POLİS VE BİLİŞİM TEKNOLOJİLERİ
Merhabalar, köşe yazımda konumuz 21. Yüzyılda Türk Polis Teşkilatının Bilişim Teknolojilerini kullanmakta ne kadar aktif olduğunu örneklerle ele alacağız..
Başlangıçta ender olaylar sınıfında değerlendiriliyordu. Arada bir yaşanan olaylar ise şirketler ve vatandaşlar tarafından emniyete iletilmiyordu. Ancak, gelişen teknoloji ve artan kullanım oranı, bilişim suçlarında adeta patlamaya neden oldu. Bunun üzerine Emniyet Genel Müdürlüğü bünyesinde Araştırma ve Bilgi İşlem Daire Başkanlığı kuruldu. İletişim ve bilgisayar teknolojilerinin gelişmesiyle birlikte, yeni bir suç türü "Bilişim Suçları" oluştu. Bilişim suçları, yalnızca internet üzerinde değil, bilginin teknoloji ile iletildiği her ortamda işlenebiliyor. Cep telefonları, kredi kartları ve bilgi aktarımı gerektiren diğer uygulamalar… Emniyet Genel Müdürlüğü tarafından yapılan istatistiklerde 1998 yılında bilişim suçu ihbarı yalnızca 3 iken, 2001 yılında bu sayı 100’ün üzerine çıktığı görülüyor. 2019 Yılında ise vatandaşlarımız tarafından binlerce bileşim suçu ihbarı yapıldı... Bilgisayarlarımızı kullanırken güvenliğin yeterince önemsenmediğini, bu yüzden suç oranının da artıyor.Kredi kartı ile alışveriş yapılacak sitelerin seçiminde de titiz davranmamız lazım. Ancak, bazı durumlarda, internetten alışveriş yapılmamış bir kredi kartı numarası ile bile dolandırıcılık yapılabiliyor.
Bilişim suçu kapsamında hangi suçlar yer alıyor?
Bilişim suçunu iki şekilde düşünmek gerekiyor: Biri bilgisayar sistemine girme eylemi, diğeri bilgisayara fiziksel zarar verme eylemi. Bilgisayar sistemine girmek için, sistemin açıklarından yararlanma, kullanıcının şifresini çalma gibi farklı yöntemler var. Kanunda da “sisteme girmek” şeklinde tanımlanır. Bu amaca, fiziksel bir zarar vererek de ulaşılabilir, olay yerine gidip bilgisayar başına geçersiniz, bunu uzaktan erişerek de yapılıyor.. Aslında kanuna göre şöyle sınıflanması gerekiyor: Daha önce suçlar varmış, dolandırıcılık suçu, hakaret suçu gibi… Şimdi ise bunlar internet üzerinden de yapılıyor. İnternet üzerinde de yapılsa, bunlar kanunumuzda tanımlanmış suçlar olarak bulunuyor. Bilgisayar teknolojileriyle birlikte, yeni suç kavramları da ortaya çıkmaya başladı. Örneğin, eskiden “bilgisayar sistemlerine girmek” gibi bir suç yoktu. Türk Ceza Kanunu’nda 525. madde, a,b,c,d bentlerinde tanımlanıyor. Bilgisayar sistemlerine ve servislerine yetkisiz erişim, bilgisayar sabotajı, dolandırıcılık, bilgisayar yoluyla sahtecilik, kanunla korunmuş bir yazılımı izinsiz kullanmak ve yasadışı yayınlar gibi suçlar bu kapsamda. Bu sınıflandırmaları Avrupa Birliği, Interpol ve diğer ünitelerin tanımlamalarından yola çıkarak yaptım. Bununla ilgili Emniyet Genel Müdürlüğü’nde Bilgisayar Suçları ve Bilgi Güvenliği Kurulu var. Bunlar o kurulda yer alan bir raporda bu şekilde yer aldı. “Bilgileri otomatik işleme tabi tutulmuş sistemler” diye bir tanım var. Bunun anlamı nedir? Peki... Bu tanımla birlikte bilişim suçları, bilgisayar suçları olmaktan çıkıyor. Çünkü, bu kapsamda telefon kulübeleri de sayılabilir. Orada da bir telefon numarasını, yani bilgiyi tuşlayarak otomatik bir işleme tabi tutuyorsunuz. Telefon da bilgi teknolojisine giriyor. Teknoloji kullanılıyor. Bilişim suçlarının içinde her şey olabiliyor..Her zaman karşılaşılan olaylardan birisi, internetteyken biri gelip hakaret ediyor ya da bilgisayarınıza girip bilgilerinizi çalıyor. Ne yapacağınızı bilmiyorsunuz, emniyete de başvuramıyorsunuz. Ama diyelim ki, büyük bir bankanın bilgisayar işlem bilgileri çalınmış. Bu, büyük bir olay olduğu için emniyete intikal edebiliyor. Aslında insanlar da böyle bir bilinç olup da emniyete başvursalar, daha iyi olur. Yavaş yavaş şikayetler de çoğalmaya başladı.
