Tipik bir adli bilişim raporu 30 ila 80 sayfa arasındadır. Kapsamlı vakalarda, çoklu cihaz veya çok miktarda ek delil içeren dosyalarda 150 sayfayı aşar. Rapor; ISO 27037 zincirine uygun delil tutanağı, metodoloji, hash zinciri, bulgular, sonuç ve ekleri içerir. CMK 67-73 uzman mütalaası bu formatta sunulur.

TL;DR

  • Standart adli bilişim raporu: 30-80 sayfa.
  • Kapsamlı vaka (10+ cihaz, multi-tenant inceleme): 150-300 sayfa.
  • Zorunlu bölümler: kapak, özet, metodoloji, bulgular, sonuç, ekler, hash listesi.
  • ISO 27037 ve NIST SP 800-86 metodolojisine uyum, mahkemede kabul edilebilirlik için kritiktir.
  • CMK 67-73 uzman mütalaası, yeminli uzman imzası ve diploma örneği ile sunulur.

Detaylı cevap

Rapor uzunluğu nasıl belirlenir

Adli bilişim raporu sayfa sayısı; incelenen cihaz sayısı, ele alınan dava sorularının sayısı ve bulguların hacmiyle doğru orantılıdır. Sayfa şişirme değil, somut bulguların tek tek belgelenmesi esastır. Aşağıdaki tablo DSET son 24 aylık vaka kayıtlarından üretilmiştir.

Vaka tipi Tipik sayfa Cihaz sayısı Süre
Tek telefon, mesaj/medya incelemesi 25-40 1 3-7 gün
Tek bilgisayar, e-posta veya çalıntı veri 35-60 1 5-10 gün
Çalışan kötüye kullanım (HDD + telefon + USB) 60-100 3-5 10-20 gün
Fidye yazılım olay sonrası inceleme 80-150 5-15 15-30 gün
Çoklu şüpheli, kurumsal soruşturma 150-300+ 10+ 30-60 gün

Standart rapor şablonu (DSET, ISO 27037 uyumlu)

  1. Kapak ve kimlik bilgisi. Rapor numarası, tarih, talep eden makam, uzman ad ve unvanı, sayfa toplamı, gizlilik sınıfı.
  2. Yönetici özeti (1-2 sayfa). Dava sorusu, kısaca yöntem, ana bulgular, sonuç ifadesi. Hâkim ve avukatlar bu bölümü hızlı okur.
  3. Hukuki çerçeve. CMK 67, 68, 69, 70, 73; Bilirkişilik Kanunu, KVKK 12. madde, USOM mevzuatı atıfları.
  4. Delil zinciri (chain of custody). Cihaz teslim alınma tutanağı, görsel kayıtlar, seri numara, taşıma kabı mührü.
  5. Metodoloji. Kullanılan donanım (yazma engelleyici, FTK Imager, Tableau), yazılım (Cellebrite UFED, Magnet AXIOM, Autopsy, Volatility, X-Ways), sürüm numaraları, lisans bilgisi.
  6. Hash zinciri. Orijinal cihazın MD5/SHA-1/SHA-256 değerleri, imaj öncesi ve sonrası karşılaştırma. NIST SP 800-86'ya göre minimum SHA-256 önerilir.
  7. Bulgular. Her dava sorusu ayrı alt başlık. Ekran görüntüleri, log alıntıları, dosya yolu, zaman damgaları (UTC + yerel).
  8. Yorum ve sonuç. Uzman görüşü, kesinlik dereceleri (kesin, kuvvetle muhtemel, olası, belirsiz). Spekülasyon yapılmaz.
  9. Ekler. Hash listesi, dosya envanteri, log dökümleri, tool sürüm sertifikaları, uzman özgeçmişi ve diploma örneği.

CMK 67-73 uzman mütalaası farkı

Bilirkişi raporu mahkeme görevlendirmesi ile, uzman mütalaası taraf talebi ile hazırlanır. CMK 67/6 uyarınca taraflar kendi uzman mütalaasını dosyaya sunabilir. Mütalaa, bilirkişi raporu kadar bağlayıcı değildir; ancak yargıtay kararlarında karşıt mütalaanın hâkimi tatmin etmesi halinde yeniden bilirkişi tayinine yol açtığı görülür. DSET mütalaaları, ISO 27037 ve NIST SP 800-86 atıfları ile birlikte uzmanın bilirkişilik bölge listesi numarası ve diploma kopyasını içerir.

