Teknik Olarak Aynı, Hukuken Zıt: Sızma Testi ve Siber Suç Arasındaki İnce Çizgi

Kurumsal müşterilerle yapılan görüşmelerde son dönemde sıkça karşılaşılan bir soru var: “Sızma testi uzmanlarının yaptığı işlemler teknik olarak bir siber saldırıya benziyorsa, bu hizmet nasıl yasal kabul ediliyor?” Bu soru, siber güvenlik sektörünün en temel paradokslarından birine işaret eder.

Gerçekten de bir sızma testi (pentest) uzmanı ile bir siber saldırganın kullandığı araçlar, yöntemler ve teknikler büyük ölçüde aynıdır. Her ikisi de sistemlerdeki zafiyetleri arar, güvenlik kontrollerini aşmayı dener ve açıklıkları kullanır. Ancak teknik benzerliğe rağmen sonuçları tamamen değiştiren tek bir unsur vardır: yetkilendirme.

Bu yazıda, Türk Ceza Kanunu perspektifinden bakarak yetkili sızma testi ile siber suç arasındaki hukuki ayrımı ele alacak ve profesyonel bir güvenlik hizmeti almanın neden yalnızca teknik değil, aynı zamanda hukuki bir zorunluluk olduğunu açıklayacağız.

Teknik Benzerlik, Hukuki Uçurum

Bir ameliyat masasındaki cerrah ile sokakta saldırıya girişen bir kişiyi düşünelim. Her ikisi de kesici alet kullanır, dokuya müdahale eder ve fiziksel bir etki yaratır. Ancak birinin eylemi tıbbi müdahale olarak kabul edilirken, diğerinin eylemi suçtur. Aradaki fark nettir: rıza ve meşru amaç.

Siber güvenlik alanında da durum benzerdir. Bir sızma testi uzmanı, yetkilendirildiği sistemlerde SQL Injection gibi teknikleri uygular, güvenlik açıklarını tespit eder ve bulgularını raporlar. Bir siber saldırgan da aynı teknikleri kullanır. Kritik ayrım noktası şudur: biri sistem sahibinin açık ve yazılı onayıyla hareket ederken, diğeri izinsiz ve hukuka aykırı şekilde erişim sağlar.

TCK Madde 243: Hukuki Çerçeve

Türk Ceza Kanunu’nun 243. maddesi, bilişim sistemlerine yetkisiz erişimi açıkça suç olarak tanımlar: “Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.”

Bu maddede belirleyici olan ifade “hukuka aykırı olarak” kavramıdır. Kanun, sisteme erişim eyleminin kendisini değil, bu erişimin yetkisiz olup olmamasını cezalandırır. Başka bir ifadeyle; sistem sahibinin rızası ve yetkilendirmesi varsa, aynı teknik eylem suç olmaktan çıkar ve meşru bir güvenlik denetimi haline gelir.

Gerçek Vakalarla Ayrım

İki gerçek vaka, bu ayrımı somut biçimde ortaya koyuyor. 2022 yılında İstanbul’da faaliyet gösteren bir yazılım geliştiricisi, bir e-ticaret platformunda tespit ettiği güvenlik açığını bildirmek amacıyla sisteme yetkisiz şekilde erişim sağladı. İyi niyetli olduğunu belirtmesine rağmen, firma şikâyette bulundu ve kişi TCK 243 kapsamında yargılandı. Mahkeme, yazılı bir yetkilendirme bulunmadığı için eylemi suç olarak değerlendirdi.

Aynı dönemde profesyonel bir sızma testi firması, benzer bir e-ticaret platformunda sözleşme kapsamında test gerçekleştirdi. Aynı zafiyetler tespit edildi, benzer teknikler kullanıldı. Ancak bu durumda imzalı hizmet sözleşmesi ve yetkilendirme belgeleri bulunduğu için hukuka aykırılık söz konusu olmadı. Sonuç: teknik eylemler aynıydı, hukuki sonuçlar tamamen farklıydı.

Sözleşmenin Hukuki İşlevi

Sızma testi hizmeti kapsamında imzalanan sözleşmeler ve yetkilendirme belgeleri, çoğu zaman sanıldığı gibi yalnızca ticari bir formalite değildir. Bu belgeler, çalışmanın hukuki meşruiyetini doğrudan belirleyen temel unsurlardır.

İlgilinin Rızası (Hukuka Uygunluk Sebebi)

Türk Ceza Hukuku’nda, normal şartlarda suç sayılabilecek bir fiilin belirli koşullar altında hukuka uygun hale gelmesini sağlayan “hukuka uygunluk sebepleri” bulunur. İlgilinin rızası bunlardan biridir. Dolayısıyla sistem sahibinin yazılı onayı, sızma testi uzmanlarının gerçekleştirdiği erişim işlemlerini hukuka aykırı olmaktan çıkarır ve yasal bir denetim faaliyetine dönüştürür.

Kapsamın Belirlenmesi ve Sınırların Çizilmesi

Sözleşmede belirtilen IP adresleri, domain’ler, uygulamalar ve ağ bileşenleri, yetkilendirmenin geçerli olduğu alanı net biçimde tanımlar. Bu sınırların aşılması, hizmeti sunan taraf açısından dahi ciddi hukuki riskler doğurabilir. Örneğin test sırasında müşterinin kullandığı üçüncü taraf bir bulut hizmetine erişilmesi, o hizmet sağlayıcısı açısından yetkisiz erişim anlamına gelebilir. Bu nedenle profesyonel yaklaşım, bu riskleri önceden tespit ederek kapsam dışında bırakmaktır.

