistiği 44 oranını birinci sırada görmekteyiz. 1998 yılında dolandırıcılık en büyük yüzdeye sahipken, 1999’da ikinci sıraya gerilemiş, ilk sırayı sahteciliğe bırakmıştır. Devam eden yıllarda ise sıralama lisans hakları ihlali, dolandırıcılık, sahtecilik, yasa dışı yayınlar ve bilgisayar sabotajı şeklinde olmuştur. Dolandırıcılık suçunun % 62’lik kısmı kredi kartı dolandırıcılığı olarak tezahür etmekteyken, % 21’lik kısmı ATM dolandırıcılığı ve % 12’lik kısmı ise hırsızlık yolu işlenmiştir. Bilgisayar yolu ile yapılan sahtecilik ile ilgili yüzde dağılımı ise; %26 yazar kasa fişi, % 23 Milli Piyango bileti, % 17 sigorta poliçesi, % 17 sahte para, % 13 sahte evrak, % 2 kimlik kartı ve % 2 pasaport sahteciliği şeklindedir (Dokurer, 2008: 5). Tablo 16: 1998 – 2001 Yılları Arasında İşlenen Bilişim Suçlarına Karışan Kişilere Ait Durum İstatistiği 23 Lisans hakları ile ilgili meydana gelen suçların ise % 82’si film sektörü, % 14’ü bilgisayar oyunları ve % 4’ü müzik sektörüne yöneliktir. Yasadışı yayınların içinde çocuk pornografisi % 40’lık oranla ilk sırada yer alırken veriler Interpol aracılığı ile elde edilmiştir. Terör bağlantılı yasak yayınların oranı % 30 iken, pornografik yayınların oranı % 25, hakaret içerikli yayınların oranı ise % 5’tir. Ayrıca 1998 – 2001 yılları arasında, Lisans Hakları ihlali yapan şüpheli sayısı 105, Dolandırıcılık yapan şüpheli sayısı 76, sahtecilik yapan şüpheli sayısı 43, yasadışı yayın yapan şüpheli sayısı 21, bilgisayar sabotajı yapan şüpheli sayısı 3, diğer suç olaylarına karışan şüpheli sayısı ise 4’tür (Dokurer, 2008: 5 – 7). Şüpheli şahıslara ait durum ise aşağıdaki gibidir. Bilgi Teknolojileri ve İletişim Kurumu, Telekomünikasyon İletişim Başkanlığı, İnternet Daire Başkanlığının (İDB) 23.11.2007 ve 01.11.2008 arasında gelen 23 Dokurer, 2008. 45 ihbarlara göre hazırladığı rapora göre, internet üzerinde yasal olmayan içeriklerle ilgili 28.595 ihbar yapılmıştır. Fakat bu yapılan ihbarların yalnızca 14.503’ü incelemeye değer bulunmuş ve gerekli işlemler başlatılmıştır. Yapılan ihbarların büyük çoğunluğu müstehcenlik ile ilgili olarak yapılmıştır ve bu konuda yapılan ihbar sayısı 8.498’dir. En az ihbar konusu ise sağlık için tehlikeli madde teminiyle ilgilidir ve sayısı 67’dir (İDB, 2008: 33). Başkanlık tarafından hazırlanan tabloda ise genel durum aşağıdaki gibidir. Tablo 17: İnternet Daire Başkanlığı İhbar İstatistiği 23.11.2007 – 01.11.2008 24 Suç Türleri % İhbar Sayısı Müstehcenlik (58,5) 8.498 Atatürk aleyhine işlenen suçlar hakkında kanundaki suçlar (11,2) 1.626 Fuhuş (11,2) 1.417 Çocukların Cinsel İstismarı (9,7) 1.325 Kumar oynanması için yer ve imkân sağlama (4,7) 691 İntihara yönlendirme (2,0) 300 Diğer (0,7) 112 Uyuşturucu / Uyarıcı madde kullanımını kolaylaştırma (0,6) 92 Bahis / Kumar (0,5) 75 Sağlık için tehlikeli madde temini (0,4) 67 TOPLAM 14.503 Başkanlık tarafından yayınlanan 09.02.2009 tarihli ihbar istatistiği verilerine göre ise yapılan toplam ihbar sayısı 48.827’dir. Daha önceki durumla aynı olarak yapılan ihbarların büyük çoğunluğu fuhuşla ilgilidir. Ayrıca, belirtilen tarihe kadar olan dönemde toplam 1631 site engellenmiş, bunlardan 1343’ü re’sen, 288’i ise yargı yolu ile engellenmiştir. Bununla birlikte 52 siteye engellemeyi kaldırma kararı uygulanmış, böylece geriye kalan toplam 1579 siteden 1337’si re’sen, 242’si ise mahkeme kararı ile kapatılmış olmaktadır. Erişimin engellenmesi kararı ile 1214 alan adına ve bu alan adlarının bazılarına ait 365 IP adresine de, aynı karar uygulanmıştır (Guvenliweb, 2009). 24 www.tib.gov.tr 46 Tablo 18: İnternet Daire Başkanlığı İhbar İstatistiği (09.02.09) 25 Toplam İhbar - Şikâyet Sayısı 48.827 Katalog Suç Kapsamında Belirtilen İhbar Sayısı 22.846 Mükerrer İhbar Sayısı 16.454 Katalog Suç Kapsamında Olmayan Diğer İhbar Sayısı 9.527 Katalog Suç Kapsamından Bildirilen Alan Adı Sayısı 13.390 İhbar şikayetlerinin toplam sayısının, 2008 ve 2009 yılları arası karşılaştırmasını yaptığımızda % 170,7’lik bir artış olduğu sonucuna varmaktayız. Katalog suç kapsamında yapılan ihbar oranında da % 157,5’lik bir artış söz konusudur. 2009 yılı için hazırlanan raporda yine müstehcenlik % 59,4 ile en yüksek orana sahip ihbar konusu olurken, aynı sene içinde yine en az ihbar konusu ise sağlık için tehlikeli madde teminiyle ilgilidir ve tüm ihbarlar içinde % 0,5’lik bir orana sahiptir. Tablo 19: İnternet Daire Başkanlığı Katalog Suç İhbar İstatistiği (09.02.09) 26 Kategori Müstehcenlik İhbar Sayısı 13.571 Çocukların cinsel istismarı 2.632 Fuhuş 2.334 Atatürk aleyhine işlenen suçlar hakkında kanundaki suçlar 2.098 Kumar oynanması için yer ve imkan sağlama 875 İntihara yönlendirme 444 Diğer 442 Bahis / Kumar 178 Uyuşturucu / Uyarıcı madde kullanımını kolaylaştırma 150 Sağlık için tehlikeli madde temini 122 TOPLAM 22.846 2009 İnternet Daire Başkanlığı Raporuna göre, çocuk istismarı ihbarlarında bir yükselme mevcutken, Atatürk aleyhine işlenen suçlar hakkında yapılan ihbar sayısında bir azalma görülmektedir. Müstehcenlik, fuhuş, kumar oynanması için yer temin etme, intihara yönlendirme, diğer suçlar ve sağlık için tehlikeli madde temini 25 26 www.guvenliweb.org.tr www.guvenliweb.org.tr 47 konularında yapılan ihbar yüzdelerinde sıralama bakımından bir değişiklik olmamıştır. Fakat 2009 için hazırlanan rapora göre 2008 istatistiklerinden farklı olarak, bahis ve kumar suçlarına yapılan ihbarlar artış gösterirken, uyuşturucu ve uyarıcı madde kullanımı konusunda yapılan ihbarlarda yüzdesel bir düşüş yaşandığı gözlemlenmektedir. Tablo 20: İhbarlara Yönelik Yapılan Re’sen ve Yargısal İşlemler (09.02.09) 27 Kategori Fuhuş (Madde 227) Re'sen Yargı 19 2 Sağlık için tehlikeli madde temini (Madde 194) 0 0 Uyuşturucu / Uyarıcı madde kullanımını kolaylaştırma (Madde 190) 2 1 İntihara yönlendirme (Madde 84) 1 0 83 7 Atatürk aleyhine işlenen suçlar hakkında kanundaki suçlar 2 50 Kumar oynanması için yer ve imkan sağlama (Madde 228) 73 17 0 167 Çocukların cinsel istismarı (Madde 103,birinci fıkra) 617 5 Müstehcenlik (Madde 226) 546 39 1.343 288 Bahis / Kumar Diğer TOPLAM Emniyet Genel Müdürlüğü (EGM), bilişim suçları ile mücadelede diğer pek çok kurum ve kuruluştan çok daha önde bir strateji izlemektedir. Kaçakçılık ve Organize Suçlarla Mücadele Daire Başkanlığı (KOMDB), gelecek yıllarda büyük bir patlama yaşayacak siber dünyaya ait suç potansiyelini uzun zaman önce fark edip, kendi bünyesi içinde 2003 yılından bu yana profesyonel bir yapılanma içine girmiştir. Daire başkanlığı nezdinde, bilişimle ilgili alt yapı çalışmalarına kaynak ayrılmıştır. Bu konuda atılan en büyük adım şube müdürlüğü derecesinde bir yapının faaliyete geçirilmesi olmuştur. Bilişim Suçları ve Sistemleri Şube Müdürlüğü, 03.09.2007 tarihinde, Kaçakçılık ve Organize Suçlarla Mücadele Daire Başkanlığına bağlı olarak, İstanbul Emniyet Müdürlüğü bünyesinde kurulmuştur. Ülkenin diğer illerinde de Bilişim Suçları Büro Amirlikleri aracılığıyla, bilişim suçlarına yönelik ciddi çalışmalar yürütülmektedir. Bu kapsamda, KOMDB’nın 2007 yılında 27 www.guvenliweb.org.tr 48 hazırladığı rapora göre ülke genelinde meydana gelen suçlarda, 2007 Yılı içerisinde 1000 Adet Bilgisayar Hard diski, 4456 Adet CD ve 16 Adet DVD incelenmiştir. Tablo 21: KOMDB Türkiye Bilişim Suçları İstatistiği (2005 – 2007) 28 2005 Olay Türü Kredi Kartı Sahteciliği ve Dolandırıcılığı Banka Dolandırıcılığı Bilişim Suçları ve Dolandırıcılığı Toplam 2006 2007 Olay Şüpheli Olay Şüpheli Olay Şüpheli 195 543 122 241 209 423 9 33 98 172 164 443 91 179 4 9 206 421 295 755 224 422 579 1287 Bu birimde çalışan personelin eğitimi ise yine profesyonel eğitim çalışmaları ile tamamlanmaktadır. EGM – KOMDB bünyesinde, personele üç farklı eğitim modeli uygulanmaktadır. Uzmanlık eğitimlerinden birincisi, adli bilişimde olay yerinin korunması konusunda, bir diğeri bilişim suçlarının takibi ve aydınlatılmasına yönelik çalışmalar konusunda, sonuncusu ise veri inceleme, işleme ve kurtarma üzerine adli bilişim hizmeti konusundadır. Bununla birlikte personelin bilgi güncelliği ve bilgi tecrübesini sürekli kılmak için ulusal ve uluslararası eğitim faaliyetlerine devam edilir. Böylece daire personeli uzmanlık alanına göre, siber dünyada işlenen ve ülkemizle bağlantılı suçların aydınlatılmasında görevlendirilir. Adli bilişim konusuna özellikle önem veren başkanlık, suçun delillendirilmesi amacıyla biri merkeze bağlı, toplam 16 Adli Bilişim Bölge Merkezinde görevli uzman personel ile ülke çapında hizmet vermektedir (KOMDB, 2007: 101 – 104). KOMDB’nın bilişim alanında gerçekleştirdiği başarılı çalışmalar süreç içerisinde meyvelerini vermeye başlamıştır. Buna en güzel örnek 2008 yılında NCFTA (Ulusal Siber Adli Bilişim ve Eğitim Birliği) tarafından KOMDB başkanlıkta görevli bir personele verilen “Yılın Bilişim Suçları Soruşturmacısı Ödülü”dür. Sadece 2008 yılında gerçekleştirilen ulusal ve uluslararası eğitim faaliyeti sayısı 19’dur. Bu faaliyetlerle birlikte yüzlerce personel eğitime tabi 28 KOM Daire Başkanlığı 2007 Raporu. 49 tutulmuştur. Bilindiği gibi bilişim suçlarında karşılaşılan en büyük sorun uluslararası işbirliğidir, başkanlık ülke adına faaliyet gösterirken, AB ve ABD arasında geliştirilen işbirliklerine de ön ayak olmaktadır ve bu işbirliği atılımı bile başlı başına büyük bir başarıdır (KOMDB, 2008: 108 – 111). KOMDB merkez ve taşra birimlerince 2008 yılı içinde beş tane büyük çaplı operasyon mevcuttur. Bu operasyonlarda özellikle mağdur sayısı ve mali zarar boyutu açısından önemli noktalar dikkati çekmektedir. Nisan ayında Ş.Urfa’da gerçekleştirilen “Kontör Yolla” adlı operasyonda, kendilerini nüfuz sahibi kişiler olarak tanıtan ve aradıkları kişilerden kontör isteyen şebeke elemanı 85 kişi hakkında adli işlem başlatılmıştır. “Chao” adı verilen operasyonda ise liderliğini bir Türk vatandaşının yaptığı ve birden fazla bilişim suçu alanında faaliyet gösteren şebekeye yönelik projeli çalışma başlatılmıştır. Çalışmada FBI ile işbirliği içerisinde hareket edilmiş, kredi kartı bilgileri üzerinden maddi gelir elde eden yedi kişi suç konusu teçhizatla birlikte ele geçirilmiştir. Şebeke elemanlarının, skimmer denilen kredi kartı bilgilerini kopyalamaya yarayan aleti fabrika düzeyinde ürettikleri ve global pazar içinde sattıkları tespit edilmiştir (KOMDB, 2008: 111 – 112). “Sanal Deprem” adlı operasyonda ise, TRaVma rumuzlu bir Türk vatandaşının şebekenin liderliğini yaptığı, şahsın kredi kartı dolandırıcılığı faaliyeti içerisinde olduğu yapılan uzun soluklu teknik takip sonucu anlaşılmıştır. Şebeke elemanları, www.realunix.net ve irc.realunix.net 29 sunucuları üzerinden dolandırıcılık işlemlerini devam ettirirken, ülke çapında başta İstanbul olmak üzere, Ş.Urfa, Muğla, Kastamonu, Sivas, Diyarbakır, Hatay, Mersin, Kocaeli, İzmir, Çorum, Yozgat ve Ankara illerinde eş zamanlı operasyona başlanılmıştır. Operasyon sonucunda 29 şahıs gözaltına alınmış, şahıslarla birlikte, bilgisayar hard diskleri, boş ve dolu manyetik şeritli kredi kartı, banka ve kredi kartı kopyalamaya yarayan encoder cihazı, bilgisayar ve çok miktarda suça konu para ele geçirilmiştir. “Sanal Tuzak” adı 29 IRC (Internet Relay Chat) siber suçlular veya siber teröristler tarafından, ellerindeki bilgileri ve satış fiyatlarını öğrenmek, bilgi satışı için pazar oluşturmak için kullanılan bir sunucu sistemidir. Yer altı ekonomisi sunucularına üye suçlular genelde kendi aralarında bir yasa uygularlar, bu yasa yazılı olarak işlemez fakat kurallara uymayanlar IRC sunucu yöneticilerine rapor edilir ve bu kişiler aynı sistem üzerinden suçlular tarafından birbirlerini uyarmak suretiyle deşifre edilmiş olurlar. Bu tür hareketleri tekrarlayanlar ya o sistemden kovulur ya da uzaklaştırılır. Potansiyel alıcılar ise satıcılarla kurdukları özel iletişimler üzerinden anlaşmaya varır ve alış veriş sonlandırılır. 50 verilen ve Adana KOM Şube Müdürlüğü tarafından başlatılan operasyonda ise, yine kredi kartı dolandırıcısı 13 şahıs ve 1000 adet kopyalanmış kredi kartı encoder cihazıyla birlikte ele geçirilmiştir. Bu operasyonda dikkati çeken ise şebeke elemanları arasında İngiltere ve Yunanistan vatandaşlarının da olmasıdır. Son olarak “Karnaval” adı verilen operasyonda ise üç farklı şebekenin birlikte hareket ederek internet üzerinden yapılan havalelerde dolandırıcılık yaptığı tespit edilmiştir. İstanbul Bilişim Suçları ve Sistemleri Şube Müdürlüğü tarafından yapılan Karnaval operasyonunda 37 şahıs hakkında yasal işlem başlatılmıştır (KOMDB, 2008: 112 – 114). Tablo 22: KOMDB Türkiye Bilişim Suçları İstatistiği (2006 – 2008) 30 Olay Türü Kredi Kartı Sahteciliği ve Dolandırıcılığı Banka Dolandırıcılığı Bilişim Suçları ve Dolandırıcılığı Diğer Toplam 2006 2007 2008 Olay Şüpheli Olay Şüpheli Olay Şüpheli 310 468 594 907 830 991 723 1398 642 1187 1177 2114 178 283 416 764 560 842 7 60 91 134 157 416 1218 2209 1743 2992 2724 4363 Ülkemizde bilişim suçları ile ilgili yapılan çalışmalarda karşılaşılan suç konusu olaylar; 1. İnteraktif banka dolandırıcılığı, 2. Banka veya kredi kartı dolandırıcılığı veya sahteciliği, 3. Hesap bilgileri ve kart bilgilerinin bilişim sistemleri ile elde edilmesi, 4. ATM ve diğer sistemler üzerinden finans, şifre bilgilerinin elde edilmesi amacıyla bilişim sistemlerine sızılması, 5. Bilişim sistemlerine girme, sistemi engelleme, bozma, verileri yok etme veya değiştirme ve 30 KOMDB, 2008: 114 51 6. Zararlı programlar ile bilişim sistemlerinde kullanılan yazılımların kırılması veya çalınması olaylarıdır. Mersin Emniyet Müdürlüğü, Bilişim Suçları Büro Amirliği tarafından 2007 yılında yapılan 126 operasyonda, 224 şüpheli gözaltına alınmış, bunlardan yalnızca yedisi tutuklanmıştır. 2008 yılında yapılan operasyon sayısı ise 137’ye yükselmiş, 269 kişi bu operasyonlarda gözaltına alınmış, bunlardan 23’ü tutuklanmıştır. Mersin, bilişim suçları olay sayısı itibariyle İstanbul’dan (1902 olay) sonra ikinci sırada gelmektedir. Yukarıda verilen sayısal değerler düşünüldüğünde akla gelen iki nokta vardır. Bunlardan birincisi gözaltına alınan şahıslarla tutuklamalar arasındaki uçurum, bir diğeri ise suçlarda yaşanan artış ve buna bağlı olarak operasyon, gözaltına alınma ve tutuklanma sayısındaki artış. Gözaltına alınan sayısı ile tutuklanma oranındaki farkın temel nedenleri, gelişmekte olan bir suç olma özelliği taşıyan bilişim suçlarında yetişmiş emniyet hizmetleri sınıfı personelin yetersizliği gösterilebilir. Bu yetersizlik suçun delillendirilmesin de kendini ne kadar hissettirirse, gözaltına alınan sayısıyla tutuklanan sayısı arasındaki uçurum o kadar büyür. Adli bilişim denilen siber suçların olay yeri incelemesi son derece önemlidir. Bu konuda yapılan çalışmalar ve alınan eğitimlerle çok büyük olmasa da epey mesafe kat edilmiştir ve edilmeye devam edilmektedir. Bilişim suçlarının işlenişi bakımından Emniyet istatistiklerine göre ilk on ilimiz şu şekildedir; Tablo 23: Bilişim Suçları Olay Sayısına Göre İlk On İl 31 İstanbul Yüzdeler Mersin G.Antep Antalya İzmir Kocaeli Adıyaman Ankara K.Maraş Antalya Adana G.Antep Mersin Adana İstanbul 20 18 16 14 12 10 8 6 4 2 0 K.Maraş Ankara Kocaeli Adıyam an İzm ir 31 Türkmen, 2008. 52 Bununla birlikte adli yargılama kurumu personeli arasında da bu konularda uzmanlaşmış personel sayısı yeterli bulunmamaktadır. Öncelikle ele alınması gereken konunun yargısal sistemde bu tür suçlarla ilgili ihtisas mahkemeleri kurulmasına yönelik düzenlemelerin hazırlanması olduğu, yargı çevreleri tarafından da dile getirilen bir husustur. Özel önem gerektiren çocuk mahkemeleri, trafik mahkemeleri ve ticaret mahkemeleri gibi bilişim mahkemeleri kurulması gerektiği gelecekte karşılaşılacak suçlar göz önüne alındığında kaçınılmaz olarak karşımızda durmakta iken, bu oluşumun alt yapısının şimdiden oluşturulması gerekliliği ön plana çıkmaktadır. 53 İKİNCİ BÖLÜM BİLİŞİM SUÇLARININ SINIFLANDIRILMASI 2.1 BİLİŞİM SUÇLARININ ÇEŞİTLERİ Sosyolojik bir konu olarak suç, insan doğasıyla ve çevresel faktörle açıklanmaktadır. Çevresel faktörler neleri ihtiva eder diye düşündüğümüzde ise hemen yaşadığımız doğa ile bir bağlantı kurmaya çalışırız. Günümüzde, normal bir doğal çevreye ilave sanal bir çevre kültürü yeşermektedir. Pek çoklarının sanal âlem ya da siber âlem dediği bu olgu artık bizi ne kadar etkiliyor? Bilgisayar başından her türlü işlemini gerçekleştiren ve ağlar arasında kaybolmuş bir birey çevresine ne kadar dikkat edebilir ya da insanlarla olan iletişimini ne düzeyde devam ettirebilir? Bu soruların cevapları elbette sosyologlar ya da psikologlar tarafından araştırılmaktadır, bu bağlamda yapılan araştırmalardan elde edilen verilere göre bireyler toplumdan kendini yavaş yavaş yalıtmaktadır, bunun bir sonucu ise kişide ruhsal bozuklukların oluşması ve depresyon halidir. Arkadaş veya aile ilişkilerinden uzaklaşan sosyal bir varlık olarak insan pek çok yönden sosyopat bir kişilik alt benliği yaratmaktadır. Konuya kriminolojik açıdan yaklaştığımızda ise bilişim suçlarını işleyen bireylerin ki bu suçlar bireysel olarak işlenebileceği gibi toplu olarak da işlenebilir, genel itibariyle bir meslek sahibi genç ve zeki insanlardan olduklarını görmekteyiz. Günümüzde işlenen bilişim suçu mağdurlarının kim ya da ne olduklarına baktığımızda, karşımıza en çok ticari şirketler, kamu kurum ve kuruluşları ile banka ve telekomünikasyon kurumları çıkmaktadır (Yazıcıoğlu, 1997:107). Bilişim suçunu işleyen bireylerin daha önce adi suçlardan dolayı kayıtlarının olmadığını ve suç mağdurlarının profilinden de anlaşılacağı üzere kendilerini zamane Robin Hood olarak gördüklerini söyleyebiliriz. Medya organlarının da bu tür suçluları zenginden alıp fakire veren kişi/kişiler veya halk kahramanı olarak tanımladığını belirtmek gerekir, bunun ötesinde internet üzerinde kendilerini hackerlerin bir araya geldiği ortam olarak tanıtan, binlerce üyesi olan forum, haberleşme ve paylaşım sitelerinde “Basında Biz” bölümü vazgeçilmezlerdendir. 54 Tarihin her sayfasında bilgi hep bir güç olarak kullanılmış ve güçlüler ile bilgiye sahip olanlar ise hep zenginler olmuştur, fakat artık bilgiye ulaşmak için zengin olma gibi bir şart bulunmamaktadır, siber medeniyette her bilginin herkes tarafından paylaşılması inancı işte bu Robin Hood’ların arzusudur: bilginin serbest dolaşımı. Bilgisayar kaynaklı suç tiplerinde faillerde genel olarak, ya çalıştıkları iş yerinin kendilerine yetersiz gelmesi ya da işyerinden çıkarılma sebebiyle intikam ve ders verme duygusu, finansal zorluklar içinde bir yaşamı hak etmediği inancı, toplum içinde farklı bir birey olma ve bilgisayara karşı üstünlüğünü kanıtlama duyguları egemendir (Demirbaş, 2005: 268). Tüm bunlara rağmen bilişim suçlarında kriminal açıdan üzerinde durulan en büyük konu ise suçun kendisi olmaktadır. Suçun işleniş biçimi, işlenirken hangi bilgilerin kullanıldığı, teknik donanımın ne olduğu ve zamansal-tekrarlanabilir olup olmadığı konuları üzerinde durulmaktadır. Bir devlet dairesini ya da bir özel sektör kurumunu düşündüğümüzde, bilgisayar olmasa acaba yapılacak işler günümüzde ne kadar zaman alır ve insanlar bu duruma ne kadar tahammül edebilirler. Bunun ötesinde sistemin çöktüğünü veya bir sorun gereği bir süreliğine işlemlere cevap vermediğini düşünelim. Bu durumdan etkilenmeyecek kurum ya da birey yoktur. Bilgilerimizi daha kolay ve her an ulaşabilecek şekilde sakladığımız dijital bellekler her şeyi depolama kabiliyetine sahiptir. Geçmişte de bir dosyalama sistemimiz vardı fakat hem maliyet yönünden zararlı hem de depolama ve ulaşılabilirlik yönünden fazla hantal ve zahmetliydi. Kısaca düşündüğümüzde, dijital veri tabanlarının ne kadar kullanışlı ve yararlı bir sistem olduğunu kavrayabiliriz. Fakat her dijital veri tabanı ya da bellek sistemi güvenilir midir? Bilgisayar ağlarına emanet ettiğimiz kişisel bilgilerimiz, gizli dosya ve klasörlerimiz artık sadece bizim ulaşabileceğimiz bir yerlerde mi? Yoksa bu bilgilere herkes ulaşabilir mi? Konuya güvenlik olarak yaklaştığımızda, neyin ne kadar güvenli olabileceği konusunda bile şüphelerimiz vardır. Hiç kimsenin ya da ilgili kişiler haricinde ki insanların bilmeleri gerekmeyen verilerimizi korumanın yollarını düşünürüz ama bu yöntemlerin ne kadar güncel ya da güvenli olduğunu bilemeyiz. 55 Teknolojiye bağlı olarak son 20 yılda artan ve artmaya devam edecek olan bilişim suç ve suçlularının özelliklerine değinmek gerekirse; genel itibariyle bilişim suçları bilgisayar ve bir ağ üzerinden bilişim teknolojileri kullanarak gerçekleştirilir, yakalanma riski sıfıra yakındır, elde edilmesi amaçlanan çıkarım yüksek bir oranda elde edilir, bu tür suçların doğası gereği yeni bir suç türü olması kanun ve düzenlemeleri yetersiz ve eksik kılmaktadır, pek çok adi suç türüne göre maddi ve manevi hasar daha yoğundur, suç mağdurları genel olarak bilgisayar sistemleri konusunda az bir bilgiye sahip kullanıcılar ile kamu ve finans sektörü kuruluşlarıdır, bahse konu kuruluşların güvenlik açıklarını kötü imaj endişesiyle kolluk kuvvetlerine bildirmemeleri söz konusudur, suça karışan bireylerin genelde 30 yaş altı kimseler olması, fail profilinin eğitimli ve bilinçli kişiler olması ayrıca kendilerine fazla güven duymaları olarak özetleyebiliriz. Bilgisayar sistemlerine yönelik saldırılar üç ayrı alanda incelenmektedir ve fiziksel, sentaktik ve semantik olarak adlandırılmaktadır. Fiziksel saldırılarda, bomba gibi konvansiyonel silahlar kullanılır, sentaktik saldırılar, ağ ve bilgisayar sistemlerinin çökertilmesine yönelik virüs tipi yazılımları içermektedir. Semantik saldırılar ise daha zekice planlanmış bir yaklaşımı ifade etmektedir. Semantik saldırılarda saldırgan, sistemin hata üretmesini ve tahmin edilmeyen sonuçların ortaya çıkması amaçlar. Sentaktik saldırılar zararlı yazılımlar olarak bilinen malware ile gerçekleştirilir. Bu saldırılar, virüsleri, kurtçukları ve Trojan atlarını kapsar. En çok bilinen zararlı yazılım bulaştırma yöntemi e-mail içine gizlenip gönderme eylemidir. DDoS ve DoS saldırıları da sentaktik saldırılar kapsamına girmektedir. Bu tür saldırılarda en çok kullanılan yöntem ise ping atma işlemidir. Ping, verilen internet adresine ulaşabilirliği doğrulayan standart internet işlemidir. Yoğun şekilde yapılan ping ataklarında sistemde bir aşırı yüklenme meydana gelir, bu şekilde sistemin veya ağın internet veya intranet hizmeti alması engellenir. Semantik saldırılar ise yanlış bilginin neşredilmesi veya bilginin değiştirilmesini kapsar. Email, forum siteleri ve mesaj panelleri vasıtasıyla daha kolay bir şekilde yayılması sağlanan yanlış bilgilerle, insanlar, kamu ve özel sektör kurumları yönlendirilir (Prichard ve MacDonald, 2004: 281). 56 Bilişim sektörünün pek çok yararının yanında olası zararlarının da varlığı, üzerinde daha derinlemesine ve bilinçli araştırmaların yapılması gerekliliğini ortaya koymaktadır. Bilişim suçlarının kategorize edilmesinde pek çok yöntem kaleme alınmıştır. BM’nin 10 – 17 Nisan 2000 tarihleri arasında Viyana’da gerçekleştirdiği 10. kongresinde, Suçun Engellenmesi ve Suçluların Tedavisi konulu bir toplantı düzenlenmiş, bu toplantıda bilişim suçları beş ayrı sınıfa ayrılmıştır. Bu sınıflandırmaya göre; a) İzinsiz girişler, b) Elektronik veri ve yazılımları değiştirme ya da zarar verme, c) Bilişim sistemini ya da network fonksiyonlarını sabote etme, d) Bilişim sistemi ya da network üzerindeki verileri yetkisiz olarak durdurma veya farklı bir sisteme yönlendirme, e) Bilgi casusluğu amacı ile yapılan her türden eylem, bilişim suçu olarak tasnif edilmiştir. Avrupa Konseyi Siber Suç Sözleşmesi, Interpol Bilgisayar Suçu El Kitabı ya da Birleşmiş Milletler Bilgisayar Suçunu Önleme El Kitabı tasnifleme konusunda bizlere örnek oluşturabilir. Fakat eserin esas konusundan uzaklaşmamak maksadıyla bilişim suçları bu eserde iki ana başlık üzerinden işlenecektir. 2.1.1. Çıkar Amaçlı Bilişim Suçları Suçun sosyolojik tanımı içerisinde, bireylerin gerek farklı motivasyonlarla gerekse salt çıkar elde etmek maksadıyla işledikleri suçlar bir çıkar ve amaca hizmet eder. Yeni yeni gelişen bilişim teknolojilerinin ise kötü amaçlı kullanımı esas itibariyle bireylerin merak arayışından doğmuştur. Bireysel ya da kitle halinde işlenebilen bu suçlar genel kullanıma açık okul, kütüphane, internet kafe gibi mekânlarda ya da şirket bilgisayarlarından herhangi biriyle icra edilir. Çünkü bilgisayar kullanımını ileri derece tekniklerle gerçekleştiren bu art niyetli kimseler her bilgisayarın da arkasında bir iz bırakacağını bilir. Çok az tecrübe sahibi kişiler ya da aşırı motive bireyler genelde kendi bilgisayarlarını kullanır, bununda farklı sebepleri olabilir, örneğin tecrübesizlik ya da meydan okuma gibi. 57 Suçun oluşmasında pek çok motivasyon söz konusudur, kendini ispatlama, gruba dahil olma, para kazanma, zarar verme, intikam, merak ya da ırkçılık gibi daha da uzatılabilecek fakat siyasi olmayan suç motivasyonlarından bahsedebiliriz. Çıkar amaçlı bilişim suçlarında bireysel saldırıların yanı sıra organize suç şebekelerinin faaliyetlerini de görmekteyiz. Çocuk istismarı, cinsel amaçlı sömürü ya da organ kaçakçılığı gibi pek çok organize suç türü günümüz koşulları itibariyle kendini internet ortamında da göstermektedir. Çekirdek hücre sistemi içerisinde dışarıya bilgi sızdırmadan, maksimum hızda ve minimum zamanda elde etmeyi amaçladıkları hedefe ulaşabilen zamanımızın organize şebekeleri, ticari faaliyette bulunan kurum ve bankalara yönelmiş durumdadır. İstanbul’da vadeli hesaplara ait bilgileri, banka müşterilerinin bilgisayarlarına Trojan göndererek ele geçiren bir organize örgüt ya da Antalya’da çocuklara karşı cinsel saldırılar gerçekleştiren bir suçlunun, bahse konu çocukların fotoğraflarını internet üzerinden yayınlaması artık günümüz suç örneklerindendir (Tumgazeteler.com, 2006). Çıkar amaçlı bilişim suçlarını; 1. Bilgisayar sistemlerine ya da bilgisayar ağlarına yetkisiz olarak erişmek, 2. Bilgisayar veya ağ sistemlerinin yetkisiz olarak izlenmesi, 3. Kendisine ait olmayan dijital hesabın kötüye kullanımı, 4. Bilgisayar ya da iletişim sistemlerinin, bilgisayar verileri veya programlarına girilmesi, yüklenmesi, değiştirilmesi, silinmesi veya ele geçirilmesi suretiyle engellenmesi, 5. Bilgisayar ve iletişim teknolojileri kullanarak verilerin alınması, girilmesi, değiştirilmesi, silinmesi yoluyla kendisine veya başkasına yasadışı ekonomik menfaat temin etme veya mağdura zarar verme, 6. Bankamatik sistemlerinden yapılan dolandırıcılık ve hırsızlık, 7. Bilgisayar yazılımların izinsiz olarak çoğaltılması, satışı, kopyalanması, dağıtımı ve kullanımı, 8. Kanuna aykırı yayınların saklanmasında ve dağıtılmasında bilgisayar sistem ve ağlarının kullanılması, 58 9. Farklı amaç ve niyetlerle ticari ve meslek sırlarının, bilgilerinin satılması, kullanımı, transferi, dağıtımı, ifşası ya da elde edilmesi, 10. Bir başkasının ya da bir kurumun bilgilerini kullanarak hile ile menfaat sağlama ya da zarar verme, şeklinde bir ayırıma gitmek suretiyle inceleyebiliriz. 2.1.1.1. Çıkar Amaçlı Bilişim Suçlarında Kullanılan Yöntemler 2.1.1.1.1. Çöpe Dalma Daha ziyade kullanılan bilgisayarın hafızasında kalan bilgilerin silinmiş olsa dahi EnCase tarzı adli bilişim olaylarında da kullanılan yazılımlar vasıtası ile geri getirilmesi, geri getirilen bilgiler ile arzu edilen bilgilerin ayıklanması ve kullanılabilir olanların ele geçirilmesi olarak tanımlanabilir. Çöpe dalma ayrıca, bilgisayar çıktılarından arta kalan parçaların bir araya getirilmesi vasıtası ile bilgi etme amacıyla da icra edilebilir. Kurumsal çalışma ortamlarında, içeriden veya dışarıdan tehditler tarafından bu tür bilgilerin elde edilmesi olasıdır. ATM cihazlarının yanında bulunan çöp tenekelerinde işlem sonu hareketleri gösterir fişlerin üzerinden elde edilebilecek bilgiler ve atık kâğıt toplama kutularına gelişi güzel atılan önemli veya gizli içerikli evraklardan bu tür bilgiler, saldırı amacı taşıyan kişiler için önemli ipuçları barındırdıklarından toplanır. Bu tür bilgi toplama yönteminde zaman ve işe yarar bilgi azlığı, saldırganın nihai amacına ulaşmasını zafiyete uğratacağından, saldırı motivasyonu taşıyan suçlular için bu tarz eylemler çokça tercih edilen yöntemlerden değildir. 2.1.1.1.2. Gizli İzleme Veri dağılımının yapıldığı alt yapılara dışarıdan yapılan fiziksel müdahalelerle dahil olunarak veri akışının izlenmesi şeklinde olabileceği gibi, bilgisayar ekranlarının yaymış olduğu elektromanyetik dalgaların yakalanarak, görsel olarak ekran görüntüsünün elde edilmesi şeklinde de icra edilmektedir. Veri işlem merkezlerine 59 yerleştirilen vericilerle, uzak noktalardan nakledilen verilerin incelenmesi ve takip edilmesi de mümkündür. Gizli dinleme, organize suç örgütleri ve terör örgütlerinin ilgisini çektiği kadar devlete ait istihbarat kurumlarının da ilgisini çekmektedir. Organize örgütler ve terör örgütleri genel itibari ile telefon konuşmalarından uzak durmaya gayret göstermektedir. Adli yargılama safhasında suç örgütünün deşifre edilmesi amacıyla alınan iletişimin dinlenmesi kararı, suçluların önüne tape edilmiş konuşmalar olarak konduğu için, suçtan dolayı içeri girmiş ve çıkmış şebeke elemanları veya suç unsuruna rastlanmamış telefon görüşmeleri sahibi kişiye yapılan tebligatlar nedeniyle, suçlular telefonla konuşmamaya, konuşmaları kendi aralarında şifrelemeye, bununda ötesinde gizli buluşma ve yüz yüze görüşme yapmaya başlamıştır. Kendini gelişimin kucağına bırakan organize suç ve terör örgütleri için ise durum farklıdır. Her ne kadar yukarıda bahsedilen önlemler bu gruplar tarafından devam ettirilse de, iletişimin hızlı ve coğrafik sınır tanımaksızın devam ettirilebilmesi için internet ağları kullanılmaya devam etmektedir. Bilgisayar temelli telefon görüşmeleri, mail adresleri kullanarak yapılan iletişim, chat odaları denilen çeşitli konuşma platformları, takibin zor fakat iletişimin global olarak sağlanabilmesine yarayan yeniliklerdir. Günümüzde insanlar telefon numaralarını veya mail adreslerini kolaylıkla değiştirebilmektedir. Özellikle paket anahtarlamalı ağ sistemi iletişim hizmeti sağlama ve merkezi olmayan iletişim imkânına olanak sağlamaktadır. Voice – over – Internet – Protokol dediğimiz VoIP, standart iletişimin önüne geçmiş yaygın bir iletişim hizmeti sunmaktadır. Sesli görüşmenin ötesinde görüntülü görüşme imkânı da sağlayan bu teknoloji suç ağları arasında kesintisiz iletişimin yeni trendi olmuştur (Diffie ve Landau, 2008: 3). 2.1.1.1.3. Veri Hırsızlığı ve Dolandırıcılığı Bilgisayarda bulunan verilerin içeriğini veya önceliğinin değiştirilmesini içeren veri dolandırıcılığında, bilginin değişime uğramasının sebebi bir virüs, veri tabanı veya uygulama yazılımı programcısı ya da bilginin olduğu ortama giren ve verileri manüel olarak değiştiren herhangi biride olabilir. Şüpheli, işlemin yaratılmasına, 60 kaydedilmesine, deşifre edilmesine, kontrol edilmesine, aktarılmasına veya verinin yayımlanmasına dahil kişide olabilmektedir. Bilgisayar bağlantılı suçlar içinde neredeyse hiç bilgisayar bilgisi olmayan biri tarafından bile işlenebilecek bu suç türü oldukça basit bir yöntemdir. Suçun işlenmesinin kolaylığına karşın, failin veri dolandırıcılığıyla yaratabileceği maliyet oldukça büyük olabilmektedir. Banka hesabı veri giriş kısmına online ulaşabilen bir failin, kendi hesabının sonuna ekleyeceği birkaç sıfırın maliyeti oldukça yüklü olacaktır. Bu tür suç tipiyle başa çıkabilmek için kurumların iç hizmet uygulamalarını kontrol edebilen politikalar geliştirerek, bu politikaların uygulanmasını sağlaması gerekmektedir. İç denetim mekanizmalarının sağlıklı çalışmaması, içeriden veya dışarıdan gelebilecek bu tür tehditlerle başa çıkamama sonucunu doğuracak, bu durumda kurumda güvensizliğe, işlerin aksamasına ve imaj zedelenmesine sebep olacaktır. Aldatma ayrıca, hedef alınan sistemin veya alt yapının istem dışı yanlış bilgi üretmesi ve üretilen yanlış bilginin doğruymuş gibi işlem görmesi olarak da kendini gösterebilir. Mersin Asayiş Şube Müdürlüğü Dolandırıcılık ve Yan Kesicilik Büro Amirliği tarafından 2008 yılında tamamlanan operasyonda, suç şebekesi içinde teknik bilgi sahibi bilgisayar uzmanlarının ve TEDAŞ görevlilerinin de olduğu bir grup suçüstü yakalanmıştır. Bu operasyonda dikkati çeken nokta davanın devam etmesinden kaynaklı burada ismi zikredilmeyecek olan büyük iş merkezlerinin elektrik sayaçlarını bu şebeke vasıtası ile sıfırlaması veya olması gerekenden daha aşağıya çektirmesidir. Dolandırıcılık bürosu tarafından ele geçirilen dizüstü bilgisayarda, şebeke elemanları tarafından oluşturulmuş bilgisayar yazılımı ile elektronik sayaçların sayısal veri ve değerlerinin değiştirildiği anlaşılmıştır. Sıradan vatandaşların da bu suç şebekesinin faaliyetlerinden faydalandığını belirtmekte yarar vardır. Şebeke yaptığı bu işlemler sayesinde yüklü miktarda para kazanmıştır ve bu hırsızlığın devlete olan maliyeti net olarak hesaplanabilmiş değildir. 61 2.1.1.1.4. Bukalemun Çoklu ağ sistemlerinde kullanıcılara ait bilgileri gizli bir dosya içerisine kaydederek, kendini belli etmeden arka planda çalışan sistem yazılımıdır. Bilgisayar bağlantısının geçici bir süre mantıklı bir sebep yüzünden tekrar açılıp kapanacağı veya sistemin kapanması gerektiğini kullanıcıya ileterek bilgisayar bağlantısının kapanması sağlayan bu yazılım, kullanıcı tarafından bilgisayar yeniden işlem görürken gizli dosyalama yaptığı kullanıcılara ait bilgileri ilgili kişiye iletir. Böylece fail kişisel bilgi hırsızlığı yöntemi ile dolandırıcılıktan hırsızlığa her çeşit suç türünü işleyebilir. 2.1.1.1.5. Salam Tekniği Banka hesaplarında, küsuratların bulunduğu son haneler fail tarafından oluşturulan başka bir hesaba aktarılır. Birden fazla hesap için yapılan bu uygulamayla, uzun vadede müşterilerin hesaplarından alınan ufak miktarlar muhatapların farkında olamayacakları bir sistematiğe göre biriktirilir. Daha çok içeriden tehdit olarak bilinen bu yöntemin önüne geçebilmek yine iç denetim mekanizmalarının oluşturulması ve politika haline getirilerek uygulanması gerekmektedir. 2.1.1.1.6. Zararlı Yazılımlar Genel olarak bilgisayar – veri sabotajı, bilgi elde etme, reklam yayınlama ve saldırı başlatma amaçlarıyla dizayn edilen her türden kodları ifade eden zararlı yazılımlar içine, botnetleri, Truva atlarını, spamları, virüsleri, solucanları, rootkitleri, spywareleri, zaman – mantık bombalarını, arka kapıları (backdoors) ve saydığımız tüm bu zararlı yazılımlardan iki veya daha fazlasını aynı anda ihtiva eden combo malwareleri dâhil edebiliriz. Organize suç şebekelerinin bu tür yazılımları kendi amaçları ve çıkarları için kullandıkları veya kullanamaya çalıştıklarını yaşanan pek çok örnekten ötürü biliyoruz. Bu gruplar içerisinde faaliyet gösteren bireyler, dünyanın herhangi bir yerinden eylemlerini yönetebilmektedir. Birlikte hareket ederek sistemleri hackleyen organize şebekesi üyeleri, sisteme aşırı yükleme yaparak sistemi yavaşlatmakta veya 62 sistemin devre dışı kalmasını sağlayarak düzeltme için fidye istemekte, sisteme dahil olarak kredi kartı bilgilerini çalmakta, bu bilgileri yine online pazarlarda açık arttırma sistemine göre pazarlamakta ve satmaktadır. Ayrıca siber suçlular elde ettikleri mail adres bilgilerini kullanarak bağlantı listesinde olan tüm kişilere spam şeklinde mailler atarak dolandırıcılık yapmaktadırlar (Poulsen, 2005). Love Letter solucanı ile İsveç Union Bank ve Amerika’da faaliyet gösteren en az iki bankanın hesap şifrelerine erişim sağlayan kimliği belirsiz kişilerin organize bir faaliyet gösterdikleri olayda organize örgütlerle teknik uzmanlar arasında bir ilişkinin yaşandığı inancı kuvvetlenmektedir (Williams, 2002). Bilginin en büyük güç olduğu günümüzde, yazılımlar içine yerleştirilen ve kullanıcı tarafından fark edilemeyen arka kapılar ile sistemlere girilmekte, sisteme, kuruma, çalışanlara ve çalışanların tüm kişisel bilgilerine ait veriler elde edilmekte, isteğe göre çıkar amaçlı olarak her türlü suçta kullanılmaktadır. Veri sistemleri üzerinden büyük şirketlerin alt yapılarına sızan ve sistemleri tamamen veya kısmen işleyemez hale getirip tehdit eden organize örgütler, tehdidin ortadan kalkması için yüklü miktarda paralar talep etmekte, sonuçta istedikleri geliri elde edip yeni yöntemlerini geliştirmeye devam etmektedirler. Anlık işlem hacmiyle milyar dolarlar kazanan firmaların alt yapılarının işleyemez hale gelmemesi için ödemek zorunda kaldıkları bu türden haraçlar genel olarak gizli olarak kalmakta ve rapor edilmemektedir. FBI, Amerika’da meydana gelen bilgisayar suçlarının hemen hemen her türünün endüstri sektörünü etkilediğini ve yıllık maliyetin 400 milyar dolar olduğunu tahmin etmektedir. İngiliz Sanayi ve Ticaret yetkilileri ise bilgisayar suçlarının 2005’ten 2006’ya % 50’lik bir artış gösterdiğini ifade etmektedir. Güvenlik ihlalinin sebep olduğu maliyete örnek olarak TJX şirketinin yapmış olduğu harcamalar verilebilir. TJ Maxx şirketinin uzantısı olan TJX şirketi 2006’dan bu yana çalınan 45 milyondan fazla kredi kartı ve bu kartlara ait numaralar için 2008’in ilk çeyreğinde on iki milyon dolarlık bir bütçe ayırmıştır. Bu para, araştırma, devam eden güvenlik ihlalleri, bilgisayar güvenliğinin geliştirilmesi, müşterilerle kurulan iletişim ve diğer masraflar için kullanılmaktadır. TJX şirketi gelecekte karşılaşacakları davaların yol açacağı zararlarla, kaybedilen her dava için 100 dolarlık bir ödeme yapılacağını varsayarak, toplamda 4,5 milyar dolarlık bir zararla karşı karşıya kalacaklarını tahmin etmektedir (Gaudin, 2007). 63 2.1.1.1.7. Phishing Yöntemi Phishing olarak bilinen yöntem esasında İngilizce fishing yani balık tutma fiilinden üretilme bir tabirdir. Hedefin atılan yeme düşmesi beklenir ve ardından gerekli bilgiler elde edilerek dolandırıcılık fiili işlenir. Esasında hacking dünyasında fake mail olarak da ifade edilen yöntemle hedef kişi kandırılır. Örneğin, Hotmail servisinin ara yüzünde mail adresinin ve şifrenin yazıldığı sayfa görüntüsü, hedef kişinin veya herhangi birinin anlayamayacağı derecede profesyonellikte bilgisayar diliyle yeniden yazılır. Yazım sırasında girilen kodlar, hedef kişi kendi şifre ve mail adres bilgilerini sahte yazılıma yazdığında sahte yazılımı yazan kişiye ait mail adresine hedef kişinin bilgileri mail yoluyla gönderilir veya failin uygun göreceği bir adrese bu bilgiler gönderilir. Böylece fail elde etmek istediği bilgileri alır ve kendi konusu ile ilgili faaliyetlerine devam eder (Greenemeier, 2007). Bununla birlikte hedefin işlem yaptığı finans veya herhangi bir kurumun hazırlanmış fake ara yüzü, hedefe mail yoluyla gönderilir ve eksik ya da yanlış bilgilerin olduğu ve düzeltilmesi gerektiği ifade edilerek kişisel bilgilerin yeniden girilmesi istenir. Hedef kişi gönderilen maildeki linke tıkladığında sanki gerçekten her zaman muhatap olduğu site görüntüsüyle karşılaşır fakat gerçek farklıdır. Oltaya gelen hedef bilgileri girer girmez yazılım içindeki kodlar doldurulan hanelerin tamamlanmasıyla bilgileri faile mail yoluyla gönderir. Son olarak bilinen site adreslerinin benzerleri vasıtası ile dolandırıcılık fiili icra edilebilir. Ulusal veya uluslar arası bir bankanın online hizmet veren internet adresinde yapılan ufak bir harf değişikliği, arama motorunda yanlış adres bilgisini yazan kişiye pahalıya mal olabilir. Son zamanlarda gerek arama motorları gerekse kurumlar bu tür dolandırıcılık olaylarının önüne geçebilmek için denetim mekanizmalarını ciddi tutmaktadırlar. Yinede bu tür dolandırıcılık olaylarının yaşandığını söyleyebiliriz. Arama motorunda “yahoo” yazmak yerine yanlışlıkla “yehoo” yazdığınızda spamlarla veya zararlı kodlarla dolu bir siteye yönlendirilebilirsiniz. 64 Sahte yazılımların yanında birde sahte vaatlerle oltaya getirme yöntemi vardır. 419 dolandırıcılı olarak da adlandırılan bu yöntem genel olarak Nijerya kökenlidir. 419 tabiri Nijerya’da işlenen bu suçun karşılığı uygulanan yasal yaptırımın kanun kodunu ifade etmektedir. 1990’lı yılların başlarından bu yana özelikle Amerika’yı hedef almış bu dolandırıcılık faaliyeti son zamanlarda tüm dünyaya yayılmış vaziyettedir. Sömürülmüş bir toplum olarak kendilerini gören Nijeryalıların intikam duygularından yola çıkarak kendi haklarını alma mantığı bu suçun çıkış noktasıdır. Hedefe gönderilen mailler aracılığı ile iş yapma imkanı olduğuna dair bildirimlerde bulunulur. Nijerya Merkez Bankası veya İçişleri Bakanlığı antetli dokümanlarla oyun sürdürülür. İletişim bilgileri hedefe iletilir, güven duygusunun yaratılması için telefonun başında bekleyen kişi büyük bir işyeri veya kamu kurumu imajı vererek telefonu cevaplar. Nijerya’da kullanamayacağı paranın birlikte kara dönüştürülmesi, bir koyup on alma imkânının varlığı gibi insanların para kazanma hırslarını kullanan dolandırıcılar, nihayetinde hedefin banka bilgilerini, kişisel bilgilerini ve iletişim bilgilerini göndermesi konusunda ikna ederler. İkna olanlardan alınan bilgilerle dolandırıcılığın birinci aşaması tamamlanır. Hedef kişiye ait banka hesapları boşaltılır ve aradan bir müddet zaman geçmesi beklenir. Bu kez ikinci aşama devreye girer ve paranın akıbeti ile ilgili bilgiler sanki yine bir resmi kurum statüsü içinde hedefe gönderilir, hedefin parasını alabilmesi için ya ülkeye davet edilir veyahut diğer hesap bilgileri istenir. Hedef kaybettiğini alabilmek için ikinci kez hesap bilgisini gönderdiğinde yine dolandırılır. Daha kötüsü parasını alabilmek için ülkeye davet edilenlerin başına gelir. Hedef uçaktan iner inmez takibe alınır, taksici hedefi havalimanından alarak gerçek olmayan iş adresine doğru götürür. Taksici ücreti karşılığı fahiş miktarda para talep eder ve alır. Telefon numarasından yola çıkarak elde edilen adres bilgisi boş bir eve veya araziye çıkar, zaten hedefe verilen adres yanlıştır. Hedef sonuçta iki kere zarara uğratılarak dolandırılır veya ülkeye geldiğinde kaçırılarak ailesinden veya ülkesinden fidye talep edilir. Bu tür suç şebekelerinde her türden aktivite bulunmaktadır. Hedefin öldürülmesine kadar giden bir sürecin işlemesi içten bile değildir. Phishing yönteminde uygulanan bir diğer dolandırıcılık şekli ise hedef şahsın ev veya iş adresine gönderilen mektuplarla ya da mail adreslerine gönderilen 65 iletilerle hedefin ikramiye kazandığına inandırılmasıdır. Yine para kazanma hırsına yenik düşen hedeflerin iletişime geçmesi beklenir. İletişim gerçekleştikten sonra hedef tarafından sözde kazanılan ikramiyenin teslimi için banka hesap bilgileri hedeften istenir. Alınan hesap bilgileri ile hedefe ait banka yatırımları dolandırıcı tarafından ele geçirilir, bunun yanında hesap bilgilerinin alınmasından sonra paranın havale edilebilmesi için bir havale ücreti de hedeften talep edilir. Nihayetinde oltaya gelen hedef, fail tarafından iki kez dolandırılır. Sonuç olarak dolandırıcılar kişilerin bilgisizliklerinden veya zaaflarından faydalanmaktadırlar. Fiziksel hayatta dikkat ettiğimiz şeylere sanal dünyada da dikkat etmemiz gerçeği burada bir kez daha karşımıza çıkıyor. 2.1.1.1.8. Key Logger ve Screen Logger Daha ziyade kurum içi tehdit algılaması nezdinde değerlendirilmesi gereken klavye ve ekran üzerinde yapılan işlemleri kaydeden bu yasal olmayan davranış şekli ile hedef kişinin bilgisayar üzerinde yaptığı hesap açma faaliyetleri, girdiği sitelerde yazdığı profil ismi ve şifre numaraları faile bir mail aracılığı ile gönderilir veya fail, hedef bilgisayardan kalktıktan sonra onun yerine oturarak bilgileri alır ve amacına ulaşır. Ayrıca toplu kullanım alanları olan internet kafelerde de, bu tehditle karşı karşıyayızdır. Fail elde etmek istediği bilgileri alabilmek için bu program ve yazılımları herhangi bir bilgisayara yerleştirir. Ardından kendisi başka bir bilgisayarda işlemlerini devam ettirirken, tuzak bilgisayara oturan hedefe ait tüm kayıtlar saklanmaya başlanır. Tutulan loglar daha önce bahsettiğimiz üzere ya faile mail yoluyla gönderilir yada fail hedef kişi bilgisayardan kalktıktan sonra onun oturduğu bilgisayara oturarak kayıtlı bilgileri alır ve amacına ulaşmış olur. Hedef bilgisayara gönderilen bir yazılımın içine saklanmış bu tür veri kaydedici programlarla da fail amacına ulaşabilir. Sizin farkına varmadan açacağınız bir resim, bir Microsoft Office programı da bu türden az yer kaplayan yazılımların saklanmasına olanak sağlayabilmektedir. Masumane olarak açtığınız sıradan programlarla arka planda sizin göremeyeceğiniz şekilde çalışmaya başlayan bu tür yazılımlar internet ortamında hacker platformu olarak kullanılan kimi forum sitesinde mevcuttur ve failler tarafından kullanılmaktadır. 