Fidye Yazılımları (Ransomware): Hukuki Sorumluluklar, Uluslararası Yaklaşımlar ve Korunma Yolları
1. Giriş: Dijital Dünyanın Yeni Şantaj Aracı
Fidye yazılımları, modern dijital çağın en ciddi siber tehditlerinden biridir. Bu tür zararlı yazılımlar, kullanıcıların sistemlerine gizlice sızarak dosyaları şifreler ve erişim engeli oluşturur. Ardından mağdurdan, verilerin geri yüklenmesi karşılığında Bitcoin veya Monero gibi izlenmesi güç kripto paralar talep edilir.
2020 sonrası dönemde, fidye yazılımları yalnızca bireysel kullanıcıları değil; hastaneler, finans kurumları, kamu kuruluşları ve hukuk büroları gibi kritik kurumları da hedef almaya başlamıştır. Özellikle veri gizliliğinin yasal yükümlülüklerle sıkı şekilde korunduğu alanlarda bu saldırılar, yalnızca teknik değil hukuki kriz de yaratır.
2. Fidye Yazılımlarının Tanımı ve Temel Özellikleri
Fidye yazılımları, zararlı yazılım (malware) ailesine ait olup temel hedefi mağdurun verilerine erişimi engelleyerek ekonomik kazanç sağlamaktır.
Saldırganlar genellikle şu iki stratejiyi izler:
-
Şifreleme (Crypto ransomware): Dosyalar güçlü algoritmalarla şifrelenir (ör. RSA-2048 veya AES-256).
-
Kilitlenme (Locker ransomware): Cihaza erişim engellenir, kullanıcı masaüstüne dahi ulaşamaz.
Günümüzde bu iki yönteme ek olarak, “çift fidye (double extortion)” adı verilen yeni model ortaya çıkmıştır. Bu modelde saldırgan yalnızca dosyaları şifrelemekle kalmaz; aynı zamanda çalınan verileri sızdırmakla tehdit eder. ENISA’nın 2024 Tehdit Raporu’na göre fidye yazılımları, Avrupa’daki siber olayların %36’sını oluşturmuştur. Bu veri, ransomware’in sadece bir BT problemi değil, aynı zamanda ekonomik ve hukuki bir güvenlik riski olduğunu göstermektedir.
3. Fidye Yazılımlarının Tarihçesi
3.1 İlk Dönem (1989–2000): Deneysel Dönem
Fidye yazılımlarının kökeni 1989 yılına uzanır. Joseph Popp tarafından geliştirilen AIDS Trojan, kullanıcıların sistem dosyalarını gizlice şifreleyip, 189 dolar ödeme talep ediyordu. Yazılım, “PC Cyborg Corporation” adına gönderilen disketlerle yayılmıştı. Ancak tasarım hatası nedeniyle şifre çözme anahtarı kod içinde bulunabiliyordu.
3.2 Yaygınlaşma Dönemi (2000–2013): İnternet Çağı
2000’li yılların başında internetin yaygınlaşması, siber suçları kitlesel hale getirdi. Bu dönemde Gpcode, Reveton gibi erken dönem fidye yazılımları görüldü. Fakat bunlar genellikle düşük şifreleme düzeyine sahipti.
3.3 Kurumsal Tehdit Dönemi (2013–2017): CryptoLocker ve WannaCry
2013’te ortaya çıkan CryptoLocker, modern ransomware çağını başlattı. Dosyalar güçlü RSA şifreleme ile kilitleniyor, mağdurdan Bitcoin ile ödeme isteniyordu. 2017’deki WannaCry saldırısı ise dünya çapında 150’den fazla ülkeyi etkileyerek trilyonlarca dolar zarar doğurdu. Bu saldırı, Microsoft’un Windows SMB protokolündeki bir zafiyeti (EternalBlue) kullanmıştı. Europol raporuna göre WannaCry, “küresel siber kamu sağlığı krizine benzeyen ilk olay” olarak kayda geçmiştir.
4. Ransomware Ekosistemi
Ransomware günümüzde tekil bir hacker faaliyetinden ziyade organize bir suç ekonomisi haline gelmiştir.
4.1 Ekosistemin Aktörleri
-
Geliştirici ekip: Şifreleme yazılımlarını üretir.
-
Erişim aracısı (Access Broker): Kurumsal sistemlere sızma imkânı satar.
