Günümüzde fidye yazılımları, siber suçluların kişilerin mülkiyetinde bulunan bilgisayar, telefon veya daha faklı teknolojik aletlerinde yer alan elektronik verileri fidye olarak elinde/ellerinde bulundurup para karşılığında bu bilgileri iade etmek şeklinde kullanılmaktadır. Siber suç
Böyle bir durum bir kurum ya da şirket düşünüldüğünde maddi kaybın ötesinde itibar kaybına da yol açarak müşteri ve pazar kaybına yol açmaktadır.
Fidye virüsler, yağmacı virüs şeklinde de ifade edebileceğimiz bir mantıkta çalışırlar ve bulaştığı sistemlerde, sistem kullanıcıları için değer ifade eden verileri erişilmez kılmak suretiyle menfaat elde etmeyi hedeflerler. Siber suç
Fidye yazılımlar vereceği zarar kapsamında değerlendirilerek en önemli çevrimiçi tehditlerden biri kabul edilmiştir. Bireyleri hedef alarak ortaya çıkmış olan fidye yazılımlar devamında şirketleri hedef alarak yayılmıştır. Fidye yazılımlar aynı zamanda en kârlı yazılımlar olarak değerlendirilmektedir.
Fidye Yazılımı Nasıl Bulaşır? ( Siber Suç )
Zararlı yazılımlar mağdurlara genellikle masum bir e-posta eki şeklinde veya içeriği değiştirilmiş bir internet sitesi aracılığıyla ulaşmaktadır. Mağdurların verilerine erişim için bu zararlı e-posta eki ya da internet linkine bir kere girmeleri yeterli olacaktır. Bu saatten sonra hackerların onayı olmadan verilere erişim ise imkansızdır.
Kötü niyetli bir şekilde hazırlanan bağlantıya tıklanması ya da zararlı bir dosyanın indirilmesi de fidye yazılımın teknolojik aletlere ulaşmasına neden olmaktadır. Dosyalar pdf, docx vb. dosyalar şeklinde olabilir.
Son dönemde özellikle kripto paralara erişim için kullanılan bu yöntem birçok kişiyi maddi zarara uğratıyor. Kripto para mecrasının giderek büyümesi sorunları ve hukuksuz davranışları da beraberinde doğuruyor. Kripto paralarda yaşanan hukuksuz davranışlara dair yazdığımız yazımıza buradan ulaşabilirsiniz.
Fidye Yazılımı Türleri ( Siber Suç )
Şifreleyici Fidye Yazılımı
Şifreleyici fidye yazılımında hackerlar sadece belirli dosyalara şifre koymaktadır. Şifrenin kaldırılması, şifrelenen belgenin tekrardan mağdur tarafından erişilebilir olması için fidye ödenmesi gerekmektedir. Siber suç
Kitleyici Fidye Yazılımı
Kitleyici fidye yazılımı ise şifreleyici fidye yazılımının tam tersi olarak tüm sistemin şifrelenmesidir. Bu yazılımda kilidin açılması için genellikle kripto para ödemesi kabul edilmektedir.
Büyük Etki Alanı Bulunan Fidye Yazılımları
- Petya
- TeslaCrypt
- CryptoLocker
- Samsam
- Ryuk
- WannaCry
Fidye Yazılımlara Karşı Önlemler
Fidye yazılımlara karşı korunmanın birinci kıstası bilinmeyen bağlantılara tıklanmamasıdır. Fidye yazılımların en çok bulaşan şekli kimlik avı şeklindedir. Kimlik avı genellikle e-posta aracılığıyla gönderilen eklerde bulunan zararlı içeriklerle gerçekleşmektedir. Şüpheli e-postaların gelişini engellemeye yönelik oluşturulan filtreleme yazılımlarının kullanılması bu noktada etkili olacaktır. Siber suç
Bir diğer korunma yöntemi ise verilerin sürekli yedeklenmesidir. Böylece özellikle şirketler için ciddi zararlar yaratan fidye yazılımların etkisi neredeyse sıfıra inecektir.
Fidye Yazılımların Hukuki Boyutu
Fidye yazılımların yukarıda anlattığımız şekilde gerçekleşmesi ve giderek yayılması hukukun bu duruma müdahale etmesini doğurmuştur. Ceza hukuku kapsamında değerlendirilen fidye yazılımlar Türk Ceza Kanunu’nun 245. maddesinin a bendinde belirtildiği üzere değerlendirilebilir. Siber suç
Bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun; münhasıran bu Bölümde yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden, ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran kişi, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adli para cezası ile cezalandırılır (TCK, m.245/a).
