Ransomware ve Fidye Yazılımı Saldırılarına Karşı Hukuki Rehber
Mağdurun verilerinin şifrelenmesi ve fidye karşılığında çözülme vaadi sunulması biçiminde gerçekleşen ransomware saldırıları; bireysel ve kurumsal mağdurlar için ceza, KVKK ve özel hukuk yönlerinden eş zamanlı yürütülmesi gereken bir vaka tipidir.
Tipik Mağdur Profilleri (Anonim Vakalar)
Aşağıda büromuza ulaşan başvurulardan hareketle hazırlanmış, kişisel veri içermeyen, anonim/hipotetik mağdur profilleri yer almaktadır. Bu profiller; benzer durumda olan kişilerin durumlarını hukuken nitelendirmelerine yardımcı olmak amacıyla paylaşılmıştır. Her vaka kendine özgü koşullara sahip olup, hukuki süreç müvekkilin somut delil ve durumuna göre şekillenir.
Profil A – KOBİ’nin tüm dosya sunucusunun şifrelenmesi
Dosya sunucusu ve yedeklerin birlikte şifrelendiği, fidye olarak yüksek tutarda kripto varlık istenen küçük ölçekli işletme.
Hukuki nitelendirme: İşletmenin operasyonel sürekliliği, KVKK bildirimi, ceza şikayeti ve sigorta poliçesi paralel yürütülür.
Profil B – Hastane veya sağlık kuruluşunun saldırıya uğraması
Hasta verilerinin etkilendiği, kritik altyapı sayılabilecek sağlık hizmeti veren kuruluşun saldırıya uğraması.
Hukuki nitelendirme: Özel nitelikli kişisel veri (sağlık) etkisi nedeniyle KVKK boyutu ağırlaşır; hizmet sürekliliği yönüyle ek özen yükümlülükleri devreye girer.
Profil C – Kamu kurumu tedarikçisi olan firmanın saldırı sonrası veri sızıntısı tehdidi yaşaması
Şifrelemenin yanı sıra ‘fidye ödenmezse veriler yayımlanır’ tehdidi içeren çift yönlü gasp (double extortion) vakası.
Hukuki nitelendirme: 5237 sayılı Kanun’un 107. maddesi (şantaj) ve 244. maddesi paralel uygulanır; kamu güvenliği boyutu ek değerlendirme gerektirir.
Profil D – Bireysel kullanıcının kişisel cihazı şifrelenen vakası
Aile fotoğrafları, mali belgeler ve önemli dosyaları şifrelenmiş bireysel kullanıcı.
Hukuki nitelendirme: Bireysel mağduriyette hızlı şikayet ve ekipman koruma ön plana çıkar; ödeme yapılmaması yönündeki genel yaklaşım korunur.
Profil E – Eğitim kurumunun öğrenci verilerinin etkilendiği saldırı
Öğrenci sicil bilgileri, mali kayıtlar ve sınav arşivlerinin etkilendiği eğitim kurumu vakası.
Hukuki nitelendirme: Çocuk ilgililerin verilerinin etkilenmesi nedeniyle veli bildirimi ve hukuki sürecin koordinasyonu özellik gerektirir.
İlgili Mevzuat
Bu alanda uygulanan başlıca resmi mevzuat aşağıdaki tabloda gösterilmiştir. Tablo yalnızca yürürlükteki kanun maddelerine atıf yapar; herhangi bir mahkeme kararı içermez.
| Kanun No | Kanun Adı | İlgili Madde | Konu |
|---|---|---|---|
| 5237 | Türk Ceza Kanunu | Md. 243 | Bilişim sistemine girme |
| 5237 | Türk Ceza Kanunu | Md. 244 | Sistemi engelleme, bozma, verileri yok etme veya değiştirme |
| 5237 | Türk Ceza Kanunu | Md. 107 | Şantaj (fidye talebi yönüyle) |
| 5237 | Türk Ceza Kanunu | Md. 158 | Nitelikli dolandırıcılık |
| 5237 | Türk Ceza Kanunu | Md. 135-136 | Kişisel verilerin hukuka aykırı kayıt ve verilmesi |
| 6698 | Kişisel Verilerin Korunması Kanunu | Md. 12 | Veri güvenliği yükümlülüğü |
| 5651 | İnternet Ortamında Yapılan Yayınların Düzenlenmesi Hk. Kanun | Md. 8/A, 9 | Saldırı altyapısı erişim engeli |
| 5549 | Suç Gelirlerinin Aklanmasının Önlenmesi Hk. Kanun | Md. 4 | Şüpheli işlem bildirimi |
| 6098 | Türk Borçlar Kanunu | Md. 49 vd., 112-114 | Haksız fiil ve sözleşmesel sorumluluk |
Süreç Akış Şeması
Mağdurun başvurusundan itibaren izlenebilecek genel süreç adımları aşağıdaki gibidir. Her vakada adımların sırası ve içeriği farklılık gösterebilir.
