DDoS Saldırısı Hukuki Rehberi 2026
DDoS (Dağıtık Hizmet Engelleme) saldırıları, bir hedef sistemin normal kullanıcılara hizmet veremez hale gelmesini amaçlayan koordineli ağ trafiği saldırılarıdır. Türk hukukunda TCK m.244 kapsamında değerlendirilir. Bu rehber teknik mekanizmayı, hukuki nitelendirmeyi ve kurumsal koruma stratejilerini ele almaktadır.
Saldırı Türleri
Volumetrik (SYN flood, UDP flood), protokol tabanlı (Slowloris) ve uygulama katmanı (HTTP flood) saldırılar farklı teknik dinamiklere sahiptir. Amplifikasyon saldırıları DNS ve NTP açıklarından yararlanır.
Hukuki Nitelendirme
Eylem TCK m.244/1’de düzenlenen bilişim sisteminin işleyişini engelleme kapsamındadır. Kamu kurumlarına veya kritik altyapıya yönelik saldırılarda terör veya casusluk boyutu değerlendirilebilir.
Kurumsal Müdahale Planı
Olay müdahale ekibi kurulması, trafiğin analiz edilmesi, CDN ve WAF çözümleri, ISP ile koordinasyon, log saklama süresi ve adli rapor hazırlığı kritik aşamalardır.
Delil Toplama
NetFlow kayıtları, PCAP dosyaları, log dosyaları (nginx/apache), WAF raporları ve BGP anonslarındaki anomaliler delil niteliğindedir. Zaman damgalı snapshot alınması önerilir.
Tazminat ve Sigorta
Saldırı kaynaklı hizmet kesintisi, müşteri şikayetleri ve itibar kaybı siber sigorta poliçeleri kapsamında talep edilebilir. Ayrıca saldırganın tespiti halinde TBK m.49 çerçevesinde dava açılabilir.
Sıkça Sorulan Sorular
DDoS saldırısı şikayete bağlı mı?
Genel kural olarak 244. madde re’sen soruşturulur; mağdurun şikayeti takip için zorunlu değildir.
Saldırganı nasıl tespit ederiz?
Trafik kaynak IP’leri, C&C sunucu iletişimi ve botnet ağı analizleri adli bilişim uzmanınca yapılır.
Şirket saldırı bildirimini nereye yapmalı?
USOM, KVKK (veri ihlali varsa) ve savcılığa bildirim yapılmalıdır.
Küçük ölçekli DDoS araçları kullanmak suç mu?
Stresser/booter hizmeti kullanımı dahi TCK 244 ve 245/A kapsamında değerlendirilebilir.
Bu içerik bilgilendirme amaçlıdır ve bireysel hukuki danışmanlık yerine geçmez. Somut olayınız için bir hukuk müşavirila görüşmeniz önerilir.
Yargıtay içtihatları’nin 2023-2024 yıllarındaki içtihatlarında DDoS saldırısı ve ransomware eylemleri TCK m.244’ün farklı fıkraları çerçevesinde değerlendirilmiştir. Kamu hizmetine yönelik sistemlere zarar verilmesi halinde ağırlaştırılmış fıkra uygulanmakta, saldırganın yurt dışında bulunması Uluslararası Adli Yardım çerçevesinde ek süreç gerektirmektedir. Şirketlerin siber sigorta poliçelerine ilişkin özel hukuk davalarında Yargıtay içtihatlarıpoliçe kapsamının yorumlanmasında ticari teamül ilkesini uygulamaktadır. Yargısal kararların güncel ve tam metinleri için mevzuat.adalet.gov.tr veritabanından sorgulama yapılabilir. Burada özetlenen yaklaşımlar somut olayın koşullarına göre değişebilir. Bilişim hukuku, KVKK, siber suçlar ve dijital delil konularındaki anlatımlarımız için @bilalalyar YouTube kanalını takip edebilirsiniz.İlgili Yargısal Yaklaşımlar
Bilişim Sistemini Engelleme Suçu — Uygulamadaki Yaklaşım
Bölgenizdeki Bilişim Hukuku Danışmanlığı
Konuyla İlgili Video İçerikler
Bu içerik 17 Nisan 2026 tarihinde gözden geçirilmiştir.
Resmi Kaynaklar
- Mevzuat Bilgi Sistemi (mevzuat.gov.tr)
- Yargıtay Karar Arama (karararama.yargitay.gov.tr)
- UYAP Vatandaş Portalı (uyap.gov.tr)
- İstanbul Barosu (istanbulbarosu.org.tr)
- T.C. Adalet Bakanlığı (adalet.gov.tr)
- Türkiye Barolar Birliği (barobirlik.org.tr)
Hazırlayan Hukuku
Av. Bilal ALYAR — İstanbul Barosu Sicil No: 54965
Marmara Üniversitesi Hukuk Fakültesi mezunu (2015). Aile hukuku, ceza hukuku, kripto para hukuku, bilişim hukuku, şirketler hukuku ve vergi hukuku alanlarında faaliyet göstermektedir.
Bu içerik yalnızca genel bilgilendirme amaçlıdır; somut hukuki görüş ya da avukat-müvekkil ilişkisi oluşturmaz. Her dosya kendine özgü koşullar içerdiğinden, hukuki süreçlerde ilgili mevzuat çerçevesinde bilgilendirme alınması yararlı olabilir.