Yargıtay Kararları
Mahkememizde görülmekte olan Zayi Belgesi Verilmesi davasının yapılan açık yargılaması sonunda,
GEREĞİ DÜŞÜNÜLDÜ:
TALEP: Davacı vekili tarafından sunulan dava dilekçesinde özetle; 27.10.2020 saat 16.41 sularında Müvekkil Şirket …’ın 9 adet serverına ve 25 adet kullanıcı bilgisayarına eş zamanlı olarak, virüs gönderilmek suretiyle siber saldırı düzenlendiği tespit edildiğini, müvekkili şirket tarafından tüm bilgisayarların ve sunucuların kullanılamaz duruma geçmesi ile tespit edilen siber saldırı sonrasında hemen gerekli önlemler alınmaya çalışılmışsa da, bazı önlenemez sonuçlar doğduğunu, bahsi geçen siber saldırının öğrenilmesinin ardından … Cumhuriyet Başsavcılığı’na siber suç duyurusunda bulunulduğunu,.siber saldırı sonrası, müvekkil şirketin Ocak 2015, Haziran 2015, Kasım 2015, Kasım 2018 ve Nisan 2019 dönemlerine ilişkin e-defter ve berat dosyalarının gerçekleşen siber saldırı sonucunda zayi olduğu 05.11.2020 tarihi itibariyle kesin olarak tespit edildiğini, müvekkil şirketin siber saldırı sonucu zayi olan evrakları halen saklama yükümlülüğü altında bulunduğu ve fakat müvekkil şirketin elinde olmayan sebeplerle zayi olan evraklar bakımından gelecekte herhangi bir sorumluluğu doğmaması adına söz konusu yukarıda sayılı dönemlere ilişkin belgelerin zayi olduğunun tespit edilerek ilgili belgelere ilişkin olarak zayi belgesi verilmesini talep etmiştir.
DELİLLER : Gelir İdaresi Başkanlığı’ndan gelen Ocak 2015, Haziran 2015, Kasım 2015, Kasım 2018 ve Nisan 2019 dönemlerine ilişkin e-Defter beratları, … Cumhuriyet Başsavcılığı’nın 2020/… CBS Sorusturma Dosyası UYAP sureti, bilirkişi raporu ve tüm dosya kapsamı.
Davacı şirket yetkilileri tarafından siber saldırıyla ilgili olarak suç duyurusunda bulunulduğu, şikayet üzerine … Cumhuriyet Başsavcılığı’nın 2020/… nolu dosyası ile soruşturma başlatıldığı anlaşılmıştır.
Gelir İdaresi Başkanlığı Uygulama ve Veri Yönetimi Daire Başkanlığı’nın … Anonim Şirketi’ne ait Ocak 2015, Haziran 2015, Kasım 2015, Kasım 2018 ve Nisan 2019 yıllarına ait yevmiye-kebir defterleri ve yevmiye kebir beratlarının elektronik ortamda zayi olup olmadığı, bu belgelerin ve defterlerinin örneklerinin kurumda bulunup bulunmadığı hususlarındaki müzekkere yanıtı mahkememiz dosyası arasına alındığı görülmüştür.
Gelir İdaresi Başkanlığı, davacının elektronik defterlerinin yedeklenmesi için alt yapısının kurulup kurulmadığı, davacı şirkete ait Ocak 2015, Haziran 2015, Kasım 2015, Kasım 2018 ve Nisan 2019 yıllarına ait yevmiye defteri, yevmiye beratı, kebir defteri ve kebir beratının zayi olup olmadığı, ikincil örneklerinin şirket nezdinde bulunup bulunmadığı hususlarındaki yazılan müzekkereye yanıt verildiği, müzekkere yanıtının dosya arasına alındığı görülmüştür.
DELİLLERİN DEĞERLENDİRİLMESİ VE GEREKÇE:
Dava, davacının bilgisayar sisteminde oluşan ve e-defter sistemine kayıtlı defterlerin zayi olduğu iddiasıyla TTK m.82/7 uyarınca zayi belgesi verilmesi istemine ilişkindir.