[1] Etkilenen sistemleri izole edin
Saldırının yayılmasını durdurmak için etkilenen makineleri ağdan ayırın; ekipmanı kapatmayın, izole edin ki delil kayboluyu durdurulsun.
↓
[2] Adli bilişim incelemesi başlatılır
Bağımsız adli bilişim uzmanı ile birlikte log, bellek ve disk imajları sabitlenir; saldırı kaynağı tespit edilmeye çalışılır.
↓
[3] Fidye talebine yanıt vermeyin (kural olarak)
Ödeme yapılması fidye yazılımı ekonomisini destekler ve verilerin geri döneceğine dair garanti vermez; istisnai durumlar uzman desteğiyle değerlendirilir.
↓
[4] KVKK veri ihlali bildirimi
Kişisel veri etkilendiyse 6698 sayılı Kanun çerçevesinde gecikmesiz olarak Kurul’a bildirim ve ilgili kişilere haber verme süreci yürütülür.
↓
[5] Cumhuriyet Başsavcılığına şikayet
5237 sayılı Kanun’un 243, 244, 107 ve duruma göre 158. maddeleri kapsamında suç duyurusu hazırlanır.
↓
[6] Sigorta poliçesi sürecinin işletilmesi
Siber sigorta poliçesi varsa hızla bildirim yapılır; poliçe kapsamı ve istisnalarına göre süreç yürütülür.
↓
[7] İletişim ve itibar yönetimi
Çalışan, müşteri ve kamuoyu iletişimi şeffaflık ve hukuka uygunluk çerçevesinde yürütülür; yanlış bilgi yayılmasının önüne geçilir.
Ransomware Saldırılarının Hukuki Çerçevesi
Ransomware (fidye yazılımı); bir bilişim sistemine yetkisiz biçimde girilerek verilerin şifrelenmesi ve şifrenin çözülmesi karşılığında menfaat (genellikle kripto varlık) talep edilmesi şeklinde işleyen saldırı türüdür. Saldırılar e-posta ekleri, kötü niyetli bağlantılar, uzak masaüstü protokollerinin (RDP) zayıflığı, tedarik zinciri istismarı veya iç tehdit yoluyla başlar.
Türk hukukunda failin eylemi 5237 sayılı Türk Ceza Kanunu’nun 243 (bilişim sistemine girme), 244 (sistemi engelleme, bozma, verileri yok etme veya değiştirme), 142/2-h (bilişim sistemleri kullanılarak hırsızlık) ve fidye unsuru bağlamında 107 (şantaj) ve 158 (nitelikli dolandırıcılık) maddeleri kapsamında incelenir. Ayrıca 5651 sayılı Kanun çerçevesinde içerik kaldırma ve erişim engeli süreçleri saldırı altyapısı için işletilebilir.
Kurumsal mağdurlar bakımından 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi veri güvenliği yükümlülüğü getirmekte; veri ihlali oluşması durumunda ise gecikmesiz olarak Kurul’a ve etkilenen ilgili kişilere bildirim yapma yükümlülüğü doğmaktadır. Bu yükümlülüğün ihmali idari para cezası riski taşır; kurumun mağdur sıfatına rağmen sorumlu duruma düşmesi söz konusudur.
Sıkça Sorulan Sorular
Fidye ödemek yasak mı?
Türkiye’de doğrudan ‘fidye ödeme yasağı’ olmamakla birlikte, ödenen fidye yaptırım listesindeki bir kişiye giderse veya 5549 sayılı Kanun çerçevesindeki yükümlülükler ihlal edilirse ek hukuki sorunlar doğabilir. Genel yaklaşım ödeme yapılmaması yönündedir.
Yedeklerimiz var ama saldırı sonrası KVKK bildirimi gerekiyor mu?
Yedeklerin varlığı veriyi geri yüklemeyi sağlasa da, kişisel verilerin yetkisiz bir kişi tarafından ele geçirilmiş veya etkilenmiş olması veri ihlali sayılır ve bildirim yükümlülüğü doğurur.
Şirket olarak saldırı sonrası iletişim politikamızı nasıl belirlemeliyiz?
