Hızlı Cevap

İşten ayrılan bir çalışanın müşteri listesi, proje dosyaları veya ticari sırrı sızdırdığını adli bilişimle ispatlamak mümkündür. Çünkü dosya kopyalama, USB takma, buluta yükleme ve e-posta gönderme işlemlerinin hemen hepsi cihaz üzerinde geriye dönük izler bırakır. İşverenin en kritik görevi, şüphelendiği anda cihaza dokunmadan korumaya almak ve bir uzmana adli imaj (bit bit kopya) aldırmaktır. Ekran görüntüsü, e-posta çıktısı veya tanık beyanı tek başına çoğu zaman yetmez; mahkemede kabul gören şey, hash değeriyle bütünlüğü kanıtlanmış imaj üzerinden hazırlanan bilirkişi raporu ve kopması engellenmiş bir delil zinciridir.

DSET, 2003'ten bu yana Ankara Hacettepe Teknokent'te kurumsal veri sızdırma vakalarında işveren ve hukukçuların yanında. İlk teşhis ücretsiz: +90 536 662 38 09.

Tipik Veri Sızdırma Senaryoları

Çalışan kaynaklı veri sızdırma çoğu zaman tek bir yöntemle değil, birkaç kanalın bir arada kullanılmasıyla gerçekleşir. Sahada en sık karşılaştığımız yöntemler şunlardır:

  • USB belleğe veya harici diske kopyalama: En klasik yöntem. Ayrılmadan birkaç gün önce büyük hacimli kopyalama tipiktir.
  • Kişisel buluta yükleme: Google Drive, OneDrive, Dropbox veya iCloud hesabına kurumsal dosyaların senkronlanması.
  • Kendine e-posta atma: Kurumsal hesaptan kişisel Gmail/Hotmail adresine ek dosyalı mail göndermek.
  • WhatsApp Web ve mesajlaşma: Tarayıcıdan WhatsApp Web veya Telegram üzerinden dosya transferi.
  • Yazıcıdan çıktı alma: Dijital izi azaltmak için fiziksel çıktı almak; yazıcı kuyruğu yine de iz bırakır.
  • Ekran fotoğrafı çekme: Telefonla ekrandaki müşteri listesini fotoğraflamak. En zor ispatlanan yöntemdir ama erişim kayıtları yine de değerlidir.

Bu yöntemlerin önemli bir kısmı, kullanıcı dosyayı sildiğinde bile cihazda artefakt bırakır. İşte bu yüzden silme işlemi suçu gizlemez, çoğu zaman tam tersine kasıt göstergesi olur.

İşveren İlk Ne Yapmalı?

Veri sızdırma şüphesi doğduğunda yapılan ilk hamleler, davanın kaderini belirler. Burada en sık görülen hata, telaşla çalışanın bilgisayarını açıp dosyaları kontrol etmektir. Bu, delili geri dönüşsüz biçimde bozar.

Cihaza Dokunmadan Koruma

Şüphelenilen bilgisayar mümkünse olduğu gibi (açıksa açık, kapalıysa kapalı) korunmalı, ağdan izole edilmeli ve kullanım dışı bırakılmalıdır. Açılıp kapatılması, dosya açılması, hatta antivirüs taraması bile son erişim zamanlarını ve geçici dosyaları değiştirerek delili kirletir. İdeal olan, cihazı kilitli bir yere alıp tutanakla teslim almaktır.

Hesapları ve Erişimleri Kapatma

Çalışanın kurumsal e-posta, VPN, bulut ve uygulama erişimleri derhal askıya alınmalıdır. Ancak buradaki incelik şudur: hesabı silmeyin, askıya alın. Hesabın tamamen silinmesi, içindeki gönderim loglarının ve senkron kayıtlarının kaybolmasına yol açabilir.

Delil Bütünlüğünü Koruma

E-posta sunucusu logları, güvenlik duvarı ve proxy kayıtları, USB politikası logları gibi kurumsal sistem kayıtları sabitlenmelidir. Bu kayıtların silinme veya üzerine yazılma riski varsa, bir an önce uzmana yedeklettirilmelidir. Tüm bu süreç, sağlıklı bir adli bilişim süreci ve delil zinciri çerçevesinde yürütülmelidir.

Adli Bilişimin Ortaya Çıkardığı İzler

İşletim sistemi, kullanıcının hemen her hareketini farklı kayıt alanlarında saklar. Bir uzman, bu artefaktları çapraz okuyarak olayın zaman çizelgesini yeniden kurar.

