Taşıyıcı-Sınıf Ağ Adresi Çeviricisi (CGN/CGNAT- Carrier Grade Network Address Translation) Kayıtlarının Delil Niteliği ile VPN Kullanımının Hukuki Değerlendirmesi
AV. GİZEM DURU
A. GİRİŞ
Hayatımızın vazgeçilmez bir unsuru olan internet, bizler için yaşamı kolaylaştırmakla birlikte birçok yasal problemi de beraberinde getirmekte. İnternet erişim ve kullanım hakkı, hukuken direkt hak olarak düzenlenmemesine rağmen internetin kullanım şekli, internet ortamındaki yayınlar ve siber suçlar bağlamında birçok düzenleme bulunmaktadır. 5651 sayılı Kanun’da bu bağlamda uygulamada “İnternet Kanunu” olarak adlandırılmakta ve internet ile erişim sağlayıcıları hakkındaki usul ve esaslara yer vermektedir. Gelişen teknoloji ve dijitalleşen dünya ile internet gibi güçlü bir alanın denetlenmesi zorlaşmış ve bunun sonucu olarak siyasal iktidarların, internet kullanımındaki yasal problemleri çözmenin yanı sıra interneti kontrol altına alma zorunluluğu da doğmuştur.
Günümüzde internetin yaş, cinsiyet gibi herhangi bir ayrım gözetmeksizin herkes tarafından kullanılıyor oluşu ve dönem dönem yaşanan problemler neticesinde internet erişiminin VPN gibi ağlarla sağlanması akıllara “VPN kullanıyorum ama ceza alır mıyım?” düşüncesini getirmekte. Sizler için bu soru işaretlerinin giderilmesi adına çalışmamız kapsamında; internet kullanımına ilişkin yasal problemlerin geniş bir kapsama sahip olması sebebiyle öncelikle CGNAT yapısı ve kayıtlarına, söz konusu kayıtların delil niteliğine ve konu itibariyle bağlantılı olan VPN kullanımının hukuksal değerlendirmesine yer vereceğiz.
B. CGNAT Nedir?
CGNAT yapısını anlatmaya geçmeden önce daha anlaşılır kılabilmek adına sizlere bazı hususlardan bahsetmemiz gerekmektedir. İnternet alanında, cihazları benzersiz şekilde ayrıştırabilmek için başlangıçta sadece IP adresleri (IPv4) kullanılmaktaydı. Her cihazın bir IP adresi bulunmakta ve bu sayede diğer cihazlar ile karışma olasılığı yoktu. Dünyadaki internet kullanımının artması ve internet abone sayısının çoğalması nedeniyle internet servis sağlayıcıları IPv4 adreslerinin, adres sınırı olan 4 milyar sayısına ulaştığını ve IPv4 adresinin yetmediğini ortaya koymuştur. [1] Bu yetersizlikle mücadele etmek adına internet servis sağlayıcıları farklı yöntemler kullanmaya başlamıştır. Bu yöntemler aşağıda detaylıca yer almaktadır.
İlk olarak NAT yöntemi; ağ adresi çeviricisi olarak bilinir, aynı ağı kullanan kişilerin bir IP adresi üzerinden internete erişimini sağlayan yöntemdir. CGNAT yöntemi de benzer şekilde IPv4 ağ tasarımında internet servis sağlayıcıları (ISS) tarafından aşağıda anlatılacak olan sebeplerle kullanılan yöntemdir. CGNAT yöntemi aynı zamanda büyük ölçekli NAT olarak da bilinmektedir. NAT ve CGNAT ilişkisine değindik, CGNAT yöntemini detaylıca aşağıda sizler için ele alıyor olacağız.
CGNAT (Carrier Grade Network Address Translation), söz konusu IP adresi üzerinden kurduğu ağ yapılanması sayesinde kullanıcıların internet ile erişimini sağlamakta olan bir sistemdir. IPv4 adreslerinin çok fazla kullanıcı tarafından kullanılması sonucu yeterli gelmemesi servis sağlayıcılarının birden fazla kullanıcıya aynı IP adresini vererek internete erişmeleri şeklinde CGNAT sistemini doğurmuştur.
