Bilgisayar, flash disk,cd,DVD, dijital fotoğraf makinası, hafıza kartları gibi veri depolama özelliği olan sayısal deliller mahkeme kararıyla incelenebilmektedir. Konuyla ilgili kanun maddesi aşağıda verilmiştir. Bu konudaki kişisel düşüncelerimi sizinle paylaşmak ve görüşlerinizi almak isterim.


BİLGİSAYARLARDA, BİLGİSAYAR PROGRAMLARINDA VE KÜTÜKLERİNDE ARAMA, KOPYALAMA VE ELKOYMA

Madde 134 - (1) Bir suç dolayısıyla yapılan soruşturmada, başka surette delil elde etme imkânının bulunmaması halinde, Cumhuriyet savcısının istemi üzerine şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına, bilgisayar kayıtlarından kopya çıkarılmasına, bu kayıtların çözülerek metin hâline getirilmesine hâkim tarafından karar verilir.

Burada suçun kapsamı bence gayet geniş olarak verilmiş. Şüpheli bilgisayarı suçun aracı olarak da kullanıyor olabilir, ya da suçun bir parçası,yardımcısı olarak da kullanıyor olabilir. Her iki durumda da bilgisayar kayıtları suçun delillendirilmesinde katkıda bulunacaktır. Ayrıca burada şüphelinin bilgisayarının yanısıra suçun türüne göre mağdurun da bilgisayarına el konulabilir. Ya da mağdur kendi rızası ile bilgisyarının incelenmesini talep edebiliri. Örneğin mağdurun bilgisayarına yerleştirilen bir “casus program” ve ya “keylogger” programı analiz edilebilir.

(2) Bilgisayar, bilgisayar programları ve bilgisayar kütüklerine şifrenin çözülememesinden dolayı girilememesi veya gizlenmiş bilgilere ulaşılamaması halinde çözümün yapılabilmesi ve gerekli kopyaların alınabilmesi için, bu araç ve gereçlere elkonulabilir. Şifrenin çözümünün yapılması ve gerekli kopyaların alınması halinde, elkonulan cihazlar gecikme olmaksızın iade edilir.

Bilgisayarda veri depolama birimi olarak sabit diskler kullanılır. Bilgisayar programları ve bilgisayar kütükleri sabit disk içerisinde yer alır. Sabit diskin içinde mevcut veriler, silinmiş veriler ve gizlenmiş veriler olabilir. Bu verilerin incelenmesi teknik altyapı, özel donanım ve yazılımlar gerektirir.

Şifre her zaman işletim sistemi seviyesinde olmayabilir. Bazan bilgisayarda "pre-boot" dediğimiz ön-açılış seviyesinde disk üzerinde şifre yer alabilir ki günümüzde bir çok dizüstü bilgisayar bu şekilde korunuyor. Yani diske erişim mümkün olmuyor. Dolayısıyla şifrenin çözülememesi durumu mevcuttur.
(3) Bilgisayar veya bilgisayar kütüklerine elkoyma işlemi sırasında, sistemdeki bütün verilerin yedeklemesi yapılır.

Sistemdeki bütün verilerin yedeklemesine imaj alma işlemi yani birebir kopya alınması işlemi diyebiliriz. Bu konuda esneklik esastır. Yani her olayda, olay yerinde imaj alınması işlemi imkansızdır. ABD’ de Adalet Bakanlığı tarafından imajların nerede alınacağı sistemin suçun işlenişindeki konumuna göre düzenlenmiştir. Burada yedeklemenin olay yerinde değilde laboratuar ortamında yapılması makul olan görüştür. Sayısal veriler çabuk bozulabilir. Delilin bir an önce bütünlüğü hesaplanmalı (hash değeri hesaplanması), yapılan işlemler tutanak altına alınmalı,birebir kopyası alııp inceleme yapıldıktan sonra delil bir an önce iade edilmelidir.

(4) İstemesi halinde, bu yedekten bir kopya çıkarılarak şüpheliye veya vekiline verilir ve bu husus tutanağa geçirilerek imza altına alınır.

İstenmesi halinde birebir kopyanın bir kopyası şüpheliye veya vekile verilebilir. İstenmese ne olur? Delil üzerinde manipülasyon mu yapılır? Zaten delil iade edildikten sonra tekrar bir imaj alındığında hesaplanan hash değeri önceki hesaplanan hash değeriyle aynı olmaldır. Eğer disk üzerinde bir oynama yapılmamış veya diskte bir arıza meydana gelmemiş ise. Ayrıca her şekilde bir disk üzerinde oynama yapıldığı anlaşılır. Adli Bilişim incelemesinde prensip olarak birebir kopya alınırken delil üzerine hiç bir veri yazılamaz, içerisinde hiç bir veri değiştirelemez. İncelemeler delilin üzerinde değil , birebir kopyası üzerinde yapılır. Sadece bu konu için hazırlanmış donanım ve yazılımlar mevcuttur. Birebir kopyası alınmasa bile delil bu donanım ve yazılımlarla incelendiğinde artık koruma altındadır.
Ayrıca birebir kopyayı alan şüpheli veya vekilin bu kopyayı okuyabilecek teknik bilgiye ve donanıma sahip olmadan bu kopyaların içeriğini görmesi, okuması mümkün değildir.

(5) Bilgisayar veya bilgisayar kütüklerine elkoymaksızın da, sistemdeki verilerin tamamının veya bir kısmının kopyası alınabilir. Kopyası alınan veriler kâğıda yazdırılarak, bu husus tutanağa kaydedilir ve ilgililer tarafından imza altına alınır.

"kopyası alınan veriler kağıda yazdırılarak.." ibaresinde kopyası alınan dosyaların adları ve bunlara ait hash değerleri elbetteki sayfa sayısı da dikkate alınarak yazrılabilir. Bence makul olan bunların da Cd ortamında verilmesidir. Bir deneme yaptım. 668 Gigabyte' ı dolu olan bir disk içinde bulunan dosyaların listesi klasörleriye beraber yaklaşık 90 Megabyte boyutunda excel dosyası tuttu. Bu dosya ise 9200 sayfa tutuyor. Bu kadar sayfanın yazırılmadı da makul değil.Dolayısıyla yazdırma işlemi dosya sayısıyla sınırlı olabilir.

3 ncü maddede belirtmiştik. Bu konuda esneklik esastır. Binlerce makinanın çalıştığı bir ağ ortamında bütün makinalara el koymak gereksizdir. Burada ince nüanslara dikkat edilmelidir ve inceleme alanı küçültülmelidir. Bu sayede bir çok makina gereksiz yere incelenmeyecektir.