Kamu Görevlisinin Kimlik Paylaşım Sistemi (KPS) Üzerinden Yetkisini Aşarak Bakanlık Makamına Ait Verileri Sorgulaması Vakası--Yetkiyi kötüye kullanma-FETÖ-PYD Kapsamında
Yargıtay Ceza Genel Kurulu (E. 2021/384, K. 2023/367) Işığında İç Tehdit (Insider Threat) Analizi, Veri Tabanı Denetim İzleri ve Hukuki Sınırlar
Subject & Defense
Subject: Verileri hukuka aykırı olarak verme veya ele geçirme suçundan sanık ...'ın beraatine ilişkin İzmir 31. Asliye Ceza Mahkemesince verilen 26.01.2016 tarihli ve 939-28 sayılı hükmün, katılan vekili tarafından temyiz edilmesi üzerine dosyayı inceleyen Yargıtay 12. Ceza Dairesince 21.10.2020 tarih, 578-5427 sayı ve oy çokluğu ile; "Sanığın, kurumu tarafından kendisine verilen kullanıcı şifresi ile 'Kimlik Paylaşımı Sistemi'ne giriş yapıp, keyfi ve usulsüz sorgulama yaparak, İçişleri Bakanı olan katılana ait kişisel veri niteliğindeki nüfus ve adres bilgilerine erişim sağlayıp, katılanın kişisel verilerini okuması nedeniyle üzerine atılı verileri hukuka aykırı olarak verme veya ele geçirme suçunun yasal unsurlarının oluştuğu ve mahkumiyetine karar verilmesi gerektiği gözetilmeksizin dosya kapsamına uygun düşmeyen yetersiz gerekçelerle sanık hakkında beraat hükmü kurulması" isabetsizliğinden bozulmasına karar verilmiştir. Kamu kurumunda görevli sanığın, kendisine kurumsal görevleri gereği tahsis edilen kullanıcı adı ve şifreyi kullanarak Kimlik Paylaşım Sistemi (KPS) üzerinden dönemin İçişleri Bakanı'na ait nüfus ve adres bilgilerini sorgulaması ve okuması eyleminin; TCK 136 (Kişisel verileri ele geçirme) ve TCK 257 (Görevi kötüye kullanma) maddeleri uyarınca adli bilişim ve log bütünlüğü standartlarıyla tahlili.
Defense:
Çoğunluk görüşüne iştirak etmeyen Daire Üyeleri B. Köksal ve Ö. Topaç;
"Verileri hukuka aykırı olarak verme veya ele geçirme suçunun maddi konusunu oluşturan 'kişisel veri' kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C. kimlik numarası, adı, soyadı, doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu, medeni hâli, parmak izi, DNA'sı, saç, tükürük, tırnak gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni, siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerekir. Herkes tarafından bilinen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgiler de, yasal anlamda 'kişisel veri' olarak kabul edilmekte ise de, anılan maddenin uygulama alanının amaçlanandan fazla genişletilerek, uygulamada belirsizlik ve hemen her eylemin suç oluşturması gibi olumsuz sonuçların doğmaması için, maddenin uygulamasında, somut olayın özellikleri dikkate alınarak titizlikle değerlendirme yapılması, olayda herhangi bir hukuk dalı tarafından kabul edilebilecek bir hukuka uygunluk nedeni veya bu kapsamda nazara alınabilecek bir hususun bulunup bulunmadığının saptanması ve sanığın eylemiyle hukuka aykırı hareket ettiğini bildiği ya da bilebilecek durumda olduğunun da ayrıca tespit edilmesi gerekir.
TCK'nın 136/1. maddesinin, 'Bu madde hükmü ile hukuka uygun olarak kaydedilmiş olsun veya olmasın, kişisel verileri hukuka aykırı olarak başkalarına vermek, yaymak veya ele geçirmek, bağımsız bir suç olarak tanımlanmıştır.' şeklindeki gerekçesinden de anlaşılacağı üzere, kişisel verilerin, 'verildiği', 'yayıldığı' veya 'ele geçirildiği'nin kabul edilebilmesi için, kişisel verilerin kaydedilmiş hâlde bulunması, kaydedilmiş hâliyle başkalarına verilmesi, yayılması ya da ele geçirilmesi gerekir.