CGNAT, kişinin internete bağlanması sonrasında faydalanmakta olduğu belirli bir IP adresi ile olan veri iletişimleridir. Yukarıda da bahsettiğimiz üzere CGNAT için en basit anlatımla bir IP adresi üstünden birden fazla kullanıcının internete erişmesini sağlayan ağ yapılandırması tanımını kullanabiliriz. IP adreslerinin aynı olmasının yanı sıra, aynı adresi kullanan her bir kişiye bağlantılarını farklı adreslerden gerçekleştirmiş olduklarını göstermek adına port numarası atanmaktadır. Bu anlatılanlar ışığında; kime, ne zaman, hangi IP adresinin ve port numarasının verildiği ve kim tarafından, hangi IP adresine ve porta ne şekilde, ne zamanda erişildiğini ortaya koyan kayıtların tamamına da CGNAT kaydı denilmektedir.
C. CGNAT KAYITLARI CEZA YARGILAMASINDA DELİL OLARAK KULLANILABİLİR Mİ?
İnternetin hız kesmeden yaygınlaşması beraberinde bilişim suçlarının da artmasına sebebiyet vermiştir. Bilişim suçları bakımından pek çok konuda tartışmalar doğmuş olup, bunlardan biri de CGNAT kayıtlarının delil niteliği tartışmasıdır.
Adli soruşturma veyahut kovuşturma kapsamında şüphelinin ya da mağdurun, belirli zaman zarfında nerede olduğu, kimlerle konuştuğu, hangi internet sitelerine girdiği, hangi sunuculara eriştiği gibi bilgiler maddi gerçeğe ulaşmak bakımından hayati derecede önem arz eder. Söz konusu kayıtlar, adli makamlar tarafından talep edilmek suretiyle Bilgi Teknolojileri Kurumu’nca sağlanmaktadır. CGNAT kayıtları, şüphelinin ya da mağdurun hangi IP adresine ve porta, hangi zamanda erişim yaptığını gösterir. Bununla bağlantılı olarak HTS (Historical Traffic Search); telekomünikasyon alanında kişilerin iletişim geçmişini ortaya koyan veri kaynağıdır. Kişilerin konuştuklarını ortaya koymaz ancak arayan, aranan, arama süresi, arama zamanı, arama veri ve sinyali sayesinde alınan baz istasyonu vb. verileri ortaya koymaktadır. Kısaca HTS kayıtları telefon trafiğini, CGNAT kayıtları ise internet trafiğini gösteren kayıtlardır şeklinde özetleyebilmekteyiz.
Günümüzde CGNAT kayıtlarının soruşturma/kovuşturma dosyasına sunulması ile birlikte baz istasyonu verileri de sunulmaktadır. Bütün bu paylaşılan kayıtların ve verilerin ayrı ayrı değerlendirilmesi, alanında uzman kişilerce yorumlanarak şüphenin aydınlatılması gerekmektedir. CGNAT kayıtlarının usulüne uygun şekilde elde edilmesi ve dosyadaki verilerin, HTS kayıtlarının ve CGNAT kayıtlarının birbirleriyle uyumlu olması durumunda ikincil delil değeri kazanabilmektedir.
