Gönül Dergisi | Kültür ve Medeniyet Dergisi Gönül Dergisi
Elektronik alışveriş güvenliği konusunda tarafların sorumlulukları nelerdir? Mahkemeler ne gibi kararlar veriyorlar, nasıl karar alıyorlar?
Bu konuda son yılarda birkaç tane çalışma yapıldı. Özellikle, İstanbul Şehir Üniversitesi Ticaret Hukuku Anabilim Dalı Öğretim Üyesi Doç. Dr. Tekin Memiş Hocamız bu konuda çok çalışma yaptı. Mahkemeler de özellikle O’nun görüşleri yönünde karar veriyor. Burada temel ölçü, taraflar üzerlerine düşenleri yerine getirmiş mi getirmemiş mi? Tarafların üzerine düşen görevler derken; örneğin şifremizi belirlerken en basit şifreleme yöntemini mi kullandık? Mesela doğum günümüzdür veya çocuğumuzun doğum günüdür… Birisi kartı aldığı zaman herhangi bir şekilde doğum tarihimizi biliyorsa bir bakıyorsunuz çok rahat çözebiliyor. Burada önemli olan şifreyi doğru düzgün belirlemek. Şifreyi belirlerken kullanıcı açısından mutlaka rakam ve harfler içermesi gerekiyor, hatta bazen özel karakterler içermesi gerekiyor. Örneğin @ işareti gibi, alt tireler gibi, slaşlar gibi, & gibi, # gibi. Ne yapabiliyorsak, sistemimiz izin verdiği ölçüde mutlaka karışık şifre belirlememiz gerekiyor. Şifreyi ajandamızın arka tarafına yazmamamız gerekiyor, bizim dışımızda kimsenin bilmemesi gerekiyor. Özellikle şifre konusunda mutlaka kesin tedbirlerimizi almamız gerekiyor. Onun haricinde herhangi bir ürünümüzü kaybettiğimiz zaman, kredi kartı olsun, banka kartı olsun veya şifrelerin yazılı olduğu ajandayı kaybettiğimiz zaman mutlaka bankaya anında haber verip işlemleri durdurmamız gerekiyor. Zaten biliyorsunuz bankalarda bütün görüşmeler kayıt altına alınıyor. Görüştüğümüz saati dakikayı da mutlaka not alarak “Şu gün, şu dakikada ben görüştüm, bankaya bunu bildirdim, işlemlerimin ikinci bir talimatıma kadar durdurulması gerekiyordu.” diye mutlaka bu tespiti kendimiz açısından yapmamız gerekiyor. Banka da her şeyden önce mutlaka kullanıcıyı bilgilendirmek zorunda. Bu bilgilendirme konusunda kanunlar genellikle Tüketiciyi Koruma Yasasıyla paralel bir sorumluluk yüklüyor. Orada tüketici yasasında özellikle abonelik sözleşmeleriyle ilgili hüküm var. Örneğin biz herhangi bir ürünle ilgili elektronik sözleşmeyi, onayla butonunu tıklayıp onaylıyorum, kabul ediyorum dediğimiz zaman, o sözleşmenin mutlaka 12 punto olması gerekiyor. Banka mesela 12 punto değil de 11 puntolu, 10 puntolu bir yazı yazmışsa banka kesinlikle dezavantajlı durumda kalıyor. Onun haricinde, şifreleme yaparken doğum gününüzü girmemeniz için sizi uyaran bir sistem olması gerekiyor. Örneğin ben de kullanıyorum elektronik bankacılığı, banka zaman zaman şifre değiştirmemi söylüyor. Bankadan bankaya değişiyor; ayda bir, iki ayda bir ya da üç ayda bir bunu isteyebiliyorlar. Doğum günüme yakın bir şey yazdığım zaman bir bakıyorum “Doğum günü içeren verileri şifre yapamazsınız, lütfen başka bir şifre belirleyin.” diye uyarı veren bir sistem var, böyle bir sistemin olması gerekiyor. Onun dışında internet sitelerinin ve kendi alt yapılarının yeterince güvenli olması gerekiyor.
Hackerlar için bu bir önlem olabilir mi?
Biliyorsunuz artık hackerlık son derece gelişti. Tarafları bile oluştu hackerların, etik hackerlık gibi. Devlet de onları kullanmaya başladı, ileride daha da kullanacak. Geçtiğimiz günlerde bir hacker grubunu devlet işe aldı veya ileride alacak. Siber saldırılar artık çok etkin oldu, bizde de e-Devlet kurumlar içerisinde yayılmaya başladığı için bunun ciddi bir güvenliği olması gerekiyor. Devletin işe aldığı hackerlar sürekli olarak sistemi zorlayacaklar, sistemin açıklarını bulmaya çalışacaklar, buldukları açıkları da kapatmak için ilgililere gerekli talimatları verecekler. Bankalarda da mutlaka sistemlerinin düzgün olması gerekiyor. Sistemlerinde açık bulunmaması gerekiyor ki eğer bir hacker bankanın elektronik sistemine girmiş ve oradan paraları çalmışsa kesinlikle banka üzerine düşeni yapmamış oluyor. Çünkü banka üzerine düşeni yapıp o açığı kapatmış olsaydı zaten hırsızlık olmayacaktı. Mahkemelerin genel bakış açısı bu şekilde. Yani çok bariz bir şekilde kullanıcının hatası yoksa büyük oranda bankalar sorumlu tutuluyor.
Hacker Türleri
Hacktivistler: Hacktivistler, kendilerine göre kötü veya yanlış olan toplumsal veya politik sorunları dile getirmek amacıyla belirli siteleri hack’leyerek mesajlarını yerleştirirler.
Siyah Şapkalılar: Her türlü programı, siteyi veya bilgisayarı güvenlik açıklarından yararlanarak kırabilen bu en bilindik hackerlar, sistemleri kullanılmaz hale getirir veya gizli bilgileri çalar. En zararlı hackerlar siyah şapkalılardır.
Beyaz Şapkalılar: Beyaz şapkalılar da her türlü programı, siteyi veya bilgisayarı güvenlik açıklarından yararlanarak kırabiliyor, ancak kırdığı sistemin açıklarını sistem yöneticisine bildirerek o açıkların kapatılması ve zararlı kişilerden korunmasını sağlıyorlar.
Gri Şapkalılar: Yasallık sınırında saldırı yapan, iyi veya kötü olabilen hackerlardır.
Yazılım Korsanları: Yazılım korsanları bilgisayar programlarının kopya korumalarını kırarak, bu programların izinsiz olarak dağıtımına olanak sağlayıp para kazanırlar. Piyasaya korsan oyun ve program CD’lerini yazılım korsanları sağlar.
Phreaker’lar: Telefon ağları üzerinde çalışan, telefon sistemlerini hackleyerek bedava görüşme yapmaya çalışan kişilerdir.
Script Kiddie’ler: Hackerlığa özenen, lise çağlarındaki, zarar vermeye yönelik kişilerdir. Tam anlamıyla hacker değillerdir, hackerlığa özenirler. Script kiddieler genellikle kişilerin e-posta veya anında mesajlaşma şifrelerini çalarlar.
Lamer’ler: Sorgulamadan, merak duymadan, sadece duyarak yaptıkları mantık dışı işler ile yetinen kişilerdir.