66 2.1.1.1.9. TOR Proxy yazılımıyla birlikte çalıştırılması önerilen TOR yazılımının temel çalışma prensibi kullanıcıya ait IP bilgisini takip edilmeyi minimum seviyeye çekerek, veri alış verişi esnasında kullanıcıya ait konum bilgilerinin gizlenmesidir. İnternet üzerinde web siteleri ve MSN, ICQ, IRC gibi iletişim kanalları da dâhil olmak üzere, TCP protokolü ile çalışan tüm uygulamalar için bir maskeleme sistemi oluşturan TOR yazılımında, bağlantı esnasında oluşan veri paketleri birbiri ardına eklenmiş TOR sunucuları üzerinden hareket eder ve iletişimin güvenli bir şekilde gerçekleşmesini sağlar. Onion Router olarak da adlandırılan bu iletişim modelinde, gönderilen istek TOR sunucularından geçerek rasgele bir rota takip eder. Sistemin kullanılmasında hedeflenen amaç, saldırganın hedefe ulaştığında görünen IP adresinin TOR tarafından oluşturulmuş sunucu adresi olarak gözükmesidir. TOR yazılımı veri güvenliğini sağlamak amacıyla ayrıca kendi içinde bir şifreleme tekniğini kullanır. Bu şifreleme ile kendi içinde bir kalkan oluşturan TOR yazılımı, sunucular arasında bir birini tanıma özelliğini ortadan kaldırarak, sunucuların kendinden bir önceki ve bir sonraki sunucuyu tanımasına olanak sağlamaktadır. Yani sunuculardan hiç biri gidilecek rotanın ne olacağını bilmemekte, saldırgan tarafından sunucular hücre sistemi ile yönetilmektedir. Yazılımın bir Proxy ile desteklenmesiyle, cookie bilgilerinin oluşturacağı güvenlik açığı da bertaraf edilmektedir. TOR yazılımına uygun birkaç Proxy yazılımından biri olan PRIVOXY adlı program, son dönemde saldırganlar tarafından en çok tercih edilen yazılımdır. 2.1.2. Siyasi Amaçlı Bilişim Suçları 2.1.2.1. Siber Espiyonaj Siber espiyonaj, hedef bilgisayara izinsiz olarak güvenlik sistemini kırarak girmeyi yada izinsiz olarak girilen bilgisayardan bilgilerin kopyalanmasını veya takip edilmesini ifade eder. 1990'lı yılların ortalarından bu yana giderek artan oranda siber espiyonaj faaliyetleri yürütülmektedir. Fakat Çin gibi ülkeler için bile siber espiyonaj faaliyetleri yeni bir açılımdır ve gelişmeye açık bir tarafı bulunmaktadır. Günümüzde ülkelerde dahil olmak üzere, pek çok organizasyonun ve organize örgütün siber 67 anlamda espiyonaj faaliyeti içinde olduğunu, amacın suçu önleme, devlet kurumlarına ve firmalarına ekonomik avantaj sağlama ve zafiyet tespit ederek bu zafiyetten faydalanma olduğunu ve bu saikle elektronik izlemenin günümüzde geçmişe nazaran çok daha büyük önem kazandığını, gelecekte izlemede çok daha radikal değişimlerin yaşanacağını söyleyebiliriz (Loeb, 1999). Terörist bir grup, bir ülke veya herhangi bir şirket siyasi veya ekonomik amaçlarla bilgisayar hackleme tekniklerini kullanarak bu tür bir suç içinde olabilmektedir. SANS Enstitüsü uzmanlarına göre siber espiyonaj uygulamaları hükümet sektörü ve uluslararası şirketler tarafından giderek artan oranda kullanılmaya başlanmıştır. ABD ve Çin hükümetleri birbirlerini hacking faaliyetleri ile kendi bilişim altyapılarından stratejik bilgi çalmakla suçlarken, pek çok uzmana göre her iki devlet ve diğer devletlerde elektronik savaş kapsamında siber espiyonaj faaliyetlerine hız vermektedir. 2008 yılı içinde hükümetler tarafından yürütülen siber espiyonaj faaliyetlerinin arttığı bununla birlikte büyük ölçekli ABD ve Avrupa orijinli şirketlerinde devlet destekli siber espiyonaj faaliyetlerine önem verdikleri enstitü çalışmalarına yansımıştır (Hines, 2008). SANS araştırma müdürü Alan Paller'a göre büyük firmalar diğer firmaların ellerindeki bilgileri elde edebilmek amacıyla hackerlere büyük maddi kazançlar teklif etmeye isteklidirler. Uzmanlar geçen sene pek çok şirketin veri tabanlarına zorla girildiği ve bilgilerinin çalındığına dair bilgiler elde edildiğini ve bu çok önemli bilgiler sebebiyle şirketlerin kurban pozisyonuna geldiğini ifade etmektedirler. 2009'un başlarında yaklaşık 140 devletin ve 50'den fazla terörist ve aşırı/organize örgütün, siber espiyonaj kapasitesini ve siber silahlarını geliştirmek için bütçe ayırdığı, dakikada yaklaşık olarak 6.500 siber saldırının gerçekleştiği ve siber espiyonaj faaliyetlerinin şirketlere yıllık olarak 1,5 trilyon dolara mal olduğu tahmin edilmektedir (Coleman, 2008; Hines, 2008). Yine Paller, şirketlerin kendilerini her sene daha da artan oranda gelişen siber espiyonaj kurbanı olabilecekleri konusunda hedef olarak düşünmemelerinden dolayı gerekli güvenlik önlemlerini almadıklarını dile getirmektedir. Hükümet destekli siber espiyonaj faaliyetleri ile özel sektörde söz sahibi oyuncular, çalınan bilgiler eşliğinde 68 kendilerine büyük avantajlar sağlamaktadır. Genel anlamda siber espiyonaj faaliyetleri, phishing ve sosyal mühendislik yöntemleri kullanılarak hedef firmanın personeline yönelik olarak yapılır, hedef kullanıcının bilgisayarı ele geçirildiğinde, ağ vasıtası ile pek çok bilgiye ulaşılabilmektedir. Ayrıca uzmanlara göre, saldırganlar tarafından ilk gün zafiyetleri veya Microsoft Office programlarının açabileceği virüsler vasıtası ile hedef bilgisayarlara girilebilmektedir (Hines, 2008). SANS Enstitüsü tarafından 2008 için hazırlanan İlk On Siber Tehdit listesinde siber espiyonaj faaliyetleri, tarayıcı açıklarından faydalanılarak yapılan web sitesi saldırıları ile etkili ve sofistike botnet saldırılarından sonra üçüncü sırada bulunmaktadır. Ekonomik espiyonaj ulusların siber veri hırsızlığı yaparak ekonomik avantaj sağlama faaliyetleri arasında giderek yaygın bir hal almaktadır. Yapılan saldırılarda kurbana gönderilen bilgilerin, phishing ve sosyal mühendislik yöntemleri kullanılarak güvenilir bir kaynaktan gelen bilgiler olarak değerlendirilmesi sağlanmaktadır. Ekonomik siber espiyonaj faaliyetlerini, askeri siber espiyonaj faaliyetlerinden ayırmak oldukça zordur, çünkü hedef farklı kurumlarken yöntem aynıdır. Ayrıca, ABD Enerji Bakanlığına bağlı Oak Ridge Ulusal Laboratuarı 2007'nin sonunda, 12.000’den fazla çalışanının phishing sitelerine girmeye veya zararlı içerik barındıran eklentileri açmaya gönderilen e – maillerle yönlendirildiğini ve kullanıcıların bilgisayarlarına backdoor programları yerleştirildiğini doğrulamıştır. Hackerler sadece ilgili laboratuar sistem veri tabanına girmemiş, sisteme bağlı diğer laboratuar veri tabanlarına da erişim imkanı elde etmişlerdir. ABD’nin Raytheon, Lockheed Martin, Boeing ve Northrop Grumman en iyi bilinen on güvenlik hizmeti veren kurumunun da aynı siber espiyonaj faaliyetinin kurbanı olduğu rapor edilmiştir. FBI tarafından yapılan araştırmalara göre saldırıların merkezi Çin'dir. MI5 olarak bilinen Britanya gizli servisi, şirketleri gönderdiği 1000'den fazla mektupla, Çin'in başlattığı siber espiyonaj faaliyetleri konusunda uyarmaktadır, Çin hükümeti ise kendilerinin de hackerler tarafından tehdit edildiğini söyleyerek saldırıların kendileri tarafından başlatıldığı bilgisini kabul etmemektedir (Coleman, 2008; Messmer, 2008; Simpson, 2007). 2004 yılında soruşturmacılar, Çin kaynaklı bir siber atağın başlatıldığını, bu saldırıların siber espiyonaj amaçlı olarak ABD Bilgi Güvenliği Sistem Ajansına, 69 Redstone Askeri Deposuna, Ordu Uzay ve Stratejik Güvenlik Kurumuna ve pek çok askeri lojistik bilgisayar sistemine yönelik olduğunu rapor etmişlerdir, fakat herhangi bir gizli belgenin kanunlar ihlal edilerek kopyalandığı yada çalındığı resmi olarak doğrulanmamışsa da, 1 Kasım 2004 yılında Guandong Bölgesinden, ABD Redstone Arsenal Askeri tesislerine yönelik başlatılan saldırının amacına ulaştığı düşünülmektedir. Birleşik Devletler askeri gizli belge ve bilgilerinin, hava kuvvetlerine ait bilgilerin ve uçuş planlaması ile ilgili yazılımların çalındığına inanılmaktadır. Ayrıca bilgilerin kasıtlı olarak çalındığı ve Çin hükümetine aktarıldığı düşünülmektedir. ABD yetkileri tarafından Titan Rain (Titan Yağmuru) olarak adlandırılan bu siber saldırı, Çin hükümeti tarafından ABD hükümetine ait gizli bilgilerin elde edilmesine yönelik başarılı bir girişim olmuştur. Görüldüğü gibi siber espiyonaj faaliyetlerinde karşımıza önemli bir unsur çıkmaktadır, bunun adı da devlet destekli siber terördür (Olzak, 2006; Mills, 2008). Department of Defence (Savunma Bakanlığı – DoD) yetkilileri, ABD’ye karşı bu tür devlet destekli siber saldırıların, 2001 yılından bu yana artarak devam ettiğini söylemektedir. Haber kaynaklarına göre ise bugüne kadar ABD’ye ait, Birleşik Devletler Ordu Bilgi Sistemleri Ajansı (U.S. Army Information Systems Agency), Bahriye Okyanus Sistemleri Merkezi (Naval Ocean Systems Center), Savunma Bilgi Sistemleri Ajansı (Defense Information Systems Agency) ve Birleşik Devletler Ordu Uzay ve Stratejik Güvenlik Kurumu (United States Army Space and Strategic Defense Installation) saldırılardan etkilenen önemli devlet kurumlarıdır. Saldırıların Çinli hackerler tarafından yapıldığı düşünülse de, DoD ve güvenlik yetkilileri saldırıların hala, Çin Hükümeti tarafından koordine edilip edilmediği veya Çin tarafından desteklenip desteklenmediği, saldırıların bireysel hackerler tarafından yapılıp yapılmadığı, saldırıların Çin merkezli olup olmadığı ve saldırıların gerçek merkezi konusunda hem fikir değildir (Wilson, 2005: 15). Pek çok güvenlik uzmanına göre, hackerler dünyanın herhangi bir yerinden kullanabildikleri her serverdan faydalanmaktadırlar ve bu sebeple saldırının nereden yapıldığına dair iz sürme konusunda kanun uygulayıcılar zorlanmaktadırlar. Aynı uzmanlara göre Çin hükümeti ise bu hackerlerin durdurulması konusunda herhangi bir uygulama başlatmamıştır, böylece devlet destekli siber espiyonaj faaliyetleri ile 70 suçlular tarafından çalınan finansal bilgiler arasında bir ilişki olduğu düşünülmektedir. Siber espiyonaj faaliyetlerinde son dönemde kişisel bilgilere ulaşma bağlamında saldırganlar, satış elemanı işiyle uğraşan bireylerin kişisel bilgisayarlarına ulaşmaya çalışmaktadırlar. Böylece, satış elemanının bilgisayarından pek çok kişinin, kişisel bilgisine ulaşabilmektedirler (Messmer, 2008). Devlete ait gizli bilgilerin çalınması amacıyla yapılan hacking saldırıları, ulusal güvenliğe yönelik bir tehdit olarak algılanmaktadır. Microsoft Windows WMF programında bulunan bir açık sayesinde programın içine yerleştirilen keylogger programı mail yoluyla Britanya Parlamentosu kullanıcılarına gönderilmiştir. 2006 yılında yaşanan bu hadise 70'ten fazla bilgisayar kullanıcısını etkilemiş ve hükümet mesaj filtreleme şirketi MessageLabs Ltd tarafından da doğrulanmıştır. Neyse ki, gönderilen mail tespit edilerek hedefine bilgi aktarma görevini tamamlayamadan durdurulmuştur. Pek çok bilgiyi saldırgana sunabilecek bu saldırının merkezi ise Çin'in Guandong Bölgesidir. Bilindiği gibi global bir köy haline gelmiş dünyada, ulusal ve uluslararası oyuncuların ekonomik çerçevede ve terör bağlamında kendini geliştirmeye siber alemde de devam ediyor olması normaldir (Olzak, 2006). ABD – Çin Ekonomik ve Güvenlik Denetim Komisyonu tarafından yayınlanan rapora göre Çin, ABD hükümetini ve ticari bilgisayar sistemlerini hedef alarak, stratejik savaş kapsamında aktif siber espiyonaj faaliyetleri yürütmektedir. Yayınlanan raporda Çin'in yürüttüğü siber operasyon kapasitesinin oldukça geliştiği, siber savaş kapsamında ABD'ye yönelik sofistike saldırılar başlattığı ve bu saldırılara karşı koymanın veya tespit etmenin oldukça zor bir durum olduğu vurgulanmaktadır. Çin'in, ABD askeri ağı NIPRNet (Non - secure Internet Protocol Router Network)'e erişim sağladığı, böylece ABD askeri gücünü fiziksel bir çaba sarf etmeden bertaraf etme yeteneğine kavuştuğu ifade edilmektedir. Raporda ayrıca, ABD tarafından kullanılan ve Çin'de üretilen pek çok bilgisayar ve bilgisayar parçasına, Çin gizli servisleri tarafından uzaktan kumada edilebilen zararlı kodlar yüklenebileceği, bu şekilde Çin'in ABD'ye ait bilgileri zahmetsizce elde edebileceği, yok edebileceği veya maniple edebileceğinin altı çizilmiştir. Savunma Bakanlığında Çin yapımı yüzlerce taklit modem bulunmaktadır. Yine raporda, Çin hükümeti tarafından askeri akademilerde siber operasyonlarda kullanmak üzere sivillerin yetiştirildiği ve 71 tahminen 250 kadar hacker grubunun bizzat bu operasyonlarda aktif şekilde kullanıldığı, Çin askeri yetkililerinin ABD'nin kendilerine yönelik siber espiyonaj faaliyetlerinde gerçekleştirerek bulunduğuna ve yanlış inandıkları, bilgilendirme ilk siber yaparak saldırıyı izlerini kendilerinin gizleyeceklerini düşündükleri ifade edilmektedir (Mills, 2008). 2007 mali yılı içinde hükümet ajansları, ABD İçişleri Bakanlığına 12.986 siber saldırının yapıldığını, bu sayının geçen seneye nazaran % 55 arttığını ve son iki yıl içinde saldırı sayısının üç kat artmış olduğunu belirtmişlerdir. BusinessWeek'e göre, ABD devlete ait en kritik ağlara yönelmiş saldırıları tespit, izleme ve etkisiz hale getirme amacıyla, Byzantine Foothold (Bizans Köprüsü) adında gizli bir operasyon başlatmıştır. George W. Bush tarafından, ABD'nin tüm siber güvenliğini kapsayan, onlarca milyar dolar bütçeli, 12 temel hedefi olan Siber İnisiyatif (Cyber Initiative) olarak bilinen bir emir imzalanmıştır. Yayınlanan bu emre göre devlet kurumları 2008 Haziranında pek çok iletişim kanalını, portlarını ve internet bağlantısını sağlayan ağların tamamını kapatmak zorundadır. Başkan Bush tarafından yayınlanan bu emir Manhattan Projesi olarak adlandırılmaktadır. Eski İçişleri Bakanlığı Siber Güvenlik Bölümü Şefi Amit Yoran ise, yeni tehditlerin devlet destekli ve eğitimli profesyoneller tarafından gerçekleştirildiğini ifade etmektedir. Askeri ve istihbarat birimlerine göre ABD'nin en büyük siber düşmanı Çin'dir. Pentagon'un Çin Askeri Gücü Kongre raporuna göre, Amerikan Hükümetinin sahip olduğu bilgisayar ağlarının da içinde olduğu global manada pek çok ağ, Çin kaynaklı saldırıların kurbanıdır. BusinessWeek dergisine, Çin hükümetinin Washington Büyükelçisi Wang Baodong tarafından gönderilen e – mailde, Çin'e karşı olan güçlerin bu iddiaların arkasında olduğu, ABD tarafından dile getirilen iddiaların gerçeği yansıtmadığı ve kesin kanıtlara dayanmadığı, Çin hükümetinin hacking dahil tüm siber suçlara karşı olduğu ve hükümetin bu tür eylemleri yasakladığı, Çin hükümetinin de artan oranda farklı ülkelerden hackerlerin saldırısına uğradığı belirtilmiştir (Grow v.d., 2008). Eylül 2008 içinde resmi olarak adı açıklanmayan Avustralya Gizli İstihbarat Kurumu (Australian Security Intelligence Organization – ASIO) genel müdürü, Canberra’da yapılan Hükümet Güvenliği konferansında, bilgisayar ağları ile yapılan 72 casusluk faaliyetlerinin maliyeti yüksek ve sorumluluk riski düşük istihbari bilgi toplamada artan oranda yaygın bir hale geldiğini ifade etmiştir. ASIO, bu geleneksel olmayan espiyonaj faaliyetine karşı gelecekte daha duyarlı cevaplar verebilmenin gerekli olduğunu belirtmektedir. Avustralyalı yetkililer, Rusya ve Çin'in elektronik savaş kabiliyetini giderek arttırdıkları konusundaki endişelerini dile getirirken, gizli ve geleneksel istihbarat toplama oyunun keskin bir biçimde sonlanmak üzere olduğunu da ifade etmektedirler. 2006 ve 2007 yıllarında ABD, İngiltere, Fransa ve Almanya, Çin ordusu tarafından bilgisayar ağlarına istihbarat toplama amacıyla yapılan saldırılardan dolayı Çin hükümetini suçlamış, Çin ise iddiaları reddetmiştir. 2007 Eylülünde Pentagon ise, askeri ağ sisteminin mail altyapısına yapılan Çin kaynaklı olması muhtemel bir saldırıdan ötürü, sistemin acilen kapatılması emri verildiğini kabul etmektedir (Greenemeier, 2007; Bajkowski, 2008). Amerika Birleşik Devletleri istihbarata karşı koyma yetkilileri, 140 farklı yabancı istihbarat biriminin düzenli olarak ABD hükümet ajansları ve ABD şirketleri bilgisayar sistemlerine hacking saldırıları teşebbüsünde bulunduğunu söylemektedir (Stanton, 2000). Güvenlik Uzmanları, ABD Federal Birimlerini siber uzayda kötü niyetli aktörleri sınır tanımaksızın askeri ve sivil hedeflere yönelik saldırılarda bulundukları konusunda uyarmaktadır. IBM tarafından 2005 Ağustosunda kaleme alınan bilgisayar güvenliği raporuna göre, 2005 yılının ilk yarısında küresel bağlamda 237 milyondan fazla güvenlik saldırısı rapor edilmiştir. Bu saldırıların ağırlık noktası hükümet ajanslarıdır ve 54 milyondan fazla saldırıya maruz kalmışlardır. Bununla birlikte ikinci sırada 36 milyon saldırıyla üretim yapan firmalar, tahminen 34 milyon saldırı ile üçüncü sırada finans merkezleri ve 17 milyondan fazla saldırı ile sağlık kurumları dördüncü sırada yer almaktadır. 2005 yılının ilk yarısında meydana gelen bu saldırıların çoğunluğu devlet kurumları ve endüstri kurumlarına yönelik olarak yapılmış, ABD 12 milyon saldırı ile birinci sıraya yerleşmiş, Yeni Zelanda 1,2 milyon saldırı ile Amerika'yı takip etmiş, Çin ise bir milyon saldırı ile üçüncü sırada kalmıştır (IBM, 2005). Zararlı kod yazılımlarından korunmaya yönelik çalışmalar sürdüren F – Secure firması, Blacklight adında bir yazılım geliştirilmiştir, bu yazılım sayesinde, bilgisayar sistemi içinde dosyaların arka planda çalışmasını sağlayan rootkitler tespit 73 edilmektedir. Yazılımın keşfettiği bir rootkitin, Windows ile yazılım arasındaki irtibatı kopardığı tespit edilmiştir. İşin ilginç tarafı ise, rootkitin F – Secure firmasının yazılımları içine yüklenmiş olduğudur, firma bu durumu tespit edene kadar bir kaç ay geçtiğini ve kendi yazılımlarını kullanan kullanıcıların bilgisayarında rootkit tarafından açılan bir arka kapı sayesinde bilgisayardaki tüm bilgilerin Çin'e gönderildiğini doğrulamıştır. Firma tarafından yapılan açıklamaya göre, şüpheliler Çinli olmayabilir fakat iletişim Çin üzerinden gerçekleştirilmiştir. Bu duruma açıklık getirmek için yapılan bilgilendirmede, banka Trojanları gibi müşterileri hedef alan zararlı kodların pek çoğunun Rusya ve Doğu Avrupa ile ilişkili olduğu ifade edilmiştir. Facebook veya LinkedIn gibi sosyal ağların sayısındaki artış, maalesef saldırganlara şirket ilişkileri konusunda ve şirket çalışanları bağlantısı ile şirket hakkında espiyonaj faaliyetleri yürütebilmeleri için imkan tanımaktadır. Açık Kaynak Espiyonajı adı verilen bu bilgi toplama faaliyetinde kamuyla paylaşılan şifreli olmayan bilgilerden saldırganlarda faydalanmaktadır. MySpace veya Google gibi arama motorlarına bazı firmaların diğer firmalarla ilgili bilgileri koydukları ve internet üzerinden paylaşıma sundukları bilinmektedir (Messmer, 2008). Kıtalararası internet haberleşme sistemi ABD merkezlidir ve internet üzerinden yapılan her işlem kontrol edilebilir niteliktedir. Uluslararası internet aynı zamanda NSA (National Security Agency – Ulusal Güvenlik Ajansı)’in haberleşme ağı Pathway ağ sistemini de içine almaktadır. NSA internet omurga sisteminde dokuz İnternet Değişim Noktası (Internet Exchange Points – IXPs) ve koklayıcı siteler adı verilen belirli simge ve ifadelerin geçtiği haberleşmeyi anında takip edip kaydeden yazılımlar sayesinde bahsettiğimiz istihbarat toplama faaliyetini sürdürür. ABD hükümeti tarafından kontrol edilen ilk iki IXPs, FIX East ve FIX west olarak adlandırılmaktadır. Bu iki IXPs ticari bilgilerin izlendiği MAE East ve MAE West'le birbirine sıkı sıkıya bağlıdır. Diğer üç IXPs ise ABD Ulusal Bilim Vakfı tarafından geliştirilmiş Network Access Points (NAPs)'lardan oluşur ve internetin omurgasını teşkil eder (Campbell, 1999). 74 Tablo 24: IXP siteleri ile NSA’ın İnternet İletişim İstihbarat (Comint) Erişimi 32 İnternet Sitesi Konum Operatör Tanımlama FIX East College Park, Maryland ABD Hükümeti Federal Information Exchange FIX West Mountain View, California ABD Hükümeti Federal Information Exchange MAE East Washington, DC MCI Metropolitan Area Ethernet NAP Pennsauken, New Jersey Sprintlink Network Access Point SWAB Washington, DC PSInet/Bell Atlantic SMDS Washington Area Bypass Chicago NAP Chicago, Illinois Ameritech/Bellcorp Network Access Point NAP San Francisco, California Pacific Bell Network Access Point MAE West San Jose, California MCI Metropolitan Area Ethernet CIX Santa Clara California CIX Commercial Internet Exchange New York San Francisco İnternet üzerinden yürütülen her kamu veya özel hizmet ağı, hizmet yürüten kurum veri tabanına bağlıdır. Bilgisayar korsanları ise yazılımlar, donanımlar ve en önemlisi zekaları ile bu sistemlere sızmaya çalışır. Sızıntının temel hedefi fark edilmemek ve istenilen bilgiye ulaşmaktır. Henüz ciddi bir rakibi olmayan Microsoft’un, NSA tarafından desteklendiği ve talimatlandırıldığı, 2000 yılında Fransa Savunma Bakanlığı’na bağlı Stratejik İşler Kurulu tarafından hazırlanan raporla ifade edilmiştir. Rapora göre, NSA görevlileri Microsoft yazılımlarının içine istihbarat toplamak amacı ile backdoor yazılımları eklemekte ve casus yazılımlarla uluslararası boyutta bilgi toplamaktadır. Buna benzer bir iddia da Almanya Dışişleri Bakanlığı tarafından dile getirilmiştir. Microsoft yazılımı içinde bulunan casus yazılımlarla, NSA’ın Alman Genelkurmay Başkanlığı ve Dışişleri Bakanlığına ait gizli belge ve verileri elde ettiği tespit edilmiştir (Yılmaz, 2007: 432 – 434). 2.1.2.2. ECHELON İnternet, uydu linkleri ve kablosuz yerel ağlar, şimdilerde daha yeni daha ucuz ve daha az riskli espiyonaj fırsatları sunmaktadır. ECHELON’un soğuk savaş döneminde 1971 yılı içinde elektronik izleme sistemi olarak kurulduğu söylenmektedir. Avrupa Birliği üyelerinden İngiltere, sistemin yönetilmesine yardım 32 Campbell, 1999 75 etmekteyken, Kanada, Avustralya ve Yeni Zelanda iletileri dinleyebilmektedir. Adı geçen ülkeler İkinci Dünya Savaşından bu yana UKUSA (UK – USA, United Kingdom, United States of America) istihbarat birliği üyesidirler. İkinci Dünya Savaşının hemen ardından bu ülkeler arasında SIGINT (Signals Intelligence) olarak adlandırılan sinyalizasyon istihbarat anlaşması imzalanmıştır. Bu birlik varılan anlaşmaya dayanarak, dünyanın çeşitli bölgelerini kendi aralarında paylaşarak, izlemektedir. UKUSA kapsamında, Kanada eski Sovyetler Birliği'nin kuzey bölümünü izleyip, tüm iletişim trafiğini toplarken ABD, Latin Amerika ülkelerinin büyük kısmını, Asya ve Rusya'nın güneyi ile Çin'i, İngiltere, Avrupa, Afrika ve Rusya'nın batı kısmını, Avustralya ise Asya'nın güneyinde Hindiçin olarak bilinen, Myanmar, Kamboçya, Malezya, Laos, Tayland ve Vietnam ülkeleri ile Endonezya ve Çin'in güney bölgesini, Yeni Zelanda ise batı Pasifik’in tamamını izlemekte ve tüm iletişim kanallarında geçen görüşmeleri kaydetmektedir (New Statesman, 1998; Goodspeed, 2000; Özcan, 2002). . İkinci Dünya Savaşı yıllarında, kurucu ABD ve İngiltere ile birlikte İngilizce konuşan diğer üç ülkenin (Avustralya, Yeni Zelanda ve Kanada) ikinci grup olarak dahil olduğu UKUSA haricinde, en az 30 ülkenin Comint tarzı yapılanması mevcuttur. Bunlardan en büyüğü Rusya’nın liderliğini yaptığı ve eski KGB, şimdiki FSB tarafından koordine edilen, FAPSI’nin 33 2000 yılı verilerine göre 54.000 çalışanı vardır. Çin’in de ciddi anlamda yürüttüğü bir SIGINT yapılanması mevcuttur ve bu sistem ABD ve Rusya ile ortaklaşa yönetilmektedir. İsrail, Hindistan ve Pakistan gibi pek çok Ortadoğu ve Asya ülkesi de SIGINT sistemi alt yapısı için yatırımlarda bulunmaktadır (Campbell, 1999). İletişim istihbaratı (Communication intelligence – Comint) NSA tarafından, istenilen alan içerisinde yabancı iletişiminden arzulanan istihbari ve teknik bilginin, yapılan geniş çaplı operasyonlarla elde edilmesi olarak tanımlanmaktadır. Comint, radar emisyonları gibi iletişim kabul edilmeyen sinyallerinde toplanmasını içeren SIGINT’in önemli bir parçasıdır. ABD Sigint Sistemi (The United States Sigint System – USSS); NSA, askeri destek ünitelerinin müştereken oluşturduğu CSS 33 FAPSI, Federal Agency of Governmental Communications and Information (FAGCI) olarak da adlandırılır. 76 (Merkezi Güvenlik Servisi – Central Security Service), CIA’nın bazı birimleri ile diğer kurumları bünyesinde barındırmaktadır. Comint operasyonlarının hedefleri oldukça çeşitlilik arz eder. Comint’in en klasik hedefleri, askeri iletişimler ve ülke başkentleri ile ulusal yurt dışı görev noktaları arasındaki diplomatik iletişimdir. Comint açısından, 1960’larda giderek artan oranda gelişen dünya ticareti ile ekonomik istihbarat ve bilimsel ve teknik bilginin elde edilmesi büyük önem kazanmıştır. Bununla birlikte, uyuşturucu kaçakçılığı, kara para aklama, terörizm ve organize suçlarda Comint’in hedefleri arasındadır. Her ne kadar uluslararası iletişim kanallarının takibinde ki amaç belliyse de, bu kanallardan amaç dışında her türden bilgininde geçtiğini belirtmek gerekir ki, istihbarat birimleri arasında bu türden bilgilerin devlet veya siyasi diğer amaçlar için kullanıldığının da altının çizilmesi gerekmektedir. NSA ve İngiliz akranı GCHQ (Devlet İletişim Genel Merkezi – Government Communications Headquarters), 1960’lı yılların sonu ile 1970’li yılların ortalarında, Comint öncelikli bilgilerinin dışında, hükümet tarafından rakip olarak görülen siyasi kişilerinde bilgilerini toplamıştır (Campbell, 1999). Dijital iletişimin ve internetin global manada dramatik ve kayda değer bir şekilde gelişmesiyle, Comint oluşumlarının çok fazla iş yoğunluğu içerisinde yeterli çalışmayı yapamayacağı düşüncesi tamamen yanlış bir argümandır. 1980’li yıllarda NSA ve UKUSA’nın diğer ortakları arasında, internetle aynı teknolojiye sahip fakat internetten çok daha geniş uluslararası bir iletişim ağı bulunmaktaydı. UKUSA’nın İngiliz ortağı GCHQ’a göre, GCHQ sistemleri birbirine geniş bir yerel bölge ağı (Local Area Network – LAN) ile Avrupa bölgesinde bağlıdır, bu yerel ağlarla, İnternet Protokol (IP) ağ protokolü vasıtası ile dünyanın diğer noktalarında bulunan merkezlere de bağlantı sağlanmaktadır ki, bu da o zamanların en geniş WANs (Wide Area Networks) iletişimi anlamına gelmektedir. Bu global ağ PATHWAY ve NSA’nın ana bilgisayar iletişim ağını kapsayan EMBROIDERY projesi ile geliştirilmiştir (Campbell, 1999). Alt yapısını UKUSA’nın oluşturduğu ECHELON ise, global bir casusluk sistemi olarak tarif edilmekte aynı zamanda dünyanın herhangi bir bölgesinde hemen hemen tüm kablosuz telefon görüşmelerini, e – mailleri ve faks mesajlarını dahi takip edebilme ve engelleyebilme özelliğine sahiptir (Anderson ve Cohn, 1999; Asser, 77 2000; EPTC, 2001: 11 – 21). Amerika, UKUSA birliğinin lider ülkesi olarak dünya üzerindeki üs noktalarının personel ihtiyacını, yüksek kapasiteli bilgisayar uzmanları ile karşılamaktadır. Ana merkezi Maryland – Fort Mead’de bulunan sistem bağlantı alt yapısı, aynı zamanda ABD Ulusal Güvenlik Ajansı (National Security Agency – NSA) ile de bağlantılıdır. Bu alt yapı ağ sistemi, dünyanın pek çok noktasında bulunan yer üsleri ile de bağlantılı iken ana merkez kapasitesine sahip dokuz merkezi üs noktasıyla koordinasyon halindedir. NSA’ın 2000’li yılların başında sahip olduğu personel sayısı 38.000 iken, yıllık bütçesi 4 milyar dolar civarlarındadır. Bu bütçe aynı zamanda o yıllarda FBI ve CIA’nın toplam bütçesinden bile fazladır (Bomford, 1999; Goodspeed, 2000). ABD’li resmi yetkililer ise, ECHELON’un varlığını ya da yokluğunu açık bir şekilde dile getirmeden, NSA’ın 1978 tarihli Yabancı İstihbarat İzleme Yasası (Foreign Intelligence Surveillance Act – FISA)’na sıkı sıkıya bağlı olduğunun altını çizmektedirler. FISA, NSA’ı hem Amerikan vatandaşlarını hem de denizaşırı ülkelerin vatandaşlarını dinlemekten, yalnızca yabancı bir devletin espiyonaj veya diğer suçları işleme şüphesi durumları ve terörist aktiviteler hariç, men etmektedir (Loeb, 1999; ACLU, 2005). Amerikan Sivil Özgürlükler Birliğine göre ECHELON, veri toplama işlemini dört temel unsuru kullanarak gerçekleştirmektedir; Uydular: Şehirlerarasındaki iletişim esnasında çevreye yayılan veriler pek çok uydu tarafından yakalanır. Daha sonra uydular topladıkları bu verileri yer üslerine işlenmek üzere iletir. ABD, İngiltere, Avustralya ve Almanya'da bulunan merkez üslerde bahse konu veriler işlenerek ayrıştırılır ve kullanılabilir bilgi olarak arşivlenir. İnternet: Web üzerinde hareket eden anahtar bağlantı noktalarındaki veri paketlerinden, sniffer (koklayıcı) adı verilen aygıtlar vasıtası ile bilgiler toplanır. Ayrıca ECHELON tarafından tarayıcı yazılımları ile Web sitelerinde işe yarar veriler araştırılır ve toplanır. 78 Radyo Antenleri: ABD, Türkiye, İtalya, İngiltere, Yeni Zelanda, Kanada ve Avustralya ile başta olmak üzere pek çok ülkede dev radyo antenleri vasıtası ile radyo yayınları izlenmekte hatta engellenmektedir. Sualtı Kabloları: Kesin olmamakla birlikte ECHELON sistemi dâhilinde, denizaşırı iletişimi taşıyan ve okyanus altından geçen fiber optik kablolara yerleştirilen cihazlarla araya girilerek istenilen özelliklere sahip bilgiler toplanmaktadır. Elde edilen ve sisteme katılan ülkelerin önceliklerine göre belirlenen adresler, isimler, kurumlar ve diğer anahtar kelimeler gibi ham bilgiler, incelenerek bilgisayar sistemleri vasıtası ile işlenir. Etiketlenen bilgiler ise ilgili ülkeye ayrıştırılarak gönderilir (Loeb, 1999). Şekil 2: Echelon Elektronik İzleme Sistemi 34 Dinleme İstasyonları Sabit Uydular Uydu Yörüngesi NATO ülkeleri tarafından ECHELON sistemine yapılan katkı dolayısı ile bu ülkelerde de lokal olarak adı geçen sistemin kullanıldığı, Türkiye’nin de dokuz ayrı noktasında (Adana, Ağrı, Antalya, Diyarbakır, Edirne, İstanbul, İzmir, Kars ve Sinop) yer üssü bulunduğu, ayrıca 1998 verilerine göre, ECHELON’un saatte iki milyon, 24 saat içerisinde ise üç milyar telefon görüşmesini izleyip dinlediği, internet trafiğinin ise %90’ının kontrol edilebildiği ifade edilmektedir. Buna ilaveten sistem, 34 Harita, http://www.turkish-media.com/harita/dunya.html sitesinden referans alınmıştır, Echelon Sistemini gösterir diyagram ise http://news.bbc.co.uk/2/hi/europe/820758.stm sitesinden referans alınarak harita üzerine işlenmiştir. 79 dünya yörüngesinde bulunan Mercury uydusu ile deniz altında yapılan iletişimi de takip edebilmektedir. 11 Eylül saldırılarından önce ise sistemin içine sızılarak, sistemin susturulduğu da iddia edilmektedir (Zahn, 1999; Yılmaz, 2007: 453 – 454). 30 Mart 2000 tarihinde, Avrupa Parlamentosuna, tartışmalı casusluk ağı ECHELON hakkında gensoru önergesi verilmiştir. Verilen gensoru önergesi, ABD'nin ECHELON elektronik izleme sistemini kullanarak Avrupa hükümetlerinin ve şirketlerinin ticari sırlarını çaldığı konusunu ihtiva etmekteydi. Avrupa Parlamentosu Yeşiller Partisi milletvekillerinden bazıları ise ABD'nin ECHELON sistemini kullanarak milyarlarca telefon görüşmesini, faks ve e – mail mesajlarını izlediği ve ekonomik avantaj sağladığı iddialarını araştırmak üzere özel bir komite oluşturulmasını talep etmişlerdir. Avrupa Parlamentosu tarafından yayımlanan rapora göre ECHELON, endüstri espiyonajı yapma amacıyla geliştirilen bir gizli dinleme aracıdır. Pek çok Avrupa Parlamentosu milletvekili ise İngiltere'nin ECHELON bağlantısını tartışma konusu yapmıştır (Blane, 2000). ECHELON hakkındaki paranoya Avrupa ve dünyanın diğer bölgelerinde öyle bir hal almıştır ki, 21 Ekim 1999’da dünyada internet kullanıcısı pek çok kişi Jam Echelon Day olarak adlandırılan bir eylem başlatmıştır. Bu eylemde internet kullanıcıları birbirlerine, o güne mahsus içinde “suikast” ve “bomba” gibi ulusal güvenliğe tehdit olarak düşünülen kelimeler barındıran milyonlarca mail atarak, NSA’ın süper bilgisayarını (SuperComputer) kilitlemeyi ve mail trafiğini en yüksek seviyeye çekerek NSA’ın anlayacağı şekilde sanal bir ulusal tehdit oluşturmayı amaçlamışlardır (Loeb, 1999). Avrupa Parlamentosu (AP) tarafından oluşturulan komisyon raporunda, İngiltere'nin ABD'nin Avrupalı ortaklarına yönelik casusluk faaliyetleri yürütmesine yardımcı olduğu iddia edilmektedir. Her iki ülkede bu iddiaları, raporun yayınlanmasının ardından yalanlamıştır. Bununla birlikte, Fransa İçişleri Bakanlığı, ekonomik espiyonaj faaliyetlerinden korunma amacıyla şifrelenmiş iletişim kullandıklarını, Alman Hristiyan Demokratik Parlamento üyesi Christian von Boetticher ise casusluk faaliyetlerinden ötürü Avrupa iş çevrelerinin 20 milyar Euro ekonomik zarara uğradığını, Belçika Dışişleri Bakanı Michel ise, casusluk iddialarının kabul edilemez olduğunu dile getirmişlerdir. Elektronik espiyonaj faaliyetleri konusunda yirmi yılını vermiş bağımsız İskoç araştırmacı yazar Duncan 80 Campbell tarafından hazırlanan raporda, Fransız firması Thomson – CSF’nin Brezilya şirketi SIVAM ile 1,3 milyar dolar değerindeki radar teknolojisi anlaşmasını Raytheon 35 adlı Amerikan firmasına karşı kaybetmesine sebep olan önemli ticari bilgilerin ve Avrupa Airbus konsorsiyumunun ABD Boeing firması karşısında kaybettiği altı milyar dolar değerindeki aircraft anlaşmasının ECHELON tarafından ele geçirilen bilgiler yüzünden olduğu iddia edilmiştir. Raporda ayrıca Campbell, Microsoft ve IBM gibi mikroçip üreticisi firmalarında, gizli dinleme yapabilme amacıyla dizayn edilen teknolojiyi desteklediğini belirtmiştir (Campbell, 1999; Kleiner ve Jones, 1999; BBC News, 2000; Goodspeed, 2000). 2001 yılında AP tarafından oluşturulan Özel Soruşturma Komitesi, Amerika Birleşik Devletlerini ECHELON elektronik casusluk ağını kullanarak Avrupa şirketlerine karşı endüstriyel casusluk yaptığı konusunda suçlamıştır. AP Özel Komitesi tarafından, ECHELON’un topladığı bilginin Birleşik Devletlere 1994 yılında Suudi Arabistan’a uçak satışı konusunda Avrupa Airbus Konsorsiyumuna karşı yardımcı olabileceği değerlendirilmektedir (Pemstein, 2000; Meller, 2001). Fransa ise 1995 yılında, içlerinde Paris CIA şefinin de bulunduğu beş Amerikan diplomatı ve resmi personelini, ECHELON bağlantılı endüstriyel casusluk aktiviteleri sebebiyle sınır dışı etmiştir (Marsden, 2000). PROMIS gibi ECHELON’ da ekonomik, siyasal ve suç unsuru olan tüm faaliyetlerde istihbari nitelikte bilgileri toplamakta ve konularına göre arşivlemektedir. ORATORY adı verilen sözlük programı ile sözlükte geçen Oliver North, Vince Foster, Malcolm X, Delta Force, Randy Weaver, Davidian and Whitewater gibi kelimeler ve önemli diğer kelimelerin zikredildiği her veri taranır ve incelenebilir, bu işlemlerle birlikte verinin çıkış noktası ile ulaştığı nokta tespit edilerek kayıt altına alınır (Anderson ve Cohn, 1999; Bomford, 1999; Campbell, 1999; Goodspeed, 2000; Yılmaz, 2007: 454). Yeni nesil teknolojik gelişmeler, beraberinde yeni imkanlar sunarlarken yeni sorunlarda ortaya çıkarır. İş çevrelerinin siber espiyonaj kurbanı olmama düşüncesi çerçevesi içerisinde, yapılan tüm iletişimin kriptografi uzmanları tarafından şifrelenmesi, istihbarat toplama hevesinde olan her unsurun keyfini kaçırmaktadır. 35 Raytheon şirketi, NSA’ın ECHELON uydu takip istasyonu Sugar Grove’un mühendislik hizmetlerini sağlamaktadır. 81 Bununla birlikte, daha çok uzman, daha çok zaman ve çalışma ile bu şifreleme tekniklerinin çözümü için çaba sarf edilmektedir. % 100 istihbarat hiçbir zaman mevcut bir amaç olmamıştır. İnsan faktörünün her an takip edilen işlemin akışını değiştirebileceği düşünülerek, elde edilen bilgilerin birleştirilmesi, geçmiş bilgilerin gözden geçirilmesi ve gelecek için öngörülen eylemlerin eldeki verilerle karşılaştırılması ile istihbari çalışmalar yapılabilir. Ulusal güvenlik, günümüzde sadece sınırların güvenliği anlamına gelmediği gibi, yalnızca askeri unsurları da kapsamamaktadır. Ekonomik güvenlik, sosyal yapının korunması ve proaktif istihbarat yapılanması ulusal güvenlik unsurları arasındadır. Ulusal çapta faaliyet gösteren kamu sektörü, gizli veya önemli bilgilerin saklandığı veya aktarıldığı bilgisayarlara internet erişimini iptal etmiştir, bununla birlikte kullanılan intranet ağları vasıtası ile kurumlar içi faaliyetler sürdürülür. Bakanlıklar arasında veri akışının hızlanması kapsamında bir bağlantı kurulması düşünülmüşse de, güvenlik ihlallerinin önlenememesi göz önüne alınarak bu düşünceden vazgeçilmiştir. Kurumların kullandıkları mevcut veri alt yapısının birleştirilmesi, esasında çok fazla masraf gerektirmeyen bir oluşumun ilk adımı olabilir. Devletin tüm kurumları arasında sağlanacak iletişimin getirilerinin ve olumsuz etkilerinin iyi hesaplanması ve irdelenmesi gerekir. Güvenlikten tasarruf edemeyeceğimiz gibi, güvenlik endişeleri nedeniyle daha verimli olabilecek sistem alt yapılarının kullanılmasını engelleme gibi bir tasarrufun lüks olacağını da belirtmemiz gerekir. Kurumlar arası ve kurum içi Ar – Ge faaliyetlerinin desteklenmemesi, güvenliğe ne kadar önem verilirse verilsin, dışa bağımlılığa sebep olacaktır. Dışa bağımlılık, ekonomik ve teknolojik gelişmelerin önünde bir engel olacağı gibi, ulusal güvenliği tehdit edebilecek özelliklerde taşır. Ülkemizde neredeyse tüm devlet ve özel kurumların kullandığı yazılımların, hemen hemen tamamı aynı yazılımlardır. Bu yazılımlardan birinin içine yerleştirilecek bir siber istihbarat yazılımı, pek çok bilginin istenmeyen ellere teslim edilmesine neden olacaktır. Dünyanın en gelişmiş izleme ve takip teknolojisi (ECHELON) bile, disiplinli bir güvenlik anlayışının kapılarını zorlayamaz. Unutmamak gerekir ki, verimlilik güvenlikten ödün verilerek sağlanamaz. 82 2.1.2.3. PROMIS ABD Savunma Bakanlığı, adli soruşturma işlerinin daha aktif ve verimli sürdürülebilmesi amacıyla Inslaw şirketi ile bir bilgisayar yazılımı yapılması konusunda anlaşma yapmıştır. 1982 yılında yapılan bu anlaşma sonucu Inslaw şirketi PROMIS (Prosecutor’s Managemen Information System) adlı yazılımı hayata geçirmiştir. Bilgisayar üzerinde, istenilen konu ile ilgili tam bir istihbarat toplama özelliğine sahip bu program, daha sonra kullanma amacı dışında, gizli servisler ve istihbarat birimleri tarafından; hükümetlerce politik muhalifler hakkında bilgi toplamak, açık ve zayıf yönlerini tespit etmek, diğer ülkelerdeki uluslararası şirketlerin faaliyetlerini tespit etmek, ihalelerde avantaj sağlamak, istihbarat işi yapan kurumlar gibi önemli kurum ve kuruluşların bilgilerine ulaşmak ve son olarak ulusal veya uluslararası suçluları takip etmek amacıyla kullanılmaya başlanmıştır (Yılmaz, 2007: 439 – 440). Genel olarak PROMIS yüklü olduğu bilgisayarlarda, yine ABD tarafından geliştirilen Carnivore ve Total Information Awereness sistemleri gibi istenilen hedefle ilgili bilgileri toplar, bağlantılarını ortaya koyar, bilgileri istenilen önem sırasına göre dizer ve kullanıcıya sunar. Sivil, resmi ve askeri her sisteme nüfuz edebilen bu program her türlü izleme, arama, tarama ve bilgi aktarma işini yaparak gerçek bir dijital silah olarak kullanılabilir. PROMIS yazılımına yüklenen bir arka kapı (backdoor) programı, yazılımın kurulduğu sistem üzerinde erişime açık bir geçit açar. İnternet üzerinden açık portun niteliğini bilen her kullanıcı, yazılımın kendisi için derlediği bilgileri, ilgili sistem veri tabanı veya bilgisayardan çekebilir (Stanley ve Steinhardt, 2003: 8 – 12; Yılmaz, 2007: 440). 1991 yılında Inslaw şirketi ve ABD Adalet Bakanlığı arasında cereyan eden hukuk savaşında yukarıda bahsettiğimiz hadiselerin, hem ABD gizli servislerince, hem de İsrail gizli servisi MOSSAD tarafından kullanıldığı ortaya çıkmıştır. Yazılımın geliştirilmesini sağlayan Bill Hamilton, adli mercilere verdiği ifadesinde ilgili programın Kanada Polis Teşkilatı ve İstihbarat servisleri tarafından da kullanıldığını belirtmiştir. Yazılım ayrıca içlerinde Ortadoğu ülkelerinin bulunduğu pek çok ülkeye ve Türkiye’ye de satılmıştır. Genel anlamda siber espiyonaj amaçlı 83 kullanılan bu yazılımın, siber terör, fiziksel terör, uyuşturucu, insan ve silah kaçakçılığının önlenmesi ve takibi için kullanıldığını belirtmek gerekir. Bilgi savaşlarının sonu gelmez yarışında istihbarat toplama ve istihbarata karşı koyma faaliyetleri belki de en öncelikli konudur. Organize suç örgütleri kadar, terör faaliyeti içinde olan gruplarında, siber dünyayı kendi emelleri doğrultusunda profesyonelce kullandığı bilinmekte iken, bahsedilen yazılım tarzı programların çok daha gelişmiş versiyonlarının hukuk devleti olan ülkelerde kullanılması elzemdir (Yılmaz, 2007: 440 – 442). 2.1.3. Siber Savaş Güvenlik uzmanları siber savaş konseptinin ilerleyen dönemlerde, klasik askeri eylemlerle birlikte anılacağına inanmaktadır. Özellikle gelecek yıllarda ülkelerin ekonomik alt yapılarına yönelik düşmanca girişimlerin, bu şekilde sürdürüleceği düşünülmektedir. Dünya devletleri bilgisayar sistemlerine yapılan ve yapılacak saldırılara cevap vermede, sistemlerini uzmanlara ve politika yapıcılara dikkatli bir şekilde takip ettirmektedir. ABD'de özellikle bu tür gelişmeler, siber savaş olarak adlandırılan savaş için ulusal politikanın bir parçası olarak değerlendirilmektedir. Rusya ve Gürcistan arasından yaşanan son kısa süreli savaş esnasında ortaya çıkan siber saldırı anlayışının, gelecek dönemlerde bize bir fikir verme açısından önemi büyüktür. Fakat siber savaş konsepti çok daha eskilere dayanan bir geçmişe sahiptir. Uluslararası çatışmalar ülkelerde milliyetçilik akımını güçlendirirken, bu kişiler tarafından yapılan siber saldırılara devlet ya kendi eliyle destek vermekte ya da saldırganın gerçekleştirdiği bu illegal eyleme göz yummaktadır. Hindistan tarafından, İrlanda kaynaklı Doğu Timor web sitesine yönelik düzenlenen bir dizi saldırı bu kapsamda düşünülmelidir. Bu saldırılar İrlanda üzerinden yayın akışını sürdüren Doğu Timor web sitesini kapatmaya ve siteyi başka bir servis sağlayıcı tarafından hizmet almaya zorlamıştır. Çin ve Tayvan siber savaş olgusunun bir sonraki aşamasını ifade etmektedir. Tayvan başkanı Lee Teng-hui, adaların özgürlüğünü 1999 yazında desteklediğini dile getirdiğinde Çin, Tayvan hükümetinin resmi web sitesini bozmak amacıyla bir dizi siber saldırı başlatmıştır. Bu durum ülkeler arası bir siber savaş olarak düşünülebilir, sonuçta bu saldırılarda tamamıyla 84 devlet teşekkülleri hedef alınmıştır. Lee'nin konuşmasından yaklaşık olarak bir ay kadar sonra temmuz ayının sonlarında, Tayvan ulusal çapta bir elektrik kesintisine uğramıştır. Bir hafta sonra pek çok devlet bankasının ATM'si çökmüştür. Tayvan, tüm bu olanları inkar etmiştir fakat bu inkar bile çok daha ağır sonuçları olan bir siber savaş yaşandığını göstermektedir (Stanton, 2000). İleride yaşanacak siber savaş anlayışının kapsamının daha iyi anlaşılabilmesi için 9 Ağustos 2008’de Rusya’nın, Gürcistan'a karşı başlattığı fiziksel askeri harekatla birlikte, siber savaş harekatını da aynı anda başlatması güzel bir örnek olarak verilebilir. Rus savaş uçaklarının başlattığı saldırı ile aynı zaman dilimi içinde, Rusya'nın DDoS saldırıları ile Gürcistan'a yönelik siber bir saldırı harekatı başlattığı tutulan loglardan ve ağ trafiğindeki yoğunluktan anlaşılmaktadır. Başlatılan siber saldırıların hedefi, Gürcistan'ın Gori kentindeki basın ve devlete ait yerel iletişim sistemleri iken Rus hava kuvvetleri de saldırılarını aynı kente yöneltmiştir. Rus askeri idarecileri ile hacking gruplarının gerçekleştirdikleri fiziksel ve siber saldırıların zamanlaması ve seçilen hedeflerdeki benzerliklerden ötürü, saldırıların bir koordinasyon içinde sürdürüldüğüne inanılmaktadır (Danchev, 2008; GTISC, 2009: 3). Gürcistan’ın internet trafiğinin büyük bölümü Rusya ve Türkiye üzerinden geçmektedir. 10 Ağustos 2008’de Türkiye üzerinden geçen internet akımı neredeyse bloke edilmiş, Rusya üzerinden geçen IP trafiği ise yavaşlatılmış ve etkinlik olarak kullanılamaz hale getirilmiştir. Gürcistan IP adres trafiğinin büyük bölümü, Rusya tarafından işletilen Rostelecom tarafından, trafiğin akışına yapılan müdahaleler neticesi durdurulmuştur. Rusya, Moskova merkezli COMSTAR ağı ile koordine içinde istediği değişiklikleri yapma imkanına sahiptir. Gürcistan ağlarının en büyük DNS Server’ını hedef alan DDoS saldırıları, devlet destekli Rostelecom ve COMSTAR ağları üzerinden gerçekleştirilmiştir. RBN 36 (Russian Business Network 36 Çoğunlukla RBN olarak bilinen Russian Business Network çok yönlü bir siber suç örgütüdür. Daha çok kişisel bilgi hırsızlığı ve kişisel bilgi pazarlaması konusunda uzmanlaşmıştır. Rus crackerlar tarafından geliştirilen PHP temelli zararlı yazılım aracının ve bir milyonla elli milyon arasında bilgisayarı etkilediği düşünülen Storm botnetinin yaratıcısı olduğu iddia edilmektedir. St. Petersburg merkezli örgütün yasadışı yollarla çocuk pornografisi, phishing, spam ve zararlı yazılımlar geliştirerek ve yayımlayarak maddi gelir elde ettiği bilinmektedir. Son olarak örgütün kurucusu ve lideri olarak bilinen Flyman rumuzlu kişinin ise Rus politikacılarla iyi ve güçlü ilişlilerinin olduğu iddia edilmektedir. 