USB Takılma Kayıtları (USBSTOR)

Windows, takılan her USB cihazının üreticisini, seri numarasını ve ilk/son takılma zamanını registry içinde (özellikle USBSTOR anahtarında) ve sistem loglarında saklar. Bu sayede "şu seri numaralı bellek, şu tarih ve saatte bu bilgisayara takıldı" tespiti yapılabilir. Cihaz ele geçirilebilirse, üzerindeki dosyalar ve takma anı eşleştirilir.

Son Erişilen Dosyalar ve Jump List

Son açılan belgeler, jump list kayıtları ve "Recent" klasörü, hangi dosyaların ne zaman açıldığını gösterir. Müşteri listesi dosyasının ayrılıktan hemen önce açılması güçlü bir karinedir.

Kopyalama ve LNK Artefaktları

Kısayol (LNK) dosyaları ve shellbag kayıtları, harici bir diske veya USB'ye yapılan erişimi ve o konumdaki klasör yapısını ortaya koyar. Bu, dosyanın yalnızca açılmadığını, harici bir ortama taşındığını gösterebilir.

E-posta Gönderim Logları

Kurumsal mail sunucusu (Exchange/Microsoft 365/Google Workspace) gönderilen her mesajın alıcısını, zamanını ve ek dosya bilgisini loglar. Kişisel bir adrese gönderilen ekli e-postalar burada net biçimde görünür. Çalışan "Gönderilenler" klasörünü silse bile sunucu logu çoğu zaman durur.

Bulut Senkron İzleri

Google Drive, OneDrive ve Dropbox istemcileri; senkronize edilen dosyaların adlarını, zamanlarını ve hesap bilgilerini yerel veritabanlarında ve loglarda tutar. Bu izler, hangi kurumsal dosyanın kişisel buluta çıktığını gösterir.

Silinmiş Dosya Kurtarma

Kullanıcı izini örtmek için dosyaları silse bile, silinen dosyaları geri getirme teknikleriyle veri çoğu zaman kurtarılabilir. Dosya silinse de, kopyalandığına dair artefakt (LNK, jump list, kayıt defteri izi) genellikle yerinde kalır.

Zaman Çizelgesi (Timeline)

Tüm bu izler tek tek değil, bir timeline (zaman çizelgesi) içinde anlam kazanır. "Saat 18:42'de müşteri.xlsx açıldı, 18:43'te USB takıldı, 18:45'te kişisel maile gönderildi" gibi olay örgüsü, mahkemeye somut ve ikna edici bir tablo sunar.

Sızdırma Yöntemi ile Bıraktığı İz Eşleşmesi

Sızdırma Yöntemi Bıraktığı Dijital İz İspat Gücü
USB belleğe kopyalama USBSTOR registry kaydı, LNK/jump list, son erişim Yüksek
Kişisel buluta yükleme Senkron veritabanı, istemci logu, tarayıcı geçmişi Yüksek
Kendine e-posta atma Mail sunucu gönderim logu, gönderilenler, ek meta verisi Çok yüksek
WhatsApp Web ile transfer Tarayıcı geçmişi, cache, oturum izleri Orta
Yazıcıdan çıktı Yazıcı kuyruğu (spool), iş logları Orta
Ekran fotoğrafı Doğrudan iz yok; dosya erişim ve açılma kaydı dolaylı Düşük

Neden Ekran Görüntüsü ve Şüphe Yetmez?

İşverenler çoğu zaman elinde bir ekran görüntüsü, bir mail çıktısı veya bir tanık beyanıyla gelir. Bunlar değerli başlangıç sinyalleridir, ancak tek başlarına mahkemede genellikle zayıf kalır. Çünkü:

  • Ekran görüntüsü ve çıktı değiştirilebilir/üretilebilir kabul edilir, bütünlüğü kanıtlanamaz.
  • Karşı taraf "bu veriyi siz oluşturdunuz" itirazını kolayca yapabilir.
  • Delilin nereden, nasıl, ne zaman alındığı belgelenmemişse hukuki değeri tartışmalı hale gelir.

Mahkemede sağlam duran şey; orijinal medyanın bit bit kopyasının (adli imaj) alınması, bu imajın hash değeri (örneğin SHA-256) ile mühürlenmesi ve incelemenin kopya üzerinde yapılmasıdır. Hash, "bu delil ele geçirildiği andan beri tek bir bit dahi değişmedi" güvencesini matematiksel olarak verir.

