Bilişim Suçları ve Finans Sektörü

1. Giriş

Finans ve bankacılık sektörü, dijitalleşmenin en yoğun yaşandığı ve dolayısıyla bilişim suçlarına en fazla maruz kalan alanların başında gelmektedir. İnternet bankacılığı, mobil ödeme sistemleri, kripto varlık platformları ve elektronik fon transferleri; hem müşteri hem de kurum açısından kritik riskler barındırmaktadır.

Türk hukukunda bilişim suçları ağırlıklı olarak 5237 sayılı Türk Ceza Kanunu'nun (TCK) 243 ila 246. Maddeleri arasında düzenlenmiş olmakla birlikte, finans sektörüne özgü hükümler 5411 sayılı Bankacılık Kanunu, 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri Kanunu ile Kişisel Verilerin Korunması Kanunu'nda (KVKK'da) da yer almaktadır. Bu makalede söz konusu düzenlemeler, finans profesyonelleri açısından pratik bir bakış açısıyla ele alınmaktadır.

Neden Finans Sektörü Daha Fazla Risk Altında?

Finans kuruluşları; yüksek değerli varlıkları, geniş müşteri tabanları, çok sayıda API entegrasyonu ve gerçek zamanlı işlem hacimleri nedeniyle siber saldırganların birincil hedefi haline gelmektedir. Avrupa Merkez Bankası verilerine göre finans sektöründe gerçekleştirilen siber saldırıların maliyeti diğer sektörlere kıyasla ortalama 3-4 kat daha yüksektir.

2. TCK Kapsamında Temel Bilişim Suçları

2.1 Bilişim Sistemine Girme Suçu (TCK m.243)

Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ya da orada kalmaya devam eden kişi, bir yıla kadar hapis veya adlî para cezasıyla cezalandırılır. Finans sektöründe bu suç tipinin en yaygın görünümleri şunlardır:

►  Yetkisiz kişilerin müşteri internet bankacılığı hesabına erişimi

►  İç çalışanların yetki sınırını aşarak başka departman sistemlerine girmesi

►  Üçüncü taraf hizmet sağlayıcıların yetkisiz erişimi

►  SQL enjeksiyonu ile veritabanlarına sızma

2.2 Sistemi Engelleme, Bozma ve Erişimi Kısıtlama (TCK m.244)

TCK'nın 244. maddesi; bir bilişim sisteminin işleyişini engelleyen veya bozan, verileri yok eden, değiştiren veya erişilmez kılan ya da sisteme veri ekleyen kişilere yönelik cezai yaptırımlar öngörmektedir. Finans sektöründeki yansımaları:

►  DDoS (Dağıtık Hizmet Engelleme) saldırıları ile internet bankacılığı sistemlerinin devre dışı bırakılması

►  Fidye yazılımı (ransomware) ile kritik bankacılık verilerinin şifrelenmesi

►  Ödeme sistemleri altyapısına yönelik sabotaj

►  ATM yazılımlarının manipüle edilmesi

Hukuki Düzenleme – TCK m.244

Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezasıyla cezalandırılır (m.244/1). Aynı maddenin 2. fıkrası; verileri bütünüyle veya kısmen yok eden, değiştiren, silen veya erişilmez kılan kişilere altı aydan üç yıla kadar hapis cezası öngörmektedir. Bu suçların bir kuruluşun faaliyetlerini engellemek amacıyla işlenmesi durumunda ceza iki katına kadar artırılır.

2.3 Banka ve Kredi Kartlarının Kötüye Kullanılması (TCK m.245)

Banka ve kredi kartlarına ilişkin suçlar, finans sektörünü en doğrudan etkileyen bilişim suçları arasındadır. Bu başlık altında üç temel eylem biçimi düzenlenmiştir:

►  Başkasına ait banka veya kredi kartını, her ne suretle olursa olsun ele geçiren veya elinde bulunduran kişinin bu kartı kendisinin veya başkasının yararına kullananması

►  Sahte banka veya kredi kartı üreterek kullananlar

►  Başkasının hesabına para aktaranlar ya da mal veya hizmet satın alanlar

Bu suçların cezası, üç yıldan altı yıla kadar hapis ve adli para cezasıdır. Suçun örgüt faaliyeti çerçevesinde işlenmesi halinde ceza yarı oranında artırılır; bu durum özellikle organize dolandırıcılık gruplarına yönelik kovuşturmalarda önem kazanmaktadır.

