"Bilişim Polisi İşbaşında"

Semih Dokurer / Emniyet Genel Müdürlüğü Araştırma ve Bilgi İşlem Daire Başkanlığı Komiseri Başlangıçta ender olaylar sınıfında değerlendiriliyordu. Arada bir yaşanan olaylar ise şirketler ve vatan...

17 TEMMUZ, 20150
Paylaş Tweet Paylaş
Bilişim Polisi İşbaşında

Semih Dokurer / Emniyet Genel Müdürlüğü Araştırma ve Bilgi İşlem Daire Başkanlığı Komiseri

Başlangıçta ender olaylar sınıfında değerlendiriliyordu. Arada bir yaşanan olaylar ise şirketler ve vatandaşlar tarafından emniyete iletilmiyordu. Ancak, gelişen teknoloji ve artan kullanım oranı, bilişim suçlarında adeta patlamaya neden oldu. Bunun üzerine Emniyet Genel Müdürlüğü bünyesinde Araştırma ve Bilgi İşlem Daire Başkanlığı kuruldu. Bir de araştırma yapan bu birimin yöneticilerinden komiser Semih Dokurer, Digital’in sorularını yanıtlarken, ilginç saptamalarda bulundu.

İletişim ve bilgisayar teknolojilerinin gelişmesiyle birlikte,  yeni bir suç türü de oluştu: “Bilişim suçları”... Bilişim suçları, yalnızca internet üzerinde değil, bilginin teknoloji ile iletildiği her ortamda işlenebiliyor. Cep telefonları, kredi kartları ve bilgi aktarımı gerektiren diğer uygulamalar…

Emniyet Genel Müdürlüğü Araştırma ve Bilgi İşlem Daire Başkanlığı’ndan Komiser Semih Dokurer’in bilişim suçları ile ilgili araştırma raporunda, 1998 yılında bilişim suçu ihbarı yalnızca 3 iken, 2001 yılında bu sayı 100’ün üzerine çıktığı görülüyor.

Semih Dokurer, bilgisayar kullanırken güvenliğin yeterince önemsenmediğini, bu yüzden suç oranının da arttığını söylüyor. Dokurer, kredi kartı ile alışveriş yapılacak sitelerin seçiminde de titiz davranılması gerektiği konusunda uyarıyor. Ancak, bazı durumlarda, internetten alışveriş yapılmamış bir kredi kartı numarası ile bile dolandırıcılık yapılabiliyor. Semih Dokurer, bilişim suçlarını ve bu suçları engellemek için yapılması gerekenleri Digital okurları için anlattı:

Bilişim suçu kapsamında hangi suçlar yer alıyor?

Bilişim suçunu iki şekilde düşünmek gerekiyor: Biri bilgisayar sistemine girme eylemi, diğeri bilgisayara fiziksel zarar verme eylemi.

Bilgisayar sistemine girmek için, sistemin açıklarından yararlanma, kullanıcının şifresini çalma gibi farklı yöntemler var. Kanunda da “sisteme girmek” şeklinde tanımlanır. Bu amaca, fiziksel bir zarar vererek de ulaşılabilir, olay yerine gidip bilgisayar başına geçersiniz, bunu uzaktan erişerek de yapabilirsiniz.

Bilişim suçları konusunda Emniyet Genel Müdürlüğü’nün yaptığı tanımlar var mı?

Aslında kanuna göre şöyle sınıflanması gerekiyor: Daha önce suçlar varmış, dolandırıcılık suçu, hakaret suçu gibi… Şimdi ise bunlar internet üzerinden de yapılıyor. İnternet üzerinde de yapılsa, bunlar kanunumuzda tanımlanmış suçlar olarak bulunuyor.

Bilgisayarın kullanımıyla birlikte ortaya çıkan suç türleri var mı?

