Türkiye’de Kapsamlı Bir Adli Bilişim Mevzuatı Yok

Fatma Ağaç-Gazi Üniversitesi (G.Ü) Mühendislik Fakültesi Bilgi Güvenliği Mühendisliği Anabilim Dalı Başkanı Prof. Dr. Şeref Sağıroğlu, ülkemizde adli bilişim alanında yapılması ve atılması gereken birçok adım olduğuna işaret etti.

Sağıroğlu, elektronik ortamları kullanımımızın hızla artığı günümüzde bu ortamlarda işlenen suçlar ile ilgili delil elde etme ve bunları mahkemeye sunma, hazırlama veya raporlama işinin adli bilişim olduğunu belirtti.

Sağıroğlu, adli bilişimde kanun ve mevzuat çalışmalarından, adli bilişim strateji belgesinin hazırlanmasına, adli bilişim uzmanlığı yeterliliğinin oluşturulmasına, yerli adli bilişim teknolojilerinin geliştirilmesine ve uzman iş gücünün oluşturulmasına kadar birçok alanda ilerleme kaydedilmesinin zorunlu olduğunu vurguladı.  

Adli bilişim konusunda, bir kanun ile çizilen çerçevenin bilirkişi tekeline bırakıldığının altını çizen Sağıroğlu, bu durumun da farklı yorumlara ve içtihatlara sebebiyet verdiğini söyledi. görmeye çalışmaktadır. Sağıroğlu, açıklamasını şöyle sürdürdü:

“Kısaca, ülkemizde adli bilişim standardının geliştirilebilmesi için bu konuda uzmanlıkları olan birim temsilcileri, akademisyenler ve sektör çalışanları bir araya gelerek bir komite kurmalı ve adli bilişim alanındaki geçmiş tecrübelerden, durum analizlerinden, var olan teknolojilerden yola çıkılarak yapılan fikir birliği çerçevesinde standartlar oluşturulmalıdır.”

Öte yandan konuşmasında, bilgi güvenliği veya siber güvenlik konularına da açıklık getiren Sağıroğlu, sahip olduğumuz varlıkların özellikle de bilgi varlıklarımızın başına bir iş gelmeden önce, olabilecek tehdit ve tehlikeleri önceden ön görüp, önlem alınmasının yani karşılaşılabilecek risklerin minimize edilmesinin bilgi güvenliği veya siber güvenlik anlamına geldiğini kaydetti.

Bilgi güvenliği ya da daha popüler manada siber güvenlik ve adli bilişim kavramlarının birbirinden ayrılmaz olduğuna dikkati çeken Sağıroğlu, “Herhangi birinde bir gelişme ve ilerleme, doğrudan diğerini de etkilemektedir” diye konuştu.

Uluslararası Adli Bilişim ve Güvenlik Sempozyumu (ISDFS)

3. Uluslararası Adli Bilişim ve Güvenlik Sempozyumu (ISDFS); Bilim, Sanayi ve Teknoloji Bakanlığı himayelerinde 09–12 Mayıs 2015 tarihleri arasında Ankara’da düzenlenecek.

Sempozyum, Gazi Üniversitesi ev sahipliğinde, Sam Houston State University, Fırat Üniversitesi, Hacettepe Üniversitesi, Balıkesir Üniversitesi, Polis Akademisi, Public Institution of Higher Education, University of Arkansas at Little Rock ve Petru Maior University işbirliğinde gerçekleştirilecek.

Sempozyum Kurulu Başkanı ve G.Ü Öğretim Üyesi Prof. Dr. Şeref Sağıroğlu, adli bilişim ve güvenlik konularında çalışan araştırmacıların, bilim insanlarının, uzmanların ve ilgi duyanların katılacağı bu sempozyumda, bilim ve teknoloji dünyasındaki son gelişmelerin paylaşılacağını anlattı. Sempozyumda paylaşılacak, sunulacak tebliğler ve gerçekleştirilecek bilimsel oturumların, panellerin, çalıştayların ve eğitimlerin katılımcılara yeni ufuklar açacağına değinen Şerefoğlu,  “Adli bilişim ile bilgi ve siber güvenlik konularında bilim ve teknoloji dünyasındaki son gelişmeler, fikirler, çalışmalar paylaşabilecek ve karşılaşılan problemlere çözüm önerileri bulunmaya çalışılacaktır” dedi. Sağıroğlu, sempozyumla ilgili daha detaylı bilgilere, resmi web sitesi www.isdfs.org  adresinden erişilebilineceğini kaydetti. Sağıroğlu, BİLTEKHABER’in sorularını şöyle cevaplandırdı:

Adli bilişim ve güvenlik kavramından neyi kastediyoruz? Konuyu daha da detaylandırabilir misiniz?

