Bİlişim Suçları Yasası Nasıl Olmalı?

Türk ceza kanununda var olan m243 244 245 246 nın yeniden düzenlenmesiyle ilgili görüşleriniz nelerdir? Sizce izlenmesi gereken yol özellikle internet alanında nasıl olmalı (yarar ve zararları göz önünde tutularak)?

Sn.Katılımcılar,


Bilişim suçlarını tanımlamaya kalkışmadan önce, bilişimi bu amaca uygun tanımlamalı.
30 yıldır teorik, 23 yıldır da pratik olarak içinde bulunduğum bir alan olduğundan;
konuyu felsefi, teknik ve vicdani yönleriyle ele almaya olduğunca uygun biçimde,
sıfırdan yapacağım. Yasamanın nasıl tanımladığı ise ancak suç işleyip yakalanınca
önem kazanır; ama umarım doğru ve yeterli olur.

GİRİŞ
=====

TANIM
-----
Bilişim; gerçek hayattaki olaylar ve insan faaliyetlerinden kaynaklanan bilgi/verinin
1. Elde edilmesi
2. İşlenerek
a) özetlenmesi
b) Değerlendirilmesi
c) Başka biçimlere dönüştürülmesi
3. Aynen ve / veya işlenmiş haliyle depolanması
4. İletimi ve dağıtımı
ve bu işlemlerin sağlıklı ve verimli yürümesi için gerekli olan çalışmalar bütünüdür.

Dikkat ederseniz, burada bilginin soyutluğu açıkça belirgindir. Gerçek hayattaki olaylar
dediğimiz zaman; olayların görüntüsü, sesi gibi doğrudan bilgiler ile, ölçülebilir yönlerine
ilişkin ölçüm değerlerini, veya sözel aktarımlarını kastediyoruz. İnsan faaliyetlerinden
kaynaklanan bilgi derken de, onlara ait söz ve yazıları, hayal ürünlerini. Elbette bunları
sıralarken amacım bilişime konu olabilecek bilgileri kısıtlamak değil; anlamayı
kolaylaştırmak. Yoksa, bilgi tanımına giren herşey; bugün olmasa yarın, eninde sonunda
bir gün, bilişimin konusu olacaktır. Olmayacağını düşünmek safdillik olur. Birkaç gün
önceki bir gazete haberine göre, insan duygu ve düşüncelerinin EEG üzerinden anlaşılması
yolunda başarı elde edilmiş. Bu bir bilişim faaliyetinin sonucudur.

Bilişim, her türlü bilginin ölçülebilir, işlenebilir hale getirilmesi diye özetlenebilir;
ve bu iş için kullanılan, olmazsa olmaz araçlar, bilgisayarlardır.

Veri-İşlem, Bilgi-İşlem, Bilişim sözcükleri genellikle eş anlamlı kullanılır. Veri, (data)
işlenen bilginin, içeriğinden bağımsız olarak kullanılabilir parçalarını ifade eder.
Bazen yanlış olarak girdi (input) yerine de kullanıldığını görürüz. Bilgi-İşlem yerine
bilişim dememizin nedeni; bilgi işlenerek elde edilen sonuçlara göre, varılan kararlarla,
bilgi edinme ve işleme süreçlerinin yeniden biçimleniyor olmasıdır. Yani işlenen bilgiler,
hem kaynakları, hem işleyenler, hem kullananlarla etkileşim içindedir. Böylece herkes
'bilişmekte' dir; hatta işleyen araçlar, yani programlar bile. Bunun en somut örneği,
tablolama programlarıdır. Bundan on yıl öncesiyle bugünküler arasında dünyalar kadar
fark görülür.


UNSURLAR
--------
Tanımdan yola çıkarsak, bilişimin unsurları, taraflarına varırız:
1. Bilginin kaynağı: Bilgiyi elde eden araçlar veya bilginin üreticisi
2. Bilginin işlemcisi: Bilgiyi işleyen araçlar veya bilginin işleyicisi
3. Bilginin depolayıcısı
4. Bilginin hedefi: Bilgiyi kullanan araçlar ve bilginin kullanıcısı

Bilgiyi elde eden araçlar derken, bunların en tipik olanını örnek gösterebiliriz: klavye.
Fakat, bir telsiz cihazı veya bir preamplifikatör aracılığıyla EKG elektrodu da olabilir.
Ya da daha genel anlamda: (buna dijitalizasyon = sayısallaştırma diyoruz)
1. Gerçek hayattaki bir olayı elektriksel olarak ifade edebilen
2. Bu elektriksel ifadeyi bilgisayarlarca işlenebilir hale getirebilen
herşey bilgiyi elde eden araç olabilir. Bilginin üreticisi dediğimizdeyse, bunun bir insan
olması gerekir. Her ne kadar araçlardan gelene veri, insanlardan gelene bilgi deme eğilimi
var ise de; bilgi sözcüğü veriyi de kapsar. Örneğin, 'Ahmet' deki 'A', 'h', 'm' harflerinin
herbiri veridir. Ama 'kapıyı kim kapadı?' sorusunun cevabı olarak 'Ahmet', bilgidir. Yine
de bu, 'Ahmet' in veri olması niteliğini değiştirmez. Dikkatinizi çekmiş olacağı üzere,
'veri' her zaman bize anlamlı gelmek zorunda değildir.

Bilgiyi işleyen araç derken vermemiz gereken örneklerden biri ekran kartı, bir diğeri de
bilgisayarın ana kartıdır. Bir bilgisayarın içindeki ve ona bağlanan her araç aslında
bilgi işleyen araç niteliği taşır. Örneğin, bir modem, yazıcı, monitör de. Bu araçların
ortak özelliklerinden birisi de hepsinin kendi içinde bu 'işleme' işini yapacak donanıma
gömülü yazılım unsurları taşımalarıdır. Hiçbirisi kendilerine iletilen bilgiyi olduğu
halde bırakmaz, mutlaka bir veya birkaç program kullanarak değiştirir, amaca uygun hale
getirir. Bilginin işleyicisi dediğimiz zaman ise, elbette yine 'Ahmet' gibi, bir insandan
söz etmemiz gerekir. İnsan, hem programları tasarlayan ve yazan, hem verileri giren, hem
de bilgisayar tarafından kendisine sunulan bilgileri beyninde işleyerek bir sonuca veya
karara varan kişi olarak iş görüyor olabilir.