2.4 Yasak Cihaz veya Program Kullanımı (TCK m.245/A)

2016 yılında 6721 sayılı Kanun ile TCK'ya eklenen 245/A maddesi; banka veya kredi kartlarının içerdiği bilgileri ele geçirmeye yarayan cihaz, program, donanım veya yazılımları imal eden, ithal eden, satan veya bunlarla ilgili teknik destek sağlayan kişileri kapsamaktadır. Finans sektörü açısından bu madde şu eylemleri kapsayabilir:

►  Kart skimmer cihazlarının üretimi veya temini

►  ATM'lere yerleştirilen kart okuyucu aksesuarların kullanımı

►  Phishing kit'lerinin hazırlanması ve dağıtılması

►  Keylogger ve banking trojan yazılımlarının geliştirilmesi

3. MASAK ve Bilişim Suçları İlişkisi

3.1 MASAK'ın Finans Sektöründeki Rolü

Mali Suçları Araştırma Kurulu Başkanlığı (MASAK), 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun kapsamında faaliyet göstermektedir. Finans sektöründe bilişim suçları ile kara para aklama faaliyetleri sıklıkla iç içe geçmekte; bu durum MASAK'ın denetim yetkisini kritik hale getirmektedir.

Bilişim Suçları ve Kara Para Aklama Bağlantısı

Siber dolandırıcılık, kart bilgisi hırsızlığı ve fidye yazılımı saldırılarından elde edilen suç gelirleri genellikle kripto para borsaları, sahte şirket hesapları veya uluslararası elektronik transferler aracılığıyla aklanmaktadır. Bu nedenle finans kuruluşları hem siber güvenlik hem de kara para aklama boyutunda çift yönlü bir uyum yükümlülüğü taşımaktadır.

3.2 Yükümlü Kuruluşların Bilişim Güvenliği Yükümlülükleri

5549 sayılı Kanun ve MASAK Genel Tebliğleri çerçevesinde yükümlü kuruluşların bilişim güvenliği alanındaki temel yükümlülükleri şunlardır:

►  Şüpheli işlem bildirim (ŞİB) sistemlerinin elektronik ortamda güvenli biçimde işletilmesi

►  Müşteri tanıma (KYC) süreçlerinin dijital platformlarda eksiksiz uygulanması

►  Elektronik kayıtların 8 yıl süreyle muhafaza edilmesi ve yetkisiz erişime karşı korunması

►  Otomatik işlem izleme sistemlerinin (transaction monitoring) siber tehditlere karşı güvence altına alınması

►  İç sistemlere yetkisiz erişim girişimlerinin derhal MASAK'a ve ilgili makamlarına bildirilmesi

5549 Sayılı Kanun m.27 – Bildirim Yükümlülüğü

Yükümlüler, suç gelirlerinin aklanması veya terörün finansmanıyla bağlantılı olduğuna dair şüphe veya makul gerekçe bulunan işlemleri, işleme ilişkin varlıkların suç geliri olup olmadığından bağımsız olarak MASAK'a bildirmek zorundadır. Bu yükümlülüğün ihlali durumunda 2 yıldan 5 yıla kadar hapis ve adli para cezası öngörülmektedir.

4. Finans Sektörüne Özgü Bilişim Suçu Senaryoları

4.1 İnternet Bankacılığı Dolandırıcılığı

Kimlik avı (phishing), sosyal mühendislik ve kötü amaçlı yazılımlar aracılığıyla müşteri giriş bilgilerinin ele geçirilmesi, Türkiye'de en sık rastlanan banka bilişim suçları arasındadır. Hukuki sorumluluk dağılımı şu şekilde şekillenmektedir:

►  Banka sistemi ihlal edilmişse: Banka yöneticileri ve ilgili çalışanlar TCK m.257 (görevi kötüye kullanma) kapsamında sorumlu tutulabilir

►  Müşteri ihmalinin tespiti halinde: Hukuki sorumluluk paylaşımı sözleşme şartları ve Bankacılık Kanunu hükümlerine göre belirlenir

►  Üçüncü taraf saldırısında: Suçlu doğrudan m.243, m.244 ve m.245 hükümleri uyarınca yargılanır

4.2 İçeriden Tehdit (Insider Threat)

Finans kuruluşlarında iç çalışanların gerçekleştirdiği bilişim suçları, dışarıdan gerçekleştirilen saldırılardan çok daha yıkıcı sonuçlar doğurabilmektedir. Bu kapsamda değerlendirilen başlıca eylemler şunlardır:

►  Yetkisiz müşteri verisi erişimi ve sızdırılması (TCK m.243 + KVKK m.17)

►  Kredi onay sistemlerinin manipüle edilmesi (TCK m.244 + m.158)

►  Sahte işlem kaydı oluşturularak kurumun zarara uğratılması (TCK m.244 + 5411 sayılı Kanun)

►  MASAK bildirimlerinin kasıtlı olarak gizlenmesi (5549 sayılı Kanun m.27)

Kurumsal Sorumluluk Riski

5411 sayılı Bankacılık Kanunu m.93 uyarınca bankaların yönetim kurulu üyeleri ve üst düzey yöneticileri, gerekli iç kontrol mekanizmalarını oluşturmamış olmaları nedeniyle ihmale dayalı kusur kapsamında bireysel olarak sorumlu tutulabilir. Bu durum, uyum departmanlarının yönetim kurulu düzeyinde raporlama yapmasını zorunlu kılmaktadır.

4.3 Kripto Varlık Platformları ve Yeni Riskler

6362 sayılı Sermaye Piyasası Kanunu'na 7518 sayılı Kanun ile eklenen hükümler ve BDDK/SPK düzenlemeleri çerçevesinde kripto varlık hizmet sağlayıcıları da yükümlü kuruluş statüsüne alınmıştır. Bu platformların bilişim güvenliği açısından karşılaştığı başlıca riskler şunlardır:

►  Akıllı sözleşme açıklarından yararlanılarak token çalınması

►  Cüzdan private key'lerinin ele geçirilmesi

►  Likidite havuzlarına yönelik flash loan saldırıları

►  Exchange hack'leri ve cold/hot wallet güvenlik ihlalleri

5. Kurumsal Uyum ve Risk Yönetimi

5.1 Zorunlu Teknik ve İdari Tedbirler

BDDK'nın Bilgi Sistemleri Yönetmeliği (2021) ve ISO 27001 standartları çerçevesinde finans kuruluşlarının alması gereken asgari tedbirler şu şekilde özetlenebilir:

►  Sızma testleri (penetration testing) yılda en az bir kez gerçekleştirilmeli

►  Olay müdahale planı (incident response plan) güncel tutulmalı ve tatbikatlı test edilmeli

►  Çok faktörlü kimlik doğrulama (MFA) kritik sistemlerde zorunlu kılınmalı

►  Ayrıcalıklı erişim yönetimi (PAM) uygulamaları hayata geçirilmeli

►  Güvenlik bilgi ve olay yönetimi (SIEM) sistemleri 7/24 izleme kapsamında tutulmalı

►  Veri sızıntısı önleme (DLP) çözümleri kritik veri akışlarında devreye alınmalı

7. Sonuç ve Öneriler

Finans ve bankacılık sektörü, bilişim suçlarının hem en sık hedef aldığı hem de en ağır hukuki yaptırımlarla karşılaşabileceği alanlardan birini oluşturmaktadır. Proaktif bir yaklaşımla hazırlanmış kurumsal uyum programları, yalnızca yasal yükümlülükleri karşılamakla kalmayıp siber riskleri önemli ölçüde azaltmaktadır.

Finans kurumlarının öncelikli olarak dikkate alması gereken eylem alanları şu şekilde özetlenebilir:

►  Hukuk, IT ve uyum departmanlarının ortak siber güvenlik protokolleri geliştirmesi

►  Üst yönetim ve yönetim kurulunun bilişim suçları hukuku konusunda düzenli eğitim alması

►  Olay müdahale planlarının yılda en az iki kez tatbikatla test edilmesi

►  Tedarikçi ve iş ortaklarının bilişim güvenliği standartlarına uyumunun sözleşmesel güvence altına alınması

►  Anonim ihbar kanallarının oluşturularak iç tehditlerin erken tespitinin sağlanması

Yasal Kaynaklar

►  5237 Sayılı Türk Ceza Kanunu – Madde 243-246

►  5411 Sayılı Bankacılık Kanunu

►  5549 Sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun

►  6698 Sayılı Kişisel Verilerin Korunması Kanunu

►  6493 Sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri Kanunu

►  BDDK Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (2021)

►  MASAK Genel Tebliğleri ve Rehber Belgeleri

►  BTK Siber Olaylara Müdahale Ekipleri (SOME) Yönetmeliği