Elektronik ortamları kullanımımızın hızla artığı günümüzde bu ortamlarda işlenen suçlar ile ilgili delil elde etme ve bunları mahkemeye sunma, hazırlama veya raporlama işidir adli bilişim. Daha kapsamlı olarak ise elektronik ortamlarda muhafaza edilen veya bu ortamlarda tutulan, saklanan, işlenen, iletilen, silinen veya bulundurulan düz metin, ses, resim, görüntü gibi veri ve bilgilerin bir kısmı veya tamamının birleşiminden oluşan her türlü nesnenin, bir suç dolayısıyla, delil niteliği taşıyacak şekilde tanımlanması, elde edilmesi, saklanması, incelenmesi, ayrıştırılması, raporlanması ve mahkemeye sunulması çalışmalarıdır.

Bir şüpheliye ait sayısal materyallerde Adli Delil İncelemesi yapılabilmesi için Ceza Muhakemesi Kanunu 134. Madde gereğince bir mahkeme kararı olması gerekir. Bir karar olmadan, şüphelinin kullandığı dijital materyalde inceleme yapılamaz, yapılsa bile delil kabul edilmez. Bir delilin nasıl toplanacağı ilgili hususlarda eksiklikler olsa da bu konuda mevzuatlar bulunuyor. Ülkemiz son yıllarda bu konuda epey yol kat edilmiş olsa da bu konu hala ülke gündemde ve bundan sonrada gündemde olmaya devam edecek.

Güvenlik ise sahip olduğumuz varlıkların özellikle de bilgi varlıklarımızın başına bir iş gelmeden önce gelebilecek tehdit ve tehlikeleri önceden ön görüp önlem alınmasıdır. Yani karşılaşılabilecek riskleri minimize etmektir. Biz buna bilgi güvenliği veya siber güvenlik diyoruz.

Ülkemizde son dönemde bu iki konu da gündemde olan konular. Bundan sonra da olmaya devam edecek. Çünkü bu ortamlar sürekli değişen ve gelişen ortamlar olduğundan bu değişimlerin yakinen takip edilmesi ve gereken önlemlerin hem hukuken hem de teknolojik olarak alınmasına daha çok ihtiyaç vardır.

Ülkemizde adli bilişimin bir standardının olmadığından söz ediliyor. Bu nasıl sağlanabilir?

Öncelikli olarak bir standarttan veya kaliteden bahsedilecekse, bunun uluslararası kabul edilebilir kuralları veya mevzuatı olması gerekir. Türkiye’de hala kapsamlı bir adli bilişim mevzuatı bulunmuyor. Kolluk kuvvetleri Ceza Muhakemeleri Kanunu (CMK) madde 134’de Bilgisayarlarda, Bilgisayar Programlarında Ve Kütüklerinde Arama, Kopyalama Ve Elkoyma başlığı altıda yer alan maddeler ile iş görmeye çalışıyorlar. Adli bilişim ile ilgili kapsamlı ve detaylandırılmış mevzuatın olmaması nedeni ile adli bilişim sürecinde kullanılan yazılımların standardı, adli bilişim uzmanlığının standartları ve ulusal ölçekte belirlenmiş bir adli bilişim süreç ve stratejisi de henüz oluşturulamamıştır. Buna ilave olarak, bir kanun ile çizilen çerçeve maalesef bilirkişi tekeline bırakılarak farklı yorumlara ve içtihatlara sebebiyet veriyor. Bu farkların kesin ve kararlı sonuçlar üretecek  şekilde giderilmesi içinde adli bilişim standartlarına ihtiyaç duyuluyor. Ülkemizde bunu sağlayan birimler olsa da son dönemde yaşadığımız olaylarda adli delil incelemelerinde standartlara uyulmadığı, herkes tarafından bilinen bir gerçektir. Son dönemde alınan mahkeme kararları da bu hususları desteklemektedir.