Bu noktada belirtmek gerekir ki, kişisel verilerin, üzerinde yazılı olduğu belgenin bulunduğu yerden alınması ya da kaydedilmiş hâliyle başka bir nesne üzerine taşınarak (örneğin; yazının başka bir kağıt, defter vb. nesne üzerine geçirilmesi, taşınabilir belleğe veya CD'ye aktarılması gibi işlemlerle) sabitlenmesi, böylece istenildiğinde tekrar kullanılabilmesi olanağını sağlayan her türlü faaliyet, kişisel verileri 'ele geçirme' kapsamında değerlendirilebilir ise de, kişisel verilerin kaydedilmeden önce öğrenilmesi, hafızada tutulan kişisel verilerin başkalarına açıklanması, kişisel verilere salt duyu organları aracılığıyla vakıf olunması, ancak TCK'nın 134/1. maddesinin 1. cümlesinde düzenlenen özel hayatın gizliliğini ihlal suçu kapsamında değerlendirilebilir" görüşüyle karşı oy kullanmışlardır.
II. İTİRAZ SEBEPLERİ
Yargıtay Cumhuriyet Başsavcılığı, 08.12.2020 tarih ve 110351 sayı ile;
“Ege Gümrük ve Ticaret Bölge Müdürlüğü emrinde görevli sanık ...'ın kurumu tarafından kendisine tahsis edilen şifreyi kullanmak suretiyle Kimlik Paylaşım Sistemine girerek katılan ile ilgili olarak, 26.12.2013 Perşembe günü saat 11:01:14’te 'T.C. Kimlik No ile Yerleşim Yeri Bilgisi Sorgulama' ve aynı gün saat 11:03:01’de 'T.C. Kimlik No ile Kişi Bilgileri Sorgulama' işlemlerini gerçekleştirmesi nedeniyle görevinin verdiği yetkiyi kötüye kullanmak suretiyle kişisel verilerin hukuka aykırı olarak ele geçirilmesi şeklindeki eyleminde, katılan İçişleri Bakanına ait kişisel verilerin, 'verildiği', 'yayıldığı' veya 'ele geçirildiği'nin kabul edilebilmesi için, kişisel verilerin kaydedilmiş hâlde bulunması, kaydedilmiş hâliyle başkalarına verilmesi, yayılması ya da ele geçirilmesi gerekir.
Kişisel verilerin, üzerinde yazılı olduğu belgenin bulunduğu yerden alınması ya da kaydedilmiş haliyle başka bir nesne üzerine taşınarak (örneğin; yazının başka bir kağıt, defter vb. nesne üzerine geçirilmesi, taşınabilir belleğe veya CD'ye aktarılması gibi işlemlerle) sabitlenmesi, böylece istenildiğinde tekrar kullanılabilmesi olanağını sağlayan her türlü faaliyet kişisel verileri 'ele geçirme' kapsamında değerlendirilebilmektedir.
Sanığın herhangi bir kayıt alma taşınabilir bir belleğe aktarmasının söz konusu olmadığı buna ilişkin bir delilin bulunmadığı,
Ancak, kişisel verilerin kaydedilmeden önce öğrenilmesi, hafızada tutulan kişisel verilerin başkalarına açıklanması, kişisel verilere salt duyu organları aracılığıyla vakıf olunması, ancak TCK'nın 134/1. maddesinin 1. cümlesinde düzenlenen özel hayatın gizliliğini ihlal suçu kapsamında bulunduğu kabul edilmelidir” görüşüyle itiraz yoluna başvurmuştur.
5271 sayılı Ceza Muhakemesi Kanunu'nun 308. maddesi uyarınca inceleme yapan Yargıtay 12. Ceza Dairesince 13.10.2021 tarih ve 33-6889 sayı ile itiraz nedenlerinin yerinde görülmediğinden bahisle Yargıtay Birinci Başkanlığına gönderilen dosya, Ceza Genel Kurulunca değerlendirilmiş ve açıklanan gerekçelerle karara bağlanmıştır.
III. UYUŞMAZLIK KONUSU
Özel Daire ile Yargıtay Cumhuriyet Başsavcılığı arasında oluşan ve Ceza Genel Kurulunca çözümlenmesi gereken uyuşmazlık; Gümrük ve Ticaret Bölge Müdürlüğünde memur olarak çalışan sanığın, kurumu tarafından kendisine verilen kullanıcı şifresi ile Kimlik Paylaşım Sistemi'ne erişim sağlayarak katılanın kimlik ve adres bilgilerine bakması şeklindeki eyleminin suç teşkil edip etmediği, ettiğinin kabulü hâlinde, eyleminin verileri hukuka aykırı olarak verme veya ele geçirme suçunu mu yoksa özel hayatın gizliliğini ihlal suçunu mu oluşturduğunun ve sanığın işlediği fiilin suç oluşturduğu konusunda haksızlık yanılgısı ile hareket edip etmediğinin belirlenmesine ilişkindir.