2007 yılında Estonya’ya ve Ağustos 2008’de Gürcistan ve Azerbaycan’a yönelik DoS 85 – Rus İş Ağı)’un eski ortaklarının kontrolünde olan Türkiye ağ sisteminin bir bölümü üzerinden yapılan saldırılarda, yine aynı yöntem ve taktikler kullanılmış ayrıca aynı hedeflere yönelik saldırılar gerçekleştirilmiştir. Adı geçen eski ortakların, yerel Saint Petersburg hükümeti ile bağlantılarının olduğu, dolayısı ile bağlantıların Rus gizli servisi FSB’ye kadar uzandığına inanılmaktadır (GTISC, 2009: 3). Gürcistan’a yönelik saldırılarda, basın ve devlete ait web sitelerine yapılan DDoS ataklarına ilaveten, veri hırsızlığı, sahte Gürcistan web siteleri kurarak bu siteler üzerinden yanlış bilgilendirme ve propaganda, ağlara yönelik kapsamlı DDoS saldırıları ve Brute Force 37 saldırıları gerçekleştirilmiştir. Rus istihbaratı, askeri kaynaklar ve hacking gruplarının ortaklaşa hareket ettiği bu savaş düzeninde fiziksel saldırılar, ucuz maliyetli siber saldırılarla desteklenmiş, Gürcistan saldırılar karşısında bir siber savunma sistemine ihtiyaç duymuştur. Bununla birlikte beklide ülkeler arası savaş durumlarında bu tür siber saldırılara yönelik yasal bir boşluğun varlığı hissedilmiştir (Danchev, 2008; GTISC, 2009: 3 – 4). Siber savaş konseptinin, gelecekte Çin ve ABD arasında çök önemli bir rolü olacaktır. Şimdiki BlueFin Security’nin kurucusu George Heron; “Çin orijinli siber tehditler oldukça gerçektir ve artarak devam etmektedir.” demektedir. Ülkelerin ulaşım sistem altyapıları, iletişim sistemleri, enerji alt yapıları, sulama sistem altyapıları gibi hayati öneme sahip alt yapılar düşman devletler tarafından siber tehdit anlamında önemli birer hedeftirler. Siber savaş kapsamında ülkeler bu hayati öneme sahip yapılara ait açıklara yönelik araştırmalar yürütmektedirler, araştırmaların amacı kendi ülkesindeki alt yapı sistemlerinin zafiyetlerinin giderilmesi ve ileride elde edilecek bilgilerden faydalanmadır (GTISC, 2009: 4). ABD gibi internet ve IP temelli teknolojilere bağımlı ülkeler bu konularda yoğun araştırmalar gerçekleştirmektedirler. Bu kapsamda 2008 Martında, ABD İç Güvenlik Bakanlığı (Department of Homeland Security – DHS)’na bağlı Ulusal Siber Güvenlik Birimi (Denial of Service) atakları gibi siber terör aktiviteleri içinde olduğu düşünülen RBN’nin Rus istihbarat servisleriyle de bağlantılarının olduğu düşünülmektedir (Wikipedia, 2009). 37 Algoritma tasarımı yaparken akla gelen en basit yol kullanılarak izlenen yöntemdir, mesela sıralı bir dizi içinde bile arama yaparken brute force yöntemi kullanılırsa aranan değer için bütün elemanlara teker teker bakılır. Bu yöntemin çalışma zamanı çoğu zaman diğer algoritma tekniklerinden daha yüksektir fakat kullanılması kaçınılmaz olan yerler de mevcuttur. Kısaca olasılıkların tamamını deneme yanılma yöntemi ile araştırmaktır. 86 (National Cyber Security Division – NCSD) tarafından, ikinci yıllık Siber Fırtına (Cyber Storm II) 38 eğitimi gerçekleştirilmiştir. Siber savaşın kaçınılmazlığı düşüncesi ile gerçekleştirilen bu eğitime dokuz eyalet, beş devlet (Avustralya, Kanada, Yeni Zelanda, Britanya, ABD), 39 18 federal birim, 10 Bilgi Paylaşım ve Analiz Merkezi (Information Sharing and Analysis Centers – ISACs) ve 40 özel şirket katılmıştır. Çalışma kapsamında kimyasal, ulaşım, iletişim ve bilgi teknolojileri konularına ağırlık verilmiştir. Yapılan eğitimlerden, siber tehditlerin ve bunlara karşı alınacak önlemlerin tespiti için özel ve kamu sektörünün ortaklığına ihtiyaç duyulduğu sonucu çıkmıştır (DHS, 2008). 2.1.4. Siber Terörizm 1970’lerde günümüz internetinin hayata geçirildiğinde merkezi bir yapısı vardı, bunun en temel sebebi ise soğuk savaş sırasında Sovyet Rusya korkusuydu. Yaklaşık olarak 20 yıl kadar süren araştırmalardan sonra internet özel ve kamu kullanıcılarının hizmetine sunuldu. Böylece insanlar dünyanın herhangi bir yerinden bağlandıkları internet vasıtasıyla her türlü bilgiye ulaşma imkânı buldular. İnternete bağlanmak beraberinde riskler getirmektedir, oluşan güvenlik risklerinin sebebi ise internete bağlı olan her şeyin herkes tarafından ulaşılabilir olmasıdır. Güvenlik tedbirleri alınmadıkça da sisteme sızmaların önlenmesi mümkün değildir. Siber terör saldırılarına detaylı olarak göz attığımızda, saldırıların ciddiyeti kadar saldırılara karşı önlem almanın da ciddi bir konu olduğunu görebiliriz. Kolay erişim imkânı, sansürleme 40 gibi hükümet kontrolü içeren uygulamalardan uzak, neredeyse hiçbir kuralın olmadığı dünya çapında büyük kitlelere ulaşma imkanı, sesli ve görüntülü, aynı zamanda interaktif iletişim, hızlı 38 Cyber Storm eğitim çalışmalarının ilki 2006 yılında gerçekleştirilmiştir. Bu eğitim çalışmalarına federal, eyalet ve yerel yönetimlerden 115’in üstünde kuruluş katılmıştır. Çalışma ulaşım, iletişim, bilgi teknolojileri ve enerji altyapıları konularında yürütülmüştür. 39 Görüldüğü gibi UKUSA ve ECHELON birlikteliği, bilişim teknolojilerinin söz konusu olduğu her alanda kendini göstermektedir. 40 Ürdünlü yetkililer, Ürdün’de satılan The Economist gazetesinin 40 basılı kopyasında yer alan bir makaleyi sansürlemiş, gazete aboneleri ise internetten ilgili makaleyi indirerek 1.000 Ürdünlüye fakslamışlardır. Bu olay, internetin ulusal sınırları by – pass ettiğini gösteren güzel bir örnektir (Denning, 2001b: 244). Aynı şekilde ülkemizde yargı yolu ile erişime kapatılan YouTube olayı, insanları farklı siteler üzerinden veya Proxy ayarlarını değiştirerek bu siteye ulaşmaya itmiştir. Yasaklar internet üzerinde delinmeye mecburdur ve sansür terimi internet insanları için kendi içlerinde geliştirecekleri bir kontrol mekanizması olma yolundadır. 87 bilgi akışı, ucuz maliyet ve gelişim, görsel veya yazılı yayın takibi yapabilme, bunları kendi bilgisayarına indirme ve paylaşabilme, son olarak basın yayın faaliyetlerinin çok daha kapsamlı takip edilebilmesi imkanı, organize örgütler kadar terörist yapılanmalar içinde dehşet salma, korkutma, plan yapma, propaganda yapma, adam kazanma, şantaj yapma, eğitim verme ve saldırı gerçekleştirme amacıyla interneti uygun ve kolay bir araca dönüştürmektedir (Weimann, 2004a). Siber terörün tanımına geçmeden önce, siber terörle ilgili iki farklı temel görüşe değinmek gerekir. Bu görüşlerden birincisine göre, siber terörizm gelecekte karşılaşacağımız en büyük tehdittir ve teknolojik alt yapı sistemlerine bağımlı ülkeler bu durumdan en fazla etkilenecek olan ülkelerdir. Örneğin kritik alt yapı sistemlerini internet üzerinden denetleyen ve devam ettiren ülkeler bu kapsamdadır. İkinci temel görüşe göre ise siber terörizm asla gerçekleşmeyecek bir mittir. Siber terör insanların kafalarında olması gerektiğini düşündükleri varsayımları ifade eder. Bu durum anti – virüs yazılımları üreten şirketlerin, mallarının satılması amacıyla virüsleri yazması ve kendi ürünlerini insanlara pazarlaması varsayımına benzer bir durumdur (Ellsmore, 2002: 8). Gerçekten siber terörle ilgili bildiğimiz konu ise, terör örgütlerinin teknolojiyi kendi ideolojileri amacıyla kullanmaya günümüzde daha çok önem verdikleridir. Takipten kurtulmak veya iletişim amacıyla teknolojik gelişmeler terör örgütleri tarafından kullanılmaktadır. El – Kaide gibi PKK/Kongra – Gel terör örgütü de, lojistik amaçla, teknik kapasiteleri ile finansal alt yapılarını korumak ve devam ettirmek için teknolojiyi sonuna kadar sömürmektedirler. Bu bilgiler ışığında gelecekte kapsamlı bir siber terör dalgasıyla karşılaşabileceğimiz varsayımını ciddiye almamız gerekmektedir. Pek çok terör örgütü teknik kapasitesini ve örgüt elemanlarının hacking yeteneklerini geliştirmek için yoğun çaba içerisindedir. Nihayetinde siber terör olaylarını gerçekleştirecek bir açık bulmak terör örgütleri için uzun zaman almayacaktır. Siber terör eylemi sadece insan hayatına veya devlet kurumlarına ve alt yapılarına yönelik olmak zorunda değildir. Çevre felaketleri ile doğal yaşamın sona erdirilmesi, doğal yaşamının kirletilmesi sonucu iklim değişikliklerinin yaşanması, çevrenin kullanılamaz hale gelmesi ile iş sektöründe yaşanan olumsuzluklara neden olabilecek türden eylemler ideolojik amaçla işlenmişse bunlarında siber terör 88 içerisinde değerlendirilmesi gerekmektedir. İstanbul körfezinin temizlenmesi için kurulan artıma sistemine sızılması ile kirli atıkların denize boşaltılması bir çevre felaketine sebep olmakla birlikte, denizcilik ve balıkçılık sektörüne ayrıca doğal yaşam içinde belli mevsimlerde Marmara’ya göç eden balıkların, kuşların ve diğer hayvanların göç yönlerinin değişmesine olumsuz yönde etki edecektir ve durum siber terör kapsamında düşünüldüğünde değerlendirilmesi gereken iddialı bir örnektir. Bu örneği destekleyen yaşanmış bir hadise 2000 yılının nisan ayında Avustralya’da cereyan etmiştir. Vitek Boden adında bir bilgisayar korsanı, Maroochy Shire Council’in atık yönetim kontrol sistemini hackleyerek, milyonlarca litre lağım suyunu Queensland, Sunshine Coast’ ta bulunan parklara ve koylara boşaltmıştır. EPA (Environmental Protection Agency – Çevre Koruma Ajansı)’na göre deniz hayatı yok olmuş, koy çevresindeki sular siyaha dönmüş ve çevreye yayılan koku bölge insanını tahammül edilemeyecek derecede etkilemiştir (Ellsmore, 2002: 9 – 10). Siber terörizmin ne olduğu konusunda on kişiye bir soru yöneltseniz muhtemelen dokuz farklı cevap alırsınız. Eğer sorduğunuz bu on kişi bilgisayar güvenliği konusunda uzman kişilerden ise, siber terörizme can sıkıcı bir durumdan çok komik hadiseler olarak bakacaktır. Bununla birlikte devlet güvenliği birimlerinde çalışan kişilere siber terörizmi sorduğunuzda ise konu birden ciddi bir boyut kazanır. Siber terör konusunda daha bilimsel yaklaşımlara ihtiyaç duymamızın sebebi ise işte bu farklı algılamalardan dolayıdır. Siber terör teriminin açıkça kullanılan sabit bir tanımı bulunmamakla birlikte, terim ilk kez 1980'lerde Barry Collin tarafından kullanılmıştır. Daha öncede bahsedildiği gibi, 11 Eylül saldırılarında bilgisayar ve internetin kullanıldığı açık bir şekilde bilinse de, bu teknolojinin eylemde ne kadar geniş çaplı kullanıldığına dair bir bilgi mevcut değildir. Fakat teröristlerin yolculuk planları yapmada ve biletlerini almada, Florida, Delray Beach'te bulunan kamuya ait kütüphanenin bilgisayarlarını kullandığı bilinmektedir. 11 Eylül saldırıları bize bir şeyi çok net göstermiştir, o da büyük resmi görmemiz gerektiğidir. Terörist saldırıların gerçek nesneleri hedef alabileceği gibi, sanal hedefleri de hedef alabileceği açıktır. Terörün tek yönlü düşünülmesi bizleri zafiyete sürükleyecektir. Terör çok yönlü bir disiplin ile ele alınması gereken ciddi bir konudur (Gordon ve Ford, 2004: 3 – 9). 89 Siber uzay daimi olarak ciddi ve maliyeti yüksek saldırılara maruz kalmaktadır. Siber casuslar, hırsızlar, sabotajcılar ve maceracılar bilgisayar sistemlerine girmekte, kişisel ve ticari bilgileri çalmakta, web sitelerine zarar vermekte, hizmeti aksatmakta, sistemleri ve verileri sabote etmekte, bilgisayar virüslerini yaymakta, sahte işlemler yürütmekte, bireylere ve şirketlere zarar vermektedirler. Bu saldırılar, binlercesi internetteki web sitelerinden elde edilebilir vaziyette olan ve giderek güçlenmekte olan, kullanımı kolay yazılımlarla düzenlenmektedir (Denning, 2000a). Diğer tüm suçları terörizmden ayıran temel değer ideolojidir. Siber terörizmin, terörizmin tanımı gibi pek çok tanımı mevcuttur. Güvenlik uzmanı Denning, siber terörizmi ‘ciddi ekonomik yıkım veya insan hayatının sonlanması gibi büyük zararları kendine amaç edinen ve bu içgüdü ile siyasi olarak hack saldırıları yapmaya motive olma’ olarak tanımlamıştır (Denning, 2001a). Siber terörizm genel olarak; bilgisayarlara, ağlara ve bilginin depolandığı yerlere, hükümeti veya siyasi ve sosyal yaşamını devam ettiren halkı sindirmek, korkutmak veya baskı yapmak amacı ile yapılan kanunsuz saldırı veya tehdit olarak tanımlanabilir. Siyasi amaçlı bilişim suçları terör motivasyonu ile işlenmektedir. Terörizmin ana hedefi bir ulusa ait değerlerin sarsılması ve tahrip edilmesi, elde edilen başarının ise propaganda aracı olarak kullanılmasıdır. Yine bireysel ya da toplu olarak icra edilebilen teknoloji destekli terör hareketleri, siber terör olarak adlandırılmaktadır. Amaç ve saik belli siyasi ve yok etmeye programlı her elektronik saldırı siber terör olarak adlandırılabilir. Gümüş ve Atıcı, ABD’nin kendi ticari firmalarına internet üzerinden ECHELON teknolojisinden yararlanarak elde ettiği ticari bilgileri aktarmasını ve haksız rekabete yol açmasını da siber terör kapsamında ele almıştır (Gümüş ve Atıcı, 2003a; Tiryaki, 2005). Elbette ki ticarete ve ekonomiye yapılan saldırılarda bir terör ideolojisi mevcutsa bununda siber terör kapsamında değerlendirilmesi pek doğaldır. Bilindiği üzere devletler mali ve finansal değerleriyle bir bütün olarak vatandaşlarına hizmet vermektedirler ve eğer bir terör saldırısı ülke ekonomisini de etkileyebiliyorsa, siber uzayda ya da reel dünyada bunun adı terörist eylemdir. Üretim faaliyetinde bulunan imalat firmalarını da aynı kapsam dâhilinde düşünmek gerekir. 90 Siber terörü fiziksel terörden ayıran yegâne şey ise bilgisayar ağlarıdır. Siber terörü, bilgi savaşı veya siber savaştan da ayrı tutmak gerekir. Bilgi savaşlarında düşman olarak kabul edilen bilgisayar sistemleri hedef alınır. Siber savaş veya bilgi savaşı dediğimiz ve ulus devlet ajanları tarafından gerçekleştirilen daha önce bahsettiğimiz espiyonaj faaliyetlerini, siyasi amaçlarla çökertme veya yıkma amacı güden siber terörist eylemlerinden ayıran temel misyon korku oluşturmaktır. Bilgi savaşı genel olarak üç kategoriye ayrılır, bunlar: 1 – Kişisel Bilgi Savaşı: Bireylere ait verilere yönelik yapılan bilgisayar temelli saldırıları ifade eder. Bu saldırılar, tıbbi ve kredi bilgileri gibi gizli kişisel bilgilerin çökertilmesi, değiştirilmesi veya bireyin bilgilere ulaşmasını engelleyici saldırılar olabilir. 2 – Kolektif Bilgi Savaşı: Burada ise endüstriyel espiyonaj veya internet üzerinden diğer katılımcı firmaların yanlış bilgilerle yönlendirilmesi durumu söz konusudur. 3 – Global Bilgi Savaşı: Global bilgi savaşları, bir ülkenin önemli bilgisayar sistemlerini hedef alır. Amaç, hedef ülkenin enerji, iletişim ve ulaşım gibi önemli sistem alt yapılarının kullanılamamasını sağlamaktır (Prichard ve MacDonald, 2004: 279 – 280). Bir diğer siyasi amaçlı bilgisayar saldırıları ise hacktivizm olarak adlandırılır. Hacktivizimde, siyasi amaçlı eylem ve hacking eyleminin bir arada olması durumu söz konusudur. Çok ciddi zarar verme amaçlanmamakla birlikte hacktivizmde, günlük işleyişin engellenmesi amaçlanmaktadır. Örneğin, bir web sitesine otomatik olarak yapılan toplu e-mail protestosu ya da zayıf virüs saldırıları hacktivizm olarak tanımlanmaktadır. Bu nedenle hacktivizm siber terörizmden, siyasi olarak güdülenmiş hackerların zarar vermedeki amaçlarındaki seviye olarak da farklılık gösterir. ABD NIPC (US National Infrastructure Protection Center – Ulusal Alt Yapı Sistemlerini Koruma Merkezi), 11 Eylül saldırılarından sonra Afganistan'a başlatılan harekattan sonra, ABD'li hackerlerin Pakistan resmi hükümet sitesini hacklediğini fark etmiştir. 91 NIPC ayrıca ABD'li hackerlerin Afgan News Network, Afgan Politics, Taleban.com ve Talibanonline.com sitelerini de hacklediğini açıklamıştır. 14 Eylül 2001'de dünyanın bilinen en ünlü hackerlerinden biri olan Fluffi Bunni, İngiltere menşeli NetNames firmasının DNS serverini kontrolü altına alarak Bin Laden'e yönelik olarak pek çok siteyi hacklemiş ve internet trafiğini kontrolü altına alarak geçici süre ile durdurmuştur (Ellsmore, 2002: 5 – 6). Yapılan bu saldırıların siber terör eylemlerinden çok hacktivizm olarak görülmesi gerekir. Sonuç itibari ile bir tepki koyma eylemleri olarak düşünülmesi gereken bu tür hareketler yüksek mali zararlara sebebiyet vermekte ve onarım süresi uzun zaman almaktadır. Hacktivizm, siber uzayda sivil itaatsizlik eylemleri olarak tanımlanabilir ve dört farklı şekilde icra edilir, bunlar; a. Sanal protesto ve engelleme, b. Otomatik e – mail bombardımanı, c. Web sitelerinin hacklenmesi ve bilgisayarlara yetkisiz erişim, d. Bilgisayar virüsleri ve kurtçuklarıdır (Denning, 2000b; Denning, 2001b: 263). Siber uzayda yapılan protestolarda eylemciler konuya dikkat çekmeyi hedeflerler. Engellemelerde ise protesto edilen konuyu temsil eden bir web sitesi binlerce eylemci tarafından aynı anda ziyaret edilerek gerçekleştirilir. Bu durumda web sitesi aşırı yükleme sebebiyle normal trafik akışından farklı olarak diğer kullanıcılara yeterli hizmeti veremez. E – mail bombardımanı ise binlerce e – mailin aynı zaman aralığında aynı hedefe gönderilmesini ifade eder. Bunun için günümüz koşullarında aynı fikre sahip binlerce eylemciye ihtiyaç duyulmamaktadır. Aynı hedefe binlerce maili aynı anda gönderebilen ufak programlar mevcuttur. Web sitelerinin hacklenmesi, yalnızca script denilen ara yüz yazılımının eylemci tarafından yeniden hazırlanarak, ilgili siteye yapıştırılması olarak düşünülmemelidir. Web sitesinin başka web sitelerine yönlendirilmesi ve hizmet akışını yerine getirememesi de hacking eylemi olarak değerlendirilmelidir. Mail hizmeti veren bir web sitesinin, Japonya’da bankacılık hizmeti veren yabancı bir firmanın sitesine yönlendirilmesi, hedef web sitesinin kullanıcılarına yeterli hizmeti verememesine neden olur. Yetkisiz erişimde ise kişisel bilgisayarlara çeşitli yöntemler uygulanarak ulaşma durumu anlaşılmalıdır. Bu sebeple kullanılan pek çok yazılım mevcuttur ve bahsedilen yazılımların pek çoğu internet üzerinden ilgililerin hizmetine sunulmaktadır. Bilgisayar virüsleri ve kurtçukları ise tamamıyla zarar verme 92 amacıyla kullanılabileceği gibi web sitelerine veya kişisel bilgisayarlara nüfuz etme amacıyla da kullanılabilir yazılımlardır (Denning, 2001b: 264 – 280). Hacktivizm amacıyla gerçekleştirilen pek çok siber saldırı, vatandaşı olduğu devletin kontrolünde olmayan milliyetçi vatandaşlar tarafından, kendi ülkelerini koruma maksadıyla gerçekleştirilen hacking eylemidir. Çinli hackerler bahsedilen bu amaçlarla faaliyet gösteren en aktif kişilerdir. Eylemlerini daha çok Tayvan, Japonya ve ABD web sitelerinin çökertilmesi şeklinde icra etmektedirler. 1999 yılında Kosova savaşı sırasında, Belgrat’taki Çin elçiliğinin yanlışlıkla bombalanması ve 2001’de yaşanan casus uçak olayında verilen karşı tepki bu duruma verilebilecek örneklerdendir. Çinli hackerler ABD’nin, içlerinde İçişleri ve Enerji Bakanlıkları ile Beyaz Saray’a ait devlet sitelerinin de bulunduğu pek çok siteye saldırılarda bulunmuştur. ABD’li hackerler da cevap olarak Çin’e ait sitelere saldırılarda bulunmuştur, bunun yanında Ortadoğu ve Keşmir’deki anlaşmazlıklar ve çatışmalar sebebiyle Pakistanlı hackerlerin İsrail ve Hindistan web sitelerine saldırması olayı da aynı kapsamda değerlendirilebilir. Uluslararası çatışmaların yaşanması ile birlikte hükümetlerin kontrolünün ötesinde faaliyet gösteren hackerlerda, kendi istekleri ile ülkeleri için bir şeyler yapmaya çalışmaktadır (Denning, 2008; Spencer, 2002). Siber suç olgusu önemli bir aktivite haline geldiğinden bu yana, saldırının terörist bir faaliyet mi yoksa çıkar amaçlı bir durum mu olduğunu ayırt etmek oldukça zor bir hal almıştır. İnsanları korkutmak ve bir şey yapmaya ya da yapmamaya zorlamak için devlete ait veritabanlarının teröristler tarafından hacklenmesi veya hastane veritabanını hackleyen bir teröristin hastalara ait bilgileri değiştirmesi ve hastaların ölmesine veya yanlış tedavi dozajı ile alerjik vakaların yaşanmasına, ilaç veya yemek zehirlenmelerine neden olması da bir terör saldırısı anlamına gelir. 2003 yılında internet çökerse, bu iş dünyasında yaklaşık olarak 6,5 milyar dolarlık bir zarar oluşturur şeklinde iddialı bir önerme yapılmıştır. Anlaşılacağı gibi, aşırı dinci terörist yapılanmaları ve bölücü-yıkıcı terörist organizasyonlar için, siber terörizm geleceğin yeni düzeni olmuştur. Askeri tesislerin, elçiliklerin ve kamu kurumlarının fiziksel olarak bombalanmasından ziyade, teröristler yıkıma neden olabilmek için yeni bir yöntem bulmuşlardır (Coleman, 2003). 1998 yılında etnik Tamil Gerillaları, Sri Lanka elçiliklerine günlük 93 800 e – mail göndermiştir ve bu eylem iki hafta boyunca sürdürülmüştür. İstihbarat kaynaklarına göre yapılan bu eylem, bir ülkenin bilgisayar sistemine yönelik bilinen ilk eylemdir ve saldırganlar mesajlarında “Bizler İnternet Kara Kaplanlarıyız (Black Tigers) ve bunu iletişiminizi kesmek için yapıyoruz.” şeklinde bir ibare kullanmışlardır (Denning, 2000a; Özcan, 2003). İngiltere’de IT/BT (Information Technology/Bilişim Teknolojisi) hizmeti veren TDM Group adlı şirketin yaptığı araştırma sonuçlarına göre 360 bine yakın ticari firmanın bilgisayar sistemlerinin, sanal terörist saldırılara karşı savunmasız olduğu belirtilmektedir (Mengüarslan, 2003). Çin askeri ajanslarına göre muhtemel bir siber terör saldırısı, Amerikan finans sektörüne büyük bir darbe vurabilir. Fakat Amerikan finans sektörünün zarar görmesi demek Çin ekonomisinin de zarar görmesi demektir. Yenidünya düzeninde, ekonomik bağların ülkeler arasında saldırı olasılığını azatlığı düşünüldüğünde ağır darbelere neden olacak devlet destekli siber saldırıların olma olasılığının zayıf kaldığını söyleyebiliriz. Global ekonomik yapıyı emperyalizm düşünce sisteminin bir parçası olarak gören, hükümet dışı organizasyonlar veya uluslararası aktörler (El-Kaide, PKK/KONGRA GEL, Hizbullah, Hamas), ekonomik sisteme zarar verecek büyük çaplı siber terör saldırılarının kullanışlı bir yol olduğunu düşünmektedir (Özcan, 2002; Lewis, 2002). Siber terör dalgası yine bilgisayar ağlarının gelişmeye başladığı dönemden bu yana kendini hissettiren bir olgu olmuştur. Siber terörün kategorize edilmesi yine pek çok yazar tarafından farklı şekillerde ele alınmışsa da, esas itibariyle ikiye ayırarak bir tanıma ulaşılması daha realist bir düşüncedir. Terör hareketlerinin pek çok çeşidi mevcut iken siber terörün genel tanımı içerisinde iki hali vardır. Bunlardan birincisi basit saldırılardır ve bilinen saldırı yöntemleriyle amaca ulaşmak hedeflenir. İkinci olarak ele alınan saldırılar ise kapsamlı ve kompleks olanlardır, ileri düzey bir yapılanma ve karmaşık bir koordinasyona sahiptirler. Naval Postgraduate School, içinde araştırmalarda bulunan CTIW (The Center on Terrorism and Irregular Warfare) araştırmacılarına göre, kapsamlı ve kompleks bir saldırı hazırlığı iki ile on yıl arası bir çalışmayı gerektirmektedir (Gümüş ve Atıcı, 2003b; Denning, 2000a). Günümüzde kapsamlı olarak niteleyebileceğimiz bir siber terör olayı henüz rapor edilmemiş olsa da, 9/11 saldırılarından hemen sonra gözünü enerji altyapılarına 94 çeviren siber teröristler aktivitelerine hız vermişlerdir. Keza yapılan araştırmalar 9/11 saldırılarından hemen sonra, enerji alt yapılarına yapılan saldırıların eskisine nazaran iki katına çıktığını göstermektedir (Tiryaki, 2005). Güney ve Kuzey Kore arasında cereyan eden yeni bir soğuk savaş dalgasında ise konu tamamen devlet destekli siber terör hareketine dönmüştür. Kuzey Kore, Güney Koreli askeri stratejistlere göre hacking konusunda uzmanlaşmış elit bir askeri güç ile Güney Kore’ye ait bilgileri elde etmeye çalışmakta ve hacking konusunda askeri personeline iyi bir eğitim sağlamaktadır. 41 Seul Kyonggi Üniversitesi’nden askeri stratejist Nam Joo-Hong, 1994’de ki nükleer krizin hemen ardından, Pyongyang hükümeti tarafından, pek çoğunun henüz bilinmediği elektronik bir savaşın başlatıldığını ifade etmektedir (LonghornFreeper, 2004). Devletler bazında da siber terör hareketlerine karşı savunma gücünü arttırıcı ve saldırı sonucu kriz yönetimi alt yapı ve hazırlıkları sürmektedir. CIA tarafından, ülkede olası bir kapsamlı siber saldırı sonucu alınabilecek önlemler ve karşı tepki tatbikatı yürütülmektedir, fakat ayrıntı o ki tatbikat Amerika’nın beş yıl sonrası için yapılmaktadır. Saldırı tatbikatının beş yıl sonraki Amerika için tasarlanmış olmasını ise FBI Direktörü Robert Mueller, henüz hiçbir terör örgütünün ABD'nin kritik bilgi bankalarına siber saldırı planlayacak yetenek ve motivasyonunun olmamasına bağlamaktadır (Aksam.com.tr, 2005). Her ne kadar resmi ağızlardan yapılan bu tür açıklamalar mevcutsa da, aksi yönde yaşanan olayların varlığı konunun hassasiyeti noktasında, ulusal politikaların oluşturulmasını gerekli kılmaktadır. Örneğin, 2004 yılında meydana gelen iki farklı olayda, ABD Askeri Uzay ve Füze Savunma Komutanlığı çok gizli bilgisayar sistemlerine virüs bulaştığı bildirmiştir. Fakat ne tür bir virüsün sisteme nüfuz ettiği ve nasıl bir etki bıraktığı bilinmemektedir. Dahası güvenlik politikası anlayışı bir yana, sözü geçen sistem bilgisayarlarının basit anti virüs güvenliğinden bile yoksun olduğu bildirilmiştir (Onley, 2004). Güvenlik uzmanları bilgisayar sistemleri için ne kadar güvenlik tedbiri alınırsa alınsın, hackerlerin bilgisayar sistemleri güvenlik önlemlerini bulacakları yeni yöntemlerle her zaman etkisiz hale getirebilecekleri belirtmektedir (Wait, 2004). 41 Nam Joo-Hong’a göre her yıl Kuzey Kore askeri akademisinden 100 Hacker mezun olmaktadır 95 Güvenlik uzmanları, planlı bir siber saldırının, teröristler tarafından konvansiyonel bir nükleer, kimyasal ya da biyolojik saldırının etkilerini arttırmak için kullanılabileceği konusunda aynı görüşü paylaşmaktadır. Bununla birlikte, bu güvenlik uzmanlarının pek çoğu, gelişmiş ülkelerin kritik altyapılarını kontrol eden bilgisayarlara karşı yapılacak saldırının muhtemel etkisi konusunda aynı fikirde değildir. Bazılarına göre Amerika’nın bilgisayar teknolojilerine bağımlı, bu tür saldırıları geniş çaplı ekonomik zararlar vermeye potansiyel görmekteyken, diğerleri Amerikan teknolojik alt yapısının çabuk toparlanabilir ve kolay onarılır olmasından dolayı herhangi bir ciddi veya felaket derecesinde ağır sonuçların oluşmayacağı görüşünü savunmaktadır (Wilson, 2005: 6). Bilim adamları organize ve aynı anda başlatılan koordine siber bir saldırının, bir bilgisayar ağını ne derece etkiyeceğini test etmek için bilimsel bir test yapmışlardır. Testle kullanılan güç ünitesi hemen hemen devlet sektöründe ve özel sektörde kullanılan kapasitede bir ünitedir. Sonuç ise oldukça dramatik olmuştur. Teste katılan hackerlerin saldırı başlatmaların hemen ardından, ünite aşırı ısınmadan ötürü kendini kapatmıştır. Aynı kapasiteye yakın güç ünitelerinde de siber bir saldırı ile aynı sonuç alınmıştır. Temmuz 2002’de NWC (Birleşik Devletler Deniz Muharebesi Koleji – Naval War Collage), Dijital Pearl Harbor adını verdikleri ve koordine bir siber terör olayını senaryo ettikleri bir savaş oyununa ev sahipliği yapmıştır. Bu senaryoya göre bilgisayar güvenliği uzmanları kritik bilgisayar altyapılarına devlet destekli siber savaş kapsamında saldırıda bulunacaktır. Kritik altyapı dediğimiz sistem finans sektörünün yani Amerika da Fedwire ya da Fednet olarak bilinen FED (Amerika Merkez Bankası) dijital altyapısıdır. Ayrıca saldırılar Birleşik Devletler iletişim ağına da hedef almıştır. Sonuçta sisteme öyle büyük bir zarar verilmiştir ki, sistemi düzeltmek geniş alana yayılmış, zarar durumundan dolayı mümkün olmamıştır. Kaldı ki Amerikan Merkez Bankasının faaliyetlerinin durması yada buradaki mali kaynağın başka bir kaynağa aktarılması tüm dünya için kaos anlamına gelir (Jackson, 2002; Butters, 2003). Diğer bir örnekte, ABD’ye ait önemli bir elektronik şebeke sistemine yapılan eş zamanlı hacker saldırısı, yayınlanan bir video ile görüntülenmiştir. Videoda, bir endüstri tribününün pervanelerinin kendini kapatana kadar kontrol dışı bir şekilde 96 çok hızlı döndüğü ve bağlı olduğu güç kaynağında kısa devre yaparak kapanmasına sebep olduğu görüntülenmiştir. İç Güvelik Bakanlığı tarafından yayınlanan bu video, hackerler tarafından yapılan saldırının, kontrol mekanizmasını ne derece etkili bir şekilde bozacağını göstermektedir (Bridis ve Sulluvian, 2007). Bridis ve Sulluvian’a göre bu tür yapılara karşı, siber manada ve siber tekniklerle yapılacak saldırıların, teknik olarak mümkün olduğu ve etkisinin ne denli yıkıcı olduğu bu video ile gözler önüne serilmektedir. Bazı araştırmacılara göre El – Kaide siber saldırıları, amacına ulaşmak için insan ölümlerine sebep olan saldıralar kadar önemli görmektedir (Swartz, 2004). Kimi araştırmacılara göre ise de siber saldırı veya siber terörizm eylemlerini planlayan, hazırlayan ve uygulayan terörist gruplar vardır ve bu gruplar hedef olarak kendisine endüstri yoğun toplumları özellikle Avrupa ve Birleşik Devletleri seçmektedirler. Ayrıca uluslar arası terörist gruplar bazen de hedef olarak teknoloji konusunda çok fazla gelişmemiş fakat gelişmekte olan ülkeleri seçmektedir. Aynı kaynaklara göre El-Kaide organize ve sofistike teknoloji atılımlar içindedir ve 11 Eylül saldırılarında El-Kaide militanlarının interneti yoğun bir şekilde kullandığına dair deliller mevcuttur. Daha önceki yıllarda El-Kaide gruplarının yepyeni bir internet tabanlı telefon servisini deniz aşırı diğer terörist hücrelerle iletişim için kullandığı belirtilmektedir (Kaplan, 2003; Wilson, 2005: 9). Dünya Ticaret Merkezine yapılan saldırının mimarlarından biri olan Halid Saik Muhammed’in en az iki uçak eylemcisi ile özel bir internet chat programı ile haberleştiği bilinmektedir. Dünya Ticaret Merkezinin 1995’de bombalanması olayının faili ve ömür boyu hapis cezasına çarptırılan Remzi Yusuf, elektrik mühendisliği eğitimi almıştır. Remzi Yusuf Asya ülkelerinde Birleşik Devletlere gidecek olan 12 ABD uçağına karmaşık elektronik ayarlı bombalar yerleştirmeyi de planlamıştır, yakalandığında adli makamların planlarını okumasını engelleyebilmek içinde kompleks bir şifreleme yöntemi kullanmıştır. 1995 Martında Tokyo metrosuna sarin gazı ile saldıran, 12 insanın ölmesine ve 6.000’den fazla insanın yaralanmasına neden olan Aum Shinrikyo Tarikatı’ da, bilgisayar kayıtlarını korumak amacıyla şifreleme tekniğini kullanmıştır. Kayıtların yapılan incelemesinde, ABD ve 97 Japonya’da toplu ölümlere neden olacak silahların taşınması niyetlerinin olduğu planlar ele geçirilmiştir (Denning, 2000a). Zayıf fiziksel güvenlik önlemleri, genel olarak tüm dünya ülkelerinde mevcut olan durumu anlatmak için uygun bir ifadedir ve bu durum gelecekte terörist grupların fark edilme riskini ortadan kaldıran siber saldırı operasyonları gerçekleştirmeleri için cesaret verici bir zemin hazırlamaktadır. 11 Eylül saldırılarının akabinde dünyada olduğu gibi ülkemizde de, kamuya ait binaların güvenliği konusunda atılan ciddi adımlardan sonra, siber saldırıların cazibesi daha da artmıştır. Özellikle siber terör eylemleriyle birleştirilmiş, klasik terör faaliyetlerinin ne derece etkili olduğu Dünya Ticaret Merkezi binalarına yapılan yeni nesil saldırılardan sonra daha iyi anlaşılmıştır (Özcan, 2003). Bazı güvenlik uzmanlarına göre ise terörist gruplar konvansiyonel silahlarla yapacakları saldırıları daha az fiziksel etki ve toplumsal duyarsızlık gösterileceği düşüncesi ile siber saldırılara tercih etmektedir. Aynı uzmanlar, siber saldırının gerçek bir fiziksel zarar ve can kaybına neden olacak düzende olmadıkça, terörist gruplar tarafından bu saldırının nükleer, biyolojik ya da kimyasal bir saldırı kadar ciddi sonuçlar doğurmayacağını inancında olacaklarını dile getirmektedirler (Lewis, 2002; Wilson, 2005: 6). Akademisyenlerin bazılarına göre, kritik kurum ve kuruluşların zafiyetleri ile bilgisayar ağları arasındaki zafiyetler aynı öneme sahiptir. Yapılacak bir terör saldırısı hem gerçek hem de sanal dünyada aynı sonuçları doğurabilir. Örneğin teknolojik gelişmelerdeki gözle görülür ilerleme, ekonomik faaliyetlerin icra edilmesinde de aynı ilerlemeyi göstermektedir. Bilgisayar ağları ile kritik altyapılar arasındaki zafiyete uğrama ilişkisi, ulusal güvenliği de etkiler mahiyettedir. Özcan’a göre, siber terör saldırıları ile klasik terör saldırıları arasında eylemin yayıldığı çerçeve farklılık arz eder. Klasik terör eylemlerinde hedefler seçilir ve eylem gerçekleştirilerek maksimum can kaybı hedeflenir. Hedef bir yapı olabileceği gibi insan hayatı da olabilmektedir. Yani eylemin etki alanı Özcan’ında ifade ettiği gibi yereldir. Fakat siber terör eylemlerinde hedef, teröristin inisiyatifine göre istendiği kadar genişletilebilir. Örneğin Amerikan Merkez Bankası (FED) altyapısına yapılacak bir siber saldırının ardından tüm dünyaya yayılacak ekonomik kaos, pek çok ulusal ve uluslar arası şirketi etkileyecektir. Yine Özcan’a göre, siber terör 98 eylemleri psikolojik etki alanı itibari ile klasik terör eylemlerinden ayrılır. İnternetin dünya genelinde ulaşılabilir özelliğinin aksine, siber anlamda yapılacak eylem yalnızca bu konuda bilgisi olanlar tarafından bilinebilecektir. Fakat klasik terör eylemlerinde yapılan eylem genellikle siber terör eylemlerinden farklı olarak insan hayatına yöneliktir ve medya sektörünün global yapısı sebebiyle, etkili bir eylem büyük uluslararası medya organları tarafından dünyaya servis edilmektedir (Özcan, 2003). Savaş alanında çeşitli stratejiler yürürlüğe konur. Örneğin yeni yüzyılın savaşlarında düşman ülkenin stratejik alt yapılarına saldırı düzenleme anlayışı daha da önemli bir ilk vuruş doktrini olarak benimsenmektedir. Aynı stratejik savaş teknikleri daha az çaplı olarak tarihte mevcuttur. Buna benzer bir doktrini benimsemiş terörist örgütlerinde, aynı ideoloji çerçevesinde düşman kabul etkileri ülkelerin alt yapılarına, stratejik kapsamlı siber saldırı eylemleri gerçekleştirmeleri mümkündür. Daha öncede bahsedildiği gibi saldırının etkili olması, saldırının devamlılığına ve hedefin mahiyetine göre değişir. Bununla birlikte siber saldırının, fiziksel terör eylemi ile de desteklenmesi etkinin artmasına sebep olacak unsurdur. Askeri bir birliğe veya ulusal emniyet hizmeti gören bir kuruma yapılacak bombalı bir saldırıyla eş zamanlı düzenlenecek bir siber terör saldırısı ile iletişimin kapatılması sonucu, görevliler yapmaları gerekenleri yapamayacak duruma düşerler. İşte bu noktada terör örgütü istediği sonuca maksimum seviyede ulaşmış olur. Başbakanlık hava araçlarından birine yapılacak sabotaj neticesi düşen hava aracından kurtulan olsa da, hava aracıyla acil yardım ekiplerinin arasındaki iletişim kapatılması, terörist için amaçlanan hedefe ulaşmada büyük üstünlük kazandırır. Terör eyleminin, siber terör eylemiyle birlikte gerçekleştirilmesi işte bu noktada ölümcül sonuçlara neden olabilecektir (Ellsmore, 2002: 9). Tüm bu terör eylemlerine etki edecek unsurlara ilaveten, atlanmaması gereken diğer önemli bir husus ise insan faktörüdür. Ülkenin elektrik alt yapısına etki edecek devamlı bir siber saldırının akabinde, fiziksel terör eyleminin de gerçekleşmesine rağmen, toplumda var olan duyarlılık dirayet ve var olan toplumsal psikoloji saldırının hiçbir manevi amaca ulaşamamasına neden olacaktır. Beklide batı toplumları ile doğu toplumları arasındaki bu belirleyici fark, terörist eylemlerin 99 ileride kendine seçeceği hedefler konusunda bize bir fikir verebilir. Uzun süreli devam edecek bir su kesintisinin doğu toplumlarını sokağa dökecek bir hadiseye dönüşeceği öngörülmemekle birlikte, aynı olayın Avrupa ülkelerinde meydana gelmesi halinde yaşanacak toplumsal tepkiyi gözümüzün önüne getirelim. Sonuçta savaş alanında, psikolojik harekâtın öneminin pek çok saldırı silahından bile daha önemli hale gelebileceğini unutmamak gerekir. Siber saldırıların her alanda tek avantajı ucuz bir maliyete sahip olmasıdır, genç bir hackerin dizüstü bilgisayarla yapabilecekleri bilgisayarla boy ölçüşemeyecek derecede pahalı teknolojilere sahip savaş araçlarının yapabileceklerinden çok daha büyük bir yıkıma sebep olma noktasında, aradaki farkı göstermede önemli bir örnektir. Aynı şekilde klasik terör eylemlerinde eylemi gerçekleştiren terörist hayatını belli ölçülerde tehlikeye atarken, Yüksel caddesinde oturduğu bir kafede, ısmarladığı kahvesini içen ve çevredekilerin internette sörf yaptığını düşündüğü bir siber terörist o anda Dışişleri Bakanlığına ait bir siteden istediği bilgileri çekip, sistemin çökmesine sebebiyet verebilir. Ankara’nın merkezinde bulunan herhangi bir bakanlığa ait binaya teröristler tarafından konvansiyonel silahlarla saldırmanın mantıksızlığı yanında, yukarıda bahsedilen örnek dahilinde saldırmanın çekiciliği vurgulanması gereken bir konudur (Özcan, 2003). Her şeye rağmen günümüzde endüstri alanındaki teknolojik atılımlar, insan gücüne ihtiyaç duyacak derecede gelişebilmiştir. Elektrik kesintilerine sebep olan ağaç devrilmeleri yağış ve rüzgâr gibi doğal etkiler, halen siber terör saldırılarından daha tehditkârdır. Bir siber terörist hala bir yolcu uçağını uzaktan kumanda ile kaldırıp indirebilme yeteneğine sahip değildir, bunun en büyük sebebi ise bu teknolojik seviye henüz ulaşılamamasıdır. ABD’de aylık olarak 15.000 ile 20.000 arasında uçuş ya ertelenmekte ya da iptal edilmektedir ki bu normal bir durumdur. Siber terör saldırısının hava kontrol sistemlerini hedef olarak seçmesi ve ertelemelere veya iptallere sebebiyet vermesi ise abartılacak bir ulusal tehdit fenomeni yaratmayacaktır (Lewis, 2002). Uçuş ve hava kontrol sistemleri, internet üzerinden yürütülen faaliyetler değildir ve tamamen yerel ağ bağlantısı sayesinde işlemler yürütülmektedir. Daha öncede bahsettiğimiz gibi, dışarıdan bir saldırının günümüz koşullarında bu yerel ağ sistemini tehdit etmesi mümkün değildir, fakat olasılık dâhilindedir. Elbette bu güne 100 kadar bu tür bir vakanın yaşanmaması böyle bir olayın yaşanmayacağı anlamına gelmemektedir. İngiltere’de yaşanan bir olayda, genç bir hacker, New England’da lokal telefon servislerini engellemeyi başarmış, bölgesel havaalanı kontrol kulesinin işlemlerini yerine getirmemesine ve pist ışıklarının yanmamasına sebep olmuştur. Altı saat süren bu kesintiye rağmen hava alanında hiçbir kaza olayı yaşanmamıştır. Sonuçta, ulusal güvenliği tehdit eder bir olayın yaşanmış olduğunu söylemek yersiz olur. Bunun ötesinde, finans ve sanayi sektöründe yaşanabilecek siber suç ve siber espiyonaj faaliyetlerinin, bu iki sektörün internete olan bağımlılığı nedeniyle yoğunlaşacağının da unutulmaması gerekir (Lewis, 2002). Buna benzer bir olayda, 1997 yılında Massachusetts'deki Worcester Havaalanı'nda yaşanmıştır. Yine genç bir hacker, bilgisayar sistemlerine sızarak telefon iletişimini engellemiştir. Bunun sonucunda, Federal Havacılık Kurumu kontrol kulesinin, havaalanı itfaiye birimi, havaalanı güvenliği, hava durumu servisi ve özel hava yolu taşımacılığı yapan şirketle arasındaki telefon irtibatı altı saat boyunca kesilmiştir. Bu durum, elbette ki mali açıdan zarara sebebiyet verdiği gibi, kamu sağlığına ve güvenliğine de bir tehdit oluşturmuştur. Fakat durumun ulusal güvenliği tehdit eder bir yapısı söz konusu değildir. Konunun, havada bulunan araçların yere inişini engelleyecek veya hava araçlarını yanlış yönlendirecek bir saldırı söz konusu olmadığı için, çok ciddi sonuçları olacak bir durum olarak değerlendirilmemesi gerekir (Denning, 2000a). 2002 yılında internette açılan modemdeki önemli portların bazılarında büyük bir açık tespit edilmiştir. Bu açığa karşı saldırı olursa Simple Network Management Protocol (SNMP) dediğimiz protokol devre dışı kalabilir ve bu da internet modemleriyle iletişim ağının dünya çapında çökmesine sebep olur. Bilgisayar ağı ve diğer internet gereksinimleri ticaretiyle uğraşan dünya genelindeki firmalar, bu durumu hackerler tarafından tespit edilip kullanmasınlar diye acilen düzeltmeye çalışmışlardır. Amerikan hükümeti konuya o kadar hassas davranmıştır ki, sistemin ve açığın düzeltilebilmesi için gerekli donanımın sağlanması ve temininin yapılmasına kadar bu bilgiyi gizli tutmaya en yüksek düzeyde çaba sarf etmiştir (Messmer, 2002). FBI tarafından yazılı olarak yapılan hesaplamaya göre, güvenlik açığı fark edilip bu açıktan faydalanılsaydı, yaygın telefon ağının çökmesi ve yer ve 101 hava araçları arasındaki bilgi akışını sağlayan uçuş güvenlik sisteminin durması gibi ciddi sorunlar meydana gelebilirdi. Bu açık oldukça yaygın bir kullanımı olan ASN.1 (Abstract Syntax Notation One)’ın şifre sisteminde bulunmuştur (Gellman, 2002). Terörün bilinen tüm yöntemlerinden farklı olarak siber terörde, eylem yapacak bireyin almış olduğu riskler az, güvenlik kuvvetlerinin eylemi aydınlatmada izleyeceği yöntemlerin zorluk derecesi yüksek, eylemcinin kimliğinin belirlenmesi ise neredeyse imkânsızdır. Klasik terör eylemlerinde eylemci, amaç olarak kendine sesini duyurmak ve propagandayı seçmişken, siber terör olaylarında, eylemci amaç olarak devletin kurum ve sistemini sekteye uğratmayı, vatandaşın devlete olan inanç ve güvenini sarsmayı seçer. Her iki terör hareketinde de eylemde sınır yoktur, İkiz Kulelerin altında kalan 3000 kişinin hayatını yitirmesi ya da nükleer başlık taşıyan bir füzenin harekete geçirilmesi ile yok olacak milyonların terörist için tek önemi siyasi söylemin yaratacağı etkidir. Amaç dost ve düşman kuvvetlerine gücünü göstermek, pazarlık şansını ve eleman kazanımını arttırmak, toplumda ve hedef devlette korkuya sebep olmaksa, klasik terör ya da siber terör hareketlerinin nasıl eyleme dönüştürüldüğünün bir önemi yoktur. Özcan’a göre ise, klasik terör eylemlerinde teröristlerin amacı eylemi gerçekleştirmenin ötesinde, eylemin ne kadar kişiyi etkileyeceği ve topluma ne derece korku salacağı iken, insanlık adına hiçbir değer gözetilmez. Siber saldırılarda ise eylemin amacı, teröristin eylemi ile sınırlıdır. Terörist eylem eğer bir enerji alt yapısına yönelikse, hedefe ulaşmak eylemci için yeterlidir ve bu durumda toplumda büyük bir infial yaşanmayacağı eylemci tarafında da bilinmektedir. Bu durumun tek istisnası, insan hayatına yönelik bir eylemin varlığıdır. Sonuçta enerji alt yapısının beslediği temiz su dağıtım istasyonunun, yapması gereken işlemi yapamaması ve temiz su yerine, kirli suyun şehir şebekesine verilmesi durumunda toplu ölümlerin yaşanması, eylemin amaç olmaktan çıkıp araç olmasına sebep olur (Özcan, 2003). Siber terörizm de, insanların can güvenliğine doğrudan zarar verebilecek düzeydedir. Sağlık problemleri nedeni ile hastanede tedavi altında bulunan bir üst düzey devlet görevlisinin, elektronik ortamda tutulan takip çizelgesinin sisteme enjekte olarak giren bir terör eylemcisi tarafından değiştirilmesi olası bir eylem çizgisini ifade edebilir. Her iki terör hareketinde de hedefe ulaşmak için seçilen 102 bireylerin bir yaş eşiği bulunmamaktadır. Terörist eylem, Adana’da 2,5 kiloluk bir C–4 patlayıcısının cep telefonuyla patlatılması için kullanılan 12 yaşında bir kız çocuğu (Ntvmsnbc, 2008) ya da okuduğu okulun bilgisayar laboratuarından bir mantık bombasıyla devlet rejimini tehdit eden ortaokul öğrencisi tarafından gerçekleştirilebilir. Amaca ulaşmada her yolun mubah, ahlaki değerlerin ise lüzumsuz olarak değerlendirildiği bir inanışın, insancıl ya da demokratik bir yol ve yöntem seçmesi zaten beklenmemektedir. Bilinen bomba türlerine, siber terörde yeni bir bomba çeşidi daha eklenmiştir, e – bomba. Klasik terör eylemlerinde büyük kayıplar verdirmek veya propaganda alanında daha iyi bir etki yaratmak amacıyla kullanılan bombalardan, fiziksel olarak biraz daha farklı bir yapıya sahip bu bombaların, etkileri ise muazzam derecede etkileyicidir. Alan ve çevre sınırlaması yalnızca teröristin niyetine göre değişen e – bombalar, kimi analistlere göre Körfez Savaşı’ndan bu yana kullanılmaktayken, kimileri içinse araştırma aşamasında bir teknolojidir (Kopp, 1996). Fakat bilinen o ki, dizayn edilebilen portatif bir cihazla istenilen hedefte tüm elektronik sistemleri durduracak bu teknoloji, C–4 ve benzeri patlayıcıların ötesinde bir yıkıma sebep olabilmektedir. Daha geliştirilmiş e – bombaların ise medeniyetleri bile 200 yıl geriye götürebileceği ifadeleri, terör amaçlayan her örgütün sahip olmayı isteyebileceği bir teknolojidir (Harris, 2003). Terörist organizasyonların amaçlarına hizmet vermek amacıyla kurulu bulunan internet sitelerinin de, hücre yapılanması ile sistematik eylemler gerçekleştirmeye hazır potansiyel teröristlere şifreli bilgi ve talimatlar verdiği bilinmektedir (Weimann, 2004a). İşte bu sebeple, terörist örgütler klasik anlamda eleman kazanmada, sorunlu bireylerden faydalanıp, fakir, eğitimsiz, psikolojik sorunları olan insanların duygularını maniple ederken, siber terör eylemlerinde eleman kazanma anlayışı farklılık kazanmaktadır. Örgütler, siber terör eylemlerinde kullanmak üzere, üniversite mezunu yetenekli bilişim teknoloji uzmanları aramakta, hatta eylem yapabilmek için bu yetişmiş insanları sadece o eylem için kiralamaktadırlar. Teröristin yaş aralığında veya milliyet içeriğinde bir değişim olmamakla birlikte, teknik anlayış kapasitesinde gözle görülür bir gelişmenin olduğu aşikardır (Özcan, 2003). 