İletişim politikası; KVKK bildirim yükümlülükleri, müşteri sözleşmelerindeki bilgilendirme hükümleri ve sermaye piyasası gereksinimleri (ilgili olduğu durumlarda) çerçevesinde hukuki destek alınarak belirlenmelidir.
Saldırgan yurt dışından ise Türk savcılığı ne yapabilir?
Türk savcılığı yetkilidir; uluslararası adli yardım, kripto borsa işbirliği ve siber suç sözleşmesi çerçevesinde süreç yürütülür.
Çift yönlü gasp (double extortion) nedir?
Verilerin hem şifrelenmesi hem de fidye ödenmediği takdirde sızdırılma tehdidiyle birlikte talep edilmesidir; 244. maddenin yanı sıra 107. madde (şantaj) gündeme gelir.
Yönetim kurulu üyelerinin sorumluluğu var mı?
6102 sayılı Türk Ticaret Kanunu çerçevesinde yöneticilerin özen yükümlülüğü mevcuttur; veri güvenliği konusunda makul tedbirlerin alınmamış olması durumunda bireysel sorumluluk gündeme gelebilir.
Sigorta poliçesi tüm zararı karşılar mı?
Siber sigorta poliçeleri kapsam ve istisnalar bakımından ciddi farklılıklar içerir; poliçenin sözleşmesel hükümlerinin saldırı öncesinde dikkatle gözden geçirilmesi gerekir.
Manevi tazminat söz konusu olur mu?
Bireysel mağdurlar için kişisel verilerin etkilenmesi ve mahremiyet ihlali yönünden 6098 sayılı Kanun çerçevesinde manevi tazminat değerlendirmesi mümkündür.
İlgili Hukuki Konular
Bilgilendirme: Bu sayfa genel bilgilendirme amaçlıdır ve avukat-müvekkil ilişkisi kurmaz. Somut bir hukuki sorununuz için doğrudan iletişime geçmeniz önerilir. Türkiye Barolar Birliği Meslek Kuralları gereği herhangi bir sonuç vaadi içermez.
Ransomware Vakalarında Detaylı Suç Nitelendirmesi
Ransomware saldırılarında failin eylemi 5237 sayılı Türk Ceza Kanunu’nun birden fazla hükmü kapsamında değerlendirilir.
Bilişim Sistemine Girme (TCK m.243)
Saldırının ilk aşamasında failin sisteme yetkisiz erişimi 243. madde kapsamında değerlendirilir. Erişim için kullanılan yöntem (oltalama e-postası, RDP istismarı, tedarik zinciri saldırısı vb.) bu maddenin uygulanmasını etkilemez.
Sistemi Engelleme, Bozma (TCK m.244)
Verilerin şifrelenmesi mağdurun bilgi sistemine erişimini engeller; bu durum 244. maddenin tipik uygulama alanını oluşturur. Verilerin yok edilmesi, değiştirilmesi veya erişilemez kılınması durumunda madde özel olarak uygulanır.
Şantaj (TCK m.107)
Fidye talebi şantajın temel unsurunu oluşturur. Çift yönlü gasp (double extortion) senaryolarında “fidye ödenmezse veriler yayımlanır” tehdidi de şantaj kapsamına girer.
Nitelikli Dolandırıcılık (TCK m.158)
Şifre çözme aracının verileceği vaadiyle ödeme alınması ancak çözücünün hiç verilmemesi veya etkili olmaması durumunda nitelikli dolandırıcılık değerlendirmesi de gündeme gelir.
Kişisel Verilerin Hukuka Aykırı Verilmesi (TCK m.135-136)
Çift yönlü gasp vakalarında verilerin sızdırılma tehdidi veya gerçekleşmesi 135-136. maddelerin uygulanmasını gerektirir.
Saldırı Vektörleri ve Teknik İşleyiş
Ransomware saldırıları farklı vektörlerden başlayabilir:
- Oltalama e-postaları: Sahte fatura, kargo bildirimi veya iş başvurusu görünümlü ekler içeren e-postalar.
- RDP ve VPN istismarı: Zayıf kimlik doğrulamaya sahip uzaktan erişim hizmetleri üzerinden sızma.
- Yamasız zafiyetler: Bilinen zafiyetlerin güncel yamaların uygulanmadığı sistemlerde istismar edilmesi.
- Tedarik zinciri: Yazılım sağlayıcının veya hizmet sağlayıcının kanallarından bulaşma.
- İç tehdit: Çalışan veya eski çalışanın bilinçli/ihmali davranışıyla başlayan saldırı.