Ülkemizde adli bilişim alanında yapılması ve atılması gereken birçok adım vardır. Kanun ve mevzuat çalışmalarından, adli bilişim strateji belgesinin hazırlanmasına, adli bilişim uzmanlığının yeterliliğin oluşturulmasına, yerli adli bilişim teknolojilerinin geliştirilmesine ve uzman iş gücünün oluşturulmasına kadar birçok alanda ilerleme kaydetmemiz gerekiyor.  

Bu alanda yapılmasının zorunlu olduğu işlemlerin başında, adli bilişim standartlarının yükseltilmesi, mevcut adli bilişim teknolojilerin kullanılması, bu alanda yetişmiş insan kaynaklarının artırılması ve bunun hukuk sistemleri ile desteklenmesi geliyor. Ayrıca, Ulusal Siber Güvenlik Strateji Belgesi ve Eylem Planı’na mevcut “Siber Güvenlik” mevzuat çalışmalarına “Adli Bilişim” ile ilgili çalışmalar da eklenmelidir.

Kısaca, ülkemizde adli bilişim standardının geliştirilebilmesi için konuda uzmanlıkları olan birim temsilcileri, akademisyenler ve sektör çalışanları bir araya gelerek bir komite kurmalı ve adli bilişim alanındaki geçmiş tecrübelerden, durum analizlerinden, var olan teknolojilerden yola çıkılarak yapılan fikir birliği çerçevesinde standartlar oluşturulmalıdır.

Uluslararası Adli Bilişim ve Güvenlik Sempozyumu (ISDFS 2015) 9-12 Mayıs 2015 tarihleri arasında  Ankara’da yapılacak. Bu sempozyumun amacı ve önemi nedir? Sempozyum kimleri ağırlayacak?

Uluslararası Adli Bilişim ve Güvenlik Sempozyumu (ISDFS) konferanslar serisi aslında bundan önce 2013 – Elâzığ ve 2015 – Houston (ABD) da gerçekleştirildi. 3. ISDFS Gazi Üniversitesi ev sahipliğinde, Sam Houston State University, Fırat Üniversitesi, Hacettepe Üniversitesi, Balıkesir Üniversitesi, Polis Akademisi, Public Institution of Higher Education, University of Arkansas at Little Rock ve Petru Maior University işbirliğinde yapılacak. Adli bilişim ve güvenlik konularında çalışan araştırmacıların, bilim insanlarının, uzmanların ve ilgi duyanların katılacağı bu sempozyumda, bilim ve teknoloji dünyasındaki son gelişmeler paylaşılacak, sunulacak tebliğler ve gerçekleştirilecek bilimsel oturumlar, paneller, çalıştaylar ve eğitimler ile katılımcılara yeni ufuklar açılarak, adli bilişim ile bilgi ve siber güvenlik konularında bilim ve teknoloji dünyasındaki son gelişmeler, fikirler, çalışmalar paylaşılacak ve karşılaşılan problemlere çözüm önerileri bulunmaya çalışılacak.

Gazi Üniversitesi Bilgi Güvenliği Mühendisliği Anabilim Dalı Başkanlığınca düzenlenen bu Uluslararası Sempozyumda; 3 davetli konuşmacı bu alanlarla ilgili son gelişmeleri aktaracak, 61 bildiri sunulacak, 7 farklı konuda eğitim verilecek, ülkemizde bilgi güvenliği ve adli bilişimin masaya yatırılacağı 2 farklı panel düzenlenecek, lisansüstü tez yarışması yapılacak, sistemlerin nasıl heklendiğinin canlı demosu ve çözüm önerilerini içeren özel bir oturumda katılımcılarla paylaşılacak. Güncel sempozyum programına web sayfasından erişebilir. Ayrıca, pek çok yerli ve yabancı firmanın bu etkinlikte stand açması bekleniyor.