Bilginin depolayıcısı, burada sadece araç niteliğindedir, çünkü bilgisayarlarda depolanan
bilgiler o kadar fazla ve çeşitlidir ki, bir insanın onları depolaması hemen hemen
olanaksızdır. Kaldı ki, bu gereksizdir de. Bilgisayarlar zaten bu iş için icat edilmiştir.
Bilgisayarlar bu bilgileri elbette sadece veri anlamında, çoğu manyetik olan çeşitli
yöntemlerle depolamaktadır. Örneğin hard-disk dediğimiz parçalar bu işi yapar ve bir
hard disk içindekilerin ne olduklarını asla bilmez. Onun için depolanan şey sadece 0 ve 1
lerden ibarettir. Onları tarif edilen parçalar halinde alır, saklar ve istendiğinde sunar.
Bilgisayarların bellekleri de depo niteliğindedir. Belleklerin büyük bölümü sadece
bilgisayar açıkken depo görevi görür, kapatılınca bilgiyi kaybederler; fakat kaybetmeyen
de vardır.

Bilgiyi kullanan araçlar, bilgisayarlara bağlı olarak bir iş yapmak üzere depolanmış
bilgiden yararlanan araçlardır. Örneğin; yazıcılar kağıt benzeri ortamlara aktarılma
sırasında depolanmış bilgiden yararlananlardan biridir. Veya, bir iletişim kodlama
programı, bellekte depolanmış bir dizi veriyi şifreleyerek farklı hale getirir. Ya da
daha somut bir iş olarak, bir üretim tezgahı, bilgisayarla yönetiliyorsa, hem PLC
programını ondan alabilir, hem de çalışması sırasında yolladığı kontrol değerlerinin
bellekteki değerlerle karşılaştırılmasını bekleyip, gelecek emre göre hareket edebilir.
Bilginin kullanıcısı olan insansa, bilgiyi onun algılayabileceği biçimlere dönüştürmek
gerekir. Bunlar hemen daima yazı, ses, görüntü biçimindedir.

Bu noktada, çok önemli bir saptama yapmakta yarar var. Nasıl depolama araçları depodaki
bilgiler konusunda bir bilince sahip değilseler; bilişimde rol alan araçların hiçbirisi
de aslında ne yapmakta oldukları konusunda bir bilince sahip değildir. Onlara belli
durumlarda belli veriyle ne yapmaları gerektiği programlar tarafından bildirilmiştir.
Örneğin, bir sayı peşinden belli bir işaret, onun da peşinden bir başka sayı gelirse
iki sayıyı topla denmiş olabilir. Sayının ne olduğu, işaretin ne olduğu önceden tarif
edilmiş olduğundan, işlemci bu işlemi yapar. Bilgisayarın kendisine tarif edilmemiş
bir veri veya işlemle birşey yapması mümkün değildir. Bunu sadece insan yapabilir.
Yani, aslında işleyici daima bir insandır; ama işi o anda yürüten, insan değil, bir
araç olabilir. O aracın yaptığı işlemi, daha önceden ona yapması gerekeni tarif etmiş
olan insanın, yani programcının yaptığı bir işlem olarak görmek gerekir.

SUÇLA İLİŞKİ
============

Bilişimde rol alan unsurlarda aynı noktaya gelebildiysek; suç kavramı ile ilişkileri
nasıl kuracağımıza bir göz atmakta yarar var. Tanımda yer alan işlemlerin her aşaması
suça konu olabilir. Yani bilgiyi elde ederken, işlerken, depolarken, iletir veya
dağıtırken suç işlenebilir.

Ancak, işlenen suçun failini tayin etmeye kalkışmadan önce, bilginin sayısallaştırma
dönemi öncesindeki haliyle işlenegelen suçları ayırmamız gerekir. Yani, bilginin
sayısallaştırılarak işlenmesine özgü durumlarla, bu sayede kolaylaşmış suçları
ayrı ele almak gerekir.

ESKİ SUÇLARA YENİ YORDAM
------------------------
Örneğin, fikri haklara ilişkin suçlar, özellikle de telif hakları, internet sayesinde
milisaniyeler içinde dünyanın her tarafından gerçekleştirilebilir hale gelmiştir. Aynı
biçimde, şirket bilgileri veya şahıs özel bilgilerinin çalınması veya kötü amaçla
kullanımı da. Nasıl bir bilgisayarın çalınmasını bilişim suçu sayamayacak isek, bu
suçları da bilişim suçları sayamayız. Eğer istenirse, ilgili ceza maddelerine
ağırlaştırıcı veya hafifletici bağlar kurulabilir, ama ayrıca tanımlanmalarının ne
anlamı, ne de gereği vardır.

Diyelim ki, internet sitesinin girişini tek sayfaya kısıtlamamış bir şirket var.
Sayfaların telifi ve marka ya da patent haklarına ilişkin duyurusunun okunmamış
olmasından doğal birşey olamaz. İyi niyetli birisi, bir arkadaşının verdiği bağlantı
ile dördüncü sayfayı okuyup, orda yer alan koruma altındaki bir buluşu kullanma
özgürlüğü olduğunu pekala düşünebilir. Bu gibi bir durumda, kullanıcının değil,
site sahibi şirketin kötü niyetinden bile söz edilebilir. Bilmeyenlere kullanma
fırsatı verip, sonra onların mal ve gelirlerine el koymayı planlamadığını bilmemiz
mümkün değildir. Ancak, internet öncesinde bu durumu yaratmak mümkün değildi. Kişinin
şirkete gitmesi, bilgiyi edinmesi gerekiyordu ve o sırada doğal olarak kendisine
durum bildirilecekti. Daha büyük olasılıkla buluştan hiç haberi olmayacak ve doğal
olarak da kullanma fırsatını bulamayacaktı.

Tersini düşünelim: şirket her türlü önlemi almış olsun ve ilgili sayfalara girmeden
önce herkes duyuruyu okumak zorunda kalsın. Bu durumda, şirketin niyetinden kuşku
duymak mümkün olmayacaktır; hakka tecavüz edenin niyeti belli, suçu sabit olacaktır.

