Siber Güvenlik Istanbul, 9-10 Şubat 2007 Bilgi Üniversitesi Av. Gökhan Gökçe Yüksel Karkın Küçük Hukuk Bürosu

2 Gündem (Agenda) Sunum Planı I. Siber Güvenlik II. Spam ve Phishing III. Uluslararası Boyut IV. Ülkemizdeki Durum V. Sonuç ve Öneriler

3 I- Siber Güvenlik (Online Safety) Siber Suçlarda Değişim  Amaç değişikliği: 2000’lerin başında; Büyük ölçekli virüs saldırılarıyla dikkat çekmek iken, Günümüzde: Haksız mali menfaat temini amaçlı daha organize suç hareketleri  Malicious Software ve Botnet kombinasyonu: Hedef hacking ve DoS saldırıları  Mobil araçlar (3G cep telefonları, videooyunlar) ve mobil bazlı network sistemleri

4 I- Siber Güvenlik (Online Safety) Siber Suçların Zararları  Yazılım Ürünleri Geliştirme, Lisanslama ve Destek Hizmetleri  Online Hizmetler  Ürün ve Hizmetleri Kullanan Müşterilerinin Uğradıkları Maddi Zararlar  Kullanıcı Tedirginliği

5 I- Siber Güvenlik (Online Safety) Siber Suçlarla Mücadele  Teknolojik Tedbirler Çocukların Korunması için Filtre Uygulanması vb.  Kamuoyu Bilinci Oluşturulması Eğitim faaliyetleri, Resmi kurumlar ve STK’larla işbirliği  Hukuki Yollara Müracaat Suç duyuruları, davalar

6 I- Siber Güvenlik (Online Safety) Güvenlik Zinciri  Kamu Kurumları En iyi uygulamalar konusunda örnek olmalı  Özel Sektör Maliyet olarak değil bir değer olarak algılanmalı  Bireysel Kullanıcılar Evde kullanılan sistemler güvenlik zincirinin önemli bir halkasını oluşturur

7 I- Siber Güvenlik (Online Safety) AB Komisyonu İletişim Belgesi  ENISA (European Network and Information Security Agency)  Dinamik ve Entegre Yaklaşım  Dialog : Ülke Uygulamaları Benchmark’ı  İşbirliği : Bilgi Paylaşımı ve Acil Reaksiyon  Yetkilendirme : Üye Ülkeler ve Özel Sektör

8 II- Spam Tanım ve Unsurları Dünya genelinde üzerinde uzlaşılmış tek bir tanımı yok; Genel kabul: İstenmediği halde çok sayıda kullanıcıya gönderilen e-posta (Unsolicited/Unwanted Bulk )  E-posta gönderilen kişinin kimliği ve mesajın içeriğiyle ilgisinin önemi yok ise ve  E-posta gönderilen kişi mesajı almak için açık, doğrulanabilir ve geri alabileceği bir izin vermemişse

9 II- Spam Zararları  Zaman ve kaynak israfı (Network ve bireysel kullanıcı bazında)  Zararlı içeriğin dağıtımı (Dolandırıcılık, çocuk pornografisi vb.)  Virüs, malware ve diğer zararlı eklerin gönderiminde kullanılması

10 II- Phishing Tanım Kullanıcıların sahte ve taklit web sitelerine yönlendirilmeleri suretiyle e- mail hesabı ya da banka internet şubesi kullanıcı şifresi gibi kişisel bilgilerinin ele geçirilmesi

11 II- Spam ve Phishing Mücadelede Tahditler  Spoofing (kimlik gizleme), Open relay (e-posta aktarma noktaları)  Sınırötesi kaynaklar  İspat yükü ve yargılama süreleri  Yasal düzenleme eksiklikleri  Sorumlu kurum ve kuruluşların yokluğu

