Suistimal ve İç Soruşturmalar
Suistimal ve iç soruşturmalar; zimmet, bilgi sızdırma, ticari casusluk, yetkisiz veri erişimi ve insider threat vakalarında dijital delillerin ISO/IEC 27037 standardına uygun biçimde, hash değeriyle (MD5+SHA-256) korunarak toplanması, analiz edilmesi ve mahkemeye sunulması sürecidir. Soruşturmanın temeli, kullanıcı davranış analizi (UEBA), e-posta ve log forensiği, USB/bulut transfer denetimi ile zaman çizelgesi rekonstrüksiyonudur. Bulgular CMK m.63 bilirkişi raporu veya HMK m.293 uzman mütalaası olarak hukuki sürece taşınır. Erken müdahale ve delil bütünlüğü, davanın seyrini belirler.
Mevcut içeriğimiz (ve PwC gibi rakipler) suistimal soruşturmasını genel hatlarıyla anlatmaktadır. Hiçbirinde suistimal türü × dijital iz × tespit yöntemi eşleştirmesi, UEBA ile davranışsal anomali tespiti, Windows Event Log olay kimlikleri, USB/bulut sızdırma kanalları, e-keşif protokolü, insider threat anatomisi veya TCK’daki suç karşılıkları sistematik biçimde ele alınmamaktadır. Bu sayfa, tüm bu eksiklikleri kriminalistik bilirkişi perspektifinden kapatmaktadır.
Suistimal Neden Hız İster?
Suistimal vakalarında ilk 24–72 saat, soruşturmanın başarısını belirleyen kritik penceredir. Fail, şüphelenildiğini anladığı anda şu adımları atabilir: dosyaları silebilir veya şifreleyebilir, USB/bulut üzerinden verileri dışa çıkarabilir, iletişim geçmişini temizleyebilir ya da log kayıtlarını manipüle edebilir (TCK m.244 kapsamında ayrı suç). NTFS dosya sisteminde silinen bir dosya üzerine yeni veri yazılana kadar kurtarılabilir; ancak aktif kullanılan bir sistemde bu pencere saatler içinde kapanabilir. Bu nedenle fail haberdar edilmeden, adli kopyalama tamamlanmadan soruşturma başlatılmamalıdır.
Suistimal Türleri, Dijital İzleri ve Tespit Yöntemleri
Rakip sayfaların tamamında yalnızca suistimal türleri listelenmekte; ancak her türün bıraktığı spesifik dijital iz ve doğru tespit yöntemi hiç gösterilmemektedir. Aşağıdaki tablo bu boşluğu kapatmaktadır.
| Suistimal Türü | Tipik Senaryo | Bıraktığı Dijital İzler | Tespit Yöntemi | TCK Karşılığı |
|---|---|---|---|---|
| Zimmet | Muhasebe/finans çalışanı sahte fatura girişi, kasadan veya ERP sisteminden yetkisiz transfer | ERP erişim logları, finansal işlem geçmişi, sahte belge metadata bilgisi, e-posta yazışmaları | ERP log forensiği, e-posta arşiv analizi, mali kayıt metadata incelemesi, zaman çizelgesi rekonstrüksiyonu | TCK m.247: 5–12 yıl hapis; m.155 (güveni kötüye kullanma): 6 ay–2 yıl |
| Bilgi Sızdırma (Insider Leak) | Çalışan müşteri listesi, fiyat teklifi veya ürün formülasyonunu rakibe e-posta veya USB ile iletir | DLP uyarıları, USB kayıt geçmişi (Event ID 20001), e-posta başlık ve ekleri, bulut yükleme logları, ağ trafik anomalisi | DLP log analizi, e-posta sunucu arşiv (PST/OST) incelemesi, USB forensiği, ağ trafik analizi, UEBA davranış profili | TCK m.239: ticari sır ifşası 1–3 yıl; m.136: kişisel veri ifşası 2–4 yıl |
| Ticari Casusluk (İş Yeri Casusluğu) | Rakip firma adına çalışan kişi; Ar-Ge dosyaları, ihale dosyası veya müzakere notlarını kopyalar | Dosya erişim logları (Event ID 4663), büyük hacimli kopyalama zamanlaması, ekran görüntüsü metadata, gizli e-posta adresi | Dosya erişim ve kopyalama zaman çizelgesi analizi, gizli iletişim kanalı tespiti, OSINT kimlik doğrulama | TCK m.239 + m.244 (sisteme zarar verme); Hukuku aykırı rekabet hukuku: TTK m.56–57 |