Bir başka durum, şirket sitesinin şirket yerel ağına da bağlı olması ve yeterli
güvenlik önlemi olmadığı için gizli bilgilerine engelle karşılaşılmadan erişilebilir
olmasıdır. Şirketin bu yolla elde edilmiş bilgilerden şikayetçi olması mümkün müdür?
Elbette değildir; çünkü iç ağa erişim açıktır ve internet kullanıcısı doğal olarak
karşı karşıya geldiği her bilgiyi memnuniyetle alıp kullanacak veya yararlanacaktır.

Aslında bu durumların hepsi eski suçların yeni yüzleridir; ve her zamanki gibi,
koşullar ve niyetleri ortaya çıkartan unsurlar, suçun kanıtlarıyla birlikte
değerlendirilmek durumundadır. Eskisine göre göze çarpan tek fark, koşullar ve
niyetleri ortaya çıkartan unsurların çok hızlı, saniyeler içinde değişiyor olmasıdır.
Örneğin, 10:18:03.0000 da gördüğünüz bir sayfayı 10:18:03.0100 de artık göremiyor
olabilirsiniz. Bu durumda, suçun değerlendirmesini nasıl yapacaksınız? Doğrudan
hasar bırakan haller hariç, suçu saptamanız bile mümkün olamayacaktır. Üstüne
üstlük, şikayetçi tarafın belirttiği zamanda üzerine düşenleri yerine getirmiş
olup olmadığını, örneğin her türlü önlemi almış olduğunu nerden bileceksiniz?
Önlemi rahatsız edici olayın farkına vardıktan sonra aldıysa (örneğin yeni bir
yazılımı devreye soktuysa veya bir parametreyi değiştirdiyse) buna ilişkin
kayıtlar yoksa, nasıl saptayacaksınız.

Bundan ayrı olarak, özel olarak kötü niyet taşımadığı halde, satın aldığı bir
programın yetenekleri sayesinde bir kullanıcı haberi bile olmadan yasak bölgelere
girmiş ve görmüş olabilir. Bunu sitenin sahibi şirket farketmiş, kanıtları
toplamış, gireni de uyarmış olabilir. Giren uyarıyı almış veya alamamış, almış
ama yazılım ve donanımı uyarıyı işleyip ona iletmeyi becerememiş olabilir. Bu
durumu kanıtlamak da her zaman mümkün olmayabilir, ama şirket gireni kovalama
yolunu bulabilir ve bir daha girilmesini önleyebilir olmalıdır. Bunu internete
açık olmanın önkoşulu olarak görmek gerekir.

İnternetin özelliği, bir noktadan dünyanın her yerinde sunulan bilgiye erişmek
olduğu kadar, oradan her yere bilgi sunabilmek özgürlüğü veya kolaylığıdır.
Anahtar nokta, bu ortamı 'kolaylık' olmaktan ibaret mi bırakacağımız, yoksa
bir 'özgürlük' olarak mı değerlendireceğimizdir.

Yasa koyucunun bakışının 'özgürlük' olarak şekillenmesi, fakat ticari kuruluşların
kendi bilgilerini güvence altına almak için istedikleri düzenlemeleri yapma yoluna
gitmeleridir.

Ticari bilginin sağlığı ve güvenliğini korumak ticari kuruluşların, iletişim
özgürlüğünü güvence altına almaksa devletin görevidir. Yasa, iletişim özgürlüğünü
kısıtlar maddeler içermemelidir.

MEDYA NİTELİĞİ
--------------
Öte yandan, bütün bilişimi değil, ama interneti bir iletişim medyası olarak tanımak
ve bu açıdan da eski suçları gözden geçirmek gerekmektedir.

Öncelikle herkesin sanki başka konu yokmuş gibi sürekli ilgilendiği yasak yayınlar
konusuna değinmek isterim.

Yasak yayınların ne oldukları yasalarda bellidir. Hatta, kırmızı noktalı yayınlara
dahi izin verilmektedir; basılı halde veya sinema ve televizyondan. Belirlenen
kuralları çiğneyenlere verilecek cezalar da bellidir. O halde, neden internet bu
açıdan sürekli gündemdedir?

Bunun üç önemli nedeni vardır:
1. erişimin dünya çapında kolaylaşması, dolayısıyla devletin kendi başına yapacağı
düzenlemelerin yetersiz kalmasının kaçınılmazlığı
2. yasak veya kısıtlı yayınlar için ne yerli, ne uluslararası kuralların olmaması
3. internet kullanımının çocuklar ve gençlerde daha bilinir ve yaygın olması

Yasak yayın diye birşeyin asla mümkün olamayacağı artık kabul edilmelidir. Bunda
direterek; o ya da bu yönde yayın yapılamaz, şu ya da bu söylenemez demekten vaz
geçilmelidir; çünkü bununla başa çıkmak mümkün değildir. Kapıkule' nin öteki
tarafında geçince okunabilecek bir yayını Edirne' den okutmamaya çalışmak kadar
saçma birşey olamaz.

Kaldı ki, Almanya' dan alınma hatlı bir cep telefonunu bilgisayarınıza bağlayıp
internete çıkabilir; oradan da istediğiniz siteye erişebilirsiniz. Eğer Almanya'
da iken erişebildiğiniz siteye buradan erişmenize izin verilmezse, hem aracı
şirket, hem de onu buna zorlayan devlet, yasa, dava konusu olabilir. Olmadı,
isterseniz o telefonla Ege sahilleri veya Edirne, Kırklareli' nin sınıra yakın
bölümlerine gidip aynı işi yapın, Yunan aracıları üzerinden nereye isterseniz
ulaşın. Hiçbirini beğenmediniz mi, bir uydu bağlantısı kiralayın ve istediğiniz
yere erişin. Daha nasıl anlatayım, bu tür bir sansür sadece maddi olanakları
kısıtlı vatandaşlar üzerinde uygulanabilir bir niteliktedir; devletimize yakışmaz.

Olsa olsa kullanıcısı kısıtlanan yayınlardan söz edilebilir; bu da yazılı ve görsel
basındaki kurallardan elbette farklı olamaz. Yani, internetin, daha da doğrusu ağ
yayıncılığının (web publishing) bir yayın ortamı olduğunu belirtmek yeterlidir.
Her ne kadar yasayı kullanıcısı kısıtlı yayınların neler olacağını belirleme
zahmetinden kurtarsak da, bunu nasıl kontrol edilir kılabileceği bir soru işareti
olarak kalmaktadır. Bunun bir yolu, parmak izi algılayıcılarını zorunlu kılmak
olabilir. Kayıt olma ve parola kullanımı yeterli olmayabilir.