Sorumluluk ve Muhataplık

Kurumsal bir hizmet sözleşmesi; yapılan tüm işlemlerin kayıt altına alınmasını, tarafların sorumluluklarının açıkça belirlenmesini ve olası hukuki süreçlerde net bir muhatap bulunmasını sağlar. Bu güvence, bireysel ve kayıt dışı çalışmalarda mümkün değildir.

Kapsam Disiplini: Profesyonelliğin Gerçek Ölçütü

Bir siber saldırgan için sınır yoktur. Erişebildiği her noktayı kullanır, sistemler arası geçişleri dener ve veri toplama sürecini kontrolsüz şekilde yürütür. Profesyonel bir sızma testi firmasının yaklaşımı ise bunun tam tersidir: kesin olarak tanımlanmış sınırlar içinde kalmak.

Kapsam neden bu kadar kritik? Modern kurumlar bulut servisleri, SaaS uygulamaları ve iş ortaklarının altyapılarını yoğun şekilde kullanır. Bu sistemlerin mülkiyeti çoğu zaman kuruma ait değildir. Kapsam dışına çıkan bir test, farkında olmadan başka bir kuruluşun bilişim sistemine yetkisiz erişim anlamına gelebilir. Bu durum hem üçüncü taraf yükümlülükleri açısından hem de hukuki meşruiyetin korunması bakımından kritik önem taşır.

Belirlenen sınırların ihlali, yapılan çalışmanın hukuka uygunluk zeminini ortadan kaldırabilir. Bu durum hem cezai sorumluluk hem de tazminat talepleri açısından risk yaratır. Bununla birlikte, hangi sistemlerin test edileceği, hangi saatlerde çalışma yapılacağı ve kritik altyapıların nasıl korunacağı sözleşme ile önceden belirlenir. Bu yaklaşım, iş sürekliliğini korurken testin etkinliğini artırır.

Belgesiz Hizmet Almanın Gerçek Maliyeti

Maliyet veya hız kaygısıyla kurumsal olmayan kaynaklardan sızma testi hizmeti almak, çoğu zaman öngörülemeyen sonuçlara yol açar. 2023 yılında Ankara’da yaşanan gerçek bir vaka bu durumu somut biçimde ortaya koyuyor.

Orta ölçekli bir yazılım şirketi, bütçe kısıtları nedeniyle tanıdık bir “siber güvenlik meraklısı” ile gayri resmi şekilde çalıştı. Kişi sistemi test etti, bir rapor sundu ve süreç tamamlandı. Üç ay sonra şirketin müşteri veritabanı karanlık ağda satışa çıkarıldı. İlgili kişiye ulaşılamadı. Herhangi bir sözleşme, NDA veya hukuki belge bulunmadığı için sorumluluk ispat edilemedi.

Sonuçlar ağır oldu: KVKK kapsamında 500.000 TL idari para cezası, müşteri davalarından doğan tazminat yükümlülükleri, ciddi itibar kaybı ve müşteri kayıpları yaşandı. Şirket faaliyetleri durma noktasına geldi. Toplam maliyet yaklaşık 2,5 milyon TL’ye ulaştı. Başlangıçta tasarruf olarak görülen yaklaşım, şirketi neredeyse yok olmanın eşiğine getirdi.

Profesyonel Hizmetin Sağladığı Güvenceler

Kurumsal bir sızma testi firmasıyla çalışmak yalnızca teknik bir rapor almak anlamına gelmez; aynı zamanda kapsamlı bir hukuki ve operasyonel güvence sağlar. Tüm test adımlarının kayıt altına alınması ve izlenebilirlik, hizmet sözleşmesi, NDA ve tüzel kişilik güvencesi, ISO 27001, PCI DSS, KVKK gibi düzenlemelere uygun raporlama imkanı sunar. Bu belgeler denetimlerde, sigorta taleplerinde ve hukuki süreçlerde kullanılabilecek nitelik taşır. Bunun yanı sıra süreklilik, referanslar ve profesyonel sorumluluk bilinci de kurumsal hizmetin ayrılmaz parçalarıdır.

Sonuç: Güvenlik, Teknik Olduğu Kadar Hukuki Bir Meseledir

Sızma testi yaptırmak yalnızca sistemlerdeki açıkları bulmak değildir. Aynı zamanda kurumsal hukuki riskleri yönetmek, düzenleyici gerekliliklere uyumu sağlamak, olası bir ihlal durumunda gerekli özeni gösterdiğinizi ispatlayabilmek ve itibarı ile iş sürekliliğini korumaktır.

Bu nedenle asıl soru “Sızma testi yaptıralım mı?” değil, “Bu hizmeti kiminle ve hangi hukuki çerçevede alıyoruz?” olmalıdır. Çünkü teknik olarak benzer görünen iki seçenek vardır: biri sizi ciddi hukuki risklere sürükleyebilir, diğeri ise bu risklere karşı koruma sağlar. Aradaki fark, çoğu zaman tek bir imzada gizlidir. Ve bu imza, kurumunuzun geleceğini belirleyebilir.

KAYNAKÇA

Türk Ceza Kanunu (5237 Sayılı Kanun), Madde 243 – Bilişim Sistemine Girme
Türk Ceza Kanunu (5237 Sayılı Kanun), Madde 26 – Hakkın Kullanılması ve İlgilinin Rızası
Kişisel Verilerin Korunması Kanunu (6698 Sayılı Kanun)
ISO/IEC 27001:2013 – Bilgi Güvenliği Yönetim Sistemi
ISO/IEC 27002 – Bilgi Güvenliği Kontrolleri
Payment Card Industry Data Security Standard (PCI DSS) v4.0
NIST Special Publication 800-115 – Technical Guide to Information Security Testing and Assessment
ENISA – Penetration Testing Guidelines
OWASP Penetration Testing Guide

Aynı Araçlar, Farklı Sonuçlar: Sızma Testinin Hukuki Gerçeği