Bilgisayar teknolojileriyle birlikte, yeni suç kavramları da ortaya çıkmaya başladı. Örneğin, eskiden “bilgisayar sistemlerine girmek” gibi bir suç yoktu. Türk Ceza Kanunu’nda 525. madde, a,b,c,d bentlerinde tanımlanıyor. Bilgisayar sistemlerine ve servislerine yetkisiz erişim, bilgisayar sabotajı, dolandırıcılık, bilgisayar yoluyla sahtecilik, kanunla korunmuş bir yazılımı izinsiz kullanmak ve yasadışı yayınlar gibi suçlar bu kapsamda.

Bu sınıflamalar neye göre yapılıyor?

Bu sınıflandırmaları Avrupa Birliği, Interpol ve diğer ünitelerin tanımlamalarından yola çıkarak yaptım. Bununla ilgili Emniyet Genel Müdürlüğü’nde Bilgisayar Suçları ve Bilgi Güvenliği Kurulu var. Bunlar o kurulda yer alan bir raporda bu şekilde yer aldı.

“Bilgileri otomatik işleme tabi tutulmuş sistemler” diye bir tanım var. Bunun anlamı nedir?

Bu tanımla birlikte bilişim suçları, bilgisayar suçları olmaktan çıkıyor. Çünkü, bu kapsamda telefon kulübeleri de sayılabilir. Orada da bir telefon numarasını, yani bilgiyi tuşlayarak otomatik bir işleme tabi tutuyorsunuz. Telefon da bilgi teknolojisine giriyor. Teknoloji kullanılıyor. Bilişim suçlarının içinde her şey olabilir.

Araştırma sonuçlarına göre, 2000 ve 2001 yıllarında bilişim suçlarında bir artış olduğu gözleniyor, bu yıllarda size intikal eden suç sayısı kaç? Daha çok hangi tür suçlar var?

Oradaki suç sayıları, Emniyet Teşkilatı’na gelen şikayetlerin sayısıdır. Buradan bütün illere yazılar yazdık. Bütün illerde bilgisayar suçlarının taramaları yapıldı. Bu tanımlamalara giren hangi suçlar ne kadar işlendiyse, bize gönderildi.

Gönderilenler arasında en sık hangi tür şikayetler vardı?

Her zaman karşılaşılan olaylardan birisi, internetteyken biri gelip hakaret ediyor ya da bilgisayarınıza girip bilgilerinizi çalıyor. Ne yapacağınızı bilmiyorsunuz, emniyete de başvuramıyorsunuz.

Ama diyelim ki, büyük bir bankanın bilgisayar işlem bilgileri çalınmış. Bu, büyük bir olay olduğu için emniyete intikal edebiliyor. Aslında insanlar da böyle bir bilinç olup da emniyete başvursalar, daha iyi olur. Yavaş yavaş şikayetler de çoğalmaya başladı.

1998 yılındaki suç oranının düşüklüğünü neye bağlıyorsunuz?

Emniyet Genel Müdürlüğü’ne 1998 yılında üç tane suç intikal etmiş. O zamanlar böyle bir suç olma olasılığı çok düşüktü. İkincisi de insanlar bu suçları kendi içlerinde çözmeyi tercih ediyorlardı.

“Sen beni hack edersen, ben de seni hack ederim” mantığı ile hareket ediyorlardı.

Her geçen gün bilgisayar güvenliğinin artmasına rağmen şikayet sayısında da artış var.

Neden?

Çok ilginç bir nokta var, eskiden bilgisayar teknolojileri hiç bilinmiyordu ve açıklar çok fazlaydı. Bilgisayar sistemlerinin açıkları çok fazla, saldırılar çok azmış. Şimdi saldırılar çoğalıyor, açıklar azalıyor. Bu da internetin yaygınlaşmasıyla oluyor.

İnternette bir çok hacker sitesi var. Eskiden bu hack etme bilgileri de kimsede yoktu. O nedenle daha az suç işleniyordu. Ama şimdi bu tür bilgiler internet sitelerinde yayınlanıyor. Belki 2002-2003 istatistiklerine bakarsak öncekilerden daha da fazla olacaktır.