| Yetkisiz Erişim ve Ayrıcalık Kötüye Kullanımı | IT yöneticisi veya sistem admini yetki alanı dışındaki verilere erişir veya başka kullanıcı kimliğiyle oturum açar | Active Directory logları, başarısız/başarılı oturum açma kayıtları (Event ID 4624/4625/4648), VPN bağlantı logları, privileged user davranış anomalisi | Active Directory forensiği, SIEM korelasyon analizi, PAM (Privileged Access Management) log incelemesi, UEBA | TCK m.243: yetkisiz bilişim sistemi erişimi 1–2 yıl; m.244: veri bozma/değiştirme 1–5 yıl |
| İşten Ayrılan Çalışan Veri Çalınması (Offboarding Leak) | İstifa eden veya işten çıkarılan çalışan ayrılmadan önce toplu dosya kopyalar, e-posta arşivini dışa aktarır | Son 30–90 günde belirgin kopyalama artışı, USB yoğun kullanımı, kişisel buluta büyük yükleme, kişisel e-postaya iletilen dosyalar | Ayrılma öncesi dönem aktivite analizi (Timeline Forensics), DLP, e-posta arşiv ve cloud upload log incelemesi | TCK m.239 veya m.136; ayrıca iş sözleşmesindeki gizlilik ve rekabet yasağı hükümleri |
| Muhasebe ve Finansal Suistimal | Sahte tedarikçi kaydı, hayali çalışan maaş transferi, çift ödeme düzeni veya gider manipülasyonu | ERP değişiklik logları, onay süreçlerinin bypass edilme kaydı, banka işlem zamanlaması, belge metadata tutarsızlıkları | ERP audit trail analizi, finansal işlem korelasyonu, belge metadata (oluşturma/değiştirme tarihi) incelemesi, benzer görevler ayrılığı analizi | TCK m.157 (dolandırıcılık): 1–5 yıl; m.204 (resmi belgede sahtecilik): 2–5 yıl; m.247 zimmet |
| İtibar Zedeleme ve Sabotaj | Çalışan, kurumun sosyal medyasına yetkisiz paylaşım yapar veya rakibe kötüleyici bilgi sızdırır | Sosyal medya oturum açma IP ve zaman kayıtları, içerik yayınlama metadata, e-posta ile koordinasyon izleri, ekran kayıt logları | Sosyal medya platform API forensiği, IP-oturum korelasyonu, e-posta metaveri analizi, iletişim örüntüsü analizi | TCK m.267 (iftira): 1–4 yıl; m.285 (gizliliğin ihlali); haksız rekabet: TTK m.56 |
Insider Threat: İç Tehdidin Anatomisi
Rakiplerin hiçbiri insider threat kavramını teknik derinliğiyle ele almamaktadır. Oysa suistimal vakalarının büyük çoğunluğu iç tehdit kaynaklıdır ve dışarıdan saldırıya göre çok farklı bir adli bilişim yaklaşımı gerektirir.
Kötü Niyetli İç Tehdit (Malicious Insider)
- Bilerek ve isteyerek veri çalar veya zarar verir
- Finansal kazanç, öç alma veya rakibe geçiş motivasyonu
- Genellikle ayrılmadan önce yoğunlaşan aktivite
- Teknik iz: anormal saat aralığı, büyük hacimli transfer, alışılmadık hedef konum
- Ayrıcalıklı kullanıcılarda tespit zorlaşır; PAM log kritik
Dikkatsiz İç Tehdit (Negligent Insider)
- Kasıt yok; güvenlik ihlali bilgisizlik veya ihmalden
- Şirket verisini kişisel cihaza kopyalama, yanlış kişiye e-posta
- Phishing kurbanı olarak iç sistemi ele geçirtme
- Adli bulgular yine aynı; kasıt soruşturma sürecinde netleşir
- Hukuki sonuç: disiplin + tazminat riski, ceza yoksa da iş hukuku sorumluluğu
UEBA: Kullanıcı ve Varlık Davranış Analizi
UEBA (User and Entity Behavior Analytics), iç soruşturmalarda devrim niteliğinde bir analitik yaklaşımdır. Temel mantığı şudur: her kullanıcının “normal davranış profili” makine öğrenmesiyle modellenir; bu profilden sapma otomatik olarak anomali uyarısı üretir. Rakip sayfaların hiçbirinde UEBA’ya yer verilmemektedir.
