Fidye Yazılımı (Ransomware) Saldırısı Sonrası Hukuki Süreç

Yazan /

Fidye yazılımı (ransomware) saldırısı; kurum verilerini şifreleyerek erişimi engelleyen ve şifre çözme anahtarı karşılığında fidye talep eden kötü amaçlı yazılım türüdür. Saldırı sonrası süreç; teknik müdahale yanında ciddi hukuki yükümlülükler de doğurur. KVKK kapsamında veri ihlali bildirimi, savcılığa suç duyurusu, USOM bildirimi ve kurum içi olay yönetimi süreçlerinin doğru biçimde işletilmesi büyük önem taşır. İlk 72 saat, hem hukuki yükümlülükler hem de delil bütünlüğünün korunması açısından kritiktir. Bu rehberde fidye yazılımı saldırısı sonrasında atılması gereken hukuki adımları, ceza kanunundaki yerini, KVKK bildirim usulünü, fidye ödeme kararının hukuki boyutlarını ve şirket içi yükümlülükleri detaylı olarak açıklayacağız.

Fidye Yazılımı Saldırısının Hukuki Niteliği

Fidye yazılımı saldırısı Türk hukukunda çoklu yönleriyle ele alınır ve genellikle birden fazla suçun birleşik şekilde işlendiği durumlar oluşturur:

  • Bilişim sistemine girme suçu (TCK m. 243): 1 yıla kadar hapis veya adli para cezası.
  • Sistemi engelleme, bozma, verileri yok etme veya değiştirme (TCK m. 244): 6 ay-3 yıl hapis cezası; verilerin işlenememesi veya bozulması halinde 1-5 yıl.
  • Banka veya kredi kartlarının kötüye kullanılması (TCK m. 245): 3-6 yıl hapis cezası ile adli para cezası.
  • Yağma / şantaj nitelendirmesi (TCK m. 148, 107): Fidye talebi nedeniyle gündeme gelebilir.
  • Kişisel veri etkilenmişse KVKK kapsamında veri ihlali ek olarak gündeme gelir.

İlk Müdahale: 72 Saatlik Kritik Pencere

Fidye yazılımı saldırısı tespit edildiğinde ilk 72 saat hem teknik hem hukuki açıdan kritiktir. Atılması gereken adımlar:

  1. Olayın izolasyonu: Etkilenen sistemler ağdan ayrılır, ancak kapatılmaz (uçucu deliller kaybolabilir). Ağ kabloları çıkarılır, Wi-Fi devre dışı bırakılır.
  2. Olay kayıt zinciri: Log dosyaları, sistem görüntüleri ve fidye notlarının ekran görüntüleri zaman damgalı olarak kaydedilir. Bu, sonradan adli delil olarak kullanılacaktır.
  3. Olay müdahale ekibinin toplanması: Bilgi işlem, hukuk, üst yönetim ve gerekiyorsa dışarıdan adli bilişim uzmanı dahil edilir.
  4. KVKK ihlali değerlendirmesi: Kişisel verilerin etkilenip etkilenmediği tespit edilir.
  5. Yetkili kurumlara bildirim hazırlığı başlatılır.
  6. Yedeklerin durumu kontrol edilir: Yedeklerin de etkilenmiş olabileceği unutulmamalıdır.

KVKK Veri İhlali Bildirimi (KVKK m. 12/5)

Saldırıdan kişisel veriler etkilenmişse veri sorumlusunun bildirim yükümlülüğü doğar:

  • Kişisel Verileri Koruma Kurulu’na bildirim: İhlalin öğrenilmesinden itibaren en kısa sürede ve her halükarda 72 saat içinde.
  • İlgili kişilere bildirim: Veri ihlalinden etkilenen kişilere makul bir süre içinde bildirim yapılır.
  • Bildirim formu: Kurul’un belirlediği “Kişisel Veri İhlali Bildirim Formu” üzerinden yapılır; ihlalin niteliği, etkilenen kişi sayısı, etkilenen veri kategorileri, alınan tedbirler ve iletişim noktası belirtilir.
  • Bildirim eksikliği: Bildirim yapılmaması veya geç bildirim, ayrı bir idari para cezası gerekçesi olabilir.

