Abdullah ÇAVUŞ – BİLGİ & DENEYİM PAYLAŞIM PORTALI “Bilgiye sahip olarak doğmuş birisi değilim. Öğrenmeye çalışıyorum ve Öğretmeyi seviyorum” Konfüçyüs
İlgili Yazılar
ŞİRKETLERDE BİLİŞİM SİSTEMLERİ KULLANILARAK YAPILAN YOLSUZLUKLAR
Abdullah ÇAVUŞ/E.MASAK UZMANI
Bilişim teknolojileri her gün çok hızlı değişmekte ve gelişme
kte böylece insanlara çeşitli fayda ve fırsatlar getirmektedirler. Çok geniş ve takibi zor bu fırsatlardan bazıları şirket yolsuzluklarını gerçekleştirmek için kötü yönde kullanılabilmektedir.
Bilişim suçu kavramı, bilişim teknolojilerinin ortaya çıkmasıyla ceza hukuku alanında tartışılmaya başlanılan, kendisine özgü özellikleri olan ve henüz üzerinde uzlaşma sağlanamayan bir kavramdır.
Bilişim suçlarının şirketlerin mali kaynaklarına işletme çalışan veya yöneticileri tarafından yönlendirilmesi ile bir şirket yolsuzluğu türü daha ortaya çıkmış olmaktadır.
Şirket yolsuzlukları anlamında bilişim suçu “elektronik bilgi işlem kayıtlarına yasadışı yollarla erişilmesi veya bu kayıtların yasal olmayan şekilde değiştirilmesi, silinmesi veya bu tür kayıtlara girilmesi veyahut bilgi tecavüzü için hazırlık yapılması” olarak tanımlanabilir.
Şirketler günümüzde ERP adı verilen tüm işlemlerin bilgisayar ortamında yapıldığı yazılımları hiç değilse finans, stok ve muhasebe modüllerinin birlikte olduğu muhasebe yazılımlarını kullanmaktadırlar.
Etkin bir yönetim, eksiksiz, doğru ve zamanında sağlanan bilgilerle işlerlik kazanabilmektedir. Bir işletmede yönetimin bilgi gereksiniminin sürekli bir biçimde karşılanması, bir anlamda Yönetim Bilişim Sistemleri’nin kurulmasına bağlıdır.
Yönetim bilişim sistemleri sadece özel sektör firmaları için geçerli bir tanım değildir. Kamu kurumları tarafından da çeşitli alanlarda kullanılmaktadır. Bu alanlara örnek verecek olursak; insan kaynakları, mali işler, idari işler vb gibi. Kamuda yönetim bilişim sistemlerinin kullanılması iç ve dış çevre unsurları açısından oldukça önem taşımaktadır. Çünkü kamuda kullanılacak olan sistemler ile hızlı ve kaliteli hizmet sunmak mümkün olacaktır.
Yönetim bilişim sistemlerinin belli özelliklere sahip olması beklenmektedir. Bu özelliklerden bir tanesi veri işleme fonksiyonudur.
YBS’ler işlem yaparlar ve kayıt tutarlar. Ayrıca veri tabanı kullanarak işlevsel faaliyette bulunurlar. Yöneticilerin ve idarecilerin operasyonel anlamda ihtiyaçlarını karşılarlar.
YBS’ler esnektirler, değişen durumlara göre adapte olabilirler. Bunun dışında ise yönetim bilişim sistemleri kullanımında belli kişiler yetkili kılınabilir.
Yönetim bilişim sistemleri üst düzey kademede bulunan yöneticilerin işlerini oldukça kolaylaştırmaktadır. Stratejik ve taktik anlamda fayda sağlamasının yanı sıra, etkin hizmet sunarak kullanıcı dostudur diyebiliriz. Yönetim bilişim sistemleri finans alanında kullanılabilir.
Bunu finansman fonksiyonu olarak tanımlamak mümkündür.
Finansman fonksiyonu, mali tablo ve rapor hazırlama aşamasında muhasebe sistemlerinin yönetilmesi, mali durumun analizini ve izlenmesini kapsamaktadır. Bu fonksiyon ile faaliyetleri doğru yerde ve zamanında yürütmek mümkündür. Yönetim bilişim sistemlerinin bu alanda kullanılması oldukça kolay olduğundan, hızlı bir şekilde kullanımı yayılmıştır.
