Davim Nedir?

Elektronik delil, bir elektronik araç üzerinde saklanan veya bu araçlar aracılığıyla iletilen soruşturma açısından değeri olan her türlü veri ve sayısal ortamlardır. Elektronik deliller, bilginin fiziksel ortamdan elektronik ortama geçmiş hali olarak düşünülebilir. Bilgisayar tabanlı elektronik deliller belgesel delillere uygulanan aynı kurallara ve aynı kanunlara tabidir. Bu bakımdan Elektronik deliller belgesel delillerle geniş çerçevede yaklaşıldığında ilk aşamada aynı kurallar ve aynı kanunlara tabi olsalar da, delillerin araştırılması, tespit edilmesi ve sunulması yönünden uygulanacak yöntemlerin farklı olması sebebiyle diğer delillerden ayrıca kendine özgü yaklaşım prensipleri mevcuttur. Bu yaklaşım prensipleri arasında en önemlisi elde edilen elektronik delilin incelemeciye verilmeden önce adli kopyasının alınması ve incelemecinin bu kopya üzerinde incelemeyi yapmasıdır.

Adli bilişim alanında yapılan incelemelerde tüm inceleme ve analiz faaliyetleri olaya ait delillerin birebir kopyaları üzerinde yapılmaktadır. Birebir kopya delilin üzerindeki bütün verilerin kopyasının alınması anlamına gelmektedir. Elektronik delil üzerinde bütünlüğün korunması, delil karartma yapılmadan mahkemeye sunulması önemli bir detaydır. Bu tür müdahaleler mahkeme sürecinin gidişatını değiştirecek bir hamledir. Bütünlüğün sağlanması ve bundan emin olmak incelemeciye alınan adli kopya teslim edilmeli, incelemeci bu kopya üzerinde inceleme yapmalıdır. Adli bilişim uzmanları incelemelerini farklı yazılım ve donanımlar kullanarak gerçekleştirmektedir. Yazılımlara; Encase Forensics, Forensic Tool Kit, ProDiscover, SMART, The Sleuth Kit/Autopsy, donanımlara ise; Tableau cihazları, Voom Technology cihazları, Solo-III kopyalama cihazları örnek olarak verilebilir. Verilen örneklerde yazılımlar ve donanımların kendi aralarında bir birlerinden ayıran avantajları ve dezavantajları vardır. Adli bilişim uzmanları hem olay yerinde hem de laboratuvar ortamında çok çeşitli kopyalama donanımları kullanabilmektedir. Bu donanımlardan bazıları doğrudan analiz bilgisayarına bağlanabilmekte bazıları ise Firewire veya USB kapıları aracılığı ile işlem görmektedirler. Donanım olarak verilen örneklerin en büyük avantajı taşınabilir ve hızlı olmasıdır. Olay yerinde kullanılması rahat ve işlem hacminin çoğunluğu imaj alma işlemine adanır. Yazılım olarak verilen örneklerden bazıları ücretsiz yazılımlar olmasına rağmen performans açısından dezavantajlıdır.

Güvenli veri silme noktasında mevzuatta belirtilen yok etme yöntemi, söz konusu kişisel verinin gerek fiziki gerekse elektronik ortamdaki tüm kopyalarının, herhangi bir teknolojik imkân ile bir daha erişilemeyecek şekilde silinmesi işlemidir. Verinin yer aldığı ortama göre yok etme işleminde kullanılan teknikler farklılaşmaktadır. Örneğin:
Kâğıt ortamı için kâğıt imha makinaları ile belgelerin çapraz şekilde kırpılması (birçok ülke şerit şeklinde kırpılma işlemini, parçaların bir araya getirilerek tekrar veriye ulaşılabileceği gerekçesi ile kabul etmemektedir),
Sabit disk ve taşınabilir bellek gibi ortamlarda, verilerin silinmesi ve akabinde bu verilerin diskte konumlandırıldığı alana standartlarda ve mevzuatta belirtilen teknik yöntemlerle rastgele olarak sıfır ya da bir’den oluşan verilerin (örneǧin ülkemiz mevzuatına göre en az 7 kez) yazılarak (disk wipe) başka yöntemlerle verinin kurtarılmasının ve yeniden erişilmesinin engellenmesi,
Bulut ortamı için, veriler bulut ortamında silindikten sonra, şifreleme anahtarlarının tüm kopyalarının yok edilmesi,
Arızalanmış, hurdaya ayrılacak ya da kurumdan tasfiye edilecek elektronik cihazlarda depolama birimlerinin yüksek manyetik alana tâbi tutularak (de manyetize işlemi) verilerin bulunduğu ortamın manyetik özelliklerinin bozulmasının sağlanması ya da imha edilmesi (yakılması, metal olarak öğütülmesi ya da eritilmesi vb.) gibi yöntemler ile yok etme işlemi gerçekleştirilebilmektedir.

Adli kopya alma ve güvenli veri silme süreçlerinde kullanılan donanımlar yüksek maliyetlidir. DAVİM'de ARM (Advanced RISC Machine) mimariye sahip geliştirme kartları üzerinde adli imaj alma ve güvenli veri silme donanımının geliştirmeyi ve yerli üretim olarak maliyetin düşürülmesini planlıyoruz.

Dijital delillerin incelemesinde oldukça önemli bir öneme sahip olan bu donanım kolluk kuvvetleri, bazı kamu kurumları ve özel adli bilişim laboratuvarları, güvenli veri silme yapan bazı bilişim firmalarında kullanılmaktadır. Tüm bu durumlar ve piyasadaki diǧer donanım maliyetleri göz önünde bulundurulunca bu alanda harcanan para yüksek tutarlardadır. Bu süreçlerde taşınabilir ve düşük maliyetli donanımlar üretmek kolluk kuvvetleri, kamu kurumları ve özel şirketler açısından büyük bir önem taşımaktadır. Bu doǧrultuda DAVİM ile ülkemizde bu tarz çalışmaların başlaması için bir fırsattır.

