İletişim Formu
Pars Hukuk
Bilişim ve Şirketler Hukuku

Şirketler İçin Fidye Yazılımı (Ransomware) Saldırılarında Hukuki ve Cezai Sorumluluk

Sayfa İçindekiler

Kurumsal ağların en büyük siber tehdidi haline gelen Fidye Yazılımları (Ransomware), artık sadece bir "IT problemi" olmaktan çıkmış; şirket tüzel kişiliklerini ve yönetim kurullarını doğrudan maddi tazminat, idari para cezası ve hapis cezası riskleriyle karşı karşıya bırakan bir hukuk krizi haline gelmiştir.

Şirket veritabanlarının şifrelenerek sistemlerin kilitlenmesi, sadece ticari faaliyetin durmasına değil, aynı zamanda mülkiyet altındaki kişisel verilerin yetkisiz erişime açılmasına neden olur. Türk hukuk sisteminde, "siber saldırı mağduru" olan bir şirketin, verileri koruma konusundaki ihmali nedeniyle "sorumlu" sıfatıyla yargılanması kaçınılmazdır. Bu makalede, Ransomware saldırılarının hukuki yansımaları ve yönetim kademesinin alması gereken yasal önlemler incelenmiştir.

Fidye Yazılımı (Ransomware) Saldırılarının Hukuki Tanımı

Hukuki literatürde bu saldırılar; TCK m. 244 (Sistemi Engelleme, Bozma, Verileri Yok Etme veya Değiştirme) ve TCK m. 250 (İrtikap/Şantaj benzeri siber eylemler) suçlarına vücut verir. Ancak şirket açısından asıl risk, failin cezalandırılmasından ziyade, verileri çalınan müşterilerin veya KVKK Kurulunun şirkete yönelteceği yaptırımlardır.

KVKK m. 12 ve 72 Saatlik Kritik İhlal Bildirimi Süreci

6698 Sayılı KVKK kapsamında, bir Ransomware saldırısı sonucunda veriler şifrelendiğinde veya sızdırıldığında "Veri İhlali (Data Breach)" gerçekleşmiş sayılır.

  • 72 Saat Kuralı: Şirket, saldırıyı öğrendiği andan itibaren 72 saat içerisinde Kişisel Verileri Koruma Kurulu'na resmi ihbarı yapmak zorundadır.
  • Hukuki Sorumluluk: Kurul, saldırının gerçekleşmiş olmasını değil; şirketin bu saldırıyı önlemek için "Gerekli teknik ve idari tedbirleri (Pentest, Güncel Yama, DLP)" alıp almadığını sorgular. İhmal tespiti durumunda milyonlarca lirayı bulan idari para cezaları tatbik edilir.

TTK m. 369 Uyarınca Yönetim Kurulunun Şahsi Sorumluluğu

Türk Ticaret Kanunu (TTK), yönetim kurulu üyelerine "tedbirli bir yöneticinin özeniyle hareket etme" yükümlülüğü yükler. Siber güvenlik bütçesinin kısıtlanması, sızma testlerinin yaptırılmaması veya yedekleme stratejilerinin olmaması durumunda;

  • Rücu Davaları: Şirketin ödediği KVKK cezaları veya siber saldırı nedeniyle uğranılan ticari kayıplar, şirket hissedarları tarafından "Gözetim Yükümlülüğünün İhlali" iddiasıyla yönetim kurulu üyelerine şahsen rücu edilebilir.

Hukuki Açıdan Fidye Ödeme: Suçun Finansmanı Riski

Şirketlerin sistemlerini geri açmak için saldırganlara (genellikle kripto paralarla) fidye ödemesi, göründüğü kadar "çözüm odaklı" bir hamle olmayabilir. Uluslararası hukukta ve terörün finansmanının önlenmesi mevzuatında, siber terör örgütlerine veya ambargo altındaki gruplara yapılan bu ödemeler, şirketi doğrudan "Suç Gelirlerinin Aklanması ve Suçun Finansmanı" kapsamında ağır bir ceza davasıyla karşı karşıya getirebilir.

Siber Güvenlik Compliance (Uyum) ve Savunma Mimarisi

Ransomware krizinde hukuki dokunulmazlık kazanmanın tek yolu "Compliance (Hukuki Uyum)" süreçlerini tamamlamaktır. Şirketlerin periyodik Sızma Testleri (Pentest) raporları, Siber Olaylara Müdahale Planları (SOMP) ve personel eğitimleri; olası bir davada mahkeme ve Kurul nezdinde şirketin "kusursuzluğunu" ispatlayan en güçlü yasal delillerdir.

Sıkça Sorulan Sorular

Fidye yazılımı saldırısını KVKK'ya bildirmezsek ne olur?

Saldırının gizlenmesi veya geç bildirilmesi, KVKK Kurulunun en ağır idari yaptırımları uygulamasına ve şirket yöneticilerinin kötü niyetli olduklarına dair bir hukuki karine oluşmasına neden olur. Cezalar genellikle üst sınırdan verilir.

Siber saldırıda verileri çalınan müşteriler şirkete dava açabilir mi?

Evet. Müşteriler, kişisel verilerinin korunması konusundaki teknik zafiyetler nedeniyle uğradıkları maddi ve manevi zararların tazmini için şirkete karşı Asliye Hukuk mahkemelerinde tazminat davası açma hakkına sahiptir.

Ankara merkezli Pars Hukuk Bürosu olarak, Siber Güvenlik Yöneticiliği ve Bilişim Hukuku uzmanlığımızla kurumsal şirketlere siber kriz yönetimi ve hukuki danışmanlık hizmeti sunmaktayız. Ransomware saldırısı sonrası KVKK ihlal bildirimlerinin hukuki normlara uygun yapılması, yönetim kurulunun hukuki sorumluluktan korunması ve siber suç failleri hakkında adli süreçlerin başlatılması amacıyla uca uca müşavirlik sağlıyoruz. Şirketinizin dijital varlıklarını ve hukuki itibarını korumak için iletişim sayfamızdan kurumsal hukuk ekibimize ulaşabilirsiniz.

 
YASAL UYARI VE BİLGİLENDİRME: Bu makale genel bilgilendirme amacıyla hazırlanmış olup, somut bir hukuki mütalaa niteliği taşımamaktadır. Siber saldırı vakaları her kurumun teknik altyapısına göre farklılık gösterdiğinden, ihlal anında profesyonel bir Bilişim Avukatı ve Siber Güvenlik Uzmanından yardım alınması zorunludur.