103 Özelikle 9/11 saldırılarının ardından, terörist eylemleri gerçekleştiren El – Kaide üyelerinin aşırı bir İslami sitenin şifre korumalı bir bölümünü kullanarak 2001 yılının Mayıs ayından saldırıların gerçekleşmesinden iki gün önceye kadar ve ağırlıklı olarak Ağustos ayında birbirleri ile binlerce kez mailleştikleri bilgisine ulaşılmıştır. Elde edilen bu bilgiler ışığında terörist yapılanmaların bilişim teknolojileri bağlamında giderek artan oranda tecrübe kazandıklarını söylemek yanlış olmaz. Saldırılardan hemen sonra Hizbullah bağlantılı Al-Manar televizyonunun internet sitesinde, 11 Eylül saldırılarının olduğu gün 4000 yahudinin işe gitmediği şeklinde bir haberin kamuoyu ile paylaşılması ile anti-semist bir eylemin hazırlıklarının yapıldığı ve yine Hamas’ın Amerika’da kurulu Kutsal Topraklar Yardım ve Geliştirme Vakfı’nın (Holy Land Foundation for Relief and Development) web sitesi aracılığı ile maddi destek elde ettiği bilgilerine ulaşılmıştır (ADL, 2002: 4). Terör örgütlerinin internete yönelmesinin, internetin tüm dünyaya yayılarak gelişmesi ve artık bir medeniyet haline gelmesinde büyük payı vardır. Filistin Halk Kurtuluş Cephesi’de 2007 yılı içinde kuruluşunun 40. yıldönümünde kendisine ait İngilizce yayın yapan bir internet sitesi kurmuştur (ADL, 2008). Diğer yandan, ABD’nin Irak işgalinin akabinde İsrail ve Amerikan sitelerine yapılan amatör fakat zararlı saldırılar da mevcuttur (Mengüarslan, 2003). ABD tarafından 11 Eylül saldırılarının ardından başlatılan Afganistan işgali sırasında, yapılan operasyonlardan kaçan El – Kaide militanlarına ait önemli dokümanlara ulaşılmıştır. Bu dokümanlarda Almanca, Türkçe, Kürtçe, İngilizce ve Rusça olarak yayınlanmış, elektrik ve kimyasal mühendislik, atom fiziği, balistik, bilgisayar ve radyo yayınları ile ilgili bilgilerin olduğu, yapılan bilimsel teknik incelemeleri okuma fırsatı olan araştırmacılar ve haberciler tarafından doğrulanmıştır. 2002 yılında Bali' de iki gece kulübünün bombalanması olayının sorumlularından Iman Samudra'nın yazdığı orijinal ismiyle Aku Mekawan Terrorist, Türkçe karşılığı ile Teröriste Karşı Ben adlı kitapta Samudra, Müslüman gençliğe ABD'ye ait bilgisayar ağlarına saldırabilmeleri için hacking bilgilerini geliştirme tavsiyesinde bulunmaktadır. Samudra ayrıca Müslüman gençliği, ABD ve ittifaklarına saldırılar yapabilmek için gerekli parasal kaynağın sağlanabilmesi için kredi kartı bilgilerinin ele geçirilmesi ve kartların kaynak sağlama amacıyla kullanılması konusunda teşvik etmektedir. Bali' de yaşanan olay gibi diğer pek çok 104 ülkede yaşanan terör saldırılarının çalınan bu kredi kartları ile finanse edildiği düşünülmektedir (Wilson, 2005: 9 – 10). Hamas eylemcilerinin chat odalarını kullandıkları ve e – mail yoluyla eylemlerini planladıkları ve koordine ettikleri, bu şekilde İsrailli güvenlik kuvvetlerinin örgüt içi mesajları ve içeriğini takip etmede zorlanmasının amaçlandığı ifade edilmektedir. Aynı şekilde The Revolutionary Armed Forces of Colombia (FARC), basınla olan irtibatını e - maillerle sağlamaktadır. Perulu terörist grup Tupac Amaru, 17 Aralık 1996'da başkent Lima'daki Japon Büyükelçiliğine bir eylem düzenleyerek 400 diplomatik ve askeri görevliyi rehin almıştır. Bu olayın akabinde Kanada ve ABD'de ki örgüt sempatizanları, web siteleri üzerinden eyleme destek vermiş, hatta bir web sitesinde binanın detaylı çizimleri ve saldırının planlaması yayınlanmıştır. Terör örgütlerinin yaptığı eylemle, kendini yenileme, sesini duyurma ve mensuplarına ulaşma noktasında kullandıkları basın yayın organlarının yerelliğini ortadan kaldıran internetin, geçmişte olduğu gibi günümüzde de kitlelere ulaşma konusunda önemli bir konumu vardır (Denning, 2000a; Denning, 2001b: 259). İsrail, Herzliya’ da faaliyet gösteren PRISM (İslami Hareketleri Araştırma Projesi – Project for the Research of Islamist Movements) yöneticisi Reuven Paz’a göre web sitelerinde yaşanan bu artış, sanal bir İslam ülkesi yaratma girişimine benzemektedir. Paris CNRS, Jean Nicod Enstütisü’nden araştırmacı Scott Atran, teröristlerin grup dinamikleri üzerine araştırmalar yapan biri olarak, Madrid, Londra ve Bali’ deki terörist saldırıları gerçekleştirenlerin otonom gruplar olduğunu ve “Kalabalıkları vur ve kaç.” taktiğiyle hareket ettiklerini, bununla birlikte internetle beraber bu tür otonom gruplarda bir artış yaşandığını ve artışa devam edeceğini, son olarak internet olmasaydı cihat motivasyonu ile hareket eden global bağımsız otonom grupların sayısında bu derece büyük bir artışın yaşanmayacağını dile getirmiştir. Atran “Sanırım, internet yüzünden otonom gruplardan bağımsız saldırılar konusunda çok daha fazlasını beklemeliyiz.” şeklinde bir ifade kullanmıştır. 11 Mart 2004’de Madrid’de gerçekleşen tren bombalama olayları bu konuda güzel bir örnektir. Saldırganlardan birinin bilgisayarından elde edilen, sistematik olarak aynı siteden indirilen ve katliamdan birkaç ay önce nette dolaşan “Irak Cihadı: Umutlar ve Tehlikeler.” başlıklı doküman, bizim için Atran’ın bahsettiği konuda anlamlı bir delil 105 sunmaktadır. Doküman içeriğinde, İspanya askeri birliklerinin Irak’tan çekilmesi için, saldırıda bulunma çağrısı yapılmaktadır (Ariza, 2005). Hem İsrail hem de Amerikalı uzmanlar, İslami Cihat anlayışında, Allah için şehit düşmeyi anlayamamaktadırlar. Fakat her iki ülkede, cihadın aslında farklı anlamlar taşıyan bir terim olduğunun farkındadır. Terörist organizasyonlarının internet üzerinde yayınladıkları mesajları değiştirerek veya yanlış bilgilendirme siteleri kurarak cihat amacıyla hareket eden terörist organizasyonların başarısız kılınacağına inanan bu iki ülkenin, forum sitelerine sızan güvenlik görevlilerinin terörist ideolojiyi yenebileceklerine olan inancı, henüz cihat anlayışını batı toplumunun tam olarak anlayamadığı şeklinde değerlendirmemiz gerekir. Mücahitlerin gerçek dünyada savaşçı yapılarından, topluma yardım eden bir gruba dönüştüğüne inanan batı düşünce sistemi, fiziksel alanda yapılan ciddi işlerle, aynı başarının siber uzayda da yakalanacağına inanmaktadırlar (Ariza, 2005). 1998 yılında Hizbullah'ın üç web sitesi bulunmaktaydı. Bunlardan biri merkezi basın bürosu olarak (www.hizbollah.org), bir diğeri İsrail hedeflerine düzenlenen saldırıların anlatılmasında (www.moqawama.org) ve sonuncusu bilgi ve haber amaçlı (www.almanar.com.lb) olarak kullanılmaktaydı. Yerel ve ufak çaplı terör örgütlerinden, uluslararası faaliyet gösterenlere kadar terör örgütleri interneti, pek çok ülkede insanları yanlış bilgilendirmek ve eylemlerini haklı göstermek için kullanmaktadır. Terörist söylemlerin, ifade özgürlüğü olarak düşünüldüğü ülkelerde, mantar gibi çoğalan bu web sitelerine yönelik yapılabilecek çok fazla şey bulunmamaktadır. Ülkemizde tüm faaliyetleri yasaklanmış olan ve AB tarafından terörist örgüt olarak kabul edilen PKK/Kongra - GEL, günümüzde pek çok AB ülkesi üzerinden yayın yapan web sitesinden sempatizanlarına ulaşabilmekte, eylemlerini duyurabilmekte, uluslararası alanda destek arayışı içine girmekte, farklı ülkelerdeki insanlara kendilerini özgürlük savaşçısı olarak gösterip sempati toplayabilmektedir. Demokrasinin bile terör konusunda sınırlarının olması gerektiği noktasından hareketle, internet üzerinden girişilen tüm terörist aktivitenin durdurulması için, ifade özgürlüğünün sınırsız olduğu ülkelerde dahi yasal anlamda harekete geçilmesi gerekmektedir (Denning, 2000a). 106 Siber terörizm nedeniyle meydana gelebilecek, su sistemlerinin durdurulması, doğal gaz akımının aksatılması, hava, deniz ve yer ulaşımının kesilmesi gibi bilim kurgu olmayan ve olması muhtemel senaryolar karşısında, gerçekleşmiş bir takım terör kaynaklı olmayan hususlara da değinmek gerekir (Collin, 2004). Bilindiği gibi doğal afetler nedeniylede bu tür aksaklıklar ve ulusal buhranlar yaşanmıştır. Kaldı ki bu tür hadiseler gelecekte de yaşacaktır ve terör saldırıları gibi ne zaman olacağı kestirilemeyen bir özelliği ortak olarak paylaşmaktadırlar. Bunun yanında siber saldırılar konuya uzman kişilerin müdahale etmesiyle çok daha kısa sürede çok daha az hasarla son verdirilebilirken, doğal afetlerin tahrip gücü tahmin edilememektedir. Siber teröristlerin başarılı olabilmesi (stratejik hedeflere) çoklu eş zamanlı ve uzun süreli sonuçları olacak ve toplumda bir terör yaratma özeliği taşıyan yada devlet güvenliğine güçlü bir darbe vurabilecek marjinal siber terör saldırılarına bağlıdır. Yapılamaz olmamakla birlikte gerçekleştirilmesi zor bir konudur. Fakat gerçek bir terör saldırısının siber terörle desteklenmesi çok daha mümkün ve ağır sonuçları olacak bir hadisedir. En güzel örneği ise 9/11 saldırılarıdır. Siber âlemin iletişim aracı olarak kullanılması, teknolojinin saldırı için öğrenilmesi, inanmış ve adamışlığın terörle harmanlanması, bize bu güne kadar rastlanan en trajik terör eylemini resmetmiştir. Günümüzde internet kullanıcılarının sayısı bir milyarı geçmiş durumdadır ve kullanıcıların pek çoğunun birbirleri ile bağlantısı yoktur. 9/11 saldırılarının ardından terörist aktivite içinde olan web sitelerinde muazzam bir artış yaşanmıştır. O zamana kadar sayıları üç dört haneli rakamlarla ifade edilen sitelerin günümüzde, beş haneli rakamlarla ifade edildiğini söyleyebiliriz. Bu web sitelerinin pek çoğu militan propaganda faaliyeti yürütmekte ve eleman kazanma yöntemlerini sempatizanlarına iletmektedir. Bu gün yazılı ve görsel meydanın yapabileceği etkiden çok daha fazlası internet üzerinden yapılmaktadır. İnternet ve gelişmiş iletişim araçları, insanların günümüzde hükümetler tarafından yapılan politikaları etkileyebilmesine olanak tanımaktadır. Global anlamda hükümet karşıtı grupların kurduğu koalisyonlar varlıklarını belki de teknolojinin bu gelişmişliğine borçludurlar. PKK/Kongra – GEL terör örgütünün ulusal veya yerel sivil ayaklanma ve baş kaldırma anlamına gelen “serhildan” çağrısı sempatizanlarına online olarak iletilmektedir. Bunun en güzel örneklerinden biride PKK/Kongra – GEL terör örgütü lideri Abdullah ÖCALAN’ın 107 Kenya’da yakalanıp yurda getirilmesiyle yaşanmıştır. İnternetin örgüt için ne derece önemli bir haberleşme sistemi olduğu bu olayla bir kez daha gözler önüne serilmiştir. Öcalan’ın yakalandığı haberinin ajanslara yansımasının ardından, protesto amacıyla gösteri düzenlenmesi için örgütün üst düzey sorumluları tarafından yapılan çağrılar birkaç saat içinde cevap bulmuştur. Yapılan çağrıların, internet ve web üzerinden PKK/Kongra – GEL terör örgütü sempatizanlarına ulaştırıldığı bilinmektedir. Günümüzde hemen her yerden ulaşılabilen internet, örgüt sempatizanlarının eylem planlaması yapmasından haberleşmeye, eleman kazanmaktan, propaganda yapmaya kadar tüm aktiviteler için kullanılmaktadır (Denning, 2001b: 256 – 257). Web üzerinde gösterilen faaliyetlerdeki bu artışlara önlem almak amacıyla çeşitli girişimler başlatılmıştır. Örneğin, ABD vatandaşı Hsinchun Chen tarafından dizayn edilen DarkWeb, web üzerinde faaliyet gösteren terör örgütü elemanlarının isimlerini toplamaktadır. Bu veri tabanı pek çok dilden işlem yürütmekte ve 20.000 üye ile yarım milyon mesaj barındırabilme özelliğine sahiptir. DarkWeb’ten önce Chen, ilk projesine 1997 yılında başlamıştır. Proje yine bir web sitesinde suç ve terörizm gibi ana etkenlerin sosyal yaşamı nasıl etkilediğine yönelik izleme amacıyla oluşturulmuştur. Chen, Tucson Arizona Polis Departmanına ve Ulusal Bilim Kurumunun Coplink adı verilen intranet sisteminin geliştirilmesine yardımcı olmuştur. Bu sistem, kanun uygulayıcıların dosyaları paylaşmasında ve güçlü bir veri tabanı oluşturmasında çok etkili olmuştur. Örneğin, Washington D.C.’de 2002’nin sonlarında yaşanan Beltway Sniper olayı Coplink sayesinde çözülmüştür. Bu ve buna benzer başarıların ardından Ulusal Bilim Kurulu (National Science Foundation – NSF), Chen’e terörizmle savaşta yardımcı olacak Coplink tarzı bir sistemi yapıp yapamayacağı konusunda görüş sormuştur. İşte DarkWeb fikri bu şekilde başlamış ve birkaç aksama dışında büyük başarı yakalamıştır. Chen, DarkWeb’in Irak savaşından önce yürürlüğe konabilmesi halinde, El-Kaide ve Saddam Hüseyin arasındaki olası iletişimin gerçek mi yoksa hayal ürünümü olduğunu ispatlama imkanı için güzel bir fırsat yakalayabileceklerini ifade etmiştir (Kotler, 2007). Chen çevrimdışı ve şifrelenmiş iletişim yöntemini kullanan bu tür gizli örgüt faaliyetlerinin takibinin NSA’ın görevi olduğu söylemlerine katılmamaktadır. DarkWeb dizaynının esas amacı cihat propagandası yapanları yakından takip 108 etmektir. Eleştirilere rağmen, DarkWeb güzel sonuçlar ortaya çıkarmıştır. Patlayıcıların yerlerinin tespitinden, elle yapılan patlayıcıların nasıl yapıldığına dair eğitimlere kadar pek çok bilgiye ulaşma imkanı sağlanmıştır. Bu bilgiler ışığında sivillerin ve askeri tesislerin güvenliği konusunda tedbirler yürürlüğe konmuştur. Günümüzde toplumsal olarak siber suçların önemli bir konu haline gelmesi, saldırının herhangi bir hacker tarafından mı, yoksa bir terörist yada terörist bir organizasyona çalışan bir hacker tarafından mı gerçekleştiği konusunun ayırt edilebilmesinde yaşanan zorlukla başlamıştır. Siber suçların geçmişten günümüze kat ettiği mesafeyi düşündüğümüzde güvenlik ve savunma ağırlıklı düzenin kendisini hissettirmede ne kadar etkili bir hal aldığını görmekteyiz. DarkWeb tarzı savunma mekanizmaları, yerel güvenlik güçlerinin terörizmle savaşta internet ortamında yardımcısı olmaktadır. Uluslararası resmi ya da gayri resmi kuruluşlarda, web üzerinden gerçekleştirilebilecek saldırılara karşı güvenlik önlemlerini arttırmaktadır. Çin’e ait savaş uçağı ile ABD’ye ait keşif uçağı arasında 2001 yılında pasifik bölgesi üzerinde yaşanan it dalaşı sonucu iki ülke arasında oluşan diplomatik ve siyasi münakaşa nedeniyle, her iki ülke hackerleri arasında bir siber savaş başlamıştır. ABD Dartmouth College Güvenlik ve Teknolojik Çalışmalar Enstitüsü (US Institute for Security and Technology Studies at Dartmouth College) tarafından hazırlanan rapora göre 2001 yılında Beyaz Saray, ABD Hava Kuvvetleri ve Enerji Bakanlığı’nın da içlerinde olduğu 1200’den fazla sitenin DDoS saldırılarının konusu olduğu ve Çin’e ait imajların bu sitelerin ara yüzlerine konduğu ifade edilmektedir. Bahsedilen saldırıların uzun soluklu olması ve Çin Hükümeti tarafından saldırılarda bulunan, Çin Honker Birliği (Honker Union of China) ve Çin Kızıl Misafir Ağ Güvenlik Teknoloji İttifakı (The Chinese Red Guest Network Security Technology Alliance) gibi hacker gruplarına yönelik yasal bir uygulama başlatılmaması, bu örgütlere yönelik hükümetin direkt desteğini göstermese de, en azıdan Çin hükümeti tarafından bu tür saldırılara tolerans gösterildiği imajını doğurmaktadır. Belirtmek gerekir ki, aynı siber savaş kapsamında ABD’ye ait PoizonBox adındaki hacker grubu da, Çin’e ait yüzden fazla siteyi tahrif etmiştir. Siber savaş örnekleri yalnızca Çin ve ABD arasında yaşanmamaktadır. Örneğin, Ekim 2000’de üç İsrail askerinin kaçırılması olayının ardından İsrailli 109 hackerler, Filistin Yönetimine ait sitelere DDoS saldırılarında bulunmuş, akabinde Filistinli hackerler da İsrail Parlamentosu Knesset’e, İsrail Savunma Güçlerine, Dışişleri Bakanlığına, İsrail Bankasına ve Tel Aviv Borsasına ait sitelere yönelik saldırılar başlatmışlardır. Her ne kadar uzmanlar tarafından siber terör eylemlerinin, insan ölümlerine sebebiyet verme gibi ciddi zararlar yaratması veya kamuoyunu hedef alan korku yaratma amaçlı tehditler içermesi gerektiği ifade edilse de, meydana gelen bu tür olayların, siyasi amaç taşıyan saldırılar olarak düşünülmesi gerekir ve siyasi motivasyon taşıyan bu olaylar bir çeşit siber terör eylemidir (Prichard ve MacDonald, 2004: 281 – 282; ZDNet UK, 2004). Buraya kadar olan bölüm içinde teröristlerin siber medeniyeti; 1. Haberleşme 2. Terörist manifestoda var olan rejime yani devletin kendisine ve ekonomik gücüne saldırı ve 3. Teröristin bilmesi gereken her türlü bilgiyi ve desteği elde edebilmesi 4Propaganda amaçlı kullanma eğiliminde olduğunu görmekteyiz. Fakat bu güne kadar herhangi bir kritik alt yapının siber teröristler tarafından engellendiği veya çökertildiğine dair bir delile ulaşılamamıştır. Sıkılmış bir üniversite öğrencisinin veya daha ufak yaşta macera meraklısı bir bilgisayar hackerı tarafından yapılan saldırılar, terörist eylem arayışı içinde olan örgütlerin siber saldırılarından çok daha fazladır. Siber teröristlerin günümüzde gerçekleştirdiği en önemli saldırılar şimdilik espiyonaj faaliyetleridir. Devlet bilgisayarlarına sızarak ele geçirdikleri bilgileri, şantaj veya nüfuz amaçlı kullanabilme yeteneklerine sahip teröristlerin, topladıkları bilgiler ulusal güvenlik için çok daha büyük bir tehdittir. Fikir ve sanat eserleri kapsamında değerlendirilen yazılımların veya kitap ve MP3 gibi pazar piyasası olan eserlerin, yayın haklarının ihlal edilerek çoğaltılması da ülke ekonomisine büyük zararlar vermektedir. Terör kapsamında değerlendirilmeyen bu konunun, terör örgütleri tarafından organize edildiğini varsayarsak, ne derece ciddi bir durumla karşı karşıya kaldığımızı düşünmemiz gerekir. DHKP/C veya PKK/Kongra – Gel terör örgütleri gibi yapılanmaların, ekonomik bütçe arayışı içinde kendi içinde bu yönde bir çalışma başlatmadıklarını ya da başlatmayacaklarını göz ardı etmeden irdelememiz yerinde olacaktır. İnternet yeni girişimlere açık bir yapı gibi görünse de, terör anlayışı eski bir geleneğe sahiptir. 110 Siber terör ve siber savaş kavramları amacı dışında pek çok olay için gereksiz bir şekilde kullanılmaktadır, siber espiyonaj ve siber suç olgusunun çok daha yaygın olduğunu da belirtmek gerekir. Altını çizmemiz gereken bir diğer konu ise, siber saldırıların ve siber terör eylemlerinin; insan yaşamını etkileyen günlük işleyişin, sanayi sektörünün ve kamusal işlemlerin, internet üzerinden yapılan işlem hacmine dayalı bir yapıya yerini bırakmasıyla önem kazanacağıdır. İnternet, bu üç alanda ne kadar yoğun olarak kullanılırsa, siber saldırılara ve siber terör eylemlerine maruz kalma olasılığı da o kadar artacaktır. Her üç alanda da bilgisayar teknolojilerine yönelik eğilimin giderek arttığı düşünüldüğünde, ülkelerin ulusal güvenlik konsepti içinde siber saldırılara yönelik gerekli önlem tedbirlerini, yapılan planlı politikalarla birlikte alması aşikârdır. Teröristler saldırılarını gelecekte, sırtlarında taşıdıkları bomba paketleri yerine, hazırladıkları veri paketleri ile temel hizmet ağlarına veya bilgisayar ağlarını kontrol eden sistem bağlantılarına gerçekleştireceklerdir. 2.1.5. Organize Siber Suç Örgütleri, Siber Teröristler ve Hackerler Arasındaki İlişki Uluslararası suç örgütleri ile terör hareketlerinin birleşmesi büyük bir yıkıma ve bozulmaya sebep olmaktadır. Organize suç örgütleri gibi terör örgütleri de, genç nüfus içinde iş bulma konusunda ekonomik bir alternatif olarak görülmektedir. Elbette suç örgütleri içerisinde yaşamak zorunda kalmak bir şans olarak görülmese bile, her iki örgüt yapılanması da gençlere sosyal statü kazandırma yönünde bir seçenek sunmaktadır. Bireysel ihtiyaçlar, global ekonomik düzen, aile yapısı ve medya, suça meyilli veya kötü tecrübeler yaşamış gençlerimizi bu türden örgütlerin önüne yem olarak sunmaktadır (Sen, 1997: 150 – 153). Örgütlerse eleman kazanma noktasında bu sebeplerden ötürü sıkıntı yaşamamaktadır. Siyasi ve ekonomik şartlardan dolayı, uluslararası suç örgütleri ile terör örgütleri birbirinden ayrı birer fenomen olarak görünse de aynı amaçlara ulaşma konusunda birleşmektedir. Günümüzde teröristler ve uluslararası suçlular eylemlerini gerçekleştirebilmek için aynı stratejileri kullanmakta ve planlama yaparken de, hayata geçirirken de, bilişim teknolojilerini kullanmaktadır. Uluslararası hareket kabiliyeti ve bilişim teknolojilerinin dünya çapında hızla gelişmesi, her iki suç yapılanmasının da bu akıma yönelmesini zorunlu hale getirmiştir. İletişimin sınır ve zaman tanımayan 111 yapısal evrimi ve daha az eleman ihtiyacı, coğrafik engellerin ortadan kalkmasına ve her iki örgüt içinde operasyonlarını hemen hemen her yerde gerçekleştirebilme kolaylığına kavuşturmuştur. Pek çok terör örgütü yapılanması ve organize suç örgütünün temel çıkış noktası gelişmekte veya değişmekte olan ülkelerdir (Farer, 1999: 244 – 252). Birleşmiş Milletlerin 1990'ların sonlarında yapmış olduğu değerlendirmeye göre dünya ticaretinin % 7'sini uyuşturucu trafiği oluşturmaktadır (BM, 1999: 124). Bu büyük gelir payı, organize suç ve terör örgütlerini konumlandıkları ülkelerde ve çevresinde önemli ve güçlü bir aktör haline getirmektedir. Yasal ekonomik faaliyetlerin içine elde ettikleri yasal olmayan gelirlerle giren bu tür yapılanmaların, siyasi ve iş çevresine olan etkisi de etkileyicidir. Yasadışı gelirlerin kazandırdığı ekonomik güç, bu tür örgütlerin uluslararası veya yerel en iyi uzmanları kiralamalarına da olanak sağlamaktadır (Baugh ve Denning, 1997: 45 – 49). Bilişim teknolojileri de, örgütlerin gizli faaliyetlerini devam ettirmelerinde büyük destek olmakta ve suçu kolaylaştırmaktadır. Uluslararası uyuşturucu kaçakçıları; kriptolu ve şifreli mesajları, uydu telefonlarını ve bilgisayarlara ait IP numaralarını değiştirmeye yarayan yazılımları en çok kullanan kullanıcılardır. Dünya çapında terörizme karşı alınan fiziksel önlemler, terörist grupları özellikle İslam dinini kendi amaçları için kullanan aşırı grupları, internet üzerinden organize halde hareket etmeye zorlamaktadır. Ayrıca bu tür örgütler, çözümü imkansız ya da çok zor mesajlar yazabilen ve steganografi tekniği ile gönderilen yazılı bilgilerin içine anlaşılmayacak şekilde mesajlar yazabilen teknik uzmanları kiralamakta veya bizzat bu teknikleri örgüt içinde kullanabilen kişileri iletişim ağının sorumlusu olarak atayarak kullanmaktadır. Terörist organizasyonlar ve organize suç örgütleri uluslararası operasyonlarını işte bu şekilde sınır güvenliğine veya herhangi bir güvenlik önlemine yakalanmadan icra etmektedirler. Terör örgütleri ve organize suç örgütleri teknik kapasiteye sahip uzmanları, bölgesel imkanları kullanarak bulmaktadırlar, örneğin eski Sovyet rejimi bilim adamları veya Hindistan yarım adasındaki uzmanlar bu tür örgütlerce büyük paralar karşılığında kiralanmaktadırlar. Kimi teknik uzman, kendisine verilen para haricinde ne tür bir iş için çalıştığını 112 bilmezken, kimileri de bizzat örgüt yapılanması içinde önemli konumlara sahip birer şebeke elemanı gibi hareket etmektedir (Shelley v.d., 2000: 9 – 39; Wilson, 2005: 9). Pek çok gelişmekte olan ülkede yaşanan yolsuzluk problemi, uluslararası suç örgütlerinin ve terör örgütlerinin sayısal açıdan hızla artmasına neden olmaktadır. Resmi kurumlardaki yolsuzluk ise bu durumu, daha da kolaylaştırmaktadır ve örgüt faaliyetleri yalnızca rüşvet vermek ya da almakla sınırlı değildir. Yüksek hükümet görevlilerinin organize örgütlere ve terör örgütlerine hazırladığı sahte belgeler, kanun uygulayıcıları şüpheli gruplara karşı eyleme geçmede sınırlamakta ve suç örgütlerine faaliyetlerini yürütmek için güvenli bir ortam yaratmaktadır. Bu sebeple suçlular eski Sovyet Bloğu ve Punjab bölgesinde bulunabilinen yüksek seviyeli teknolojiyi kullanmakta, hem organize örgütler, hem de terör örgütleri dünyanın diğer bölgelerinde bile bu vesile ile kendilerine ait güvenli alanlar yaratmaktadırlar. Bu yolla suçlular bilişim teknolojisini kendi faaliyetlerini yürütmek için kullanmaktadırlar. Organize suç örgütleri ile terör örgütleri arasındaki ilişki yalnızca gelişmekte olan ülkelerde değil, gelişmiş ülkelerde de mevcuttur. İncelemeler 11 Eylül saldırılarında, teröristlerin gelişmiş ülkelerde örneğin İspanya’da sahte uçak bileti sattıklarını veya Amerika’da organize suç örgütleri gibi kara para aklama işi yaptıklarını yani adi suçlarda işleyebildiklerini ve hayatta kalabilmek için yalnızca ideoloji ile hareket etmediklerini göstermiştir (Özcan, 2002; Shelley, 2003: 304). Beyaz yaka suçları kapsamına giren suç yapılanmalarının da içine giren organize örgütler (özellikle 90’lı yıllarda Amerikan çeteleri ve Rusya kökenli örgütlerin, Wall Street Borsasında yarattıkları online manipülasyonlar gibi) borsa işlemlerinde yarattıkları manipülasyonlarla büyük meblağlar elde etmektedirler. Borsada mali değeri düşük olan hisse senetlerini değerinden fazla göstermek için hileli olarak online satın alan organize örgütler, ardından yatırım yapacak kişilere bu yüksek meblağlı senetleri önermekte ve son olarak da en yüksek seviyede ellerindeki senetleri çıkarmaktadırlar. Pump and dump denilen bu yöntemle örgütler gerçekten çok yüksek paralar kazanmışlardır. Kaba kuvvet, dağa kaldırma, fazla eleman çalıştırma, ölüm ya da yaralanma gibi riskleri olmayan bu suç türü yeni nesil organize mafya yapılanmalarının yeni trendi haline gelmiştir. Bonnano, Genovese ve Colombo suç aileleri gibi Rusya kökenli göçmenlerin oluşturduğu Bor adlı 113 organize örgütlerin tercih ettiği bu sistem, yatırımcıları her yıl yaklaşık olarak on milyar dolar zarara uğratmaktadır. Uluslararası hukuk normlarının, her ülkede aynı şekilde uygulanamamasından en çok organize suç örgütleri ve terörist gruplar faydalanmaktadır. 11 Eylül saldırılarından önce Washington Eyaletinin farklı bölgelerinde bile telefon dinleme izni almak için farklı yasal gereksinimlere ihtiyaç duyulmakta idi. 11 Eylül saldırılarını gerçekleştiren teröristlerde bu yasal durumun ve kendi telefonlarının dinlenebileceğinin bilincindeydi. Teröristler kanun uygulayıcıların sınırlarının farkında olarak, telefon görüşmelerinin izlenmesini önleyebilmek için birbirleri ile değişik telefonlardan iletişim kurmuşlardır. Gelecekte de teröristler, yasaların uygulanmasındaki farklılıklardan faydalanacaklardır. 11 Eylül saldırılarına ön hazırlıklarının çoğu Almanya’da gerçekleştirmiştir. Nazi döneminden kalma kötü hatıralar nedeniyle, özel hayatın gizliliğinin ön planda tutulduğu Almanya’da, polisin elindeki yetkilerin azlığı ve önleme amaçlı tedbirlerin sınırlılığı, teröristleri iletişim araçlarını en yüksek seviyede kullanma ve tespit edilmeme konusunda avantajlı bir konuma getirmiştir. Terörist hücrelerin yapacakları operasyonlar için, analiz ve istihbarat toplama faaliyetlerinde sofistike bilgi teknolojisindeki gelişim imkanlarından faydalandıkları görülmüştür. Bilişim teknolojisindeki gelişmeler, teröristlere büyük gelirler elde etmede en az risk ile hareket etme kabiliyeti kazandırmaktadır, bu da teröristlerin operasyonlarını desteklemek amacıyla, internet üzerinden kredi kartı dolandırıcılığı gibi adi suçları da işlemekte olduğunu göstermektedir. Böylece teröristler, ilk olarak kendilerini deşifre etmemiş olmakta, ikinci olarak yaralanma veya ölme riskini ortadan kaldırmış olmaktadır (Shelley, 2003: 306). İnternet yolu ile işlenen uluslararası dolandırıcılık veya kredi kartı hırsızlığı gibi suçlar, teröristler tarafından da işlenmektedir. TraCCC’nın 2000 yılında organize ettiği konferansta Ukraynalı uzmanlar, internet ve bilgisayar yolu ile ülkelerinde pek çok finansal suçun işlendiğini ifade etmişlerdir. Ukrayna belki pek çok suçun kaynağı olabilir ama bu suçları Ukraynalı vatandaşların işlediğine dair somut bir bilgi mevcut değildir. Ukrayna ağ sistemini kullanan pek çok yabancı vardır ve beklide bu yabancı kullanıcılar, Ukrayna’nın internet suçlarına karşı sınırlı bir kanun 114 düzenlemesi olduğunu düşünüp, ekonomik suçları işlemekte daha rahat davranmaktadır. Yüksek düzeyli bilişim teknolojisine sahip fakat yeterli kanuni düzenlemeye sahip olmayan ülkeler, teröristler ve organize suçlar için birer cennet konumundadır (Shelley, 2003: 306). Gelişmekte olan ülkelerdeki kanun uygulayıcı kurumlar, uluslararası suç örgütlerinin faaliyetleri ile savaşacak kapasitede personel ihtiyacını karşılayamamaktadır. Düşük ücret ve devlet kurumlarında ki yolsuzluk, yüksek kapasiteli teknik donanıma sahip bireyleri, devlet sektöründe çalışma konusunda isteksizliğe sevk etmektedir. Özel sektörde ve bilinçli veya bilmeden suç örgütleri ve terör örgütleri ile çalışmayı yeğleyen bilgisayar uzmanları da, gelişmekte olan ülkelerde düşük maaşla kamu sektöründe çalışmak istememektedir. Bazı ülkelerde ise, devlet bu özel eğitimli uzmanları kendi bünyesine dahil etmiş olsa bile, yolsuzluk o kadar ileri bir düzeydedir ki, suç örgütleri veya terörist faaliyetler gösteren örgütler bu kişilere ulaşmakta ve kısa süreli işlerinde yüksek paralarla bu insanları kullanmakta zorlanmamaktadır. Bilişim sektöründe uzman kişiler ise, genel itibari ile bu konularda gelişmiş Amerika ve Avrupa ülkelerine göç etmekte, bu şekilde bir beyin göçü yaşanmakta ve gelişmekte olan ülkelerde yeterli personelden yararlanılamamaktadır. Dahası, gelişmekte olan kimi ülkelerde, konusunda yetişmiş personel olsa dahi, bilişim dalında yeterli yasal düzenleme olmadığı için hukuksal dayanağa ihtiyaç duyulmaktadır. Ayrıca, gerekli yasaların olduğu ülkelerde ise zararlı bir sitenin kapatılması için yeterli teknoloji eğitimi olan personel yokluğu, diğer ülkelerde bu sitenin içeriğinden faydalanan kişilere çanak tutmaktadır. Örneğin, Orta Afrika ülkelerinden birinde çocuk pornografisi içerikli yayın yapan bir sitenin, uzman personel tarafından kapatılamaması, dünyada milyonlarca insanın bu siteden veri indirebilmesine sebep olmaktadır. Uluslararası siber suç örgütlerinde, örgüt elemanları dünyanın herhangi bir noktasından birlikte hareket etme kabiliyetlerini kullanarak, sistemleri hackleyerek her türden bilgiliyi çalarak satmakta ya da tehdit yoluyla maddi kar etmektedir. Bununla birlikte, organize örgütler gibi terör örgütleri de, uluslararası taşımacılık sisteminden faydalanarak faaliyetlerini yönetirken, taşınan malın veya yasa dışı göçmen tarzı insan topluluğunun yasal denetimden geçmemesi için, çeşitli program 115 ve yazılımlarla kanun uygulayıcı kurumların sistemlerine girerek elde ettikleri bilgilerden yararlanmakta ve taşımacılık rotasını ayarlamaktadırlar. Organize suç örgütleri online suçları, sokakta suç işlemekten daha güvenli bulan gençleri saflarına katmaya çalışırlar. McAfee tarafından 2006 yılında yayınlanan bir rapora göre, organize suç örgütleri akademik çevrede yetenekli öğrencileri hedef alarak teknoloji yoğun suç alanına yönlendirmektedir (McAfee, 2006: 7). McAfee tarafından yayınlanan bu Sanal Kriminoloji Raporu (Virtual Criminology Report) Avrupa’nın lider teknoloji yoğun suç önleme birimleri ve FBI tarafından da doğrulanmaktadır (Brenner, 2006a). Gelecekte siber uzayda organize suç örgütlerinin yeni ve değişik türlerini görmemiz mümkündür. Siber uzay bireylere fiziksel dünyada yapamayacakları şeyleri yapmalarına olanak sağlar, bunun yanında şu anki organize örgütlerin çevrimiçi suç olgusuna tam olarak adapte olduğunu söyleyemeyiz. Siber suç olgusu daha az personel iletişimine, daha az biçimsel organizeye ve sınırsız coğrafi kontrol imkânına sahiptir. Bu sebeple bazı araştırmacılar, klasik hiyerarşik düzene sahip organize suç örgüt yapısının internet ortamına uygun olmadığı konusunu tartışmaktadırlar. Sonuç olarak çevrimiçi suç aktiviteleri daha gevşek bir yapı ve hiyerarşi yerine, ağ bağlantısı sistemine uygundur (Council of Europe Octopus Programme, 2004: 48). Organize suç örgütleri için eleman yetiştirmenin ve o elemana güvenmenin ne derece uzun sürdüğü bilinen bir gerçektir. Bununla birlikte online siber suç örgütleri için durum çok farklıdır. Bu tür örgüt yapılanmalarında yapılacak işin mahiyetine göre belirlenen örgüt elemanlarının, o işe göre belirli bir süre için bir arada çalışmaları planlanır. Yani suç türü ne ile ilgili ise, o konuda uzman eleman çalıştırmak bu tür organize örgütler için kullanılan bir yoldur. Kanun uygulayıcılar için ise bu tür yapılanmalar, işin içinden çıkılamayacak derecede zor durumlar yaratmaktadır. Anlık ya da sadece o gün için kurulmuş mafya veya kartel yapılanmaları, kanun uygulayıcıların geçici olarak oluşturulan organize yapılanmalara dahil katılımcıları deşifre etmesini zorlaştıracak ve böylece organize siber suç örgütlerinin istediklerini yakalanmadan yapabilmelerine olanak sağlayacaktır (Brenner, 2002). 116 2005 yılında Britanya’da meydana gelen metro ve otobüs bombalama eylemlerinde ayrıca 2007 yılındaki araba bombalama eylemi teşebbüsünde; terörist grupların iletişim ağlarını ve bilgisayar destekli sistemleri yoğun şekilde kullanarak birbirleriyle haberleştiklerini, önemli sayılacak derecede IT (Information Technology) konusunda tecrübe sahibi oldukları bilgisine ulaşılmıştır. Londra polis makamları teröristlerin 2005 yılındaki saldırılarda yüksek kalitede bombaları, Doğu Avrupa suç örgütlerinden sağladıklarına inanmakta olduklarını söylemişlerdir (Lal, 2005; Porter, 2004). Siber suç uzmanları, uluslararası arenada Afganistan’da ki uyuşturucu akışına yönelik olduğu gibi, Ortadoğu’da ve diğer bölgelerde ki illegal uyuşturucu finansmanıyla birlikte kredi kartı hırsızlığı gibi suç aktivitelerini, terörist gruplara destek amacıyla bağlantılı olduğu için sıkı şekilde takip etmektedir (Bergen, 2006: 1). Narkotik suçlarla mücadelede uzmanlar genel itibari ile internet üzerinden yapılan iletişimin deşifre edilebilmesi için eğitim almaktadır, hatta bilgisayar teknolojileri konusunda yüksek seviyede uzmanlaşmış personelin kiralanması da söz konusudur. Birleşik Devletler Uyuşturucuyla Mücadele Birimi (U.S Drug Enforcement Agency – DEA) yetkililerine göre 2003 yılında ABD yabancı terörist organizasyonları listesinde bulunan 36 örgütten 14’ü uyuşturucu ticareti ile ilgilenmektedir. 2002 yılında Birleşik Devletler Federal Araştırma Bölümü (Federal Research Division)’nün kongrede sunduğu raporda, dini motifli terörist gruplarla, diğer terörist gruplar arasında uyuşturucu kaçakçılığının artış gösterdiği, hem uyuşturucu trafiği, hem de silah ticaretiyle ilgilenen farklı terörist grupların birlikte ve işbirliği içinde olduğuna dair az da olsa delil olduğu vurgulanmıştır. Sonuç olarak DEA yetkilileri terörizm ve uyuşturucu kaçakçılığı ile mücadelenin birbiriyle bağlantılı olduğunu ifade etmektedir (Berry v.d., 2002: 2 – 11). Narko – terörizmin, terör örgütlerinin finansmanı bağlamında önemli bir sacayağı olduğu su götürmez bir gerçektir. Narko – terörizmi finansal açıdan bir destek olarak gören terör örgütleri, aynı zamanda düşman olarak gördükleri devletlere karşı da toplumu ahlaki olarak çökertme kapsamında kullanmaktadırlar. Bilindiği gibi narkotik bağımlılık vücut bütünlüğüne karşı bir düşman olduğu kadar, ahlaki açıdan da toplumu olumsuz olarak etkilemektedir. Uyuşturucu bağımlısı bir 117 hackerin, terör örgütleri tarafından kullanılması olası bir önermedir. Terör ve uyuşturucu arasındaki en güzel resmeden ülke tahmin edildiği gibi Afganistan’dır. Eroin piyasasının % 90’nı Afganistan üzerinden yönlendirilmektedir. Tabi ki durumun altı çizilmesi gereken noktası, bu yüzdeye Afganistan’ın ABD işgalinden sonra ulaşmış olmasıdır. % 90’lık oran dünya piyasasının 3,1 milyar dolarına tekabül etmektedir ve Birleşik Devletler istihbarat servislerinin 2007 raporuna göre Afganistan’da faaliyet gösteren El – Kaide terör örgütü 9/11 saldırılarından önceki durumundan çok daha iyi bir durumdadır. Bununda ötesinde batılı devletlere yönelik saldırı gücünde de El – Kaide çok daha iyi bir düzeye erişmiştir (Associated Press, 2007; Lee ve Shrader, 2007). Teröristlerle hackerler veya terörizmi destekleyen ülkelerle, hackerler arasında bir bağ kurmak zor değilse de, kolay olmadığı da açıktır. Fakat yüksek düzeyli bilgisayar bilgisi olan hackerların bireysel olarak veya toplu olarak terörist faaliyet göstermesi olasılığı oldukça düşüktür. Bunun yanında gizli faaliyetler gösteren yüksek kapasiteli bilgisayar hackerlarının oluşturduğu grupların varlığı da bilinmektedir. Bilgisayar bağlantılı karapara aklama aktiviteleri her iki suç grubu tarafından da kullanılmaktadır. Çıkar grubu suç örgütleri yaptıkları eylemlerin ya da suçların propagandasını yapmasalar da hükümet üzerinde baskı oluşturmak için veya devlete yakınlaşıp içeriye sızabilmek için internet ortamını kullanmaktadırlar. Terörist grupların ise yeni dünyada propaganda aracı olarak kendine interneti seçmesi oldukça doğal bir sonuçtur. Yerel ya da ulusal kanalların sansür ettiği bazı görüntü veya imajların internet ortamında çok daha rahat paylaşılması mümkündür. Propagandanın yanında kendi yandaşlarına her türlü eğitim faaliyeti sunabilen terör örgütleri için internet ortamı, kamuoyu baskısı oluşturma ve teröristler arası iletişim aracı olarak da kullanılmaktadır. Hackerler kimi zamanda El Kaide ve küresel cihat amacıyla hareket eden terörist organizasyonların saflarında yer almaktadır. 2001’de ABD güçleri Afganistan’ı işgal ettiğinde, kendilerini Online El-Kaide İttifakı (al Qaeda Alliance Online) olarak tanıtan bir grup Pakistanlı hacker, ABD devlet sitelerine yönelik kapsamlı bir saldırı başlatmış, ele geçirilen sitelere Usame bin Ladin’in mesajları ve ABD işgalini kınayan mesajlar bırakılmıştır. Aradan geçen zaman içinde bu grup 118 ortadan kaybolmuş olsa da diğer pek çok grup, ABD ve batı toplumlarına ait internet sitelerine siber saldırılarda bulunmuştur. Irak Savaşı, Danimarka'da meydana gelen Hz. Muhammed'e yönelik karikatür krizi ve Guantanamo Üssü’nde tutulan mahkumlara yönelik kötü muamele iddiaları, bu tür saldırıların yoğunlaşmasına sebep olmuştur. Elektronik alanda başlatılan bu siber cihat saldırıları, cihat amacı güden forum sitelerinden koordine edilmekte, ayrıca hacking amacı ile dizayn edilmiş yazılımlar ve gerekli bilgiler bu siteler üzerinden paylaşılmaktadır (Denning, 2008). İnternet uzun süredir terörizm için önemli bir anlam ifade etmektedir. İnternetin hem propaganda hem de diğer her türlü araç olarak kullanılmasına örnek olarak, Global İslami Medya Cephesi (Global Islamic Media Front – GIMF)’nin www.alfarouq.com/vb/ 42 sitesinde yayınladığı bildiride, El-Kaide Üniversitesi, Cihat Çalışmaları adında bir fakültenin mevcudiyetini duyurması verilebilir. Site ayrıca elektronik, basın, ruhani ve finansal cihat alanlarında uzmanlaşmayı da hedeflemektedir. Cihat propagandası yapan terör örgütleri içinde, dünya genelinde eleman kazanma noktasında internet önemli bir konuma sahiptir. İsrail Hayfa Üniversitesinde iletişim alanında profesör olan Weimann’a göre, 1997’de sayıları bir düzine kadar olan terörizmi veya siyasal şiddeti savunan web sitelerinde, 2005 yılı itibariyle 400 kat artış yaşanmış ve bu sitelerin sayısı 4.700’e ulaşmıştır (Weimann, 2004b). Yaşanan bu artışla birlikte ifade edilmesi gereken önemli bir husus ise, 1997’de var olan toplam web sitesi sayısının, 2005 itibari ile 50 ile 100 kat kadar artmış olmasıdır. Anlaşılacağı üzere tüm web sitelerinin varlığında yaşanan artış, terör içerikli sitelerin varlığında yaşanan artışın ¼’ü kadardır. Terör içerikli web sitelerinde yaşanan artışın ise % 70’ini İslam dinini kendi amaçları için kullanın terör örgütlerinin dizayn ettiği web siteleri oluşturmaktadır (Ariza, 2005). 42 Kısa süre önce yayınlanan haber raporlarına göre, İslami aşırı gruplar siber saldırı eylemlerinde görev almak üzere hackerlara ihtiyaç duyduğunu ve İslami Hackerler adlı bir oluşumun hazırlıklarının yapıldığını duyurmuştur. al - Farouq web sitesine gönderilen maillerde siber saldırıların detayları, spyware programlarının indirilmesine yarayan linkler ve hedef kullanıcılara ait şifrelerin nasıl öğrenileceğini gösteren bilgiler bulunmaktadır. Diğer pek çok aşırı dinci web sitelerinde de, güvenli hücre evlerinin nasıl seçileceğini, silah bakımının nasıl yapılacağını veya yakalanıldığında neler yapılacağını anlatan online eğitim kampları mevcuttur. Hatta kimi web sitelerinde, İsrail Polis Teşkilatında veya hükümet içerisinde görevli potansiyel hedeflerin mail adres listeleri yayınlanmaktadır (Wilson, 2005: 9). 119 İnternet propaganda aracı olarak yalnızca teröristler tarafından kullanılmamaktadır. Denning’e göre internet üzerinden yapılan propaganda savaşının ilk örneği Kosova savaşı esnasında yaşanmıştır. NATO güçleri Yugoslavya basın yayın organlarının ve diğer tüm iletişim ağlarının bombalanmasını stratejik olarak doğru bulmuş fakat internet iletişiminin kesilmesine, Milosevic rejimince gerçekleştirilen cinayetlerin ve soykırımının Yugoslavyalılar tarafından anlaşılması için sıcak bakmamıştır. Kosova Savaşı sırasında, Yugoslavya'da yaşayan insanların internete ulaşma imkanında herhangi bir sorun yaşanmamıştır. Washington Post gazetesinin ABD ve İngiltereli resmi yetkilere dayanarak yayınladığı habere göre, NATO Yugoslavya internet sağlayıcısı dört erişim noktasının da kontrolünü elinde bulunduruyor ve internet iletişimini dezenformasyon ve propaganda amacı ile bilerek ve kasıtlı olarak kesmiyordu. Ayrıca gazete haberinde, Belgrat'ta 1,5 milyon insan yaşamaktadır ve bu insanların 100.000'inin kendi evlerinden erişim imkanı olmaksızın, internet kafelerden interneti kullandıkları belirtilmiştir (Denning, 2001b: 240 – 242; Özcan, 2003). Kosova Savaşı sırasında dünya çapında organizasyonlar ve bireyler kendi web sitelerinden savaşla ilgili bilgiler yayınlamış, insan hakları grupları, insani yardım kuruluşları, kiliseler ve kadın grupları gibi hükümet dışı organizasyonlar Kosova ile alakalı pek çok site kurarak desteklerini göstermişlerdir. İngiliz Dışişleri Ofisi, web sitesini Sırplara karşı propaganda yapmak amacıyla kullanmıştır. İnternet sitesinde Robin Cook'a ait yayınlanan mesajda, İngiltere'nin Sırplara karşı olmadığı fakat Milosevic'in zalimliğinin durdurulması gerektiği belirtilmiştir. Ayrıca İngiltere Savunma Bakanı George Robertson Savunma Bakanlığı'na (Ministry of Defence – MoD) ait sitenin, Belgrat'ın haberleri sansürleme eğilimine yönelik olarak Sırpçaya çevrilmesini söylemiştir. İnternet, Sırplarında dünyanın önde gelen haber kanallarına ulaşmasını sağlamıştır. Ülkenin önde gelen grupları ve üniversitelerinden insanlar NATO bombardımanın durdurulması için çağrılarda bulunmuş, mesajlarında insan haklarının Sırp bölgelerinde bombaların altında kaldığını ifade etmişlerdir (Denning, 2001b: 242 – 250; Özcan, 2003). Üyeler arasında yapılan haberleşmede terör aktiviteleri ile aynı kapsamda düşünülmelidir. Davetiyeli üyelik sistemi ile hareket eden bu grup faaliyetlerini de 120 gizli gerçekleştirir ve kullandığı yeni nesil hack programlarını da üyeler arasında kurulan hiyerarşik düzende üst seviyede kemik bir grup bilip geliştirmektedir. Sistem içinde dizayn edilen saldırıların hangi hacker veya hacker timi tarafından gerçekleştirileceği dahi daha önceden belirlenmektedir. Ast – üst ilişkisi ve kendi kendini denetlemenin üst seviyede olduğu bu gruplar kimi zaman siyasi amaçlarla, kimi zaman yalnızca dini motivasyonla, kimi zamansa fayda saikıyla organize suç şebekesi içinde hareket etmektedir. Örneğin daha önce bahsettiğimiz botnet saldırıları ile ele geçirilen bilgisayarlar uzaktan kumanda ile kullanılabilecek şekilde piyasada 150 ile 500 dolar arasında pazarlanmaktadır. Daha önce piyasaya sürülmemiş saldırı araçlarının ise 1000 ile 1500 dolar arasında satıldığı bilinmektedir. Bu tür software dediğimiz saldırı araçlarının genel alıcıları ise organize suç örgütleri, devletler ve ticari amaç güden bilgisayar şirketleri ile terörist organizasyonlardır (Francis, 2005). Her iki örgüt yapılanması da, artan bir şekilde internet üzerinden dolandırıcılık veya phishing tekniklerini kullanmaktadır. Botnetler vasıtası ile ele geçirdikleri bilgisayarların veya hesapların, kişiler listesinde olan diğer üçüncü şahıslara şüphelenmeyecekleri şekilde, absürt içerik taşımayan yöntemlerle, işin içine birazda sosyal mühendislik katarak gönderilen mesajlarla pek çok suç geliri elde edilebilmektedir. Sosyal yapının içinde karışıp giden ve kendilerini saklamayı beceren suçlular, farklı insanlara ait kimlik bilgilerini kullanarak suç aktiviteleri içindedir. Geliştirilen yazılımlarla kişilerin bilgilerine, şifre tahmini yapan programcıklarla bireysel özgürlüklere saldıran örgüt elemanları giderek artmaktadır. Teknolojik gelişmeler de bu duruma ön ayak olmak zorunda kalmıştır. 128 GB’lık harici bellekler bir parmak ebadında her yerde taşınabilir şekilde üretilirken, bilgi çalmak için çok fazla çaba harcamaya gerek kalmamaktadır. Gelecekte, akıllı telefonlar ve pek çok özelliği içinde barındıran bilgisayar donanımlı cihazlar daha kullanılır bir hale geldiğinde, bluetooth teknolojisi ve VoIP kanalıyla telefon hacking suçlarında da büyük bir artış yaşanacağı tahmin edilmektedir. Terör örgütleri ve organize suç örgütleri ile bu örgütler tarafından kiralanan hackerler için yeni bir suç işleme ve bilgi – gelir elde etme imkânı teknolojik gelişmelerle birlikte artmaya devam edecektir (Brenner, 2006b). 