Bahsi geçen CGNAT yöntemi ile birden fazla kişinin aynı IP adresi ile internet ağına erişimi olduğu hususu burada önem arz etmektedir. Şöyle ki; bir kısım davalarda internet sunucuları tarafından aynı IP adresinin, söz konusu CGNAT yöntemi ile birden fazla kişiye tahsis edilmesi ile IP adresine bağlı olarak tespit yapılamayacağı öne sürülmüştür. Yargıtay’ın da bu yönde teknik anlamda maddi gerçeğin elde edilemeyeceğine ilişkin kararları mevcut olsa da bu konu zamanında internet sağlayıcısı bir kuruluş tarafından aksi yönde açıklamalarla tartışmaya açık hale gelmiştir. Bahsi geçen açıklama;
şeklinde olup, IP adreslerinin birden fazla kullanıcı için aynı anda kullanılır olması ve çakışma yaşanmasının normal olduğu ancak aynı IP adresini kullanan kullanıcılara verilen port numarası sayesinde ayrıştırılabilecekleri açıklanmıştır. Bu doğrultuda internet servis sağlayıcıları tarafından CGNAT sistemi kullanılıyor ise söz konusu CGNAT kaydının internet servis sağlayıcısı tarafından detaylı şekilde tutulması gerekmektedir. IP adreslerinin yanı sıra CGNAT sistemi kullanılıyor ise port numarasının da mutlaka internet servis sağlayıcısı tarafından kaydedilmesi gerekir.
Adli soruşturma/kovuşturma esnasında şüpheli veya mağdurun kullandığı internet servis sağlayıcısı CGNAT sistemini kullanıyor ise suça konu eylemin gerçekleştiği tarih ve saatte hangi porta bağlı olduğu bilgisinin dosya içerisinde yer alması zorunludur. Nitekim CGNAT kullanılan bir internet servis sağlayıcısı bağlantısında sadece IP adresi delili ile (Port bilgisi ve CGNAT kayıtları olmaksızın) maddi gerçeğe ulaşılamayacaktır.
Kural olarak IP adresi tek başına suçun işlendiğini ispatlamaz. IP adresi soruşturma açısından kesin bir delil değil, yalnızca bir ipucu olarak değerlendirilebilir. IP numarası ile tespit edilen bilgiler esas alınarak kişi hakkında mahkûmiyet kararı verilmesi hukuken doğru değildir. Yan deliller, ikrar gibi destekleyici deliller olması halinde mahkûmiyet kararı verilebilir. Yargıtay’ın da benzer kararlarda ortaya koyduğu yaklaşım bu şekildedir. CGNAT kayıtları yargılama açısından önemli bir emare olarak kabul edilse dahi dosyada başkaca delilin var olmaması halinde tek başına hüküm verilmesi için yeterli görülmemektedir. CGNAT yöntemlerinin kullanılması veya VPN gibi programların kullanımı sonucu tespit edilecek IP adreslerinin doğru bir sonuç ortaya koyması zorlaşmıştır. Bu da ceza yargılaması bakımından maddi gerçeğe ulaşabilme konusunda sorunlar yaratmaktadır.
Sonuç olarak; CGNAT kayıtları içerisinde yer alan IP adresleri ve bunlara ek olarak her kişiye ayrı tahsis edilen özel port bilgileri, aynı IPv4 adresini paylaşan kişiler arasında ayrıştırıcı bir bilgi olarak kullanılabilmektedir. Ancak, internet servis sağlayıcıları tarafından CGNAT sistemleri kullanılıyor ise ilgili kayıtların (port bilgisini içerir şekilde) sağlıklı bir biçimde tutulması ve saklanması gerekmektedir. Uygulamada internet servis sağlayıcılarının kayıtlarında çelişki yaşanması durumu oldukça yaşanmakta olup, bu gibi durumlarda söz konusu kayıtlar yalnızca yol gösterici olarak değerlendirilmelidir.
D. YARGITAY KARARLARI IŞIĞINDA DEĞERLENDİRME
Çalışmamız kapsamında ele alınan CGNAT kayıtlarının delil niteliği hakkındaki tartışma, Yargıtay’ın da defalarca kez önüne gelmiş bir konudur. Bu konuda Yargıtay tarafından istikrarlı şekilde verilmiş olan kararları sizlerle aşağıda ele alacağız.