Mahkememizce verilen 29.01.2021 ve 26.03.2021 tarihli ara kararlar uyarınca, davacının talep ettiği belgeler hakkında zayi belgesi verilip verilemeyeceği konusunda rapor düzenlenmek üzere bilirkişi incelemesi yaptırılmasına karar verilmiş olup, Mali Müşavir ve Elektronik Haberleşme Mühendisi tarafından ibraz edilen 16/06//2021 tarihli raporda özetle; “Fidye Yazılımı (Ransomware) Saldırısı server , bilgisayar, ipad , telefon gibi üzerinde veri saklanan sabit ve mobil bilişim cihazların saldırgan tarafından çok güçlü algoritmalar ile şifrelenerek , verilerin ulaşılamaz ve cihazların kullanılamaz hale getirilmesi ve cihazın sahibinden şifreyi çözecek kod için fidye talep edilmesiyle gerçekleştiği, diğer zararlı yazılımlardan farklı olarak ele geçirilen verilere zarar verilmeyerek dosyaların uzantıları değiştirilerek çok güçlü bir şekilde şifrelendiği, saldırı esnasında dosyalarda yapılan değişikliklerin geri alınması için herkes tarafından takip edilemediği bilinen ödeme sistemleri ile kazanç talebinde bulunulduğu, en sık rastlanan bulaşma şeklinin kimlik hırsızlığı , e-postalarının açılması yada kötü amaçlı program içeren bir web sitesinin ziyaret edilmesi sonucunda oluştuğu, söz konusu davada dosya ve klasörlerin uzantılarının değiştirilerek şifrelenmiş olduğu , şifrelerin kırılarak verilerin kullanılır hale getirilmesi için fidye (para) talebinde bulunulduğu bu durumun fidye yazılımı saldırısı yapıldığını ortaya koymakta olduğu, davacı taraf dilekçesinde Ocak 2015, Haziran 2015, Kasım 2015, Kasım 2018 ve Nisan 2019 dönemlerine ilişkin e-defter ve berat dosyalarının zayi olduğunu belirtmiş olup, Teknik Uzman Mütalaasında sözkonusu e defter kayıtlarının bulunduğu server, klasör veya dosya hakkında bilgi verilmediği görülmüş olup; bunların bilgi ve belgelerinin dosyaya eklenmesinin gerektiği, belirtilen bilgi ve belgeler dosyaya eklenmek suretiyle zayi belgesi verilmesinde teknik açıdan bir engel olmadığı yönündeki görüş ve kanaatlerimizi Sayın Mahkemenin takdirlerine saygı ile arz ederiz. ” sonuç ve kanaatine varılmıştır.
Bir tacirin saklamakla yükümlü olduğu belgeler sayılmış buna göre, TTK’nın 82. maddesinin 1.fıkrasında;
Her tacir;
a) Ticari defterlerini, envanterleri, açılış bilançolarını, ara bilançolarını, finansal tablolarını, yıllık faaliyet raporlarını, topluluk finansal tablolarını ve yıllık faaliyet raporlarını ve bu belgelerin anlaşılabilirliğini kolaylaştıracak çalışma talimatları ile diğer organizasyon belgelerini,
b) Alınan ticari mektupları,
c) Gönderilen ticari mektupların suretlerini,
d) 64 üncü maddenin birinci fıkrasına göre yapılan kayıtların dayandığı belgeleri,
sınıflandırılmış bir şekilde saklamakla yükümlüdür.” şeklindeki düzenlemeyle hüküm altına alınmıştır. TTK’nın 82. maddesinde neler için zayi belgesi verilmesi istenebileceği tahdidi olarak gösterilmemiş, bir tacirin saklamakla yükümlü olduğu defter ve belgelerden söz edilmiştir. Yine TTK’nın 82. Maddesinin (7) numaralı fıkrasında, “Bir tacirin saklamakla yükümlü olduğu defterler ve belgeler; yangın, su baskını veya yer sarsıntısı gibi bir afet veya hırsızlık sebebiyle ve kanuni saklama süresi içinde zıyaa uğrarsa tacir zıyaı öğrendiği tarihten itibaren onbeş gün içinde ticari işletmesinin bulunduğu yer yetkili mahkemesinden kendisine bir belge verilmesini isteyebilir,” hükmü düzenlenmiştir.
Anılan yasa maddesinde zayi belgesi verilmesini gerektiren afet halleri sınırlı şekilde sayılmamış ise de zayi belgesi verilebilmesi için maddede belirtilenler gibi hallerden birinin olayda mevcut olması ve defterlerin zayi olmasında kusur ve sorumluluğunun bulunmaması, tedbirli bir tacir gibi davranmasına rağmen zayi olayına engel olamamış durumda olması gerekir. Ticari defterlerin elektronik ortamda tutulması halinde de aynı düzenleme geçerlidir.