Bileşim Suçları 1998 yılında suç oranı çok düşüktü...
Emniyet Genel Müdürlüğü’ne 1998 yılında üç tane suç intikal etmiş. O zamanlar böyle bir suç olma olasılığı çok düşüktü. İkincisi de insanlar bu suçları kendi içlerinde çözmeyi tercih ediyorlardı. “Sen beni hack edersen, ben de seni hack ederim” mantığı ile hareket ediyorlardı. Her geçen gün bilgisayar güvenliğinin artmasına rağmen şikayet sayısında da artış var.
Neden?
Çok ilginç bir nokta var, eskiden bilgisayar teknolojileri hiç bilinmiyordu ve açıklar çok fazlaydı. Bilgisayar sistemlerinin açıkları çok fazla, saldırılar çok azmış. Şimdi saldırılar çoğalıyor, açıklar azalıyor. Bu da internetin yaygınlaşmasıyla oluyor. İnternette bir çok hacker sitesi var. Eskiden bu hack etme bilgileri de kimsede yoktu. O nedenle daha az suç işleniyordu. Ama şimdi bu tür bilgiler internet sitelerinde yayınlanıyor. Belki 2002-2003 istatistiklerine bakarsak öncekilerden daha da fazla olacaktır.
Bilişim suçlarında işleyen prosedürle, diğer suçlar arasında ne tür bir fark var?
İki tür suç var aslında, biri takibi şikayet gerektiren suçlar. Bunların takip edilmesi için bize resmi başvuru yapılması gerekiyor. Örneğin, sizin kişisel bilgisayarınız hack edildiğinde siz eğer şikayet etmezseniz, biz gelip “ille de sizin bilgisayarınıza bakacağız” diyemeyiz. Ancak, kamu bilgisayarına bir zarar gelmişse, o zaman emniyet bakabilir. Örneğin, istatistiklerde de dikkat ettiyseniz, genellikle dolandırıcılık ve mali suçlar biraz daha yaygın.
Bu tür suçları yakalamak için Emniyet Genel Müdürlüğü’nün kullandığı özel bir teknoloji var mı?
Burada bilişim suçları ile ilgili iki şey ortaya çıkıyor. Birincisi, suç işlendikten sonra oradaki delilleri nasıl elde ederiz? Bu delillerin elde edilebilmesi için çok özel sistemlerle, özel incelemelerle, bilgiye zarar vermeden çalışmak gerekiyor. Bildiğiniz gibi, bilgisayarla bu işleri yapmak biraz zor. Delil, zarar görme unsuruna açık olabiliyor, yada karşılaştığınız bilgisayarın teknolojisi farklı olduğu için kendi standart bilgisayarlarınızda incelemeniz sorun olabiliyor. Bir veri inceleme bilgisayarımız var, onunla bu işleri yapıyoruz.
Bilişim suçları en fazla bankacılık sektörde görülüyor...
Ancak, bakıldığı zaman genelde bankacılık sektöründe bu tür suçlar yapılıyor. İki tane kendini hacker zanneden insanın “senin bilgisayarını hack ediyorum” demesi daha çok oluyor. Kredi kartı sahtecilikleri, ATM’lere yapılan müdahaleler var, burada dolandırıcılık, sahtecilik suçları da giriyor. Örneğin, sahte paralar bile bilgisayar üzerinden işleniyor. Ama net bir cevap vermek mümkün değil. Tabii mali suçlar daha yoğunlukta. Çünkü, insanlar suçu en fazla kendilerine mali kazanç elde etmek için kullanıyorlar. Türkiye’de böyle araştırma birimleri olmadığı için bu araştırmalar yapılamıyor. Şirketlerin kendi teknolojik alt yapılarında bu türden suçları engellemek için çalışmalar yapması gerekiyor ama işin ekonomik maliyeti olduğu İçin çok şirket bunu yapmıyor..
