Fidye Yazılımı Saldırılarında Hukuki Süreç ve Şikâyet Yolları
Giriş
Fidye yazılımı saldırıları, günümüzde şirketlerin, kamu kurumlarının, sağlık kuruluşlarının, e-ticaret işletmelerinin, hukuk bürolarının, muhasebe ofislerinin, üretim tesislerinin ve bireysel kullanıcıların karşılaştığı en ağır siber saldırı türlerinden biridir. İngilizce karşılığıyla “ransomware” olarak bilinen fidye yazılımı, sistemdeki dosyaları şifreleyerek erişilemez hâle getiren, çoğu zaman şirketin operasyonunu durduran ve saldırganların şifre çözme anahtarı karşılığında para talep ettiği zararlı yazılımdır.
Bu saldırılar yalnızca teknik bir problem değildir. Bir fidye yazılımı saldırısı sonucunda şirketin müşteri verileri, çalışan dosyaları, finansal kayıtları, ticari sırları, hasta veya müvekkil bilgileri, sipariş kayıtları, e-posta arşivleri ve sözleşmeleri ele geçirilebilir. Dosyaların şifrelenmesi tek başına şirketin faaliyetlerini durdurabilir; ancak günümüzde saldırganlar çoğu zaman yalnızca şifreleme yapmakla kalmamakta, verileri dışarı çıkararak “ödeme yapılmazsa yayımlama” tehdidinde de bulunmaktadır. Bu durum, fidye yazılımı saldırılarını hem ceza hukuku hem KVKK hem ticaret hukuku hem de tazminat hukuku bakımından çok katmanlı hâle getirir.
Fidye yazılımı saldırısına uğrayan şirketin ilk refleksi çoğu zaman “verileri nasıl geri alırız?” sorusuna odaklanır. Ancak hukuken asıl mesele bununla sınırlı değildir. Şirketin delilleri koruması, kişisel veri ihlali olup olmadığını belirlemesi, Kişisel Verileri Koruma Kurulu’na bildirim gerekip gerekmediğini değerlendirmesi, ilgili kişileri bilgilendirmesi, Cumhuriyet Başsavcılığı’na suç duyurusunda bulunması, sigorta ve tedarikçi sözleşmelerini incelemesi, yönetim kararlarını kayıt altına alması ve olası idari para cezası/tazminat risklerini yönetmesi gerekir.
Kişisel Verileri Koruma Kurumu, veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak ve uygun güvenlik düzeyini temin etmek için gerekli teknik ve idari tedbirleri almakla yükümlü olduğunu açıkça belirtmektedir. Veri sorumlusu, kişisel verilerin kendi adına başka kişiler tarafından işlenmesi hâlinde de gerekli tedbirlerin alınması konusunda bu kişilerle birlikte müştereken sorumlu olabilir.
Fidye Yazılımı Saldırısı Nedir?
Fidye yazılımı saldırısı, bir bilişim sistemindeki dosyaların, veri tabanlarının, sunucuların, yedeklerin veya ağ kaynaklarının saldırgan tarafından şifrelenmesi ve erişilemez hâle getirilmesi şeklinde ortaya çıkar. Saldırgan çoğu zaman ekrana veya klasörlere fidye notu bırakır. Bu notta belirli bir kripto para cüzdanına ödeme yapılması istenir; ödeme yapılmazsa verilerin silineceği, yayımlanacağı veya şifre çözme anahtarının verilmeyeceği belirtilir.
Fidye yazılımı saldırıları genellikle phishing e-postaları, zararlı ekler, zayıf uzak masaüstü protokolü bağlantıları, güncellenmemiş sunucular, ele geçirilmiş VPN hesapları, zayıf parolalar, tedarikçi sistemleri, güvenlik açığı bulunan yazılımlar veya çalışan hataları üzerinden gerçekleşir. Kişisel Verileri Koruma Kurumu’nun kullanıcı güvenliğine ilişkin duyurusunda da aynı kullanıcı adı/parolanın farklı platformlarda kullanılması, belirli aralıklarla parola değişiminin yapılmaması ve iki kademeli kimlik doğrulama gibi yöntemlerin kullanılmamasının veri ihlallerine neden olabildiği vurgulanmaktadır.