Elektronik Defter Genel Tebliği’nin 4.4.1.e) maddesine göre e-defter dosyaları ile bunlara ilişkin berat dosyalarının ikincil kopyalarının, gizliliği ve güvenliği sağlanacak şekilde e-defter saklama hizmeti yönünden teknik yeterliliğe sahip ve Başkanlıktan bu hususta izin alan özel entegratörlerin bilgi işlem sistemlerinde ya da Başkanlığın bilgi işlem sistemlerinde 1/1/2020 tarihinden itibaren asgari 10 yıl süre ile muhafaza edilmesi zorunludur. Tebliğin 7.1. Maddesine göre ise, e-defter tutanlar, Vergi Usul Kanununda belirtilen “mücbir sebep” halleri nedeniyle e-defter veya beratlarına ait kayıtlarının bozulması, silinmesi, zarar görmesi veya işlem görememesi ve e-defter ve berat dosyalarının muhafaza edildiği e-defter saklama hizmeti veren özel entegratör kuruluşlardan veya Başkanlıktan ikincil örneklerinin temin edilemediği hallerde, söz konusu durumların öğrenilmesinden itibaren tevsik edici bilgi ve belgeleri ile birlikte 15 gün içinde ticari işletmesinin bulunduğu yetkili mahkemesine başvurarak kendisine bir zayi belgesi verilmesini istemelidir.
Dosyaya sunulu 06.11.2020 tarihli uzman mütalaasında özetle; … .isimli E-posta iletişim hizmetinin kullanıldığı sunucunun şifreleme saldırısına maruz kalması sonucu, şirketin kullanmakta olduğu E-posta hizmetinin durduğu, sunucu içerisinde yer alan dosya ve klasörlerin uzantılarının değiştirilerek şifrelendiği, tekrar kullanılamaz hale getirildiği, tekrar kullanılabilmesi için sunucunun bir çok konumuna “… ” isimli ve içeriğinde şifrelenen dosyaların tekrar kullanılabilmesi için iletişime geçilecek adres bilgilerinin yer, … isimli sunucuda veri tabanı dosyalarının yer aldığı, bu dosyalar içerisinde Muhasebe ve Yönetim (ERP) yazılımlarının çalıştırıldığı, saldırı sonucunda bu sistemlerin işlevsiz kaldığının görüldüğü, … .isimli sunucu İçerisinde şirket içerisinde kullanılan dosyaların paylaşımlarının yapıldığı verilerin yer aldığı, gerçekleştirilen saldırı sonucunda ortak paylaşımda bulunan klasör ve dosyaların içeriklerine ulaşılamaması sebebiyle sunucunun faaliyetini yerine getiremediğinin görüldüğü, …. isimli sunucu içerisinde şirkette yer alan dijital verilerin yedeklerinin yer aldığı, saldırı sonucunda bu verilerin de şifrelendiği ve kullanılamaz hale getirildiğinin tespit edildiği, ilk incelemelere göre; Saldırgan tarafından gerçekleştirilen atak sonucunda sunucularda bulunana Olay günlüklerinin (Log Kayıtları) silindiği, sunucular ve bilgisayarlar içerisinde bulunan klasör ve dosyalarının uzantıları değiştirilerek ve şifrelenerek kullanılamaz hale getirildiği, klasör ve dosyaların tekrar kullanıma açılabilmesi için Fidye talebinde bulunulduğu, şifrelenen dosyaların çözümlenebilmesi mevcut zaman dilimi içerisinde mümkün olmayıp, ilerleyen zaman içerisinde (yaklaşık 1 veya 2 yıl) şifreleme yöntemi üzerinde yapılacak araştırmalar ve incelemeler sonucu mümkün olabilir, görüşü bildirildiği görülmüştür.
Gelir İdaresi Başkanlığından gelen müzekkere cevabı ve bilirkişi raporunda da anlaşılacağı üzere; E-defter ve mali kayıtların tutulduğu disk üzerinde yapılan incelemeler neticesinde; Ocak 2015, Haziran 2015, Kasım 2015, Kasım 2018 ve Nisan 2019 yıllarına ait onaylanmış (GİB sistemine girilmiş) e-defter kayıtlarının (beratların) mevcut olduğu ancak kayıtların ham halinin mevcut olmadığı gözlendiği, e-defter kayıtlarının yedeği alınmadığından ve yedekleme altyapısı kurulmadığından işbu kayıtlara erişimin artık mümkün gözükmediği tespit edilmiştir.