| UEBA Anomali Türü | Teknik Gösterge | Suistimal Bağlantısı |
|---|---|---|
| Saat Anomalisi | Normalde 09:00–18:00 arası aktif kullanıcının gece 02:30’da oturum açması | Veri hırsızlığı veya yetkisiz erişim; kimlik bilgisi çalınması veya hesap devralma |
| Hacim Anomalisi | Kullanıcının günde ortalama 50 MB erişirken tek seansta 4 GB dosya kopyalaması | Toplu veri sızdırma; ayrılma öncesi veri çalma girişimi |
| Hedef Anomalisi | Kullanıcının normalde hiç erişmediği dosya sunucusuna veya veritabanına erişim | Yetkisiz bilgiye erişim; hedefli casusluk |
| Davranış Hızı Anomalisi | Çok kısa sürede yüzlerce dosyayı açma (kopyalama aracı veya script kullanımı) | Otomatik araçla toplu veri çekimi; fidye yazılımı veya sabotaj hazırlığı |
| Lateral Movement | Kendi departmanı dışındaki sistemlere ve kullanıcı hesaplarına erişim denemesi | Ayrıcalık yükseltme girişimi; hesap ele geçirme; koordineli içeriden saldırı |
| Exfiltration Kanalı | Daha önce hiç kullanılmamış USB cihazına bağlanma veya bilinmeyen bulut servise yükleme | Veri dışarı çıkarma; kişisel depolama cihazına kopyalama |
Dijital Delil Kaynakları ve Log Analizi
İç soruşturmanın kalitesi büyük ölçüde hangi log kaynaklarına erişildiği ve bunların nasıl analiz edildiğiyle belirlenir. Mevcut içeriğimiz ve tüm rakipler bu konuyu tamamen atlamaktadır.
| Delil Kaynağı | İçerdiği Veri | Kritik Event ID / Parametre | Soruşturma Değeri |
|---|---|---|---|
| Windows Event Log | Oturum açma/kapama, dosya erişimi, USB bağlantısı, süreç başlatma, politika değişikliği | 4624 (oturum aç), 4625 (başarısız giriş), 4663 (dosya erişimi), 4688 (süreç), 20001 (USB), 4648 (explicit credentials) | Kimin ne zaman sisteme girdiği ve hangi dosyalara eriştiği; yetkisiz erişim; USB kullanım kanıtı |
| Active Directory Logları | Hesap oluşturma/silme, grup üyeliği değişikliği, yetki yükseltme, politika değişikliği | 4720 (hesap oluşturma), 4728/4732 (grup ekleme), 4756 (evrensel grup) | Ayrıcalık yükseltme; sahte hesap oluşturma; yetkisiz grup üyeliği |
| E-posta Sunucu Arşivi | Gönderilen-alınan e-postalar, taslaklar, silinen öğeler, ek dosyalar, başlık bilgileri (X-Originating-IP, tarih-saat) | Message-ID, X-Mailer, SMTP relay path, ek metadata | Veri sızdırma kanalı; rakiple yazışma kanıtı; sahte e-posta tespiti; silinen mesaj kurtarma |
| DLP (Veri Kaybı Önleme) Logları | Engellenen veya izin verilen hassas veri transferleri, politika ihlali uyarıları, sızdırma girişimi | Politika adı, kaynak kullanıcı, hedef cihaz/adres, veri sınıflandırması | Veri sızdırmanın doğrudan kanıtı; ihlal zamanlaması; hangi verinin nereye gittiği |