Ransomware saldırısı üç farklı sonuç doğurabilir. Birincisi, sistemin çalışması durur ve şirket operasyonel kayıp yaşar. İkincisi, veriler şifrelenir ve şirket veri bütünlüğünü kaybeder. Üçüncüsü, veriler dışarı çıkarılırsa kişisel veri ihlali, ticari sır ihlali ve ifşa tehdidi gündeme gelir. Bu üçüncü ihtimal özellikle KVKK ve ceza hukuku bakımından en kritik alandır.
Fidye Yazılımı Saldırısı Suç mudur?
Fidye yazılımı saldırısı çoğu durumda Türk Ceza Kanunu kapsamında suç teşkil eder. Saldırganın şirket sistemine hukuka aykırı şekilde girmesi TCK m.243 kapsamında bilişim sistemine girme suçunu gündeme getirebilir. Bu maddeye göre bir bilişim sisteminin bütününe veya bir kısmına hukuka aykırı olarak giren veya orada kalmaya devam eden kişi cezalandırılır.
Fidye yazılımı saldırısının asıl ağırlığı ise çoğu zaman TCK m.244 kapsamında ortaya çıkar. Sistemlerin şifrelenmesi, verilerin erişilemez hâle getirilmesi, dosyaların bozulması, silinmesi, değiştirilmesi veya başka yere gönderilmesi; bilişim sisteminin işleyişini engelleme, bozma, verileri yok etme veya erişilmez kılma fiillerini gündeme getirir. TCK m.244, bilişim sisteminin işleyişinin engellenmesi veya bozulması ile sistemdeki verilerin bozulması, yok edilmesi, değiştirilmesi, erişilemez kılınması, sisteme veri yerleştirilmesi ya da verilerin başka yere gönderilmesi fiillerini ayrıca düzenlemektedir.
Bunun yanında saldırgan ödeme talep ediyorsa şantaj, tehdit, nitelikli dolandırıcılık, kişisel verilerin hukuka aykırı olarak ele geçirilmesi veya yayılması, ticari sırların açıklanması gibi suçlar da somut olayda değerlendirilebilir. Özellikle “ödeme yapmazsanız müşteri verilerinizi yayımlarız” tehdidi, yalnızca teknik bir siber saldırı değil, aynı zamanda hukuki ve cezai baskı aracıdır.
İlk Hukuki Adım: Deliller Korunmalıdır
Fidye yazılımı saldırısında şirketlerin en sık yaptığı hata, panik hâlinde sistemleri formatlamak veya saldırı izlerini ortadan kaldırmaktır. Elbette sistemin çalışır hâle getirilmesi önemlidir; ancak deliller korunmadan yapılan müdahale, hem savcılık sürecini hem KVKK değerlendirmesini hem de sigorta ve tazminat süreçlerini zayıflatabilir.
Korunması gereken deliller arasında fidye notu, saldırganın iletişim adresleri, kripto cüzdan bilgileri, e-posta başlıkları, log kayıtları, güvenlik duvarı kayıtları, VPN/RDP erişim kayıtları, EDR/antivirüs uyarıları, şifrelenmiş dosyaların örnekleri, zararlı yazılım dosyaları, sunucu imajları, ağ trafiği kayıtları, yedekleme logları ve saldırganla yapılan yazışmalar bulunur. Bu kayıtlar sayesinde saldırının hangi tarihte başladığı, hangi sistemlere erişildiği, verilerin dışarı çıkarılıp çıkarılmadığı ve saldırganın kullandığı yöntem belirlenebilir.
