Siber Suç Delil Toplama ve Hukuki Süreçler

Siber Suçlarda Delil Toplama Nasıl Yapılır?

Siber suçlarda delil toplama, standart suç soruşturmalarından farklı teknik uzmanlık gerektiren karmaşık bir süreçtir. Ceza Muhakemesi Kanunu'nun 134. maddesi uyarınca, dijital delil toplama işlemi mutlaka yetkili merci tarafından gerçekleştirilmelidir.

Delil toplama süreci temel olarak şu aşamalardan oluşur:

1. Tespit Aşaması: Suça konu dijital verilerin bulunduğu cihaz ve ortamların belirlenmesi
2. Koruma Aşaması: Delillerin değiştirilmesini önlemek için güvenlik önlemlerinin alınması
3. Toplama Aşaması: Adli kopya oluşturulması ve orijinal verilerin korunması
4. Analiz Aşaması: Toplanan verilerin teknik incelemeye tabi tutulması

Kolluk kuvvetleri, CMK m.135/2 gereği bilgisayar, cep telefonu gibi dijital cihazlara el koyabilir ancak içeriğine erişim için mahkeme kararı veya gecikmesinde sakınca bulunan hallerde Cumhuriyet Savcısının yazılı emri gereklidir.

Siber suç soruşturması kapsamında delil toplama yetkisi öncelikle Adli Tıp Kurumu Bilişim İhtisas Dairesine aittir. İl ve ilçe emniyet müdürlüklerindeki siber suçlarla mücadele birimlerinin topladığı ön deliller, kesin sonuç için Adli Tıp Kurumuna gönderilmektedir.

Dijital Delillerin Hukuki Geçerliliği İçin Hangi Şartlar Gerekli?

Dijital delillerin mahkeme nezdinde geçerli sayılabilmesi için belirli hukuki ve teknik şartların eksiksiz olarak yerine getirilmesi zorunludur. Bu şartlar hem ulusal mevzuatımızda hem de uluslararası standartlarda açıkça belirtilmiştir.

Yasal Yetki Şartı: CMK m.134 ve 135 uyarınca dijital delil toplama işlemi mutlaka yetkili merciin kararı veya talimatıyla yapılmalıdır. Yetkisiz kişilerce toplanan dijital veriler, hukuka aykırı delil niteliğinde kabul edilir ve CMK m.206/2-a hükmü gereği değerlendirilemez.

Usul Şartları:

• Delil toplama işlemi sırasında tutanak düzenlenmesi (CMK m.169)
• Dijital cihazların mühürlenerek koruma altına alınması
• Adli kopya oluşturulması ve hash değerlerinin kaydedilmesi
• Delil zincirinin (chain of custody) korunması

Teknik Geçerlilik Şartları: Adli Tıp Kurumu'nun belirlediği standartlara göre dijital delillerin değişmediğinin ispat edilebilmesi gereklidir. Bu kapsamda kriptografik hash fonksiyonları kullanılarak verilerin bütünlüğü kontrol edilir.

Yargıtay 8. Ceza Dairesinin yerleşik kararlarına göre, teknik inceleme raporlarında kullanılan yöntemlerin bilimsel geçerliliği ve incelemeyi yapan uzmanın yeterliliği de delil değerini etkilemektedir.

Özellikle uluslararası boyutu olan siber suçlarda, yabancı ülkelerden elde edilen dijital delillerin karşılıklı adli yardım anlaşmaları çerçevesinde elde edilmesi hukuki geçerliliği için şarttır.

Adli Tıp Kurumu Siber Suç İncelemesi Nasıl Yapar?

Adli Tıp Kurumu Bilişim İhtisas Dairesi, Türkiye'de siber suç soruşturmalarında teknik inceleme yapma yetkisine sahip tek resmi kurumdur. 2659 sayılı Adli Tıp Kurumu Kanunu'nun 17. maddesi uyarınca bu yetki Kuruma münhasır olarak verilmiştir.

İnceleme süreci şu aşamalardan oluşmaktadır:

Başvuru ve Kabul Aşaması: Cumhuriyet Savcılığı veya mahkeme tarafından gönderilen dijital deliller, özel güvenlik protokolleri ile teslim alınır. Her bir delil için benzersiz kimlik numarası oluşturulur ve kayıt sisteme işlenir.

İmaj Oluşturma: Orijinal dijital delillerin değişmesini önlemek amacıyla "write blocker" cihazları kullanılarak bit düzeyinde kopyalar (forensic images) oluşturulur. Bu işlem sırasında SHA-256 veya MD5 hash değerleri hesaplanarak delil bütünlüğü kontrol edilir.

Teknik Analiz: Uzman bilirkişiler tarafından özel yazılımlar kullanılarak dijital deliller incelenir. Bu aşamada:

• Silinmiş dosyaların kurtarılması
• İnternet geçmişi ve çerez analizleri
• Metadata incelemesi
• Şifreli verilerin çözülmeye çalışılması
• Network trafiği analizi gerçekleştirilir

Rapor Hazırlama: İnceleme sonuçları, teknik detayların yanı sıra hukukçuların anlayabileceği şekilde düzenlenir. Raporda kullanılan yöntemler, elde edilen bulgular ve varılan sonuçlar açık bir şekilde belirtilir.

İnceleme süresi, delil miktarı ve karmaşıklığına göre 3 ay ile 1 yıl arasında değişebilmektedir. Acil durumlar için hızlandırılmış inceleme prosedürü uygulanabilir.

Kurumun hazırladığı raporlar, Yargıtay kararlarında "güçlü karine" olarak kabul edilmekte ve aksinin ispatı sanığa düşmektedir.