121 Siber terörizmin açıklanmasında iki görüş ön plana çıkmaktadır. Etki temeli ve internet temeli siber terörizm. Etki temeli siber terörizmde klasik terörde meydana gelen korku yaratma durum söz konusu iken, internet temelli siber terörizmde ciddi ve yoğun hasara neden olacak ekonomik yıkım söz konusudur. Siber saldırı dört alanda etkisini göstermek ister bunlar; bütünlüğün, varlığın ve güvenilirliğin kaybedilmesiyle fiziksel yıkımdır (US Army TRADOC, 2005). Teröristlerin internet ve diğer iletişim cihazlarını kullanma yoğunluğu giderek artmaktadır. Ulusal devletlerin aldığı fiziksel tedbirler ve artan sınır güvenliği, teröristleri internet üzerinden saldırı yapmaya zorlamaktadır. İnternet ve bilgisayar güvenliğindeki zafiyetler, organize örgütler ve terörist organizasyonları, bilgisayar bilgilerini geliştirmek için cesaretlendirmektedir. Böylece organize siber terör saldırıları tertiplemek hayal olmayacaktır. Terörist grupların finansal kaynak sağlama konusunda yeni yöntemlerinden biride yine internet üzerinden kredi kartı dolandırıcılığıdır. Bu sayede ya maddi gelir edilmekte ya da kara para aklama yolu ile dikkat çekmeden finans akışının sağlanması devam ettirilmektedir. Ortadoğu’daki ve Güney Asya’daki teröristler ve aşırı dinci gruplar, paranın uluslararası hareketini kontrol edebilmek için organize suç şebekeleri ile işbirliğini arttırmaktadır. Aynı işbirliği yasadışı uyuşturucu ve silah kaçakçılığının yönlendirilmesi içinde geçerlidir. Hackerler ve siber suçlar arasındaki bağlantılar, teröristlerin kendi organizasyonlarını devam ettirmeleri için, yüksek seviyede bilgisayar bilgisi olan kişilerle işbirliği içine girmeleri gerektiği içgüdüsünü tetiklemektedir. Temmuz 2005’te İngiltere’de metro ve otobüs bombalama olaylarına karışan aşırı dinci gruplar ve sempatizanlarının, halkın arasına karışmış teknoloji konusunda kayda değer bilgileri olan insanlar olduğu görülmüştür. Çoğu zaman teröristlerin gerçekleştirdikleri siber saldırılarla hackerlerin gerçekleştirdikleri siber saldırıların ayırt edilmesi çok zor olmaktadır. Teröristler gibi siber suçlularda gelecekte hazırlayacakları saldırılar için sistemde veya bilgisayarlarda bulunan zayıflıkları araştırmaktadırlar. Böylece elde etmek istedikleri bilgi veya maddi kazanca ulamaya çalışırlar. FBI raporlarına göre genel olarak teröristler tarafından gerçekleştirilen siber saldırılar mail bombardımanı ve herhangi bir sistemin çökertmesi ile sınırlıdır. 122 Fakat yinede bilgi teknolojisi konusunda, teröristlerin kendini geliştiriyor olması, ağ saldırıları riskinin arttığına işaret etmektedir. Ayrıca FBI teröristlerin bilgi teknolojileri konusunda gelişim gösterirken büyük çaplı konvansiyonel siber saldırılar gerçekleştirmek için hackerler kiralama yoluna gideceğini öngörmektedir. 2007 yılında sunulan yıllık tehdit değerlendirmesinde FBI direktörü Mueller, teröristlerin, iletişim, operasyonel planlama, dini propaganda yapma, eleman kazanma, eğitim verme ve lojistik mali destek elde etme amaçlarıyla, interneti kullanma oranında büyük bir artış yaşandığına değinmiştir. IBM 2005 yılında, saldırganlar tarafından gerçekleştirilen bilgisayar güvenliğine yönelik saldırıların % 50 oranında arttığını, özellikle devlet kurumları ile endüstri firmalarının çok daha sıklıkla saldırıya maruz kaldığını rapor etmiştir (IBM Report, 2005). Siber saldırıların eğilimi bize, ileride çok daha yoğun, hızlı ve kompleks saldırıların meydana geleceğini göstermektedir. ABD Government Accountability Office (GAO) tarafından ifade edildiğine göre, eğer saldırılar bu şekilde devam ederse, hükümet kurumları saldırılara cevap vermeye yetişemeyeceklerdir (Wilson, 2005: 2 – 4). Koordineli bir yasal uygulama ihtiyacı, hem organize örgütler hem de terör örgütleri tarafından istismar edilmektedir. Yapılan kanunlar devlet temellidir, fakat günümüzde suçlular uluslararası çalışmaktadır. Bununla birlikte, pek çok bilişim teknoloji sisteminin özel sektörün elinde olması, idari uygulamalara, denetime ve düzenlemeye engel olmaktadır. Ülkemizde özel sektörle, kamu sektörü arasında olmayan işbirliği sebebiyle, basit suçların önlenebilmesi konusunda bile büyük aksaklıklar yaşanmaktadır. Halbuki uluslararası bir konsept dahilinde gerçekleştirilecek işbirliği ile pek çok sorunun üstesinden gelinebileceği aşikardır. Sivil toplum örgütleri bu konuda ülkemizde özel ve kamu sektörü arasında harç görevi görmeyi şiddetle arzulamaktaysa da, şimdilik emekleme aşamasında olan bu yapılanmanın önümüzdeki beş veya on yıllık dönemde ciddi bir şekle girmesi mümkün görünmemektedir. Günümüzde en çok konuşulan konuların başında gelen, hükümet ve finansal alt yapılara düzenlenecek ciddi ve sistemli saldırıların etkileri içinde alınmış bir önlem yoktur. Herhangi bir ülkede yaşanan olumsuz finansal bir durum, kimi zaman tüm dünya mali sistemini etkilemektedir. Avrupa ülkelerinin birinde yaşanacak bu tarz bir olumsuzluktan, Türkiye veya ABD’de etkilenecektir. Japon borsa sistemine yapılan siber bir saldırı sonrası (sistem veri tabanına yayılarak 123 hesap bilgilerini sıfırlayan veya karıştıran bir virüs), yatırımların farklı bir noktaya kaydırıldığını düşünelim, sonuç tüm dünya için mali kriz niteliği taşır. Birbirine domino taşları gibi yakın bu mali yapının herhangi bir yerinde yaşanacak sıkıntı, diğer tüm taşların yerinden oynamasına neden olmaktadır. Bu ve benzeri pek çok sebep yüzünden özel sektörle kamu sektörünün web üzerinde şüpheli hareketleri izleme konusunda işbirliği içinde olması gerekir. Teknolojik olarak ileride olan ülkelerin, gelişmekte olan ülkelerle işbirliği içinde olması bir yana teknik destek bağlamında özel uzmanlarını görevlendirerek, organize örgütlerin ve terör örgütlerinin faaliyetlerinin takibi ve alınması gereken önlemlerin tespiti için daha da istekli olması şarttır. Kamu ve özel sektörden ziyade, sivil toplum örgütlerinin ve bireylerin de, bu tür eylemlerin aydınlatılması veya takip edilmesini kolaylaştırma adına, fark ettikleri şüpheli durumları yetkililere bildirmesi için ödüllendirme şeklinde bir yapılanmaya gidilebilir. Bilginin internet yolu ile özgürleşmesi, elbette daha demokratik toplumların yeşermesi anlamında parlak bir gelişmeyse de, organize örgütler ve terör örgütleri için iletişim ve diğer tüm imkanlar kapsamında faydalanılabilir bir uygarlıktır da. Ulusal güvenlik, suçların takibi ve uluslararası terör örgütlerinin faaliyetlerinin incelenmesi ile bireysel özgürlükler arasında bir dengenin kurulması, kamu ve özel sektörle birlikte, sivil toplum kuruluşları ve bireylerinde içinde bulunacağı bir ortak komisyonla mümkündür. 2.2. SİBER SUÇLARLA MÜCADELEDE KARŞILAŞILAN ZORLUKLAR VE ÇÖZÜM ÖNERİLERİ Pek çok ticari amaçlı geliştirilen bilgisayar yazılımı, güvenlik gereksinimlerinden yoksun olarak üretilmektedir. Bu tür eleştirilere cevap olarak, yazılım endüstrisi daha güvenli ürünler üretebilmek amacıyla mühendislerle birlikte çalışmaya önem verdiklerini ifade etmektedirler. Örneğin Microsoft, özel bir Güvenlik Tepki Merkezi (Security Response Center) oluşturmuştur. Bu merkez ABD Savunma Bakanlığı (Department of Defance – DoD), endüstri ve hükümet liderleriyle birlikte çalışmakta, yeni ürünlerin güvenlik yazılımını geliştirmek amacıyla işbirliği yapmaktadır. Buna rağmen, pek çok yazılım endüstrisi yetkilisi, yazılım güvenliği geliştirme yatırımlarının gelecekte hayata geçecek ürünlerin kompleks yapısından ötürü, yeterli 124 olmayacağını ve yazılımların zayıf noktalara sahip olacağını ifade etmektedir (TUTCS, 2004: 6 – 17). Yazılım güvenliğinin yetersizliği bir yana, içeriden gelecek tehditlere de zamanında tepki vermenin zorluğu ortadadır. Dışarıdan gelecek saldırılara karşı kurulan güvenlik çemberleri ve güvenlik kapılarına rağmen içeriden gelecek olan saldırılara veya sızmalara karşı geliştirilen tedbirler yetersiz kalmaktadır. 2003 Ocağında ABD Sikorsky Aircraft Şirketi çalışanlarından yirmi işçi, gizli ve önemli askeri teknolojileri içeren birimlere, hazırladıkları sahte kimlikleri kullanarak gizli giriş imkanı sağladıkları için tutuklanmışlardır. 2004 Nisanında gözaltına alınan işçilerden biri hariç diğer tüm şüpheliler suçlu bulunarak tutuklanmışlardır. Şirketin iç güvenlik sızmasını tespit edene kadar geçen sürede dışarıya çıkan gizli bilgileri düşündüğümüzde, iç tehditlerin ne derece önemli olduğunu kavramamız gerekir. Kaldı ki ekonomik istihbarat amacıyla girişilen bu saldırı, siber bir terör saldırısı içinde düşünülmüş olabilirdi. Hava araçlarının kontrolü için oluşturulan dijital beynin, teröristler tarafından içine yüklenen bir yazılım neticesi savaş alanında tek bir kurşun atmadan birer birer düşmesi, neredeyse sıfır maliyetle büyük bir bozguna sebebiyet verecektir. Buna benzer bir olayda 1996 yılında yaşanmıştır. Olayda Dışişleri Bakanlığında görevli yazılım uzmanı Ronald Hoffman, geliştirilen gizli yazılımları, Nissan Motor Company, Mitsubishi Electric, Mitsubishi Heavy Industries ve Ishikawajima – Harima Heavy Industries gibi Japon Stratejik Savunma Eşgüdüm İnisiyatifine satmıştır. Hoffman, yazılımları sivil havacılık projelerinde kullanan müşterilerinden elde ettiği 750.000 dolar para ile yakalanmıştır (Vaknin 2003). Yazılımlar periyodik olarak yama ve güncelleme programlarıyla yenilense de, kurumsal bilgisayarlarda kullanılan yazılımların güvenlik yamaları zamanında yüklenmemekte, kimi zaman yeni yamalar çıktıktan haftalar veya aylar sonra bilgisayarlara bu yamalar kurulmaktadır. 2007'nin ikinci yarısında Mozilla browserında 88, Safari'de 22, İnternet Explorer'da 18 ve Opera'da 12 zayıf nokta rapor edilmişken, geçen periyotta Internet Explorer'da 39, Mozilla' da 34, Safari'de 25, Opera'da ise 7 açık tespit edilmiştir. Symantec 2007'nin ikinci yarısında 9 ilk gün açığı raporlamıştır, 2007'nin ilk yarısında ise bu sayı altıdır (Symantec, 2008: 6). Bu 125 tür açıkların bilinen en büyük yazılım firmaları tarafından bile önlenemediği, zaman içinde geliştirilen yamalarla bu açıkların kapatıldığı görülmektedir. Ayrıca bir araştırmaya göre, 2000 bilgisayar kullanıcısının % 42’si Blaster virüsünü durduracak yazılımı, yazılım şirketi yazılımı yayınlamış olmasına rağmen yüklemediğini, % 23’ü düzenli olarak yazılım güncellemesi yapmadığını, % 21’i anti – virüs programını güncel tutmadığını, % 70’i ise kendi şirketleri tarafından Blaster virüsü konusunda uyarılmadığını söylemiştir (Vijayan, 2003). Bununla birlikte güvenlik yazılımları veya yamaları kurulum esnasında çok fazla zaman harcamaktadırlar ve ayrıca bilgisayarın işlem hızını da yavaşlatmaktadırlar. Bu sebeple özellikle büyük şirketler ve firmalarla, kamu kurum ve kuruluşları bu tür yazılımlarla zaman harcayıp, işin yavaşlamasını istememektedir. Geri plana atılan güvenlik anlayışı ise çoğu zaman daha büyük zaman kayıplarına, bununla birlikte mali kayıplara ve hizmet aksaklığına sebebiyet vermektedir. Siber saldırılar ve siber suçların yoğunluğu ve sayısında giderek artan oranda yeni metotlar ortaya çıkmaktadır. Örneğin Cooperative Association for Internet Data Analysis tarafından yapılan bir çalışmaya göre 25 Ocak 2003’te SQL Slammer virüsü (Sapphire olarakta bilinmektedir), dünya çapında zayıf noktasını tespit ettiği bilgisayarların % 90’ına internet üzerinden on dakika içinde yayılmayı başarmıştır. İnternet tarihinde o güne kadar yayılan en hızlı virüs olma özelliği ile Slammer virüsü kendini her 8,5 saniyede bir ikiye katlamış ve saniyede 55 milyon tarama hızına yaklaşık olarak üç dakika sonra ulaşmıştır. Bu virüs çok güçlü bir hasar bırakma özelliğe, uçuşların iptal edilmesine ve ATM cihazlarında hatalara neden olmuştur (Dakss, 2003). Siber suçluların yalnızca %5’inin yakalandığı ve mahkûm edildiği tahmin edilmektedir. Çünkü anonim bir yapıya sahip web aktivitesinin bu yapısı suçluların yakalanmasını zorlaştırmaktadır ve siber suçla, suçlu arasındaki bağlantının mahkemede ispatlanması oldukça zordur. Her ne kadar kanun uygulayıcılar gizliliğin devam ettirilmesinin şirketlerin yaşamlarını uzun tutma anlayışına uygun olmadığını dile getirse de, çalışmalar siber suç olaylarının nadiren bildirildiğini, özellikle şirketler tarafından müşterilerinin güvenini kaybetme olasılığı ve negatif bir imajdan kaçınma sebebiyle bu tür olayların bildirilmediğini göstermektedir. 2006’da 126 gerçekleştirilen RSI bilgisayar Güvenliği Konferansında, kanun uygulayıcılar, akademik çevre ve özel sektörün işbirliğinin, siber suçu anlama ve azaltmada anahtar rol oynadığını dile getirmiştir. Caydırıcı yasal tedbirlerin alınması noktasında, hükümet kurumlarının sırtına büyük yük binmektedir. Örneğin, Singapur hükümeti tarafından 2004 yılında çıkarılan Bilgisayar Suiistimal Yasası (Computer Misuse Act), kanun uygulayıcılara, suçun önlenmesi amacıyla büyük yetkiler kazandırmıştır. Her nekadar bu yasal düzenleme eleştirilere maruz kalsa da, ağır yaptırımları ile suçun önlenmesi için atılan önemli bir adım olmuştur. Bir web sitesinin hacker tarafından ara yüzünün değiştirilmesi bile, üç yıldan fazla hapse veya 10.000 dolar cezaya sebep olmaktadır (ZDNet UK, 2004). Her yıl Bilgisayar Güvenliği Enstitüsü (Computer Security Institute – CSI), FBI’ında desteğiyle Amerikalı kamu ve finans kurumları ile üniversitelerden binlerce güvenlik uzmanı tarafından yürütülen bir çalışmaya ev sahipliği yapmaktadır. Yıllık olarak yayımlanan CSI/FBI Bilgisayar Güvenliği Suçu ve Güvenlik Araştırması, kaynak olarak en geniş kullanıcı bilgisine sahip bir araştırma olarak, ne kadar bilgisayar suçunun meydana geldiği ve bu suçların ne kadara mal olduğuna dair en iyi bilgileri vermektedir. 2006 yılında yayımlanan rapora göre, güvenlik ihlallerinden ötürü oluşan ortalama maliyet 167.713 dolardır ve geçen seneye nazaran % 18’lik bir azalma meydana gelmiştir. 2005 yılında meydana gelen olaylardan ötürü maliyetin ortalama 203.606 dolar olduğu belirtilmektedir. Bununla birlikte bazı araştırmacılar, CSI/FBI tarafından yayımlanan analizlerin soru işaretleriyle dolu olduğunu, çünkü araştırmanın metodolojisinin istatistiksel olarak geçerli olmadığını ifade etmektedir (Brenner, 2006b). Bunun sebebinin ise araştırmanın CSI üyeleri ile sınırlı olduğu, ek olarak 2006 CSI/FBI araştırmasına konu şirketlerin meydana gelen güvenlik ihlali olaylarını, 2005 yılında yayımlanan rapora göre daha az göstermek için sumen altı yaptığı ve bu tür olayları gizleme anlayışının devam ettiği ifade edilmektedir. İstatistiksel verilerin sağlıklı olmayışı, bilgisayar suçlarının maliyeti ile sayısal ve çeşitlilik yönünden bilgisayar güvenliği ihlallerinin yoğunluğu konunun gerçek boyutunu anlayamamamıza sebep olmaktadır. Botnetlerin ve sofistike zararlı yazılımların kullanımındaki artış, raporlanan siber suçlardan yüzde olarak çok daha fazladır. Bununla birlikte yüzde olarak daha da artmakta ve hem botnetler hem de 127 kompleks zararlı yazılımlar çoğalmaktadır. Pek çok siber saldırı, kurum tarafından bir saldırı olduğu anlaşılamadığından veya anlaşılsa bile bunu kamuoyu ile paylaşıp, böyle bir tecrübe yaşadıklarını dile getirmeye istekli olmadıklarından dolayı bildirilmemektedir. CERT/CC (Computer Emergency Readiness Team/Coordination Center) 43 meydana gelen siber saldırıların % 80’inden fazlasının bildirilmediğini tahmin etmektedir (Dacey, 2003: 7). Kanun uygulayıcılar siber suçluların elde ettiği gelirleri takip etme konusunda çok az mesafe kat ettiklerini kabul etmektedirler. Siber suçlular bu duruma karşılık, online alış veriş servisleri vasıtası ile kanun uygulayıcılar fark etmeden gelirlerini aklamaktadır. PayPal ve E – Gold gibi online servisler suçlular tarafından en çok tercih edilen servislerdir. Intermix Media adlı kuruluş, kişisel bilgisayarlardan kullanıcı bilgilerini casus yazılımlar yayarak gizlice elde ettiği için 7,5 milyon dolar cezaya çarptırılmıştır. Buna rağmen bu casus yazılımları kullanan siber suçlular, her yıl milyonlarca dolar kazanmaktadır. Siber suç uluslararası bir konu olmasına rağmen, ülkeden ülkeye bile siber suçlarla ilgili düzenlemeler değişmektedir. Siber suç Sözleşmesi, 43 ülke tarafından oluşturularak Strasburg’ ta faaliyet gösteren Avrupa Konseyi tarafından 2001 yılında kabul edilmiştir. 2004 yılında uygulamaya sokulan sözleşme, internet ve diğer iletişim ağlarının izinsiz ihlaline yönelik kabul edilen ilk ve tek uluslararası sözleşmedir. Sözleşmeye göre, katılımcı ülkeler kendi kanunlarını hacking, fikir eserlerinin korunması, bilgisayar bağlantılı dolandırıcılık, çocuk pornografisi ve diğer siber bağlantılı aktiviteler konusunda güncelleme ve birbirine yakın hale getirme gereksinimi bulunmaktadır. 44 ABD, sözleşmeyi imzalayıp kabul etmiş olmasına karşın, internet üzerinden yapılan ırkçılık ve yabancı düşmanlığı suçlarını içeren protokolü anayasa ihlali olacağı görüşüyle imzalamamıştır (Dumount, 2004). 43 Bilgisayar Acil Durum Müdahale Timi/Koordinasyon Merkezi, ağları ve sistemleri korumak için uygulanması gereken faaliyetleri beş ana başlık altında toplamıştır. Bu başlıklar; 1- Koruma ve Sağlamlaştırma, 2- Hazırlık, 3- Tespit, 4- Müdahale, 5- İyileştirme’dir. İlk başlık hariç diğer başlıkların uygulanmasından sonra geri dönüşüm (feedback) sağlanır. CERT/CC bu temel uygulama yol haritasını geçmiş yıllarda yaşanan güvenlik problemlerinden edindiği tecrübeye göre hazırlamıştır ve uygulamalara uyulması halinde güvenlik ihlallerinin %80’inin meydana gelmeden önleneceğini düşünmektedir. 44 Convention on Cybercrime CETS No. 185 adlı belgeye bu adresten ulaşılabilir: http://conventions .coe.int/Treaty/Commun/QueVoulezVous.asp?NT=185&CM=8&DF=18/06/04&CL=ENG 128 Türkiye bu sözleşmeye tarafa devletlerden biri değildir ve ikinci bölümde ülkemizdeki durumla, sözleşmeye taraf devlet arasındaki uyum konusu değerlendirilecektir. Bundan önce değerlendirilmesi gereken somut bir nokta vardır. Bu nokta, uluslararası işbirliği mecburi olan siber suçların, 2001’de imzalanan ve 2004’te yürürlüğe giren bu sözleşme hariç ortak bir paydası yoktur. Bilindiği gibi, siber suçlular gerçekleştirecekleri eylemleri farklı merkezler üzerinden de gerçekleştirebilmektedirler. Brezilyalı bir hacker oturduğu yerde kahvesini içerken bilgisayarından, Kongo’daki Rusya Büyükelçiliği bilgisayar sistemine girerek bu sistem üzerinden, Japonya’da faaliyet gösteren bir araba fabrikasına sibersaldırı düzenleyebilir. Yukarda değinilen durumdan çok daha karmaşık olayların meydana geldiğini belirtmek yerinde olacaktır ve işte bu durum uluslararası işbirliklerini kaçınılmaz kılmaktadır. Politika ve strateji olmaksızın bu hızlı sosyal yaşama ayak uydurmak mümkün görünmemektedir. Yeni nesil bu sosyal yaşam alanı, katı ve sınırları olan bir anlayışla anlamlandırılamaz. Ulusal politikaların oluşturulması kapsamında ülkemizde, bilişim teknolojisi ve siber suçların değerlendirilmesi için, aşağıda belirtilen hususlara dikkat edilmesi yerinde olacaktır; 1- Yazılan yerel yazılımların güvenliğinin korunması amacıyla, teknik destek ve güncelleme bağlantılarının, kullanıcılar ve üretici firma tarafından aksatılmaması için yazılımın tanıtımı amacıyla ufak brifinglerin hazırlanması, firma tarafından güncel saldırı durumlarının tespiti ve zamanında kullanıcılara aktarımının sağlanması, 2- İçeriden gelecek tehdit algılamalarının yapılarak, gerekli güvenlik önlemlerinin alınması, kademeli ve iç içe geçmiş güvenlik duvarlarının (ISO/IEC 15938 veya ISO/IEC 21001 tarzı güvenlik kurulumu) uygulanması ve bir standart haline getirilmesi, 3- Özellikle kamu kurum ve kuruluşları ile stratejik öneme sahip kurum ve kuruluşların güncel güvenlik yapılanmalarını takip etmesi, güvenlikten hiçbir zaman ve safhada kısıtlama yapmaması, bu durumu personele verilecek olan eğitimlerle desteklemesi, 129 4- Devlet teşekkülleri, özel sektör ve bilimsel çevrenin alınabilecek önlem ve geliştirilebilecek teknolojileri sivil toplum kuruluşlarını da içine dâhil ederek düşünmesi, uzun ve kısa vadede stratejiler oluşturması, 5- Adli bilişim konusunda yetişmiş uzman personelden faydalanılması, bu konuda yetenekli kişilerin eğitim alarak ulusal yargı alanına kaydırılması, hali hazırda adli konuda görevli personelin eğitimlerinin devam ettirilmesi, adli bilişimde sürekli gelişimin ulusal politika anlayışı içinde değerlendirilmesi, 6- Değil ulusal, kurumsal bir siber saldırı cevap birimimiz bile bulunmamaktadır. CERT tarzı bir yapılanmanın, Başbakanlık veya MİT Müsteşarlığı bünyesinde kurulması, bununla birlikte ülkenin güvenlik kurumlarında da bu tür bir yapının hazır olması gerekmektedir. Uluslararası işbirlikleri çerçevesinde düşünülmesi gereken bu organizasyonun, ufak bir birim olmaktan ziyade, iyi derecede temsil için en az şube müdürlüğü veya daire başkanlığı nezdinde faaliyet göstermesi gerekmesi, 7- TİB tarafından, Emniyet Genel Müdürlüğü ve Jandarma Genel Komutanlığı siber suç verileri toplanmalı, artış ve eğilimlere yönelik sağlıklı bilgilerin elde edilmesi sağlanmalıdır. Sağlıklı bilgiler olmadan yapılacak işlemlerin havanda su dövmekten farkı yoktur. Geliştirilecek stratejiler eldeki verilere göre hazırlanacağından, adı geçen kurumların kendi sorumluluk alanlarında meydana gelen olayları ve özelliklerini tam ve net bir şekilde aktarması gerekmektedir. Kendi sorumluluk bölgesinde yaşanan olayların fazlalığı veya azlığı nedeniyle, suç sayılarını gizleme veya arttırma ulusal stratejilerin başından yanlış yürütülmesine sebep olacağından, bu tür kurumlararası çatışmalarında ortadan kaldırılması gerekmektedir. Aynı şekilde özel sektör alanında da, meydana gelen siber suç konularının gizlenmemesi gerektiği yapılacak olan seminer ve toplantılarla ilgililere anlatılmalıdır. 8- Ülkemizdeki iletişim altyapısı giderek özel sektöre doğru kaymaktadır. Devlet tekelinden çıkıp özel sektör yapılanmasına giden bu alt yapının güvenliğinin ve takibinin daha da zorlaşacağı aşikârdır. Bu sebeple yukarıda değinilen konuların, ülkemizde henüz gelişmekte olan internet altyapısına adapte edilmesi gerekmektedir. Rusya ve Çin gibi ülkelerin tekelden yönettiği ve hem kontrolünün hem de koordinesinin kolay olduğu yapılar tarafından, sanal dünyamızın tehdit altında 130 tutulmaması için elzem konuların bir an önce hayata geçirilmesi gerekmektedir. Sektörel zafiyetlerin ulusal çıkarlara yapacağı olumsuz etkilerin minimuma indirgenmesi, hasarın en kısa sürede düzeltilmesi ve karşı tepki hızının geliştirilmesi için, özel ve kamu sektörü arasında oluşturulacak koordinasyonun aksatılmaması, politika anlayışı içinde olmak zorundadır (Greenemeier, 2007). Gelecekle birlikte fiber kablolara olan bağımlılığımız şüphesiz daha da artacaktır. Bilişim teknolojilerine olan bağımlılık sebebiyle kurumlar arası karşılıklı bağımlıklarında artması kaçınılmazdır. Ülkelerarası savaş durumları ve ulusal güvenlik politikaları kapsamında atılması gereken adımlar vardır. Özellikle siber savaş olarak bilinen bilgi savaşlarına yönelik önleyici tedbirlerin, ulusal çıkarlar kapsamında ele alınması önem arz etmektedir. Ülkemiz adına siber savaş durumuna ve bilgi savaşlarından korunmaya yönelik olarak ivedilikle, a) İnternet ve IP adres temelli sistemlerin ve diğer sistemlerle olan karşılıklı bağımlılığın tespit edilmesi, b) Sistemin konumunu ve sorumluluğunu, açıkların tespitini ve düzeltilmesini, tehdidin minimuma indirilmesi ve karşı tepkinin verilmesini içeren kapsamlı bir koruma planının geliştirilmesi, c) Geliştirilecek yazılımların, geleceğe yönelik bilgi güvenliğinin, ağ sistemlerinin ve mobil iletişim teknolojisi alt yapılarının güvenliğine yönelik tedbirlerin alınması gerekmektedir. 131 ÜÇÜNCÜ BÖLÜM TÜRKİYE ULUSAL BİLİŞİM POLİTİKASI 3.1. TÜRKİYE’DE BİLİŞİM POLİTİKASI Türkiye ile AB arasında uzun yıllar tam üyelik müzakereleri için yürütülen diplomasi çalışmalarının bir meyvesi olarak, 3 Ekim 2005 günü Lüksemburg’da toplanan AB Hükümetlerarası Konferansı’nda alınan kararla müzakerelerin başlamasına onay verilmiştir. AB’nin Müktesebatının 35 Kopenhag maddesinden Kriterleri’nin biri olan önemli bir ayağı Telekomünikasyon olan ve AB Bilişim Teknolojileri Politikası’nın (TBTP) Türkiye için önemi ve gelinen aşamada yaşanan problemlerle bu problemlerin aşılması konusunda çözüm aramak amacıyla, ülke kapsamında ulusal politikalar oluşturmak üzere değişik çalışmalar sürdürülmektedir. Bilgi toplumu projeleri bağlamında, toplumun unsurlarından biri olarak kabul edilen iletişimin, bilişim teknolojileri politikaları ile birlikte anılması tesadüfî bir olgu değildir. AB’nin temel amaçları içerisinde olan bilişim toplumunun oluşturulması ve şekillendirilmesi çalışmaları, temel politikalara yansıdığı gibi, bilişim teknolojileri politikalarının şekillendirilmesi hedefleriyle de desteklenmektedir. Bilişim sektörünün özgür (rekabetçi), güvenli ve gelişmelere açık bir şekilde oluşturulması kapsamında, teknolojinin daha hızlı ve ucuz hale getirilmesi çalışmaları bir alt yapı ve alt yapının desteklenmesi politikalarının gerekliliğine işaret eder. Ülkemizde ise durum, bu politikaların oluşturulmasında, yani sorunun çözümünün başında bir sorun olarak karşımıza çıkmaktadır. Dolayısı ile sorun strateji ve politika oluşturmakta değil, oluşturulan bu strateji ve politikaların uygulanabilirliği ile uygulama iradesindeki isteksizliktedir. Hâlbuki, ulusal bilgi politikalarının üretilmesi, yönetilmesi, işlenmesi, erişilmesi ve kullanılması yine ulusal yasalarla korunmasına ve denetlenmesine bağlıdır. Politikalar genel manada ulusal üretimin ve kalkınmanın üst seviyeye çekilmesi amacıyla planlandığı için, bilgi politikalarında da tabana yayılma hedef 132 alınmalıdır. Bunun için politikada bir bütünlük, süreklilik ve siyasi dirayet gerekir. Böylece sosyal alanlarda halkın bilinçlenmesi ve teşviki sağlanır, taban desteği görmeyen politikaların alışılageldik başarılar elde edebilmesi zor görünmektedir (McClure ve Dugan, 1996: 216). Ulusal bilgi politikalarının oluşturulması içinse tüm enstrümanları yönetecek bir kurumun varlığı gerekmektedir. Kaldı ki milli politika bilgiyi kullanan, alan, işleyen, yön veren kişilerin/uzmanların, teknolojinin kendisinin, yasal çerçevenin, mali giderlerin ve elde edilebilecek gelirin son olarak kurumlar arası işbirliğinin ne seviyede olduğu ile de yakından ilgilidir. Bilgi politikaları düzenlenirken önceliğin ulusal kalkınmaya mı yoksa ulusal bilinçlenmeye mi verileceği konusunun netlik kazanması gerekmektedir. Aslında bilgi altyapısından ne anladığımız bu sorunun cevabıdır. Bilgi altyapısı olmadan bilgi politikası oluşturulamayacağı hemen hemen tüm akademisyenlerin hem fikir olduğu konu iken, altyapıdan ne anlaşıldığı bir bilim adamından bir başka bilim adamına göre değişmektedir (Gülle, 1991: 99). Altyapı, teknolojik bir takım gelişmeleri, araç – gereç ve bağlantı sistemlerini ifade edebileceği gibi, ulusal bilinci, etik anlayışı, yasal alt yapıyı ve denetim mekanizmasını da ifade edebilmektedir. İşte bu noktada bilim adamları fikir ayrılığına düşmekte, teknolojiye önem verme noktasında bilinci geri planda bırakmakta ve yanlışa düşmektedirler. Üretebilmeyi, yasal düzen içinde çalışma ahlakını korumayı, milli bilişim sektörüne katkıda bulunabilmeyi öğretebildiğimiz takdirde bir altyapıdan bahsetmek mümkündür, aksine üretimi tamamlanmış son teknoloji araçları kullanıcının eline vermek, sadece ağlar kurarak sistemin tüm ülkeye yayılmasını sağlamak, tüketimi körükleyici tamamen kapital düzene has reklamlara göz yummak, ulusal altyapının tamamlanmasına yetmez. Güvenli kullanımdan Ar – Ge çalışmalarına, üretimden pazar oluşturmaya kadar pek çok sacayağı eğitimle birlikte bilişim politikasının temel altyapısını teşkil etmelidir. Bahsettiğimiz altyapı sürecini tamamlamış ülkelerin, bilişim altyapısını tamamlayamayan ülkelere göre; ekonomik büyüme ve verimlilik, yeni iş sahalarının kurulması ve istihdam, Ar – Ge çalışmalarına verilen önem sonucu teknolojik liderlik, ulusal sermayenin ve beyin göçünün önlenmesi, hizmet sektörlerinin kalitesinin artması ve az maliyetle ulaşılabilmesi, bilinçli ve eğitimli bireylerin yetişmesi, kamu hizmetlerinin verimli ve kaliteli hale gelmesi konularında daha 133 avantajlı olacağı altı çizilmesi gereken önemli bir husustur (Gülle, 1991: 99). Yaşam kalitesindeki artışın suç oranının azalmasına, terör örgütlerinin yürüttüğü karşı propagandaya büyük darbe vurulmasına ve terörist unsurların olmazsa olmazı olan halk desteğinin tamamen olmasa da azımsanmayacak derecede azalmasına sebep olacağı unutulmamalıdır. Bununla birlikte terör örgütleri içerisinde faaliyet gösteren bireylerin, ülkede cereyan eden standart üstü yaşam anlayışından etkilenerek eylemlerinden vazgeçmesi, örgütten kurtularak teslim olması, kartopu etkisi ile örgüt içerinde iç dinamiklerin çökmesi ve toplu silah bırakmalara kadar gidecek zincirleme bir reaksiyonun yaşanması içten bile değildir. Bahsettiğimiz önermeleri uzatmak mümkündür fakat konunun özünün insanların yaşam standardına bir değişiklik getirerek arttırılmasını sağlamak ve böylece terör ideolojisinin önüne geçebilmek olduğu unutulmamalıdır, bunun en büyük destekçisi ise bilişim alanında yeni iş sahaları yaratarak ulusal sermayenin geliştirilmesidir. Bilgi alt yapılarının düzenlenmesinin ardından gelecek için düşünülen politikaların oluşturulmasına esas olacak unsurlar için önem sırasına göre bir sıralama yapılması gerekir. Bu sıralamada, bilgi teknolojilerinin alt yapısının oluşturulmasında maliyet analizi ilk sırada olmalıdır. Bilgi politikalarının oluşturulması aşamasında gereken finansal ihtiyaç ve bilişim teknolojilerinin üretimi, dağıtımı ve kamu sektörü ile özel sektörde kullanımı sonucu oluşacak maliyet, maliyet analizinin kapsamını oluşturur. Ardından bilişim suçlarına yönelik mevzuatın oluşturulması, yasal çerçevenin çizilmesi, bilişim teknolojisinin gelişmesine katkı sağlayacak ve olası sorunlara cevap bulabilecek eğitimli profesyonellerin yetiştirilmesi, teknolojinin kullanıcılara ulaştırılması ve son olarak sivil inisiyatif örgütlerinin önünün açılması, politika oluşumu içinde söz hakkının verilmesi gerekmektedir. Politika yapıcıların yukarıda zikrettiğimiz unsurlara aynı hassasiyeti göstermesi, devamlılık açısından önemli olduğu kadar, inandırıcılık açısından da önemlidir. Bilginin hızlı bir şekilde üretimi ile zamanlaması ve tüketimi, globalleşen dünyada bütün ekonomik ve sosyal faaliyetleri etkilemektedir. Bilginin ekonomik faaliyetleri etkilediği durumlarda karşımıza bilgiye dayalı ekonomiler ve bilgiye dayalı ekonomilere sahip toplumlar çıkmaktadır ki bu toplumlara bilgi toplumu 134 denmektedir. Türkiye’de, gelecek için kalkınmanın oluşturulacak bilim politikaları ile gerçekleşeceğini erken fark eden ülkelerdendir. Gelecek için ulusal politikaların oluşturulması anlayışı 1961 Anayasası ile kurulan Devlet Planlama Teşkilatı (DPT)’na kadar uzanmaktadır. DPT’nin ilk kalkınma planı olarak hazırladığı bilimsel çalışma 1963 yılında yürürlüğe girmiştir ve ulusal bilim ve teknoloji politikalarının bir merkezden yürütülerek, kalkınmanın hız kazanmasını sağlamak için Türkiye Bilimsel ve Teknik Araştırmalar Kurumu (TÜBİTAK)’nun kurulması planlanmıştır. Böylece 1964 yılında ulusal bilim politikalarının oluşturulmasını hedefleyen ilk kurum faaliyete geçmiştir. TÜBİTAK sadece bir bilim ve teknoloji koordinasyon kurumu olarak kalmamış, kendi bünyesinde araştırma faaliyetleri de yürütmüştür. TÜBİTAK tarafından yapılan araştırmaların başında, ulusal bilim politikalarının hazırlanması gelmektedir. Kurum bünyesinde politikaların oluşturularak takip edilebilmesi amacıyla, Bilim ve Teknoloji Politikası Dairesi Başkanlığı (BTPD) kurulmuştur. Bütün bilim dallarını kapsayan bir bilim politikası oluşturulması gayesiyle daha sonra ki aşamada, Türkiye Bilimler Akademisi (TÜBA) kurulmuştur (1993). 3.1.1. Ulusal Bilişim Politikasının Tarihi Gelişimi ve Mevcut Durum Tarihsel süreç içerisinde değerlendirdiğimizde, ülkemizde bilim ve teknoloji alanında bir politika izleme arayışı planlı dönem denilen beş yıllık kalkınma planlarının yürürlüğe girmesiyle birlikte başlamıştır. I. Beş Yıllık Kalkınma planı ile kurulan TÜBİTAK bu arayışın ilk sinyalleridir. 1963 yılında faaliyetlerine başlayan TÜBİTAK bilim ve teknoloji politikalarının oluşturulmasında katalizör bir rol oynamıştır. Devam eden kalkınma planlarında da teknolojik gelişme ve transferi konuları ele alınmışsa da, bir politikadan söz etmek için IV. Beş Yıllık Kalkınma Planının beklenmesi gerekmiştir. Söz konusu politika içeriğinde teknoloji politikalarının sanayi, yatırım ve istihdam politikaları ile birlikte ele alınması gerekliliğine değinilmiştir. Böylece bazı alanlarda faaliyet gösteren sektörel kuruluşların kendi teknolojilerini üretmesi öngörülmüştür (TÜBİTAK, 1999). Sorun olarak rapora geçen noktalar ise, Ar – Ge faaliyetlerine yetersiz kaynak aktarımı, ulusal bir bilim ve teknoloji sisteminin oluşturulamaması, sektörel anlamda sanayi faaliyeti gösteren kuruluşlarla, Ar – Ge kuruluşları arasında oluşmamış bir işbirliği, 135 transfer edilen teknoloji ile ekonominin devamının sağlandığı ve teknoloji transferinin yüksek maliyet sorunlarıdır (Göksel, 2004: 1 – 2). Ülkemizde bilişim politikalarının oluşturulması ve oluşturulan politikaların uygulanabilmesi için atılan esaslı ilk adım ise, 77 sayılı Kanun Hükmünde Kararname’nin 18181 sayılı Resmi Gazete'de yayımlanması ile 4 Ekim 1983 tarihinde yürürlüğe giren Bilim ve Teknoloji Yüksek Kurulu’nun oluşturulmasıdır. Yüksek Kurul'un oluşumunu düzenleyen 3'üncü madde ile kararların uygulanmasına ilişkin 5'inci madde, 18 Kasım 1989 tarih ve 20336 sayılı Resmi Gazete'de yayımlanan 391 sayılı Kanun Hükmünde Kararname ile değiştirilmiştir. Kurulun başlıca görevleri; 1. Türk Bilim Politikasının yürütülmesi, uzun vadeli Bilim ve Teknoloji (BT) politikalarının tespitinde hükümete yardımcı olunması, hedeflerin saptanması, 2. Öncelikli araştırma ve geliştirme alanlarını belirlemek, bunlarla ilgili plan ve programları hazırlamak, koordinasyonu sağlamak, 3. Araştırma – geliştirme alanındaki plan ve programlar doğrultusunda kamu araştırma kuruluşlarını görevlendirmek, gerektiğinde özel sektörle işbirliği yapmak ve özel sektörle ilgili teşvik edici ve düzenleyici tedbirleri saptamak, 4. Bilim ve teknoloji sisteminin etkinleştirilmesi ve geliştirilmesi amacıyla bilim ve teknoloji alanındaki yasa tasarılarını ve mevzuatını hazırlatmak, araştırma merkezlerinin kurulması için tedbir almak, 5. Araştırıcı insan gücünün yetiştirilmesi ve etkin bir şekilde kullanımı için gerekli önlemleri saptamak ve uygulanmasını sağlamak, olarak sıralanmıştır. Bilim ve Teknoloji Yüksek Kurulu, Başbakanın başkanlığında, ilgili Devlet, Milli Savunma, Maliye, Milli Eğitim, Sağlık, Orman, Tarım ve Köy işleri, Sanayi ve Ticaret, Enerji ve Tabii Kaynaklar Bakanları ile YÖK Başkanı, Devlet Planlama Teşkilatı Müsteşarı, Hazine ve Dış Ticaret Müsteşarları, TÜBİTAK Başkanı ile bir yardımcısı, TAEK Başkanı, TRT Genel Müdürü, TOBB Başkanı ve YÖK’ün belirlediği bir üniversitenin seçeceği bir üyeden oluşur. Yasayla yılda en az iki defa toplanması planlanan Yüksek Kurul’un ilk toplantısı, 9 Ekim 1989’da yapılmıştır (TÜBİTAK, 2007). 136 Bilim ve Teknoloji Yüksek Kurulu (BTYK), 3 Şubat 1993 günü yaptığı ikinci toplantıda, 1993–2003 yıllarını kapsayan Türkiye Bilim Politikası dokümanını kabul etmiştir. Bu doküman kapsamında hedefler, öncelikli alanlar ve bu hedeflere erişmek için alınması gereken önlemler de tespit edilmiştir (TÜBİTAK, 2003: 3). O tarihte kaleme alınan bu toplantı raporunun içinde telaffuz edilen bilişim kelimesi, geliştirilmeye çalışılan politikanın ne kadar ileri görüşlü olduğunun aslında bir ispatıdır. Gelişen çağa ayak uydurmak, ekonomik düzen dâhil hemen tüm alanlarda etkisini attırmaya başlayan bilişim teknolojilerinin o dönem içerisinde görülmesi ve buna karşı önlem alınması kapsamında öncelik verilerek çalışmalara başlanması günün koşulları altında alınan çok önemli konulardır. Görüldüğü gibi esasında, AB politikalarından çok daha eski bir tarihte benimsenmiş olan bu politikaların, sayılan amaçların tamamında ağırlıklı olarak görülen yetişmiş personel ve AR – GE desteği ile teşvik edilmesi ve o yıllarda düşünülerek kanunlaştırılması, atılan adımların ne kadar büyük, günümüzdeki durum göz önüne alındığında ise uygulamaların ne derece küçük kaldığının bir göstergesidir. Bilişim Sektörü ile ilgili olarak hazırlanan politika metnine göre, Türkiye'nin bilişimden gerekli faydayı sağlayabilmesi için: 1. İnsan gücü yetiştirilmesi, 2. Kamu sektörünün öncülüğünde bilişim teknolojilerinin yaygınlaştırılması, 3. Yasal düzenlemelerin yapılması, 4. Bilişim teknolojileri araştırma ve geliştirme projelerinin desteklenmesi ve hedeflerinin belirlenmesi konularında çalışmalar yapılması karara bağlanmıştır. Ayrıca alınan önlemlerle, a. İç pazarda bir rekabet ortamının oluşması ve özel sektörün üretime ve Ar-Ge faaliyetlerine katılımının arttırılması, 137 b. Üniversitelerde lisans düzeyinde, fen dallarından kaçışı durduracak ve bu dallara yönelimi teşvik edecek önlemlerin alınması, c. 1992 yılında uygulamaya konulan ve büyük başarıyla sürdürülen eski Sovyetler Birliği'nden bilim adamı getirme programının kapsamının genişletilerek devam ettirilmesi, d. Küçük ve orta ölçekli işletmelerde araştırma geliştirme faaliyetlerinin özendirilmesi, e. Türkiye'de yatırım yapan çok uluslu şirketlerin ülkemizde araştırma – geliştirme birimleri kurmalarının özendirilmesi, f. Üniversiteler ve araştırma kurumları ile sanayi arasındaki işbirliğinin gelişmesinde önemli bir araç olan teknopark faaliyetlerinin TÜBİTAK ile koordine edilerek yürütülmesi, g. Patent ve Fikri Mülkiyet Mevzuatının güncelleştirilmesi ve özellikle bilişim sektörünün en önemli kesimini oluşturan yazılım sektörünün Fikri Mülkiyet Kanunu çerçevesi içine alınması, h. İleri Araştırma Merkezleri (Centers of Excellence) kurulması, i. Hem pozitif hem de sosyal bilimlerin tüm alanlarının kapsayacak Türkiye Bilimler Akademisi'nin kurulması planlanmıştır (TÜBİTAK, 2003: 6 – 7). Ülkemizde bir bilişim toplumu oluşturmanın ve bilişimi ülke kalkınmasında bir araç olarak kullanmanın gerekliliği, sadece yukarda belirtilen çalışma ile şekillendirilmemiştir. Bu çalışmaya ilave olarak; 1. 1992–1995 yılları arasında Bilim-Teknoloji-Sanayi Tartışmaları Platformu'na (BTSTP) bağlı Enformatik Alanına Yönelik Bilim-Teknoloji-Sanayi Politikaları Çalışma Grubu, 2. 1997–1999 yılları arasında Türkiye Ulusal Enformasyon Altyapısı Ana Planı Projesi (TUENA), 3. Haziran 1998’de başlatılan 9. Ulaştırma Şurası Haberleşme Komisyonu çalışmaları, 138 4. 18 Temmuz 1995 tarihli Yedinci Beş Yıllık Kalkınma Planı, Bilim ve Teknolojide Atılım Projesi 5. 27 Haziran 2000 tarihli Sekizinci Beş Yıllık Kalkınma Planı, Bilim ve Teknoloji Yeteneğinin Geliştirilmesi 6. Mayıs 2002’de Türkiye Bilişim Şurası, 7. Yine 2002 yılında başlatılan e – Türkiye Çalışmaları ve 8. Vizyon 2023 Teknoloji Öngörüsü Çalışmaları, 9. 21 Nisan 2006 tarihinde 2006/14 sayılı Kararla kabul edilen Dokuzuncu Beş Yıllık Kalkınma Planı Stratejisi (2007 – 2013), geniş katılımlı ulusal bilişim politikaları belirlenmesinde yardımcı olmak üzere başlatılmıştır (TÜBİTAK, 2002: 12). Yapılan bu çalışmaları gelecekte üretilecek politikaların hazırlanmasında yol gösterici olarak kısaca irdelemek yerinde olacaktır. 3.1.1.1. Bilim-Teknoloji-Sanayi Politikaları Çalışma Grubu 1992 yılının sonlarında sivil bir girişim olarak kurulan BTST Platformu, “Yaşanan sorunlara kalıcı çözümler bulmanın, Türkiye'nin bilim – teknoloji ve sanayi yeteneğini yükseltmekle mümkün olacağı” inancını ile hareket etmiştir. TÜBA, TÜBİTAK ve TTGV' nin de 1994 yılında bu oluşuma katılmasıyla platform, Enformatik Çalışma Grubu adını almıştır. Mayıs 1995’de hazırlamış oldukları politika ve strateji raporu ile uluslararası arenada ülkemizin konumunu koruyabilmesi ve bu konumu geliştirebilmesi için, ulusal enformasyon alt yapısının kurulması gerekliliği vurgulanmıştır. Ayrıca, uluslararası arenada pazar payının genişletilmesi, bunun için ise üretime ağırlık verilmesi ve Ar – Ge çalışmalarına hız kazandırılarak ulusal bir bilincin oluşturulması, bilinçlenmeyle birlikte ulusal bir dayanışma ile irade göstererek atılımlara hız kazandırılması ifade edilmiştir (TÜBİTAK, 2002: 13). Aynı grup bu kez 1992 Ekim’inde “Enformatik Alanında Düzenleyici Kuruluşlar ve Yeni Politikalar” başlıklı raporu yayımlamıştır. Bu raporla ülkemizdeki durum ile uluslararası camiadaki sistemler analiz edilmiş, kurum ve kuruluşların yapıları otopsi edilerek ilgili ülke mevzuatları masaya yatırılmış ve ülkemizdeki duruma uygunlu bağlamında tavsiyelerde bulunulmuştur. 139 3.1.1.2. TUENA Projesi 1997 yılının haziran ayında başlatılan TUENA projesinin öncesinde, Milli Güvenli Kurulu Sekreterli, 1996 yılında bir toplantı çağrısı yaparak, ülkenin enformasyon alanında gelecekte karşılaşabileceği tehditlerin belirlenmesi konusunda kamu kurumlarından fikir beyan etmelerini istemiştir. Toplantı sonunda Başbakanlık tarafından 5 Şubat 1996 yapılan yazılı açıklama ile enformasyon teknolojilerinin geliştirilmesi ve bilgi toplumuna geçişin sağlanması maksadıyla, enformasyon alanında kamu güvenliği ve menfaatleri, sosyoekonomik, yasal, kurumsal ve düşünülebilecek diğer hususları da kapsayan bir enformasyon (internet dâhil) politikasının geliştirilmesine duyulan ihtiyaç nedeniyle Ulaştırma Bakanlığı sorumluluk ve koordinatörlüğünde, sekretarya hizmetlerini TÜBİTAK Başkanlığı’nın yürüteceği Türkiye’de Enformasyon Politikası ve Enformasyon Altyapısı Master Planı’nın oluşturulmasını kararlaştırılmıştır. 1999 yılında Ulaştırma Bakanlığı tarafından kabul edilen TUENA projesi hedefini uzun soluklu bir yapıda inşa etmiş ve vizyonunu; Sürdürülebilir gelişme için genel sosyoekonomik yararın en çoğa çıkarılması, enformatik sektörünün donanım, iletişim hizmetleri, yazılım ve içerik sanayi alt dallarında ulusal katkı payını yukarı doğru sıçratması, küresel enformatik pazarından pay alabilmek için bölgesinde öncülük yapması ve bu noktaları gerçekleştirecek politikalar ve yapılanmalar üretilmesi olarak belirlemiştir (Ulaştırma Bakanlığı, 1999). 3.1.1.3. Dokuzuncu Ulaştırma Şurası Haberleşme Komisyonu Bilgi toplumunun alt yapısı olan elektronik ticaret ile ilgili teknik alt yapının planlanması ve yönlendirilmesi, ülke kapsamında internet ve diğer iletişim alanlarının tam anlamıyla bütüncül bir bilinç anlayışı ile kullanıcılara ulaştırılması amacıyla 1998 yılında bir şura toplantısı olarak gerçekleştirilmiştir (TÜBİTAK, 2002: 16). 140 3.1.1.4. Yedinci Beş Yıllık Kalkınma Planı Düzenlenen Yedinci Beş Yıllık Kalkınma Planı’nda, Bilim ve Teknolojide Atılım Projesi başlığı altında mevcut durum, amaçlar, ilkeler, politikalar ile hukuki ve kurumsal düzenlemeler kaleme alınmıştır. Daha çok Ar-Ge faaliyetlerinin geliştirilmesi için kaynak artırımı ve bilim adamı yetiştirme konularına değinilmiştir. Burada devletin bilim, sanayi ve teknoloji yeteneğinin geliştirilmesi amaçlanmış, ayrıca AB ile uyum çalışmaları kapsamında mevzuat düzenlemelerinin önemine değinilerek, AB, Japonya ve ABD başta olmak üzere gelişmiş ülkeler ile uluslararası bilimsel ve teknolojik işbirliğinin geliştirilmesinin önemine vurgu yapılmıştır (DPT, 1995: 70 – 77). 3.1.1.5. Sekizinci Beş Yıllık Kalkınma Planı Bilim ve Teknoloji Yeteneğinin Geliştirilmesi başlığıyla VI. Bölümde, 1190 madde ile 1268 arasında bir durum değerlendirilmesi yapılarak, bundan sonraki dönemde ele alınacak konular ve yapılması gerekenler ifade edilmiştir. Ayrıca aynı çalışmada IV. Sekizinci Beş Yıllık Kalkınma Planının Temel Amaç, İlke ve Politikaları (2001– 2005) başlığı altında, 59–61 maddeler bağlamında Bilim ve Teknoloji Yeteneğinin Geliştirilmesi ile Bilgi ve İletişim Teknolojileri alt başlıkları ile planlamalar yapılmıştır (DPT, 2000: 125 – 131, 226). 