Kendi ülkemizde hangi sitenin neyi nasıl yapacağına ilişkin kurallar koymak
mümkün olmakla birlikte, diğer ülkelerden yayın yapanlara kural koyacak halimiz
yok. Fakat bu durumla ilgili olarak, bilgi kaynağı ülke içinde olduğu saptanan
kural dışı dış yayınları yapan kişi ve kuruluşlara ağırlaştırılmış cezalar
pekala konabilir. Dikkat ediniz, bilgi kaynağı dedim, bilgi deposu değil; çünkü
site Galapagos' ta olsa ve yayınladığı sayfalar oradaki bir bilgisayarda bulunsa
bile, o sayfaların kaynağı TC nde olabilir. Sayfalar burada hazırlanıp, oradaki
bilgisayara yükleniyor (upload) olabilir.

Ancak, kırmızı noktalı yayınlar ve diğer koşullu kısıtlı yayınlar için en kısa
zamanda uluslararası kurallar konmasının da peşini bırakmamak gerekir. Çünkü,
bazı küçük ülkeler belli paralar karşısında bu tür sitelerin hiçbir kurala
tabi olmaksızın yayınına izin vermektedirler. Kendi vatandaşları internete
bağlanmaktan yoksun, ama yüzlerce ağ yayıncısını barındıran ada devletler
bulunmaktadır.

Kırmızı noktalı yayınlar kadar, cinsel açıdan suç kabul edilen işlere karışan
veya vasat sağlayan siteler de vardır. Çocuk pornosu örneğin. Bunların faili
yurt içinde olduğu sürece bulunduklarında o suçların cezası neyse onu alırlar,
fakat yurt dışında iseler haklarında gıyabi kararlar alınmalı, yabancıysalar
ilgili devletin işlem yapması için başvuruda bulunulmalıdır. IP numaraları
veya site adı blokajı gibi yöntemler bu sitelere karşı yeterli önlem olamaz.

Bu noktada, internet bağlantısı yoluyla erişilen elektronik posta ve sohbet
hizmetlerini yayından ayrı tutmak gerekir, çünkü onlar kişinin kendi isteği ile
yürüyen faaliyetlerdir ve halka açık değildir, tarafları vardır. Bağlantı bu
tür işleri yürütmenin ortamını sağlamakla birlikte, bunlar ağ yayıncılığı hizmeti
değildir. Bu işlerde kolaylık olarak bilgisayar dünyasında kabul edilen servis
numaraları kılavuz alınabilir.

İLETİŞİM NİTELİĞİ
-----------------
Elektronik posta, sohbet (chat), duyuru panoları (forum, bulletin board),
tartışma odaları (chat room) bu grupta sayılabilir.

Bunlarda her zaman taraflar olduğu için, birçok suç daha bireyseldir. Örneğin,
size küfür edilmiş olabilir, başkasına edilen küfürlerden haberdar edilmiş
olabilirsiniz. Sizin açınızdan teke tek görünen bu faaliyet, sizinle birlikte
yüzbinlerce kişiye karşı aynı anda yapılmış olabilir.

İstemediğiniz biçimde bilgisayarınız ve özel yaşamınıza tecavüz edilmiş
olabilir. Ama bütün bunların gerçek hayatta da karşılıkları olduğundan,
ayrı cezalara gerek yoktur. Tek konu, gönderenin veya suçu işleyenin
saptanmasıdır.

YENİ TANIMLANMASI GEREKEN SUÇLAR
================================

MEDYAYA İLİŞKİN
---------------
Bir yayının içeriğini çalmak eski bir suçtur; hatta yayına engel olmak bile;
fakat yayının içeriğini değiştirmek diye bir suç ben bilmiyorum. Ağ yayınında
ise bu çok kolay olabiliyor.

Bu tam bir telif hakkı suçu da değil. Bir açıdan; böylesi girişimi; Hürriyet
gazetesi adı ve görünümünde bir gazete basarak; dağıtım sırasında kamyonlardaki
asıl gazeteleri kendi bastıklarımla değiştirmem gibi değerlendirmek gerekiyor.
Bir başka açıdan, Hürriyet matbaasına girip, gazetenin basım öncesi son
halini kimseden habersiz ve izinsiz olarak değiştirdiğim, ve basımın sonuna
ve kamyonlara yüklenene dek beklediğim ve gerekirse zor kullandığım da
düşünülebilir. Yol açtığım sonuç bunlarla aynıdır. Bastığımın içeriğiyle
ilişkili suçların cezaları da bu suçlarınkine eklenmelidir. Ayrıca, bu suç
bir marka ihlali de sayılır.

Bu tür suçlara ne ceza verildiğini bilmiyorum; ancak, yeterli ise, ayrı
ceza ihdasına gerek kalmaz. Fakat, bir gazete veya derginin müşteri / okur
adedi cezada etkinse, ki en azından maddi cezada etkin olmak zorunda, ağ
yayıncılığında bunu saptamak mümkün olmayabilir. Çünkü içerik değiştirme
anıyla farkına varılma ve düzeltilme anına kadarki okuyucu sayısını bilmek
için her anki okuyucu sayısını kaydetmek gerekiyor. Halbuki, okuyucuların
bilgileri tutulmadığı için, belli bir anda kaç kişinin okumakta olduğunu
bilmekle birlikte, okurların kaç kişi olduğunu bilmek mümkün olamıyor.
Kalabalık, halka açık sayfaları çok olan sitelerde bu sadece bir külfet
değil, aynı zamanda ileride ele alacağımız farklı gereksinimleri olan
bir işlem.

İkinci özellik de yine sürat ve sahiplik meseleleri. Suçu oluşturan farklı
içeriğin bana ait olup olmadığının kanıtlanması gerekiyor. Yayıncının olabilir,
suç ortağımın olabilir, benim olabilir, başka yerden aldığım bir içerik
olabilir. İçeriği şimdi değiştirip, on dakika sonra ortadan kaldırabilirim,
veya bir bağlantı yoluyla kendi içeriğime yönlendirebilir, belli süre sonra
eski haline döndürebilirim. Bunların hepsi aslında ayrı nitelikte suçlar
ve bugüne dek işlenmeleri mümkün değildi.

