E-ticaret Sitelerine DDOS Saldırıları ve DDOS’un Hukuki Açılımı – 2

Hukuki Olarak DDOS Saldırıları

Bu fiilin hukuki boyutuna değinirsek; Türk Ceza Kanunu’nda bilişim suçları kapsamında düzenlenen madde 244’ü incelememiz gerekir. TCK 244. Maddenin 1. ve 4. Fıkralarına bakacak olursak;

Sistemi engelleme, bozma, verileri yok etme veya değiştirme
(1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.
(4) Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması halinde, iki yıldan altı yıla kadar hapis ve beş bin güne kadar adlî para cezasına hükmolunur.”

demektedir. Bu maddelerde 4. fıkra doktrinde 1. ve 2. fıkraların ağırlatıcı sebepler olduğunu savunan bir görüş olsa da ben 4. fıkranın ayrı bir suç tipi olduğu kanaatindeyim. Yazımda bir eticaret firmasının işleyişinin başka bir eticaret firması ya da diğer kötü niyetli kişilerin haksız çıkar sağlamak suretiyle DDOS saldırısıyla engellediği ihtimali üzerinde durduğum için 4. fıkradaki suç tipini ayrıntılandıracağım.

Bu suçla korunan hukuki değer Dülger’e göre “kişinin malvarlığı değeri olabileceği gibi manevi bir hakkı da olabilir.” Ben de bu görüşe katılmaktayım.[3]

Başka bir suç oluşturmaması halinde “bir bilişim sistemini engellemek suretiyle kendisi veya başkası yararına haksız çıkar sağlamada” maddi unsurları inceleyecek olursak; Doktrinde her ne kadar bu suçun seçimlik ve bağlı hareketli bir suç olduğu belirtilmekteyse de, TCK’nın 244 (4) maddesinde ilk fıkraya atıf yapıldığından serbest hareketli bir suç olmaktadır. [4] Suçun faili herhangi bir şekilde bilişim sistemini engelleyip kendisi ya da başkasının yararına çıkar sağlayarak suç tipine uygun davranmış ve suçu meydana getirmiş olur. 1. fıkradaki “engelleme” konusunda uzlaşılmış bir tanım bulunmamakla birlikte “engelleme, sistemin işleyişinin dışarıdan gelmekte olan veya programlanmış olması nedeniyle süregelen bir dış müdahaleden dolayı veri işlem faaliyetinin sistem tarafından yerine getirilmemesidir[5]”, diyebiliriz.

DDOS saldırılarında yukarıda çalışma sistemini anlattığım üzere suç tipinde tanımlandığı üzere dışarıdan gelen müdahale sonucu e-ticaret şirketinin sunucularında veri işlem faaliyetinin kesilmesi söz konusudur. DDOS saldırısıyla bilişim sisteminin işleyişini engellemek suretiyle kendisi veya başkası adına haksız çıkar sağlanması gerekmektedir. Botnet ağı olan bir kişi, saldırıları gerçekleştirerek, durdurması karşılığında e-ticaret firmasından bedel isteyebilir ya da e-ticaret şirketinin rakip firmalarının çıkar sağlaması için saldırı gerçekleştirebilir.

Suçun faili herkes olabilir. Önemle belirtmek gerekir ki yalnızca bu saldırıyı yapan kişi suç işlemiş olmaz. Aynı zamanda bu kişiye ücret karşılığı rakibine saldırı yaptıran e-ticaret firması da “azmettiren” sıfatıyla suç işlemiş olur ve TCK m 38/1 gereği aynı cezaya hükmolunur.

Suçun mağduru failin müdahalede bulunarak haksız çıkar sağladığı bilişim sisteminin yahut verinin hak sahibidir.[6] Hak sahipliğinden kasıt bilişim sistemi üzerinde ayni hakka ya da şahsi hakka sahip olmak suretiyle suçtan doğrudan zarar gören kişidir. Doktrinde tüzel kişilerin mağdur olamayacağı, yalnızca suçtan zarar gören olabileceği yönünden görüşler bulunmakla birlikte, kanaatimce tüzel kişiler de suçun mağduru olabilir. [7] Bu durumda DDOS saldırısına maruz kalan e-ticaret şirketinin tüzel kişiliği bizzat suçun mağduru olmaktadır. Bir diğer önemli husus ise bu suçun gerçekleşmesi için mağdurun zarar görmüş olması gerekmez. Maddenin 4. fıkrasında düzenlenen suç tipinde failin kendisi ya da başkası adına haksız çıkar sağlamak için bir bilişim sisteminin DDOS saldırısı ile işleyişini engellemesi yeterli olacak, bu saldırıdan (her ne kadar zarar kaçınılmaz olsa da) mağdurun zarar görmesi gerekmeyecektir.

Özetlemek gerekirse; e-ticaret sitenize DDOS saldırısı yapıldığında mevcut bilişim sisteminizin işleyişi engellenmektedir. Bu saldırıyı yapan kişiler herhangi bir haksız çıkar gütmeyebilir. Bu TCK 244/1 kapsamında değerlendirilir. Benim değerlendirdiğim husus ise, bu saldırıyı yapanların, saldırı yapma suretiyle kendileri ya da başkaları için haksız çıkar sağlamalarıdır. Bu durumda bu kişiler suç işlemiş olur ve suçun soruşturulup kovuşturulması halinde failler hakkında 1 yıldan 5 yıla kadar cezaya hükmolunur.

Yazının devamını buradan okuyabilirsiniz.

Kaynakça:
[3] Dülger, Bilişim Suçları, s. 244,245
[4] Erdoğan, s. 252
[5] Pallı, s. 169
[6] Erdoğan, s.253
[7] Erdoğan, s 145

Bu yazım EticaretMag.com ‘da yayınlanmıştır.