Mahkemede reddedilen rapor özellikleri

Yargıtay 8. ve 12. Ceza Dairesi kararlarında reddedilen veya geri çevrilen raporların ortak özellikleri:

  • Hash değeri eksikliği. Delilin değişmediğini gösteren matematiksel ispat olmadan rapor kabul görmez.
  • Yazma engelleyici kullanılmadığı. İmaj alımı sırasında write blocker kullanılmaması delilin değiştirilebileceği şüphesi doğurur.
  • Metodoloji belirtmeme. "İnceleme yapılmıştır" demek yetmez; hangi yazılım, hangi sürüm, hangi adımlar belgelenmelidir.
  • Spekülatif yorum. "Sanığın yapmış olduğu muhtemeldir" yerine "söz konusu kullanıcı hesabı altında şu zamanda şu işlem kaydedilmiştir" denir.
  • Zaman damgası tutarsızlığı. Yerel saat, UTC ve cihaz saati ayrımı yapılmaması.

Hash zinciri örneği (rapor eki)

Cihaz: Western Digital WD10EZEX, S/N: WD-WCC6Y2KZ8R0L
Imaj dosyası: case-2026-117.E01
MD5     : 8a3f9b2c7e1d4a6b8c5e9f0a1b2c3d4e
SHA-1   : 5f8a7b9c2d3e4f1a6b8c9d0e1f2a3b4c5d6e7f8a
SHA-256 : 3a7c9e2b4d8f1a6c3e5b7d9f1a3c5e7b9d1f3a5c7e9b1d3f5a7c9e1b3d5f7a9c
Operatör: Uzman M.D., Bilirkişi sicil no 12345
Tarih   : 2026-06-01 14:32 UTC+03
Yazma engelleyici: Tableau T356789, FW v3.21
Imaj aracı: AccessData FTK Imager 4.7.1

DSET rapor yazım kılavuzu

DSET'te her rapor iki aşamalı çift inceleme (peer review) ile çıkar. İlk uzman bulguları derler, ikinci uzman hash doğrulamasını ve metodoloji uyumunu kontrol eder. Bu adım Yargıtay'ın "objektif değerlendirme" kriterini karşılamaya yöneliktir.

İlgili kaynaklar: olay müdahale akışı /rehber/siber-olay-mudahale-playbook-nist-800-61-checklist, KVKK ihlal bildirim akışı /rehber/kvkk-72-saat-veri-ihlali-bildirim-sablonu, fidye sonrası ilk 24 saat /rehber/fidye-yazilim-ilk-24-saat-aksiyon-cizelgesi.

SSS

Adli bilişim raporu ne kadar sürede hazırlanır?

Standart tek cihazlı vaka 5-10 iş gününde, çoklu cihaz vakaları 15-30 iş gününde tamamlanır. Acil servisle bu süreler yarıya indirilebilir.

Rapor için kaç hash algoritması kullanılmalı?

NIST SP 800-86 minimum SHA-256 önerir. DSET MD5, SHA-1 ve SHA-256 üçünü birlikte raporlar; bu, eski araç uyumluluğu ile kriptografik güvenliği aynı anda sağlar.

Uzman mütalaası mahkemece kabul edilir mi?

CMK 67/6 uyarınca taraflar uzman mütalaası dosyaya sunabilir. Hâkim, mütalaayı serbestçe değerlendirir. Sağlam mütalaa, mevcut bilirkişi raporunun yeniden incelenmesine yol açabilir.

Raporu kim imzalayabilir?

Adalet Bakanlığı Bilirkişilik Bölge Listesi'nde kayıtlı, bilişim alanında lisans ve sertifikalı uzmanlar imzalar. DSET ekibi CHFI, GCFE ve EnCE sertifikalı uzmanlardan oluşur.

KVKK ihlal soruşturmasında ayrı rapor gerekir mi?

Evet. KVKK 12. madde gereği veri sorumlusunun aldığı teknik tedbirler ve ihlalin kapsamı ayrı bir adli bilişim raporu ile belgelenmelidir. Bu rapor Kurul'a 72 saat içinde sunulan bildirimin eki olarak kullanılır.

DSET Adli Bilişim Laboratuvarı Hacettepe Teknokent, Beytepe, Ankara ISO 27001 · ISO 27037 metodolojisi · CHFI/GCFE/EnCE uzmanlar Telefon: +90 536 662 38 09 · E-posta: [email protected] 20+ yıl mahkeme tecrübesi.