Neden DAVİM

Sayısal ortamlar ve bilgi sistemleri kullanımı toplumsal hayat ve iş dünyasının vazgeçilmezi haline gelmiştir. Insan yaşantısının ve etkileşimlerinin sayısallaşması ile sayısal ortamlardaki bir kısım olay ve etkileşimler de hukuki anlamda suç kabul edilmeye başlamıştır. Bu alanda ilk adli uygulamalara dünya genelinde 1970 sonlarında rastlanırken ülkemizde bu kapsama girebilecek ilk uygulamalara 1990’lıyıllardan sonra rastlanmaktadır. Sayısal ortamlarda gerçekleştirilen bazı eylemlerin suç kabul edilmesi ise, sayısal delil kavramını da beraberinde getirmiştir. Zira bu ortamlarda gerçekleştirilen eylemlerin iz ve kayıtları yine bu ortamlarda bulunmaktadır. Buna ek olarak, gelişen sayısal cihaz kullanımı ile daha önceden sayısal olmayan birçok bilgi ve kayıt sayısal hale gelmiş ve dolayısı ile bu bilgiler adli olay incelemelerinde kullanılmaya başlamıştır. Dilimizde adli bilişim olarak yaygın olarak kullanılan, bu disiplinin farklı tanımları vardır. Bu tanımlardan örnek olabilecek üç tanesi şu şekildedir.
1. Adli olayların aydınlatılması amacıyla, olay yerinden, dijital veri saklama ve iletme özelliğine sahip cihazların toplanması, cihazların içerisindeki dijital delillerin tespit edilmesi ve adli otoritelere dijital delillerin raporlanması süreci içerisinde yapılan çalışmaların bütünü,
2. Elektronik ortamlardan elde edilen bulguların, çeşitli teknik donanım ve yazılımlar kullanılarak hukuki delillere dönüştürülme süreci,
3. Bir olayın aydınlatılmasına yönelik olarak, olayla ilgili bilgi içerebilecek bilişim cihazlarının incelenmesi.

Adli bilişim kavramının teknik yönünün ön plana çıktığı yukarıdaki örnek tanımlarda da görülmektedir. Sayısal sistemlerdeki verilerin boyutlarının büyüklüğü sebebiyle bu verilerin işlenmesi ve analizi zahmetli ve zaman alıcı olmasının yanı sıra teknik bilgiye hâkim olmayı da gerektirmektedir. Adli bilişim incelemeleri hiç şüphesiz kendine has yazılım ve cihazlara gereksinim duymaktadır. Yukarıdaki 2. tanımda net bir şekilde kullanılacak yazılım ve donanımların elektronik delili hukuki delillere dönüştürme işlemini gerçekleştirdiği belirtilmiştir. Kısacası adli kopya oluşturma donanımları hukuki delil kavramının ilk kısmını oluşturmaktadır.

Adli kopya alma işleminin hassas olması bazı kanun maddelerine de yansımaktadır. Örneğin, Ceza Muhakemeleri Kanunundaki düzenlemeler doğrultusunda, bilgisayar, bilgisayar programları ve bilgisayar kütüklerine inceleme yapılması amacı ile savcının talebi üzerine hâkim tarafından karar verilebilmektedir. Kanun gerekli ve uygun durumlarda bu bilgilerin bir kopyasının alınarak bu kopya üzerinde inceleme yapılmasına da imkân tanımaktadır. Adli ve Önleme Aramaları Yönetmeliği’nin 17nci Maddesinde ise kanun tarafından düzenlenen el koyma ve kopya alma işlemlerinin kapsam ve usulleri belirlenmiştir. Kanunların öngördüğü bir kopya alma sürecinde, uygun cihaz veya yazılımlarla, veri depolama ünitelerinin adli kopya alma işlemi hash değeri hesaplamasıyla birlikte yapılır.

Adli kopya alma süreçlerinin yanı sıra proje kapsamında yapılacak donanım güvenli veri silme noktasında da çözüm üretmektedir. Avrupa Birliği gibi uluslararası kuruluşlarda Genel Veri Koruma Tüzüğü (GDPR) ile gerekse ülkemizde 6698 sayılı Kişisel Verilerin Korunması Kanunu gibi mevzuat altyapısı ile özel sektörde, kamu kurum ve kuruluşlarında bulunan kişisel veriler korunmakta ve verinin paylaşımı için anonimleştirme şart koşulmaktadır. Verinin belli kısımlarının kapatılması veya genelleştirilmesi gibi yöntemlerle gerçekleştirilen anonimleştirme ile söz konusu veri, bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmektedir. Elde edilme amacı yerine geldikten sonra ve kanunlarla belirtilen saklama süreleri dolduktan sonra kişisel verilerin imha edilme süreci gündeme gelmektedir. “İmha” kavramı ile mevzuatta 3 farklı yöntem kastedilmektedir:
1. Silme / Erişimi engelleme
2. Yok etme
3. Anonim hale getirme

DAVİM'de tüm yönetmelikler göz önünde bulundurularak elektronik delillerin hukuki delil niteliği taşıması için gerekli altyapı hazırlandı ve veri bütünlüğü bozulmadan kopya işlemleri gerçekleştirerek, standartlara uygun güvenli veri silme işlemlerini gerçekleştirmeyi planlıyoruz.

DAVİM - Dijital Adli Vakalara İlk Müdahale