12 III- Uluslarası Boyut Spam Hakkında Yasal Düzenlemeler Eyalet Yasaları ve ABD- CAN-SPAM Act Amaç: İstenmeyen ticari e-posta gönderimini durdurmak Yasaklar: Aldatıcı başlıkların kullanılması; Konuların açıklayıcı olarak belirtilmesi (reklam) Opt-out imkanının sağlanmaması ve isteklerin işleme alınmaması Geçerli posta adresinin bulundurulması zorunlu SPAM gönderimi için e-posta/IP adresi kayıt edilemez; En az 100/gün, 1,000/ay, 10,000/yıl Cezalar: 1 yıldan 5 yıla kadar hapis, para cezaları, elkoyma

13 III- Uluslarası Boyut Spam Hakkında Yasal Düzenlemeler Avrupa Birliği  2000/31/EC sayılı Elektronik Ticaret Direktifi Gönderenin kimliğinin açıkça belirtilmesi gereği  2002/58/EC Sayılı Gizlilik ve Elektronik Haberleşmeler Hakkında AB Direktifi - Ön Rıza - Bilgileri ticari ilişkiler çerçevesinde edinilmiş kişilere gönderim de belirli kurallara tabi (Basit, ücretsiz istememe hakkı verilmesi) - Her halükarda geçerli bir adresin bulunması ve gönderenin kimliğinin saklanmaması zorunludur

14 III- Uluslarası Boyut Phishing Hakkında Yasal Düzenlemeler ABD- Anti-Phishing Act (2005) 250 bin USD’a kadar para, 5 yıla kadar hapis cezası Fransa Dolandırıcılığın bir türü olarak kabul ediliyor; 5 yıla kadar hapis cezası ve para cezası Almanya Haksız Rekabet Kanunu ve Markalar Kanunu kapsamında ele alınıyor

15 III- Uluslarası Boyut Örnek Olaylar A 45-year-old California man convicted Jan. 12 of operating a sophisticated phishing scheme designed to steal personal and credit card information faces 101 years in prison. Jeffrey Brett Goodin of Azusa became the first defendant convicted by a jury under the provisions of the CAN-SPAM Act of 2003, announced prosecutors in the U.S. Attorney's Office in the Central District of California. He was found guilty of sending thousands of s to America Online users under the guise of messages from AOL's billing department that prompted customers to send personal and credit card information. He then used the information to make unauthorized purchases, officials said.

16 IV- Ülkemizdeki Durum Spam İle İlgili Yasal Düzenlemeler  TCK md. 136: Verileri Hukuka Aykırı Olarak Ele Geçirme  Tüketicinin KHK md. 16  556 sayılı Markaların Korunması KHK

17 IV- Ülkemizdeki Durum Spam İle İlgili Yasal Düzenlemeler  TK Kişisel Bilgilerin İşl. Yön: md. 20- İstek Dışı Haberleşmeler İşletmeciler kişi müdahalesi olmadan çalışan fakslar, elektronik posta, kısa mesaj gibi otomatik arama sistemlerini, abonenin önceden izni olmadan siyasi propaganda amacıyla kullanamazlar. Sözkonusu otomatik arama sistemlerinin doğrudan pazarlama amacıyla kullanılması halinde kullanıcılara gelen her bir mesajı bundan sonrası için almayı reddetme hakkı ücretsiz ve kolay bir yolla sağlanır. Doğrudan pazarlama amacıyla gönderilen ve kimin adına haberleşme yapıldığı hususunda göndericinin kimliğini saklayan veya alıcının bu iletişimin sonlandırılması konusunda talepte bulunacağı bir adres bulunmayan elektronik mektupların gönderilmesi abonenin bu yöndeki talebi halinde engellenir.

18 IV- Ülkemizdeki Durum Phishing İle İlgili Yasal Düzenlemeler  TCK md. 136: Verileri Hukuka Aykırı Olarak Ele Geçirme  TCK md. 243: Bilişim Sistemine Girme  TCK md. 158: Nitelikli Dolandırıcılık

19 IV- Ülkemizdeki Durum Mahkeme Kararı Bakırköy 4. Ağır Ceza Mahkemesi- Eylül 2006 Phishing ile bilgilerini ele geçirme ve kontör toplama eylemi TCK md. 158/1-f : Bilişim sistemlerinin, banka veya kredi kurumlarının ara ç olarak kullanılması suretiyle dolandırıcılık suçu işlenmesi 3 yıl hapis ve para cezası (1/6 indirim uygulandı)

20 V- Sonuç ve Öneriler Microsoft Yaklaşımı  Kullanıcıların kişisel bilgilerini koruyabilecekleri teknolojik araçların sağlanması  Kullanıcı bilincinin geliştirilmesi  Sibersuç faillerinin yakalanması için yeterli yasal mevzuatın oluşturulması  İlgili kişi ve kurumlar arasında bilgi paylaşımı  Kolluk kuvvetleri ve diğer uygulamacılara eğitim ve destek sağlanması

21 V- Bilişim Suçları Kanun Taslağı Spam  Md. 2: Tanımlar: İstenmeyen İleti: Gönderenine ulaşılamayan ve bu nedenle engellenemeyen veya kişinin istemediğini açıkça beyan etmesine rağmen gönderilmeye devam edilen ileti  Md. 6 (h) Özel Bilgilendirme Yükümlülüğü: İçerik Sağlayıcı, içeriğinde..Tanıtım ve reklam amacıyla gönderilen iletilerde, kişinin iletiyi almak istemediği taktirde izleyeceği yola ve seçeneklere ilişkin bilgiler.  Md. 28-(e) İstenmeyen ileti gönderene üçbin Türk Lirasından onbeşbin Türk Lirasına kadar, idarî para cezası verilir.

22 V- Bilişim Suçları Kanun Taslağı Phishing Yanıltarak bilgi toplamak MADDE 21- (1) Bilişim sistemiyle, kendisi veya başkası için yarar temin etmek veya başkasına zarar vermek amacıyla kişileri yanıltarak bilgi toplayan kişiye, fiili başka bir suç oluşturmadığı taktirde, altı aydan iki yıla kadar hapis cezası verilir. (2) Bu maddede yer alan suçun soruşturma ve kovuşturulması mağdurun şikâyetine bağlıdır. Taklit yoluyla yanıltmak MADDE 22- (1) Halkı yanıltacak şekilde, kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerin bilişim ağındaki hizmetlerini veya kimliklerini taklit eden kişiye, fiili başka bir suç oluşturmadığı taktirde altı aydan üç yıla kadar hapis ve adlî para cezası verilir. (2) Birinci fıkrada yazılı fiiller sonucunda zarar doğması hâlinde hükmedilecek ceza yarı oranında artırılır.

23 V- Bilişim Suçları Kanun Taslağı Öneriler-Spam Yasalaştırılacak hükümlerde:  Önceden verilmiş rıza mutlaka aranmalı  Gönderenin gerçek kimliğini ve bilgilendirici konu başlığı ihtiva etmesi zorunlu olmalı  Ücretsiz ve kolayca reddedilebilmeli ve red istekleri zamanında işleme alınmalı  Fiilin doğurduğu zararın ağırlığına göre para ve hapis cezası yaptırımları uygulanmalı (tekerrür, gönderim miktarı da dikkate alınarak)  ISP’lerin SPAM’in önlenmesi ve red isteklerinin proses edilmesi konusunda sorumlulukları düzenlenmeli

24 V- Bilişim Suçları Kanun Taslağı Öneriler-Phishing Spam ile ilgili kuralların yanısıra:  Dolandırıcılık neticesi gerçekleşmesi suçun oluşması için şart değil, ağırlaştırıcı sebep olmalı  Taslakta yer alan tanım maddi ve manevi unsurların doğru olarak belirlenmesi için yeniden oluşturulmalı

25 V- Bilişim Suçları Kanun Taslağı Öneriler-İşbirliği  Bir strateji ve aksiyon planı olmalı  Sorumlu kurum belirlenmeli ve işlevini yerine getirmeli  İlgili resmi kurumlar, şirketler ve STK’lar arasında işbirliği (çalışma grubu) oluşturulmalı  Yasal mevzuat çalışmaları  Hotline  Web sitesi  Davaların takibi

26 V- Bilişim Suçları Kanun Taslağı Öneriler-İşbirliği Örnekleri  Safer Internet Plus Program  CNSA (Contact Network of National Authorities)  London Action Plan  Digital Phishnet

Av. Gökhan Gökçe Te ş ekkürler!