Delil koruma işlemi adli bilişim uzmanı desteğiyle yapılmalıdır. Özellikle şirketin ileride “kişisel veriler dışarı çıkmadı” veya “sadece sistem şifrelendi” şeklinde beyanda bulunabilmesi için teknik tespit gerekir. Log kayıtları yoksa, veri sızıntısı olup olmadığını ispatlamak zorlaşır. Bu nedenle saldırı sonrası ilk işlem teknik temizlik değil, kontrollü izolasyon ve delil muhafazası olmalıdır.
Kriz Ekibi ve Hukuki Müdahale Planı
Fidye yazılımı saldırısında şirket içinde acil bir kriz ekibi oluşturulmalıdır. Bu ekipte bilgi işlem birimi, siber güvenlik uzmanı, hukuk danışmanı, KVKK sorumlusu, üst yönetim, insan kaynakları, finans, müşteri iletişimi ve gerekirse dış adli bilişim uzmanı bulunmalıdır.
Kriz ekibinin ilk görevi saldırının kapsamını belirlemektir. Hangi sunucular etkilendi? Yedekler sağlam mı? Saldırı devam ediyor mu? Kişisel veri etkilenmiş mi? Özel nitelikli kişisel veri var mı? Saldırgan verileri dışarı çıkardığını iddia ediyor mu? Şirket hangi sektörde faaliyet gösteriyor? Sektörel bildirim yükümlülüğü var mı? Sigorta poliçesi bulunuyor mu? Tedarikçi kaynaklı ihlal ihtimali var mı?
Bu sorulara cevap verilmeden fidye ödeme, kamuoyu açıklaması veya “veri sızıntısı yoktur” gibi kesin beyanlarda bulunmak risklidir. Şirketin her adımı yazılı tutanakla kayıt altına alınmalıdır. Yönetim kurulu veya yetkili organ, dış uzman görevlendirmesi, KVKK bildirimi, savcılık şikâyeti ve müşteri bildirimi gibi konularda karar almalıdır. Bu kayıtlar ileride şirketin özenli hareket ettiğini göstermek bakımından önemlidir.
KVKK Bakımından Veri İhlali Değerlendirmesi
Fidye yazılımı saldırılarında en kritik soru şudur: Kişisel veriler yalnızca şifrelendi mi, yoksa saldırgan tarafından elde edildi mi? KVKK m.12 kapsamında işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu, bu durumu ilgilisine ve Kurul’a bildirmekle yükümlüdür. Kurum da veri sorumlusunun veri güvenliği yükümlülüklerini yerine getirmek amacıyla uygun teknik ve idari tedbirleri alması gerektiğini açıklamaktadır.
Fidye yazılımı olaylarında veri ihlali şu ihtimallerde gündeme gelir: saldırgan veri tabanını kopyalamışsa, dosyaları dışarı aktarmışsa, müşteri listesi çalınmışsa, çalışan verileri sızmışsa, hasta veya özel nitelikli veriler ele geçirilmişse, saldırgan örnek veri yayımlamışsa veya sistem logları veri dışarı çıkışını gösteriyorsa. Ayrıca saldırganın “verileri aldık” demesi tek başına kesin kanıt olmayabilir; ancak ciddiye alınması gereken bir risk işaretidir.
Şirket bu değerlendirmeyi teknik raporla yapmalıdır. Hangi kişisel veri kategorileri etkilenmiştir? Ad-soyad, T.C. kimlik numarası, telefon, e-posta, adres, IP, sipariş geçmişi, finansal bilgi, sağlık verisi, çalışan bordrosu, müvekkil/hasta bilgisi, parola veya kimlik belgesi var mı? Etkilenen kişi sayısı nedir? Veriler şifreli miydi? Yedekler etkilenmiş mi? Bu bilgiler KVKK bildiriminde ve ilgili kişilere yapılacak açıklamada gereklidir.
72 Saat İçinde KVKK Bildirimi
Kişisel veri ihlali tespit edilmişse veya ihlal ihtimali makul şekilde ortaya çıkmışsa, Kişisel Verileri Koruma Kurulu’na bildirim süresi derhal gündeme gelir. Kurum’un güncel duyurusunda, veri sorumlularının 24.01.2019 tarihli ve 2019/10 sayılı Kurul kararı gereğince ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurul’a bildirim yapmakla yükümlü olduğu açıkça belirtilmiştir.