Dikkat ettiyseniz, bu suçların bir de süre parametreleri olması gereğine
işaret ediyorum. Bilgim dahilinde değil, ama belki zorla alıkoyma suçunda
cezayı ağırlaştırıcı olabilen, çoğu zaman normalde konu olmayacak birşey
bu süre meselesi. Ama bilişim suçlarında mutlaka göz önüne alınmak zorunda.

İLETİŞİME İLİŞKİN
-----------------
Size istemediğiniz içerikte bir posta gelebilir, çöpe atarsınız. Ama işin
kötü tarafı, gerçek postada bir masraf olduğu halde, ağ ortamında masraf
götürüdür. Karşınızdaki size saniyede bir posta yollayıp sizin kendi
postalarınızı okumanızı, hatta kutunuzun kapasitesini doldurup, başka
posta almanızı engelleyebilir. Böylesi bir girişim, postacıyı evinize
uğramaktan alıkoymakla aynı niteliktedir. Sanırım bunun cezası çok ağır.

İstemediğiniz içerikli olmasa, hatta siz istemiş olsanız dahi; bilgisayarın
donanımına, yüklü yazılımlara, veya donanım ya da yazılım ayar değişkenlerine
zarar verecek, değiştirecek postalar da gelebilir; veya sohbet sırasında
bu tür işlemler gerçekleştirilebilir. Bu tür girişimler, en hafifinden
sizi ayarlarınızı gözden geçirmeye zorlayacaktır. Bunu yapabilir bilgi ve
deneyime sahipseniz sadece zamanınıza, değilseniz, hem daha çok zamanınıza,
hem de paranıza mal olacaktır. Böylesi girişimler hem özel hayata saygısızlık,
hem de bilerek ve isteyerek mülke zarar verme niteliğindedirler.

İşin ilginç tarafı, bu tür suçlar birçok ticari site tarafından pervasızca
yapılagelmektedir. Size bir soru sorulmakta, sorulan soru konuyu yeterince
açık anlatmadığı için, devam etmek için 'Evet' cevabını vermenize yol açmakta,
bunun sonucunda da, örneğin ağ yazılımınızın ayarları değiştirilmektedir.
Bunlara karşı protestodan başka birşey yapmanız mümkün değildir, çünkü soruya
bilerek ve isteyerek 'Evet' yanıtı vermişsinizdir. Kandırma olduğunu ileri
sürebilirsiniz, ama sadece sizin bilgisiz olduğunuza hükmedilmesiyle kalır.

Benzer birşey, istenmeyen veya gizli pencerelerde görülmektedir. Bu yanlışı
devlet siteleri bile yapmaktadır. Örneğin, Bakanlık sitesine girdiğinizde,
karşınıza önce bir duyuru penceresi çıkmaktadır. Sizin duyurulara bakmak
için mi, yoksa mesela bir ihale sonucunu görmek için mi girdiğinizi bilmeden
yapılan bu zorlama, en basitinden bilgi ve hizmet ihtiyacının suistimali
anlamını taşır. Bu davranışı bir ticari veya şahsa ait sitede makul görmek
mümkündür; çünkü oraya girerken bunu kabul etmiş durumdasınızdır; beğenmez
iseniz bir daha girmeyiverirsiniz. Ama belediye, devlet, üniversiteler,
meslek örgütlerinin bu yola başvurması hoş görülemez.

Birçok elektronik posta ve sohbet kullanıcısı yeterli teknik bilgiye sahip
olmadığından, kendisine başkasından gönderiliyormuş süsü verilmiş iletiler
geldiğinde bunu ayırdedemez. Hatta, kimi zaman uzman kişilerin bile bunun
ayırdına varmayacağı ustalıkta iletiler alınabilir. Bu suç da zaten açık
olarak yasalarda bellidir: sahtekarlık ve / veya dolandırıcılık. Herkesi
iletişim uzmanı yapamayacağımız ortadadır, fakat en azından bu tür iletiler
olabileceğinin bilinmesini sağlamak için eğitime önem vermek gerekir.

YEPYENİ ALAN: ETKİLEŞİMLİ YAYINCILIK
------------------------------------
Normalde ağ yayıncılığında yayına erişene ilişkin bilgi toplanmasına gerek
yoktur. Her sayfa, kendi başına bir parçadır ve talep ettikçe gelecektir.
Fakat yayının yanında bazı işlemlere de olanak tanınmak istenirse, yayıncı
okurdan bazı bilgiler almak ve onlarla kendi için gerekli bilgileri
harmanlayarak bilgisayarınızda saklamak ve bir oturum açmak zorundadır.
'Cookie' denen bu bilgiler sizin bilgisayarınızda saklanırken, karşıda,
yayıncıda da, sizin oturumunuzu yönetecek bilgiler tutulacaktır. IP adresi,
bilgisayarınızın adı, modeli, iletişimde kullandığınız yazılımın adı,
sürümü, ekranınızın çözünürlüğü, varsa kullanıcı adınız da bunlar arasında
yer alır. Örneğin, THS de o anda kimlerin hangi sayfada gezinmekte olduğu
bilgisi oturum yönetimi sayesinde mümkün olmaktadır. Bu nitelikte çalışan
siteleri iletişim sitesi olarak değerlendirmek gerekir. Bir sitenin bu
nitelikteki bölümleri mutlaka yayın bölümlerinden ayrı olmalı ve iletişim
sırasında edinilen bilgilerin gizliliği ilkeleri açıklanmalıdır. Elbette,
o ilkelere de uyulmak gerekir; çünkü artık konu yayıncılıktan iletişime
geçmiştir. Buradaki iletişim sizinle bir başka şahıs arasında değil,
sizin makinenizin sitedeki makinede açmış olduğu bir oturum çerçevesinde
makineler arasında yürümektedir. Siz birşey ilettiğinizin ve sürekli
etkileşim içinde olduğunuzun farkında bile değilsinizdir; ama öyledir.

Bu tür sitelerde kimse aynı sayfaları görmez. Sadece kendisi başka sayfaya
bakmakta olduğundan değil, aynı sayfada farklı içerikler bulunacağı için.
Bu nedenle buna etkileşimli yayıncılık diyoruz. Bankacılık işlemleri ve
alışverişe yönelik siteler de bu gruba giriyorlar.