| USB / Taşınabilir Depolama Logları | USB cihaz bağlantı zamanı, cihaz seri numarası, kopyalanan dosya listesi (şifreli ya da değil) | Event ID 20001 (USB driver install), USBSTOR registry, setupapi.dev.log | Yetkisiz cihaza kopyalama; hangi cihazın kullanıldığı ve ne zaman bağlandığı |
| Bulut Depolama Logları | OneDrive, Google Drive, Dropbox, SharePoint erişim ve yükleme geçmişi; paylaşım linkleri | Yükleme boyutu, hedef hesap, paylaşım tarihi, IP adresi | Kişisel buluta şirket verisi yükleme; harici kişilerle paylaşım kanıtı |
| VPN / Uzak Erişim Logları | Kullanıcı bağlantı saatleri, IP adresi, oturum süresi, erişilen kaynaklar | Kaynak IP, kimlik doğrulama yöntemi, oturum başlangıç/bitiş | Yetkisiz konumdan erişim; mesai dışı bağlantı anomalisi; kimlik bilgisi paylaşımı tespiti |
| SIEM (Güvenlik Olay Yönetim Sistemi) | Tüm kaynaklardan normalize edilmiş korelasyon uyarıları; tehdit tespiti ve anomali skorlaması | Korelasyon kuralı, risk skoru, etkilenen varlıklar, zaman çizelgesi | Çok kaynaklı saldırı zinciri görselleştirmesi; tek başına anlam taşımayan olayları birleştirme |
E-Keşif (eDiscovery) ve Büyük Hacimli Veri Analizi
Kurumsal suistimal soruşturmalarında onbinlerce e-posta, mesaj ve belgeden ilgililerin ayıklanması sorunu e-keşif (eDiscovery) disiplininin konusudur. Bu alan, rakiplerin tamamında tamamen eksiktir.
| E-Keşif Aşaması | Teknik İçerik | Kullanılan Araçlar |
|---|---|---|
| Kapsam Belirleme (Scoping) | Hangi kullanıcı hesapları, sunucular, tarih aralığı ve anahtar kelimeler incelenecek; veri hacmi tahmini | Log analizi araçları, Active Directory sorguları |
| Koruma Emri (Legal Hold) | Soruşturma kapsamındaki e-posta, belge ve logların otomatik silinmesinin engellenmesi; IT sistemlerine bildirim | Microsoft Purview eDiscovery, Veritas Enterprise Vault |
| Toplama (Collection) | Write-blocker ile adli kopya; e-posta PST/OST dışa aktarımı; bulut arşivinden yasal dışa aktarım | FTK Imager, Magnet AXIOM, Nuix, Relativity Collect |
| Filtreleme ve Derecelendirme (Review) | Anahtar kelime, tarih, gönderici/alıcı filtreleme; tekrar eden doküman eşleştirme (de-duplication); ayrıcalıklı belge (avukat-müvekkil) ayrımı | Relativity, Nuix, Reveal (Brainspace AI), Everlaw |
| Analiz ve Üretim (Production) | Hukuka uygun formatta belge üretimi; Bates numaralama; redaksiyon; mahkeme veya avukat teslimi | Relativity, IPRO Eclipse, LAW PreDiscovery |
İç Soruşturmada Hukuki Sınırlar: Ne Yapılabilir, Ne Yapılamaz?
İşverenin soruşturma yapma hakkı ile çalışanın kişisel mahremiyet ve veri koruma hakları arasındaki denge, Türk hukukunda kritik öneme sahiptir. Bu ayrım rakiplerin tamamında bulunmamaktadır.
