Sızma Testi Sözleşmesi ve Yasal Yetkilendirme: TCK 243-245, Kapsam ve Rules of Engagement

Hızlı Cevap: Bir sızma testini meşru kılan tek şey, hedef sistemin sahibinden alınmış yazılı yetkilendirmedir. Bu yetki olmadan yapılan test, Türk Ceza Kanunu Madde 243 (bilişim sistemine hukuka aykırı girme), 244 (sistemi engelleme, bozma, veriyi yok etme ya da değiştirme) ve 245 (banka/kredi kartı) kapsamına girebilir; yani suçtur. TCK 243'teki "hukuka aykırı olarak" ifadesini ortadan kaldıran şey, tam da yazılı izindir. Bu yüzden her sızma testi bir sözleşme, net bir kapsam, imzalı bir Permission to Test belgesi ve Rules of Engagement (kuralları, zaman pencereleri, acil durum iletişimi, veri işleme) ile başlamalıdır. Kişisel veriye dokunan testlerde ayrıca KVKK Madde 12 yükümlülükleri ve bir veri işleme/gizlilik sözleşmesi gerekir.

Sızma testinin teknik tarafı kadar önemli, ama çoğu zaman ihmal edilen bir yüzü vardır: hukuki çerçeve. Bir sızma testi, tanımı gereği, başkasının sistemine izinsiz erişim girişimlerini taklit eder. Bu girişimleri suç olmaktan çıkaran tek unsur, sistem sahibinin verdiği açık ve yazılı yetkidir. Yetki yoksa, niyet iyi olsa bile fiil suç olabilir. Bu yazı, Türkiye'de bir sızma testinin yasal zeminini ve sözleşmesini pratik biçimde ele alır. Süreç ve fiyat için sızma testi süreci ve ne zaman gerekli, firma seçimi için pentest yapan firmalar nasıl seçilir yazılarımıza bakın.

Yasal zemin: TCK 243, 244, 245

Türkiye'de bilişim suçları, 5237 sayılı Türk Ceza Kanunu'nda düzenlenir.

  • Madde 243 (Bilişim sistemine girme): "Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir." Yani yetkisiz erişimin kendisi suçtur. Erişim sonucu veri yok olur ya da değişirse ceza artar; sistemler arası veri trafiğinin yetkisiz izlenmesi de ayrı bir fıkrada cezalandırılır.
  • Madde 244 (Sistemi engelleme, bozma, verileri yok etme veya değiştirme): Bir bilişim sisteminin işleyişini engellemek ya da bozmak hapis cezası gerektirir; verileri bozmak, yok etmek, değiştirmek ya da erişilmez kılmak da öyle. Banka ya da kamu kurumu sistemine karşı işlenirse ceza yarı oranında artar.
  • Madde 245 (Banka veya kredi kartlarının kötüye kullanılması): Kart sistemlerine yönelik fiilleri cezalandırır.

Buradaki kilit nokta şudur: Madde 243'teki "hukuka aykırı olarak" ifadesi, fiili suç yapan unsurdur. Yazılı yetkilendirme, erişimi hukuka uygun hale getirir ve fiili suç olmaktan çıkarır. Bu yüzden yetki belgesi, bir sızma testinin hukuki kalkanıdır. (Tam madde metinleri için Mevzuat Bilgi Sistemi'ndeki resmi kaynağa bakınız; kaynaklar bölümünde verilmiştir.)

Türkiye'de tek bir "pentest izni yasası" var mı

Hayır. Türkiye'de "sızma testi öncesi yazılı izin alınmalıdır" diye doğrudan emreden tek bir özel kanun maddesi yoktur. Yazılı yetkilendirme gerekliliği, TCK 243-245'in negatifinden doğar: yetkisiz erişim suçtur, dolayısıyla yetki bu suçu ortadan kaldıran hukuka uygunluk nedenidir. Buna ek olarak KVKK yükümlülükleri ve sözleşme hukuku devreye girer. USOM, sızma testi hizmeti veren personel ve firmalar için kriterler içeren resmi bir doküman yayımlamıştır; sektörel beklentiler bu çerçevede şekillenir.

CMK 134 ve adli bağlam

Adli bir soruşturma bağlamında bilgisayarlarda arama, kopyalama ve el koyma, Ceza Muhakemesi Kanunu Madde 134 ile düzenlenir: somut delillere dayanan kuvvetli şüphe ve başka türlü delil elde edilememesi halinde, hâkim (gecikmesinde sakınca varsa savcı) kararıyla yapılır. Bu, bir sızma testi yetkisi değildir; adli bilişim süreçleri için geçerlidir ve sızma testinin yetkilendirme mantığından ayrıdır. Adli süreç için adli bilişim süreci, KVKK ve delil zinciri yazımıza bakın.