Bu konuda toplumun, özellikle de internetle yeni haşır neşir olanların
yeterince aydınlatılmaları kurallara bağlanmalıdır. Her etkileşimli
yayıncının bu bilgi gizliliği ilkelerine uyumu kontrol edilmeli,
gereğinde çok ağır cezalar uygulanmalıdır. Kimin, nasıl, ne aralarla
kontrol edeceği yasada açıkça yer almalıdır. Ayrıca, toplanan bilgilerin
neler olabileceği de açıkça sıralanmalıdır. Onların kullanım koşulları
yanında, üçüncü şahıslar nezdinde gizliliğin korunması için minimum
standartlar şart koşulmalı, uymayanlar hem cezalandırılmalı, hem de
yayından koşulları sağlayana dek men edilmelidirler.

Öte yandan, benim favorim olan siteler etkileşimli olanlar değil, okuruyla
bir yazışma e-posta adresi vererek veya doğrudan yazışma kutusu açarak
iletişime geçenlerdir. Onların sizden bilgi talep etmelerine gerek kalmaz,
iletişim biraz daha yavaş gelişir, fakat çoğu zaman iş görür ve yeterlidir.
Buna etkileşimli yayıncılık denemez.

Bence etkileşimli yayıncılığın yapılmasını kayıt altına almak (izin değil,
belgeleme yoluyla) ve sürekli denetlemekte yarar var. Çünkü internetin
getirdiği temel medyatik yenilik buradadır ve önceki medyalara ilişkin
suç tanımlarından çok farklı suçlara gebedir.

En basit, bilinen örnek, cookie'lerin çalınarak sizmişsiniz gibi sitede
işlem yapılabilmesidir. Cookie' ler sizin makinenizden, yoldayken, veya
sitenin bağlantı makinesinden çalınabilir ve onların yapısını çözebilir
bilgiye sahipseniz her istediğinizi yapmanız mümkündür.

Parolaların şifrelenmesi için kullanılan matematik yöntemler deliksiz
değildir. Şu anda kullanılmakta olan 128-bit şifreleme, olağan olasılık
koşulları altında şifrenin çözümü için yıllar gerektirecek niteliktedir,
ama bu bir olasılık meselesidir. Üstelik, şifreyi çözmektense şifreli
halini çalarak kullanmak da her zaman mümkündür. Bunun en basit yolu da
şifreli halini saklayan kuruluştaki dosyayı bir şekilde ele geçirmektir.

YEPYENİ ALAN: ETKİLEŞİMLİ REKLAMCILIK
-------------------------------------
Etkileşimli yayıncılığı tanımladıktan sonra, bu yeni ticari alanı
anlamamak mümkün değil. Aslında korkunç. Düşünün; herkese alışveriş
eğilimleri, yaş, cinsiyet, din, dil, ırk gibi ölçütlere göre ayrı
ayrı reklamlar yerleştirilmiş sayfalar hazırlanabiliyor ve bu tümüyle
otomatik olarak gerçekleştiriliyor. Hatta, bireyin hangi konulu site
ve sayfaları ziyaret ettiğine göre bile bu reklamlar (banner) farklı
ayarlanabiliyor.

Aslında olağan ağ yayıncılığında bile kesin kurallara bağlı olması
gereken bir konu, etkileşimli yayıncılıkta daha da önemli hale geliyor.
Bu tür reklamların miktarları, süreleri, biçimleri konusunda mutlaka
düzenlemeler yapılmalı. Bunların reklam olduklarının da ayırdedilebilir
olması şart koşulmalı.

Neden diye aklınıza bir soru geliyorsa, RTÜK' ün TV ve Radyo yayınları
için koyduğu kurallar ve gerekçelerine bakmanızı öneririm. Ağ yayını
çok daha etkin, ve karmaşık.

Ağ yayınlarında reklamın süresi değil, sayfada kapladığı alanla ilgili
kısıtlamalar daha önemli. Reklamın bir bağlantı olup olmadığının gözle
anlaşılır olması da şart. Ayrı pencerede çıkanların ise sayıları ve
engelleyici olup olmadıklarına dikkat edilmeli. Reklamdaki hareketli
unsurların yüzdesi ve nokta duyarlıklarına göre içlerinde bulunabilecek
renk sayısı da göz sağlığı açısından önem taşıyor.

Öte yandan, özellikle etkileşimli reklamlar ve bağlantıların çocukların
girebildiği halka açık yayıncılıkta yasaklanmasından başka çözümü pek
hayal edemiyorum. Eğer çocuklara özel bir site ise, reklamlara ayrılan
yerin de daha düşük tutulması gerekir.

KISMEN YENİ ALAN: ADRES ŞAŞIRTMACALARI
--------------------------------------
Digital santraller devreye girmeden önce, telefonumuzda bizi hangi
numaranın aradığını görme olanağımız yoktu. Bunun sonucu olarak da
birileri bizi başkasıymış gibi arayarak rahatlıkla aldatabilirdi
ve bizim onu bulmamızın olanağı yoktu. Şimdiyse arayanı görüyoruz,
fakat bu sefer de arayanı başkası gibi gösterme olanağı doğdu. Bu
da dijital çağın cilvesi.

Benzer bir durum IP adresleri için var. Çoğu durumda IP adresleri
rastgele veriliyor. Yani, modemim ADSL den bugün bağlanırken 3 numara
olarak bağlanıp, yarın 8 numarayı alabilir. Büyük hizmet sağlayıcılar
artık bu eşleşmeleri bilgisayarların fiziksel parçalarından, örneğin
modemlerden elde ettikleri üretici numaralarıyla izlemekte ve bunların
kayıtlarını tutmaktalar. Yani, benim modemim hangi gün, hangi saatte,
hangi IP ile ağa bağlandı, ne zamana kadar o IP yi kullandı, tutuyorlar.
Fakat elbette bunun bir zaman sınırı var ve delinmez değil. üstelik
her modem veya ethernet kartının bu bilgilerini almak mümkün olmuyor.
Hiçbirşey bulamasalar, telefon hattımın bilgisini kullanıyorlar. Fakat,
gayet açık ki, o hattan birkaç kişi bağlanabilir, hatta dışarıdan
girilebilir, santral digital olduğu için, uzaktan kontrol parametreleri
bilinirse, bir hat bir başka hatmış gibi gösterilebilir, vs, vs ...
insanın başı döner. Bütün bunlara ilaveten, digital dünyada her zaman
karşıdakinden bağlantı çalmak, yani bir başkasının iletişiminde pasif
dinleyici olarak yer alıp, o çıkar çıkmaz, oymuş gibi davranmak da
mümkün. Çoğu zaman altyapıdaki donanım ve yazılımların üreticileri
ülkemizde olmadığından, bu konular karanlıkta kalıyor, ancak
yeterince ilgili ve bilgililer veya aşırı derecede meraklılar bunları
her zaman becerebilirler. Yine de hizmet sağlayıcılarının ne tür
bilgileri, ne kadar süreyle saklamaları gerektiğini kurala bağlayıp,
altyapıda kullanılacak unsurlara ona göre standart getirmek gerekir.
Elbette bu tür unsurlar yönetmeliklerle düzenlenecek ayrıntılardır,
fakat yasada da en azından bunu kimin, nasıl yapacağı ve asgari
önkoşullarından söz etmek gerekir.