Bu süre, şirketin saldırıyı bütün ayrıntılarıyla çözmesini beklemez. İlk 72 saat içinde tüm teknik tespitler tamamlanmamış olabilir. Böyle bir durumda şirket mevcut bilgilerle ilk bildirimi yapmalı, inceleme ilerledikçe ek bilgi sunmalıdır. Geç bildirim yapılırsa, gecikmenin gerekçesi açıklanmalıdır. Bildirimde ihlalin tarihi, tespit tarihi, etkilenen sistemler, veri kategorileri, kişi grupları, muhtemel sonuçlar, alınan tedbirler ve iletişim kişisi bilgileri yer almalıdır.
72 saatlik süre kaçırılırsa, şirket hem veri güvenliği tedbirleri hem de bildirim yükümlülüğü yönünden Kurul incelemesiyle karşılaşabilir. Kurum, bildirim yükümlülüğünün yerine getirilmesinden sonra Kurul tarafından inceleme kararı alınabileceğini de belirtmektedir. Bu nedenle bildirim yapmak, şirketi otomatik olarak sorumluluktan kurtarmaz; fakat zamanında ve doğru bildirim yapılmaması ayrıca risk yaratır.
İlgili Kişilere Bildirim
Fidye yazılımı saldırısında kişisel verileri etkilenen kişiler de bilgilendirilmelidir. Bu kişiler müşteriler, çalışanlar, eski çalışanlar, üyeler, hastalar, müvekkiller, öğrenciler, tedarikçi temsilcileri veya platform kullanıcıları olabilir. Bildirimin amacı, kişilerin doğabilecek zararları azaltmak için önlem alabilmesidir.
İlgili kişilere yapılacak bildirim sade, açık ve yol gösterici olmalıdır. Hangi verilerin etkilenmiş olabileceği, ihlalin ne zaman gerçekleştiği, olası riskler, alınan tedbirler ve kişilerin alabileceği önlemler belirtilmelidir. Örneğin parola verileri etkilenmişse parola değişikliği tavsiye edilmeli; e-posta ve telefon bilgileri sızmışsa kimlik avı saldırılarına karşı uyarı yapılmalı; finansal veriler etkilenmişse banka hesaplarının izlenmesi önerilmelidir.
Şirketin “sistemsel sorun yaşandı” gibi belirsiz açıklamalarla yetinmesi doğru değildir. Buna karşılık teknik olarak henüz doğrulanmamış hususlarda kesin ifadeler kullanmak da risklidir. En doğru yaklaşım; bilinenleri, bilinmeyenleri, alınan tedbirleri ve iletişim kanallarını dürüstçe açıklamaktır.
Savcılığa Suç Duyurusu Nasıl Yapılmalıdır?
Fidye yazılımı saldırılarında Cumhuriyet Başsavcılığı’na suç duyurusunda bulunulmalıdır. Şikâyet dilekçesi klasik bir dilekçe gibi değil, teknik delillerle desteklenmiş bir bilişim suçu başvurusu olarak hazırlanmalıdır. Fail çoğu zaman anonimdir; bu nedenle dilekçede failin tespitine yarayacak teknik veriler özellikle belirtilmelidir.
Dilekçede saldırının tespit tarihi, saldırı yöntemi, etkilenen sistemler, fidye notu, saldırganın kullandığı e-posta/mesajlaşma adresleri, kripto cüzdan adresi, IP-log kayıtları, zararlı yazılım örneği, sızdırıldığı iddia edilen veriler, şirketin uğradığı zarar, iş kesintisi, müşteri etkisi ve teknik rapor yer almalıdır. Savcılıktan saldırıda kullanılan IP adreslerinin araştırılması, alan adlarının incelenmesi, kripto para cüzdan hareketlerinin tespiti, ilgili servis sağlayıcılardan kayıtların istenmesi, şüpheli hesapların incelenmesi ve fail/failler hakkında TCK m.243, m.244 ve somut olaya göre diğer suçlardan soruşturma yürütülmesi talep edilmelidir.
