Adli Bilişim Raporu Nasıl Olmalı? Uluslararası Standart Format ve Şablon (ISO, INTERPOL, NIST)
Mahkemede kabul edilen bir adli bilişim raporu uluslararası standartlara (ISO/IEC 27037-27043, INTERPOL, SWGDE, NIST SP 800-86, ACPO, Daubert, CMK 134) göre nasıl hazırlanır? Bölüm bölüm rapor format şablonu, delil zinciri, hash, metodoloji ve reddedilme nedenleri. Hukukçu, sanık ve uzman için referans rehber.
Adli Bilişim Raporu Nasıl Olmalı? Uluslararası Standart Format ve Şablon
Hızlı cevap: Mahkemede ve hukuki süreçte kabul gören bir adli bilişim raporu, rastgele yazılmış bir teknik metin değildir. Uluslararası standartlara (ISO/IEC 27037, 27041, 27042, 27043, INTERPOL Dijital Adli Bilişim Laboratuvarları Kılavuzu, SWGDE en iyi uygulamaları, NIST SP 800-86, İngiliz ACPO ilkeleri, ABD Daubert kriteri) ve Türk hukukunda CMK m.134 ile bilirkişilik hükümlerine uygun olmalıdır. Bu yazı, bu standartları tek bir referansta toplar ve bölüm bölüm bir rapor format şablonu sunar. Amaç; uzmanın doğru rapor yazması, hukukçunun raporu doğru değerlendirmesi ve hakkını araması, tarafların ne beklemesi gerektiğini bilmesidir. Uzman desteği için: +90 536 662 38 09.
Neden standart bir rapor şart? Bir raporun üç görevi
Bir adli bilişim raporu üç işi aynı anda yapmak zorundadır:
- Tekrarlanabilirlik: Bağımsız ikinci bir uzman, aynı delili aynı yöntemle incelediğinde aynı sonuca ulaşabilmelidir. Bu, bilimsel kanıtın temelidir.
- Bütünlük (integrity): Delilin, toplandığı andan rapora kadar hiç değişmediği kanıtlanabilmelidir.
- Anlaşılabilirlik: Teknik olmayan bir hakim, savcı, avukat ya da jüri raporu okuyup teknik bulguların hukuki anlamını kavrayabilmelidir.
Bu üç görevi yerine getirmeyen bir rapor, bulguları doğru olsa bile mahkemede reddedilebilir. İşte uluslararası standartlar tam da bu üç görevi güvence altına almak için vardır.
Uluslararası adli bilişim standartları ve çerçeveleri
ISO/IEC 27037: Dijital delilin tanımlanması, toplanması, elde edilmesi ve korunması
Bu standart, olay yerinde delilin nasıl tespit edileceğini, nasıl elde edileceğini (acquisition) ve nasıl korunacağını tanımlar. İki temel rolü belirler: DEFR (Digital Evidence First Responder, ilk müdahale eden) ve DES (Digital Evidence Specialist, uzman). Raporun "delil elde etme" bölümü bu standarda dayanmalıdır.
ISO/IEC 27041: İnceleme yönteminin uygunluğunun güvencesi
Kullanılan yöntemin ve araçların, amaca uygun ve doğrulanmış (validated) olduğunu güvence altına alır. Yani "bu aracı neden kullandım ve güvenilir olduğunu nereden biliyorum" sorusunun cevabıdır.
ISO/IEC 27042: Dijital delilin analizi ve yorumlanması
Bulguların nasıl analiz edileceğini ve yorumlanacağını düzenler. Raporun "analiz ve değerlendirme" bölümünün omurgasıdır, özellikle bulgudan çıkarılan sonucun gerekçelendirilmesini ister.
ISO/IEC 27043: Olay soruşturma ilke ve süreçleri
Tüm soruşturma sürecini uçtan uca (hazırlık, tespit, toplama, analiz, raporlama) bir model olarak tanımlar.
ISO/IEC 17025: Laboratuvar yetkinliği
Adli bilişim laboratuvarlarının teknik yetkinliğini ve akreditasyonunu düzenleyen genel standarttır. Ciddi laboratuvarlar süreçlerini bu çerçeveye oturtur.
INTERPOL Dijital Adli Bilişim Laboratuvarları Küresel Kılavuzu
INTERPOL'ün yayımladığı bu kılavuz, dijital adli bilişim laboratuvarlarının kurulumu, süreçleri, kalite güvencesi ve raporlama standartları için uluslararası bir referanstır ve ülkeler arası delil paylaşımında ortak dil sağlar.
SWGDE (Scientific Working Group on Digital Evidence)
Dijital delil için "en iyi uygulama" (best practices) dokümanları yayımlayan, dünya çapında referans alınan bir çalışma grubudur. Görüntü alma, doğrulama ve raporlama için pratik kılavuzlar sunar.
NIST SP 800-86 ve SP 800-101
ABD Ulusal Standartlar ve Teknoloji Enstitüsü'nün adli teknikleri olay müdahalesine entegre etme (800-86) ve mobil cihaz adli bilişimi (800-101) kılavuzları, metodoloji için yaygın referanslardır.
ACPO Dört İlkesi (İngiltere)
İngiliz ACPO "Good Practice Guide for Digital Evidence", dört altın ilkeyle özetlenir:
- Hiçbir işlem, delili tutan veriyi değiştirmemelidir.
- Orijinal veriye erişmek zorunlu ise, bunu yapan kişi yetkin olmalı ve eyleminin sonuçlarını açıklayabilmelidir.
- Tüm sürecin denetlenebilir bir kaydı (audit trail) tutulmalı, üçüncü bir taraf süreci tekrarlayıp aynı sonuca ulaşabilmelidir.
- Soruşturmadan sorumlu kişi, hukuka ve bu ilkelere uyulmasını sağlamakla yükümlüdür.
Daubert Kriteri (ABD)
Uzman görüşünün mahkemece kabul edilebilirliğini değerlendiren ölçüt; yöntemin test edilebilir olması, hakemli yayınlarda yer alması, bilinen hata oranı ve bilim camiasında genel kabul görmesini sorgular. Avrupa ve Türk hukukunda doğrudan bağlayıcı olmasa da, yöntem güvenilirliği tartışmasında evrensel bir referanstır.
Locard Değişim İlkesi
"Her temas bir iz bırakır." Adli bilimin bu temel ilkesi dijitalde de geçerlidir: her erişim, kopyalama ve çalıştırma bir iz (log, zaman damgası, artefakt) üretir, raporun bu izleri dikkate alması beklenir.
Türk hukukunda dayanak: CMK ve bilirkişilik
Türkiye'de dijital delil ve adli bilişim raporu şu hükümlere dayanır:
- CMK m.134 (Bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve elkoyma): Adli bilişimde elkoyma ve imaj (kopya) alma yetkisinin temel dayanağıdır, sistemdeki verilerin yedeklenmesi ve bir kopyasının ilgiliye verilmesini düzenler.
- CMK m.62-73 (Bilirkişi): Bilirkişinin atanması, görevi, raporun usulü ve uzman mütalaası.
- HMK (Hukuk Muhakemeleri Kanunu) bilirkişilik hükümleri: Hukuk davalarında.
- Bilirkişilik Kanunu ve Yönetmeliği: Bilirkişinin nitelik ve yükümlülükleri.
Bir rapor, teknik olarak mükemmel olsa bile bu usul hükümlerine aykırı toplanmış bir delile dayanıyorsa "hukuka aykırı delil" sayılıp reddedilebilir. Türk uygulamasında bu örüntüyü Yargıtay kararlarındaki ret analizinde inceledik.
Bir adli bilişim raporunun olmazsa olmaz bölümleri
Uluslararası standartların ortak paydası, bir raporun aşağıdaki bölümleri içermesidir:
| Bölüm | İçermesi gerekenler |
|---|---|
| 1. Kapak ve kimlik | Rapor numarası, tarih, vaka/dosya no, talep eden makam, uzman adı ve unvanı, laboratuvar |
| 2. Yönetici özeti | Teknik olmayan okuyucu için kısa, sade sonuç özeti |
| 3. Görevlendirme ve kapsam | Hangi soru(lar)a cevap aranıyor, inceleme sınırları, talebin dayanağı |
| 4. İncelenen materyaller | Her cihazın marka, model, seri no, kapasite, fiziksel durum fotoğrafı |
| 5. Delil zinciri (chain of custody) | Delilin kimden, ne zaman, nasıl alındığı, her el değiştirme kaydı |
| 6. Metodoloji ve araçlar | Kullanılan yazılım/donanım, sürümleri, yazma engelleyici, neden seçildiği |
| 7. Elde etme (acquisition) ve doğrulama | İmaj alma yöntemi, format (E01/dd), kaynak ve imaj hash değerleri |
| 8. Bulgular | Tarafsız, ham bulgular; ekran görüntüleri, artefaktlar, zaman çizelgesi |
| 9. Analiz ve yorum | Bulgulardan çıkarılan sonuçların gerekçelendirilmesi |
| 10. Sonuç | Görevlendirme sorularına net, ölçülü cevaplar |
| 11. Sınırlamalar ve varsayımlar | İncelemenin sınırları, belirsizlikler, yapılamayan testler |
| 12. Ekler | Hash listeleri, log çıktıları, araç raporları, özgeçmiş/yetkinlik |
| 13. Beyan ve imza | Tarafsızlık beyanı, uzmanın imzası ve tarihi |
RAPOR FORMAT ŞABLONU (bölüm bölüm)
Aşağıdaki şablon, doğrudan kullanılabilir bir iskelettir. Her başlık altında neyin yazılacağı belirtilmiştir.
1. KAPAK
- Rapor başlığı: "Adli Bilişim İnceleme Raporu"
- Rapor No / Düzenlenme tarihi
- Dosya / Soruşturma No, talep eden makam (mahkeme, savcılık, taraf vekili)
- Düzenleyen uzman/bilirkişi: ad soyad, unvan, sicil/lisans no
- Laboratuvar adı ve iletişim
2. YÖNETİCİ ÖZETİ (Executive Summary)
Bir sayfayı geçmeyen, teknik terimden arındırılmış özet: neyin incelendiği, hangi yöntemin kullanıldığı ve ana sonuç. Hakim ve avukatın ilk okuyacağı bölümdür.
3. GÖREVLENDİRME VE İNCELEME KAPSAMI
- Görevlendirmenin dayanağı (mahkeme kararı / sözleşme / talep)
- Cevaplanması istenen sorular (madde madde)
- Kapsam dışı bırakılanlar ve nedenleri
4. İNCELENEN MATERYALLER (Delil Listesi)
Her materyal için: sıra no, tür (HDD/SSD/telefon/USB), marka-model, seri no, kapasite, teslim alındığı durum (mühür no, fiziksel hasar), fotoğraf referansı.
5. DELİL ZİNCİRİ (Chain of Custody)
Tarih-saat damgalı kayıt: delili kim teslim etti, kim teslim aldı, nerede saklandı, kimler erişti. Zincirde boşluk olmamalıdır.
6. METODOLOJİ, ARAÇLAR VE STANDARTLAR
- Uyulan standartlar (ISO/IEC 27037, 27042; ACPO ilkeleri; SWGDE)
- Kullanılan donanım: yazma engelleyici (write blocker) marka/model
- Kullanılan yazılımlar ve sürüm numaraları
- Araçların neden seçildiği ve doğrulanmış olduğu (ISO 27041)
7. ELDE ETME (ACQUISITION) VE BÜTÜNLÜK DOĞRULAMASI
- İmaj alma yöntemi (birebir bit kopya), imaj formatı (E01/EWF, dd/raw)
- Kaynak medyanın hash değeri (örn. SHA-256)
- İmajın hash değeri ve kaynakla aynı olduğunun teyidi
- Orijinale yazma engelleyiciyle erişildiğinin beyanı
Kritik nokta: Kaynak ve imaj hash değerlerinin eşleşmesi, raporun bilimsel omurgasıdır. Tek bir bitlik fark bile farklı bir hash üretir; bu yüzden hash, delilin değişmediğinin matematiksel ispatıdır. Konuyu hash doğrulama nedir yazımızda anlattık.
8. BULGULAR (Findings)
Tarafsız, yorumsuz ham bulgular: ilgili dosyalar, e-postalar, mesajlar, silinmiş/kurtarılmış veriler, zaman damgaları, kullanıcı hesapları, bağlantı kayıtları. Her bulgu için ekran görüntüsü ve dosya yolu/artefakt konumu verilir. Bulgular ile yorum birbirinden ayrı tutulur.
9. ANALİZ VE DEĞERLENDİRME
Bulguların ne anlama geldiği, gerekçeleriyle açıklanır (ISO/IEC 27042). Alternatif açıklamalar değerlendirilir; örneğin bir zaman damgası manipülasyonu olasılığı tartışılır. Aşırı kesin ve abartılı ifadelerden kaçınılır.
10. SONUÇ
Görevlendirme sorularına madde madde, ölçülü ve kanıta dayalı cevaplar. Bilinmeyen bir şey varsa "tespit edilememiştir" denir, varsayımla doldurulmaz.
11. SINIRLAMALAR VE VARSAYIMLAR
Şifre çözülemeyen alanlar, fiziksel olarak okunamayan sektörler, yapılamayan testler ve bunların sonuca etkisi açıkça yazılır.
12. EKLER
Tam hash listeleri, araç log çıktıları, kurtarılan dosya dizinleri, fotoğraflar ve uzmanın yetkinlik belgesi/özgeçmişi.