“sanığın iş yerinde bulunan modemin kablosuz bağlantı (wifi) özelliği olan modem olup olmadığı ve buna göre de dışarıdan üçüncü bir kişinin haricen bağlantı yapıp yapmayacağı araştırılıp, ayrıca tespit edilen IP numarasının statik mi yoksa dinamik mi olduğu kurumdan sorulup, yapılacak bu tespitler ile sanığın savunmasının örtüşüp örtüşmediği, IP numarasının kopyalanması, kablosuz veya kablolu bağlantı ile internet hattına girilerek havale işlemi yapılmasının mümkün olup olmadığı hususlarının araştırılarak, yapılan eylemin üçüncü bir kişi tarafından gerçekleştirme olasılığının bulunup bulunmadığı hususlarının aydınlatılması için somut olaya ilişkin konusunda uzman bilirkişi incelemesi yaptırılarak sonucuna göre sanığın hukuki durumunun takdir ve tayini gerektiği gözetilmeden, eksik inceleme ile mahkûmiyet hükmü kurulması” [2]
“Sanığın internet cafe çalıştırdığını, merkez bilgisayara bağlı 30 adet bilgisayar bulunup tek hat üzerinden internete bağlanıldığını, bu bilgisayarlardan böyle bir işlem yapılmış olabileceğini savunması karşısında; merkez bilgisayar ve buna bağlı başka bilgisayarın bulunup bulunmadığı, işlemin hangi bilgisayardan yapıldığı, merkez bilgisayarda suça konu işlemlere ilişkin bir kaydın bulunup bulunmadığı, GSM şirketi tarafından IP adresi yanında PORT numarası verilip verilmediği, PORT bilgisine ulaşıldığında birden fazla kişiye verilen IP’nin belirlenen saatte kim tarafından kullanıldığı tespit edilmeden ayrıca mağdurun kredi kartı bilgileri haksız olarak ele geçirilerek internet üzerinden kontör yükleme işlemi yapıldığı iddia olunduğundan, kontör yüklendiği belirlenen telefon hatlarının, suç tarihindeki hat sahipleri ve kullanıcıları araştırılıp, tanık sıfatıyla dinlenerek ve tüm deliller birlikte değerlendirilerek sonucuna göre sanığın hukuki durumunun tayini ve takdiri gerektiği gözetilmeden, eksik araştırma ile yazılı şekilde karar verilmesi,” [3]
“… merkez bilgisayar ve buna bağlı başka bilgisayarın bulunup bulunmadığı, işlemin hangi bilgisayardan yapıldığı, merkez bilgisayarda suça konu işlemlere ilişkin bir kaydın bulunup bulunmadığı, GSM şirketi tarafından IP adresi yanında PORT numarası verilip verilmediği, PORT bilgisine ulaşıldığında birden fazla kişiye verilen IP’nin belirlenen saatte kim tarafından kullanıldığı tespit edilmeden ayrıca mağdurun kredi kartı bilgileri haksız olarak ele geçirilerek internet üzerinden kontör yükleme işlemi yapıldığı iddia olunduğundan, kontör yüklendiği belirlenen telefon hatlarının, suç tarihindeki hat sahipleri ve kullanıcıları araştırılıp, tanık sıfatıyla dinlenerek ve tüm deliller birlikte değerlendirilerek sonucuna göre sanığın hukuki durumunun tayini ve takdiri gerektiği gözetilmeden, eksik araştırma ile yazılı şekilde karar verilmesi…”[4]
“… Öte yandan IP adreslerinin yeterli olmadığı hallerde GSM şirketleri tarafından bir IP adresi, birden fazla kişiye PORT yapılarak verilebilmektedir. Bilgisayar içindeki her program, iletişim için ayrı birer port kullanmaktadır. Bu nedenle bilgisayardaki programların iletişimi için IP ve port numarası olmak üzere iki tane adres numarası gerekmekte, IP adresi Port numarası olarak gösterilmektedir. Tutulmasında yasal zorunluluk bulunmayan PORT bilgisine ulaşıldığında, birden fazla kişiye verilen IP nin, suçun işlendiği saatte kim tarafından kullanıldığının belirlenmesi mümkün olmaktadır…” ve “…IP adresi kayıt bilgilerinden, ilgili Telekom Müdürlüklerinden, sisteme giriş yapan veya başarısız olan IP numaraları kullanıcılarının adres ve telefon bilgileri istenmeli ve loğlar üzerinde inceleme yapılmalı, ayrıca IP adresini kullanan bilgisayarların MAC numaraları araştırmalıdır…”[5]