Fidye yazılımı saldırılarında şikâyetin geciktirilmesi delil kaybına yol açabilir. Bazı log kayıtları kısa süre tutulur. Saldırganın kullandığı altyapılar hızla kapanabilir. Kripto para hareketleri kısa sürede başka cüzdanlara aktarılabilir. Bu nedenle teknik deliller toplandıktan hemen sonra suç duyurusu yapılması gerekir.
Fidye Ödemesi Yapılmalı mı?
Fidye yazılımı saldırılarında en zor karar fidye ödemesidir. Hukuken fidye ödemesi yapılması her durumda doğrudan yasak şeklinde basitçe değerlendirilemez; ancak ciddi riskler taşır. Ödeme yapılması verilerin geri alınacağını garanti etmez. Saldırgan şifre çözme anahtarını vermeyebilir, verdiği anahtar çalışmayabilir, verileri daha önce kopyalamış olabilir veya ödeme sonrasında yeni taleplerle gelebilir.
Ayrıca ödeme yapılması, şirketin KVKK sorumluluğunu ortadan kaldırmaz. Eğer kişisel veriler dışarı çıkarılmışsa veya yetkisiz kişilerce elde edilmişse, ödeme yapılsa dahi veri ihlali bildirimi gündeme gelebilir. Saldırganın verileri yayımlamaması için ödeme yapılmış olması, şirketin gerekli teknik ve idari tedbirleri alıp almadığına ilişkin Kurul değerlendirmesini de kendiliğinden bertaraf etmez.
Fidye ödeme kararı verilmeden önce teknik kurtarma ihtimali, yedeklerin durumu, sigorta poliçesi, yaptırım listeleri, kara para aklama riski, şirket içi onay mekanizması, savcılık süreci ve KVKK yükümlülükleri birlikte değerlendirilmelidir. Saldırganla yapılan her yazışma ve ödeme talebi delil olarak saklanmalıdır.
Sigorta Bildirimi ve Siber Sigorta
Bazı şirketlerin siber sigorta poliçesi bulunabilir. Fidye yazılımı saldırısı yaşandığında poliçe hükümleri derhal incelenmelidir. Sigorta şirketine bildirim süresi, kapsam, istisnalar, fidye ödemesi, veri kurtarma masrafı, iş kesintisi zararı, hukuki danışmanlık, adli bilişim hizmeti, üçüncü kişi talepleri ve idari para cezaları poliçeye göre değişir.
Sigorta şirketine geç bildirim yapılması teminat kaybına yol açabilir. Bu nedenle kriz ekibi içinde sigorta sorumlusu veya mali danışman da bulunmalıdır. Sigortacı bazı durumlarda belirli adli bilişim firmalarıyla çalışılmasını şart koşabilir veya ödeme öncesinde onay isteyebilir. Bu süreç hukuki danışmanlıkla birlikte yürütülmelidir.
Tedarikçi Kaynaklı Fidye Yazılımı Saldırıları
Fidye yazılımı saldırısı şirketin kendi sisteminden değil, tedarikçi veya dış hizmet sağlayıcıdan kaynaklanabilir. Bulut hizmeti, muhasebe yazılımı, CRM sistemi, e-posta sağlayıcısı, çağrı merkezi, ödeme altyapısı, hosting firması veya dış IT hizmet sağlayıcısı saldırının giriş noktası olabilir.
KVKK bakımından veri sorumlusu, kişisel verilerin kendi adına başka bir kişi tarafından işlenmesi hâlinde gerekli tedbirlerin alınması konusunda veri işleyenle birlikte müştereken sorumlu olabilir. Bu nedenle şirket “ihlal tedarikçinin sisteminde oldu” diyerek otomatik olarak sorumluluktan kurtulamaz. Tedarikçi seçimi, sözleşme hükümleri, denetim, veri işleme protokolü, ihlal bildirim süresi ve güvenlik standartları önemlidir.