3.1.1.6. Türkiye Bilişim Şurası 2002’nin mayıs ayında Ankara’da Başbakanlık Müsteşarlığı, Türkiye Zekâ Vakfı, Türkiye Bilişim Derneği, Türkiye Bilişim Vakfı ve Türkiye Bilgi İşlem Hizmetleri Derneği tarafından oluşturulan Türkiye Bilişim Şurası’nın temel amacı ülkemizin bilgi toplumuna dönüştürülebilmesi ve bilişim teknolojilerini hem kullanan hem de dünya genelinde üreten bir konuma gelmesi yönünde bir strateji oluşturmaktır. Varılan noktada kamuoyuna sunulan sonuç bildirgesinde (Bilişim Şurası, 2002); a. TBMM Bilişim Şurası Kurulu üyesi milletvekillerinin oybirliği ile kurulmasını benimseyip, taahhüt ettikleri TBMM Bilişim Komisyonu’nun kurulması, 141 b. Gidilecek kurumsal bir düzenlemeyle, ülkenin bilişim stratejilerinin oluşturulması, uygulamaların koordine ve takip edilmesi ve sorunlara müdahale edilmesi, c. Kurumsal yapıya geçilmeden önce geçici olarak Başbakanlığa bağlı kurumların, özel sektör kuruluşlarının, sivil toplum kuruluşlarının ve akademisyenlerin oluşturacağı bir Bilişim Kurulu’nun kurulması, d. Ulusal programda belirtilen e – Avrupa+ girişiminin ülkemize uyarlanması bağlamında bir e Türkiye projesinin oluşturulması, bu konuyla ilgili topluma bir e kültür bilincinin kazandırılması, e. Devlet sektöründe bütün hizmetlerin e – Devlet yaklaşımı ile yeniden düzenlenmesi ve verimlilik ile vatandaş memnuniyetinin bu yaklaşımda esas alınması, f. Hukuk devleti çerçevesinde, bilgiye ulaşma özgürlüğü, kişisel verilerin korunması ile fikri emeğin korunması kapsamında bir vizyonun geliştirilmesi, g. Yenilenen bir eğitim politikası ile toplumun düşünme, öğrenme ve iletişim alışkanlıklarını geleceğin gereksinimlerine yanıt verecek biçimde değiştirebilecek, girişimci, esnek, yenilikçi ve sorgulayıcı bir düşünce tarzının teknoloji odaklı olarak düzenlenmesi, h. Ülke geneline yayılacak bir Ar – Ge kültürü oluşturmak, uluslararası düzeyde Ar – Ge faaliyetleri yürütmek ve yazılım alanında üretici ve pazar alanı geniş bir konuma yükselmek için, AB 6. Çerçeve Programı’na katılım kararının gereklerinin yerine getirilmesi, i. ABD ile ülkemiz arasında görüşülen Nitelikli Endüstriyel Bölge anlaşmalarına bilişim teknolojilerinin de dâhil edilmesini sağlamak, bu kapsamda üniversitelerimiz ile sanayi firmalarımız arasında işbirliğini destekleyerek, teşvik mekanizmaları ve yasal düzenlemelerin önünün açılması, 142 j. Ulusal bilişim altyapısının tamamlanmasıyla birlikte, ülkemizin coğrafi konumundan da yararlanarak Avrasya Sayısal Kavşak Noktası pozisyonuna getirilmesi, k. Geniş bant altyapısının desteklenmesi ile internete daha yaygın, ucuz, hızlı ve güvenli bir yapı kazandırılması, bunun için Sayısal Abone Hattı (DSL) altyapısının tüm yurdu kapsayacak biçimde oluşturulması, l. Adil rekabet ortamında iletişimin özelleştirilmesinin sağlanması, m. Bilişim Şurası Sektörün Gelişimi Çalışma Grubu tarafından hazırlanmış olan Türkiye'de Yazılım Üretiminin Teşvik Edilmesi Hakkında yasa taslağının TBMM’ye sunularak yasalaştırılması, konularına değinilerek, Bilişim Reformu kapsamında tüm siyasi örgütlerin uzlaşı ile bu sonuçları desteklemesi talep edilmiştir. 11 Mayıs 2004 yılında yayınlanan ikinci sonuç bildirgesinde de hemen hemen aynı konuların altı çizilmiş, bunlara ilave olarak (Bilişim Şurası, 2004); • Yazılımda Mükemmeliyet Merkezi projesinin hayata geçirilmesi, • E imzanın yaygın bir şekilde kullanımını sağlam için imza yasasının önündeki rekabet hukuku ilkelerinin yeniden düzenlenmesi gerekliliği, • Eğitim faaliyetleri kapsamında MEB projelerinin yanı sıra; a. İnsan kaynaklarının geliştirilmesi, b. Bilişim okuryazarlığı atılımının başlatılması, c. Kariyer odaklı sertifika programlarının uygulanması, d. Bilgi Ekonomisi ve Bilgi Toplumu’nun ulusal Ar-Ge ve inovasyon sistemi üzerinde yükselmesi, e. Avrupa Araştırma Alanı ile bütünleşmenin önünü açacak Türkiye Araştırma Alanı’nın tamamlanması, 143 f. Kamu ve TSK teknoloji alımlarının yerine, ayrılan bu fonların milli Ar- Ge faaliyetlerine harcanması ve Ar-Ge faaliyeti görecek lider kurumların oluşturulması, g. Kaynakların bilişim Ar-Ge faaliyetlerine aktarılmasını, h. Ar-Ge faaliyetleri için bir ölçme, izleme ve değerlendirme döngüsünün kurulması, i. AB standartlarına yaklaşılması bakımından teknoparkların altyapılarının genişletilerek, yabancı sermaye akışının hızlandırılması çalışmalarına başlanması, j. Firma odaklı İnovasyon sistemlerinin geliştirilmesi, konuları masaya yatırılmıştır. 3.1.1.7. e – Avrupa+ Hareket Planı ve e – Türkiye Çalışmaları 2000 yılında AB üye ülkeleri, gelecek için bilgi toplumu olma, bilişim sektöründe gelişmiş ülkeleri yakalama ve pazara hâkim olma arzusuyla e- Avrupa adında bir proje başlatmışlardır. Buna paralel olarak AB’ye aday ülkeler için de e – Avrupa+ Hareket Planı olarak adlandırılan bir proje yürürlüğe konmuştur. Türkiye de e – Avrupa+ Hareket Planı projesine dâhil olan ülkelerden biridir ve 2003 yılından buyana AB, Türkiye’nin bilişim teknolojilerine AB ile uyum durumunu ilerleme raporları ile takip etmektedir. Uyum çalışmaları kapsamında, 2001 yılı içinde bilgi toplumu geçiş çalışmalarına hız kazandırmak amacıyla e – Dönüşüm Türkiye projesi başlatılmıştır. Başlatılan e – Türkiye Girişimi kapsamında Başbakanlık Müsteşarlığı koordinasyonunda 2001 Ekim ayı içinde 13 çalışma grubu oluşturulmuştur. Bu gruplar ve koordinatörleri aşağıdaki gibidir (TÜBİTAK, 2002: 17 – 19): • Eğitim ve İnsan Kaynakları Çalışma Grubu - Koordinatör Kuruluş: Milli Eğitim Bakanlığı • Altyapı Çalışma Grubu - Koordinatör Kuruluş: Ulaştırma Bakanlığı • Hukuki Altyapı Çalışma Grubu- Koordinatör Kuruluş: Adalet Bakanlığı • Standartlar Çalışma Grubu- Koordinatör Kuruluş: Türk Standartları Enstitüsü Başkanlığı 144 • Güvenlik Çalışma Grubu- Koordinatör Kuruluş: Genelkurmay Başkanlığı • E-Ticaret Çalışma Grubu- Koordinatör Kuruluş: Dış Ticaret Müsteşarlığı • Yatırımlar ve Planlama Çalışma Grubu- Koordinatör Kuruluş: Devlet Planlama Teşkilatı Müsteşarlığı • Arşiv ve Dijital Depolama Çalışma Grubu- Koordinatör Kuruluş: Devlet Arşivleri Genel Müdürlüğü • Uluslararası İzleme ve E-Avrupa+ Grubu-Koordinatör Kuruluş: AB Genel Sekreterliği • Özel Projeler Çalışma Grubu-Koordinatör Kuruluş: Türkiye Bilişim Vakfı • Mevcut Durumun Tespit Çalışma Grubu- Koordinatör Kuruluş: KAMUNET Teknik Kurulu • Ulusal Bazda Takip, Koordinasyon ve İzleme Grubu- Koordinatör Kuruluş: Türkiye Bilişim Derneği • Sağlık - Çevre Çalışma Grubu – Koordinatör Kuruluş: Başbakanlık Mart 2002’de, e – Avrupa+ Girişimi Ara Raporu’na Türkiye katkısı olarak, Avrupa Komisyonu’na ulusal bazda yürütülen çalışmaların ilk sonuçları iletilmiştir. 3.1.1.8. Vizyon 2023: Bilim ve Teknoloji Stratejileri 45 Muasır bir medeniyet ve bilgi toplumuna ulaşma sürecinde bilim ve teknolojinin maksimum düzeyde kullanılan bir araç haline getirilmesi büyük bir hedeftir. Ülkemizde bu hedefe ulaşmak adına geliştirilen diğer bir strateji belgesi de Bilim ve Teknoloji Yüksek Kurulu’nun 13 Aralık 2000 tarihli toplantısında, 2000/1 nolu kararla 2003–2023 yılları için Türkiye’nin Bilim ve Teknoloji Stratejileri Belgesidir. Şu ana kadar incelediğimiz kadarıyla belirli tarih aralıkları ile pek çok bilişim stratejisi geliştirilmiş, fakat bu stratejiler tam olarak uygulamaya konulamamıştır. Bunun sebebi olarak ise ortaya bir vizyonun konulamamış olması gösterilmiştir. Bu bağlamda, ülkemizdeki siyasi erklerin, kamunun, özel kesimin ve üniversitelerin 45 Konuyla ilgili daha detaylı bilgi; TÜBİTAK, Bilim, Teknoloji ve Yenilik Politikaları Daire Başkanlığı, Vizyon 2023, adlı eserden edinilebilir, (http://www.tubitak.gov.tr/home.do?ot= 1&sid=472&pid=468). 145 ortaklaşa olarak sahipleneceği bir vizyon oluşturma gayesiyle yaklaşık bir yıl süren hazırlık çalışmaları ardından, 24 Aralık 2001 tarihli Yedinci Bilim ve Teknoloji Yüksek Kurulu toplantısında, Vizyon 2023: Bilim ve Teknoloji Stratejileri projesi onaylanmıştır. Vizyon 2023 Projesinin ana teması; bilim ve teknolojiye hâkim, teknolojiyi bilinçli kullanan ve yeni teknolojiler üretebilen, teknolojik gelişmeleri toplumsal ve ekonomik faydaya dönüştürme yeteneği kazanmış bir "refah toplumu" yaratmak olarak belirlenmiştir. Projede, Türkiye’nin bilim ve teknoloji alanında mevcut konumunun saptanması, dünyada bilim ve teknoloji alanındaki uzun dönemli gelişmelerin saptanması, Türkiye’nin 2023 hedefleri bağlamında, bilim ve teknoloji taleplerinin belirlenmesi, bu hedeflere ulaşılabilmesi için gerekli stratejik teknolojilerinin saptanması ile bu teknolojilerin geliştirilmesi ve/veya edinilmesine yönelik politikaların önerilmesi çalışmaları planlanmıştır. Vizyon 2023 Projesi; Teknoloji Öngörü Projesi, Ulusal Teknoloji Envanteri Projesi, Araştırmacı Bilgi Sistemi (ARBİS), TÜBİTAK Ulusal Araştırma Altyapısı Bilgi Sistemi (TARABİS) Alt Projelerinden oluşmaktadır. 3.1.1.9. Dokuzuncu Beş Yıllık Kalkınma Planı Stratejisi Rekabet Gücünün Artırılması ana başlığı altında düzenlenen Ar – Ge ve Yenilikçiliğin Geliştirilmesi ile Bilgi ve İletişim Teknolojilerinin Yaygınlaştırılması alt başlıkları ayrıca Kamu Hizmetlerinde Kalite ve Etkinliğin Artırılması ana başlığı altında e – Devlet Uygulamalarının Yaygınlaştırılması ve Etkinleştirilmesi alt başlığı ile düzenlenen Türkiye’nin gelecek bilişim toplumu anlayışında yine Ar – Ge faaliyetlerinin istenilen düzeye getirilmesi için çalışmaların başlatılmasına, GSMH’nin 2002 verilerine göre % 0,67 sinin aktarıldığı Ar – Ge uygulamalarının uluslararası düzeyde rekabet edilebilecek seviyeye getirilmesine değinilmiştir (DPT, 2006: 29 – 30). Bunun yanında, yetişmiş bilim adamlarının ortalamasının yine 2002 verilerine göre 10000 kişiye göre % 13,6 da kaldığı, OECD ülkelerinde ise ortalama yüzdenin 66,6 olduğuna değinilerek, 2005 yılında TÜBİTAK tarafından uygulamaya geçirilen 146 Türkiye Araştırma Alanı Programı kapsamında, “Akademik ve Uygulamalı Ar – Ge Destek”, “Kamu Ar – Ge Destek”, “Sanayi Ar – Ge Destek”, “Savunma ve Uzay Ar – Ge Destek”, “Bilim ve Teknoloji Farkındalığını Artırma” ve “Bilim İnsanı Yetiştirme ve Geliştirme” Programlarına atıfta bulunulmuştur. Ek olarak plan stratejisinde; a. Elektronik haberleşme sektöründe rekabetin attırılması, b. Alternatif altyapı ve hizmetlerin hazırlanması ile bilgiye, etkin, hızlı, güvenli ve uygun maliyetlerle yaygın erişimin sağlanması, c. Bilgi teknolojileri sektöründe yazılım ve hizmetler alanında bölgesel ve küresel bir oyuncu olma arzusu, d. Bilgi ve bilişim teknolojilerinin işletmelerde yaygına hale getirilerek ekonomide verimliliğin arttırılması, e. Görsel ve işitsel yayıncılık altyapısının geliştirilmesiyle bilgiye erişimin daha da yaygınlaştırılması, f. Elektronik haberleşme hizmetlerindeki yüksek vergi yükünün, bilgi toplumuna dönüşüm sürecinde makul seviyelere çekilmesi, g. Geniş bant erişim altyapısının yaygınlaştırılması, h. Bilgi teknolojilerinde uluslararası rekabetin arttırılması amacıyla, doğrudan yabancı yatırımlar için uygun ortamların oluşturulması gerekliliği, i. Bu yolla teknoloji transferinin sağlanması ve j. Teknopark yazılım ve hizmetler alanında bölgesel ve öncelikli endüstrileri destekleyecek şekilde ihtisaslaşılması gerekliliği konularına değinilmiştir. 46 46 Konuyla ilgili detaylı bilgi; 2006/10399 sayılı Bakanlar Kurulu Kararı, Dokuzuncu Kalkınma Planı Stratejisi (2007–2013) Hakkında Karar, IV.1. Rekabet Gücünün Artırılması başlığı altında, Bilgi ve İletişim Teknolojilerinin Yaygınlaştırılması adlı resmi evrakta mevcuttur. 147 3.1.2. Ulusal Bilişim Politikasında Yaşanan Temel Sorunlar 1990 yılı değerlerine göre, ülkemizdeki Ar-Ge harcamalarının GSYİH’ ye oranı % 0.33 olup, toplam harcamaların kurumlar arasında dağılımı şöyledir: Üniversiteler % 69 Kamu kuruluşları % 13 Özel kuruluşlar % 18 Ülkemiz bilime katkısı itibariyle ise 1990 yılında 40'ıncı sıradadır. Bilim üretimi tekelinin birkaç eklemeyle G8 adı verilen ekonomik bakımdan da dünyanın en gelişkin ülkeleri olan grubun elindedir. Bu grup toplam bilimsel ürünün yaklaşık % 80'ini üretmektedir (TÜBİTAK, 2003: 10). 2000 yılına gelindiğinde ise bilim ve teknoloji göstergeleri açısından Ar-Ge harcamalarının GSYİH içindeki payı % 0,60’a, Ar – Ge harcamalarında özel sektörün payı ise % 0,20’ye yükselmiştir. AB, ABD ve Japonya verileri ile karşılaştırıldığında, Türkiye’deki kamu ve özel sektör kuruluşlarının Ar – Ge’ye ayırdığı kaynakların yetersiz kaldığını ve % 2 seviyelerine yükseltilmesi gerektiği söyleyebiliriz (Kaplan, 2004: 193). Ülke olarak yaşanan sorunlara sistematik olarak göz attığımızda; a) Ar – Ge faaliyetlerine tahsis edilen kaynaklar yetersiz olduğunu, b) Araştırıcı sayısının uluslararası sistem ele alındığında üretim yapabilme açısından yetersiz olduğunu, c) Ar – Ge personelinin büyük bir yüzdesini barındıran üniversitelerimizde, eğitim-öğretim yükünün araştırma faaliyetine pek zaman bırakmayacak ölçüde yüksek olduğunu, 47 d) Ar – Ge faaliyetlerinin evrensel bir boyut kazanabilmesi bakımından önemli bir girdi olan kitap ve süreli yayınlar bakımından büyük bir yetersizliğin olduğunu, 47 1990’lı yıllarda Öğretim üyesi başına 50 lisans, 2 yüksek lisans 1 doktora öğrencisi düşmektedir. 148 e) İnsan gücü yetersizliğinin, parasal kaynak yetersizliğinin aksine kısa vadede çözülebilir bir sorun olmadığını, sorunun çözümü için ciddi bir planlama, kararlı ve uzun vadede sabırlı bir uygulamanın olması gerektiğini, f) Evrensel düzeyde bilim üretebilme potansiyeline sahip doktoralı elemanların yetiştirilmesinden sorumlu kurumların (YÖK, MEB, TÜBİTAK), arasında bir koordinasyonun olmadığını, bundan dolayı yetişmiş insan gücünün yeterli düzeyde oluşturulamadığını, g) Lisans programlarında eğitim gören insanlarımızın ise, nitelik yönünden erozyona uğramış, güncel olmayan, yaratıcı düşünceye önem vermeyen bir eğitime tabi tutulduğunu, görmekteyiz. Ayrıca, özel sektörün araştırma ve geliştirme konularında, gelişmiş ülkelerdeki payı düşünüldüğünde ülkemizde bu konuda atılması gereken adımlara ihtiyacı vardır. Bununla birlikte yabancı yatırımında teşvik edilmesi elzemdir. Yarı kapalı bir sistem ülkemiz için uygun olandır. Keza gelişmekte olan bilişim teknolojileri alanında, teşviklerin ekseriyetle milli olmasına özen gösterilmelidir. Yerli yatırımcılara sağlanacak teşviklerin bir prosedür, inceleme ve denetleme mekanizmasından geçerek aktarılması şarttır. Fakat daha önce de değinildiği gibi yabancı yatırımın ülkemizde göstereceği etkinlikte önemli bir kazanç sağlayacaktır. Bu bağlamda Ar – Ge altyapıları ile ülkemize gelen yabancı yatırımdan olumlu yönde istifade edilebilecektir. 2006 verilerine göre 399 milyar 673 milyon dolarlık GSMH’si olan ülkemizin (Yılmaz, 2007), bilişim sektöründe sözü geçen ve 31 Ekim 2006’da sona eren mali yılsonunda 91,7 milyar dolar cirosu olan HP firmasından yararlanabileceği çok daha fazla alan olduğuna inanmak gerekir (HP, 2007). Ulusal politikamızda ise böyle bir öngörü henüz oluşturulamamıştır. Yatırımların yanında gelişmiş uluslararası ve çokuluslu dev bütçeli firmaların Ar – Ge altyapılarının ülkemizde de faaliyetlerde bulunması noktasında üzerimize pek çok görev düşmektedir. Piyasayı korkutmadan yapılacak hukuki düzenlemelerin bu noktada yardımcı olacağı düşünülebilir. Bununla birlikte, kamusal veya özel sektör işbirlikleriyle geliştirilecek ikili ilişkilerin bahsedilen altyapı faaliyetlerini ülkemize kaydıracağı pragmatik bir yaklaşımdan ziyade realist bir düşünce olarak görülmelidir. 149 İngiltere, ABD, Almanya, İsviçre, İsveç, Fransa, Hollanda ve Belçika 19.Yüzyılın ikinci yarısı ile İkinci Dünya Savaşı öncesindeki dönem içinde, Danimarka 60'lı yılların başında, İtalya ve Japonya ise 70'li yıllarda, ileri ve özellikli üretim faktörlerinin tam anlamıyla sağlanması ile teknolojik rekabet gücüne ulaşmışlardır. Yakın geçmişte bu aşamayı geçerek yatırıma dayalı bir rekabet gücüne sahip hale gelen tek ülke Güney Kore'dir. Tayvan, Singapur, Hong Kong, İspanya ve bir ölçüde de Brezilya, G.Kore gibi temel üretim faktörlerine dayalı rekabet gücünü aşma yolundadırlar. Bilişim, biyoteknoloji ve ileri düzey teknolojik malzemelerin üretilmesi konularının, ülkemiz bağlamında üretimi ve ihracatı gibi belirli noktalara gelmesi, tarihi bir strateji olan teknolojiyi transfer etmek, transfer edileni öğrenmek ve özümsemek, öğrenilip özümseneni ekonomik anlamda icraata dönüştürmek, üretilen yeni milli teknolojiyi geliştirerek bir üst seviyeye çıkarmak ve sağlanan bu gelişmelerin kurumlaşmasını ve bir ahlak haline gelmesini sağlayacak yapıların oluşturulmasını sağlamak döngüsünde saklıdır. Teknoloji transfer döngüsünün önemini, 2,5 trilyon dolarlık dünya iletişim ve bilişim pazarının yüzde 12’sini yazılım sektörünün oluşturduğunu söyleyerek vurgulayabiliriz. Keza, Türkiye’nin yazılım alanında 109 milyon dolarlık dışalımı ile 18 milyon dolarlık dışsatımı göz önünde bulundurulduğunda bahsedilen döngü teorisinin önemi ülkemiz adına daha da artmaktadır (Ulusaler, 2007: 40). Fakat ülkemiz genelinde TÜBİTAK haricinde Ar – Ge faaliyeti gösteren, iyi bir bütçe finansmanı ile desteklenmiş, yetişmiş personel sayısı bakımından üstün bir kamu kurumu yoktur. Bu konuda özel sektör içinde tam anlamıyla Ar – Ge faaliyeti gösteren bir kuruluş zaten bulunmamaktadır. Yıllardır üstüne basılarak defalarca tekrarlanan Ar – Ge ihtiyacı ve önemi ülkemizde hem kamu alanında hem de özel sektörde kavranamamıştır. Personel ve finansman sorununun aşılması, uzay ve savunma araştırmaları ile bilim parklarının oluşturulması gelecek on yıl içinde bilişim teknolojileri ve buna paralel olarak bilgi toplumu vizyonunun yakalanmasına yardımcı olacaktır (DPT, 2005). Ar – Ge’ye ayrılan mali pay oranı AB içinde 2003 verilerine göre 1.81’dir ve yine 10.000 çalışan başına düşen Ar – Ge personeli ve araştırmacı sayısı sırasıyla 102 ve 59’dur. 2010 yılında AB tarafından Ar – Ge’ye ayrılan mali pay oranı % 3 olarak hedeflenmiştir. Tüm bu verilerin yanında 2004 yılı içinde Türkiye’de 10.000 çalışan başına düşen Ar 150 – Ge personeli ve araştırmacı sayısı sırasıyla 18 ve 16’dır. Türkiye’de 2010 yılı için hedeflenen Ar – Ge’ye ayrılan mali pay oranı ise % 2’dir (Çiftçi, 2006). Üretilen strateji ve politikaların zamanın şartlarına göre yeniden düzenlenmemiş olması, hepsinden önemlisi üretilen politikaların bile ciddiye alınmadan bir kenara bırakılmış olması son 20 yıl içinde ülkemizin Bilişim sektöründe global bir aktör olamamasının rasyonel birer nedenidir. Bilişim politikalarının seyrinde gitmesine engel bir diğer konuda çıkarılan yasaların gerektiği gibi kullanılamaması, bundan da öte yasaların uygulanması için yasa ihlallerinin tespitinin merkezi bir kurum tarafından takip edilememesidir. Bu konuda yaşanan en büyük sıkıntı ülkesel bir fikri mülkiyet hakkı gaspıdır. Değerlerle ifade etmek gerekirse IDC’nin 2006 yılı raporuna göre Türkiye’de % 64 oranındaki korsan yazılım kullanım oranını sadece % 10 düşürmek: • Türkiye’deki yazılım sektörünü % 120 büyüterek 5,3 Milyar dolar büyüklüğe ulaştırabilir, • 2008 – 2011 yılları arasında GSYİH’ya 625 milyon dolar ilave kaynak oluşturulmasını sağlayabilir, • 36,000 kişiye istihdam yaratabilir, • Ekonomiye bir milyar dolar katkı sağlayabilir ve • Vergi gelirlerinde de 80 milyon dolar artışa olanak sağlayabilir. Korsan yazılım kullanmak kamu kurumlarında bile görülen bir hastalık olarak karşımıza çıkmaktadır. Hiçbir teknik desteği olmamasına, güvenilirliği ve verimliliği bulunmamasına rağmen kullanılan korsan yazılımların önüne geçebilmek içinse, 1. Dünya Fikri Mülkiyet Hakları Kuruluşu’nun (WIPO) yayınladığı yükümlülüklere uygun şekilde, Ulusal telif hakları yasalarını güncellemek, 2. Dünya Ticaret Örgütü (WTO) tarafından yayınlanan yükümlülüklere uygun olarak güçlü yaptırım mekanizmaları oluşturmak, korsanlığa karşı katı kanunlar çıkarmak, 151 3. Konuyla ilgili eğitimlere ağırlık vererek toplumu ve kurumları korsan yazılım kullanımı konusunda bilinçlendirmek, kamu ve özel sektörde yasal yazılımların kullanılmasını zorunlu kılarak denetimleri kolluk ve maliye görevlileri ile teknik bilgiye sahip uzman kişiler aracılığıyla ulusal bazda gerçekleştirmek, gerekmektedir (IDC, 2008). Son olarak, ulusal politikalara ve ülkenin demokratik anlayışına ters düşen kamuoyunda 5651 sayılı kanun olarak bilinen ve 04.05.2007 tarihinde yürürlüğe giren İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’a değinmek gerekmektedir. Bilindiği gibi kanunun uygulanmasından sorumlu olan kurum Telekomünikasyon Kurumu’dur ve ilgili kanunun Erişimin engellenmesi kararı ve yerine getirilmesi başlığı altında düzenlenen 8. maddesi uyarınca internet ortamında yapılan ve içeriğinde; • İntihara yönlendirme (TCK madde 84), • Çocukların cinsel istismarı (TCK madde 103, birinci fıkra), • Uyuşturucu veya uyarıcı madde kullanılmasını kolaylaştırma (TCK madde 190), • Sağlık için tehlikeli madde temini (TCK madde 194), • Müstehcenlik (TCK madde 226), • Fuhuş (TCK madde 227), • Kumar oynanması için yer ve imkân sağlama (TCK madde 228) ve • 25.7.1951 tarihli ve 5816 sayılı Atatürk Aleyhine İşlenen Suçlar Hakkında Kanunda yer alan suçları, oluşturduğu hususunda yeterli şüphe sebebi bulunan yayınlarla ilgili olarak erişimin engellenmesine karar verilir denmektedir. Görüldüğü gibi terör suçları bu kapsama dâhil edilmemiştir. Bundan daha vahim bir konu olarak erişimin engellenmesi kararı verilen sitelerin, tamamen ulaşılamaz şekilde süresiz olarak kapatılmasıdır. Bilindiği gibi ilgili sitelerin kapatılması yalnızca Türkiye’den kullanıcıları etkilemekte herhangi bir şekilde diğer 152 ülkelerde siteye erişilememesi gibi bir durum söz konusu olmamaktadır. Demokratik bir ülke olma yolunda atılan dev adımların ve AB ile sürdürülen tam üyelik müzakerelerinin altını oyar şekilde yürürlüğe konulan bu madde ile uluslararası arenada puan kaybetmekte olduğumuzu görmek zorundayız. Kaldı ki, kapatılan sitelerde kanunlara aykırı unsurların varlığı kadar bilgilendirici envanterde bulunmaktadır. Sitenin tamamen hizmete kapatılması, yasal bilgi arayan kullanıcıları da cezalandırmak anlamına gelmektedir. Ayrıca internet kullanıcıları biraz araştırma ile kapatılan sitelere girmenin yolunu zaten bulmaktadırlar. Bu da yeni oluşan bilgi ve bilişim toplumu bilinçaltını olumsuz yönde etkilemektedir. İnsanları suça karışmaya iten bir yasa düşünülemeyeceği gibi, tamamen yasal verilerden yararlanmak isteyen kullanıcıların engellenmesi uluslararası toplumda açıklanabilecek bir şey de değildir. Bunun yerine terör suçlarını da kapsayan şekilde derlenmiş, site kapatmayı değil fakat ilgili suç unsuru yayına ulaşmayı engelleyici ve engellenen suç fiilinin, ilgili sitenin, hangi kapsamda ne kadar süre ile yayının engellendiğinin kamuoyu ile paylaşıldığı bir yaklaşım benimsenmelidir. Tüm bunların ötesinde karar verici olarak adli mercilerin konuyla ilgili eğitilmesi, bilinçlendirilmesi gerekmektedir. Bilişim ve internet kapsamında işlenen suçlara bakacak ihtisas mahkemelerinin en kısa sürede kurulması ve faaliyete geçmesi ise gelecek yıllarda oranı giderek artan siber suçların çözümlenmesinde önemli bir atılım olacaktır. 3.1.3. Ulusal Bilişim Politikasının Analizi Daha önceki ifadelerde ülke planlaması çerçevesinde ulusal bilişim politikasının günümüze kadar olan dönemde etkinliğine değinilmiş olsa da, derinlemesine bir analizin yapılması ileriki dönemde uygulanma şansı yakalayabilecek politikaların etkinliği açısından gereklidir. Geri besleme olarak da değerlendirilebilecek bu analiz anlayışı bu güne kadar yapılanların ve yapılması gerekenlerin neler olduğu konusunda bir yol haritası olarak kullanılabilir. Özel ve yerel teşebbüslerin önünü açmak kamunun yapması gereken eylemlerden biridir fakat ülkemizde son 15 yıl için bu konuda, telekom, cep telefonu, mobil telefon ve internet teknolojileri kapsamında kamunun gelişmenin önünü 153 açacak bir politikası olmamıştır (Salman ve Yapıcı, 2007: 31). Dolayısı ile etkin bir bilişim teknolojileri politikası da uygulanamamıştır. Bu konuda örnek alınabilecek İsrail, İrlanda ve Hindistan gibi ülkelerde ise kamu desteği ile geliştirilen eğitim reformları, özel sektörün etkin bir bilişim alt yapısı oluşturulmasında kullanılmıştır. Altyapının ve yazılım teknolojilerinin gelişmesinde daha önce de bahsedilen teknoloji transferi ve transfer edilen teknolojinin uyarlanması liberal bir sisteme sahip olmayan Çin’de bile en üst seviyede uygulanabilmişken, neden sonra ülkemizde de bu sistemin uygulanabilirliği gündeme gelmiştir. Önümüzdeki on yıl içinde bilişim teknolojileri bağlamında bir merkez haline gelecek olan Çin’in batıdan akan müşteri ülke potansiyelinin bir kısmının yatırımların, eğitimin ve bilişim kültürünün geliştirilmesiyle ülkemize çekilmesi gerekmektedir. Ülke olarak sağlam politikalar uygulandığında başarılı sonuçlar alındığını e-devlet dönüşüm projesinde görmekteyiz. Örneğin, OECD Türkiye e – Devlet İncelemesi 2007 sonuçlarına yer verilen raporda, Türkiye’nin iş dünyası için verilen kamu hizmetlerinin olgunluk düzeyinde % 84 oranıyla, İzlanda, Norveç ve İsviçre’nin de dâhil edildiği AB 25 ülkelerinin ortalaması olan % 86’yı yakaladığı belirtilmiştir. Capgemini adlı araştırma şirketinin Eylül 2007 raporunda da Türkiye’nin de İzlanda, Norveç ve İsviçre ile birlikte dâhil edildiği AB 27 için ortalama iş dünyasına sunulan sekiz hizmetteki olgunluk düzeyinin % 84 olduğu, Türkiye’nin ise % 86 ile bu ortalamayı aştığı belirtilmiştir. Fakat aynı etkinlik performansı yurttaşlara yönelik hizmetlerde yakalanamamıştır. Yine OECD Türkiye e – Devlet İncelemesi 2007 sonuçlarına göre % 55 düzeyiyle, üç gelişmiş ülkenin de dâhil edildiği AB 25 ortalaması olan % 68’in gerisinde kalınmıştır. Capgemini şirketinin araştırması da yakın sonuçlarla (Vatandaşa verilen hizmette söz konusu ülkelerdeki olgunluk düzeyi % 70’i bulurken, Türkiye’de % 57’dir.) durumu istatistiksel olarak değerlendirme imkânı vermektedir. Etkinlik analizi, mali analizle birlikte ele alındığında ise Bilgi Toplumu Stratejisi çerçevesinde kamunun 2006–2010 yılları arasında yapması planlanan 2 milyar 884 milyon YTL’lik yatırım tutarının, kamunun 2002–2006 dönemini içerisinde 2007 yılı fiyatlarıyla yaptığı harcama tutarı olan 2 milyar 954 milyon YTL’nin gerisinde öngörülmüş olduğu ortaya çıkıyor (TMMOB, 2007: 58 – 59). Böylece geleceğe dönük atılması gereken adımların daha küçük olması durumu ile karşı karşıya olduğumuzu görüyoruz. Hal böyle olunca da politikaların etkinliğinin önemli bir ayağı olan mali destek konusu zayıf kalıyor. AB ile diğer bilişim 154 teknolojileri ve bilgi toplumuna geçiş yapmış olan ülkelerin finansal kaynak aktarımı konusunda gösterdiği başarılı performans artırımı bu durumda gelecek için ülkemiz adına bir hayal olmaktan öteye gitmeyecektir. Elbette mali kaynak aktarımı başlı başına etkinlik için bir kıstas değildir. Özellikle politikaların uygulanmasında en başta eğitimin yeterli düzeyde verilmesi, verilen eğitim sonunda alt yapının oluşturulması bakımından sürdürülebilir iş olanaklarının ve Ar-Ge yatırımlarının tüm kamu ve özel sektör nezninde geliştirilmesi gerekmektedir. AB’nin 6. Çerçeve Programı dâhilinde 200 milyon Euro ile programa destek veren ülkemizin sadece 50 milyon Euro’luk proje alması, mali kaynak aktarımının yeterli olmadığını bize göstermektedir. Toplam bütçesi 53,2 milyar Euro olan Avrupa Araştırma – Geliştirme (Ar – Ge) Ortak Pazarı'nın kurulması hedefiyle oluşturulan 7. Çerçeve Programı 'na da katılan ülkemizin en başta düşünmesi gereken konu uluslararası boyutta kabul görecek projelerin hayata geçirilmesi, bundan da önemlisi bu tür projelerin oluşturulmasında kamu ve özel sektöre gerekli eğitim ve bilginin verilmesinin sağlanmasıdır (Radikal, 2007). Ufak bütçeli etkin eğitim programları ile büyük bütçeli projelerin hayata geçirilmesi sosyal refah düzeyimizin artmasına da katkı sağlayacaktır. Bu bağlamda TÜBİTAK tarafından hali hazırda 6. Çerçeve Programı fiyaskosunun ardından verilmeye başlanan eğitim çalışmaları (TÜBİTAK, 2006a: 6 – 7) mevcutsa da bu eğitimlerin kapsamının ve sürelerinin uzatılmasında fayda vardır. Eğiticilerin çoğaltılması kapsamında verilecek eğitim kurslarının da yararlı olacağı düşünülmelidir. Devlet memuru olma şartı aranmaksızın özel iş çevreleri ve sanayi kuruluşlarından, üniversitelere kadar her daldan personelin eğitim kurslarına katılması için fırsat ve imkân yaratılmalıdır. Eğitim ve bilinçlenmenin önemi kendini TÜBİTAK tarafından başlatılan kurs, seminer, çalıştay ve sektörlere yönelik farkındalık programları ile daha da hissettirmiştir. 2005 yılında tamamlanan TÜBİTAK değerlendirmesine göre ülkemizin son dört yıllık performansı değerlendirildiğinde, programa katılım sağlayan kuruluşların performansının her yıl artmakta olduğu ve değerlendirmede başlangıçta % 10,5 olan ülkemiz kuruluşlarının yer aldığı proje konsorsiyumlarının 155 kabul oranının, son iki yılda % 19,3’e çıktığı belirtilmektedir. Ayrıca bu son iki yıllık kabul edilme oranının AB ortalamasıyla aynı düzeyde olduğu ve 6. Çerçeve Planı’nda Çerçeve Programlarına ilk kez tam katılım sağlayan tek aday ülke olmasına rağmen en çok fon geri dönüşü sağlayan aday ülke haline geldiği söylenmektedir (TÜBİTAK, 2006a: 11). Şekil 3: Ülkemizin 6. Çerçeve Planı’ndaki Başarı Durumu 48 Organizasyonel anlamda etkinlik konusu değerlendirildiğinde, AB 6. Çerçeve Programı’na ülkemizden giden proje ortaklığı başvurularının organizasyon tiplerine göre dağılımı; üniversiteler % 54, KOBİ’ler % 17, araştırma merkezleri % 15, endüstri kuruluşları % 6, STK’lar % 3, Devlet Kuruluşları % 1 ve diğer % 5 olarak biçimlenmiştir. Görüldüğü gibi başvuru sayısının hemen hemen yarısı üniversiteler tarafından gerçekleştirilmiştir. Bunun en büyük sebebi ise Ar – Ge harcamalarına ayrılan paydır. 2003 yılı istatistiklerine göre, ülkemizdeki tam zamanlı Ar-Ge personelinin % 63,2’si üniversitelerimizde, % 20,5’i sanayi sektöründe ve % 16,3’ü devlet kuruluşlarımızda görev yapmaktadır. Türkiye’de 2004 yılında yapılan toplam Ar – Ge harcamaları içinde üniversitelerimizin, sanayi kesiminin ve kamu kesiminin payları ise sırasıyla % 67,9, % 24,2 ve % 8’dir. Doğal olarak üniversitelerimiz yapılan içsel yatırımları geleceğe dönük politikaların hayata geçirilmesinde olumlu kullanabilmişken, içsel yatırımlarını Ar – Ge’ye aktarmayan devlet kuruluşları ise politikaların devam ettirilmesi bağlamında somut adımlar atamamışlardır. 48 TÜBİTAK, 2006a: 11. 156 Şekil 4: Organizasyon Tiplerine Göre AB Çerçeve Programı’na Katılım 49 Şekil 5: Desteklenen Projelere Göre Organizasyonların Etkinlik 50 . 49 50 TÜBİTAK, 2006b: 5 – 6 TÜBİTAK, 2006b: 5 – 6 157 TÜBİTAK, Kamu kuruluşlarımızın 7. Çerçeve Programında daha etkili katılım sağlamalarına katkıda bulunmak amacıyla, AB Çerçeve Programları Ulusal Koordinasyon Ofisi tarafından Kamu Farkındalık Programı başlatmıştır. Programın amacı ise kamu kurumlarımızı Çerçeve Programları hakkında bilgilendirmektir ve bu kapsamda çeşitli faaliyetler yürütülmektedir. Avrupa Komisyonu tarafından desteklenen proje ortaklıklarına bakıldığında da yine toplam ortaklıkların % 51’inin üniversiteler, % 20’sinin araştırma merkezleri, % 15’nin KOBİ’ler, % 5 endüstri kuruluşları, % 3 STK’lar, % 1 devlet kuruluşları ve % 5 diğer kuruluşlar tarafından yerine getirildiği görülmektedir (TÜBİTAK, 2006b: 2 – 14). Toparlamak gerekirse, başvuru ve uygulanabilirlik bağlamında en etkili organizasyonumuz üniversitelerimiz iken, Devlet Kurumlarımız en pasif organizasyon olarak karşımıza çıkmaktadır. Bu konuda söylenebilecek diğer önemli husus ise Ar-Ge yatırımları ile etkinliğin birbirine paralel olarak seyrettiği gerçeğidir. 158 DÖRDÜNCÜ BÖLÜM ULUSLARARASI ALANDA BİLİŞİM SUÇLARI 4.1. ULUSLARARASI SİSTEMDE BİLİŞİM SUÇLARININ HUKUKİ DURUMU Bilişim teknolojileri küresel anlamda son 20 yıl içinde, devletler, özel sektör kuruluşları ve bireysel kullanıcılar tarafından giderek artan bir oranda kullanılmaya başlanmıştır. Hızlı bir şekilde yukarıda bahsedilen öğeler, her gün artan oranda ağlarla birbirine bağlanmakta, ulusal ve uluslararası bir yapının, bir kültürün oluşmasına bir şekilde katkıda bulunmaktadırlar. Oluşan kültürün ve ayrı bir medeniyet olarak karşımıza çıkan bu iletişim ağının, güvenliği ise büyüdükçe daha da zorlaşmaktadır. Güvenliğin sağlanması ve hepsinden önce sağlanan güvenliğin korunması bilişim teknolojilerinde ele alınması gereken önemli bir konudur. Güvenlik konusu esas itibariyle iki ucu keskin bir bıçağa benzetilebilir. Aşırı güvenlik tedbirleri, iletişimin ve etkileşimin hızını düşürürken, kişisel özgürlükleri ve kişi mahremiyetini olumsuz yönde etkileyebilme kapasitesine sahipse, güvenlik tedbirlerinin azaltılmış seviyede uygulanması da aynı şekilde kişi mahremiyeti ve özgürlüklerinin kötü niyetli kullanıcılar tarafından ihlal edilebilir bir hale gelmesine neden olabilir. Artan oranda teknolojik gelişmelerle desteklenen internet alt yapısı günümüzde dünyayı kapsama alanı içine almış ağlar bütününden teşkil bir yapıdır. Kurumlar yada kişiler arasında kullanılan kapalı ağ sistemi yerini global bir kablo bağlantısına bıraktığı gibi, kablosuz iletişimle de mobil bir hal almıştır. İnternet özellikle mali, enerji ve ulaştırma gibi hayatın ve devletlerin stratejik alt yapı sistemlerini de destekler bir yapı haline dönüşmüştür. Devletler haricinde ulusal veya uluslararası ticaretle uğraşan firmalarda internetin kitlelere ulaşma ve verimlilik faydalarından yararlanmaktadırlar. Büyüyen iletişim ağının faydalarının yanında, güvenlik zaaflarından kaynaklı zararları da mevcuttur. Pek çok bakımdan güvenlik sistemlerinin etkilenebileceği çeşitli tehdit uygulamaları artan oranda kullanıcıları 159 rahatsız etmektedir. Tehditlerin tamamen önlenmesi mümkün olmamakla birlikte alınacak önlemler ve kazandırılacak bilinçle birlikte, hasarın meydana gelmesinden sonra yapılacak müdahalelerle hasarın büyümesini önlemek ve tehdidi etkisiz hale getirmek mümkündür. Hizmeti sunan ve hizmeti alanların, tehdidin zararlarından minimum düzeyde etkilenmesi, sistemin güvenli bir şekilde tekrar hizmete sunulması, benzer tehditlere karşı güvenlik şemsiyelerinin oluşturulması, tehditle birlikte elde edilen tecrübenin aynı tehdidin varyasyonlarına karşı geliştirilerek güvenlik sistemine dahil edilmesi elbette bir bilişim toplumu kültürü ile mümkündür. Bu konuda en başında atılması gereken adım ise güvenlik ile ilgili politikanın, bilişim teknolojileri kullanıcılarına uygun bir şekilde anlatılması ve bilişim teknolojileri güvenlik kültürünün kazandırılmasıdır. Kamu politikaları ile desteklenecek sivil bilinçlenme, bu işi yerine getirecek STK’ların teşvik edilmesi ve yönlendirilmesi ile mümkündür. Bununla ilgili olarak yapılacak değerlendirmede, kamunun mevcut politikasını yeniden yapılandırması, uygulamaya dönük faaliyetlerin, önlem ve prosedürlerin ise gözden geçirilerek revize edilmesi gerekir. Bilişim teknolojilerinde, ulusal ve uluslararası yapının, sosyal ve ekonomik bağlantıların belirli ve belirli olmayan tehditlere karşı güvenliğinin arttırılması, bu konuda meydana gelecek olumsuz bir olayın uluslararası işbirliği ile desteklenerek çözüme kavuşturulması, ortak bir medeniyeti kullanan bizlerin yararınadır. Bilişim sistemleri kullanılarak gerçekleştirilen suç fiillerinin coğrafi olarak sınırlandırılması mümkün değildir. Bilişim suçu, Türkiye’de bulunan bir fail tarafından Çin ağ sistemi üzerinden faydalanılarak Avustralya’da yaşayan bir öğretmenin kendi evinde kullandığı kişisel bilgisayarına yönelik olarak icra edilebilir. Bu durumun çok daha karmaşık olan yapıları da mevcuttur ve olasılık dahilindedir. Siber suç olayının yaşanmasının ardından, suçun faili hakkında işlem başlatılıp başlatılmayacağı, başlatıldı ise sonucu ve failin alacağı ceza durumu ülkeden ülkeye değişmektedir. Özellikle suç fiilinin takibi ve suçlulara yönelik caydırıcılığın sağlanabilmesi için uluslararası arenada ortak bir konsensüsün sağlanması ve işbirliğinin sağlam temeller üzerine oturtulması gerekmektedir. Günümüzde yapılan işbirlikleri şu aşamada ikili işbirliklerine dayalı bir şekilde devam etmektedir. Bazı uluslar üstü organizasyonların global işbirliği çalışmaları 160 mevcutsa da, genel itibari ile tamamlanan çalışmalar organizasyona üye ülkelere ortak ve kalıcı bir birliktelikten yoksun olarak tavsiye niteliği taşımaktadır. Yinede tavsiye niteliği taşıyan ortak kararların alınabilmesi bile, ileriki aşamada ortak fikirlere sahip ülkelerin ortak ve kalıcı kararlar alabilmesi için önemli bir aşamanın tamamlanması anlamına gelmektedir. Bilişim sistemleri ile ilgili düzenlemelere ulusal ve uluslararası örnekler üzerinden baktığımızda genel olarak, dolandırıcılık, sahtekarlık, sabotaj, verilere zarar verme, verilerin hukuka aykırı olarak ele geçirilmesi, veri hırsızlığı ve sisteme izinsiz girerek gerçekleştirilen eylemler konusunda düzenlemeler yapıldığını görmekteyiz. Bilişim suçlarının tasnifi konusunda farklı tanımlamalar yapılmakta, bu durumda ortak bir bilişim suçu tanımı yapılmasını zorlaştırmaktadır. Bilişim suçları, teknolojiye bağımlı olarak hedef ve şekil değiştirirken, teknik olarak işleniş biçimlerinde de farklılıklar yaşanmaktadır. Bu hızlı değişim doğal olarak hukuki durumu etkilemekte, sonuçta ceza yaptırımlarının niteliği değişmektedir. Genel olarak değişen şekline rağmen bilişim suçlarının büyük bölümü ekonomik suç kapsamında işlenmektedir. Avrupa ülkelerinin oluşturduğu organizasyonlarda konuya bu şekilde yaklaşmaktadır (Yücel, 1992: 505). Bilinen ilk uluslar üstü düzenleme 1970'li yıllarda Avrupa Konseyi (AK) tarafından yapılan elektronik bilgi bankalarında işlenen veriler nedeniyle, bireylerin özel hayatının korunmasına yönelik yapılan çalışmalardır. AK Bakanlar Komitesi 1973 ve 1974 yılarında bu konuda iki tavsiye kararı almıştır. Komite tarafından yapılan tavsiyeler, Avrupa ülkeleri tarafından 1970'li yılların sonunda kendi hukuk mevzuatları içerisinde değerlendirilmiş ve mevzuatlara dahil edilmiştir. İlerleyen yıllarda konunun giderek küreselleşmesi karşısında, uluslararası bir sözleşme yapılmasının gerekliliği ortaya çıkmıştır. 1981 yılında Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması'na ilişkin 108 sayılı sözleşme AK üyesi ülkeler tarafından imzalanarak yürürlüğe girmiştir. Bu sözleşmeye Türkiye'de imza atmıştır. Bilişim suçlarının doğası itibariyle hızlı bir şekilde gelişerek değişmesine paralel olarak, AK tarafından çok daha titiz çalışmalar yapılması gerektiği düşüncesi ile OECD'nin 1986 yılında yayınladığı bilişim suçları raporu referans alınarak yeni bir düzenleme yapma çalışmaları başlatılmıştır. 161 Çalışma, bilişim teknolojileri ihlallerinin üye ülkeler tarafından cezalandırılması amacıyla hukuki düzenlemeler yapılması düşüncesi ile hazırlanmıştır. Böylece ceza müeyyidesi gerektiren bilişim suçlarının tespiti yapılabilecek ve özgürlükle güvenlik arasındaki uyuşmazlıklar aşılacaktır. Yayımlanan OECD raporuna yapılan ilaveler ile hazırlanan taslak AK Bakanlar Komitesi tarafından 1989 tarihinde benimsenerek yürürlüğe girmiştir. AK tarafından yapılan bu çalışmalar ilerleyen dönem içinde hazırlanacak olan Avrupa Siber Suç Sözleşmesi (ASSS – EST No. 185) ve Bilişim Sistemleri Aracılığı ile İşlenen Irkçı ve Yabancı Düşmanı Eylemlerinin Suç Haline Getirilmesi için Avrupa Siber Suç Sözleşmesi’ne Ek Protokol (ETS No. 189)’a temel teşkil etmektedir (Dülger, 2004: 103 – 104). 4.1.1. Avrupa Konseyi Tarafından Yapılan Bilişim Suçları ile İlgili Çalışmalar 4.1.1.1. Avrupa Siber Suç Sözleşmesi 51 Bilişim suçları ile mücadele anlayışı içinde işbirlikleri oluşturma kapsamında vücut bulan en önemli ve tek uluslararası sözleşme olan Avrupa Siber Suç Sözleşmesi, AK Devlet ve Hükümet Başkanları tarafından 10–11 Ekim 1997 tarihinde Strazburg'da yapılan İkinci Zirve'de kabul edilen ve yeni bilgi teknolojilerinin gelişimi konusunda Avrupa Konseyinin standartları ve değerlerine dayanan ortak tepkiler verme amacına yönelik eylem alanı göz önünde bulundurularak, Macaristan’ın başkenti Budapeşte’de 2001 Kasımında imzaya açılmış ve ilk beş onayın ardından 1 Temmuz 2004’de yürürlüğe girmiştir. 2008 Kasım ayı itibariyle 39’u AK üyesi ülke ve beş üye olmayan ülke (ABD, Japonya, Güney Afrika, Kanada ve Dağlık Karabağ) tarafından imzalanmıştır. Sözleşmeyi imzalayan ülkelerden 23’ü (Arnavutluk, Ermenistan, Bosna Hersek, Bulgaristan, Hırvatistan, Kıbrıs, Danimarka, Estonya, Finlandiya, Fransa, Macaristan, İzlanda, İtalya, Latviya, Litvanya, Hollanda, Norveç, Romanya, Slovakya, Slovenya, Ukrayna, ABD 52 ve Makedonya) onaylayıp iç hukukuna dâhil etmiştir. İmzalanan sözleşme dört bölüm ve 48 maddeden oluşmakta, birinci bölümde tanımlamalara, ikinci bölümde ulusal düzeyde alınacak önlemlere, 51 Sözleşmenin orijinal metnine, http://conventions.coe.int/treaty/en/projects/cybercrime.htm adresinden, Sözleşme’nin gayri resmi Türkçe tam metnine ise, www.binbilen.org/belgeler/Siber_Suclar_Sozlesmesi .pdf adresinden ulaşılabilir. 52 ABD Senatosu Siber suç Sözleşmesi’ni, 3 Ağustos 2006 tarihinde onaylamıştır (McCullagh ve Broache, 2006). 162 üçüncü bölümde uluslararası işbirliğine ve son olarak dördüncü bölümde diğer hükümlere yer verilmiştir. 30 Haziran 2003 yılına kadar sözleşmeye taraf ülkeler tarafından, sözleşmede belirtilen hususların kendi iç hukuklarına uydurulması ve sözleşmenin yürürlüğe konması kararlaştırılmıştır. Avrupa Siber Suç Sözleşmesi, AK’nin alt çalışma komitelerinden biri olan ASSK (Avrupa Suç Sorunları Komitesi) tarafından hazırlanmıştır. İlk hazırlık çalışmaları 1996 yılında başlayan sözleşmenin 2000 yılında internetten yayınlanarak alınan eleştiriler doğrultusunda hazırlanan ilk taslak metni 2001 yılında ASSK tarafından AK Bakanlar Komitesi’ne sunulmuştur (Özcan, 2002; Özcan, 2003). Sözleşmede tanımlanan suç tipleri dört ana başlık altında ve dokuz kategoride toplanmıştır. Bilgisayar veri veya sistemlerinin gizliliği, bütünlüğü ve kullanıma açık bulunmasına yönelik suçlar yani, yasadışı erişim, yasadışı müdahale, verilere müdahale, sistemlere müdahale ve cihazların kötüye kullanımı birinci ana başlığı, bilgisayar aracılığı ile işlenen sahtecilik suçları ve bilgisayar aracılığı ile işlenen dolandırıcılık yani sanal sahtecilik ve dolandırıcılık suçları ikinci ana başlığı, içeriğe ilişkin suçları yani, çocuk pornografisine ilişkin materyale sahip olma ve uluslararası düzeyde dağıtımının sağlanması üçüncü ana başlığı, fikri mülkiyet haklarının ihlali ve uluslararası düzeyde dağıtımının sağlanması ise dördüncü ve son ana başlığı oluşturmaktadır (Dülger, 2004: 106). Sözleşme bir ilk olmasının getirdiği sıkıntıları içerisinde barındırmaktadır. Bazı akademisyenlere göre sözleşmeyle birlikte kamunun otoritesi bireysel özgürlüklerin üzerinde kalmıştır ve bireysel temel hak ve özgürlükler bu sözleşmeyle sınırlandırılmaktadır. Diğer bir eleştiri konusu ise sözleşmenin bilgisayar suçlarına yönelik yaklaşımından kaynaklanmaktadır. Sözleşme, bilişim suçunun var olabilmesi için bir bilgisayar sisteminin varlığını aramaktadır. Sözleşme içerisinde yer alan suç tanımlamaları içerisinde özellikle iki ve onuncu madde arasında internet veya siber uzay olarak kullanılan bilişim ortamı ifadelerine hiç yer verilmemiştir. Günümüzde bilgisayar kadar özellikli cihazların varlığı kendini daha çok hissettirmekteyken, gelecekte kullanıma sunulacak teknolojik cihazlara yönelik saldırılar için adı geçen sözleşmede suç tanımlaması yapılmamış olması, sözleşmeye getirilen en ciddi eleştirilerden biridir. Yaklaşık olarak dört yıllık bir çalışmanın ardından hazırlanan 163 sözleşmenin sektörel ve kamusal ihtiyaçları karşılayamaması, taslak metni halindeyken bile sözleşmenin yeterli incelemeden geçirilmediği yorumlarına zemin hazırlamaktadır. Avrupa Siber Suç Sözleşmesine getirilen diğer eleştirilerden bazıları yine sözleşmenin hazırlanmasında STK’ların görüş ve önerilerinin alınmaması, servis sağlayıcılara ağır mali yükümlükler getirmesi ve soruşturma – araştırma faaliyetlerinin yürütülmesinde uluslararası insan haklarının ihlal edildiği konularında birleşmektedir. 4.1.1.2. Bilişim Sistemleri Aracılığı İle İşlenen Irkçı ve Yabancı Düşmanı Eylemlerinin Suç Haline Getirilmesi için Avrupa Siber Suç Sözleşmesi’ne Ek Protokol 53 Avrupa Birliği’nin giderek artan oranda sınırlarını kaldırması, göç olgusunun AB’nin en büyük sorunu haline gelmesi ve bu duruma karşılık AB vatandaşlarının göç etmiş bireylere karşı takındıkları tavır sebebiyle ırkçılık ve yabancı düşmanlığı AB içerisindeki ülkeler için büyük bir sorun haline gelmiştir. Bu sebeple imzaya açıldığı Ocak 2003’ten bu yana 30 üye devlet ve Kanada ile Güney Afrika toplam 32 devlet tarafından imzalanan protokol, beş onayın ardından 1 Mart 2006’da yürürlüğe girmiş, Kasım 2008 itibariyle de yalnızca 13 üye devlet (Arnavutluk, Bosna Hersek, Hırvatistan, Danimarka, Estonya, Finlandiya, Fransa, Kıbrıs, Latviya, Litvanya, Norveç, Slovenya, Ukrayna ve Makedonya) tarafından onaylanıp iç hukuka dâhil edilmiştir. Dört ana başlıktan ve 16 maddeden oluşan protokolün birinci bölümü Genel Hükümler, ikinci bölümü Ulusal Düzeyde Alınabilecek Tedbirler, üçüncü bölümü Sözleşme ve Protokol Arasındaki İlişkiler ve son bölümü ise Son Hükümler’ den oluşmaktadır (Özcan, 2003; Dülger, 2004: 108). Ek protokol, Avrupa Siber Sözleşmesinin kapsamının esasa, usule ve uluslararası işbirliğine dair hükümleriyle birlikte ırkçılık ve yabancı düşmanlığı propagandası suçlarını içerecek şekilde genişletilmesini amaçlamaktadır. Protokolün sözleşmeye ilave edilmesi, hukuksal açıdan maddi unsurların belirlenmesi ve uluslararası işbirliklerinin güçlendirilmesi gayesiyle yapılmıştır. Bu şekilde 53 Ek Protokol’ün orijinal metnine; http://conventions.coe.int/Treaty/en/Treaties/Html/189.htm adresinden ulaşılabilir. 164 sözleşmeye taraf devletler, ırkçılık ve yabancı düşmanlığı ile ilgili dijital ortamda yapılan yayınların ve propagandanın önlenmesi ve durumun suç sayılmasını kabul etmektedirler. Ayrıca protokol, suç unsuru içerik kavramının tanımlamasını yapmakta ve suç unsuru eylemlerin neleri içereceğini belirlemektedir. Buna göre II. Dünya Savaşı sırasında yaşanan soykırım ve insanlığa karşı suçların inkarı, küçümsenmesi, onaylanması ve meşru görülmesi dahi ırkçılık ve yabancı düşmanlığını içeren tehdit ve aşağılamalar olarak cezalandırılması gereken suçlar kapsamı içine alınmıştır. 