| Eylem | Hukuki Durum | Şart / Sınır | Mevzuat |
|---|---|---|---|
| Kurumsal e-posta arşivini inceleme | Hukuka uygun — işveren hakkı | Çalışanlara önceden e-posta politikası bildirilmeli; kişisel e-posta hesapları kapsam dışı; KVKK m.5 veri işleme şartı | KVKK m.5; 4857 İş K. m.25; AİHM Bărbulescu/Romanya 2017 |
| Kurumsal cihaz (bilgisayar/telefon) adli kopyalama | Hukuka uygun — kurumsal mülkiyet | Cihazın kurumsal mülk olduğu iş sözleşmesinde belirtilmeli; kişisel veri bölümlerinde orantılılık ilkesi uygulanmalı | KVKK m.5, m.12; 4857 m.25/II-e |
| Kişisel cihazda kurumsal veri araştırması | Koşullu hukuka uygun — BYOD politikasına bağlı | BYOD (kişisel cihaz politikası) yoksa sadece hâkim kararıyla CMK m.134; rıza alınarak MDM üzerinden mümkün | CMK m.134; KVKK m.3, m.5 |
| Çalışanı bilgilendirmeden gizli soruşturma | Sınırlı süre için hukuka uygun | Delil imha riski varsa önceden bildirim gerekmeyebilir; ancak uzun süreli gizli izleme KVKK m.12 ve AY m.22 kapsamında sorun yaratabilir | KVKK m.5, m.12; AY m.22; CMK m.134 |
| Kişisel e-posta (Gmail/Hotmail) arşivini inceleme | Her koşulda hukuka aykırı — yetkisiz erişim | Hâkim kararı olmadan kişisel e-postaya erişim TCK m.243 kapsamında suçtur; işveren kimliği soruşturmayı korumaz | TCK m.132, m.243; AY m.22 |
| Sosyal medya özel mesajlarını izleme | Hukuka aykırı — istisnasız | Kişisel hesaplara erişim TCK m.243 ve m.132; kurumsal hesapların yönetici görünümü izin dahilinde | TCK m.132, m.243; KVKK m.6 |
Suistimal Soruşturmasının Hukuki Çerçevesi
| Düzenleme | Kapsam | İç Soruşturma Bağlantısı |
|---|---|---|
| TCK m.155 | Güveni kötüye kullanma (emniyeti suistimal) | Zimmet değil ama emanet edilen kurumsal kaynağın kişisel çıkar için kullanılması: 6 ay–2 yıl hapis |
| TCK m.157–158 | Dolandırıcılık ve nitelikli halleri | Sahte belge, sahte tedarikçi, hayali çalışan veya bilişim sistemiyle kurumu aldatma: 1–7 yıl |
| TCK m.204–207 | Belge sahteciliği | Dijital ortamda oluşturulan veya değiştirilen belge: 2–5 yıl; kamu görevlisi ise 3–8 yıl |
| TCK m.239 | Ticari sır, bankacılık sırrı veya müşteri sırrının ifşası | Çalışanın şirket sırrını rakibe iletmesi: 1–3 yıl; hâlen görevdeyken işlenmesi ağırlaştırıcı |
| TCK m.243 | Bilişim sistemine girme | Çalışanın yetki alanı dışındaki sisteme veya başkasının hesabıyla giriş yapması: 1–2 yıl |
| TCK m.244 | Sistemi engelleme, bozma, verileri yok etme veya değiştirme | Log silme, dosya yok etme, sistem sabotajı: 1–5 yıl; banka/kamu kuruluşu hedef ise artırımlı |
| TCK m.247 | Zimmet | Kamu görevlisi veya özel sektörde özel kanun kapsamındakiler için: 5–12 yıl; denetimden yararlanarak işlenirse artırım |
| TCK m.281 | Suç delillerini yok etme, gizleme, değiştirme | Failin soruşturma başlayınca delil imha etmesi: 1–5 yıl; soruşturma sürecinde ayrı suç oluşturur |
| KVKK m.12 + m.18 | Veri güvenliği ve ihlal bildirimi | Suistimal sonucu müşteri/çalışan verisi sızan kurumlara: 100.000–1.000.000 TL idari para cezası; 72 saat bildirim |
| CMK m.63 / HMK m.293 | Bilirkişi ve uzman mütalaası | Adli bilişim bulgularının mahkemeye sunumu; CMK m.63 savcı/mahkeme atamasıyla bağlayıcı; HMK m.293 taraf seçimiyle danışmanlık niteliği |
İç Soruşturma Süreci: 7 Adım
-
Bildirim Alımı ve Hukuki Çerçeve Kurulmasıİhbar (anonim veya açık), iç denetim tespiti veya SIEM uyarısıyla soruşturma tetiklenebilir. İlk adımda hukuk birimi, İK ve adli bilişim uzmanı birlikte soruşturmanın CMK mi (ceza yargılaması) yoksa HMK mi (iş/ticaret davası) zemininde yürütüleceğini belirler. Bu belirleme, delil toplama yöntemi ve çalışan haklarına ilişkin sınırları doğrudan şekillendirir.