KVKK Madde 12: kişisel veriye dokunan testler

Bir sızma testi üretim sistemlerine ve dolayısıyla kişisel verilere dokunuyorsa, KVKK Madde 12 devreye girer: veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, muhafazasını sağlamak için her türlü teknik ve idari tedbiri almak zorundadır; veri başkası adına işleniyorsa sorumluluk müştereken devam eder. Pratikte bu, test eden firmanın bir veri işleyen gibi konumlandığı, dolayısıyla bir hukuki dayanağın ve veri işleme/gizlilik sözleşmesinin gerektiği anlamına gelir. KVKK'nın Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler), bu tedbirler arasında düzenli güvenlik testlerini de sayar.

Sözleşmenin ve Rules of Engagement'ın olmazsa olmazları

PTES'in Pre-engagement Interactions bölümü, bir testin başlamadan önce yazıya dökülmesi gereken unsurları tanımlar ve kapsamı "bir sızma testinin tartışmasız en önemli ama en çok göz ardı edilen bileşeni" olarak niteler. Sağlam bir sızma testi sözleşmesi ve Rules of Engagement şunları içermelidir:

  1. Net kapsam. Hangi IP aralıkları, alan adları, uygulamalar ve fiziksel konumlar test edilecek; hedeflerin gerçekten müşteriye ait olduğu doğrulanmalı. Kapsam dışı her şey açıkça yazılmalı.
  2. Permission to Test (Test İzni) belgesi. PTES'e göre alınması gereken en önemli belgedir: kapsamı belirtir, sistemde kararsızlık oluşabileceğinin farkında olunduğunu kabul eder ve test başlamadan önce müşterinin imzasını taşır. Üçüncü taraf sistemler için (örneğin bulut sağlayıcı) ayrı izin gerekir.
  3. Yetkilendiren makam. İzni veren kişinin, o izni verme yetkisine sahip olduğu teyit edilmeli (örneğin bir bilgi güvenliği yöneticisi ya da imza yetkilisi).
  4. Zaman pencereleri. Mesai içi, mesai dışı ya da hafta sonu; net başlangıç ve bitiş tarihleriyle.
  5. Acil durum iletişimi. Tam ad, unvan, 7/24 ulaşılabilecek iki iletişim yöntemi ve güvenli veri aktarım yöntemi.
  6. Hassas veri ve sosyal mühendislik kuralları. Hassas verinin nasıl işleneceği, onaylı sosyal mühendislik senaryoları (yazılı olarak) ve hizmet kesintisi/stres testi parametreleri.
  7. Veri işleme ve gizlilik. KVKK uyumlu veri işleme sözleşmesi, bulguların saklanması, paylaşımı ve imhası.

Get-out-of-jail mektubu

Özellikle fiziksel ve sosyal mühendislik testlerinde, ekibin sahada bulunması ya da bir işlemi yapması için yetkili olduğunu kanıtlayan bir belge taşıması beklenir; sektörde buna get-out-of-jail (hapisten çıkış) mektubu denir. Bu belge, kiminle çalışıldığını, ne yapıldığını, hangi adres ve binaları kapsadığını ve müşteri irtibat kişisini içerir. Temel hukuki ilke evrenseldir: erişimin yetkili olup olmadığı. Yetki varsa fiil meşru, yoksa suçtur.

DSET olarak nasıl çalışıyoruz

DSET olarak hiçbir testi yazılı yetkilendirme, net kapsam ve imzalı Permission to Test belgesi olmadan başlatmayız. Her test bir sözleşme ve Rules of Engagement ile yürür; kişisel veriye dokunan testlerde KVKK uyumlu veri işleme sözleşmesi imzalanır. Bulgular doğrulanmış kanıtla raporlanır; bkz. doğrulanmış zafiyet ve yanlış pozitifsiz test. Bu hukuki disiplin, kurumumuzu ve müşterimizi korur ve testin mahkeme önünde de savunulabilir olmasını sağlar.

Sıkça Sorulan Sorular

Kendi sistemimi izinsiz test edebilir miyim? Sistem tamamen size aitse ve üçüncü taraf (bulut sağlayıcı, ortak altyapı) etkilenmiyorsa risk düşüktür; ancak bulut ve barındırma sağlayıcılarının çoğu kendi izin sürecini ister. Her durumda yazılı kapsam önerilir.

Sözlü izin yeterli mi? Hayır. Sözlü izin ispatlanamaz; bir uyuşmazlıkta sizi korumaz. İmzalı yazılı yetkilendirme şarttır.

Pentest sırasında sistem çökerse sorumluluk kimde? Bu yüzden Rules of Engagement, kararsızlık riskinin kabul edildiğini, zaman pencerelerini ve acil iletişimi yazıya döker; sorumluluk ve sınırlar sözleşmeyle belirlenir.

Kaynaklar

Sızma testinizi yasal, yetkili ve sözleşmeli biçimde yürütmek için DSET ile iletişime geçin.