4.1.1.3. Avrupa Konseyi Terörizmin Önlenmesi Sözleşmesi 54 2005 yılında Varşova’da imzaya açılan Avrupa Konseyi Terörizmin Önlenmesi Sözleşmesi (CETS No. 196), 2007 Haziran’ında yürürlüğe girmiştir ve yukarıda bahsedilen ASSS ve Ek Protokol’den farklı olarak ülkemiz tarafından imzalanmıştır. Sözleşme web sitesi engelleme önlemi getirmemekle birlikte, yayın ve propaganda suçlarına yönelik yaptırımlar getirmektedir. Türkiye, Avrupa Konseyi Çocukların Cinsel Sömürü ve İstismardan Korunmasına Dair Sözleşmeyi 55 (CETS No. 201) imzalamış fakat henüz iç hukuka geçirmemiştir. Çocuk pornografisi suçlarını (20. madde) içeren bu Avrupa Konseyi Sözleşmesi’nde de bu tür suçlarla ilgili olarak erişim engelleme önlemi yer almamaktadır. Sözleşmeyle birlikte 56 internet üzerinden terör suçlarının işlenmesine tahrik, terör amaçlı eleman toplama ile terörizm amaçlı ideolojik ve askeri eğitimin verilmesi suçlarına yönelik ülkelerin konuyla ilgili yapacakları düzenlemelere hukuki temel oluşturulmuştur. 4.1.1.4. Avrupa Konseyi Siber Suç Sözleşmesi ve Türk Hukukunda Bilişim Suçları 10–11 Ekim 1997 tarihinde, yeni bilgi teknolojilerinin gelişimi konusunda Avrupa Konseyinin standartları ve değerlerine dayanan ortak tepkiler verme amacına yönelik olarak Strazburg'da yapılan İkinci Zirve'de toplantısında, Avrupa Birliği Siber Suçlar 54 Sözleşmenin orijinal metnine; www.icj.org/IMG/pdf/CoE_Convention-2005.doc.pdf adresinden ulaşılabilir. 55 Sözleşmenin orijinal metnine; http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=201&CL=ENG adresinden ulaşılabilir. 56 Avrupa Konseyi Terörizmin Önlenmesi Sözleşmesi’nin, 5 – 6 ve 7. maddeleri. 165 Sözleşmesi Avrupa Konseyi Devlet ve Hükümet Başkanları tarafından kabul edilmiştir. Sözü edilen sözleşme hali hazırda ülkemiz tarafından onaylanmamıştır fakat sözleşmede geçen pek çok konuya gerek TCK, gerekse 5651 Sayılı yasada değinilmiştir. Bu bölümde Avrupa Konseyi Siber Suç Sözleşmesi ile ilgili ulusal mevzuatlar arasındaki benzerliklere ve farklılıklara değinilecektir. ASSS, Bölüm II - Ulusal Düzeyde Alınacak Önlemler Kısım 1 - Maddî Ceza Hukuku ve Başlık 1 - Bilgisayar veri ve sistemlerinin gizliliğine, bütünlüğüne ve kullanıma açık bulunmasına yönelik suçlar altında madde ikiden başlamak suretiyle ilgili suç tanımlarını sıralamıştır. Madde 2’de geçen Yasadışı Erişim kapsamında sözü edilen suç unsuru fiil, hukukumuzda TCK 3. Kısım Onuncu Bölüm, Bilişim Alanında Suçlar ana başlığı altında Bilişim Sistemine Girme (madde 243) alt başlığı nezdinde açıklanmıştır. Avrupa Konseyi Siber Suç Sözleşmesi madde 3, 4 ve 5 kapsamında suç sayılan haller ise yine TCK madde 244’de ifade edilmiştir. ASSS, Madde 6’da Cihazların Kötüye Kullanımı konusuna değinilmiştir. Bu maddede daha önce bahsedilen ve 2. maddeden 5. maddeye kadar olan bölümde işlenen suçların icrasına yönelik cihazların satışı, kullanım amacıyla tedariki, ithali, dağıtımı veya başka surette elde edilmesi hususu ele alınmıştır. Bu maddeyle ilgili ulusal mevzuatımızda 5846 sayılı Fikir ve Sanat Eserleri Kanunu kapsamında tam anlamıyla olmasa bile 73. Maddenin (Değişik: 1/11/1983–2936/13 md.) beşinci bendinde; “(Ek: 7/6/1995 – 4110/25 md.) Yegane amacı bir bilgisayar programını korumak için uygulanan bir teknik aygıtın geçersiz kılınmasına veya izinsiz ortadan kaldırılmasına yarayan herhangi bir teknik aracı ticari amaç için elinde bulunduran veya dağıtan, (Değişik: 7/6/1995 – 4110/25 md.) Kişiler hakkında üç aydan üç yıla kadar hapis ve 300 milyon liradan 600 milyon liraya kadar ağır para cezasına hükmolunur.” şeklinde bir düzenleme bulunmaktadır. TCK ile ilgili olarak eleştirilecek bir nokta 243. maddede geçen: “Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi hâlinde, verilecek ceza yarı oranına kadar indirilir.” ifadesidir. 166 İlgili ifade muğlâk bir ifade olup bedeli karşılığı yararlanılabilen sistemler ile neyin kastedildiği açıkça izah edilmemiştir. ASSS’ de Başlık 2 kapsamında Bilgisayarlarla İlişkili Suçlar tanımlanmıştır. Bu bağlamda Madde 7’de Bilgisayarlarla İlişkili Sahtecilik Fiillerini, Madde 8’de ise Bilgisayarlarla İlişkili Sahtekârlık Fiilleri düzenlemiştir. 7. maddede: “Taraflardan her biri, söz konusu verilerin doğrudan doğruya okunabilir ve anlaşılabilir nitelikte olup olmadığına bakılmaksızın, bilgisayar verilerine yeni veriler ilave etme ve bilgisayar verilerini değiştirme, silme veya erişilemez kılma ve böylece orijinal verilerden farklı veriler meydana getirme fiilinin, söz konusu farklı verilerin hukuki açıdan orijinal verilermiş gibi değerlendirilmesi amacıyla, kasıtlı olarak ve haksız şekilde yapıldığında kendi ulusal mevzuatı kapsamında cezaî birer suç olarak tanımlanması için gerekli olabilecek yasama işlemlerini ve diğer işlemleri yapacaktır. Taraflar, bu gibi durumlarda cezaî sorumluluğun ortaya çıkmasını, hile veya benzeri bir sahtekârlık niyetinin mevcut olması şartına bağlayabilirler” denmektedir. 8. maddede ise: “Taraflardan her biri, aşağıdaki faaliyetlerde bulunmak suretiyle bir başkasının mülkiyetinin ziyanına sebep olma fiilinin, kasıtlı ve haksız olarak yapıldığında, kendi ulusal mevzuatı kapsamında cezaî birer suç olarak tanımlanması için gerekli olabilecek yasama işlemlerini ve diğer işlemleri yapacaktır: a. Sahtekârlık yoluyla kendisi veya bir başkasına haksız maddi menfaat sağlamak amacıyla, bilgisayar verilerine herhangi bir şekilde yeni veriler ekleme, bilgisayar verilerini herhangi bir şekilde değiştirme, silme veya erişilemez kılma; b. Sahtekârlık yoluyla kendisi veya bir başkasına haksız maddi menfaat sağlamak amacıyla, bir bilgisayar sisteminin işleyişine herhangi bir şekilde müdahale etme.” ifadeleri yer almaktadır. Bahsedilen 7. ve 8. maddeler, TCK 244 maddede spesifik olarak sahtecilik ile bağlantılı halde değerlendirilmiştir. Keza 5237 Sayılı TCK, madde 244 ile bilişim suçlarında suça konu yazılım ve verileri koruma altına almış, bilişim sisteminin donanımına karşı yapılabilecek zarar verme eylemlerini de; bozmak, yok etmek, erişilmez kılmak şeklinde suç saymıştır. Ayrıca madde 244’de geçen; “(4) Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması hâlinde, iki yıldan altı yıla kadar hapis ve beş bin güne kadar adlî para cezasına hükmolunur.” ifadesi ile haksız kazanç kavramına dâhil 167 olunacak sahtecilik ve emniyeti suiistimal yolu ile dolandırıcılık fiilleri bilişim vasıtasıyla işlense bile cezai yaptırım içine alınmıştır. Bununla birlikte hırsızlık konusu suç fiilinin, bilişim sistemleri ile işlenmesi nitelikli hırsızlık kapsamında değerlendirilmiş ve TCK madde 142/2-e bendi ile ifade edilmiştir. Aynı şekilde dolandırıcılık suçu da TCK Madde 158/1-f bendinde; Bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması suretiyle işlenmesi şeklinde nitelikli dolandırıcılık kapsamında izah edilmiştir. ASSS’de, 3.Başlık altında İçerikle İlişkili Suçlar düzenlenmiş, madde 9 kapsamında ise Çocuk Pornografisiyle İlişkili Suçlar düzenlenmiştir. Çocuk pornografisi ile ilgili yasal düzenleme Çocukların Cinsel İstismarı başlığı altında TCK madde 103’de ifade edilmiştir. Ayrıca 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunun 8. maddesinin 2, 5 ve 6. bendenlerinde TCK’nın ilgili maddelerine atıfta bulunularak çocuk pornografisi ile ilgili bir düzenleme yapılmıştır. Telif Haklarının ve Benzer Hakların İhlaline İlişkin Suçlar konusu ASSS’de 4. Başlık, 10. Madde’de incelenmiştir. Söz konusu suç kavramı Edebi ve Sanatsal Eserlerin Korunmasına Yönelik Bern Konvansiyonu çerçevesindeki 24 Temmuz 1971 tarihli Paris Yasası, Fikri Mülkiyet Haklarının Ticari Yönlerine İlişkin Sözleşme ve WIPO Telif Hakları Anlaşması kapsamında değerlendirilmiş ve ilgili ülkelere yukarda bahsedilen sözleşmelere ithafen kendi iç hukuklarındaki düzenlemeye yönelik bir uygulama tercihi sunulmuştur. Ülkemizde ise telif haklarıyla ilgili düzenleme ayrı bir kanun olan 5846 sayılı Fikir ve Sanat Eserleri Kanununda yapılmıştır. İlgili kanunun 6. maddesinin 10 ve 11 bendlerinde durum; “10. (Ek: 7/6/1995 – 4110/3 md.) Bir bilgisayar programının uyarlanması düzenlenmesi veya herhangi bir değişim yapılması; 11. (EK: 7/6/1995 – 4110/3 md.) Belli bir maksada göre ve hususi bir plan dâhilinde verilerin ve materyallerin seçilip derlenmesi sonucu ortaya çıkan veri tabanları (Ancak, burada sağlanan koruma, veri tabanı içinde bulunan verilere materyalin korunması için genişletilemez).” şeklinde ifade edilmiştir. Ayrıca çoğaltma hakkı ile ilgili olarak 5846 sayılı kanunun 22. Maddesinde kanun koyucu: “Çoğaltma hakkı, bilgisayar programının geçici çoğaltılmasını gerektirdiği ölçüde, programın yüklenmesi, görüntülenmesi, çalıştırılması, iletilmesi ve depolanması fiillerini de kapsar.” şeklinde bir ifade kullanarak, bilgisayar programlarını diğer fikir ve sanat eserleriyle aynı tutmuştur. Çoğaltma ve kopya 168 eserin kullanımı ile ilgili daha kapsamlı bir açıklama ilgili kanunun 38. maddesinde Şahsen Kullanma başlığı altında düzenlenmiştir. Bu maddeye göre; “Bütün fikir ve sanat eserlerinin, yayımlanma veya kar amacı güdülmeksizin şahsen kullanmaya mahsus çoğaltılması mümkündür.” ve devamındaki ifadelerde bilişim konusuyla ilgili açıklamalarda bulunularak, bilişim ve bilgisayar teknolojileri çerçevesinde bilgisayar kodları ve kod formu, bilgisayar programları ve program parçaları fikir ve sanat eseri sıfatı dâhilinde değerlendirilmiştir. Fikir ve sanat eserlerinin işaretlenmesi ile ilgili Madde 44’te de; “Her türlü boş videokaseti, ses kaseti, kompakt disk, bilgisayar disketi imal veya ticari amaçla ithal eden gerçek ve tüzel kişiler, imalat veya ithalat bedeli üzerinden yüzde beşi geçmemek üzere Bakanlar Kurulu kararıyla belirlenecek orandaki miktarı keserek, bir ay içinde topladıkları meblağı, sonraki ayın en geç yarısına kadar Kültür Bakanlığı adına bir ulusal bankada açılacak özel hesaba yatırmakla yükümlüdürler.” denilerek aynı şekilde bilişim kapsamındaki pek çok materyal, fikir ve sanat eseri kapsama alınmıştır. Son olarak, ASSS’ nin 5. Başlığında ele alınan İlave Yükümlülük ve Yaptırımlar alt başlığı altında, Madde 11’de Teşebbüste bulunmak ve yardım ya da yataklık etmek, Madde 12’de Kurumsal yükümlülük ve Madde 13’te Yaptırımlar ve Önlemler konularına değinilmiştir. İlgili başlıklar altında üye ülkelere mevzuatların uyumu için diğer maddelerde olduğu gibi suçun tanımı ve müeyyideleri ile ilgili tavsiyelerde bulunulmuştur. Ülkemizde TCK’da Madde 11 genel teşebbüs tanımı içinde değerlendirilmiş, madde 12’deki kurumsal yükümlülükler hususu tüzel kişileri de kapsayacak şekilde tamamlanmış ve madde 13’te belirtildiği üzere gerekli cezai yaptırımlar ve önlemler ilgili suç konusu fillilerin tanımından sonra kanuna eklenmiştir. Sonuç olarak, ülkemizde bilişim teknolojileri vasıtasıyla işlenebilecek suçlara karşı genel anlamda TCK içinde, özel olarak ise 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve 5846 sayılı Fikir ve Sanat Eserleri Kanunu ile önlem alınmıştır. Kanun koyucu TCK bünyesinde ayrıca 2. Kısım: Dokuzuncu Bölüm, Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar başlığı altında madde 132’den 140’a kadar; 169 a. Haberleşmenin Gizliliğini İhlal (TCK m.132) b. Kişiler Arasındaki Konuşmaların Dinlenmesi ve Kayda Alınması (TCK m.133) c. Özel Hayatın Gizliliğini İhlal (TCK m.134) d. Kişisel Verilerin Kaydedilmesi (TCK m.135) e. Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme (TCK m.136) f. Nitelikli Haller (TCK m.137) g. Verileri Yok Etmeme (TCK m.138) h. Şikâyet (TCK m.139) ve i. Tüzel Kişiler Hakkında Güvenlik Tedbiri Uygulanması (TCK m.140), konularında düzenleme yapmıştır. Bununla birlikte yine kanun koyucu TCK’da 3. Kısım Onuncu Bölüm, Bilişim Alanında Suçlar başlığı altında, 245. maddede Banka veya Kredi Kartlarının Kötüye Kullanılması alt başlığının birinci bendinde, kredi kartlarının yasadışı yollarla ele geçirilmesini, kullanılmasını ve kullandırılmasını suç fiili olarak saymıştır. Aynı maddenin ikinci bendinde, sahte banka veya kredi kartlarını üretmeyi, devretmeyi, satmayı, almayı veya kabul etmeyi yine bilişim suçları kapsamında değerlendirmiştir. Yine mevzuatımızda, 5070 sayılı Elektronik İmza Kanununda elektronik imza usulleri düzenlenmiş, ilgili kanunun Denetim ve Ceza Hükümlerini kapsayan üçüncü kısmında Madde 16’da imza oluşturma verilerinin izinsiz kullanımı ve 17. Maddesinde ise elektronik sertifikalarda sahtekârlık konuları ve cezai hükümleri açıklanmıştır. Yeni bir alan olan siber suçlar ve bilişim teknolojileri vasıtasıyla işlenen suçların kapsamının gelişmelere açık bir şekilde ele alınması gerekmektedir. Bu bağlamda hukuksal kavramların güncellenerek kanunlaştırılmasında büyük önem vardır. Avrupa Konseyi Siber Suç Sözleşmesi kapsamında ifade edilen konular üye ülkelerin uymaları gereken konular olarak belirlenmiştir fakat uygulama kısmının üye ülkelere bırakıldığını söyleyebiliriz. Bu bakımdan ülkemiz açısından düşünüldüğünde, sözü geçen sözleşmede istenen hususlar zaten ulusal mevzuatlara konulmuş haldedir. Fakat bilindiği gibi Türkiye ASSS’yi henüz onaylamamıştır. 170 Bilişim hukukunun, uluslararası bir boyuta doğal olarak sahip olduğu düşünülürse, uluslararası işbirliği çerçevesinde, özellikle AB ile yakın ilişkilerimizin varlığı göz önüne alınarak gerekli adımların atılması ve ASSS’ye taraf olunması şu aşamada bir gereklilik arz etmektedir denilebilir. Uygulamaya dönük yaklaşımlarda kendini zaman içinde bulacaktır. Gerek mahkemelerimiz tarafından alınan ortak kararlar, gerekse uluslararası hukukta varılan içtihatlar global bir bilişim hukuku mevzuatının ortaya çıkmasına yardımcı olacaktır. 4.1.2. Avrupa Birliği Tarafından Yapılan Bilişim Suçları ile İlgili Çalışmalar 27 üyeli AB’de 2008 yılı verilerine göre internet kullanıcısı sayısı 292.988.821’dir. Dünya nüfusunun % 7’sini oluşturan AB ülkelerinin internete nüfuz oranı ise % 59,9’dur 57 ve 2000 yılından 2008 yılına kadar internet kullanım oranı % 210,4 artmış olan AB internet kullanıcı nüfusu, dünya çapında internet kullanan toplam nüfusun % 20’sini oluşturmaktadır. 30 Haziran 2008 tarihli verilere göre AB’ne aday ülkelerin durumuna göz attığımızda ise Hırvatistan ve Makedonya ile birlikte Türkiye’nin de internet kullanımında 2000 yılından bu yana büyük bir artışın yaşandığını söyleyebiliriz. AB’ye üye ülkelerin ortalama internet kullanım oranı % 37,2 iken, Türkiye’de bu oran % 36, 9’dur ve internet kullanım oranında ortalamaya yakın bir seviyededir (IWS, 2008). Tablo 25: Avrupa Birliği’nde En Çok İnternet Kullanan İlk On Ülke 58 57 58 İnternet kullanımında dünya ortalaması ise % 21,9’dur. IWS (Internet Usage in European Union), www.internetworldstats.com/stats9.htm. 171 AB için bilişim teknolojileri önemli bir politikaya dayandırılmalıdır ve AB’nin temel ruhuna aykırı uygulamalardan kaçınılması gerektiği çıkarılan Çerçeve Kararlarla defaten dile getirilmektedir. Elektronik alanda yapılan ticari faaliyetlerden, bilginin serbest dolaşımına kadar pek çok konu üzerinde hassasiyetle durulmaktadır. Aynı şekilde AB’ne aday ülkelerinde internet kullanımı konusunda hassasiyet içinde hareket ettiğini Birlik, yayınladığı raporla takip etmektedir. AB’ne aday statüsü kazanan ülkemizde yaşanan gelişmelerle birlikte bilişim sektörü için bu güne kadar atılan adımlara ek olarak sağlam politikaların oluşturulması için, AB’nin aldığı kararların iyi bir şekilde analiz edilmesi ve uygun yollarla hukuksal ve kamusal alana adapte edilmesi sağlanmalıdır. Yasaklamaların ve engellemelerin ötesinde, güncel, tüm alanlarda uygulanabilir ve kabul edilebilir uygulamaların hayata geçirilmesi gerekmektedir. Bunun için ise teknoloji pazarına hakim bir anlayış benimsenerek Ar – Ge çalışmalarına AB standartlarında önem verilmesi gerekmektedir. Bilginin serbest dolaşımını, temel hedeflerinden biri olarak tanımlayan Avrupa Birliği’nde, bir bilgi toplumu yaratma gayesi ile elektronik ticaretin geliştirilmesi, verilerin korunması, özel yaşamın gizliliğinin korunması, kadın haklarının kuvvetlendirilmesinin sağlanması, çocukların cinsel istismarının önlenmesi, ırkçılık ve yabancı düşmanlığı ile mücadele edilmesi, terörizmle ilintili her türlü hareketin izlenmesi ve önlenmesi amacıyla gerekli tedbirlerin alınması ve ileri teknoloji suçlarıyla mücadele amacıyla işbirliklerinin kuvvetlendirilmesi hedeflenmektedir. Avrupa Komisyonu kapsamında pek çok sorunun 1996’dan bu yana araştırıldığını ve tanımlandığını belirtmek yerinde olacaktır. AB Komisyonu, 1998 yılında internetin daha güvenli kullanımı amacıyla bir Eylem Planı (Action Plan) geliştirmiş ve plan kapsamında zararlı içerik durumlarına, hukuka aykırı içerik durumlarından farklı bir şekilde muamele edilmesi önerisinde bulunmuştur. AB’nin temel sütunlarını oluşturan özgürlük, güvenlik ve adalet bölgesi oluşturma inancının devam ettirilebilmesi, AB Konseyi tarafından 1999 Ekiminde Tampere’de yapılan toplantıda ele alınan siber suçların önlenmesi için mücadele anlayışı ile desteklenmektedir. AB, bilişim suçlarıyla mücadele politikasını özgürlükler üzerine kurmuştur. 2004 yılında Konsey Çerçeve Kararı (OJEU, 2004: 44 – 48) ile 2005 yılında alınan 172 Konsey Çerçeve Kararıyla (OJEU, 2005: 67 – 71), çocuk pornografisi ve bilişim suçları ile mücadele de düzenlemeler yapılmıştır. Yine AB tarafından alınan Konsey Çerçeve Kararı ile ırkçılık ve yabancı düşmanlığı ile mücadele için üye ülkelere yönelik bir yasal düzenleme yoluna gidilmiştir. AB’nin terörizmle mücadele konseptinde Avrupa toplumunun geneline internete özgür gelişim anlayışı hakimdir. Birlik, kapatma kararının kullanışlı bir seçenek olmadığını, kapatılan sitelerin tekrar yayına açıldığını, erişimin engellenmesi seçeneğinden çok terörist propaganda ve uzmanlığın yayılmasını önlemek amacıyla hukuki yasal düzenlemelerin hayata geçirilmesini genel politika olarak benimsemektedir. Siber suçların önlenmesi ve kullanıcıların siber suç mağduru olmalarının önüne geçilmesi amacıyla 2002 yılında daha güvenli internet kullanımı için AB Eylem Planı hazırlanmıştır. Yapılan bu eylem planı ilk olarak üç yıl için tasarlanmıştır. Fakat daha sonra plan 2008 yılını da kapsayacak şekilde genişletilmiş, ardından 2013 yılına kadar uzatma kararı alınmıştır. 2005 yılından 2008’e kadar yapılan ilk uzatmada, plana ayrılan bütçe 45 milyon Euro’dur. Bu bütçenin yaklaşık yarısı farkındalığı arttırmak, üçte biri yasal olmayan içerikle mücadele amacıyla, yaklaşık %15’ i zararlı içeriğin engellenmesi ve % 15’ i de daha güvenli bir internet ortamına özendirilmesi çalışmalarına ayrılmıştır. İkinci uzatmada ise çocukların güvenli internet kullanımını, kamusal farkındalığın artırılmasını ve yasadışı içeriğin ihbarının yapılabilmesi amacıyla ulusal merkezlerin kurulması göz önünde bulundurulmuştur. Bu sebeple 2009’ dan 2013’e kadar uzatılan eylem planına 55 milyon Euro bütçe ayrılmıştır. AB Ülkeleri eylem planı kapsamında bir engelleme veya kapatma kararını alırken AİHS’ nin 10. maddesine ve AİHM tarafından verilen kararlara uygun hareket etmek zorundadır. AB üyesi herhangi bir ülkenin zorunlu toplumsal gereksinimine dayalı engelleme veya kapatma kararının AİHS’ nin 10.maddesi ile güvence altına alınan ifade özgürlüğüyle uyumlu olup olmadığına, nihai olarak Avrupa Mahkemesi karar verir. 4.1.2.1. Avrupa Birliği Politikaları ve Türkiye’nin Uyumu Ülkemizdeki uygulamaların aksine, Avrupa Konseyi Bakanlar Komitesi (AKBK) 2007 tarihli tavsiye kararıyla (Committee of Ministers Recommendation – CM/Rec), 173 haberleşme özgürlüğü ve internetin sınırsız yaratıcılığını teşvik etmeleri için üye ülkelere çağrıda bulunmuştur. Yapılan çağrının genel amacı, bireylerin özgürce ve sınırlandırılmadan özellikle interneti ve diğer iletişim araçlarının tamamını kullanabilmelerinin, vatandaşı oldukları ülkelerin resmi kurumlarınca sağlanmasıdır. AKBK tarafından 26 Mart 2008’de Bakan temsilcilerinin 1022. toplantısında kabul edilen tavsiye kararında ise 2003 tarihli AKBK Bildirgesine atıfta bulunularak, kamu otoritesinin genel engelleme ve filtreleme önlemleriyle, kamusal bilgilere erişimi ve internet üzerinden kesintisiz iletişimi engellememeleri hatırlatılmıştır. Aynı tavsiye kararında bazı web sitelerine erişimin siyasi gerekçelerle engellendiği ve ön denetime dayalı bu devlet uygulamalarının kınanması gerektiği ifade edilmiştir. Tüm bu özgürleştirme çalışmalarının yanında, çocukların zararlı içeriklerden korunabilmesi amacıyla devlet eliyle okul, kütüphane ve toplu erişimin mümkün olduğu internet kafe tarzı yerlerde filtreleme uygulamalarının hayata geçirilmesi de yine aynı kararda belirtilmiştir. 6 Mart 2008 tarihli AKBK tavsiye kararında ise üye ülkelerin, internete erişimin yasaklanması kararı alınırken, Avrupa İnsan Hakları Sözleşmesi ve Avrupa İnsan Hakları Mahkemesi’nin aldığı kararlara atfen benimsenen içtihatlara uygun şekilde davranmanın altı çizilmiştir. AKBK tarafından 26 Mart 2008’de alınan karar gereği düzenlenen rehbere göre, internet kullanıcılarına, içeriğin filtrelenmesi veya engellenmesi durumunda, alınan bu yasaklama kararına karşı itiraz yoluna gidebilme, yasaklamaya ilişkin açıklama isteme ve düzeltme isteme haklarının verilmesi gerekmektedir. Aynı rehbere göre devlet otoritesi tarafından yürütülen filtreleme veya engelleme uygulaması, filtrelemenin belli ve açıkça bilinen bir içerikle ilişkili olmasına, içeriğin hukuka aykırılığının yetkili ulusal yargı makamları tarafından onanmasına ve alınan karara karşı AİHS’nin 6. maddesi gereğince bağımsız ve tarafsız bir mahkeme veya düzenleyici bir kurum tarafından yeniden incelenmesinin mümkün olmasına bağlıdır. Tüm bunlara ek olarak alınan engelleme ve filtreleme kararlarının, zararlı içeriklerden özellikle çocukları korumaya yönelik olması, olumsuz etkilenebilecek grubun parçası olmayan kullanıcılar açısından yaygın engelleme ve filtrelemelerden kaçınılması gerektiği vurgulanmıştır. 174 Ülkemizdeki güvenlik amacıyla devlet otoritesi üzerinden yürütülen filtreleme ve engelleme uygulamalarına baktığımızda genel itibariyle çocuk ve yetişkin ayrımı gözetilmediğini görmekteyiz. AB standartlarına uymayan uygulamalar ülkemizi uluslararası alanda zor duruma sokmaktadır. İçeriğe konu suç unsurlarının filtrelenmesinden ziyade, YouTube sitesinin mahkeme kararıyla engellenmesi gibi hizmet sağlayan bir internet sitesinin tamamen kaldırılması türü uygulamalara yer verilmektedir ve bu yöntem bilinen en popüler uygulamadır. Bu uygulamanın ise günümüz ve internet şartları ile geçerliliği yoktur. Mahkeme kararına rağmen belirli sunucular üzerinden YouTube dahil istenilen tüm internet adreslerine ulaşmak mümkündür. Bir sitenin tamamen engellenmesinden ziyade içeriğe ilişkin engelleyici tedbirlerin alınması uygulamada çok daha yapıcı ve geçerli olacaktır. Belirtmek gerekir ki, AB ve AK uygulamaları ile ülkemizdeki uygulamaların bir kısmı örtüşmese de, engelleme kararının yerel mahkemeler tarafından alınıyor olması ve itiraz yolunun açık olması, alınan kararların gerekçelerinin belirtilmesi uygulamanın usul olarak doğru yapıldığını göstermektedir. Bu kapsamda 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’un uluslararası ve supranasyonel örgütler tarafından sürdürülen politikalar ile uyum sorunu yaşadığı, vurgulanması gereken önemli bir konudur. Yasaklamacı bir politikadan ziyade bilgi toplumu olmanın temel özelliklerinden olan eğitici ve bilinçlendirici yaklaşımların ulusal politikaya yansımasını kolaylaştırmanın yollarının aranması gerekmektedir. Kaldı ki AB Bakalar Konseyi tarafından yayımlanan bildirge ve tavsiyelerde ve AK tarafından hazırlanan Avrupa Konseyi Siber suç Sözleşmesi, Ek Protokolü ve Terörizmi Önleme Sözleşmesi’nde internet özgürlüğe açılan bir kapı olarak görülmekte, suç amaçlı internet kullanımına yönelik olarak erişimin engellenmesi uygulamalarına pozitif bir seçenek olarak bakılmamaktadır. 4.1.3. O.E.C.D Ülkeleri Bilişim Teknolojileri Politikası Bilgi Sistemleri Güvenliğine İlişkin OECD Rehber İlkeleri ülkelerin egemenlik haklarını etkilemeden, isteğe bağlı olarak, geliştirilecek ulusal politika, uygulama ve 175 önlem prosedürlerine yol gösterici olarak ele alınmış ve kullanıcılar üzerinde bir kültür bilincinin oluşmasına katkı sağlayacağı düşünülerek analiz edilmeye çalışılmıştır. Ulusal ve uluslararası politikaların koordinasyonun sağlanması, ilgili ülkelerin hazırlayacağı güvenlik kültürü çerçeve ilkelerinin tüm bilişim teknolojileri kullanan, sağlayan, geliştiren, sahip olan ve hizmete sunan öğelere dağıtılması, tanıtılması ve uygulanması ile mümkündür. Ülkelerin hazırlayacağı çerçeve ilkeler ise bilişim teknolojileri kullanıcısı olan kurum ve kuruluşların, iş çevrelerinin ve kişisel kullanıcıların ortak bir platformda buluşturulması ve görüşlerinin alınması ile belirlenecek dönemler içerisinde yeniden gözden geçirilerek geliştirilmelidir. Kurumsal kullanımlar içinde bile bilişim teknolojisinin kullanıcısı bireydir. Gerekli bilinçlenme ve güvenlik algılaması önce bireylerden başlamalıdır ve kişisel güvenlik kültürünün geliştirilmesi ile teşviki bu bağlamda önceliklerimizden olmalıdır. Türkiye’nin de üyesi olduğu OECD topluluğu kuruluşundan bu yana bilgi ve bilim politikalarına önem veren önemli bir organizasyondur. OECD, üye ülkelerin bilişim suçlarıyla ilgili kendi kanunlarında düzenledikleri ulusal ceza yargılaması çalışmalarını uyumlaştırmak için 1983 yılında çalışmalar başlatmıştır. Başlatılan bu çalışmalar bilinen ilk uygulamaya dönük uyum çalışmalarıdır. Çalışmalar 1986 yılında yayınlanan Computer – Related Crime: Analysis of Legal Policy (Bilgisayar Bağlantılı Suçlar: Yasal Politika Analizi) başlıklı raporla somutlaştırılmıştır. Hazırlanan bu politika oluşturma raporuna göre üye ülkelere; a. Bilgisayar yoluyla dolandırıcılık, b. Bilgisayar yoluyla sahtecilik, c. Bilgisayar program ve verilerinde değişiklik yapılması, d. Bilgisayar programlarının telif haklarına aykırı olarak kopyalanması, çoğaltılması ve dağıtılması, e. Telekomünikasyon sistemlerinin, bilgisayarın diğer fonksiyonların ve iletişimin değişikliğe uğratılması, konularında yasal düzenleme yapmaları konusunda çağrıda bulunulmuştur (Değirmenci, 2003). Bilgisayar Bağlantılı Suçlar: Yasal Politika Analizi adlı raporu hazırlayan komite, ayrıca üye ülkelerin ticari sırların korunması, bilgisayar sistemlerinin 176 yetkisiz kullanımı ve bilgisayar sistemlerine yetkisiz girişi de yasal düzenlemelerle ceza hukuku kapsamında değerlendirmesi gerektiğini tavsiye etmektedir. OECD bu tavsiyelerde bulunurken üye ülkelerin hukuksal uygulamalarını karşılaştırmış ve ortak bir konsensüs oluşturmayı amaçlamıştır. OECD’nin 1990’lı yıllardan sonra yapmış olduğu çalışmalar sistem güvenliği üzerine yoğunlaşmıştır. STK, özel sektör temsilcileri, hükümet personeli ve akademisyenlerle ortak bir politika oluşturma çalışmalarına ağırlık veren OECD, diğer uluslararası kuruluşların bilişim sistemleri ile ilgili çalışmalarına uyum konusunda çaba sarf etmektedir. Bu kapsamda OECD’nin 1997 yılında yayınladığı OECD Guidelines For Cryptography Policy: Report On Background And Issues Of Crytography Policy 59 üye ve üye olmayan ülkelerle, özel sektör kuruluşlarına yön gösterici bir özellik taşımaktadır. 4.1.3.1. Bilgi Sistemleri Güvenliğine İlişkin OECD Rehber İlkeleri ve Türkiye Bilişim Sistemleri Güvenliği Politikası Bilgi Sistemleri Güvenliğine İlişkin OECD Rehber İlkeleri 60 toplam dokuz maddeden oluşmaktadır ve bu maddeler içerik olarak birbirini tamamlar niteliktedir. OECD bu ilkeler ile güvenlik algılamalarının ve politikalarının oluşturulmasında, kişisel mahremiyete saygı ile bilginin açık ve serbest dolaşımı konularına özel hassasiyet göstermektedir. Bahsedilen ilkeler; 1. Bilinç, 2. Sorumluluk, 3. Tepki, 4. Etik, 5. Demokrasi, 6. Risk Değerlendirmesi, 7. Güvenli Tasarımı ve Uygulama, 8. Güvenlik Yönetimi ve 9. Yeniden Değerlendirme olarak başlıklandırılmışlardır. Başlıkların genel tavsiyelerine bağlı kalmak üzere, ülkemiz açısından bir değerlendirme yapmak, uluslararası işbirliklerinin geliştirilmesi ve ulusal bilgi toplumu yaratma konularında bizlere yol gösterici bir seçenek sunacaktır. 4.1.3.1.1. Bilinç Bilişim teknolojileri kullanımı açısından yaklaşıldığında, ülkemizde teknolojinin kullanılabilirliği bakımından herhangi bir sorun yaşamamaktadır. Bununla birlikte, 59 Raporun orijinal metnine; www.oecd.org/document/36/0,3343,en_2649_34255_1814820_1_1_1_1,00. html, adresinden ulaşılabilir. 60 Bilgi Sistemleri Güvenliğine İlişkin OECD Rehber İlkeleri’ne ait belgeye; ftp://ftp.dtm.gov.tr/etik/ Duyurular/OECD_BilgiGuv_Rehberi.pdf, adresinden ulaşılabilir. 177 bilgi sistemleri ve ağ güvenliği açısından kişisel güvenliğin sağlanması konusunda özellikle kamusal alanda faaliyet gösteren personelde genel bir bilinç mevcut değildir. Güvenliğin sağlanması kapsamında ilk duvarı oluşturan bilinç ihmal edilmiş bir konudur. Bilişim teknolojileri ile ilgili yeterli bilincin oluşturulması verilecek hizmet içi kurslarla mümkün iken, kurum içindeki çalışma şartlarının yoğunluğu ve kurumlarda bir eğitim planlamasının oluşturulmaması, ulusal bir bilinç kültürü oluşturmada sınırlılık ve bir eksiklik olarak değerlendirilmektedir. Her bilişim teknolojisi kullanıcısının bilmesi gereken temel güvenlik uygulamaları, dönemsel olarak ya da gerek görüldüğünde kamu kurum ve kuruluşlarında var olan bilgi işlem bölümleri tarafından yerine getirilmektedir. Çoğu zaman güvenlik konusunda yeterli bilgi sahibi olunmamasından ötürü, yaşanan sıkıntılar göz ardı edilmekte yahut yaşanan sıkıntılara bilgisayar teknolojilerinden sınırlı seviyede anlayan personel müdahale ederek sorun çözme yoluna gidilmektedir. Özel sektör kuruluşlarında bilişim güvenliğine ilişkin uygulamalar çok daha profesyonelce yapılmaktadır. Özel sektörün uygulamaları kamusal alanda örnek olarak kullanılabilir. Özellikle devlet teşekküllerinde yaşanan bilişim güvenliği sorunu Ar – Ge politikalarının yetersizliğinden kaynaklanmaktadır ve sağlam temellere oturtulmuş Ar – Ge politikalarından elde edilecek sonuçlara kadar bilişim güvenliği ile ilgili sorunların çözümü konusunda özel sektör kuruluşlarından profesyonel destek sağlanması daha mantıklı bir politika olarak düşünülebilir. 4.1.3.1.2. Sorumluluk Bilişim teknolojilerini kullanan her personel esasen kullanmış olduğu cihazın güvenliğinden sorumlu olmalıdır. Bu cihaz bir tablet bilgisayar olabileceği gibi cep telefonu da olabilir. Sonuç itibariyle bilişim teknolojisinin kullanıldığı her şey bir iletişim veya hizmet aracı olarak kullanılmaktadır. Cüzdanımızda taşıdığımız kimlik ve evimizde bulundurduğumuz değerli eşyalarımız kadar, personeli olduğumuz kurumun bilgi envanterinin depolandığı ve paylaşıldığı her türlü cihazın sorumluluğu ve sorumluluk bilinci personelimizde olması gereken bir niteliktir. Bilginin güvenliğinin korunması kullanılan cihazın özelliklerine göre değişse de, sorumluluk 178 bilinci değişmemelidir. Aşılanacak bilinçle birlikte, geliştirilecek sorumluluk duygusu, personelin kendi otomasyonunu yapabilmesine olanak sağlayacaktır. Belirli prosedürler eşliğinde düzenli olarak kontrol edilecek bilgi teknolojisi cihazın, prosedür güncellenmesi ise sorumluluk bilincinin kazanılmasıyla mümkündür. 4.1.3.1.3. Tepki Personel, genel anlamda bilişim teknolojilerinde meydana gelebilecek güvenlik ihlallerinin önlenmesinde kurulu bulunan yada kurulması planlanan acil müdahale ekipleriyle birlikte hareket etmeli, önleme stratejileri ilk ayak olarak sistemli bir şekilde oluşturulmalı, meydana gelen güvenlik ihlallerinde ise zamanında tespit ve koordinasyon içinde müdahale sağlanmalıdır. Koordinasyonun sağlanması işbirliğine bağlıdır ve işbirliği bilişim teknolojilerinde en hızlı şekilde icra edilmelidir. Saniyeler içinde gerçekleşecek güvenlik ihlallerinde işbirliği ve koordinasyon hayati öneme sahiptir. Ülkemizde bilişim güvenliği konusunda yaşanacak olan ve kamuya ait kritik alt yapılara yönelik bir saldırıya cevap verecek acil müdahale birimi bulunmamaktadır. Uluslararası yaşanacak bir bilişim güvenliği ihlalini operasyonel anlamda takip edip, sonuçlandıracak tepki biriminin kurulması ve sanal dünyada yaşanacak önemli suç konularına yoğunlaşması, bilişim suçlarıyla mücadelede ulusal ve uluslararası tecrübe kazanmamıza olanak sağlarken, uluslararası işbirliklerinin de sağlam temeller üzerinde yükselmesine etki edecektir. 4.1.3.1.4. Etik Bilişim teknolojileri kullanıcılarının meydana gelebilecek bir güvenlik açığında göstereceği sorumsuzluk diğer bağlantı ve kullanıcılarında risk altına girmesine sebep olabilir. Kullanılan ağa dışarıdan ya da içeriden yapılacak kötü niyetli bir müdahale tüm sistemi etkileme kapasitesine sahip olabilir, bu bakımdan tüm kullanıcıların etik çerçeve içerisinde bilinçli olarak sorumluluk göstermesi gerekir. Bu bakımdan bilinç ve sorumluluğun benimsenmesi ile meydana gelebilecek ihlallerin önüne geçilebilir. Hukuksal açıdan düşünüldüğünde, bilgisayar veya sistemlerine izinsiz girmek suç sayılmaktadır, ahlaki açıdan düşünüldüğünde ise kişisel mahremiyete karşı yönelik bir tecavüz olarak etik açıdan yanlış bir harekettir. 179 Kurum içi sistemlere sniffer programları ile giriş yapılabileceği gibi ağ üzerinden yapılan uygulamaları görmede yine bu ve benzeri programlar ile yapılabilir. Fakat hem hukuksal açıdan hem de etik açıdan düşünüldüğünde, kişi mahremiyetine yönelik tecavüzler bilişim toplumu olma yolunda yaşanan olumsuz örneklerdir. Bilişim ve bilgi toplumu psikolojisi ile hareket etmeye başlanıldığında bu tür saldırıların azalacağı düşünülmektedir. 4.1.3.1.5. Demokrasi Demokratik toplumlar, kişisel bilgilerin korunması ve şeffaflık üzerine bir sistem geliştirmek zorundadır. Ulusal açıdan değerlendirildiğinde, kişisel bilgilerin korunması temel değerlerdendir. Geliştirilen e – devlet sistemleri, bireylere sınırlıda olsa bilgi edinme konusunda yardımcı olmaktadır. Adli uygulamaların hazırlık aşaması, yine bir e – devlet uygulaması olan UYAP gibi ulusal bir hizmet prensibi içeren örnek bir alt yapı ile bireylerin hizmetine sunulmuş durumdadır. Kamusal açıdan düşünüldüğünde güvenlik ve kişisel bilgilerin korunması kanuni bir sorumluluktur ve bu sorumlulukla birlikte geliştirilmiş bir etik anlayış ulusal anlamda mevcuttur. 4.1.3.1.6. Risk Değerlendirmesi Ülkemiz açısından risk değerlendirmesi temel olarak kamu kurum ve kuruluşları, STK’lar ve özel kuruluşlar tarafından yapılmalıdır. Bilişim sektörü çok yönlü bir konu olduğu için risk analizinin sadece kamu tarafından yapılması yeterli olmayacaktır. Kamusal alanda öncelikle personelin bilgi depolaması yapılan yerlerin güvenliğini ve ne derece güvenilir olduğunu saptaması gerekmektedir. Bunun için fiziksel, insan kaynaklı ve teknolojik risk değerlendirilmesi gibi iç ve dış faktörlerin belirlenmesi ve uluslararası standartlarda bir prosedür uygulaması geliştirilmelidir. Bilginin mahiyeti, hasar veya zarara uğradığında oluşabilecek riskler göz önünde bulundurularak derecelendirilmiş bir güvenlik şemsiyesi prosedürün içeriğinde değerlendirilmelidir. Güvenlik yapılanmasının prosedürlerinin standart olarak uygulanması içinde konunun kamu alanında en azından bir bakanlık düzeyinde veya bir bakanlığa bağlı olarak yürütülmesi gerektiği düşünülmektedir. 180 4.1.3.1.7. Güvenlik Tasarımı ve Uygulama Geliştirilen alt yapı sistemleri ile intranet özelliği taşıyan bilişim ağı alt yapılarında yeni yeni gelişmekte olan, sistemlere yetkisiz erişim veya erişim esnasında dijital imza bırakacak bir güvenlik yönelimi mevcuttur. E – İmza ve e – ticaret kavramlarının yaygınlaşması ve uluslararası bir yapıya bürünmesiyle birlikte bu konuda hem kamu alanında hem de özel sektör alanında bir iyileştirme ve uyum sağlama çalışmasının sürdürüldüğü gibi, bu noktada kayda değer bir ilerlemenin sağlandığı da söylenebilir. Bunun yanında yerel ağ haricinde kullanılan diğer bilişim teknolojilerinin güvenliği içinde bir yapılanma henüz mevcut değildir. Genel olarak sektörel anlamda değer yönünden önemli bilgilerin güvenliği, diğer sıradan bilgilerin güvenliği seviyesinde sağlanmaktadır. Bu konunun risk değerlendirmesi kapsamında ele alınması ve birlikte değerlendirmeye tutulması daha uygun bir seçenektir. 4.1.3.1.8. Güvenlik Yönetimi Bilişim teknolojilerini kullanan personelin, öncelikle güvenliği her safhada aktif bir şekilde sağlaması ve yukarıda belirtilen ilkeleri yerine getirmede dinamik bir devamlılığı takip etmesi gerekmektedir. Ulusal alt yapı sisteminin, bakım, onarım, inceleme ve arızaları önleme, saptama ve müdahale gibi olmazsa olmazları ile kurumlara has hizmet veren intranet alt yapı sistemlerinin oluşturulacak tepki merkezleri tarafından düzenlenmesi ve incelenmesi gerekir. Bununla birlikte yerel tepki merkezleri aracılığı ile ufak çaplı sorunların onarılması çok daha verimli olacaktır. 4.1.3.1.9. Yeniden Değerlendirme Güvenlik bilincinin ön şart olmasıyla birlikte, güvenliğin uygulanırlığı sürekli bir şekilde denetlenmeli, gerekli güncellemeler yapılmalı ve yeni riskler bir bülten halinde personele duyurulmalıdır. İstihbarat kadar önemli olan istihbara karşı koyma kapsamında düşünüldüğünde, yeni risklerin tanınması ve bunlara karşı önlem alınması caydırıcılığı kadar güvenilirliği de temelden etkileyen unsurlardır. Tüm bu ilkelerle bağlantılı olan bu son ilkenin geçerliliği, diğer ilkelerin tamamının 181 uygulanmasına bağlıdır. Bu noktadan hareketle uluslararası standartlarda ve işbirliklerine açık politikaların hayata geçirilmesi, uygulamaların düzenli olarak denetlenmesi ve aksaklıkların giderilebilmesi, yeniden gözden geçirme ve yapıcı düzenlemelerin hayata geçirilmesi ile bağlantılıdır. 182 SONUÇ Bir hedefe ulaşmada izlenecek yolun başında belirlenmesi gereken politikanın önemi ileriki aşamalarda, üniter bir devlet için küresel anlamda mücadele ve pazar elde etme bağlamında düşünülmedir. Günlük hayatta bile birey yapacakları için bir plan veya program belirlemekteyse, devlet gibi uluslararası yapının temel aktörü olan bir oluşumun geleceğe yönelik açılımları için bir plan belirlemesi kaçınılmazdır. Bilişim teknolojileri, günümüz dünyasında önemi giderek artan bir paradigma olarak görülse de kimi ülkeler için öncelikli olabildiği gibi, kimi ülkeler içinde ikinci veya üçüncü derecede önemli bir konu olarak algılanmaktadır. Sanayi devriminin Türkiye’de ne zaman sonra gerçekleşmesi, uluslararası arenada sanayi ihracatı ve teknoloji devrimi konularında gündemi geriden takip etmek zorunda kalındığının nedeni olarak görülmelidir. Çokça kullanılan tabiriyle küresel bir köy haline gelen dünyanın, globalleşme aşamasında sınırların kalktığı bir devletler topluluğu haline geldiği söylenebilir. Gücün bilgiye eşit olduğu yüzyılımızda ise yeniliklerin keşfedilmesi, kıtaların keşfi kadar önemli bir hal almıştır. Bu bağlamda, içe döndüğümüzde kamu eliyle güçlendirilecek bilgi hâkimiyeti ve rekabeti, Türkiye’yi küresel arenada söz sahibi haline getirebilir. Gelişen ve gelişmekte olan olarak kalacak bilişim teknolojileri, ülkelerin ihracat dolayısıyla finansal kaynak sağlama yeteneklerinden biri haline gelmiştir. Büyük bir pazar payı bulunan teknoloji ihracatı Türkiye içinde değerlendirilmesi gereken bir alandır. Bu kapsamda öncelikli amaç eğitim faaliyetlerinin sürekli hale gelmesi ve altyapının tamamlanması olmalıdır. Bunun için yukarıda da değinildiği gibi kamunun yönlendirici pozisyonda olması ve özel teşebbüsleri desteklemesi gerekmektedir. Kamunun bu desteği çeşitli şekillerde olabilir, örneğin kamu alımları yoluyla iç piyasada rekabet ve talep yaratılabileceği gibi, Ar – Ge faaliyetlerinde bulunmak isteyen özel teşebbüslere mali destekte de bulunulabilir. Fakat bu mali yardımların her kesime ulaşabilir olması, tekellerin önlenmesi bakımından önemlidir. Yardımda bulunulan teşebbüslerin geliştirdiği ürünlerin, kamuya satılması aşamasında uluslararası standartlara uyup uymadığı kontrol edilmelidir, aksi halde kısır döngü içinde gelişemeyen güdük bir teknoloji üreticisi konumundan öteye gidilemez. Burada değinilmesi gereken bir diğer önemli husus ise, yardımda bulunulan 183 teşebbüslerden alım yapılacağı gibi bir inancın ortadan kaldırılmasıdır. Kamuya düşen bu büyük görev, uluslararası çapta rekabet edebilecek dev şirketlerin Türkiye’de milli sermayeyi ve ülke refahını arttırma anlamında filizlenmesine vesile olacaktır. Unutulmaması gereken bir diğer hususta, yerli firmaların yabancı firmalara karşı teknoloji ve pazar payı bakımından kafa tutar hale gelene kadar desteklenmesidir. Günümüzde gelişmiş ülkelerde bile yeni geliştirilen teknoloji global anlamda bir güç haline gelene kadar kamu tarafından desteklenmektedir. Kamu kapsamında yürütülecek Ar–Ge faaliyetlerinde ise bir koordinasyon kaçınılmazdır. Aynı konuda birden fazla araştırmanın, aynı seviyede gelişmemiş bir halde yürütülmesi finansal açıdan bir sorun yaratabileceği gibi, zaman anlamında da bir savurganlık olarak görülebilir. Her ne kadar aynı konu kapsamında farklı düşüncelerle bir çalışma mevcudiyetinin varlığı daha sağlam temellerin atılmasını hazırlasa da, koordine olmayan birçok başlılık kamusal kaynakların israfı olarak görülmelidir. Denetim mekanizmasının, bahsi geçen bir koordinatör organ tarafından yerine getirilmesi, her kurumun kendini denetlemesinden çok daha anlamlı olacaktır (TÜBİTAK, 2003: 13 – 14). Bu sebeple yeni bir bilişim teknolojileri politikasının sil baştan oluşturulması ve şablon olarak tüm kamu kurumlarına uygulanabilir şekilde adapte edilmesi gerekmektedir. Geçmiş dönemlere ait ve zamanın mükemmel denebilecek politikaları günümüzde işlememektedir. Bunun en büyük sebebi ise teknolojideki büyük sıçramadır. Son 20 yılda muazzam boyutlarda gelişmiş bir sektörün geçmiş politika anlayışları ve arayışlarıyla karşılanması mümkün değildir. Soğuk savaş döneminin geride kalması ile güvenlik endişelerinin yerini ekonomik endişelere bırakmış olması, bilişim teknolojileri politikasında önemli bir yeri olan bilişim güvenliğinin ötelenerek geri planda kalmasına etki etmemelidir. Savunma sanayisinin bel kemiği haline gelen yazılımların amacı dışında veya terör amaçlı olarak kullanılması kulağa ne kadar ürkütücü geliyorsa, ekonomi temelli fakat güvenlikten yoksun bir bilişim teknolojisi politikası da kulağa o kadar eğreti gelmelidir. Politika yapıcılığı üstlenmiş TÜBİTAK’ın bu konuda yeni bir oluşum içine girerek, yeni, sürdürülebilir ve geliştirilebilir bir politika üretmesi şarttır. Bunun için öncelikli olarak gecikmeyi kaldırmayan bilişim teknolojilerinin daha hızlı şekillendirilebilmesi, yani gereksiz resmi protokollerin güvenliği aksatmayacak 184 şekilde düzenlenmesi gerekir. Kurumlar arası farklılıkları ortadan kaldıran ve aynı yatırımlara eşit oranda sahip olabilecek yenilikçi bir bakış açısının oluşturulması, bunun için daha hızlı yol kat edecek kurumlara daha fazla yatırım yapılması anlayışının kazandırılması, kamu kurumlarına Ar – Ge yatırımları için teşviklerde bulunulması, yatırımların sürekli olarak denetlenmesi, teşviklerin gelişmekte olan alanlara doğru kullanılmasının sağlanması gibi marjinal bir top yekûn bilgi toplumu olma politikasının desteklenmesi, halkında çeşitli yollarla bilinçlendirilmesi sağlanmalıdır. Son dönemlerde sigaraya karşı geliştirilen dumansız hava sahası politikaları oldukça olumlu sonuçlar doğurmuştur. Bunun en büyük sebebi ise başta halkın bilinçlenmesine büyük önem verilmesi ve kamu kurumlarının yani yine halkın en çok uğradığı yerlerin bu noktada halka örnek oluşturmasıdır denebilir. Bu çok kapsamlı bilişim teknolojileri politikasının bir diğer ayağı ise özel kurumlar ve internet sağlayıcı ticari kuruluşlardır. Gelişmiş her ülkenin özel sektörü, Ar – Ge politikalarında devletten destek görmektedir. Bunun bir sonucu olarak devlet yaptığı cüzi miktarda yatırımla, muazzam teknolojiler edinebilmektedir. Ulusal politikaların olmazsa olmazı olan özel sektörle paralel bir çizgide hareket etme anlayışının geliştirilecek olan bu yeni politikada yerini alması oldukça önemlidir. İnternet sağlayıcı ticari iş yerlerinin ise bilinçlendirilmesi, denetlenmesi ve oluşturulacak politikalara ortak edilmesi gerekir. Uygulanamayacak veya uygulanması tamamen ticari iş yerine zarar verecek, oldu bitti, göstermelik politikaların hem vatandaşa hem de ülkenin güvenliğine olumsuz etki edeceğini belirtmekte yarar vardır. Kontrol edilemeyecek şeylere, izin verilmiş olması, kontrol edilebilir hale getirilmeye mahal değildir. Her sokak başında görebileceğimiz internet kafe adında ticari bir oluşum içine girmiş iş yerlerinin denetlenmesi, zaten kendi kurumuna yetişemeyen profesyonel ve eğitimli