- Yargıtay’ın yer vermiş olduğumuz ve önemine binaen vurgulamış olduğumuz kararlarda da görüleceği üzere; sadece IP adresi ile kişiye suç isnat edilemeyeceği, internet servis sağlayıcılarının CGNAT yöntemini kullanması halinde her bir kişi için kullandığı Port numarası bilgisinin de öğrenilmesi gerektiği görülecektir. Yargıtay kararlarında, tüm delillerin toplanıp uzman bilirkişilerce incelenmesi gerektiğini ve diğer kuvvetli deliller ile desteklenmedikçe elde edilen IP adresi, port bilgisi gibi bilgilerin; birden fazla kişi tarafından aynı anda kullanıma açık olması sebebiyle söz konusu suçun kim tarafından işlendiği sabit olmayacağından dolayı hüküm için esas oluşturmayacağını da açıkça görmekteyiz.
E. VPN (Virtual Private Network) KULLANIMI VE HUKUKİ DEĞERLENDİRME
İktidarlar tarafından belirli dönemlerde, kamu güvenliği veya kamu düzeni gibi sebepler gerekçe gösterilerek internet kullanımı sınırlandırılması yoluna gidilmektedir. Bununla birlikte internetin insanların hayatındaki öneminden dolayı bu erişim engellerinin aşılması adına bazı yazılımların kullanımı popülerleşmeye başlamıştır. Günümüzde de oldukça yaygın olan VPN kullanımı, her ne kadar kişilere avantajlar sağlasa da beraberinde hukuki ve veri gizliliğini de getirmektedir.
VPN sistemi, internet bağlantısını şifreleyerek özel ağdaymış gibi görünmeye yarayan bir sistemdir. VPN sayesinde kullanıcılar coğrafi engelleri aşarak Wi-Fi ağlarına bağlanabilir ve internette anonim kalıp erişim engelleri olmadan kullanabilir.
VPN kullanımının; internet üzerindeki faaliyetlerinizin anonimleşmesi, diğer Wi-Fi ağlarına bağlanılabilmesi, engellenen sitelere erişilebilmesi gibi hususlar bakımından avantajı olsa da yasal riskler, veri gizliliği açısından da önemli dezavantajları bulunmaktadır. Bu dezavantajlardan önemli olması sebebiyle bahsetmemiz gerekenler; suç işlemede araç olarak kullanılması hali ile veri saklama hususudur.
- Siber suçlular bakımından VPN, yasa dışı faaliyetleri gerçekleştirme esnasında sıklıkla kullanılan bir sistemdir. Her ne kadar bu amaçla kullanmıyor olsanız da VPN’in bu tarz yasa dışı bir faaliyette kullanımının tespiti halinde şüpheli hale düşebileceğiniz olaylarla karşılaşma riskiniz bulunmaktadır.
- İnternet servis sağlayıcılarının veri saklama yükümlülüğünden yazımız kapsamında sizlere söz etmiştik. Bazı hallerde, VPN hizmeti sağlayıcıları da aynı yükümlülük altındadır. Bu durum da avantajlar kısmında söz ettiğimiz internette anonim kalma, gizlilik gibi avantajları ortadan kaldırmaktadır. Şöyle ki; siber suçlar gibi bir suç soruşturması/kovuşturması olması halinde yetkili makamlar tarafından ilgili VPN sağlayıcısından kullanıcı bilgileri talep edilebilmektedir. VPN sağlayıcısının verileri saklama yükümlülüğü var ise anonim kaldığınızı düşünerek gerçekleştirdiğiniz etkinliklerin yetkililerle paylaşılması gerekebilmektedir.