-
Bağlı ortak (Affiliate): Saldırıyı yürütür, kazancı geliştiriciyle paylaşır.
-
Müzakereci ekip: Fidye talebi ve pazarlık sürecini yönetir.
Europol’un 2024 Cyber-Attacks: The Apex of Crime as a Service raporunda şöyle denir:
“Ransomware grupları profesyonel organizasyonlar gibi çalışmakta, belirli hiyerarşi, iş bölümü ve müşteri hizmetleri standartlarına sahip olmaktadır.” Bu durum, fidye yazılımını bireysel suçtan çıkarıp organize suç düzeyine taşımıştır.
4.2 Ransomware-as-a-Service (RaaS) Modeli
RaaS modeli, fidye yazılımını tıpkı “abonelik hizmeti” gibi sunar. Saldırgan, belirli bir ücret ödeyerek yazılımı kiralar, saldırıyı gerçekleştirir ve gelir paylaşımı yapar. Bu sistem, suçun “demokratikleşmesini” sağlamıştır: teknik bilgiye sahip olmayan kişiler bile saldırı düzenleyebilir hale gelmiştir.
5. Saldırı Yöntemleri ve Yayılma Mekanizmaları
5.1 Kimlik Avı (Phishing)
En yaygın bulaşma yöntemi, sahte e-postalarla zararlı dosya veya bağlantı gönderilmesidir. E-posta genellikle fatura, banka bildirimi veya dava dosyası gibi görünür.
5.2 Güvenlik Açıklarının İstismarı
Saldırganlar, yazılım açıklarını veya güncellenmemiş sistemleri hedef alır. Özellikle “sıfırıncı gün açıkları” (zero-day exploits) ciddi risk oluşturur.
5.3 Lateral Movement (Yanal Yayılım)
Saldırı bir cihazla sınırlı kalmaz; ağ içinde hareket ederek tüm sistemlere bulaşır.
5.4 Sosyal Mühendislik
Saldırganlar, çalışanları manipüle ederek erişim sağlar. Örneğin, kurumsal kimlikleri taklit ederler.
6. Uluslararası Hukuki Yaklaşım
6.1 Uluslararası Düzenlemeler
Fidye yazılımları uluslararası hukukta açıkça tanımlanmış bir suç türü değildir. Ancak devletler, Budapeşte Siber Suç Sözleşmesi (2001) kapsamında iş birliği yapmakla yükümlüdür.
Oxford Üniversitesi’nden Van Benthem’in ifadesiyle:
“Ransomware doğrudan düzenlenmemiş olsa da, devletlerin vatandaşlarını koruma ve siber suçlarla mücadelede aktif iş birliği yapma yükümlülüğü vardır.”
6.2 İş Birliği Mekanizmaları
Avrupa Birliği bünyesindeki Europol European Cybercrime Centre (EC3), siber suçlarla mücadelede kıtanın en önemli kurumsal merkezidir. 2013 yılında kurulmuş olan EC3, üye devletlerin kolluk kuvvetleri arasında veri, istihbarat ve operasyonel destek paylaşımını sağlar. Merkez; fidye yazılımları, çevrimiçi dolandırıcılıklar, çocuk istismarı materyalleri ve kritik altyapılara yönelik saldırılar gibi alanlarda uzmanlaşmıştır. EC3’ün alt birimi olan J-CAT (Joint Cybercrime Action Taskforce) ise farklı ülkelerden bilişim uzmanlarını, adli bilişim analistlerini ve polis teşkilatı temsilcilerini tek bir merkezde bir araya getirir. J-CAT’in temel amacı, uluslararası düzeyde yürütülen fidye yazılımı operasyonlarını eşgüdüm içinde koordine etmektir. Europol’ün resmi verilerine göre, J-CAT 2024 yılı içerisinde 19 farklı fidye yazılımı grubuna yönelik eş zamanlı operasyonu yönetmiş, aralarında LockBit, Hive ve BlackCat gruplarına ait altyapıların ele geçirilmesini sağlamıştır. Bu merkezlerin varlığı, Avrupa’da siber suçla mücadelede yeknesak bir hukuki ve operasyonel yaklaşım geliştirilmesinde kritik rol oynamaktadır.
INTERPOL Digital Crime Center (IDCC), uluslararası düzeyde siber suç istihbaratının paylaşımı ve olay müdahalesi koordinasyonundan sorumlu küresel merkezdir. Singapur’daki INTERPOL Innovation Centre bünyesinde faaliyet gösteren bu yapı, 195 üye ülkenin siber birimlerini tek bir ağda buluşturur. IDCC, fidye yazılımlarına ilişkin “early warning” (erken uyarı) sistemi işletir ve tehdit istihbaratını, saldırı tespiti veya önleme yeteneği zayıf olan gelişmekteki ülkelere ücretsiz olarak iletir. Ayrıca, “INTERPOL Gateway” adlı güvenli bir platform aracılığıyla, özel sektör (ör. Microsoft, Trend Micro, Kaspersky) ve kolluk kuvvetleri arasında veri akışı sağlar. Bu sistem sayesinde, küresel ölçekte fidye yazılımı gruplarının altyapıları ve kripto cüzdanları arasında bağlantı kurulabilir. IDCC’nin temel misyonu, siber saldırılara karşı uluslararası dayanışmayı güçlendirmek ve ülkeler arası delil paylaşımını hızlandırmaktır.
Operation ENDGAME, 2024 yılında Europol öncülüğünde yürütülen ve tarihteki en büyük fidye yazılımı altyapı operasyonu olarak kayda geçen çok uluslu bir kolluk girişimidir. Operasyon, Almanya, Fransa, Hollanda, Danimarka ve ABD’nin siber birimlerinin ortak katılımıyla gerçekleştirilmiştir. Amaç; fidye yazılımı saldırılarında kullanılan “botnet” ağlarını, komuta-kontrol (C2) sunucularını ve veri şantaj altyapılarını çökertmekti. Operasyon kapsamında 100’den fazla sunucu ele geçirilmiş, 4 ana yazılım ailesi (QakBot, IcedID, Bumblebee ve Pikabot) etkisiz hale getirilmiştir. Ayrıca, 8 fidye yazılımı geliştiricisi tutuklanmış, 1500’den fazla alan adı (domain) kapatılmıştır.
6.3 Yaptırım ve Cezalandırma Sorunu
Fidye yazılımları, doğaları gereği sınır ötesi (transnational) karakter taşır. Saldırganın bulunduğu ülke, mağdurun sistemi ve saldırının etkilediği ağ çoğu zaman farklı coğrafyalardadır. Bu durum, klasik ceza hukuku ilkelerinin —özellikle “yer bakımından yetki” ve “failin tespiti” kurallarının— uygulanmasını güçleştirir. Örneğin Türkiye’de faaliyet gösteren bir şirketin sunucusuna Almanya merkezli bir hizmet üzerinden, Rusya’daki bir komuta-kontrol sunucusundan yönlendirilen saldırı yapılabilir. Böyle bir durumda hangi devletin yargı yetkisine sahip olduğu, hangi ülke mevzuatının uygulanacağı ve delillerin hangi usulle toplanacağı soruları ortaya çıkar.
Bu tür saldırılarda anonimlik ve kriptografi cezai sorumluluğun belirlenmesini neredeyse imkânsız hâle getirir. Saldırganlar VPN, Tor ağı ve sahte IP zincirleri kullanarak izlerini siler. Ödeme talepleri çoğunlukla Bitcoin veya Monero gibi takip edilmesi zor kripto paralar üzerinden yapılır. Kripto transferleri genellikle “mixer” veya “tumbler” adı verilen gizleyici hizmetlerle parçalara ayrılarak yönlendirilir; bu da adli iz sürmeyi teknik olarak karmaşıklaştırır.
Birçok fidye yazılımı grubu Rusya, Belarus, Kuzey Kore ve Doğu Avrupa merkezli yapılardan organize edilir. Conti, LockBit, REvil gibi bilinen grupların, devlet destekli veya devletçe tolere edilen yapılardan beslendiğine dair uluslararası raporlar mevcuttur. Europol ve FBI raporlarına göre bu gruplar, “jeopolitik koruma” altında faaliyet göstermekte ve kendi ülkelerinde cezai kovuşturmaya tabi tutulmamaktadır. Bazı hükümetler bu grupları resmî olarak desteklemese bile, sessiz kalarak dolaylı bir devlet koruması (safe haven effect) yaratmaktadır.
