Adli Bilişim ve Siber Güvenlik Açısından Dijital Delilin Yargı Sürecindeki Rolü

Dijital çağın veri hacmi, saniyeler içinde ülkelerin toplam kütüphane arşivlerini aşacak boyutlara ulaşırken, suç işleme biçimleri de aynı hızla sanal ortama taşındı. Fidye yazılımlarıyla hastanelerin hizmet veremez hale getirildiği, sosyal mühendislik operasyonlarıyla kritik kamu personelinin kimlik bilgilerinin ele geçirildiği ve tedarik zinciri saldırılarıyla binlerce kuruluşun bir gecede etkilendiği bir dönemdeyiz. Bu karmaşık saldırılar yalnızca teknik hasar bırakmıyor; şirket hisselerinin çöküşünden ulusal güvenliğe uzanan zincirleme sonuçlar doğuruyor. Dolayısıyla artık “siber savunma” kavramı, salt sistemleri ayakta tutmaktan ibaret olamaz. Siber güvenlik uzmanlarının saldırıyı bertaraf etmesiyle başlayan süreç, adli bilişim uzmanlarının dijital izleri koruma altına almasıyla tamamlanıyor ve böylece adalet mekanizmasına taşınabilecek sağlam, tartışmaya kapalı delil setleri inşa edilebiliyor.
Siber güvenlik ile adli bilişim arasındaki bu simbiyotik ilişki, bir olay anında zamanla yarışırken devreye girer. Örneğin bir fidye yazılımı, ağdaki yedek dosyaları şifrelemeye başlamadan önce saniyeler içinde kendini gizleyebilir; saldırgan, adli analizcilerin olası bulgularını silmek için betikler çalıştırabilir. İşte bu anda olay müdahale ekibi, sistemleri çevrimdışı hale getirip trafiği izole ederken, adli bilişim ekibi de ısının yavaş yavaş yükseldiği o “altın saat” içinde RAM dökümlerini, sistem loglarını ve ağ paketlerini bütünlük kanıtı hash değerleriyle dondurur. Çünkü saldırganın dijital ayak izleri bir kez uçup giderse, hakim karşısında iddianameyi destekleyecek maddi gerçeği yeniden yaratmak neredeyse imkansızlaşır.
Bu noktada “delil bütünlüğü” ilkesi, soyut bir prosedürden ziyade fiilen uygulanan, her adımı valör kazandıran bir güvenlik ağı işlevi görür. Delile ilk dokunan kişinin kim olduğu, kopyalama sırasında hangi donanımın kullanıldığı, hash değerlerinin hangi algoritmayla üretildiği ve ne zaman üretildiği belgelenir. Bu, yalnızca savcının mahkemede “Bu veriye o gün erişildiğinde aynıydı” diyebilmesi için değil, aynı zamanda karşı tarafın itirazlarını bertaraf edebilmek için de gereklidir. Bir hakimin karşısına çıktığınızda, delilin bütünlüğünü ispatlanamaması onlarca saatlik teknik çalışmayı boşa çıkarabilir. Bu nedenle modern siber güvenlik operasyon merkezleri (SOC), loglama ve SIEM (Security Information and Event Management) mimarilerini artık “delil üreten altyapı” mantığıyla tasarlıyor. Sistem saatleri global NTP sunucularıyla senkron tutuluyor; loglar sadece merkezi sunuculara değil, aynı anda WORM (Write Once Read Many) medyalara akıyor; kritik düğümler NTP destekli güvenilir zaman damgasıyla işaretleniyor.
Dijital delilin klasik delillerden ayrılan en kritik yönü uçuculuğudur. Bir belge ya da fiziksel iz yıllarca değişmeden saklanabilirken, RAM’deki şüpheli bir proses her enerji döngüsünde yok olabilir; bulut sağlayıcısının log saklama politikası 24 saatte silme döngüsüne girerse, olay günü tutulan kayıtlar ertesi gün geriye dönülmez biçimde kaybolur. Bu yüzden saldırı sonrası soruşturmanın ilk dakikaları, delilin adeta “radyoaktif yarı ömrü” gibidir. O an yapılacak küçük bir hata—örneğin canlı sisteme antivirüs taraması çalıştırmak—belki de saldırganın kullandığı exploit zincirinin en kritik izini siler. Dolayısıyla siber güvenlik ekiplerinin teknik refleksleri ile adli bilişimcilerin muhafaza refleksleri iç içe geçmelidir; biri olmadan diğeri kusursuz sonuç veremez.