Türkiye’de bilgisayar
güvenliği çok önemli. Bilgisayar güvenliği konusunda gerek şirketler olsun, gerek kişiler olsun, çok fazla birim yok. Vatandaş bilgisayarı alıp evine koyuyor. Bütün özel bilgilerini tutuyor, oyun oynuyor ve internete bağlanıyor. Ama o arada bilgisayarla gelebilecek tehlikeleri hiç göz önünde bulundurmuyor.
Polis teşkilatı ile işbirliği yapan kuruluşlar var..
Polis teşkilatı Yeni teknikler için üniversitelerle çalışıyor..ODTÜ ile eğitim kapsamlı bir çalışmalar var.... Bankalarla görüşmeler yapılıyor.. Bankalar her zaman sistemlerinin güvenli olduğunu söylüyorlar.. Az önce söylediğim tehlike şirketler, özellikle de bankalar için de geçerli. Bankaların bilgisayarlarında çok özel bilgiler yer alabiliyor. Bankaların yanı sıra büyük şirketler de bu tehlike altında. Bilgisayarlar kuruluyor, her şey gayet güzel. Ama bilgisayar güvenliği göz ardı ediliyor. Bazı büyük firmalar güvenlik konusunda bazı önlemler alıyor. Ama yeterli olduğunu düşündükleri önlemler, bazı insanların o şirketin özel bilgilerine ulaşmasına, yada bilgisayarları saldırı aracı olarak kullanmasına engel olamıyor. ..
Şirketlerle işbirliğine girme süreci nasıl işliyor?
Takibi şikayete bağlı suçlarda, öncelikle her suçta olduğu gibi savcılığa müracaat edilmesi gerekiyor. Savcılık da bunu ilgili birime gönderiyor. Burada herhangi bir teknik yardım gerekirse ya da burada veriler elde edilirse Polis teşkilatı devreye giriyor..
Şirketlerin virüs saldırılarına uğrama oranı nedir?
Yurtdışındaki kurumlar zarar gördüklerini polise ya da ilgili birimlere bildirdikleri için, yurtdışında bu istatistikleri tutmak daha kolay oluyor. Ama bunun Türkiye’de bir bankanın başına geldiğini düşünsenize. Banka “benim bilgisayarlarım hacklendi, bilgilerim zarar gördü” derse, herkes parasını çekmeye başlayacaktır. Hepsi en iyi, en güvenli olduğunu söylüyor. Bu tip sorunları kendi içlerinde yok etmeye çalışıyorlar. Para kaybetseler de bunu bir şekilde finanse etmeye çalışıyorlar.
Bilişim Suçları Birimi’nin kurulma nedenleri neler?
Eskiden Bilgi İşlem Daire Başkanlığı adı altında İnternet ve Bilişim Suçları Daire Başkanlığı vardı. Emniyet Genel Müdürlüğü’nde çeşitli birimler var ve olaylar konusuna göre bu birimlerde inceleniyor.Teknoloji ile ilgili bir birim olmadığı için Bilgi İşlem Daire Başkanlığı altında bir birim oluşturulmuştu. Görevler arasında bilgisayar güvenliğini sağlama ön plana çıkıyor. Diğer birimler, asayiş, istihbarat, kaçakçılık, terör gibi operasyonel birimlerimiz kendi operasyonlarını yönetiyorlar. Bunlar inceledikleri olaylarda bilişimle ilgili bir konu gördüklerinde, kendileri yapamıyorlarsa bileşim suçları Şubesi daire Başkanlığı giriyor.. Ama burada bize asıl bilgi sağlayacak, internet servis sağlayıcıları. Ama internet servis sağlayıcılarının kayıt tutmasını zorunlu hale getirecek bir yasa yok. Kayıt tutmanın maliyeti de yüksek olduğu için kayıt tutmuyorlar ve servis sağlayıcıya kadar ulaştığımız halde suçlu bulunamıyor..
“SAHTE KREDİ KARTI ÜRETEN PROGRAMLAR BİLE VAR”
Kredi kartı ile ilgili internet üzerinden işlenmiş suçlara örnek verelim.. Kredi kartı generator programları var. O program sanal bir kredi kartı üretiyor. Kredi kartı numarası, son kullanma tarihi, limiti, kullanıcı adı ve soyadı… O kredi kartı ile alışveriş yaptığınızda başkasının hesabından kesiliyor.