KVKK Veri Güvenliği Yükümlülüğü ve İhlal Bildirimi
6698 sayılı Kanun’un 12. maddesi veri sorumlularına teknik ve idari tedbirler alma yükümlülüğü getirir. Ransomware mağduru olan kuruluşların yeterli teknik önlemleri (güncel yedekleme, ağ segmentasyonu, çok faktörlü kimlik doğrulama, log yönetimi vb.) almamış olması, idari yaptırım riskini artırır. Ayrıca veri ihlali oluştuğunda gecikmesiz olarak Kurul’a ve etkilenen ilgili kişilere bildirim yapma yükümlülüğü doğar; bu bildirimin geç yapılması veya yapılmaması ek yaptırım gerekçesi olur.
Yönetim Kurulu ve Tepe Yönetim Sorumluluğu
6102 sayılı Türk Ticaret Kanunu çerçevesinde yöneticilerin özen yükümlülüğü mevcuttur. Veri güvenliği konusunda makul tedbirlerin alınmamış olması, bu yükümlülüğün ihlali olarak değerlendirilebilir ve yönetim kurulu üyelerinin bireysel sorumluluğunu doğurabilir. Bu nedenle ransomware öncesi olağan denetim mekanizmalarının çalıştırılması, sigorta poliçelerinin gözden geçirilmesi ve olay müdahale planlarının önceden hazırlanması yönetim kurulu seviyesinde değerlendirilmesi gereken konulardır.
Sigorta Poliçesi ve Tazminat İlişkisi
Siber sigorta poliçeleri kapsam ve istisnalar bakımından önemli farklılıklar içerir. Tipik istisnalar arasında savaş hali, devlet destekli saldırılar, fidye ödemesinin doğrudan kapsanmaması ve önceden bilinen zafiyetlerin değerlendirilmemesi yer alır. Poliçenin saldırı öncesinde dikkatle gözden geçirilmesi, kapsam genişletmelerinin görüşülmesi ve olay müdahale danışmanlığı modülünün eklenmesi yararlı olabilir.
İletişim ve İtibar Yönetimi
Ransomware sonrası iletişim politikası; KVKK bildirim yükümlülükleri, müşteri sözleşmelerindeki bilgilendirme hükümleri, çalışan iletişimi ve gerektiğinde sermaye piyasası bildirim yükümlülükleri çerçevesinde belirlenmelidir. Şeffaf ve hukuka uygun iletişim, hem yasal uyumu sağlar hem de itibar kaybını sınırlandırmaya yardımcı olur. Aşırı bilgi paylaşımı veya bilgi gizleme her ikisi de farklı risklere yol açabilir.
Önleyici Tedbirler ve Olay Müdahale Hazırlığı
- Düzenli ve test edilmiş yedekleme stratejisi (3-2-1 kuralı: 3 kopya, 2 farklı medya, 1 dış lokasyon).
- Ağ segmentasyonu ve kritik sistemlerin yalıtımı.
- Çok faktörlü kimlik doğrulamanın tüm uzaktan erişim yollarında zorunlu kılınması.
- Düzenli zafiyet taraması, yama yönetimi ve donanım/yazılım envanterinin güncellenmesi.
- Olay müdahale planının yazılı olarak oluşturulması ve düzenli tatbikat yapılması.
- Çalışan farkındalık eğitimleri ve oltalama simülasyonları.
- Hukuk, iletişim, BT ve yönetim ekiplerinin önceden belirlenmiş kriz iletişim akışı.
Uluslararası Boyut
Ransomware operasyonlarının önemli bir bölümü sınır ötesi yapılar tarafından yürütülmektedir. Avrupa Konseyi Siber Suç Sözleşmesi (Budapeşte Sözleşmesi) çerçevesinde adli yardım talepleri, kripto borsa işbirliği ve uluslararası kolluk koordinasyonu sürecin temel araçlarındandır. Yaptırım listelerinde yer alan yapıların durumu, ödeme yapılması durumunda doğacak ek yasal sorunlar bakımından dikkatle değerlendirilmesi gereken bir husustur.
Mağdur Kuruluşların Tipik Sonuçları
Ransomware vakalarında elde edilebilecek olası sonuçlar şunlardır: failin tespiti ve cezai sorumluluğu, verilerin yedeklerden geri yüklenmesi (yedek varsa), KVKK ile uyumlu süreç yürütülmesi, sigorta kapsamındaki zararların talep edilmesi, müşteri ve çalışan iletişiminin sağlıklı yürütülmesi. Tüm bu sonuçlar saldırı öncesi hazırlık seviyesine güçlü biçimde bağlıdır.