Saldırı sonrası tedarikçi sözleşmesi incelenmelidir. Tedarikçi ihlali zamanında bildirdi mi? Gerekli güvenlik önlemlerini aldı mı? Logları paylaşıyor mu? Alt yüklenici kullandı mı? Veriler yurt dışına aktarıldı mı? Sözleşmede tazminat, rücu, gizlilik ve veri güvenliği hükümleri var mı? Bu sorular hem şirketin savunması hem tedarikçiye yöneltilecek talepler açısından önemlidir.
Çalışan Kaynaklı Zafiyetler ve İş Hukuku Boyutu
Fidye yazılımı saldırılarının bir kısmı çalışan hatasından kaynaklanır. Phishing e-postasına tıklanması, zararlı ekin açılması, zayıf parola kullanılması, çok faktörlü kimlik doğrulamanın olmaması, eski çalışanın erişiminin kapatılmaması veya yetkisiz yazılım kurulması saldırıya zemin hazırlayabilir.
Çalışanın kasıtlı veri sızdırması veya saldırgana yardım etmesi hâlinde iş akdinin haklı nedenle feshi, suç duyurusu ve tazminat talepleri gündeme gelebilir. Ancak sadece çalışan hatası varsa, şirketin de gerekli eğitim ve teknik önlemleri alıp almadığı incelenir. Çalışanlara bilgi güvenliği eğitimi verilmemişse, parola politikası yoksa, erişim yetkileri görevle sınırlanmamışsa ve çok faktörlü doğrulama kullanılmamışsa şirketin kendi kusuru tartışılır.
Kurum’un kullanıcı güvenliğine ilişkin duyurusunda parola tekrar kullanımı, parola değişiminin yapılmaması ve iki kademeli kimlik doğrulama gibi eksikliklerin veri ihlallerine neden olabildiği belirtilmektedir. Bu nedenle şirketler çalışan eğitimini, erişim yönetimini ve kimlik doğrulama önlemlerini yalnızca teknik tercih değil, hukuki yükümlülük olarak görmelidir.
USOM ve Sektörel Bildirimler
Her fidye yazılımı saldırısında tüm şirketler bakımından aynı şekilde USOM bildirimi zorunluluğu bulunduğu söylenemez. Ancak saldırının niteliği, şirketin sektörü, kritik altyapı bağlantısı, elektronik haberleşme, finans, enerji, sağlık veya kamu hizmeti boyutu varsa USOM ve sektörel SOME süreçleri ayrıca değerlendirilmelidir.
BTK’ya göre USOM, Türkiye’nin siber güvenliğine karşı ortaya çıkan tehditlerin belirlenmesi, muhtemel siber saldırı ve olayların etkilerinin azaltılması veya ortadan kaldırılması amacıyla kurulmuş; siber olaylara müdahalede ulusal ve uluslararası koordinasyonu 7/24 esasına göre yürütmektedir. USOM, konusu suç teşkil eden bulgularla karşılaşılması hâlinde adli makamlar ve kolluk kuvvetleriyle koordinasyon içinde hareket eder.
Elektronik haberleşme sektörü bakımından ise BTK, işletmecilerin siber saldırılara yönelik tedbir alması, Kurumsal SOME kurması ve Sektörel SOME koordinesinde çalışması gibi yükümlülükleri bulunduğunu açıklamaktadır. Bu nedenle fidye yazılımı saldırısına uğrayan şirket, faaliyet alanına göre yalnızca KVKK ve savcılık değil, sektörel düzenleyici kurum boyutunu da değerlendirmelidir.