Kredi kartıyla internet alışverişi nasıl problem yaratıyor?
Diyelim ki bir yerden alışveriş yaptınız. Kredi kartı numarası ve bilgilerini de yazmanız gerekiyor. Bunu bir de karşı tarafa gönderiyorsunuz. Bankaya giderken izlenen yol da tehlike yaratıyor. Saldırgan, gidip o bilgisayarın içinden o bilgileri alabilir.
Kredi kartı dolandırıcılığı engellenebilir mi?
Bazı bankalar kredi kartı dolandırıcılıklarını önlemek için sanal kartlar çıkardı. Sanal kart üretiyorsunuz, limiti kendiniz belirliyorsunuz. O an sıfır limitiniz, alışveriş yapacaksınız, örneğin 10 milyon liralık bir giysi alacaksınız, limitinizi 10 milyona çıkarıyorsunuz, alışverişi yaptıktan sonra limiti tekrar sıfıra indirebiliyorsunuz. Bu arada kredi kartınız bir şekilde elde edilse de limiti sıfır olduğu için kullanılamıyor.
Kredi kartı dolandırıcılığı ile ilgili Çalışmalar oldu..
Bununla ilgili bizim birkaç Çalışmalar oldu. FBI’a bildirildi... Onlar internette böyle bir yer keşfetmişler. Bir sitede milyonlarca kişinin kredi kartının tanıtıldığı bir yer. Hatta chat odalarında “şu sitede şu açığı tespit ettim”, “ben bir kredi kartı buldum, bunu herkes kullansın” diye konuşmalar geçiyor.
ULUSLARARASI VİRÜSLER İÇİN ŞİRKETLER NE YAPMALILAR?
Şirketler uluslararası virüslerden zarar gördüklerinde ne yapmalılar?
Öncelikle Emniyet Genel Müdürlüğü’ne gelmeleri gerekiyor. Burada önemli olan tüm ülkelerin polis teşkilatlarının bağlantılı çalışmaları. Diyelim ki, Türkiye’de böyle bir olay oldu. Virüs dağıldı ve bir çok bilgisayarı zarara uğrattı. Bir banka yada bazı kurumlar gelip şikayet ettiler. geriye doğru incelenmeye başlanıyor Sisteme nereden saldırılmış, saldıran sistem nereden, diye geriye doğru takip ediliyor.Bu zincirin en sonunda yurt dışına çıkma ihtimali var. Ama bazen incelemeler yarım kalıyor.
Neden?
Ulaştığımız bir noktadan kayıtları istediğimizde “kayıt tutmuyoruz ki” cevabıyla karşılaşabiliyoruz. Ama bu çalışmalar için uluslararası çalışma birimi kurmak gerekiyor. Bununla ilgili olarak G-8 ülkelerinde çalışma birimi vardı. Bunu Avrupa Birliği çerçevesinde genişletmeye çalışıyorlardı. Bununla ilgili çalışmalarımız da vardı. Avrupa Birliği, suçların 24 saat ulaşacağı ve takip edileceği bir birim kurulmasını istiyordu. Bu irtibat noktaları kurulduğunda herhangi bir bilgi geldiği zaman diğer polis biriminde bu bilgiler alınabilirdi. Bizim Amerika ile bazı yazışmalarımız oldu. Örneğin, bize diyebilirler ki, sizin şu bilgisayarlarınızdan bize virüs saldırısı geldi. Biz buradan bunları inceleyip, biz de diyebiliriz ki Çin polis teşkilatına, FBI’dan bize uyarı geldi, bize de virüs sizden gelmiş. Bu virüsün çıktığı bilgisayara kadar ulaşma ihtimalimiz var.
Uluslararası alanda Emniyet Genel Müdürlüğü’nün işbirliği yaptığı kurumlar var mı?
Burada bir Interpol Daire Başkanlığımız var. G-8 ülkelerinin konuyla ilgili bir birimi var. Ama bu geniş bir konu. Uluslararası ilişkilerle gidiyoruz burada. İlişkileri iyi kurarsanız, böyle bir bilgi gerektiğinde size gelebilir.
Barış ÜNAL
Emniyet Haber Gazetesi
Diyarbakır Bölge Temsilcisi