İşletmelerde Yönetim Bilişim Sistemleri’ni en dikkat çekici konu haline getiren olaylar teknoloji, teknolojinin yönetimde kullanımı ve işletme başarısındaki etkisinin sürekli değişimi olarak karşımıza çıkmaktadır.
Yeni işletmeler ve sektörler ortaya çıkmakta, eskiler azalmakta ve bu teknolojileri nasıl kullanacağını öğrenen işletmeler başarılı olmaktadırlar.
Günümüz teknolojisinde Bulut bilgi işlem platformları işletmelerde kullanılan önemli bir yenilik olarak ortaya çıkmaktadır. Bu sayede internetteki bilgisayarlardan oluşturulan esnek bir koleksiyon işleri geleneksel olarak kurum bilgisayarlarında gerçekleştirildiği şekilde yapmaya başlamıştır.
Günümüzde işletmeler yeni donanım ve yazılım teknolojilerine dayalı olarak geliştirilen ve gelişmekte olan bilgisayar platformlarını temsil etmektedir. Her gün daha fazla işletme yazılımlarını PC ve ya masaüstü bilgisayarlardan mobil aygıtlara taşımaktadır. Yöneticiler bu aygıtları artan oranlarda işleri koordine etmek, çalışanlarla iletişime geçmek ve karar vermek için enformasyon sistemlerini kullanmaktadırlar.
Şirketlerin büyük çoğunluğu banka ve finans işlemlerini internet üzerinden internet bankacılığı sistemlerini kullanarak gerçekleştirmektedirler.
Bu sistemlerin kullanılması esnasında yeterli bilişim güvenlik teknikleri kullanılmaz ise şirketler yolsuzluğa açık hale gelirler.
İşte bu noktada BİLİŞİM SUÇLARI yoluyla yolsuzluklar yapılmaktadır.
Bilişim suçları, diğer bir deyişle siber suçlar; bilgisayar, tablet, cep telefonu gibi çağdaş iletişim araçları veya pos makinası gibi alışveriş araçları kullanılarak elektronik ortamda işlenen her türlü suç olarak tanımlanabilir.
Bilişim suçu terimi yerine bilgisayar suçu, internet suçu, elektronik ortamda işlenen suçlar gibi kavramlar da kullanılmaktadır. Bilginin elektronik ve teknolojik araçlar kullanılarak aktarılmasına bilişim, bu süreçte işlenen suçlar da bilişim suçları olarak tarif edilebilir. Bilişim sistemine müdahale; bazen sisteme fiziksel bir şekilde erişim imkanına sahip olunması yoluyla bazen de uzaktan internet üzerinden bağlanmak suretiyle mümkün olmaktadır
Şirket yolsuzluklarında sık karşılaşılan bilişim suçları şu şekilde sıralanabilir:
1- Keystroke-Capturing Software:
Klavyede hangi tuşlara basıldığını tespit ederek ileten casus yazılımdır. Şirket hesaplarına ilişkin tüm şifreler ele geçirilerek şirkette yolsuzluğu gerçekleştirmek için kullanılır. Usulsüz onaylar bu şekilde ele geçirilen şifreler kullanarak verilir. Daha sonra olay ortaya çıktığında çoğu zaman faili bulmakta zordur.
2- Mantık Bombaları (Logic Bombs):
Özel bir tarihte yada önceden belirlenen bir zamanda otomatik olarak çalışan programlardır. Bu programlar kullanılarak da şirket yolsuzlukları gerçekleştirilebilir. Böylece suçu işleyen kendisini o belirli tarihte şirket dışına giderek, izin kullanarak, şehir dışı bir iş gezisine çıkarak, şüpheliler listesine alınmamasını hedefler.
3- Hacking:
Şirkete ait bilgileri elde etmek veya değiştirmek amacıyla şirketin bilişim sistemine yetkisiz erişim olarak tanımlanabilir. Böylece şirketin bilgileri ele geçirilir veya değiştirilecek şirket yolsuzluğu gerçekleştirilir.
4- Snooper:
Esas olarak başkalarının bilgilerini okuyan, onların işlerine bir nevi karışan kişidir. Şirket yolsuzluklarında gerekli planları yapmak ve alt yapıyı hazırlamak amacıyla muhasebe, finans, stok veya yönetim gibi birimlerin bilgileri bu birimlere hissettirilmeden okunur.