Bilişim suçlarında işleyen prosedürle, diğer suçlar arasında ne tür bir fark var?

İki tür suç var aslında, biri takibi şikayet gerektiren suçlar. Bunların takip edilmesi için bize resmi başvuru yapılması gerekiyor. Örneğin, sizin kişisel bilgisayarınız hack edildiğinde siz eğer şikayet etmezseniz, biz gelip “ille de sizin bilgisayarınıza bakacağız” diyemeyiz. Ancak, kamu bilgisayarına bir zarar gelmişse, o zaman emniyet bakabilir. Örneğin, istatistiklerde de dikkat ettiyseniz, genellikle dolandırıcılık ve mali suçlar biraz daha yaygın.

Bu tür suçları yakalamak için Emniyet Genel Müdürlüğü’nün kullandığı özel bir teknoloji var mı?

Burada bilişim suçları ile ilgili iki şey ortaya çıkıyor. Birincisi, suç işlendikten sonra oradaki delilleri nasıl elde ederiz? Bu delillerin elde edilebilmesi için çok özel sistemlerle, özel incelemelerle, bilgiye zarar vermeden çalışmak gerekiyor.

Bildiğiniz gibi, bilgisayarla bu işleri yapmak biraz zor. Delil, zarar görme unsuruna açık olabiliyor, yada karşılaştığınız bilgisayarın teknolojisi farklı olduğu için kendi standart bilgisayarlarınızda incelemeniz sorun olabiliyor. Bir veri inceleme bilgisayarımız var, onunla bu işleri yapıyoruz.

Bilişim suçları en fazla hangi sektörde görülüyor?

O türden bir çalışma tam olarak yapılmadı. Ancak, bakıldığı zaman genelde bankacılık sektöründe bu tür suçlar yapılıyor. İki tane kendini hacker zanneden insanın “senin bilgisayarını hack ediyorum” demesi daha çok oluyor. Kredi kartı sahtecilikleri, ATM’lere yapılan müdahaleler var, burada dolandırıcılık, sahtecilik suçları da giriyor.

Örneğin, sahte paralar bile bilgisayar üzerinden işleniyor. Ama net bir cevap vermek mümkün değil. Tabii mali suçlar daha yoğunlukta. Çünkü, insanlar suçu en fazla kendilerine mali kazanç elde etmek için kullanıyorlar. Türkiye’de böyle araştırma birimleri olmadığı için bu araştırmalar yapılamıyor.

Şirketlerin kendi teknolojik alt yapılarında bu türden suçları engellemek için ne tür çalışmalar yapılması gerekiyor?

Birincisi, Türkiye’de bilgisayar güvenliği çok önemli. Bilgisayar güvenliği konusunda gerek şirketler olsun, gerek kişiler olsun, çok fazla birim yok. Vatandaş bilgisayarı alıp evine koyuyor. Bütün özel bilgilerini tutuyor, oyun oynuyor ve internete  bağlanıyor. Ama o arada bilgisayarla gelebilecek tehlikeleri hiç göz önünde bulundurmuyor.

Bu konuda sizinle işbirliği yapan kuruluşlar var mı?

Yeni teknikler için üniversitelerle çalışıyoruz. ODTÜ ile eğitim kapsamlı bir çalışma yaptık. Bankalarla görüşmeler yaptık. Onlar sistemlerinin güvenli olduğunu söyledi.

Bankaların sistemlerini incelediniz mi?

Az önce söylediğim tehlike şirketler, özellikle de bankalar için de geçerli. Bankaların bilgisayarlarında çok özel bilgiler yer alabiliyor. Bankaların yanı sıra büyük şirketler de bu tehlike altında. Bilgisayarlar kuruluyor, her şey gayet güzel. Ama bilgisayar güvenliği göz ardı ediliyor.