-
Fail Haberdar Edilmeden Adli KopyalamaŞüpheli çalışanın bilgisayarı, kurumsal telefonu ve erişim yetkisi olan sunucu bölümleri write-blocker ile adli olarak kopyalanır. MD5+SHA-256 hash değerleri hesaplanır ve zincir muhafaza formu başlatılır. Bu işlem çalışana haber verilmeden gerçekleştirilmelidir; aksi takdirde delil imha riski doğar.
-
Log Kaynakları Belirleme ve Koruma EmriWindows Event Log, Active Directory, DLP, e-posta sunucu arşivi, USB kayıtları, VPN ve bulut loglarının soruşturma kapsamında otomatik silinmesini önlemek için legal hold (koruma emri) uygulanır. Bazı log kaynakları varsayılan olarak yalnızca 30–90 gün tutulur; bu süre içinde koruma emri verilmezse delil kalıcı olarak yok olabilir.
-
UEBA ve Davranış AnaliziŞüpheli kullanıcının 90–180 günlük aktivite profili “normal” dönem baz alınarak çıkarılır; soruşturma dönemindeki sapmalar grafik ve tablo olarak belgelenir. Saat anomalisi, hacim anomalisi, lateral movement ve exfiltration kanalı analiz edilir. Bu aşama, suçlamayı destekleyen veya reddeden nesnel davranış verisini üretir.
-
E-Keşif ve Belge İncelemesiE-posta arşivi anahtar kelime, gönderici/alıcı ve tarih filtresiyle taranır; ilgili mesajlar derecelendirilir. Silinen e-postalar PST/OST arşivi ve sunucu yedeklerinden kurtarılmaya çalışılır. Avukat-müvekkil ayrıcalığı kapsamındaki belgeler ayrı tutulur. Ayrıcalıklı kullanıcı hareketleri ve dosya metadata tutarsızlıkları raporlanır.
-
Zaman Çizelgesi Rekonstrüksiyonu ve Çapraz DoğrulamaÇoklu log kaynağından elde edilen zaman damgaları UTC’ye normalize edilir ve tek bir kronolojik olay çizelgesinde birleştirilir. Log silme girişimi veya timestamp manipülasyonu (MFT vs. uygulama zaman damgası tutarsızlığı) ayrıca raporlanır. Delil; minimum iki bağımsız kaynakla çapraz doğrulandığında mahkemede itiraz edilmesi güçleşir.
-
Raporlama, Disiplin ve Hukuki SüreçTüm bulgular CMK m.63 bilirkişi raporu veya HMK m.293 uzman mütalaası formatında; metodoloji, kullanılan araçlar, hash değerleri, davranış analizi bulguları ve sonuç bölümleriyle birlikte raporlanır. Rapor; disiplin soruşturması, iş akdi feshi (4857 m.25/II-e), tazminat davası veya ceza suç duyurusu süreçlerine eş zamanlı altlık oluşturabilir.
Hizmet Alanları
Zimmet ve Finansal Suistimal Soruşturması
ERP/muhasebe sistemi audit trail analizi, sahte belge metadata incelemesi, finansal işlem korelasyonu ve e-posta arşiv forensiği ile zimmet, güveni kötüye kullanma ve finansal dolandırıcılık vakalarında kapsamlı dijital delil toplama. Bulgular TCK m.155, m.157 ve m.247 kapsamında ceza suç duyurusuna ve iş mahkemesi davasına altlık oluşturacak biçimde raporlanır.
Bilgi Sızdırma ve Ticari Casusluk Tespiti
DLP log analizi, USB forensiği, bulut yükleme denetimi, e-posta başlık ve ek incelemesi ile ticari sır, müşteri listesi, fiyat bilgisi veya Ar-Ge verisi sızdırma vakalarında veri transferinin teknik olarak kanıtlanması. Tespit raporu TCK m.239 (ticari sır ifşası) veya m.136 (kişisel veri ifşası) kapsamında suç duyurusuna ve TTK m.56 haksız rekabet davasına zemin oluşturur.
İşten Ayrılan Çalışan Veri Çalınması Analizi
İstifa veya işten çıkarma öncesindeki 30–90 günlük dönemin aktivite zaman çizelgesi analizi; ayrılma öncesi yoğunlaşan USB ve bulut transferlerinin tespiti; kişisel e-postaya iletilen kurumsal belgelerin belgelenmesi. Bulgular, iş sözleşmesindeki gizlilik ve rekabet yasağı hükümlerinin ihlalinin tespitine ve tazminat davasına doğrudan destek sağlar.
