Bir bilişim sisteminde güvenlik açığı ile zafiyetlerin önlenmesi ve sistemin daha güvenli hale gelmesini sağlamak amacıyla, tecrübeli ve siber güvenlik üzerinde uzman kişilerin, çeşitli yazılımlar ve fiziksel yöntemlerle gerçekleştirilen siber güvenlik analiz ve atak hizmetlerine sızma testi denir.
Kanuni Düzenleme ve Emsal Karar
TCK md.243/I: ‘’Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.’’
Yargıtay 8. Ceza Dairesi’nin 2014/29566 E. ve 2015/13421 K. sayılı kararı: ‘’bir bilişim sisteminde bulunan verilerin bir kısmına veya tamamına, fiziken ya da uzaktan başka bir cihaz yoluyla erişilmesidir. Erişimi gerçekleştirmek için gevşek güvenlik önlemlerinden faydalanılabileceği gibi, var olan güvenlik önlemlerindeki boşluklar da kullanılabilir. Ağ üzerinden virüsler (komik resimler, kutlama kartları veya ses ve görüntü dosyaları gibi ekler halinde), truva atı (trojan horse), macro virüsü, solucanlar gibi kullanılarak veya sistemin açık kapıları zorlanarak giriş yapılabilir. Bilgisayar veri ve sistemlerine yapılan izinsiz giriş, aynı zamanda, “bilgisayara tecavüz”, “kod kırma” ya da “bilgisayar korsanlığı” olarak da tanımlanmaktadır.’’
Hukuki Uygunluk
TCK md.243 bilişim sistemine girme suçunu düzenlemektedir. Bilişim sistemine girme suçu hem bilişim sistemine rıza dışında girilmesi hem de rızanın ortadan kalkmış olduğu halde sistemde kalmaya devam edilmesiyle işlenebilir.
Bilişim sisteminde hukuki olarak sızma testinin gerçekleştirilebilmesi için sızma testi yapılmasını talep eden ve testi gerçekleştirecek olan taraflar arasında irade uyuşması bulunması gerekmektedir. Sızma testinin, testi talep eden kişinin rızası dışında gerçekleştirilmesi halinde, hukuka aykırılık meydana gelecek dolayısıyla testi gerçekleştiren kişinin cezai sorumluluğu doğacaktır.
Sızma testinin ifa edildiği esnada, sızma testi talep eden kişinin, işlemlerin durdurulmasını talep etmesi ve sızma testine devam edilmesi neticesinde, bilişim sistemine girme suçu meydana gelecektir.
Test Esnasında Sisteme Zarar Verilmesi
TCK md.243/III: ‘’Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, altı aydan iki yıla kadar hapis cezasına hükmolunur.’’
Sızma testi esnasında sisteme zarar verilmesi halinde verilecek olan ceza artırılacaktır. Cezai sorumluluğun dışında sisteme verilen zarar, maddi zarara neden olması durumunda oluşan maddi zarar, sızma testini gerçekleştiren kişi tarafından tazmin sorumluluğu doğacaktır.
Sonuç
Tarafımızca sızma testine ilişkin anlaşmaların yazılı olarak yapılması ve sızma testine ilişkin işlemlerin durdurulmasının yazılı olarak karşı tarafa iletilmesi ileride meydana gelecek uyuşmazlıkların ispatı açısından kolaylık oluşturacaktır.
İspat hususu haricinde bilişim sisteminde olası bir zarar meydana gelmesinin önlenmesi amacıyla, sızma testinin, sızma testi yapılacak sisteminin beta sürümü veya sistemin yedeğine uygulanması önerilmektedir.