Bazı büyük firmalar güvenlik konusunda bazı önlemler alıyor. Ama yeterli olduğunu düşündükleri önlemler, bazı insanların o şirketin özel bilgilerine ulaşmasına, yada bilgisayarları saldırı aracı olarak kullanmasına engel olamıyor.

Şirketlerle işbirliğine girme süreci nasıl işliyor?

Takibi şikayete bağlı suçlarda, öncelikle her suçta olduğu gibi savcılığa müracaat edilmesi gerekiyor. Savcılık da bunu ilgili birime gönderiyor. Burada herhangi bir teknik yardım gerekirse ya da burada veriler elde edilirse biz burada devreye giriyoruz.

Şirketlerin virüs saldırılarına uğrama oranı nedir?

Yurtdışındaki kurumlar zarar gördüklerini polise ya da ilgili birimlere bildirdikleri için,  yurtdışında bu istatistikleri tutmak daha kolay oluyor. Ama bunun Türkiye’de bir bankanın başına geldiğini düşünsenize.

Banka “benim bilgisayarlarım hacklendi, bilgilerim zarar gördü” derse, herkes parasını çekmeye başlayacaktır. Hepsi en iyi, en güvenli olduğunu söylüyor. Bu tip sorunları kendi içlerinde yok etmeye çalışıyorlar. Para kaybetseler de bunu bir şekilde finanse etmeye çalışıyorlar.

Bilişim Suçları Birimi’nin kurulma nedenleri neler?

Eskiden Bilgi İşlem Daire Başkanlığı adı altında İnternet ve Bilişim Suçları Daire Başkanlığı vardı. Emniyet Genel Müdürlüğü’nde çeşitli birimler var ve olaylar konusuna göre bu birimlerde inceleniyor.

Teknoloji ile ilgili bir birim olmadığı için Bilgi İşlem Daire Başkanlığı altında bir birim oluşturulmuştu. Görevler arasında bilgisayar güvenliğini sağlama ön plana çıkıyor. Diğer birimler, asayiş, istihbarat, kaçakçılık, terör gibi operasyonel birimlerimiz kendi operasyonlarını yönetiyorlar. Bunlar inceledikleri olaylarda bilişimle ilgili bir konu gördüklerinde, kendileri yapamıyorlarsa bize bildiriyorlar.

Şimdiye dek size gelen bilişim suçu şikayetlerinin kaçı çözüldü?

Örneğin dolandırıcılık suçu için 29 tane sonuçlanmayan dava var, 36 dava sonuçlanmış ve suçlu tevkif edilmiş, 11 kişi de serbest bırakılmış. Bunlar emniyete intikal eden suçlar.

Ama burada bize asıl bilgi sağlayacak, internet servis sağlayıcıları. Ama internet servis sağlayıcılarının kayıt tutmasını zorunlu hale getirecek bir yasa yok. Kayıt tutmanın maliyeti de yüksek olduğu için kayıt tutmuyorlar ve servis sağlayıcıya kadar ulaştığımız halde suçluyu bulamıyoruz.

“SAHTE KREDİ KARTI ÜRETEN PROGRAMLAR BİLE VAR”

Kredi kartı ile ilgili internet üzerinden işlenmiş suçlara örnek verebilir misiniz?

Kredi kartı generator programları var. O program sanal bir kredi kartı üretiyor. Kredi kartı numarası, son kullanma tarihi, limiti, kullanıcı adı ve soyadı… O kredi kartı ile alışveriş yaptığınızda başkasının hesabından kesiliyor.

Kredi kartıyla internet alışverişi nasıl problem yaratıyor?

Diyelim ki bir yerden alışveriş yaptınız. Kredi kartı numarası ve bilgilerini de yazmanız gerekiyor. Bunu bir de karşı tarafa gönderiyorsunuz. Bankaya giderken izlenen yol da tehlike yaratıyor. Saldırgan, gidip o bilgisayarın içinden o bilgileri alabilir.