Court Verdict
2- Yargıtay 12. Ceza Dairesinin 21.10.2020 tarihli ve 578-5427 sayılı bozma kararının KALDIRILMASINA,
3- Sanığın eyleminin suç teşkil etmemesi nedeniyle İzmir 31. Asliye Ceza Mahkemesinin 26.01.2016 tarihli ve 939-28 sayılı beraat hükmünün ONANMASINA,
4- Dosyanın, mahalline gönderilmek üzere Yargıtay Cumhuriyet Başsavcılığına TEVDİİNE, 07.06.2023 tarihli müzakerede yeterli çoğunluk sağlanamaması üzerine 21.06.2023 tarihinde yapılan ikinci müzakerede oy çokluğu ile karar verildi.
Penalty
Expert Report (Bilirkişi Raporu)
The Bellisan Forensic Report Critique & Modification Assessments
Rapor Eleştirisi ve Analiz
Dosya kapsamında sadece ham veri tabanı sorgu logları ve sanık bilgisayarındaki lokal disk aramaları üzerinden bir hukuki nitelendirme yapılmış olsa da; aşağıda listelenen ileri düzey adli bilişim metodolojileri, geçici bellek analizi ve proaktif iç tehdit (insider threat) forensics yöntemleri kullanılsaydı, verinin sistem dışına sızdırılıp sızdırılmadığına dair çok daha fazla inkar edilemez kanıt elde edilmesi, gizli iştirakçilerin tespiti ve delil derinliğinin artırılması mümkün olurdu:
Ağ Katmanı Canlı Veri Akışı ve Paket Analizi (Network Packet Deep Inspection): Sanığın sorgulama yaptığı esnadaki ağ trafiği kayıtları (Network PCAP / Sockets Logs) geriye dönük olarak derinlemesine analiz edilseydi; ekrana düşen kişisel verilerin, sanığın bilgisayarındaki tarayıcı tarafından harici bir sunucuya (komuta kontrol sunucusu veya şahsi bir e-posta adresine) web soketleri (WebSockets) veya şifreli HTTP istekleri vasıtasıyla aktarılıp aktarılmadığı (exfiltration tespiti) net olarak ortaya çıkarılabilirdi. Bu proaktif analiz yöntemi, verinin gerçekten sadece ekranda kalıp kalmadığını matematiksel olarak kanıtlar ve varsa arka plandaki diğer siber suç ortaklarını (iştirakçileri) şak diye yakalardı.
Uç Cihaz Gelişmiş RAM ve volatile Bellek Kazıma (Volatile Memory Dump Analytics): Olayın hemen ardından sanığın bilgisayarına müdahale edildiği an canlı bellek (RAM) dökümü alınarak analiz edilseydi; tarayıcının geçici belleğinde (RAM alanında) tutulan veri kırıntıları, panoya (clipboard) kopyalanıp kopyalanmadığı bilgisi ve o esnada arka planda çalışan ve ekran görüntüsünü gizlice çeken üçüncü parti bir casus yazılımın (spyware/keylogger) varlığı tespit edilebilirdi. Bu analiz, sanığın "sadece okudum" savunmasının teknik olarak ne kadar gerçeği yansıttığını veya veriyi üçüncü şahıslara ulaştırmak için anlık olarak panoya alıp almadığını inkar edilemez şekilde ortaya koyarak dosyaya muazzam bir kanıt gücü sağlardı.
Veri Tabanı İleri Düzey Denetim ve Davranışsal Profilleme (UEBA & Advanced Database Auditing): Kurumsal sistemde sadece basit SELECT logları yerine Kullanıcı ve Varlık Davranış Analizi (UEBA - User and Entity Behavior Analytics) adli bilişim teknikleriyle geriye dönük işletilseydi; sanığın normal çalışma rutinindeki sorgulama alışkanlıkları ile bu spesifik sorgulama arasındaki sapma (anomaly tespiti) milisaniye hassasiyetinde çıkarılabilirdi. Sanığın bu verileri elde etmek için daha önce hangi ilişkili profilleri (Bakan'ın yakınları, korumaları vb.) sorguladığı haritalandırılarak, kastın yoğunluğu ve bu siber eyleme onu azmettiren veya iştirak eden diğer odakların kimlikleri deşifre edilebilirdi.