Kurumsal E-Keşif ve Büyük Hacimli Belge Analizi
Onbinlerce e-posta, mesaj ve belgenin anahtar kelime, tarih ve kullanıcı filtresiyle hukuka uygun biçimde ayıklanması; silinen belgeler ve mesajların kurtarılması; hukuki süreç için Bates numaralı belge paketi üretimi. Savcılık soruşturması, ticari tahkim veya uluslararası hukuki süreçlerde GDPR/KVKK uyumlu e-keşif desteği.
Sık Sorulan Sorular
İç soruşturmada dijital delil nasıl toplanır?
İç soruşturmada dijital delil toplama; soruşturmanın hukuki çerçevesinin (CMK m.134 veya HMK m.293) belirlenmesiyle başlar. Şüpheli cihaz ve sistemlere write-blocker ile adli kopyalama yapılır; MD5+SHA-256 hash değerleriyle bütünlük korunur. Ardından SIEM/log analizi, e-posta arşiv incelemesi, USB forensiği, bulut erişim logları ve UEBA davranış analizi yürütülür. Tüm süreç ISO/IEC 27037 standardına uygun belgelenerek raporlanır.
Kurumda bilgi sızdırma olduğundan nasıl anlarım?
Teknik göstergeler: anormal saatte sisteme giriş, alışılmadık büyüklükte dosya transferi, USB veya kişisel bulut hesabına kopyalama, DLP uyarısı, rakip firmadan sürpriz teklif. Adli bilişim incelemesinde Windows Event Log, DLP log, USB kayıtları, e-posta başlık ve ağ trafiği analizinden elde edilen veriler birleştirilir. Tespit raporu TCK m.239 veya m.136 kapsamında suç duyurusuna dayanak oluşturur.
Çalışanın zimmet yaptığından şüpheleniyorum, ne yapmalıyım?
Şüpheli çalışanı uyarmadan; ERP/muhasebe sistemi erişim loglarını, finansal işlem geçmişini ve e-posta yazışmalarını bağımsız adli bilişim uzmanına inceletin. Delil imha riski nedeniyle çalışan bilgilendirilmeden adli kopya alınması kritiktir. İşten çıkarma kararından önce adli bilişim raporunun tamamlanması hem ceza davasını güçlendirir hem de olası iş mahkemesi davasında kurumu korur.
İşten ayrılan çalışan kurumsal veri götürdü mü nasıl tespit edilir?
Windows Event Log (Event ID 20001 USB bağlantısı, 4663 dosya erişimi), DLP logları ve bulut yükleme geçmişinin ayrılma öncesi 30–90 günlük dönem analizi bu soruyu yanıtlar. Özellikle ayrılmadan önceki dönemde yoğunlaşan büyük hacimli dosya kopyalama, kişisel buluta yükleme veya şirket e-postasından kişisel adrese iletilen dosyalar milisaniye hassasiyetiyle belgelenir. Tespit raporu iş sözleşmesi gizlilik ihlali ve rekabet yasağı davalarına doğrudan destek sağlar.
Soruşturma gizliliği ne kadar süre korunabilir?
Failin haberdar edilmesi delil imha riskini hemen devreye sokar. Bu nedenle adli kopyalama tamamlanana kadar soruşturma gizliliği zorunludur. Ancak çalışanın soruşturma kapsamında bilinçsizce uzun süre izlenmesi KVKK m.12 ve AY m.22 kapsamında sorun doğurabilir. Genel kural: delil toplama sürecini kapsayacak kadar gizlilik, ardından prosedüre uygun bilgilendirme. Hukuki çerçeve baştan kurulmadan gizlilik süresi belirsiz bırakılmamalıdır.
Suistimal ve İç Soruşturma Uzman Mütalaası için Aslan Kriminal Bilişim ile iletişime geçebilirsiniz.
Suistimal ve İç Soruşturma Desteği
Zimmet, bilgi sızdırma, insider threat veya işten ayrılan çalışan veri çalınması şüphesinde; adli bilişim temelli dijital delil toplama, UEBA analizi, e-keşif ve CMK-HMK uyumlu bilirkişi raporu için İstanbul merkezli kriminalistik ekibimizle iletişime geçin.