personelin yetersizliğinden ötürü gerçekleşmemektedir. Bambaşka bir araştırma konusu olacak internet kafelerin durumunun göz önünde bulundurularak, buna benzer gelecekte karşılaşılabilecek olumsuzlukların önlenebilmesi için gerekli yaptırımların sistematize edilmesi gerekir. Gelişmiş ve gelişmekte olan ülkeler ayırımı Ar – Ge harcamalarına bakılarak yapılmaktadır. Bir ülkenin Ar – Ge harcamalarına ayrılan kaynak, GSYİH’ nın % 2 185 den fazla ise o ülke gelişmiş ülke olarak adlandırılır. Örneğin ABD’de Ar – Ge harcamaları GSYİH’ nın % 2,67’sine Japonya’da ise % 3.12’sine tekabül etmektedir. Bilişim sektörü global bir yapıya sahipse de, teknolojik gelişim 15 – 20 ülkenin tekelindedir. Teknolojik olarak gelişmiş ülkelerin Ar – Ge yatırımları dünya genelinde % 95’lik bir oranı ifade etmekteyken, dünya nüfusunun % 70’ni oluşturan gelişmekte olan ülkelerin Ar – Ge kaynaklarına yaptığı yatırım % 5’te kalmaktadır. OECD ülkelerinde Ar – Ge yatırımlarına ayrılan kaynak ortalama GSYİH’ nın % 2, 26’dır. AB ülkelerinde ise bu oran ortalama olarak % 1.83 seviyelerindedir. Türkiye’deki Ar – Ge yatırımları ise GSYİH’ nın yaklaşık olarak % 0.67’sini oluşturmaktadır. Ar – Ge yatırımlarında Türkiye’de üniversiteler % 64,3 ile ilk sırayı almaktayken, kamu ve özel sektörün oluşturduğu sanayi bloğunun yatırım oranı % 28,7’dir. En yüksek Ar – Ge yatırımına sahip olması gereken kamu sektöründe ise bu oran % 7 seviyelerinde kalmaktadır. Ar – Ge yatırımlarına aktarılan kaynaklar, üretilen yazılımların güvenliğine de etki edecektir. Bilinen en büyük siber savaş operasyonları siber espiyonaj faaliyetleri olarak sürdürülmektedir. Dışa bağımlı bilişim sistemlerinin güvenilirliği konusunun ne derece ciddi bir konu olduğu daha önce bahsedilen PROMIS adlı yazılımın kullanılma alanına bakıldığında anlaşılacaktır. Siber uzay mahremiyetlerin ortadan kalktığı bir alan olma yolunda ilerlemekte iken, ulusal güvenlik politikaları doğrultusunda bilişim politikalarının revize edilmesi kaçınılmazdır. Ulusal bilişim politikasının en olmazsa olmazı ise Ar – Ge yatırımlarıdır. E – Devlet Dönüşüm Projesi konusunda da yine koordinatör bir kuruma olan ihtiyaç karşımıza çıkmaktadır. Projenin, kamu hizmetlerini vatandaşa sunmada bir araç olarak görülmesi, bu kapsamda kamu faaliyetlerinde şeffaflaşmanın önünün açılarak kontrol edilebilirlik ve hesap verilebilirlik standartlarına getirilmesi gerekir. Böylece kamu kurumları arasında standartlaşan bir hizmet sunma kalitesi yakalanabilir. Birbirine entegre olabilecek kamu kurumları bilişim altyapıları, verilere daha hızlı ulaşılmasında, hizmetin daha hızlı ve kaliteli yürütülmesinde etkili olacaktır (Kesen, 2005: 5). E – devlet çalışmaları Türkiye’de teknolojinin geliştirilmesi ve Ar – Ge faaliyetlerinin artması için bir fırsat olarak değerlendirilirken, yerli firmaların uluslararası tekelleşmiş firmalarla başa çıkabilme yetenekleri geliştirilmelidir (Yazıcı v.d., 2006). Ticari faaliyet gösteren firmaların 186 yanı sıra araştırma kurumları, üniversiteler ve sanayi kuruluşları arasında da Ar – Ge faaliyetlerinin kapsamının geliştirilmesi gerekmektedir. Kamu ile saydığımız bu organizasyonlar arasında ulusal bilim ve teknoloji politikalarının oluşturulması ve bir birlikteliğin sağlanması gerekmektedir. Bahsedilen koordinatör yapının önemi bu kısımda da kendini göstermektedir. Ulusal bir program olan AB tam üyeliği, ulusal bir bilim ve teknoloji politikası ile desteklenmelidir. Politikaların ise AB müktesebatına uygun olarak düzenlenmesi gerekir. Bilim ve Teknoloji yönünden global bir aktör olmak isteniyorsa, uluslararası rekabetin benimsenmesi, 7. Çerçeve Programı’na daha kapsamlı bir şekilde entegre olunması, özellikle 6. Çerçeve Programı’nda geri planda kalmış devlet kuruluşları, araştırma kurumları ve STK’ların katılımının sağlanması gerekmektedir. Bu çerçevede, mevcut eğitim faaliyetlerinin ve istihdam politikalarının revize edilmesi, nitelikli işgücü potansiyelinin arttırılması, mevzuat düzenlemelerinin tamamlanması, bilgi toplumu politikalarına önem verilmek suretiyle bilişim teknolojilerinin kullanımının yaygınlaştırılması, dışa bağımlılığı azaltacak yatırımların Ar – Ge faaliyetlerine kaydırılması, transfer edilen teknolojinin geliştirilerek ihraç edilecek duruma getirilmesi, inovasyon atılımına hız kazandırılması kapsamında çeşitli aktivitelerin hem kamu hem de özel iş çevreleri tarafından desteklenmesi gerekmektedir (Kaplan, 2004: 193 – 194). Yazılım sektörü alanında büyük bir pazar payının varlığından daha önceki satırlarda bahsedilmişti. Yazılım mühendisliği konusunda eğitim ve uygulanan politikaların sonuçlarına baktığımızda; iyi ve yeterli eğitim almış mühendislerin gelişmekte olan bu sektörde hak ettikleri şekilde ödüllendirilmediklerini, maaş konusunda dünyadaki emsallerine göre Türkiye’de daha kısıtlı imkânlarının olduğunu, yetişmiş nitelikli iş gücünün bir parçası olan yazılım mühendislerinin ne yazık ki bu sebeple farklı ülkelere göç ettiğini hemen ilk anda görebiliriz. Tüm bu olumsuzlukların yanında liyakat gösteremeyen bireylerin, yetişmiş kimselerin önünde iş imkânlarına kavuşuyor olmaları da, sektöre yetişmiş eleman ihtiyacı hisseden Türkiye’de istekli bireylerin, başka dallara yönelmesinde etkili olmaktadır (Soğancı, 2007: 40). Bunun yanında yerli yazılımlar yerine, teknik destekten yoksun 187 yabancı yazılımların kamu kurumları da dâhil pek çok organizasyon tarafından tercih edilmesi katma değer anlayış bakımından olumsuz bir hava oluşturmaktadır. Bunlar rekabet edebilirlik politikalarının gelişememesinde önemli ve bir an önce giderilmesi gereken sorunlardır (Elmas, 2007: 43). Geliştirilen bir yazılımın açık kodlu olarak piyasaya sunulması, alınacak telif hakları lisans ücretlerinin geri dönüşüm kapsamında yine Ar-Ge programlarına kaynak olarak aktarılması, hem tekelleşmeyi, hem de uluslararası rekabet gücünü arttıracaktır (Yıldırım, 2007: 43). Uluslararası rekabetin yanında, ulusal rekabetinde sağlanması gerekir, bunun için Rekabet Kurulu, Telekomünikasyon Kurumu ve Ulaştırma Bakanlığı nezdinde yürütülecek bir işbirliği gereklidir. Fiyat ve tarifeler konusunda mümkün olduğu kadar rekabetin sağlanması şarttır (BTSTK Platformu, 2001). Bugün gelinen noktada, bilgi toplumu olma hedefi pek çok özel veya kamu kurumu üst düzey yetkilisi tarafından dile getirilmektedir. Bu ulvi bir amaç olarak görülüyorsa ve pazar payı düşünüldüğünde, gelecekte hesaplara katılırsa kamu adına koordinasyonun sağlanması kapsamında bir desteğe ihtiyaç duyulmalıdır. Bu desteği sağlayacak kamu kurumunun ise TÜBİTAK veya TÜBİTAK’a bağlı bir kurum olarak düşünülmesi gerekir. Bilişim ve Teknoloji Bakanlığı olarak pek çok yerde dillendirilen ayrı bürokratik bir yapının teknoloji gibi hızla ilerleyen bir alanda işleri yavaşlatacağı unutulmamalıdır. Bürokratik konum elde etme arzusundan, bilgi ve bilişim teknolojileri toplumu olma iradesine doğru bir anlayışın varlığının pekiştirilmesi gerekmektedir. Bilişim sektörü içinde olan her organizasyonun veya bireyin, yeni, gelişmeye açık, sürdürülebilir ve yenilikçi bir bilgi teknolojileri politikasına katılımının sağlanması ileride doğabilecek sıkıntıların ortak olarak paylaşılması ve daha çabuk sonuç alınabilmesi için önemlidir. Bilişim teknolojilerinin Türkiye için öneminin pekiştirilmesi temeli sağlam bir yol haritası ile mümkündür. Bu kapsamda öncelikle politikaların sürdürülebilir ve uygulanabilir bir şekilde temellendirilmesi, akabinde yasal boşlukları olmayacak şekilde politikanın desteklenmesi, son olarak ise teknolojinin geliştirilmesine ciddiyet verilmesi gerekir. Öncelikle gelecekle ve yapılacaklarla ilgili planlamaların oluşturulması yani ulusal bilgi ve bilişim politikalarının şekillendirilmesi temel hedef olarak ele alınmalıdır. Ulusal bir politikanın eksikliği yasal düzenlemelerin gereği gibi yapılamamasına, yargısal açıdan boşlukların meydana gelmesine etki edeceği için politika inşa 188 edilecek yapının temelini oluşturmaktadır. Sağlam bir yapının üstüne her şekilde düzenleme yapabilme lüksüne sahip olabiliriz, keza sistem politikaların doğru uygulanmasıyla kendini yapılan hatalar karşısında çabucak toparlayacaktır. Politika uygulamasının devamında, geliştirilecek yasal düzenlemelerle temelin güçlendirilmesi işleminin tamamlanması vardır. Yasaların politikalarla paralel olarak şekillendirilmesinin devamında ise teknolojik gelişmeye ve bölgesel liderlik anlayışı ile Ar – Ge yatırımlarına ağırlık verilmesinin altı çizilmesi gereken önemli bir konu olduğu unutulmamalıdır. Türkiye’nin milli yazılımlarla kendine global arenada önemli bir konum kazanması, politika – yasal düzenleme ve teknoloji transferi politikalarının bahsedilen sıra doğrultusunda uygulanmasına bağlıdır. Bilgi güçse kazanmak stratejilere bağlı, koşullara göre değişkenlik gösteren zorlu bir yoldur. Doğru ulusal bilişim politikaları, hukukun üstünlüğü ve teknoloji transfer politikaları bir bütün olarak ele alınması gereken tamamlayıcı unsurlar olarak görülmelidir. 189 KAYNAKÇA Ackerman, Elise, (2007), “Hackers' Infections Slither Onto Web Sites”, http://seattletimes.nwsource.com/html/businesstechnology/2003556913_hacker s05.html (Erişim Tarihi: 11.10.2008). ACLU, (2005), “NSA Spying on Americans Is Illegal”, http://www.aclu.org/privacy/spying/23279res20051229.html (Erişim Tarihi: 14.09.2008). ADL, (2002), “Jihad Online: Islamic Terrorists and the Internet”, www.adl.org/Learn/internet/jihad_online.pdf (Erişim Tarihi: 26.03.2008). ADL, (2008), “PFLP Launches English Language Web Site”, http://adl.org/main_Terrorism/pflp_website_english.htm (Erişim Tarihi: 26.03.2008). Akbulut, Bozdoğan B., (2000), “Bilişim Suçları” Selçuk Üniversitesi Hukuk Fakültesi Dergisi Milenyum Armağanı, C. 8, S. 1 – 2, ss. 545–555. Aksam.com.tr, (2005), “CIA terörizmle oyun oynuyor”, http://www.aksam.com.tr/arsiv/aksam/2005/05/27/teknoloji/teknoloji2.html (Erişim Tarihi: 12.02.2008). Anderson, Jack and Cohn, Douglas, (1999), “Shh! Uncle Sam is Listening”, http://www.fas.org/irp/program/process/991116-echelon.htm (Erişim Tarihi: 09.04.2008). Anonymous, (2002), Maximum Security: A Hacker's Guide to Protecting Your Internet Site and Network, 4. Baskı, U.S.A: Paperback Edition. Ariza, Luis M., (2005), “Virtual Jihad, The Internet as the ideal terrorism recruiting tool”, http://www.sciam.com/article.cfm?id=virtual-jihad (Erişim Tarihi: 12.06.2008). Asser, Martin, (2000), “Echelon: Big brother http://news.bbc.co.uk/1/hi/world/europe/820758.stm 04.04.2008). without a (Erişim cause?”, Tarihi: Associated Press, (2007), “Afghanistan's poppy crop could yield more than 2006's record haul, UN says”, http://www.iht.com/articles/ap/2007/06/25/asia/ASGEN-Afghan-Drugs.php (Erişim Tarihi: 02.05.2008). 190 Aşut, Mahir, t.y., "I love you melissa...", www.bthaber.net/269/menu_teknolojidunyasi01.htm (Erişim Tarihi: 16.03.2008). Australian Crime Commission, (2004), “Parliamentary Joint Committee On The Australian Crime Commission Cybercrime Report”, Commonwealth of Australia 2004, Parliament House Canberra: The Senate Printing Unit. Aydın, Emin, (1992), Bilişim Suçları ve Hukukuna Giriş, Ankara: Doruk Yayınları. Aydın, Öykü D., (1993), “Bilişim Suçları” Bilişim’93 Bildiriler, Türkiye Bilişim Derneği Bilişim 93 Etkinlikleri, 28 Eylül – 1 Ekim 1993, İstanbul: İnterpro Yayıncılık Araştırma ve Organizasyon Hizmetleri A.Ş., ss. 72 – 81. Bajkowski, Julian, (2008), “Spy warns of growing foreign cyber-espionage activity: China and Russia’s increased electronic warfare capabilities”, http://misasia.com/news/articles/spy-warns-of-growing-foreign-cyber-espionage-activity (Erişim Tarihi: 20.10.2008). Bank, David and Conkey, Christopher, (2005), “New Safeguards for Your Privacy, Filed Under: Credit and Identity Protection, Insurance Agents”, http://www.filife.com/stories/new-safeguards-for-your-privacy (Erişim Tarihi: 08.09.2008). Baugh, William E., and Denning, Dorothy E., (1997), "Encryption and Evolving Technologies: Tolls of Organized Crime and Terrorism”, Trends in Organized Crime, Vol. 3, Issue:3 Dated:Spring 1998, Washington, D.C.: National Strategy Information Center, ss.44 – 75. BBC News, (2000), “US spy system under attack”, http://news.bbc.co.uk/2/hi/654394.stm (Erişim Tarihi: 20.02.2008). BBC News, (2003), “Credit card database hacked”, http://news.bbc.co.uk/2/hi/business/2774477.stm (Erişim Tarihi: 11.11.2008). BBC News, (2005), “Japan cardholders 'hit' by theft”, http://news.bbc.co.uk/2/hi/business/4114252.stm#top (Erişim Tarihi: 12.11.2008). BBC News, (2007), “Bulgaristan ve Romanya AB'de”, www.bbc.co.uk/turkish/news/story/2007/01/070101_eu_membership.shtml (Erişim Tarihi: 01.01.2007). 191 Bergen, Peter, (2006), “The Taliban, Regrouped And Rearmed”, www.washingtonpost.com/wpdyn/content/article/2006/09/08/AR2006090801614.html (Erişim Tarihi: 28.05.2008). Berry, LaVerle; Curtis, Glenn E.; Hudson, Rex A. and Kollars, Nina A., (2002), A Global Overview of Narcotics-Funded Terrorist and Other Extremist Groups, Washington D.C.: Library of Congress under an Interagency Agreement with the Department of Defense. BTSTK Platformu, (2001), Bilişim Sivil Toplum Örgütleri Platformu Ortak Deklarasyonu, http://bt-stk.org.tr/bt-stk.html (Erişim Tarihi: 29.02.2008). Bilişim Şurası, (2002), “1. Bilişim Şurası Sonuç Bildirgesi”, www.bilisimsurasi.org.tr/2002/ (Erişim Tarihi: 17.03.2008). Bilişim Şurası, (2004), Türkiye 2. Bilişim Şurası Sonuç Bildirgesi, 10–11 Mayıs 2004, Ankara: ODTÜ. BM, (1999), Birleşmiş Milletler Uluslararası Uyuşturucu Kontrol Program: Dünya Uyuşturucu Raporu, England: Oxford University Press. Blane, Colin, (2000), “Calls to investigate US spy network: MEP's want an envestigation in spying allegations”, http://news.bbc.co.uk/2/hi/europe/695535.stm (Erişim Tarihi: 16.03.2008). Bomford, Andrew, (1999), “Echelon spy network revealed”, http://news.bbc.co.uk/2/hi/503224.stm (Erişim Tarihi: 13.02.2008). Bort, Julie, (2007), “Attack of The Killer Bots, Network World”, http://www.networkworld.com/research/2007/070607-botnets.html?fsrc=rsssecurity (Erişim Tarihi: 04.08.2008). Brenner, Bill, (2006a), “Criminals Find Safety in Cyberspace”, http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1235455,0 0.html (Erişim Tarihi: 01.09.2008). Brenner, Bill, (2006b), “Security Blog Log: Has CSI/FBI survey jumped the shark?”, www.searchsecurity.techtarget.com/news/column/0,294698,sid14_gci1202328, 00.html# (Erişim Tarihi: 01.09.2008). 192 Brenner, Susan, (2002), “Organised Cybercrime? How Cyberspace May Affect the Structure of Criminal Relationships”, http://www.jolt.unc.edu/Vol4_I1/Web/Brenner-V4I1.htm (Erişim Tarihi: 03.09.2008). Bridis, Ted and Sullivan, Eileen, (2007), “US video shows simulated hacker attack”, http://www.industrialdefender.com/general_downloads/news_industry/2007.09. 27_us_video_shows_simulated_hacker_attack.pdf (Erişim Tarihi: 12.07.2008). Broersma, Matthew, (2007), “Peer-to-Peer Botnets a New and Growing Threat”, http://www.symantec.com/business/news/article.jsp?aid=IN_041807_Botnets (Erişim Tarihi: 17.05.2008). Butters, George, (2003), “Expect terrorist attacks on Global Financial System”, http://www.theregister.co.uk/2003/10/07/expect_terrorist_attacks_on_global/ (Erişim Tarihi: 21.03.2008). Campbell, Duncan, (1999), “Interception Capabilities 2000”, www.fas.org/irp/eprint/ic2000/ic2000.htm#N_38_ (Erişim Tarihi: 12.02.2009). Cantwell, Maria, (2006), “Cantwell Demands Answers: Better Safeguards Following Theft of Thousands of Hanford Workers’ Personal Data”, (Erişim Tarihi: http://cantwell.senate.gov/news/record.cfm?id=256889 12.11.2008). CCRC, (2005), “Russia, Biggest Ever Credit Card Scam: Computer Crime Research Center”, http://www.crime-research.org/news/08.07.2005/1349/%5D/ (Erişim Tarihi: 12.11.2008). Ceyhun, Yurdakul ve Çağlayan, M. Ufuk, (1997). Bilgi Teknolojileri Türkiye İçin Nasıl Bir Gelecek Hazırlamakta, Ankara: Türkiye İş Bankası Kültür Yayınları. Coleman, Kevin G., (2003), “Cyber Terrorism”, www.directionsmag.com/article.php?article_id=432&trv=1 (Erişim Tarihi: 21.05.2008). Coleman, Kevin G., (2008), “Cyber Espionage Targets Sensitive Data”, http://sip-trunking.tmcnet.com/topics/security/articles/47927-cyber-espionagetargets-sensitive-data.htm (Erişim Tarihi: 06.01.2009). 193 Collin, Barry C., (2004), “The Future of CyberTerrorism: Where the Physical and Virtual Worlds Converge”, http://afgen.com/terrorism1.html (Erişim Tarihi: 12.05.2008). Council of Europe Octopus Programme, (2004), “Summary of the Organized Crime Situation Report 2004”, Focus on the Threat of Cybercrime, Strausbourg. Çiftçi, Elif, (2006), “Türkiye’nin Bilişim Politikası”, http://www.ekonometri.com.tr/kategori.php?link=devam&grup=9&kat_id=0&s ayfa_id=129 (Erişim Tarihi: 26.04.2008). Dacey, Robert F., (2003), “Information Security Further Efforts Needed to Fully Implement Statutory Requirements in DOD”, http://www.gao.gov/new.items/d031037t.pdf (Erişim Tarihi: 09.07.2008). Dakss, Brian, (2003), “Internet Worm Keeps Striking: Virus-Like Disruption Crippled Thousands Of Computers Worldwide”, www.cbsnews.com/stories/2003/01/28/tech/main538200.shtml (Erişim Tarihi: 03.01.2008). Danchev, Dancho, (2008), “Coordinated Russia vs Georgia cyber attack in progress”, www.infowarmonitor.net/modules.php?op=modload&name=News&file=article&sid=1965 (Erişim Tarihi: 01.02.2009). Değirmenci, Olgun, (2003), “Bilişim Suçları Alanında Yapılan Çalışmalar ve Bu Suçların Mukayeseli Hukukta Düzenlenişi”, www.caginpolisi.com.tr/37/59-6061-62-63-64.htm (Erişim Tarihi: 19.06.2008). Demirbaş, Timur, (2005), Kriminoloji, Ankara: Seçkin Yayınları. Denning, Dorothy E., (2000a), “Cyberterrorism”, www.cs.georgetown.edu/~denning/infosec/cyberterror-GD.doc (Erişim Tarihi: 09.11.2008). Denning, Dorothy E., (2000b), “Hacktivism: An Emerging Threat to Diplomacy”, http://www.afsa.org/fsj/sept00/Denning.cfm (Erişim Tarihi: 21.07.2008). Denning, Dorothy E., (2001a), “Is Cyber War Next? Social Science Research Council – SSCR”, http://www.ssrc.org/sept11/essays/denning.htm (Erişim Tarihi: 09.11.2008). 194 Denning, Dorothy E., (2001b), “Chapter Eight: Activism, Hacktivism, And Cyberterrorism: The Internet As A Tool For Influencing Foreign Policy”, John Arquilla ve David F. Ronfeldt (Der.), Networks and Netwars: The Future of Terror, Crime, and Militancy, U.S.A National Defense Research Institute: Rand Corporation. Denning, Dorothy E., (2008), “The Web Ushers In New Weapons of War and Terrorism”, www.sciam.com/article.cfm?id=web-brings-new-weapons-of-war (Erişim Tarihi: 18.05.2008). DHS, (2008), “Cyber Storm: Securing Cyber Space”, www.dhs.gov/xprepresp/training/gc_1204738275985.shtm (Erişim Tarihi: 14.11.2008). Diffie, Whitfield and Landau, Susan, (2008), “Internet Eavesdropping: A Brave New World of Wiretapping”, www.sciam.com/article.cfm?id=interneteavesdropping (Erişim Tarihi: 07.10.2008). Doğan, Mahir, (2000), “Geleceğin Akıllı Evleri”, PCLife, 2000 Mayıs Sayısı, ss. 106 – 116. Dokurer, Semih, (2008), “Ülkemizde Bilişim Suçları ve Mücadele Yöntemleri”, http://bilisimsurasi.org.tr/dosyalar/17.doc (Erişim Tarihi: 11.02.2008). DPT, (1995), “Yedinci Beş Yıllık Kalkınma Planı 1996 http://ekutup.dpt.gov.tr/plan/plan7.pdf (Erişim Tarihi: 12.04.2008). –2000”, DPT, (2000), Uzun Vadeli Strateji ve Sekizinci Beş Yıllık Kalkınma Planı (2001 – 2005), Ankara: DPT. DPT, (2005), VIII. BYKP - 2005 Yılı Programı, http://ekutup.dpt.gov.tr/program/2005/bilim1.html (Erişim Tarihi: 22.04.2008). DPT, (2006), Dokuzuncu Kalkınma Planı 2007 – 2013, Ankara: DPT. Dumount, Etselle, (2004), “Council of Europe ratifies cybercrime treaty”, http://news.zdnet.co.uk/itmanagement/0,1000000308,39149470,00.htm (Erişim Tarihi: 30.03.2008). Dursun, Hasan, (1998), “Bilgisayar İle İlgili Suçlar”, Yargıtay Dergisi, C. XXIV, S.3, ss. 334 – 339. Dülger, Murat Volkan, (2004), Bilişim Suçları, Ankara: Seçkin Yayınları. 195 Ectaportal, (2009), “Broadband & Scorecards”, www.ectaportal.com/en/basic650.html (Erişim Tarihi: 03.02.2009). Ellsmore, Nick, (2002), Sift Special Report, Cyber-Terrorism in Australia: The Risk to Business And A Plan To Prepare, Australia: SIFT Pty Ltd. Elmas, Çetin, (2007), “Uluslararası Tekellere Bağımlılık”, TMMOB Elektrik Mühendisleri Odası Elektrik Mühendisliği Dergisi, S.432, ss. 40 – 43. Ersoy, Yüksel, (1994), Genel Hukuki Koruma Çerçevesinde Bilişim Suçları, Ank.Üni.Siy.Bil.Fak.Dergisi, C. 49, S. 3 – 4, ss. 149 – 183. EPTC (European Parliament Temporary Comittee), (2001), “Draft Report on the Existence of a global System for the Interception of Private and Commercial Communications (ECHELON Interception System)”, Rapporteur: Gerhard Schmid, (PR/439868en.doc – 1/113 – PE 305.391), Brussel. Farer, Tom J, (1999), “Conclusion Fighting Transnational Organized Crime: Measures Short of War”, Tom J. Farer (Der.), Transnational Crime in the Americas, New York and London: Routledge. Finjan, (2008), “Info Center: Web Security Surveys and Web Security Trends Reports”, http://www.finjan.com/Content.aspx?id=827 (Erişim Tarihi: 28.10.2009). Francis, Bob, (2005), “Know thy hacker, The dollars and cents of hacking”, www.infoworld.com/article/05/01/28/05OPsecadvise_1.html (Erişim Tarihi: 18.06.2008). Gaudin, Sharon, (2007), “T.J. Maxx Security Breach Costs Soar To 10 Times Earlier Estimate”,http://www.informationweek.com/news/globalcio/compliance/showArticle.jhtml?articleID=201800259 (Erişim Tarihi: 19.09. 2008). Gellman, Barton, (2002), “Cyber-Attacks by Al Qaeda Feared: Terrorists at Threshold of Using Internet as Tool of Bloodshed, Experts Say”, www.washingtonpost.com/wpdyn/content/article/2006/06/12/AR2006061200711.html (Erişim Tarihi: 25.12.2008). Goodin, Dan, (2007), “Botmaster owns up to 250,000 zombie PCs: He's a security consultant”, 196 http://www.theregister.co.uk/2007/11/09/botmaster_to_plea_guilty/ Tarihi: 07.01.2009). (Erişim Goodspeed, Peter, (2000), “The new space invaders Spies in the sky”, http://www.fas.org/irp/program/process/docs/000219-echelon.htm (Erişim Tarihi: 10.06.2008). Gordon, Sarah ve Ford, Richard, (2004), Cyberterrorism?, White Paper – Symantec Security Response, Alan O'Day (Der.), Aldershot, UK: Ashgate Publishing Limited. Göksel, Nilüfer K., (2004), “Türkiye’de Bilim ve Teknoloji Politikalarının Gelişimi ve Teknoloji Transfer Politikası”, http://www.dtm.gov.tr/dtmweb/index.cfm?action=detayrk&yayinID=542&iceri kID=648&dil=TR (Erişim tarihi: 07.09.2008). Greenemeier, Larry, (2007), “China's Cyber Attacks Signal New Battlefield Is Online”, http://www.sciam.com/article.cfm?id=chinas-cyber-attackssign&page=2 (Erişim tarihi: 24.12.2008). Grow, Brian; Epstein, Keith and Tschang, Chi-Chu, (2008), “The New E-spionage Threat”, http://www.businessweek.com/magazine/content/08_16/b4080032218430.htm (Erişim tarihi: 02.01.2009). GTISC, (2009), “Emerging Cyber Threats Report www.gtisc.gatech.edu/pdf/CyberThreatsReport2009.pdf 11.02.2009). for 2009 (Erişim Data”, Tarihi: Guvenliweb, (2009), “11.05.2009 Tarihli İhbar İstatistikleri Yayınlanmıştır”, http://www.guvenliweb.org.tr/node/372 (Erişim Tarihi: 08.03.2009). Gülle, M. Tayfun, (1991), “Türk Bilim Politikası ve Ulusal Enformasyon Sistemi: Gelişmekte Olan Ülkeler Açısından Sosyolojik Bir Yaklaşım”, KütüphaneEnformasyon-Arşiv Alanında Yeni Teknolojiler ve TürkMARC Sempozyumu Bildiri Metinleri, 1–4 Ekim 1991, Beyazıt Devlet Kütüphanesi, İstanbul: Türk Kütüphaneciler Derneği İstanbul Şubesi, ss. 90–102. Gümüş, Çetin ve Atıcı, Bünyamin, (2003a), “Sanal Ortamda Gerçek Tehditler; Siber Terör – 4”, http://turk.internet.com/haber/yazigoster.php3?yaziid=8841 (Erişim Tarihi: 24.03.2008). 197 Gümüş, Çetin ve Atıcı, Bünyamin, (2003b), “Sanal Ortamda Gerçek Tehditler; Siber Terör – 1”, http://turk.internet.com/haber/yazigoster.php3?yaziid=8838 (Erişim Tarihi: 24.03.2008). Haberler.com, (2007), “Suriye'nin Nüfusu 19 Milyonu Geçti”, www.haberler.com/suriye-nin-nufusu-19-milyonu-gecti-haberi/ (Erişim Tarihi: 05.02.2009). Harris, Tom, (2003), “How E-Bombs Work”, http://science.howstuffworks.com/ebomb.htm (Erişim Tarihi: 07.11.2007). Higgins, Kelly J., (2009), “German Authorities Shut Down Cybercrime Ring's Web Forum”, www.darkreading.com/security/client/showArticle.jhtml?articleID=215800738 (Erişim Tarihi: 11.03.2009). Hines, Matt, (2008), “Cyber-espionage moves into B2B”, ww.infoworld.com/article/08/01/15/Cyber-espionage-moves-into-B2B_1.html (Erişim Tarihi: 25.06.2008). HP, (2007), “HP Başarılı İş Ortaklarını Ödüllendirdi”, http://h41131.www4.hp.com/tr/tr/press/HP_Baarl__Ortaklarn_dllendirdi.html (Erişim Tarihi: 10.04.2008). IBM Report, (2005), “Government, Financial Services and Manufacturing Sectors Top Targets of Security Attacks in First Half of 2005; 'Customized' Attacks Jump 50 Percent As New Phishing Threats Emerge, http://findarticles.com/p/articles/mi_m0EIN/is_2005_August_2/ai_n14841707/ (Erişim Tarihi: 07.06.2008). IDC, (2008), “IDC’nin Her Yıl Yaptığı Korsan Yazılım Araştırması Tamamlandı”, http://w3.bsa.org/turkey/press/newsreleases/bsa_ebulten_06_02_2008.cfm (Erişim Tarihi: 21.03.2008). IWS, (2008), “Internet Usage in European www.internetworldstats.com/stats9.htm (Erişim Tarihi: 14.07.2008). Union”, IWS, (2009), “Asia Marketing Research: Internet Usage, Population Statistics and Information”, http://www.internetworldstats.com/asia.htm#ge (Erişim Tarihi: 15.07.2009). İDB, (2008), “23 Kasım 2007 – 23 Kasım 2008 Faaliyet Raporu”, Rapor No:1, www.tib.gov.tr/dokuman/faaliyet_raporu.pdf (Erişim Tarihi: 08.10.2008). 198 Jackson, William, (2002), “War college calls a digital Pearl Harbor doable”, http://gcn.com/articles/2002/08/23/war-college-calls-a-digital-pearl-harbordoable.aspx (Erişim Tarihi: 14.03.2008). Kaplan, David E., (2003), “Playing Offense, The inside story of how U.S. terrorist hunters are going after al Qaeda”, http://www.usnews.com/usnews/news/articles/030602/2terror.htm (Erişim Tarihi: 24.10.2008). Kaplan, Zeynep, (2004), “Avrupa Birliği’nde Bilim ve Teknoloji Politikaları ve Adaylık Sürecinde Türkiye’nin Uyumu”, 3. Ulusal Bilgi, Ekonomi ve Yönetim Kongresi, 25 – 26 Kasım 2004, Eskişehir Osmangazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi, Eskişehir: Osmangazi Üniversitesi, ss. 187 – 195. Keizer, Gregg, (2008), “Top Botnets Control One Million Hijacked Computers”, http://www.pcworld.com/article/144359/top_botnets_control_one_million_hija cked_computers.html (Erişim Tarihi: 22.04.2008). Kesen, Nesteren, (2005), “Türk Bilişim Sektörü AB Standartlarına Ne Ölçüde Uyuyor?”, www.izto.org.tr/NR/rdonlyres/271E2928-83D9-49BD-AB014D1CF9767A75/6288/BILISIM.pdf (Erişim Tarihi: 29.08.2008). Kleiner, Kurt and Jones, Mother, (1999), “Trade Secrets: Is the U.S.'s most advanced surveillance system feeding economic intelligence to American businesses?”, (Erişim http://www.fas.org/irp/program/process/991101-echelon-mj.htm Tarihi: 18.06.2008). KOMDB, (2007), “Bilişim Suçları ve Sistemleri”, KOMDB 2007 Raporu, Ankara. KOMDB, (2008), “Bilişim Suçları ve Sistemleri”, KOMDB 2008 Raporu, Ankara. Kopp, Carlo, (1996), “The Electromagnetic Bomb - a Weapon of Electrical Mass Destruction”, www.globalsecurity.org/military/library/report/1996/apjemp.htm (Erişim Tarihi: 07.11.2007). Kotler, Steven, (2007), “‘Dark Web’ Project Takes On Cyber-Terrorism”, www.foxnews.com/story/0,2933,300956,00.html (Erişim Tarihi: 14.05.2008). Kovacich, Gerald, (1999), “Computer Fraud & Security”, ScienceDirect Vol. 1999, Issue 7, July 1999, Pages 12 – 17. 199 Krebs, Brian, (2007), “Three Worked the Web to Help Terrorists”, http://www.washingtonpost.com/wpyn/content/article/2007/07/05/AR2007070501945_pf.html (Erişim Tarihi: 02.02.2008). Krim, Jonathan and Barbaro, Michael, (2005), “40 Million Credit Card Numbers Hacked: Data Breached at Processing Center, http://www.washingtonpost.com/wpdyn/content/article/2005/06/17/AR200506 1701031.html (Erişim Tarihi:11.11.2008). Kurt, Ertan, (2000), “Hacker’lığın Kısa Tarihçesi”, www.olympos.org:81/article/articleview/283/1/10 (Erişim tarihi 19.03.2008). Kurt, Levent, (2005), Açıklamalı-İçtihatlı Tüm Yönleriyle Bilişim Suçları ve Türk Ceza Kanunundaki Uygulaması, Ankara: Seçkin Yayınları. Lal, Rollie, (2005), “Terrorists and Organized Crime Join Forces”, http://www.iht.com/articles/2005/05/23/opinion/edlal.php (Erişim Tarihi: 02.05.2008). Lee, Matthew ve Shrader, Katherine, (2007), “Al-Qaida has rebuilt, US intel warns”, www.chinadaily.com.cn/world/2007-07/12/content_5433408.htm (Erişim Tarihi: 14.05.2008). Lewis, James, (2002), “Assessing the Risks of Cyber Terrorism: Cyber War and Other Cyber Threats”, www.csis.org/tech/0211_lewis.pdf (Erişim Tarihi: 04.09.2008). Loeb, Vernon, (1999), “Critics Questioning NSA Reading Habits: Politicians Ask if Agency Sweeps In Private Data”, www.fas.org/irp/program/process/066l111399-idx.htm (Erişim Tarihi: 14.06.2008). LonghornFreeper, (2004), “North Korean Military Hackers Unleash "Cyber-Terror" On South Korean Computers”, http://www.freerepublic.com/focus/fnews/1143440/posts (Erişim Tarihi: 21.02.2008). MacLean, Susan, (2005), “Report warns of Organized Cyber Crime”, http://www.itworldcanada.com/a/IT-Focus/39c78aa4-df47-4231-a083ddd1ab8985fb.html (Erişim Tarihi: 12.09.2008). Marsden, Chris, (2000), “European Union to investigate US-run satellite spy network: France launches independent probe into Echelon”, 200 http://www.wsws.org/articles/2000/jul2000/eche-j10.shtml 29.07.2008). (Erişim Tarihi: McAfee, (2006), “Mcafee Virtual Criminology Report Organised Crime And The Internet”, http://www.sigma.com.pl/pliki/albums/userpics/10007/Virtual_Criminology_R eport_2006.pdf (Erişim Tarihi: 17.09.2008). McClure, Charles R. and Dugan, Robert E., (1996), “Libraries and Federal Information Policy”, Journal of Academic Librarianship, 22(3), 214–218, EBSCOhost, Academic Search Premier. McCullagh, Declan and Broache, Anne, (2006), “Senate ratifies controversial cybercrime treaty”, http://news.cnet.com/Senate-ratifies-controversialcybercrime-treaty/2100-7348_3-6102354.html (Erişim Tarihi: 11.08.2008). Meller, Paul, (2001), “European Parliament adopts 'Echelon' report”, http://archives.cnn.com/2001/TECH/internet/09/07/echelon.report.idg/ (Erişim Tarihi: 29.07.2008). Mengüarslan, Emin, (2003), “İslami Hacker’lar Siber Savaşı Başlattı”, www.aksam.com.tr/arsiv/aksam/2003/03/25/magazin/magazin2.html (Erişim Tarihi: 16.03.2008). Menn, Joseph, (2005), “Hackers Tap 40 Million Credit Cards”, http://articles.latimes.com/2005/jun/18/business/fi-mastercard18. Tarihi: 11.11.2008). (Erişim Messmer, Ellen, (2002), “President's advisor predicts cybercatastrophes unless security improves”, www.networkworld.com/news/2002/0709schmidt.html (Erişim Tarihi: 19.06.2008). Messmer, Ellen, (2008), “Cyber espionage seen as growing threat to business, government: SANS Institute ranks it No. 3 on cyber menace list”, www.networkworld.com/news/2008/011708-cyberespionage.html (Erişim Tarihi: 14.08.2008). MSIR, (2008), “An in-depth perspective on software vulnerabilities and exploits, malicious code threats, and potentially unwanted software, focusing on the first half of 2008, January through June 2008”, http://www.microsoft.com/downloads/details.aspx?FamilyID=aa6e0660-dc244930-affd-e33572ccb91f&displaylang=en#filelist (Erişim Tarihi: 28.10.2008). 201 Mills, Elinor, (2008), “Report: U.S. vulnerable to Chinese cyber espionage, November 24, 2008”, http://news.cnet.com/8301-1009_3-10107323-83.html (Erişim Tarihi: 15.11.2008). Moore, David and Shannon, Colleen, (2007), “The Spread of the Code-Red Worm (CRv2)”, www.caida.org/research/security/code-red/coderedv2_analysis.xml (Erişim Tarihi 15.03.2008). NewStatesman, (1998), “Somebody's listening, They've got it taped”, ss. 10–12. http://jya.com/echelon-dc.htm (Erişim Tarihi: 30.11.2008). NTVMSNBC, (2008), “PKK bombasını 12 yaşındaki kız bırakmış”, http://arsiv.ntvmsnbc.com/news/439341.asp (Erişim Tarihi: 16.03.2008). OJEU, (2004), “Council Framework Decision 2004/68/JHA of 22 December 2003 on combating the sexual exploitation of children and child pornography”, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:013:0044 :0048:EN:PDF (Erişim Tarihi: 22.11.2008). OJEU, (2005), “Council Framework Decision 2005/222/JHA of 24 February 2005 on attacks against information systems”, http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2005:069:0067:0071:EN:P DF (Erişim Tarihi: 23.11.2008). Olzak, Tom, (2006), “Cyber-espionage: How vulnerable are http://it.toolbox.com/blogs/adventuresinsecurity/cyberespionage-howvulnerable-are-we-12138 (Erişim Tarihi: 09.10.2008). we?”, Onley, Dawn S., (2004), “Army urged to step up IT security focus”, http://gcn.com/articles/2004/09/02/army-urged-to-step-up-it-securityfocus.aspx (Erişim Tarihi: 22.01.2009). Özcan, Mehmet, (2002), “Siber Terörizm ve Ulusal Güvenliğe Tehdit Boyutu”, http://www.bayar.edu.tr/bilisim/dokuman/siberteror.pdf (Erişim Tarihi: 24.12.2007). Özcan, Mehmet, (2003), “Yeni Milenyumda Yeni Tehdit Siber Terör”, www.egm.gov.tr/egitim/dergi/eskisayi/34/yeni/web/Mehmet_OZCAN.htm (Erişim Tarihi: 24.12.2007). Önder, Ayhan, (1994), Şahıslara ve Mala Karşı Cürümler ve Bilişim Alanında Suçlar, 4. Baskı, İstanbul: Filiz Kitapevi. 202 Öztürk, Selim, (2008), “Gelmiş geçmiş en tehlikeli 10 virüs”, http://www.chip.com.tr/konu/Dunyanin-en-tehlikeli-10-virusu_8489.html (Erişim Tarihi: 02.10.2008). Parker, Donn B., (1980), “Computer Abuse Research Update”, Computer - Law Journal, Vol. II, No: 2, ss. 329 – 352. Parker, Donn B., (1998), Fighting Computer Crime: A New Framework For Protecting Information, New York: Wiley Computer Publishing. Pemstein, Ron, (2000), “Europe Spy Correspondent Report”, http://www.globalsecurity.org/intell/library/news/2000/03/000330echelon1.htm (Erişim Tarihi: 30.07.2008). Pocar, Fausto, (2004), “New Challenges for International Rules Against Cybercrime”, European Journal on Criminal Policy and Research, London, Vol. 10, No: 1, ss. 27 – 37. Porter, Barbara, (2004), “Forum Links Organized Crime and Terrorism”, www2.gwu.edu/~bygeorge/060804/crimeterrorism.html (Erişim Tarihi: 06.05.2008). Poulsen, Kevin, (2005). “Feds square off with organized cyber crime”, http://www.securityfocus.com/news/10525 (Erişim Tarihi: 11.11.2008). Prichard, Janet J. and MacDonald, Laurie E., (2004), “Cyber Terrorism: A Study of the Extent of Coverage in Computer Security Textbooks”, Lynn Hunt (Der.), Journal of Information Technology Education, Vol. 3, Smithfield: Bryant University, ss. 279 – 289. Radikal, (2007), “Türkiye 53.2 milyar avroluk AB 7'nci çerçeve programı için atakta”, http://www.radikal.com.tr/haber.php?haberno=213927 (Erişim Tarihi: 04.01.2008). Radikal, (2008), “Dünyanın en garip hacker eylemi” http://www.haberturk.com/haber.asp?id=64297&cat=210&dt=2008/03/31 (Erişim Tarihi: 31.03.2008). Rhoads, Christopher, (2007), “Cyber Attack Vexes Estonia, Poses Debate”, http://online.wsj.com/public/article/SB117944513189906904__3K97ags67ztibp8vLGPd70WXE_20070616.html (Erişim Tarihi: 15.08.2008). 203 Provos, Niels; McNamee, Dean; Mavrommatis, Panayiotis; Wang, Ke and Modadugu, Nagendra, (2007), “The Ghost In The Browser Analysis of Webbased Malware”, http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf (Erişim Tarihi: 21.09.2008). Sachoff, Mike, (2008), “Man Convicted In Estonia Cyber Attack, Russians Deny Involvement”, http://www.webpronews.com/topnews/2008/01/24/manconvicted-in-estonia-cyber-attack (Erişim Tarihi: 04.09.2008). Salman, Banu ve Yapıcı, Kahraman, (2007), “Türkiye Stratejik Bakışını Yitirdi”, TMMOB Elektrik Mühendisleri Odası Elektrik Mühendisliği Dergisi, S. 432, ss. 29 – 33. Schoof, Reinier and Koning, Ralph, (2007), “Detecting Peer-to-Peer Botnets”, http://staff.science.uva.nl/~delaat/sne-2006-2007/p17/report.pdf (Erişim Tarihi: 11.07.2008). Sen, Amartya, (1997), “On Corruption and Organized Crime”, World Drug Report, Oxford, England: Oxford University Press. Shelley, Louise I.; Picarelli John T. and TRACCC, (2000), Transnational Crime, Corruption, and Information Technology, Transnational Crime and Corruption Center 2000 Annual Conference: Conference Report, November 30-December 1 2000, Sponsored by the Hills Family Foundation and the Transnational Crime and Corruption Center. Shelley, Louise I., (2003), “Organized Crime, Terrorism and Cybercrime”, Security Sector Reform: Institutions, Society and Good Governance, Alan Bryden/Philipp Fluri (Der.), Baden: Nomos Verlagsgesellschaft, ss. 303–312. Simpson, Gemma, (2007), “U.K. warns of Chinese cyber espionage”, http://www.zdnetasia.com/news/security/0,39044215,62035105,00.htm (Erişim Tarihi: 12.02.2008). Soğancı, Mehmet (2007), “Uluslararası Tekellere Bağımlılık”, TMMOB Elektrik Mühendisleri Odası Elektrik Mühendisliği Dergisi, S.432, ss. 40 – 43. Spam Daily News, (2006), “Zombie master Jeanson Ancheta sentenced to 5 years in prison” ve “Zombie master Jeanson Ancheta pleads guilty”, http://www.spamdailynews.com/publish/Zombie_master_Jeanson_Ancheta_se ntenced_to_5_years_in_prison.asp 204 http://www.spamdailynews.com/publish/Zombie_master_pleads_guilty.asp (Erişim Tarihi: 11.03.2008). Spencer, Vikki, (2002), “Cyber Terrorism: Mass Destruction or Mass Disruption?”, http://www.crime-research.org/library/mi2g.htm (Erişim tarihi: 03.09.2008). Stanley, Jay and Steinhardt, Barry, (2003), “Bigger Monster, Weaker Chains: Growth of an American Surveillance Society”, http://www.aclu.org/FilesPDFs/aclu_report_bigger_monster_weaker_chains.pd f (Erişim Tarihi: 08.07.2008). Stanton, John, (2000), “Rules of Cyber War Baffle U.S. Government Agencies”, http://www.nationaldefensemagazine.org/archive/2000/February/Pages/Rules4 391.aspx (Erişim Tarihi: 08.04.2008). Swartz, Jon, (2004), “Cyberterror impact, defense under scrutiny”, http://www.usatoday.com/tech/news/2004-08-02-cyber-terror_x.htm (Erişim Tarihi: 29.10.2008). Symantec, (2008), “Symantec Global Internet Security Threat Report Trends for July–December 07”, Symantec Enterprise Security, Vol. XII, U.S.A: Symantec Corporation World Headquarters. Symantec, (2009), “White Paper: Customize Confidence in a Connected World, Web Based Attacks”, Symantec Enterprise Security, U.S.A: Symantec Corporation World Headquarters. Ulaştırma Bakanlığı, (1999), Türkiye Ulusal Enformasyon Altyapısı Anaplanı Sonuç Raporu, Ankara: ODTÜ. Taşçı, Cemalettin N. ve Mutlu, M. Emin, (1992), Bilgisayar Tarihi, İstanbul: Ağaç Yayınları. TDK (Türk Dil Kurumu), (2008), http://tdkterim.gov.tr/bts/?kategori=veritbn&kelimesec=45464, (Erişim Tarihi: 16.02.2008). TUTCS, (2004), Information Technology in 21st Century Battlespace, Washington D.C.: U.S. Government Printing Office. Thomson, Iain, (2007), “Russia 'hired botnets' for Estonia cyber-war: Russian authorities accused of collusion with botnet owners”, 205 http://www.computing.co.uk/vnunet/news/2191082/claims-russia-hired-botnets (Erişim Tarihi: 09.10.2008). Tiedemann, Klaus, (1975), Bilgisayarla İşlenen Suçların Ceza Hukuku Yönünden İncelenmesi (Çev. Feridun Yenisey), C. XLI, İstanbul: İÜHFM Yay. Tiryaki, Hakan, (2005), “Bugünün ve yarının tehdidi Siber Terör”, www.aksam.com.tr/arsiv/aksam/2005/01/10/gundem/gundem1.html (Erişim Tarihi: 22.03.2008). TMMOB, (2007), “Hedefler Yarı Yarıya Bile Gerçekleşmiyor”, TMMOB Elektrik Mühendisleri Odası Elektrik Mühendisliği Dergisi, S. 432, ss. 57 – 59. TÜBİTAK, (1999), “Türkiye'nin Bilim ve Teknoloji Politikası: Özet”, http://www.baskent.edu.tr/~omadran/eskiweb/eskiweb/donem0405/ilf301/dersn otu/btpolitika.doc (Erişim Tarihi: 20.03.2008). TÜBİTAK, (2002), Bilgi Toplumu Politikaları Üzerine Bir Değerlendirme, Dünya ve Türkiye, Ankara: TÜBİTAK. TÜBİTAK, (2003), Türk Bilim ve Teknoloji Politikası 1993–2003, Ankara: TÜBİTAK. TÜBİTAK, (2006a), TÜBİTAK’ın 7. Çerçeve Programı Hazırlıkları ve Türkiye’nin 6. Çerçeve Programı Performansı, 2005/203 Ek–1, Ankara: TÜBİTAK. TÜBİTAK, (2006b), AB 6.Çerçeve Programı Türkiye’nin Katılımı Organizasyon Tiplerine Göre Dağılım Analizi, Ankara: TÜBİTAK. TÜBİTAK, (2007), “Bilim ve Teknoloji Yüksek Kurulu”, http://www.tubitak.gov.tr/home.do?ot=5&rt=&sid=470&pid=&cid=646 (Erişim Tarihi: 11.04.2008). Tumgazeteler.com, (2006), “Üç poşet çocuk saçıyla yakalandı”, http://www.tumgazeteler.com/?a=1781597 (Erişim Tarihi: 14.03.2008). Türkmen, Mustafa, (2008), “Bilişim Suçları Büro Amirliği İstatistiki Veriler”, Mersin Emniyet Müdürlüğü, KOM Şube Müdürlüğü 2008 Brifing Dosyası, Mersin Emniyet Müdürlüğü. Ulusaler, Kemal, (2007). “Uluslararası Tekellere Bağımlılık”, TMMOB Elektrik Mühendisleri Odası Elektrik Mühendisliği Dergisi, S. 432, ss. 40 – 43. 206 US Army TRADOC (Training and Doctrine Command Deputy Chief of Staff for Intelligence Assistant), (2005), “Cyber Operations and Cyber Terrorism”, DCSINT Handbook No. 1.02, http://stinet.dtic.mil/cgibin/GetTRDoc?AD=ADA439217&Location=U2&doc=GetTRDoc.pdf (Erişim Tarihi: 09.06.2008). Vaknin, Sam, (2003), “The Industrious Spies Industrial Espionage in the Digital Age”, http://samvak.tripod.com/pp144.html (Erişim Tarihi: 11.02.2008). Vamosi, Robert, (2007), “Newsmaker: Cyberattack in Estonia--what it really means”, http://news.cnet.com/Cyberattack-in-Estonia-what-it-reallymeans/2008-7349_3-6186 751.html (Erişim Tarihi: 22.10.2008). Vijayan, Jaikumar, (2003), “Microsoft, users cope with worms' chaos: IT managers say they are being worn down by wave of attacks”, http://www.accessmylibrary.com/coms2/[email protected]&library= (Erişim Tarihi: 24.08.2008). Wait, Patience, (2004), “Defense IT security can't rest on COTS”, http://gcn.com/articles/2004/09/24/defense-it-security-cant-rest-on-cots.aspx (Erişim Tarihi: 21.01.2009). Wall, David S., (1999), “Cybercrimes: New wine, no bottles?”, Pam Davies, Peter Francis ve Victor Jupp (Der.), Invisible Crimes: Their Victims and Their Regulation, London: MacMillan, ss. 105–139. Weimann, Gabriel, (2004a), “How Modern Terrorism Uses the Internet, Special Report No. 116”, http://www.usip.org/pubs/specialreports/sr116.html (Erişim Tarihi: 13.04.2008). Weimann, Gabriel, (2004b), “Cyberterrorism: How Real Is the Threat?, Special Report No: 119”, http://www.usip.org/pubs/specialreports/sr119.html (Erişim Tarihi: 11.03.2008). Wikipedia, (2009), “Russian Business Network”, http://en.wikipedia.org/wiki/Russian_Business_Network (Erişim Tarihi: 02.04.2009). Williams, Phil, (2002), “Organized Crime and Cyber-Crime: Implications for Business”, www.cert.org/archive/pdf/cybercrime-business.pdf (Erişim Tarihi: 01.07.2008). 207 Wilson, Clay, (2005), “Emerging Terrorist Capabilities for Cyber Conflict Against the U.S. Homeland”, Congressional Research Service of the Library of Congress, Washington D.C.: Library of Congress Press. Wilson, Tim, (2007), “Japanese Bank Loses 1M Records”, http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleI D=208804614 (Erişim Tarihi: 22.07.2008). Wilt, Gloria, (1998), “Making Information Safe”, Science & Technology Review January/February 1998, ss. 4 – 11, https://www.llnl.gov/str/pdfs/01_98.1.pdf (Erişim Tarihi: 02.02.2009). Wolwerian, (2007), “Internet adresi nedir? Domain ismi ve IP numarası ne demektir?”, www.webhatti.com/network-ve-internet/96352-internet-adresinedir-domain-ismi-ve-ip-numarasi-ne-demektir.html (Erişim Tarihi: 13.08.2008). Yazıcı, Mehmet; Tansal, Şule; Tırgil, Mehmet ve Coşkun C. Görkem, (2006), “TMMOB Elektrik Mühendisleri Odası 40. Genel Kurulu Bilişim Komisyonu Raporu”, http://www.emo.org.tr/genel/bizden_detay.php?kod=48380&tipi=4&sube=0 (Erişim Tarihi: 04.04.2008). Yazıcıoğlu, Yılmaz, (1997), Bilgisayar Suçları, İstanbul: Alfa Yayınevi. Yazıcıoğlu, Yılmaz, (2001). “TCK 2000 Tasarısında Bilişim Şebekesi Vasıtasıyla İşlenen Suçlar”, Uluslararası İnternet Hukuku Sempozyumu, 21 – 22 Mayıs 2001, İzmir: Dokuz Eylül Üniversitesi, ss. 451 – 470. Yıldırım, Meltem, (2007), “Uluslararası Tekellere Bağımlılık”, TMMOB Elektrik Mühendisleri Odası Elektrik Mühendisliği Dergisi, S.432, ss.40 – 43. Yılmaz, Tarık, (2007), “Beş Yılda Üç Kat Büyüdük”, http://arsiv.sabah.com.tr/2007/04/03/eko121.html (Erişim Tarihi: 10.04.2008). Yılmaz, Sait, (2007), 21. Yüzyılda Güvenlik ve İstihbarat, İstanbul: Elif Kitapevi, Milenyum Yayınları Ltd. Şti. Yücel, Mustafa, (1992), “Bilişim Suçları”, Ankara Barosu Dergisi, Y.49, Sayı 4, ss. 497 – 512. 208 Zahn, Paula, (1999), “Fox News Network The Edge With Paula Zahn”, http://www.fas.org/irp/program/process/991021-echelon-fox.htm (Erişim Tarihi: 18.10.2008). ZDNet UK, (2004), “Cyberterror: Clear and present danger or phantom menace?”, www.zdnet.co.uk/specials/networksecurity/0,39025061,39118365,00.htm (Erişim Tarihi: 13.07.2008). 209