Bu tablo, uluslararası adli yardımlaşma (mutual legal assistance) süreçlerini de zora sokar. Örneğin Avrupa Birliği ülkeleri, Budapeşte Siber Suç Sözleşmesi kapsamında hızlı delil paylaşımı yapabilirken, sözleşmeye taraf olmayan ülkeler (örneğin Rusya veya Çin) ile iş birliği mümkün değildir. Bu durumda delillerin toplanması, saldırı altyapısının çökertilmesi veya failin iadesi fiilen imkânsız hale gelir.
Ayrıca, farklı ülkelerde siber suçların tanım ve cezalarının farklılık göstermesi uluslararası uyumu zayıflatır. Örneğin bazı hukuk sistemlerinde “fidye yazılımı oluşturma” fiili doğrudan suç sayılmaz; yalnızca “sisteme izinsiz erişim” kapsamında değerlendirilir. Bu durum, saldırganların yasal boşluklardan yararlanarak faaliyet gösterdiği gri alanlar yaratır.
7. Türk Hukuku’nda Fidye Yazılımı Suçu ve Cezalar
7.1 TCK Kapsamındaki Suçlar
Türk Ceza Kanunu’nda fidye yazılımlarına özgü doğrudan bir madde bulunmamakla birlikte, mevcut bilişim suçları hükümleri bu fiillerin büyük bölümünü kapsayacak niteliktedir. Fidye yazılımı saldırılarında en sık uygulanan düzenleme TCK m.243 olup, bilişim sistemine izinsiz girme fiilini cezalandırır. Bu madde kapsamında, bir bilgisayar sistemine hukuka aykırı biçimde erişen kişiye bir yıla kadar hapis cezası verilebilir. Saldırganın yalnızca sisteme girmesi değil, sistemdeki veriler üzerinde değişiklik yapması veya müdahalede bulunması halinde suçun niteliği ağırlaşır.
Bu durumda devreye TCK m.244 girer. Bu madde, bilişim sistemini engelleyen, bozan, verileri yok eden veya değiştiren kişilere iki yıldan altı yıla kadar hapis cezası öngörür. Fidye yazılımlarının dosyaları şifrelemesi, sistemin çalışmasını durdurması veya verileri erişilemez hale getirmesi bu hükmün kapsamına girmektedir.
Saldırganın kendisi doğrudan sistemi hedef almasa bile, zararlı yazılım üretmesi veya başkalarına dağıtması durumunda TCK m.245/A devreye girer. Bu madde, “yasak cihaz veya yazılım kullanma veya dağıtma” fiilini cezalandırır ve fail hakkında bir yıldan üç yıla kadar hapis ile beşbin güne kadar adli para cezası uygulanabilir. Bu düzenleme, fidye yazılımlarını geliştiren veya kiralayan (örneğin Ransomware-as-a-Service modeliyle dağıtan) kişilerin cezalandırılmasında kullanılır.
Son olarak, fidye yazılımı saldırılarında mağdurdan para talep edilmesi veya verilerin ifşa edilmesi tehdidi bulunuyorsa, bu durum TCK m.107 kapsamında “şantaj suçu” oluşturur. Fail, mağdurun zarar görmesi veya kişisel verilerin yayılması tehdidiyle çıkar sağlamaya çalışıyorsa, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır. Şantaj suçunun bilişim yoluyla işlenmesi halinde ise ceza artırımı uygulanır.
Dolayısıyla, Türk Ceza Kanunu’nda fidye yazılımı kavramı açıkça yer almasa da; 243, 244, 245/A ve 107. maddeler birlikte yorumlandığında bu tür saldırıların cezai sorumluluğu kapsamlı biçimde değerlendirilebilmektedir. Yine de mevcut sistem parçalıdır; bu nedenle birçok hukukçu, TCK’da fidye yazılımlarına özgü bağımsız bir suç tanımı yapılmasının caydırıcılık ve hukuki netlik açısından gerekli olduğu görüşündedir.
7.2 Uygulamada Karşılaşılan Sorunlar
Fidye yazılımı saldırılarının cezai boyutunda en büyük zorluklardan biri, fiilin unsurlarının klasik ceza hukuku çerçevesinde tam olarak oturmamasıdır. Bu nedenle soruşturma ve kovuşturma süreçlerinde hem teknik hem hukuki birçok tartışma doğmaktadır.
