İstihbarat ve Hukuk: Kişisel Verilerin Korunması ve Etik Sınırlar

M

müfettiş

Moderatör
Top Poster Of Month
Creator
Katılım
20 Ocak 2024
Mesajlar
51
Tepkime puanı
0
Puanları
8
blue-gavel-hologram-over-robotic-hands-GettyImages-1470555159-2400x1600-1-1500x1000.webp


İstihbarat ve Hukuk: Kişisel Verilerin Korunması ve Etik Sınırlar​

Giriş: Beyaz Şapka ile Siyah Şapka Arasındaki İnce Çizgi​

Siber istihbarat (OSINT) araçları o kadar güçlüdür ki, bir analistin elindeki imkanlar ile bir siber sapığın (stalker) veya suçlunun elindeki imkanlar teknik olarak aynıdır. Farkı yaratan tek şey Niyet ve Hukuki Sınırlardır.

Bir OSINT araştırmacısı, "Halka açık bilgi" (Publicly Available Information) kavramının arkasına sığınarak her şeyi yapabileceğini sanabilir. Ancak hukukun gözünde "erişilebilir olmak", "kullanılabilir olmak" anlamına gelmez. Bu makalede, bir istihbarat operasyonu yürütürken hapse girmemeniz için bilmeniz gereken KVKK (Türkiye) ve GDPR (Avrupa) sınırlarını inceleyeceğiz.

Temel Kural: Pasif vs. Aktif İstihbarat​

Hukuki açıdan en önemli ayrım budur:
  1. Pasif İstihbarat (Yasal): Hedef sistemle doğrudan etkileşime girmezsiniz. Google önbelleğine bakmak, Shodan kullanmak, Whois sorgulamak yasaldır. Çünkü bu veriler zaten yayınlanmıştır ve siz sadece "okursunuz".
  2. Aktif İstihbarat (Riskli/Yasadışı): Hedef sisteme paket göndermek, port taraması (Nmap) yapmak, şifre denemek. Eğer izniniz yoksa, bir sisteme "Port Taraması" yapmak bile Türk Ceza Kanunu'na (TCK 243) göre "Bilişim Sistemine Girme" suçunun hazırlık hareketi veya sistemi engelleme (TCK 244) kapsamında değerlendirilebilir.

Kişisel Verilerin Korunması (KVKK ve GDPR)​

Bir şahsın T.C. Kimlik Numarasını, ev adresini veya telefon numarasını bir sızıntı veritabanında bulmuş olmanız, bunu raporunuza yazabileceğiniz anlamına gelmez.
  • PII (Personally Identifiable Information): Bir kişiyi doğrudan tanımlayan her türlü veri (Ad, Soyad, TC, Telefon, Yüz Görüntüsü) kişisel veridir.
  • İşleme Yasağı: KVKK'ya göre, kişinin "Açık Rızası" olmadan bu verileri "işleyemezsiniz" (kaydedemez, depolayamaz, başkasına aktaramazsınız).
  • İstihbarat İstisnası: Çoğu ülkede "Milli Güvenlik" veya "Suçla Mücadele" kapsamında devlet kurumlarına istisna tanınır. Ancak özel bir şirkette çalışan CTI analistiyseniz, topladığınız verilerde 3. şahısların (saldırganın değil, kurbanların) verilerini maskelemek (Anonymization) zorundasınız.

Etik Sınırlar ve "Doxing" Tehlikesi​

Hukuk "yapabildiklerinizin alt sınırını", etik ise "yapmanız gerekenlerin üst sınırını" belirler.
  • Doxing: Bir kişinin (suçlu bile olsa) özel bilgilerini (adres, aile fotoları) internette ifşa etmek, OSINT değil, siber zorbalıktır. Profesyonel bir analist, bulgularını sadece ilgili otoriteye (Polis, Savcılık veya Şirket Yönetimi) raporlar; Twitter'da yayınlamaz.
  • Sorumlu İfşa (Responsible Disclosure): Bir şirketin veritabanının açık olduğunu buldunuz. Bunu Dark Web'de satarsanız suçlusunuz. Görmezden gelirseniz sorumsuzsunuz. Doğrusu; şirkete özel olarak bildirip yamamaları için süre tanımaktır.

Delil Zinciri (Chain of Custody)​

Eğer topladığınız istihbaratın mahkemede delil olmasını istiyorsanız, "Adli Bilişim" kurallarına uymalısınız:
  1. Değiştirmeme: Kanıtın orijinaline asla dokunmayın, kopyası (imajı) üzerinde çalışın.
  2. Zaman Damgası (Timestamp): Ekran görüntüsü yetmez; Archive.today gibi değiştirilemez kaynaklar kullanın.
  3. Hashing: Elde ettiğiniz dosyanın dijital özetini (MD5/SHA256) alarak, dosyanın sonradan değiştirilmediğini matematiksel olarak kanıtlayın.

Sonuç​

Siber istihbarat analisti, dijital dünyanın dedektifidir; kanunsuz infazcısı (vigilante) değil. Klavyenizin gücünü yasal çerçevede kullanmak, sizi sadece hapisten korumaz, aynı zamanda raporlarınızın itibarını ve geçerliliğini sağlar.
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst