Adli Bilişim uzmanlarının dikkat etmesi gereken hususlar

Adli bilişim; adli bir vakanın aydınlatılması amacı ile bilimsel yöntemler kullanılarak, olay mahalinde bulunabilecek her türlü elektronik, dijital ve sayısal verinin, içerisinde hazırlık ve planlama, delili tanımlama, toplama ve koruma, analiz etme ve bulguları sunma safhalarından oluşan çalışmalar bütünüdür. Bu çalışmalar; dijital delillerin muhteva ettiği bilgileri, delil inceleme prosedürlerini, hukuki ve etik sorumlulukları gözönünde bulundurarak ve delilin bütünlüğünü koruyarak gerçeği açığa çıkarmak amacı ile yapılmalıdır. Orjinal delil olası değişikliklere karşı korunarak birebir kopyası oluşturulmalı, üçüncü şahısların delil üzerinde inceleme yapabileceği düşünülerek delile uygulanacak işlemler daha önceden belirlenmiş denetleme ve prosedürlere uygun olarak yapılmalı ve tüm bu işlemler konu hakkında ehil ve elektronik deliller konusunda yeterli bilgiye sahip uzmanlar tarafından gerçekleştirilmelidir. Adli Bilişim’in bu temel ilkelerine uyulmaması; bilgisayar ve diğer ortamlar üzerinde verilerinin değiştirilmesi veya yok edilmesi nedeniyle mahkemelerce kabul edilmeyecek “hukuka aykırı” delillerin oluşmasına neden olur.

Elektronik deliller, mahkeme önüne getirilmeden önce, diğer tüm delillerin taşıdığı özelliklere de sahip olmalıdır. Yasal yollardan elde edilmiş olmalı, iddiaları doğrulayan nitelikte gerçek olmalı, tam ve tekrarlanabilir (üçüncü şahıslar tarafından incelendiğinde aynı sonuçlara ulaşılabilir) olmalı, delilin elde edilmesi konusunda herhangi bir şüphe olmamalı ve mahkemeler tarafından anlaşılabilir olmalıdır. Çünkü elektronik deliller, yapılarından dolayı, yanlış bir uygulama durumunda kolaylıkla değiştirilebilir, bozulabilir veya yok olabilir.

Adli Bilişim safhalarında, olay yeri ve delillerin aranması, bulunması, kopyalanması ve korunması en fazla öneme sahip süreç olarak değerlendirilir. Bu aşamada, tüm işlemler sırasında özel önlemler alınmalı, yapılacaklar yönetmeliklere, hukuka, genel standart ve prosedürlere uygun olarak gerçekleştirilmelidir.

Adli Bilişim, siber suçların ortaya çıkarılmasında, dijital delillerin araştırılmasında, mevcut delillerin analiz edilerek karşılaştırmaya hazır hale getirilmesinde ve faillerin tespiti ile adalet önüne çıkarılmasında çok önemli bir yer tutar. Bu nedenle işinin ehli uzmanlar tarafından yürütülmeli, bilişimin diğer alanlarında çalışan kişiler konunun önemi ve prosedürler hakkında bilgilendirilmelidir. Süreç boyunca kanunlara ve etik kurallara kati surette uyulmalıdır.

Deneyim

Adli Bilişim bir adli inceleme sırasında dijital delillerin mahkemelerce kabul edilebilir şekilde toplanması, korunması, analizi ve raporlanmasını içeren özel bir uzmanlık alanıdır. Yasal süreçte, adaletin doğru şekilde tecelli etmesi ve suçluların cezalandırılması için güvenilir ve inandırıcı delillerin ortaya konulması gereklidir. Yasal süreçten çıkacak olumsuz bir sonuç şirket veya şahıslara onulmaz zararlar verebilir. Örneğin, bir finans kuruluşu müşterilerinin kimlik ve ticari verisini korumak durumundadır. Gizli veya kişisel müşteri verisine gelebilecek bir zarar veya verinin ifşa olması firmanın adına, marka değerine ve güvenilirliğine zarar vereceği gibi çoğu zaman maddi kayba da yolaçabilir. Bu gibi durumlara içerden veya dışardan temin edilecek elektronik delilleri tanımlamak hayati derecede önem taşır. Suç mahallindeki veya ilgili cihazdaki verinin sağlamlığı ve bütünlüğünü korumak için genellikle ilgili medyanın adli imajı alınır. Normal kopyalamadan farklı olarak silinmiş ve boş alanların da bire-bir olarak sektör bazlı klonlandığı Adli Bilişimin bu ilk ve en önemli adımında, deneyimsiz bir kişi kazara delilin değişikliğe uğramasına neden olabilir ki bu durumda delil mahkemede geçersiz kabul edilecektir. Bu gibi nedenlerden dolayı şirketlerin ve hukukçuların deneyimli ve sertifikalı uzmanlarla çalışması çok önemlidir. Bir Adli Bilişim uzmanı; karşılaşabilecek her türlü senaryoya hazır olacak şekilde, farklı işletim ve dosya sistemleri, veritabanları, dosya tipleri, şifreleme sistemleri, veri kurtarma, programlama ve donanım konularına da deneyimli olması gereklidir.

Planlama

Adli Bilişim uzmanları için planlama safhası son derece önemlidir. Öncelikle zaman, analizin süresi, müşterinin istekleri, maliyet ve mahkeme tarihine göre iyi planlanmalıdır. Uçucu deliller (RAM benzeri bilgisayar kapandığında kaybolacak veri) öncelikli olarak değerlendirilmelidir. Bazı durumlarda verinin büyüklüğünden dolayı delil toplama aşaması tahmin edilenden çok uzun zaman alabilir. Bu durumda, Adli Bilişim’in dökümantasyon, analiz ve raporlama gibi diğer adımlarına yeterli zaman kalmayabilir. Analiz süresince kullanılan adli analiz yazılımının delil üzerinde harcayacağı zaman da iyi hesaplanmalıdır. Bu nedenlerden dolayı planlama yaparken incelemedeki her süreç iyi hesaplanmalı ve plana göre hareket edilmedilir.

Delil Bütünlüğü

Şirketlerde herhangi bir siber olay meydana geldiğinde veya dijital verilerin kanıt olarak kullanılabileceği bir suç işlendiğinde, genellikle sistem yöneticileri, bilgi güvenliği uzmanları veya ağ yöneticileri ilk olarak aranırlar. Bilgi güvenliği uzmanları doğru olay yeri müdahale prosedürlerine ve müdahale bilgisine sahip olmak zorundadırlar. Yapılacak küçük bir yanlış ters etki yapabilir ve delil bütünlüğüne zarar verebilir. Deneyimsiz kişilerin anti-virüs programları çalıştırmak, sistemi kapayıp tekrar açmak veya sisteme yeni bir yazılım kurmak gibi kritik delili yok edecek ve uçucu verilerin bir daha geri getirilemeyecek şekilde bozulmasına neden olacak müdahalelerde bulundukları gözlemlenmiştir. Bir olay yanında yapılması gereken ilk iş, Adli Bilişim prosedürlerine hakim uzmanları arayıp yardım almaktır. Bir Adli Bilişim uzmanının olay anında yapacağı ilk işlemler ise; olayı, tarih ve saatleri, etkilenen sistemleri, ilgili kişi ve personeli ve sistemin şirket işleyişindeki etkisini dökümante etmektir. Bundan sonra etkilenen sistem gözlemlenmeli ve delillerin toplanması için bir strateji geliştirilmelidir. Hangi donanım ve yazılımın kullanılacağına karar verildikten sonra etkilenmiş olabilecek diğer sistemlerin araştırılması ve ilgili sistemlerin ağdan izole edilmesi doğru bir yaklaşım olacaktır. İşe başlamadan verinin toplanabilmesi için yetkili şirket veya kullanıcılardan gerekli izinlerin alınması şarttır.

Zamanlama

Delil toplama işleminin mümkün olduğunca hızlı yapılması çok önemlidir. Geciken müdahaleler ve etkilenen sistemin sürekli kullanımda olması, delil teşkil edecek verinin üzerine tamamen veya kısmen başka bir veri yazılıp yok olmasına yol açabilir. Gecikmeye neden olabilecek başka bir husus da delilleri toplayabilmek için yetkili kişilerden gerekli izinlerin alınması sürecidir. Bu aşamadan sonra, uygun toplama yöntemi seçilmelidir ki bu yöntem olaydan olaya değişiklik gösterir.

Yazılım ve Donanım

Adli Bilişimin temel amacı, dijital delillerin toplanması, korunması, analizi ve mahkemelerde geçerli olacak şekilde sunulmasıdır. Bu nedenle Adli Bilişim uzmanları mahkeme standartlarında, güncel ve lisanslı yazılım ve donanım kullanmak zorundadırlar. Korsan yazılım kullanmak incelemelerde gecikmeye ve hatalara yol açabileceği gibi telif hakları konularında ihtilafa neden olacaktır. Korsan yazılım ve donanım kullanılarak yapılan işlemler tespit edildiğinde, ABD ve AB mahkemelerince delil olarak kabul edilmeyebilirler.