Mağdurun Yazılımı Kendi Eylemiyle Çalıştırması (Phishing Sonucu)
Birçok fidye yazılımı saldırısı, doğrudan sistem açıklarının istismarından değil, sosyal mühendislik yöntemlerinden kaynaklanır. Özellikle “phishing” veya “spear-phishing” e-postaları yoluyla mağdura sahte bir dosya veya bağlantı gönderilir. Mağdur bu dosyayı kendi iradesiyle açtığında zararlı yazılım etkinleşir.
Bu durumda, “izinsiz erişim” (TCK m.243) unsurunun oluşup oluşmadığı tartışmalı hale gelir; çünkü görünürde saldırgan, sisteme dışarıdan zorla girmemiş, mağdurun eylemiyle erişim sağlamıştır. Doktrinde bazı yazarlar bu tür eylemlerde “rıza hatası” bulunduğunu ve fiilin yine de hukuka aykırı sayılması gerektiğini savunurken, bazı mahkemeler mağdurun bilinçli davranışı bulunduğu gerekçesiyle izinsiz erişim unsurunun tam oluşmadığı kanaatine varmaktadır. Bu ikilem, özellikle e-posta yoluyla bulaşan fidye yazılımlarında failin kastının ispatı açısından önemli bir boşluk yaratır.
Saldırganın Yabancı Ülkede Bulunması: Yetki ve Yargı Sorunu
Fidye yazılımı saldırıları çoğunlukla uluslararası niteliklidir. Fail başka bir ülke sınırları içinde bulunabilir veya saldırı, farklı ülkelerdeki sunucular üzerinden yürütülebilir. Bu durumda hangi ülke yargısının yetkili olacağı belirsizleşir.
Türk Ceza Kanunu’nun m.8 ve m.12 hükümleri, suçun işlendiği veya etkilerinin ortaya çıktığı yer Türkiye ise Türk mahkemelerinin yetkili olduğunu düzenler. Ancak fidye yazılımı gibi sınır aşan siber suçlarda “suçun işlendiği yer” kavramının tespiti son derece güçtür. Failin IP adresi tespit edilse bile genellikle sahte veya şifreli bağlantılar üzerinden erişim sağlanır.
Ayrıca, saldırganın bulunduğu ülke Türkiye ile adli yardımlaşma anlaşması yapmamışsa, failin iadesi veya delil paylaşımı mümkün olmayabilir. Özellikle Rusya, Belarus, Çin ve İran gibi ülkelerle bu tür siber suçlarda uluslararası iş birliği eksikliği, soruşturma süreçlerini fiilen kilitlemektedir. Bu nedenle, devletler arasında karşılıklı delil paylaşımını hızlandıran karşılıklı adli yardım (MLA) ve ortak soruşturma ekipleri (Joint Investigation Teams – JIT)mekanizmalarının etkinleştirilmesi önem taşır.
Dijital Delillerin Toplanması ve Teknik Eksiklikler
Fidye yazılımı saldırılarında deliller, genellikle uçucu niteliktedir (volatile evidence). Sistem kapatıldığında veya dosya şifrelemesi tamamlandığında önemli log kayıtları silinebilir. Bu nedenle olay anında alınacak adli bilişim önlemleri büyük önem taşır. Ancak Türkiye’de pek çok kurumda, olay müdahalesi ve delil toplama süreçleri profesyonel düzeyde yürütülmemektedir.
Olay yeri incelemesi sırasında yapılan yanlış bir işlem —örneğin diskin kopyalanmadan açılması veya yedek alınmadan sistemin yeniden başlatılması— delilin bütünlüğünü bozabilir ve mahkemede kullanılmasını engelleyebilir. Ayrıca, adli bilişim laboratuvarlarının yetersizliği, zincirleme delil muhafazası (chain of custody) süreçlerinin eksikliği ve uzman personel sayısının sınırlı olması da soruşturmanın etkinliğini azaltır.
Bir diğer sorun, dijital delillerin uluslararası kaynaklarda bulunmasıdır. Örneğin saldırının yürütüldüğü komuta-kontrol sunucusu Almanya’da, ödeme adresi ABD merkezli bir borsada, mağdur sistemi ise Türkiye’dedir. Bu durumda delil elde etmek için üç ayrı ülkenin hukuk sisteminin izin süreçlerinden geçmek gerekir. Bu karmaşıklık, soruşturmanın aylarca hatta yıllarca sürmesine neden olabilir.