Tazminat ve Sözleşmesel Sorumluluk
Fidye yazılımı saldırısı nedeniyle üçüncü kişiler zarar görebilir. Müşteri verileri sızmışsa kimlik avı, dolandırıcılık, itibar kaybı veya manevi zarar iddiaları gündeme gelebilir. Çalışan verileri ifşa olmuşsa özel hayat ve kişisel veri ihlali nedeniyle tazminat talepleri ortaya çıkabilir. Şirketin hizmet verememesi nedeniyle müşteriler veya iş ortakları sözleşmesel zarar iddia edebilir.
Şirketin tazminat sorumluluğu değerlendirilirken saldırının öngörülebilirliği, alınan teknik ve idari tedbirler, veri güvenliği politikaları, yedekleme sistemi, olay müdahale hızı, ilgili kişilere bildirim, tedarikçi denetimi ve zararla ihlal arasındaki illiyet bağı incelenir. Şirket gerekli tedbirleri almamışsa veya saldırı sonrası yükümlülüklerini geciktirmişse tazminat riski artar.
Özellikle özel nitelikli kişisel verilerin etkilendiği olaylarda manevi tazminat riski daha yüksektir. Sağlık verileri, biyometrik veriler, ceza mahkûmiyeti bilgileri, çocuklara ait veriler, finansal bilgiler veya mesleki sır niteliğindeki verilerin ifşası daha ağır sonuç doğurabilir.
Fidye Yazılımı Saldırısı Sonrası Hazırlanması Gereken Belgeler
Fidye yazılımı saldırısı sonrası şirketin düzenli bir olay dosyası oluşturması gerekir. Bu dosyada şu belgeler bulunmalıdır: olay tespit tutanağı, kriz ekibi kararları, teknik ön inceleme raporu, adli bilişim raporu, log ve imaj alma tutanakları, fidye notu, saldırganla yazışmalar, kripto cüzdan bilgileri, KVKK değerlendirme notu, Kurul’a yapılan veri ihlal bildirimi, ilgili kişilere gönderilen bildirim metinleri, savcılık suç duyurusu, sigorta bildirimi, tedarikçi yazışmaları, müşteri iletişim metinleri ve kapanış raporu.
Kapanış raporu özellikle önemlidir. Bu raporda saldırının kök nedeni, etkilenen sistemler, etkilenen veri kategorileri, alınan ilk önlemler, kalıcı güvenlik iyileştirmeleri, tekrarın önlenmesi için yapılacak çalışmalar ve sorumlu birimler belirtilmelidir. Böyle bir rapor, Kurul incelemesi, sigorta süreci, müşteri davası veya yönetim sorumluluğu tartışmasında şirketin özenli hareket ettiğini göstermeye yardımcı olur.
Fidye Yazılımı Saldırılarına Karşı Önleyici Hukuki ve Teknik Tedbirler
Fidye yazılımı saldırıları tamamen engellenemeyebilir; ancak şirketin riski azaltması mümkündür. Teknik tedbirler arasında düzenli yedekleme, çevrim dışı yedek, yedeklerin test edilmesi, çok faktörlü kimlik doğrulama, güçlü parola politikası, RDP/VPN güvenliği, EDR/antivirüs, güvenlik duvarı, e-posta güvenliği, yama yönetimi, log yönetimi, sızma testi, zafiyet taraması ve ağ segmentasyonu yer alır.
İdari tedbirler ise bilgi güvenliği politikası, çalışan eğitimleri, tedarikçi sözleşmeleri, veri işleme sözleşmeleri, ihlal müdahale planı, yetki matrisi, veri saklama-imha politikası, kriz iletişim planı, siber sigorta analizi ve düzenli iç denetimi kapsar. Kişisel Verileri Koruma Kurumu, veri güvenliği önlemlerinin her veri sorumlusunun yapısına, faaliyetlerine ve tabi olduğu risklere uygun şekilde belirlenmesi gerektiğini ifade etmektedir.