Güvenlik

İncelenen bilgisayar ve ağ sistemleri her türlü manipülasyondan uzak tutulmalıdır. Hatta sistemi kullanan kişilerden de uzak tutulması şarttır çünkü suçu işleyen bu kişiler olabilir ve delilleri yoketmek için veriyi değiştirmeye veya silmeye çalışabilirler. Kullanıcıların delilleri farkında olmadan da değiştirebilecekleri göz önünde bulundurulmalıdır. Bu yüzden etkilenen sistemler, kablo ve diğer bağlantıları etiketlenip fotoğraflandırıldıktan sonra mümkün olduğunca üçüncü şahıslardan izole edilmelidir. Bu mümkün değilse, üçüncü şahıslar olay yerinden ve güç kaynaklarından uzaklaştırılmaldır. Olay yerinde bulunabilecek dijital verilerin haricinde,  yazıcılardan çıkan kağıtlar veya şifre olabilecek notlar gibi diğer deliller de gözönünde bulundurulmalıdır.

Dökümantasyon

Toplanan tüm delillerin düzgün bir şekilde dökümante edilmesi şarttır. Dökümantasyon; gerekli izin mektupları veya arama izni, olay öncesi yazışmalar, delil zinciri belgesi, olay anında tutulan notlar, şirket veya kişi ile yapılan anlaşma, delillerin toplanma tarih ve saatleri, toplanan delillerin ayrıntılı özellikleri, alınan imaj dosya adları, dosya yaratma ve değiştirme tarihleri, fotoğraf ve şemalar, delillerin toplanmasında kullanılan yöntem, yazılım ve donanıma ait bilgiler ve olay yerindeki diğer bulgular gibi birçok ayrıntı içerebilir. Rapor, mahkemeye sunulmadan önce diğer uzmanlarca kontrol edilmeli ve hatalar düzeltilmelidir.

Yasal Zorunluluklar

Adli Bilişim uzmanlarınca yazılacak rapor mahkemelere sunulacağından, uzmanlar yasal zorunluluklar, kanunlar, delil yönetimi ve dökümantasyonu konusunda bilgili olmalıdırlar. Ek olarak, sunulacak raporlarda çok fazla teknik terim kullanılmamalı, avukatlar, hakimler hatta sıradan insanların anlayabilecekleri şekilde yazılmalıdır. Yetersiz ve eksik yazılan raporlar gerektiği şekilde sonuç vermeyebilir. Adli Bilişim uzmanları gerektiğinde mahkemelerde ifadeye vermeye ve karşı taraftan gelecek sorulara da hazırlıklı olmalıdır.

Gizlilik

Ticari sırların, kişisel veya hassas bilgilerin kazara ortaya çıkma riski her zaman için vardır. Bu bilgilerin sunumunda dikkatli olmak zorunludur. Analiz sırasında inceleme konusu ile ilgili olmayan kişisel yazışmalara ve mahrem bilgilere rastlanılabilir. Adli Bilişim uzmanları bu gibi durumlarda etik kurallara uygun olarak davranmalı ve suçun doğrulunu ispat etmek için bu bilgileri açığa çıkarmanın gerekli olup olmadığını değerlendirmelidir.

Adli Bilişim uzmanları, bilişimin diğer alanları ile uğraşan meslekdaşlarına göre çok daha fazla konuda bilgili ve donanımlı olmak durumundadırlar. Her zaman işler planlandığı ve istenildiği gibi ilerlemeyebilir. Bu yüzden iyi bir Adli Bilişim uzmanı, bilişiminin; donanım, veritabanları, programlama, kriptoloji, dosya sistemleri, işletim sistemleri, sunucu konfigürasyonları, İnternet uygulamaları, ağ protokolleri gibi çeşitli alanlarında da üst düzey bilgi sahibi olması gereklidir. Günümüzde hemen her cihaz veri saklayabildiğinden cep telefonu, navigasyon, modemler ve fotoğraf makinaları gibi elektronik cihazlar ve bunlardan nasıl veri toplanabileceği hususunda da ileri seviye bilgi sahibi olunmalıdır. En az literatürü takip edebilecek seviyede İngilizce dilinin şart olduğu bu meslekte, bazı durumlarda uluslarası yasaları araştırıp uygulayacak kadar hukuk bilgisinin de kullanılması gerekebilir. Ayrıca, her türlü senaryoya karşı hazırlıklı olunmalı, güncel ve lisanslı Adli Bilişim yazılımları ve kalibrasyon ve testleri yapılmış donanım bu mesleğin olmazsa olmazlarındandır.