Türkiye’de dijital delil yönetimini şekillendiren yasal çerçevede, Ceza Muhakemesi Kanunu (CMK) “delilin hukuka uygun biçimde elde edilmesini” şart koşarken, Kişisel Verilerin Korunması Kanunu (KVKK) bireysel mahremiyeti korumaya odaklanır. Bu iki eksenin kesiştiği gri alanlar zaman zaman adli süreçlerde çelişkiler yaratır. Örneğin kurum içi bir log kaydı, kullanıcıların kişisel verilerini barındırıyor olabilir; delil olarak mahkemeye sunulması KVKK ihlali tartışmasına yol açabilir. Çoğu ülkede olduğu gibi, Türkiye’de de mevzuat bu noktada geriden geliyor; teknoloji ise öngörülemez hızla ilerliyor. Bu açığı kapatmak için, kurumların “hukuka uyumlu adli tespit” modelleri geliştirmesi ve siber farkındalığı yüksek hukukçularla birlikte çalışması gerekiyor.
Pratikte iyi örneklere de rastlamak mümkün. Büyük ölçekli bir bankada 2024’te yaşanan iç tehdit vakasında, güvenlik operasyon merkezi anomaliyi 17 dakika içinde tespit etti; adli bilişim ekibi ise 40 dakika içinde RAM imajını ve ağ paketlerini bütünlük değerleri ile birlikte yedekledi. Saldırganın VPN sertifikasını çaldığı, yetkisiz veri tabanı sorguları yaptığı ve ardından SSH tüneliyle dışarı veri sızdırdığı teknik olarak kanıtlandı. Mahkemede savcının elindeki en güçlü argüman, canlı sistemden çekilen değişken belleğin içerisinde bulunan kaynak IP adresi ve zaman damgalı SQL dökümleriydi. Delil zinciri protokolü eksiksizdi; savunma makamı “loglar sonradan düzenlenmiş olabilir” iddiasını öne süremedi. Bu vaka, adli bilişimin siber güvenlik prosedürlerine önceden entegre edilmesinin, yargı önünde ne denli stratejik bir değer yarattığını somut biçimde gösterdi.
Öte yandan, siber suçlara ilişkin davalarda hala çözüm bekleyen zorluklar var. Mahkemelerde teknik bilgi eksikliği nedeniyle bilirkişi raporlarının anlamlandırılması güçleşebiliyor; rapor formatları standardize edilmediği için iki dosya arasında metodik uçurumlar oluşabiliyor. Uluslararası iş birliği gerektiren bulut bilişim olguları ise “veri egemenliği” tartışmalarını gündeme taşıyor. Bir Avrupa Birliği ülkesinin veri merkezinde bulunan log, Türk mahkemesine nasıl ve hangi kanalla getirilecek? Veri aktarımı yapılırken veri bütünlüğünün bozulmaması için hangi prosedür izlenecek? Bu ve benzeri sorular, her dava dosyasında tekrar tekrar tartışılıyor. Çözüm, hem mevzuat güncellemelerini hem de teknik protokollerin uluslararası standartlarla uyumlu hale getirilmesini zorunlu kılıyor.
Sonuç olarak, dijital delil artık bir davanın kaderini belirleyen kritik faktörlerden biridir. Saldırıyı önlemek kadar, saldırının izlerini hukuka uygun biçimde kayda geçirmek de bir kurumun “siber dayanıklılık” tanımının parçası olmalıdır. Adli bilişim ve siber güvenlik disiplinlerinin kesişim noktasında, teknik doğruluğu tartışmasız, hukuki geçerliliği sarsılmaz deliller üretmek; modern adalet sisteminin dijital çağdan alacağı en büyük güçtür. Bugünün sıfır-gün açıkları yarın yama alabilir, yeni güvenlik çözümleri eski tehditleri bertaraf edebilir; ancak yargı önünde tartışmaya kapalı dijital deliller üretmek, hem iddianın hem savunmanın ötesinde, hukukun nihai koruma zırhını oluşturur.
Dr.Berker KILIC
Adli Bilisim Uzmani, Veri Bilimci