Suç Duyurusu (Cumhuriyet Başsavcılığı’na)

Fidye yazılımı saldırısında işlenen suçlar kovuşturulması şikayete bağlı olmayan suçlardır. Yetkili Cumhuriyet Başsavcılığı’na suç duyurusu dilekçesiyle başvurulmalıdır. Dilekçede şu hususlar yer almalıdır:

  • Saldırının tespit tarihi ve saati,
  • Etkilenen sistemler ve verilerin niteliği,
  • Fidye notu içeriği ve talep edilen miktar,
  • Saldırganın iletişim için bıraktığı (varsa) wallet adresi veya iletişim kanalı,
  • Teknik müdahale raporu,
  • Olay kronolojisi,
  • Etkilenen kişisel veri kategorileri.

Şikayet dilekçesi delilleri ile birlikte sunulmalıdır. Siber Suçlarla Mücadele Daire Başkanlığı ve USOM (Ulusal Siber Olaylara Müdahale Merkezi) ile koordineli süreç önerilir. USOM’a bildirim ayrıca yapılabilir ve teknik destek talep edilebilir.

Fidye Ödenmeli mi? Hukuki ve Stratejik Değerlendirme

Fidye ödemek uluslararası uygulamada şiddetle önerilmez. Nedenleri:

  • Ödemenin verilerin geri verileceğini garantilememesi (vakaların yaklaşık yarısında veriler geri alınamaz),
  • Saldırganların aynı kurumu tekrar hedef alma ihtimali,
  • Yaptırım listelerindeki kişi/grup ile işlem yapılmış olabileceği riski,
  • Ödemenin başka suç organizasyonlarının finansmanına gitme ihtimali,
  • Hisse sahiplerine, sigortaya ve düzenleyici kurumlara karşı sorumluluk doğurabilmesi,
  • Ödeme yapıldığının kamuoyuna yansıması halinde itibar kaybı.

Türk hukukunda fidye ödemenin doğrudan yasaklanması olmamakla birlikte, ödemenin aklama veya terörün finansmanı kapsamında değerlendirilmesi riski bulunur. Karar verilmeden önce mutlaka hukuki ve teknik danışmanlık alınmalı; ödeme yapılacaksa MASAK ve düzenleyici kurumlarla koordineli hareket edilmelidir.

Şirketin İç Hukuki Yükümlülükleri

  • Yönetim kurulu/üst yönetim bilgilendirmesi: Olay raporlanır ve karar mekanizması işletilir. Halka açık şirketlerde Kurumsal Yönetim İlkeleri çerçevesinde özel durum açıklaması gerekebilir.
  • Müşterilere bildirim: Hizmet kesintisi yaşanıyorsa müşterilere şeffaf bilgi verilir.
  • İş ortakları ve tedarikçi bildirimleri: Sözleşmelerden doğan bildirim yükümlülükleri kontrol edilir; tedarik zincirinde de saldırının yayılma riski değerlendirilir.
  • Sigorta poliçesi: Siber sigorta varsa poliçe şartları gereği bildirim süreleri takip edilmelidir. Geç bildirim teminatın geçersiz hale gelmesine yol açabilir.
  • BDDK, SPK veya sektörel düzenleyici kurumlara bildirim: Finansal kurumlar ve halka açık şirketler için ek bildirim yükümlülükleri olabilir.
  • Çalışanlara bilgi: Çalışanlara durum hakkında bilgi verilmeli ve sosyal mühendislik saldırılarına karşı uyarılmalıdır.

Saldırı Sonrası Kalıcı Hukuki Önlemler

  • Olay yönetimi prosedürünün güncellenmesi,
  • Veri envanteri ve saklama-imha politikasının gözden geçirilmesi,
  • Çalışanlara periyodik siber güvenlik eğitimleri (kimlik avı simulasyonları dahil),
  • Sözleşmesel sorumluluk ve gizlilik maddelerinin yeniden ele alınması,
  • Siber sigorta kapsamının genişletilmesi,
  • Yedekleme stratejisinin güncellenmesi (3-2-1 kuralı: 3 kopya, 2 farklı medya, 1 offline kopya),
  • Olay sonrası analiz (post-mortem) raporu hazırlanması.