13. TARAFSIZLIK BEYANI VE İMZA
"İncelemeyi tarafsız, bilimsel ve standartlara uygun yaptım" beyanı, uzmanın imzası, tarih.
Raporun reddedilme nedenleri: nelere dikkat edilmeli?
Hukukçuların ve tarafların bilmesi gereken en sık ret nedenleri:
- Orijinale doğrudan müdahale: Yazma engelleyici kullanılmadan orijinal diske erişilmesi, metadatayı bozar (ACPO İlke 1 ihlali).
- Hash eksikliği: Kaynak/imaj hash değerlerinin alınmaması, bütünlüğün kanıtlanamaması.
- Delil zinciri boşluğu: Belgesiz el değiştirme, "delil değiştirilmiş olabilir" itirazına kapı açar.
- Yöntem ve araç şeffaflığı yokluğu: Hangi araçla, hangi sürümle çalışıldığının yazılmaması (tekrarlanamazlık).
- Bulgu ile yorumun karışması: Tarafsız bulgu ile uzman yorumunun ayrılmaması.
- CMK m.134 usulüne aykırılık: İmaj/kopya alımında usule uyulmaması.
- Aşırı kesin dil: Veriyle desteklenmeyen kategorik iddialar.
Sanık, mağdur ve avukat için: rapor karşısında haklarınız
- İkinci bir uzman incelemesi (karşı mütalaa) talep etme hakkı: Standartlara uygun bir rapor tekrarlanabilir olduğundan, karşı taraf aynı imaj üzerinde bağımsız inceleme yaptırabilir.
- İmajın ve hash'in talep edilmesi: Tarafların, incelenen imajın bir kopyasını ve hash değerlerini talep etme imkanı, raporun doğrulanabilirliğini sağlar.
- Delil zincirini sorgulama: Zincirde boşluk varsa delilin güvenilirliği itiraz konusu yapılabilir.
- Yöntem güvenilirliğini sorgulama: Daubert mantığıyla, kullanılan yöntemin doğrulanmış ve kabul görmüş olup olmadığı sorgulanabilir.
Bu yüzden iyi bir rapor, yalnızca bir tarafın değil, adaletin aracıdır: tekrarlanabilir, doğrulanabilir ve şeffaf olduğu için her tarafa hakkını arama imkanı verir.
DSET yaklaşımı
DSET, adli bilişim raporlarını yukarıdaki uluslararası standartlara ve Türk usul hukukuna uygun hazırlar; ayrıca veri kurtarma ve adli bilişimi aynı çatı altında yürüttüğü için silinmiş ya da hasarlı delili önce kurtarır, sonra delil zincirini koruyarak raporlar. Rapor yapısının Türk usulündeki ayrıntısı için adli bilişim raporu kaç sayfa, CMK 67 standardı ve bilirkişi raporu yapısı, format ve bölümler yazılarımıza, sürecin tamamı için adli bilişim süreci 2026 yazımıza bakabilirsiniz. +90 536 662 38 09.
Sıkça Sorulan Sorular
Adli bilişim raporu kaç sayfa olmalı?
Sabit bir sayı yoktur. Önemli olan, görevlendirme sorularına standartlara uygun ve eksiksiz cevap vermesidir. Basit bir vaka birkaç sayfa, karmaşık bir kurumsal vaka yüzlerce sayfa olabilir.
Hash neden bu kadar önemli?
Hash, delilin toplandığı andan beri bir bit bile değişmediğinin matematiksel ispatıdır. Kaynak ve imaj hash'i eşleşmiyorsa, delilin bütünlüğü kanıtlanamaz ve rapor çürütülebilir.
Yazma engelleyici (write blocker) nedir, neden şart?
Orijinal medyaya yalnızca okuma erişimi sağlayan, yazmayı donanımsal olarak engelleyen cihazdır. Olmadan orijinale erişmek, metadatayı değiştirir ve ACPO ilkelerine aykırıdır.
Ekran görüntüsü ya da telefonla çekilen fotoğraf delil olur mu?
Zayıf bir delildir ve kolayca düzenlenebilir. Güçlü delil, yazma engelleyiciyle alınmış, hash ile doğrulanmış ve delil zinciri belgelenmiş imajdan elde edilen veridir.
Karşı taraf raporu çürütebilir mi?
Evet, eğer rapor standartlara uymuyorsa (hash yok, zincir boşluğu, yöntem belirsiz). Bu yüzden standartlara uygun, tekrarlanabilir bir rapor hem güçlü hem adildir.
Standartlara uygun adli bilişim raporu ve dijital delil incelemesi için: +90 536 662 38 09. Adres: Hacettepe Teknokent, Beytepe, Çankaya, Ankara.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.