Şunu unutmamak gerek: bir suçu işleyeni bulmak her zaman beklendiği
kadar kolay olmayabilir, ilk hamlede saptanan ve suçlu sanılan kişi
masum olabilir. Eğer ortada en ufak kuşku doğuracak bir durum varsa,
işinin ustası kişilerden yardım almak gerekir. Bu hemen hiçbir zaman
tek bir kişi olmayacaktır. Ağ uzmanı, işletim sistemlerinin uzmanları,
programcılar, iletişim altyapısı uzmanlarına başvurmak gerekebilir.

VİRUS, WORM, SPY ÜRETME / YERLEŞTİRME / BULAŞTIRMA
--------------------------------------------------
Yukarıda kısmen değindiğimiz mülke zarar veren iletilerden öte,
sadece iletiyi alana değil, onun iletişim içerisine girdiği başka,
üçüncü şahıslara da ulaşan nitelikteki zarar verici unsurlara
virus diyoruz. Worm (solucan) larda bunların bir çeşidi.

virus bulaşmasını önlemeye çalışan yazılımlar aynı zamanda onların
bulaşmasına da engel olabiliyorlar. Bu nedenle, bunlardan zarar
görmek istemeyen herkes bir anti-virus yazılımını devreye soktuğunda
aynı zamanda başkalarına virus bulaştırma açısından da iyi niyetini
kanıtlamış sayılabilir. Ama elbette, bu yazılımlar hiçbir zaman
% 100 etkin değiller, tanım olarak da olamazlar zaten. İşte bu
nedenle, virusun size kimden bulaşmış olduğunu bilmeniz, o kişiyi
suçlu hale getirmeye yetmiyor. Ona bulaştıranı, ondan öncekini,
daha öncekini .... zinciri en başına dek izleyip, daha öteye
gidemeyeceğiniz kişiye varana dek geri gitmeniz gerekiyor. Orası
dünyanın öbür ucu olabileceği gibi, oradan geriye, sizin komşunuza
kadar dönebilir. Öte yandan, bunların bazıları posta sunucuları
veya yayıncıların site sayfalarına yerleşerek de bulaşabiliyorlar.
Bu da şu demek: zincirin ucunu asla bulamayabilirsiniz.

O halde, burada suçluyu bulmak işi uluslararası bir işbirliği ve
prosedürler çerçevesinde yürütülmek durumundadır. Maalesef, böyle
bir kuruluş yoktur. Olmamasının nedeni, bunun yüksek teknoloji
alanı olması ve bilgilerin paylaşılmak istenmemesidir. Hatta,
filmlere konu olduğu üzere, bazı virusların üreticileri özel
şirket veya devlet kuruluşlarında istihdam da edilmişlerdir.
Bir rivayete göre, bu şekilde ABD ye göç etmiş birçok rus ve
ukraynalı vardır. Öte yandan, anti-virus yazılımları pastası
her geçen gün hızla büyümektedir. Normalde işletim sisteminin
parçası olması gerekirken, ayrı bir ürün olarak geliştirilmek
tercih edilmektedir. Bu durumda, bizim gibi ülkelerin de virus
üretenlere kol kanat germemiz gerektiği ortaya çıkmaktadır.

Öte yandan, görünüşte hiçbir zarar vermediği için virus olarak
adlandırılmayan, fakat birçok programın içinde yer alan spy
(casus) parçacıklar da vardır. Bu casuslar size zarar vermez,
fakat sizin faaliyetleriniz hakkında bilgi toplayıp bir yerlere
yollar. Hatta, bunlardan biri işletim sisteminin kendi içinde
bulunur ve hata çıktığı zaman size mesajla sorarak 'hata raporu
göndereyim mi?' diye sorar. Windows için orijinali 'Dr.Watson'
adını taşıyan bu program nasıl yapılabiliyorsa, diğerleri de
benzer yöntemlerle üretilmektedir. Örneğin, yazıcınız aktifken
aynı zamanda ağa bağlıysanız, yazıcı sürücünüzün içinden bir
casus program parçacığının yazıcıyı kullanma istatistiklerini
yollamadığından asla emin olamazsınız. Nitekim, bunu yapma
yeteneğinde olduğunun göstergesi, hata durumunda çıkan yardımda
ileri yardım için bir internet sitesine bağlantı yapabilmesidir.

Elbette, aldığınız bir programda casus parçacığı olup olmadığını
bilemeyeceğiniz gibi, o programa sonradan birilerinin casus
parçacığı yapıştırmayacağını da bilemezsiniz. Bunları yakalamak
için yazılımlar var ise de, olağan bir kullanıcının onları
kullanmaya bilgisi yeterli değildir. Anti-virus programlarındaki
bazı koruma önlemleri sizi sonradan yapışanlara karşı koruyabilir,
fakat ilk kuruluşta içinde casus bulunanları algılaması hemen
hemen olanak dışıdır.

Her ne kadar ABD de bu tür girişimler yasaklanmış ve birileri
tarafından saptandığında ağır cezalar konmuş ise de, bize
ulaşan yazılımlarda bunların bulunmadığının, yani aynı kuralların
geçerliliğinin garantisi yoktur. Nitekim, yaklaşık on yıldır,
aynı yazılımın ABD de satılan sürümü ile ihraç edilenlerde
farklılıklar bulunmaktadır. Hatta, avrupa sürümü ile Türkiye
sürümlerinin bile farklı olduğu hallere rastlamaktayım.

Elbette, dış kaynaklı olanlara uygulamamız mümkün olamayacaktır,
fakat yerli üretim yazılımların bu konuda bağlı olması gereken
kuralların da açıkça belirtilmesi ve uyulmadıklarında ne ceza
verileceğinin bildirilmesi gerekir.