Sigorta Süreci ve Tazminat

Siber sigorta poliçesi olan şirketler; veri kaybı, iş kesintisi, fidye ödemesi (varsa kapsamdaysa), itibar yönetimi ve hukuki danışmanlık giderleri için tazminat talep edebilir. Sigorta süreci:

  • Sigortacıya derhal bildirim (poliçe genellikle 24-72 saat içinde bildirim öngörür),
  • Sigortacının atadığı uzmanlarla iş birliği,
  • Zararın belgelenmesi (gelir kaybı, müşteri tazminatı, teknik müdahale faturası),
  • Tazminat talebinin yazılı olarak sunulması.

Sıkça Sorulan Sorular

Fidye yazılımı saldırısı sonrası mutlaka avukat tutulmalı mı?

Saldırı; KVKK bildirimi, suç duyurusu, sözleşmesel sorumluluk, sigorta tazminat süreçleri gibi birçok hukuki konuyu tetikler. Süreçlerin doğru yönetilmesi için bilişim hukuku ve siber güvenlik hukuku alanında deneyimli bir avukatla çalışılması güçlü biçimde önerilir.

Bireysel kullanıcı fidye yazılımı saldırısına uğrarsa ne yapmalı?

Bireysel kullanıcılar da Cumhuriyet Başsavcılığı’na suç duyurusunda bulunmalı, USOM’a bildirim yapmalı ve uzman yardımıyla sisteminin temizlenmesini sağlamalıdır. Kimlik bilgileri ifşa olduysa ek koruma tedbirleri (banka, gsm operatörü uyarısı, kredi sicil takibi) alınmalıdır.

Saldırgan tespit edilebilir mi?

Fidye yazılımı saldırılarında saldırganlar genellikle anonimleştirme araçları (Tor, kripto cüzdan karıştırıcılar, VPN) kullanır. Tespit edilmesi teknik olarak güçtür; uluslararası işbirliği gerektirebilir. Bu durum, soruşturmanın aylar hatta yıllar sürmesine yol açabilir. Ancak mağdurun sorumluluğu suç duyurusunda bulunmaktır.

Veri kayıpları için kim sorumludur?

Saldırgan birinci derecede sorumludur. Ancak veri sorumlusu da, KVKK m. 12 gereği uygun teknik ve idari tedbirleri almadığı tespit edilirse, ilgili kişilere karşı sorumlu tutulabilir ve idari para cezasıyla karşılaşabilir. Tedarikçi kaynaklı saldırılarda tedarikçi de zincirleme sorumlu olabilir.

Veri sızıntısı haberi medyaya nasıl açıklanmalı?

Kamuoyu iletişimi yapılmadan önce hukuk birimi onayı alınmalıdır. Çok erken veya yetersiz açıklama, ek ihlal iddiaları, müşteri davaları ve marka itibar kaybına yol açabilir. Şeffaf, doğrulanmış ve net bilgi içeren bir iletişim stratejisi izlenmelidir. Açıklamada; etkilenen veri türleri, alınan önlemler, ilgili kişilere tavsiyeler yer almalıdır.

Çalışan ihmali sonucu olan saldırıda çalışan sorumlu mu?

Çalışanın kasıtlı veya ağır kusurlu davranışı varsa (örneğin bilerek kötü amaçlı yazılım çalıştırma, gizli verileri paylaşma) iş sözleşmesi haklı sebeple feshedilebilir ve tazminat talep edilebilir. Basit ihmal halinde (kimlik avı e-postasına tıklama gibi) genellikle eğitim eksikliğinden işveren de sorumlu görülür.

Saldırı sonrası iş kaybı tazminatı talep edilebilir mi?

Saldırı nedeniyle iş kesintisi yaşanırsa siber sigorta poliçesinden iş durması teminatı talep edilebilir. Tedarikçi kaynaklı saldırılarda tedarikçiye karşı sözleşmeden doğan tazminat talebi de mümkün olabilir. Müşterilere karşı SLA (Hizmet Seviyesi Anlaşması) yükümlülükleri ayrıca değerlendirilmelidir.

Bu yazı genel bilgilendirme amacıyla hazırlanmıştır. Somut olayınıza ilişkin değerlendirme için hukuki danışmanlık almanız önerilir.

Yorum bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Scroll to Top