7.3 KVKK ve İdari Yaptırımlar
Fidye yazılımı saldırısı kişisel verilerin ihlaline yol açtığı için, KVKK m.12 gereği veri sorumlusu derhal Kişisel Verileri Koruma Kurumu’na bildirim yapmakla yükümlüdür. Bildirim yapılmazsa 1.000.000 TL’ye kadar idari para cezası uygulanabilir.
8. Kurumsal ve Bireysel Korunma Yöntemleri
Fidye yazılımlarına karşı korunmanın en etkili yolu, teknik, hukuki ve kurumsal önlemleri birlikte uygulamaktır. Teknik önlemler kurumların savunma hattının temelini oluşturur. En başta, düzenli yedekleme yapılması ve felaket kurtarma planlarının hazırlanması gerekir. Yedeklerin çevrim dışı (air-gapped) veya bulut üzerinde şifreli biçimde tutulması, saldırı sonrası sistemin kısa sürede yeniden çalışır hâle gelmesini sağlar. Ayrıca, çok faktörlü kimlik doğrulama (MFA) sistemlerinin kullanılması, kimlik avı veya şifre sızması gibi yöntemlerle yapılan saldırıların büyük bölümünü engeller. Yazılım güncellemelerinin otomatikleştirilmesi ve yamaların düzenli uygulanması, saldırganların bilinen güvenlik açıklarından yararlanmasını önler. Bunun yanında, uç nokta tehdit algılama sistemleri (EDR – Endpoint Detection and Response) saldırı davranışlarını gerçek zamanlı izleyerek erken uyarı sağlar. Ağ segmentasyonu yapılması, bir sistem ele geçirilse bile saldırının diğer ağ bölümlerine sıçramasını engelleyerek hasarı sınırlar.
Hukuki önlemler teknik savunmanın tamamlayıcısıdır. Şirketlerin ve hukuk bürolarının, sözleşmelerine mutlaka veri güvenliği yükümlülükleri ve ihlal durumunda sorumluluk maddeleri eklemesi gerekir. Dış hizmet sağlayıcılarla (örneğin bulut depolama veya dış kaynak BT hizmetleri) yapılan anlaşmalarda, veri koruma ve erişim sorumluluklarının açıkça tanımlanması olası ihtilafları önler. Ayrıca kurumların, siber güvenlik politikalarını yazılı hâle getirip iç yönergelerle personele duyurması gerekir. Fidye ödemesi bazı durumlarda kara para aklama veya terörün finansmanı suçlarıyla ilişkilendirilebileceğinden, ödeme kararı öncesinde mutlaka uygunluk incelemesi (due diligence) yapılmalıdır.
Son olarak, kurumsal farkındalık siber güvenliğin en zayıf halkası olan insan faktörünü güçlendirmeye yöneliktir. Personelin sosyal mühendislik, kimlik avı (phishing) ve zararlı dosyalar konusunda düzenli olarak eğitilmesi büyük önem taşır. Kurum içi “siber hijyen” politikaları oluşturulmalı; çalışanlara güçlü parola kullanımı, bilinmeyen bağlantılara tıklamama ve olağan dışı e-posta trafiğini raporlama alışkanlığı kazandırılmalıdır. Ayrıca, kriz anında nasıl hareket edileceğini belirleyen siber saldırı simülasyonları düzenlenmeli, bu tatbikatlarla olay müdahale planları test edilmelidir. Teknik altyapı ne kadar gelişmiş olursa olsun, farkındalığı düşük personel nedeniyle sistemin tümü tehlikeye girebilir. Bu nedenle, teknolojik savunma kadar bilinçli insan kaynağı da fidye yazılımlarına karşı en önemli güvenlik bariyerlerinden biridir.
9. Sonuç
Yiğit Legal, fidye yazılımları ve siber saldırılarla mücadelede müvekkillerine teknik, hukuki ve stratejik boyutları bir araya getiren üç katmanlı koruma modeliyle kapsamlı bir hukuki güvenlik yaklaşımı sunmaktadır. Bu model, saldırı öncesinde önleyici danışmanlıkla riskleri azaltmayı, olay anında kriz yönetimiyle süreci kontrol altına almayı ve sonrasında savunma ile tazmin aşamalarında müvekkilin haklarını etkin biçimde korumayı hedefler.