5- Vandal:
Şirketin web sitesini, e mail adreslerini, online sipariş alma alanlarını ele geçirerek bunları değiştiren veya başka adreslere yönlendiren kişidir. Bu teknikler kullanılarak da şirket yolsuzlukları gerçekleştirilebilir. Ancak tespit süresi kısa olduğundan bu işlemin sürekli olarak yolsuzluk eylemlerinde kullanılmasına imkan yoktur.
6- Endüstriyel Casusluk:
Şirketin geliştirdiği ürün, yenilik veya ar-ge çalışması ele geçirilerek bu alanda rekabet edilen firmalara veya ülkelere satılır. Böylece ileri teknoloji sayesinde şirketin piyasada elde edeceği avantaj ortadan kalkmış olur. Şirket yolsuzluklarının ülkemizde çok sık görülmeyen bir türüdür.
7- Sabotaj:
Şirketin geliştirdiği ürün, yenilik veya ar-ge çalışması kopyaları alındıktan sonra imha edilir. Böylece şirketin uzun yıllar emek ve para harcayarak geliştirdiği bilgiler imha edilerek, alternatif bir şirket kurulur ve bu bilgiler o şirkette kullanılır. Ülkemizde marka patent veya telif hakkı alma uygulamalarının yetersizliği de bu duruma çanak tutabilir.
8- Şantaj:
Şirketin bilişim sistemlerinden elde bilgiler kamuoyuna açıklanmakla veya şirket aleyhine kullanılmakla tehdit edilerek şirketten para talep edilir. Bu tip şirket yolsuzlukları ülkemizde daha sık görülmektedir.
9- Programların Yapısını Bozma:
Şirkette kullanılan yazılımların kod satırlarına müdahale edilerek, yama veya benzeri ilavelerle program yapısının değiştirilmesi veya bozulması da mümkündür. Böylece örneğin muhasebe programında iş avansları raporlamalarda düşük gösterilebilir veya kişinin şirketten aldığı değerler cari hesabında olmasına rağmen raporlarda gözükmeyebilir.
Bilişim suçlarının çok geniş bir alanı kapsadığını ve her gün yeni bir suç türünün ortaya çıktığını belirtmiştik. Benzer şekilde bilişim suçlarının şirket yolsuzluklarında kullanılması yöntemleri de sürekli gelişmekte ve artmaktadır.
Yeni Ceza kanunumuzun 243 . maddesinde Bilişim sistemine girme suçu ve cezaları düzenlenmiştir.
Buna göre cezalar aşağıdaki gibidir.
1-Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adli para cezası verilir (TCK m.243/1). Bu yaptırımlar, bilişim suçunun basit şekli içindir. Yani bu ceza yaptırımı, bilişim sistemine girip sistemde hiçbir değişiklik yapmadan çıkıldığı takdirde karşılaşılabilecek ceza yaptırımıdır.
2-Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi halinde, verilecek ceza yarı oranına kadar indirilir (TCK m.243/2).
3-Bilişim sistemine girme fiili nedeniyle sistemin içerdiği veriler yok olur veya değişirse, 6 aydan 2 yıla kadar hapis cezasına hükmolunur (TCK m.243/3). Örneğin, bir kişinin facebook veya e-mail adresine girilmesi nedeniyle kayıtlı bilgiler yok olursa sanık bu fıkra kapsamında cezalandırılacaktır. Bu fıkra ile ilgili dikkat edilmesi gereken nokta; sanığın sistemdeki bilgileri değiştirmek için özel bir çabası olmamasına rağmen, sadece sisteme girildiği için bu bilgiler değişmeli veya yok olmalıdır. Örneğin, bir kişinin facebook hesabına girerek resim koymak bu fıkra kapsamında değil, başka bir suç tipi olarak TCK md.244’de düzenlenen bilişim sistemini engelleme, bozma, erişilmez kılma, verileri yok etme veya değiştirme Suçu çerçevesinde cezalandırılacaktır.
4-Bir bilişim sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı olarak izleyen kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır (TCK m.243/4).
5237 sayılı TCK’da Bilişim sistemine girme suçunun yanında bilişim sistemi ile ilgili diğer eylemlere ilişkin suç tanımları ve cezaları da bulunmaktadır.
Bunlar;
- Sistemi Engelleme, Bozma, Erişilmez Kılma, Verileri Yok Etme veya Değiştirme Suçu (TCK m.244),
- Banka veya kredi kartının kötüye kullanılması suçu (TCK m.245),
- Yasak cihaz veya porgram kullanma suçu (TCK m.245/a).