Casuslar bir yazılımın geliştirilmesi sırasında istenen bir
unsur olabilirler. Dolayısıyla, casusları kimin yazdığından
çok, faaliyetlerinden kimin menfaat elde ettiğine bakılmak
gerekir.

Solucanlar sitelerde programcı hataları sonucunda da ortaya
çıkabilir. Bu nedenle, hızlı geliştirme ve değişikliklere
tabi olan sitelerde kalıcı olup olmadıklarına bakmakta yarar
vardır.

Viruslar ise, şaka için yapılmış olsalar bile, olmadık bir
anda tehlikeli hale gelebilirler, bu nedenle asla müsamahaya
mahzar olmamalıdırlar.

ZEKA, EĞLENCE, EĞİTİM VE OYUN YAZILIMLARI
-----------------------------------------
Çok önemli, cazibesi inanılmaz derecede yüksek bir yazılım
alanı da eğlence yazılımlarıdır. Sanal gerçeklik boyutuna
erişeli beri iyice özen gösterilmesi gereken bir alan haline
gelmiştir.

Öncelikle, bu gruplardaki yazılımların mutlaka cinsiyet,
yaş, eğitim düzeyi açısından sınıflanmaları ve bu sınıfların
ayırdedici nitelikleri belirlenmelidir. Bunları da denetleme
görevi birilerince üstlenmeli, sınıf belgeleri verilmelidir.

Aslında gerçek oyuncaklar için de yapılması gereken bu
sınıflamanın bir sorumlusu var mıdır, bilemiyorum. Cezasını
da hiç duymadım. Ama iş bilgisayar ortamına gelince, zararı
çok daha büyük olabilir. Ağ üzerinden bu oyunları oynatan
sitelerin de aynı kurallara bağlanması ve etkileşimli
yayıncılıkla birlikte bu kurallara uymasının sağlanması
gerekir.

Tanımlar ve sınıflamalar ortada olmadan bu konuyu tartışmak
yersiz. Bu konu psikiyatristler, psikologlar, eğitimciler,
sosyologlardan oluşan bir akademik heyete verilmesi uygun
olacak bir görev olmalı. Güya YÖK diye bir kurum var, ve
bunlarla ilgilenmesi, yol gösterici raporları hazırlatması
gerekiyor, ama ortada görmüyorum.

Benim söyleyebileceklerimse çok kısıtlı. Öncelikle şunu
göz önüne almanız gerekir. Hiçbir oyuncak kendi başına
kararlar alarak çocukla etkileşim içerisinde oynamaz, fakat
bilgisayar oyunlarında insanlar, hayvanlar, canlı cansız
tüm nesneler oyuncuyla etkileşim içerisinde belli davranışlar
sergilerler. Bu durumu ne sinema filmlerinde, ne TV de
görmeyiz. Hatta, bir panayırdaki Keloğlan karakteri bile
bu oyunlar kadar etkili olamaz, çünkü çocuğun yanında
daima ebeveynleri ve başka çocuklar vardır. Halbuki
bilgisayar oyunlarında çocuk oyundaki ortam ve karakterlerle
başbaşadır. Üstüne üstlük, daha yüksek puanlar alarak oyunda
daha başarılı olmak istemekte, bu nedenle defalarca aynı
oyunu oynayabilmekte, alamadıkça da üzülmektedir.

Belki de en tehlikeli şeylerden biri, ağ üzerinden farklı
yaş gruplarından insanların birbirlerine karşı kişilik
temelli oyunlar oynamalıdır. Örneğin, 15 yaşında ve kötü
kişiliğe bürünmüş bir erkek çocuğu ile 5 yaşında, iyi
karaktere bürünmüş kız çocuğunun içinde bulunduğu bir
sanal evren düşünün. Ya da tam tersini. Ve ikisinin de
karşısındakinin kim olduğunu ne bildiğini, ne de gördüğünü ...

Bu konuda suçun tarifinden çok, düzenlemelerin neler olacağı
çok daha büyük öncelikler taşımaktadır. Yani, suçun önlenmesi
öncelikli gelmelidir.

SONUÇ VE ÖZET
=============
Görüldüğü üzere, bilişimi evrenin bir modeli gibi düşünmek
gerekir ve gerçek hayatta olabilecek herşey de bu sanal
evrende gerçekleştirilebilir.

İnternet ağıyla etkileşimli yönleri daha da ön plana çıkan
bilişim suçlarını suçun içeriği ve faili açısından da üç ana
grupta incelemek gerekir:
1. Zaten suç olan şeylerin sanal ortamda işlenenleri
2. Sanal ortama özgü suçlar
3. Bilişim çalışanlarının birbirlerine karşı bilişim
araçlarını kullanarak işledikleri suçlar

Son grubu ele almadım; çünkü o ilk ikisinden çok daha teknik
bir konu. Bence ilk grubu da zaten var olan yasalara bırakmak
yeterli. Ama bırakırken de; yargı mensuplarının konu hakkında
bilgilendirilmeleri gerek; ki hangi suçların önceki suç
tanımlarına eşlenmesi gerektiğine doğru karar verebilsinler.

Bu bakış açısıyla ele alındığında, bütün hukukçuların kendi
çalıştıkları alanlardaki bütün suçlar için bilişim yoluyla
işlenebilirliğin farkında olmaları gerektiği ortadadır. Yani,
sadece bilişim suçları yasası çıkartmak ve bu suçlar için
özel mahkemeler kurmak işi içinden çıkılmaz hale getirir.

Bilmiyorum, meslek kuruluşlarınız bu konularda ne gibi
faaliyetlerde bulunuyor. Yasa hazırlığından çok önce bu
hazırlıklara başlanması, fakültede dersler konması gerekirdi.
Ne kadar yapıldı, yapılıyor acaba?

Şu anda asıl anahtar nokta, yasamanın işin temel felsefesine
uygun hareket etmek isteyip istemeyeceği ve etken olan baskı
gruplarının istemleri gibi görünüyor.

Maalesef, bu konulardaki genel bilgi düzeyi, uygulama fakirliği
ve sistematik düşünme eksikliği, yasanın olması gerekenden
oldukça uzak çıkmasına yol açacak gibi görünüyor; en azından
bana öyle görünüyor.


Saygılarımla,