Siber Suç Türleri ve Delil Gereksinimleri

Farklı siber suç türleri, kendine özgü delil toplama ve inceleme yöntemleri gerektirmektedir. TCK'da düzenlenen bilişim suçları kapsamında en sık karşılaşılan suçlar şunlardır:

Bilişim Sistemine Girme (TCK m.243): Bu suçta delil toplama süreci, sistem logları, erişim kayıtları ve IP adresi takipleri üzerine yoğunlaşır. Network trafiği analizi ve oturum kayıtları kritik öneme sahiptir.

Verileri Yok Etme veya Değiştirme (TCK m.244): Dosya sistemlerinin detaylı analizi, backup kayıtlarının incelenmesi ve değişiklik tarihçelerinin tespit edilmesi gereklidir. Özellikle silinmiş dosyaların kurtarılması süreçlerinde gelişmiş teknikler kullanılır.

Sistemi Engelleme (TCK m.244/2): DDoS saldırıları veya sistem kaynaklarının tüketilmesi durumlarında, trafik analizi ve kaynak kullanım raporları ön plana çıkar.

Banka ve Kredi Kartlarının Kötüye Kullanılması (TCK m.245): Finansal işlem kayıtları, kart bilgilerinin ele geçirilme şekli ve para transferi rotalarının tespit edilmesi esastır.

Her bir suç türü için dijital delil toplama stratejisi farklılık göstermektedir. Örneğin, çocukların cinsel istismarı suçlarında multimedya dosyaların analizi ve hash değerleri ile bilinen illegal içeriklerin tespiti yapılırken, dolandırıcılık suçlarında iletişim kayıtları ve finansal hareketler önceliklenmektedir.

Dijital Delil Koruma Teknikleri

Dijital delillerin hukuki değerinin korunması için uluslararası standartlarda kabul edilen koruma tekniklerinin uygulanması zorunludur. Bu teknikler, delil bütünlüğünün sağlanması ve değiştirilmediğinin ispat edilmesi amacını taşır.

Write Blocker Kullanımı: Dijital cihazlara erişim sağlanırken, orijinal verilerin değişmesini önlemek için donanımsal veya yazılımsal write blocker cihazları kullanılır. Bu cihazlar okuma işlemlerine izin verirken, yazma işlemlerini tamamen engeller.

Hash Değeri Hesaplama: Dijital verilerin bütünlüğünü kontrol etmek için MD5, SHA-1 veya SHA-256 algoritmaları kullanılarak hash değerleri hesaplanır. Bu değerler delil toplama anından mahkeme aşamasına kadar karşılaştırılarak değişiklik olmadığı ispat edilir.

Faraday Kafesi: Cep telefonu ve tablet gibi kablosuz haberleşme özelliği olan cihazlar için özel koruma çantaları kullanılır. Bu çantalar elektromanyetik dalga geçirgenliğini engelleyerek uzaktan veri silinmesi riskini ortadan kaldırır.

Zaman Damgası (Timestamp): Delil toplama işleminin ne zaman yapıldığının kesin olarak tespit edilmesi için güvenilir zaman damgaları kullanılır. Bu özellikle log kayıtlarının analizi sırasında kritik önem taşır.

Adli Tıp Kurumunca belirlenen prosedürlere göre, tüm işlemler video kaydı altında gerçekleştirilmekte ve her aşama detaylı olarak belgelenmektedir.

Siber Suç Davalarında Mahkeme Süreci

Siber suç davalarında mahkeme süreci, geleneksel ceza davalarından farklı özellikler göstermektedir. Teknik inceleme raporlarının değerlendirilmesi ve dijital delillerin sunumu özel uzmanlık gerektirir.

Ön İnceleme Aşaması: CMK m.170 uyarınca savcılık, toplanan dijital delilleri Adli Tıp Kurumuna göndererek teknik inceleme talep eder. Bu aşamada sanığın savunması alınarak inceleme kapsamı belirlenir.

Mahkeme Aşaması: Adli Tıp Kurumu raporları, CMK m.67 gereği bilirkişi raporu niteliğinde değerlendirilir. Mahkeme, raporun anlaşılmayan kısımları için ek açıklama talep edebilir veya bilirkişiyi duruşmaya çağırabilir.

Çelişme İlkesi: Sanık ve müdafii, dijital delillerin toplanması ve incelenmesi süreçlerine itiraz etme hakkına sahiptir. Yargıtay kararlarına göre, usulsüz toplanan dijital deliller değerlendirme dışı bırakılmalıdır.

Delil Değerlendirme: Hakim, dijital delilleri diğer delillerle birlikte değerlendirerek karar vermektedir. Tek başına dijital delil, mahkumiyet için yeterli kabul edilmemekte, destekleyici delillerle birlikte değerlendirilmektedir.

Özellikle uluslararası boyutu olan siber suçlarda, yabancı ülke mahkemelerinden talep edilen dijital delillerin değerlendirilmesi sürecinde karşılıklı adli yardım anlaşmaları dikkate alınmaktadır.

Yasal Dayanaklar

Bu makalede atıfta bulunulan mevzuat:

• 5237 sayılı Türk Ceza Kanunu (m. 243-245) - Bilişim sistemine girme, sistemi engelleme ve bozma, verileri yok etme suçları
• 5271 sayılı Ceza Muhakemesi Kanunu (m. 134-135) - Bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, elkoyma
• 2659 sayılı Adli Tıp Kurumu Kanunu (m. 17) - Adli tıbbi incelemeler ve teknik inceleme yapma yetkisi