Şirketler bakımından önemli olan yalnızca önlem almak değil, alınan önlemleri belgelemektir. Eğitim kayıtları, denetim raporları, sızma testi sonuçları, yedekleme testleri, politika imzaları, tedarikçi denetimleri ve güvenlik güncellemeleri kayıt altında olmalıdır. Bir ihlal yaşandığında şirket, “gerekli tedbirleri aldığını” somut belgelerle gösterebilmelidir.
Fidye Yazılımı Mağdurları İçin Şikâyet Yolları
Fidye yazılımı saldırısına uğrayan şirket veya kişi öncelikle Cumhuriyet Başsavcılığı’na suç duyurusunda bulunmalıdır. Dilekçe, teknik delillerle desteklenmeli ve TCK m.243, TCK m.244 ile somut olayın niteliğine göre şantaj, tehdit, kişisel verilerin hukuka aykırı ele geçirilmesi ve dolandırıcılık yönünden değerlendirme yapılması istenmelidir.
Kişisel veri ihlali söz konusuysa veri sorumlusu şirket bakımından KVKK Kurul bildirimi ve ilgili kişi bildirimi gündeme gelir. Veri ihlalinden etkilenen kişiler ise veri sorumlusuna başvurarak hangi verilerinin etkilendiğini, hangi tedbirlerin alındığını ve zararlarının giderilmesini talep edebilir. Gerektiğinde Kurum’a şikâyet, tüketici hukuku başvuruları, tazminat davası veya iş hukuku yolları değerlendirilebilir.
Şirketin müşterileri de saldırıdan dolayı zarar görmüşse, sözleşmesel sorumluluk ve tazminat talepleri gündeme gelebilir. Örneğin e-ticaret sitesi saldırı nedeniyle siparişleri teslim edememişse, müşteri verileri ifşa olmuşsa veya hizmet uzun süre kesilmişse, sözleşme hükümleri ve tüketici mevzuatı ayrıca incelenmelidir.
Sonuç
Fidye yazılımı saldırılarında hukuki süreç, yalnızca “fidye ödenip ödenmeyeceği” sorusundan ibaret değildir. Şirketin ilk andan itibaren delilleri koruması, kriz ekibi kurması, kişisel veri ihlali değerlendirmesi yapması, KVKK 72 saat bildirim süresini kaçırmaması, ilgili kişileri doğru bilgilendirmesi, savcılığa teknik delillerle suç duyurusunda bulunması, tedarikçi ve çalışan sorumluluğunu incelemesi, sigorta sürecini işletmesi ve tüm adımları yazılı olarak kayıt altına alması gerekir.
Fidye yazılımı saldırıları TCK m.243 kapsamında bilişim sistemine girme ve TCK m.244 kapsamında sistemi engelleme, bozma, verileri yok etme, değiştirme, erişilmez kılma veya başka yere gönderme suçlarını gündeme getirebilir. Bu nedenle şikâyet dilekçesi teknik rapor, log kayıtları, fidye notu, kripto cüzdan bilgileri ve saldırganla yazışmalarla desteklenmelidir.
KVKK bakımından ise kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusunun Kurul’a ve ilgili kişilere bildirim yükümlülüğü doğabilir. Kurum, veri ihlalinin öğrenilmesinden itibaren gecikmeksizin ve en geç 72 saat içinde Kurul’a bildirim yapılması gerektiğini açıkça belirtmektedir.
Sonuç olarak fidye yazılımı saldırıları, teknik müdahale ile hukuki kriz yönetiminin birlikte yürütülmesini gerektirir. Önceden hazırlanmış veri ihlali müdahale planı, güçlü yedekleme sistemi, çok faktörlü kimlik doğrulama, çalışan eğitimi, tedarikçi denetimi, adli bilişim prosedürü ve hukuki bildirim akışı bulunan şirketler, saldırı yaşandığında hem operasyonel zararı hem de hukuki sorumluluk riskini daha iyi yönetebilir. Fidye yazılımı saldırısında hızlı davranmak önemlidir; ancak en az hızlı olmak kadar önemli olan, delile dayalı, şeffaf ve mevzuata uygun hareket etmektir.