Sempozyumda ulusal ve uluslararası 250’nin üzerinde ilgili kurum çalışanlarının, akademisyenlerin, adli uzmanların, firma temsilcilerinin ve ilgililerin katılımı gerçekleşecek.

Türkiye’nin İlk Özel Adli Bilişim Laboratuvarı Ankara’da kuruldu? Türkiye adli bilişim konusunda nerede? Kamudaki adli bilişim laboratuvarları yeterli mi?

Özel sektör olarak aslında birkaç adli bilişim laboratuvarı kurulmuş olup, bilinirliği çok fazla değil. Adeo ve Difose gibi firmalar Ankara merkezli olarak adli bilişim laboratuvarını kuran özel sektör girişimcileri. Kamu’da adli bilişim laboratuvarları Emniyet, Jandarma ve TÜBİTAK bünyesinde kurulmuş olup,  şifahi olarak görüşmelerimizde davaların çokluğu ve teknik personel yetersizliğinden dolayı maalesef istenilen seviyede hizmet verilemediği biliniyor.

Dünyadaki büyük ve gelişmiş ülkelere nazaran ülkemiz adli bilişim konusunda maalesef halen ithal teknoloji kullanan ülke seviyesindedir. Yerli adli bilişim yazılımımız ve yerli adli bilişim uzmanı sertifikasyon programlarımız mevcut değildir. Türk Standartları Enstitüsü (TSE) adli bilişim sertifikasyonu konusunda çalışmaları başlatmış olmakla birlikte neticesi beklenmektedir. Yazılım ve sertifikasyonun yanı sıra akademik açıdan ise Fırat Üniversitesi’nde Adli Bilişim Mühendisliği lisans programı, Gazi Üniversitesi Bilişim Enstitüsü’nde Adli Bilişim Yüksek Lisans ve Doktora Programları, Ankara Üniversitesi’nde Adli Bilimler Enstitüsü, Hacettepe Üniversitesi’nde bulunan Adli Bilişim Merkezi, Polis Akademisinde Adli Bilimler Enstitüsü ve Adli Bilişim Programları mevcut ise de yapılan akademik çalışmalardan elde edilen çıktıların belirli veya yeterli seviyede olmadığını belirtmekte fayda var.

Bilgi güvenliği ve siber güvenlik kavramları arasında ne gibi farklılıklar ya da benzerlikler var? Her iki alanda da neler yapılmalı sizce?

Bilgi güvenliği ya da daha popüler manada siber güvenlik ve adli bilişim birbirinden ayrılmaz iki kavram olup, herhangi birinden bir gelişme ve ilerleme doğrudan diğerini de etkilemektedir. Sempozyum kurulu olarak bu iki konunun aynı alanda tartışılmasını, adli bilişim ve bilgi/siber güvenlik uzmanlarının bir araya gelmesinin sonucundan her iki dalın birbirine katkı sağlayacağı düşüncesi ile önem vermekteyiz.

Bilgi güvenliği, bilginin anlam kazandığı, değerinin olduğu ve farklılık oluşturduğu günden bu yana üzerinde çalışılan ve çözüm geliştirilen bir kavramdır. Verinin veya bilginin gizlilik, bütünlük ve erişilebilirlik başta olmak üzere kimlik doğrulama ve inkâr edememe gibi güvenlik unsurlarının desteklenmesiyle yüksek seviyede bir bilgi güvenliği sağlanabilir. Günümüzde bilginin büyük bir kısmı sayısal ortamlarda oluşturulmakta, işlenmekte, depolanmakta ve paylaşılmakta olduğundan her zamankinden daha fazla korunmasına ihtiyaç var.

Siber güvenlik, bilgi güvenliğinin en geniş kapsamlı ve en aktif boyutu haline gelmiş olması nedeniyle son derece büyük öneme sahiptir. Siber dünyada tehditler, kişilerden ziyade, askeri haberleşmeden finansal verilere, ülkenin elektrik veya doğalgaz gibi kritik altyapı sistemlerinden ulaşım ağları gibi kurumsal veya sektörel alanları hedef alıyor. Siber tehditler, hem kurumların hem de ülkelerin bilgi varlıklarına, saygınlıklarına, günümüz ve gelecekteki güvenliklerine telafisi çok zor olan zararlar verebiliyor. Bu nedenle, elektronik ortamlarda var olan veya hizmet veren ülkeler için siber savunma artık bir zorunluluk.