Kredi kartı dolandırıcılığı engellenebilir mi?

Bazı bankalar kredi kartı dolandırıcılıklarını önlemek için sanal kartlar çıkardı. Sanal kart üretiyorsunuz, limiti kendiniz belirliyorsunuz. O an sıfır limitiniz, alışveriş yapacaksınız, örneğin 10 milyon liralık bir giysi alacaksınız, limitinizi 10 milyona çıkarıyorsunuz, alışverişi yaptıktan sonra limiti tekrar sıfıra indirebiliyorsunuz. Bu arada kredi kartınız bir şekilde elde edilse de limiti sıfır olduğu için kullanılamıyor.

Kredi kartı dolandırıcılığı ile ilgili sizin çalışmanız var mı?

Bununla ilgili bizim birkaç çalışmamız oldu. FBI’a bildirdik. Onlar internette böyle bir yer keşfetmişler. Bir sitede milyonlarca kişinin kredi kartının tanıtıldığı bir yer. Hatta chat odalarında “şu sitede şu açığı tespit ettim”, “ben bir kredi kartı buldum, bunu herkes kullansın” diye konuşmalar geçiyor.

ULUSLARARASI VİRÜSLER İÇİN ŞİRKETLER NE YAPMALILAR?

Şirketler uluslararası virüslerden zarar gördüklerinde ne yapmalılar?

Öncelikle Emniyet Genel Müdürlüğü’ne gelmeleri gerekiyor. Burada önemli olan tüm ülkelerin polis teşkilatlarının bağlantılı çalışmaları. Diyelim ki, Türkiye’de böyle bir olay oldu. Virüs dağıldı ve bir çok bilgisayarı zarara uğrattı.

Bir banka yada bazı kurumlar gelip şikayet ettiler. Biz geriye doğru incelemeye başlıyoruz.  Sisteme nereden saldırılmış, saldıran sistem nereden, diye geriye doğru takip edebiliyoruz. Bu zincirin en sonunda yurt dışına çıkma ihtimali var. Ama bazen incelemeler yarım kalıyor.

Neden?

Ulaştığımız bir noktadan kayıtları istediğimizde “kayıt tutmuyoruz ki” cevabıyla karşılaşabiliyoruz. Ama bu çalışmalar için uluslararası çalışma birimi kurmak gerekiyor. Bununla ilgili olarak G-8 ülkelerinde çalışma birimi vardı. Bunu Avrupa Birliği çerçevesinde genişletmeye çalışıyorlardı. Bununla ilgili çalışmalarımız da vardı.

Avrupa Birliği, suçların 24 saat ulaşacağı ve takip edileceği bir birim kurulmasını istiyordu. Bu irtibat noktaları kurulduğunda herhangi bir bilgi geldiği zaman diğer polis biriminde bu bilgiler alınabilirdi. Bizim Amerika ile bazı yazışmalarımız oldu. Örneğin, bize diyebilirler ki, sizin şu bilgisayarlarınızdan bize virüs saldırısı geldi. Biz buradan bunları inceleyip, biz de diyebiliriz ki Çin polis teşkilatına, FBI’dan bize uyarı geldi, bize de virüs sizden gelmiş. Bu virüsün çıktığı bilgisayara kadar ulaşma ihtimalimiz var.

Uluslararası alanda Emniyet Genel Müdürlüğü’nün işbirliği yaptığı kurumlar var mı?

Burada bir Interpol Daire Başkanlığımız var. G-8 ülkelerinin konuyla ilgili bir birimi var. Ama bu geniş bir konu. Uluslararası ilişkilerle gidiyoruz burada. İlişkileri iyi kurarsanız, böyle bir bilgi gerektiğinde size gelebilir.

 


İLGİNİZİ ÇEKEBİLİR

Yorum Yaz