Mahkememizce yapılan yargılama, taraf beyanları, toplanan deliller ve tüm dosya kapsamına göre;Davanın e-defter sisteminde kayıtlı bulunan ticari kayıtların zayi olduğunun tespiti istemine ilişkin olduğu, davacının bilişim korsanlarının bilgisayar sistemlerine erişim sağlanarak ticari kayıtlarını ulaşılmaz hale getirdiğini, davacı tarafından kendisine zayi belge verilmesi için zıyaı öğrendiği tarihten itibaren 15 günlük yasal süre içerisinde dava açıldığı, mahkememizce Gelir İdaresi Başkanlığına müzekkere yazılarak zayi olduğu iddia edilen ticari defterlerin ikincil kayıtlarının bulunup bulunmadığının sorulduğu, müzekkere cevabında ticari defterlerin ikincil kayıtlarının bulundurma zorunluluğunun 01.01.2020 tarihinden sonra geçerli olduğunu, davaya konu ticari defterlerin 2020 yılı öncesi olması nedeniyle ikincil kayıtlarının bulunmadığının anlaşıldığı bu haliyle davacının Ocak 2015, Haziran 2015, Kasım 2015, Kasım 2018 ve Nisan 2019 yıllarına ait yevmiye defteri, yevmiye beratı, kebir defteri ve kebir beratının elektronik ortamda zayi olması sebebiyle kayıtlara ulaşılamadığı, Gelir İdaresi Başkanlığı tarafından mahkememize verilen yanıtta, davacının Ocak 2015, Haziran 2015, Kasım 2015, Kasım 2018 ve Nisan 2019 yıllarına ait yevmiye ve kebir beratlarının sisteme yüklendiğinin bildirildiği, mahkememizce alınan bilirkişi raporunda ve dosyaya sunulan uzman görüşünde defterlerin zayi olmasında davacının bir kusurunun tespit edilemediği, Elektronik Defter Genel Tebliği m.7’de belirtilen mücbir neden halinin somut olayda mevcut olduğu, mahkememizce karar verilmesinin belgelerin yeniden oluşturulmasına olanak sağlayacağı anlaşılmakla; davanın kabulüne, davacının Ocak 2015, Haziran 2015, Kasım 2015, Kasım 2018 ve Nisan 2019 yıllarına ait ticari defterlerin elektronik ortamda zayi olması nedeniyle Gelir İdaresi Başkanlığınca yeniden oluşturulması için davanın kısmen kabul edilerek e-defterler için zayi belgesi verilmesine karar vermek gerekmiş, e-beratların ikincil kayıtları Gelir İdaresi Başkanlığında mevcut olduğu anlaşıldığından e-beratlar yönünden reddine karar vermek gerekmiş aşağıdaki şekilde hüküm oluşturulmuştur.
KARAR : Gerekçesi yukarıda açıklandığı üzere;
1-Davanın KISMEN KABULÜ ile, 6102 sayılı TTK md. 82/7 uyarınca davaya konu edilen; … ANONİM ŞİRKETİ’ne ait; Ocak 2015, Haziran 2015, Kasım 2015, Kasım 2018 ve Nisan 2019 yıllarına ait E-DEFTERLERİN ASILLARININ ZAYİ OLDUĞUNUN TESPİTİNE, yukarıda ayrıntısı yazılı belgelere ilişkin, talep eden şirkete ZAYİ BELGESİ VERİLMESİNE,
2-Gelir İdaresi Başkanlığı’nda bir örneklerinin bulunduğu anlaşıldığından Ocak 2015, Haziran 2015, Kasım 2015, Kasım 2018 ve Nisan 2019 yıllarına ait E-DEFTER BERATLARI yönünden DAVANIN REDDİNE,
3-Karar tarihinde yürürlükte bulunan Harçlar Kanunu uyarınca hesaplanan 80,70 TL harcın, peşin alınan 54,40-TL’den mahsubu ile eksik 26,30-TL harcın davacıdan tahsili ile Hazineye gelir kaydına,
4-Davacının yaptığı yargılama giderlerinin üzerinde BIRAKILMASINA,
5-HMK 120.maddesi gereğince; davacı tarafından yatırılan gider avansının kullanılmayan kısmının karar kesinleştiğinde ve talep halinde davacıya İADESİNE,
Dair, davacı vekilinin yüzüne karşı gerekçeli kararın tebliğinden itibaren iki hafta içerisinde mahkememize ya da mahkememize gönderilmek üzere başka yer mahkemesine istinaf dilekçesi sunulmak suretiyle, … Mahkemesi nezdinde İSTİNAF kanun yolu açık olmak üzere karar verildi (Yargıtay 20. Asliye Ticaret Mahkemesi Karar: 2022/415).