Bilimsel Literatür Kanıtları (Academic References & DOI Modülü):
Kanıt 1: Ligh, M. H., Case, A., Levy, J., & Walters, A. (2014). 'The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory.' John Wiley & Sons. ISBN: 1118825096.
(Canlı bellek analizleri sayesinde uç cihazlardaki geçici veri kırıntılarının, panoda tutulan verilerin ve sistem içi tehditlerin (insider threats) görünmeyen siber izlerinin nasıl eksiksiz çıkarılacağını metodolojik olarak kanıtlar).
Kanıt 2: Casey, E. (2011). 'Digital Evidence and Computer Crime: Forensic Science, Computers and the Internet.' Academic Press. ISBN: 0123742684.
(Kamu ve şirket otomasyonlarında yetkili kullanıcı istismarlarında veri sızdırma (data exfiltration) analizlerini ve ağ soket korelasyon standartlarını derinlemesine inceler).
Kanıt 3: ISO/IEC 27042:2015 Information technology — Security techniques — Guidelines for the analysis and interpretation of digital evidence. (Veri tabanı logları ve kullanıcı hareketlerinin analizinde delil derinliğini proaktif olarak genişletme ve yorumlama standartlarını belirleyen küresel forensic normdur).
If BAP Protocol Implemented
Donanımsal Değiştirilemez Log Mühürlemesi (Immutable Audit Logging): MERNİS, KPS veya benzeri kritik ulusal veri tabanlarında gerçekleşen tüm kullanıcı sorguları (özellikle VIP/Kritik profil sorguları) üretildiği milisaniyede kurumsal sistemden izole edilmeli; log bütünlüğü donanımsal güvenlik modülleri (HSM) ve değiştirilemez blokzincir tabanlı (WORM) dijital kasalarda SHA256 zaman damgasıyla kilit altına alınmalıdır. Bu adım, logların sonradan silinmesi (log wiping) riskini sıfıra indirir.
Uç Nokta İşlem ve Ağ Soketi Çapraz Doğrulaması (Endpoint Socket Correlation): Yetkili kullanıcının terminal cihazındaki yerel dosya sistemi (MFT/inode), ağ soketi bağlantı günlükleri ve RAM kırıntıları The Bellisan Protocol™’ün otomatik analiz motoruyla taranmalıdır. Veri tabanından dönen veri paketi (data payload) ile uç cihazın harici internet çıkış portları (outbound traffic) arasında milisaniye bazlı korelasyon testi uygulanmalı, harici bir IP'ye veri sızdırma anomalisi saptandığı an hesap otomatik olarak bloke edilmelidir.
Proaktif Anomali ve Davranışsal Korelasyon Taraması (Automated Insider Threat Graph): Protokolün yapay zeka tabanlı davranışsal motoru, şüphelinin geçmiş siber ayak izlerini (historical footprints) analiz ederek; görevi dışındaki kritik profil sorgulamalarını anında "Yüksek Riskli Siber Olay" olarak etiketlemelidir. Bu sorgulamayı tetikleyen dijital motivasyon ve şüphelinin diğer kamu sistemlerindeki (Örn: UYAP, POLNET vb.) çapraz sorgu geçmişi birleştirilerek bütünsel bir suç ağı haritası proaktif olarak çıkarılmalıdır.
The Bellisan BAP-19.2 Entegrasyonu: Bu üst düzey siber forensic protokolünün ulusal veri tabanlarına ve yüksek yargı makamlarına (Örn: Asliye Ceza Mahkemeleri ve Yargıtay Ceza Genel Kurulu) entegre edilmesi; devletin ve bireylerin en hassas kişisel verilerini yetkilerini kötüye kullanarak sorgulayan iç tehditlerin "sadece ekrandan baktım, sızdırmadım" şeklindeki teknik savunma hatlarını tamamen denetlenebilir ve inkar edilemez hale getirir. Dijital delili, şüpheye yer bırakmayacak şekilde 'matematiksel kesinliğe' ulaştırarak siber adaleti en üst seviyeye yükseltir.
Would you like to know more?
If you require help or advice please contact our clerking team
Call -
+44 (0)20 75
or
email our clerks