F. İNTERNET KULLANICILARININ AKLINDAKİ ÖNEMLİ SORU: VPN KULLANMAK YASAL MI?
Bütün ülkeler dönem dönem birtakım erişim engeli getirebilmekte. Bununla birlikte her ülkenin VPN kullanımına dair farklı yasal düzenlemeleri bulunmakta. Türkiye’de dönemsel olarak VPN kullanımına dair tartışmalar gündeme gelse halihazırda VPN kullanımını yasaklayan bir düzenleme mevcut değildir. Bilgi Teknolojileri ve İletişim Kurumu tarafından erişimi engellenen sitelere VPN kullanılarak girilmesi, henüz yasal bir düzenleme olmaması sebebiyle suç teşkil etmemektedir.
Türk Ceza Kanunu, Kabahatler Kanunu ve ilgili mevzuatlar kapsamında henüz konuya yönelik yasal düzenleme bulunmaması sebebiyle VPN kullanıcıları hakkında gerek adli gerekse de idari bir süreç başlatılamayacaktır. Ancak, kullanıcılar tarafından VPN kullanılarak gerçekleştirilmesi amaçlanan faaliyetler veya paylaşımı yapılan içerikler yasa dışı ögeler barındırıyorsa hukuki yaptırımlarla karşılaşılması olağandır. VPN üzerinden erişim sağlanılan siteler aracılığıyla suç teşkil eden faaliyetlerin gerçekleştirilmesi halinde adli olarak cezai yaptırıma maruz kalmanız mümkündür. Bu noktada kullanıcılar her ne kadar anonim kaldığını, internet trafiğinde dijital iz bırakmadığını düşünüyor olsa da dijital ortamdaki diğer veriler aracılığıyla adli makamlar tarafından kullanıcıya ulaşılması mümkün olabilmektedir.
Anlatılan sebeplerle; VPN kullanımının avantajları ve dezavantajları göz önüne alınarak, gerçekleştirilecek faaliyetlerin sonucunu önceden düşünerek hareket edilmelidir. Masumane bir amaç uğruna kullandığınızı da düşünseniz karşılaşabileceğiniz birçok riski beraberinde getirmektedir.
Sizler için bu makalemiz kapsamında CGNAT kayıtları, IP adresleri ve PORT bilgisinin ceza yargılamasındaki kullanımı ile delil niteliğine, bunlarla bağlantılı olarak günümüzde kullanımı giderek artan VPN uygulamalarının artıları ve eksileri ile ülkemizdeki kullanımının yasal olup olmadığına yer verdik. İnternet, kullanıcılar için hayati derecede önem taşısa da aynı zamanda hayati riskleri de bulunmaktadır. ECY Hukuk olarak sizlere bu makalemizde güncel olarak herkesin aklında yer alan soruları ele aldık. Günümüzde yaş, cinsiyet vb. ayrımlara tabi olmadan herkes tarafından kullanılan internetin, hukuksal olarak nasıl risklere yol açabileceği ve ne şekilde kullanılmasının hayati bir öneme sahip olduğunu düşünmekteyiz.
[1] Dr. Berker KILIÇ, Gizay DULKADİR, “CGNAT ve HTS Kayıtlarının Karşılaştırılması Neticesinde Elde Edilen Sonuçların Hukuki ve Teknik Değerlendirmesi”, Ekim 2022, s.10.
[2] Yargıtay 2. Ceza Dairesi, 20.11.2018 T., 2018/6474 E., 2018/1368 K.
[3] Yargıtay 8. Ceza Dairesi, 06.05.2014 T., 2014/11582 E., 2013/9756 K.
[4] Yargıtay 8. Ceza Dairesi, 06.05.2014 T., 2013/9756 E., 2014/11582 K.
[5] Yargıtay 8. Ceza Dairesi, 16.04.2014 T., 2013/4668 E., 2014/9860 K.