Delil Zinciri (Chain of Custody)

Delilin ele geçirildiği andan rapora kadar her el değiştirme, her işlem tutanakla kayıt altına alınmalıdır. Bu zincirde bir kopukluk olması, en güçlü teknik bulgunun bile mahkemece dışlanmasına yol açabilir. Bu nedenle ilk müdahaleden itibaren sürecin uzman eliyle yürütülmesi kritik öneme sahiptir.

Hukuki Çerçeve

Veri sızdırma yalnızca teknik değil, çok katmanlı bir hukuki meseledir. Türk hukukunda olay birkaç ekseni aynı anda ilgilendirir:

  • TTK (Ticari Sır): Türk Ticaret Kanunu kapsamında ticari sırrın haksız ele geçirilmesi ve kullanılması haksız rekabet oluşturur.
  • TCK (Türk Ceza Kanunu): Bilişim sistemine girme, verileri hukuka aykırı ele geçirme ve yayma fiilleri cezai sorumluluk doğurabilir.
  • İş Sözleşmesi ve Gizlilik Yükümlülüğü: Sözleşmedeki gizlilik ve rekabet yasağı hükümlerinin ihlali, tazminat ve haklı fesih sonuçları doğurur.
  • KVKK (Veri İşleyen Sorumluluğu): Sızan veriler kişisel veri içeriyorsa (müşteri listesi gibi), işveren olarak veri sorumlusu sıfatıyla yükümlülükleriniz devreye girer. Gerekirse KVKK veri ihlali bildirimi süreci işletilmelidir.

Ayrıca işverenin çalışanın cihazını ve e-postasını inceleme yetkisinin sınırları da önemlidir; bu konuda işveren çalışan bilgisayarını inceleyebilir mi yazımızdaki çerçeveye uygun hareket etmek, delilin hukuka uygun yoldan elde edilmesini güvence altına alır.

Mahkemede Bilirkişi Raporu

Tüm teknik bulgular, alanında uzman bir bilirkişinin hazırladığı, anlaşılır ve savunulabilir bir raporla mahkemeye sunulur. İyi bir rapor; kullanılan yöntemi, hash değerlerini, bulunan artefaktları ve bunların ne anlama geldiğini, hukukçunun ve hakimin takip edebileceği netlikte aktarır. Suçlayıcı değil, bulguya dayalı ve tarafsız bir dil esastır.

Sık Sorulan Sorular (SSS)

Çalışan dosyaları sildiyse artık ispatlamak imkansız mı? Hayır. Silme işlemi genellikle dosyanın kurtarılmasını engellemez ve daha da önemlisi, kopyalama/USB/gönderim gibi eylemlerin izleri farklı kayıt alanlarında durmaya devam eder. Silme çoğu zaman kasıt göstergesine dönüşür.

Elimde sadece bir ekran görüntüsü var, dava açabilir miyim? Ekran görüntüsü bir başlangıç sinyalidir ancak tek başına zayıftır. Hukuki güç için cihazın adli imajının alınması ve hash ile bütünlüğünün kanıtlanması gerekir. Önce uzmanla durumu değerlendirin.

Çalışanın bilgisayarını kendim açıp inceleyebilir miyim? Önerilmez. Cihazı açmak, dosya gezmek hatta antivirüs çalıştırmak bile son erişim zamanlarını değiştirerek delili kirletebilir. En doğrusu cihaza dokunmadan korumaya almak ve uzmana imaj aldırmaktır.

Veri kişisel buluta veya kişisel maile gittiyse görebilir miyiz? Kurumsal e-posta sunucusu ve bulut istemci logları, hangi dosyanın ne zaman ve nereye gönderildiğini çoğu zaman gösterir. Hedef hesaba erişemesek bile, gönderim/senkron izi cihazda ve sunucuda kalır.

Bu süreç ne kadar sürer ve gizli kalır mı? Vaka kapsamına göre değişir; tipik bir inceleme birkaç günde tamamlanabilir. Süreç gizlilik esasıyla yürütülür ve ilk teşhis aşamasında durumun ispatlanabilirliği hakkında net bir değerlendirme sunulur.

DSET ile Çalışmak

DSET, 2003'ten bu yana Ankara Hacettepe Teknokent Beytepe (Çankaya) merkezli olarak kurumsal veri sızdırma, ticari sır hırsızlığı ve çalışan kaynaklı dijital olaylarda adli bilişim ve bilirkişilik hizmeti veriyor. %99.4 başarı oranı ve mahkemede savunulabilir raporlama yaklaşımıyla, işveren ve hukukçuların yanındayız. İlk teşhis ücretsizdir.

İletişim: +90 536 662 38 09

Kaynaklar