Siber güvenlik, bilgisayar ağlarını, bilgisayarları, programları ve verileri saldırılarından, tehdit ve tehlikelerden, yetkisiz erişimlerden korumak için çeşitli teknik, teknoloji, süreç, politika ve standartların kullanılması ve iyileştirilmesi olarak tanımlanabilir. Bilgi güvenliği ise elektronik ya da fiziksek olarak saklanan bilgilerin veya verilerin yetkisiz erişim, kullanım, bozma, değiştirme, yok etme gibi   saldırılardan korunması. Bu tanımlar ışığında siber güvenlik bilgi güvenliğinin altında bir alt dal veya kapsamı dar olarak kabul edilen bir bilim dalıdır.

Yüksek seviyede bir güvenlikten bahsetmek için öncelikle; bilgi sistemlerinin güvenliğinin daha ciddi olarak ele alınması gerekmektedir. Neyin nasıl korunacağını veya korunamayacağını bilmek aslında işin özüdür. Burada karşılaşılan veya oluşan risklerin düşürülmesi gerekiyor. Kurumlar bir politika çerçevesinde bilgi güvenliklerini sağlamalıdırlar. Politikaların ise uygulanması ve işlerin doğru yapıldığının gözlemlenmesi, izlenmesi ve denetlenmesi ve sonuçta yapının iyileştirilmesi başarının anahtarıdır. Burada insan-eğitim-teknoloji birlikteliğini sağlamak ve uluslararası bilgi güvenliği standartlarının kritik altyapıya sahip kurumlarda uygulanmak ise işin püf noktasıdır.

Son zamanlarda, ulusal ve uluslararası kritik altyapılara yapılan saldırılar, siber güvenliğin daha popüler bir alan olmasını sağlamış ve dikkati bu alana çevirmiştir. Fakat hayatımızı bu kadar çok etkileyen bir kelimenin hala Türk Dil Kurumu’nun (TDK) sitesinde olmaması ise konuya ne kadar önem verdiğimizi gösteren ilginç bir husustur.

Kişisel verilerin korunmasına yönelik hazırlanan yasa tasarısı hala meclis gündeminde ama görüşülmedi? Bu yasa neleri sağlar?

Kişisel verilerin korunmasına yönelik kabul edilecek yasanın her şeyden önce Anayasa’da “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” şeklinde belirlenmiştir. Bu maddenin gerçek manada hayata geçmesini sağlayacağı değerlendirilmektedir. Bu tasarının, bireylerin ve kurumların mahremiyetini gerçek manada koruyacağını, korumayanların ise cezalandırılmasının yolunun açılması ile de bilgi güvenliğine verilen önemin daha da artacağı değerlendirilmektedir. Bu sayede ulusal ve uluslararası veri paylaşımlarının disiplin altına alınabileceği ve dijital manada güvenilir ülke olmamızı kolaylaştıracak ve böylelikle başta AB ülkeleri olmak üzere, ekonomik ve kurumsal iletişim kolaylaşacak, vize serbestisi gibi problemler daha kolay halledilebilecektir. Bundan daha önemlisi ulusal verilerimizin uluslararasına çıkışı kontrol altına alınabilecektir.

Eklemek istediğiniz başka konular var mı?

Ülkemizde adli bilişim ve siber güvenlik alanlarının gelişmesi için kurum-sektör-üniversite işbirliklerine ihtiyaç vardır. Bilim, Sanayi ve Teknoloji Bakanlığı himayelerinde bu yıl 09–12 Mayıs 2015 tarihleri arasında Ankara yapılacak olan 3. Uluslararası Adli Bilişim ve Güvenlik Sempozyumuna tüm ilgilileri bekliyoruz. Resmi web sitesine www.isdfs.org  adresinden erişilebilinir.

(https://www.biltekhaber.net/turkiyede-kapsamli-bir-adli-bilisim-mevzuati-yok.html)