Günler ilerledikçe gerek günlük kullandığımız cihazların gelişimi, gerekse meslek dallarındaki gelişmeler sebebiyle teknolojiyle daha iç içe bir hayat sürüyoruz. Zaman zaman teknolojiden kaçıp inzivaya çekilme hayalleri kursak da bu durum genellikle hayalden öteye gidemiyor.
Bazı değişiklikler ise kanun koyucular tarafından gerçekleştiriliyor. Bunun en güncel örneklerinden bir tanesi geçtiğimiz günlerde Rekabetin Korunması Hakkında Kanun’da yapılan kapsamlı değişiklikler. Birçok farklı değişiklikle birlikte şirketlerin teknoloji alanında belirli çalışmalar yapmasını gerektirecek maddeler var. Bunun temelinde ise Rekabet Kurumunun artık dijital verilerin kopyasını alabilmesi yatıyor. Kanundaki değişiklikler için linkteki blog yazımızı okuyabilirsiniz.
Dünya üzerinde benzer uygulamalara bir süredir şahit olmakla beraber Türkiye’de henüz tam olarak ne şekilde hayata geçeceğini bilmiyoruz. Biz de ekip olarak gelişmeleri takip etmekteyiz. Bu sebeple bu yazımızda farklı ülkelerdeki farklı kurumların uygulamalarından örnekler vererek potansiyel uygulama için fikir yürüteceğiz.
Nasıl Oluyor Bu İşler?
Öncelikle, herhangi bir dokümanın delil niteliği taşıyabilmesi için belirli usul kurallarına uygun bir şekilde elde edilmiş olmaları zorunlu. Bu durum, dijital veriler için de geçerli. İlk amacımız, olay yeri olan dijital ortamın bire bir korunması. Bunun için ilgili ortama bağlı cihazları, cihazların saklama alanlarında tutulan veriler bozulmayacak şekilde saklamak veya bu cihazların saklama alanındaki verileri birebir kopyalamak gerekiyor. Ayrıca verilerin kopyalanmasındaki süreci uçtan uca kayıt altına alacak delil zinciri de oluşturulmalı.
Delil niteliği taşıyacak dijital verilerin kopyalanmasındaki en yaygın teknik, verilerin tutulduğu diskin imajının alınmasıdır.
Temelde 3 şekilde imaj alınır:
- Fiziksel (Physical) İmaj: Veriler disk üzerinde bitler şekilde tutulmaktadır. Fiziksel imaj alındığında diskin üzerindeki bit diziliminin bire bir kopyası yaratılmaktadır. Bu yöntemde diskin tamamı kopyalandığı için (canlı veya çevrim dışı imaj alınmasına bağlı olarak) uçucu verilere ve silinen verilerin bir kısmına da erişim mümkün olabilir.
- Mantıksal (Logical) İmaj: Mantıksal imaj işlemi, diskin sadece veri tutulan alanlarındaki dosyaların klasör yapısını bozmadan bit diziliminin bire bir kopyalanması işlemidir.
- Hedefli (Targeted) İmaj: Tam bir imaj alma işlemi olmaktan ziyade veri toplama yönetimidir. Diskteki verilerin sadece belirli bir kısmının kopyalanmasıyla gerçekleştirilir.
İmaj alma işlemi tamamlandığında diskteki veriler kullanılarak bir hash değeri (genellikle md5 veya sha1 algoritması kullanılarak) hesaplanır ve orijinal diskteki değerle karşılaştırılır. Değer tutuyorsa, diskin üzerindeki dosyalardan birkaç tanesiyle fiziksel doğrulama yapılır (dosyaların çalışıp çalışmadığı kontrol edilir). Doğrulamadan sonra veriler öncelikle incelemenin gerçekleştirileceği uygun bir fiziksel ortama aktarılır. Sonrasındaysa işleme sürecinden geçirilir.
Bu sürecin amacı:
- Silinen dosyaların geri getirilmesi,
- Dosya türlerinin validasyonu (uzantısı değiştirilmiş dosyaların dosya imzaları aracılığıyla kontrol edilmesi),
- İncelenmesine gerek olmayan dosyaların ayrıştırılması,
- İncelenecek dosyaların inceleme kapsamına göre kümelenmesi,
- Dosyalarla belirli istatistiklerin hesaplanması ve verilerin uygun ortamlarda incelenmesine hazır hale getirilmesidir.
Sonrasında uygun donanımlar ve yazılımlar aracılığıyla inceleme gerçekleştirilir. İnceleme için en yaygın yöntem, verilerin Relativity, Nuix, Intella gibi inceleme platformlarına yüklenerek anahtar kelime, tarih gibi kriterler aracılığıyla filtrelenmesi ve sonuçların incelenmesidir. Bunun yanında bu yazılımların yakınlık araması gibi metin işleme özellikleri ve silinen dosya analizi gibi bilgisayardaki işlemlere yönelik analizleri de kullanılabiliyor.
Dünya’daki rekabet otoriteleri bu işi nasıl yapıyor?
Örneklere dünyanın diğer ucundan, insanların baş aşağı yaşadığı Avustralya’dan başlayalım. Avustralya Rekabet Otoritesinin gerçekleştirdiği yerinde incelemelerde otoritenin IT uzmanları teşebbüse ait bilgisayar, sunucu gibi cihazların bir listesini çıkararak önemine göre sıralıyor. Sonrasında, çeşitli araçlar yardımıyla anahtar kelime vb. aramalar gerçekleştiriyor.
Kurumdan gelen uzmanlar tespit ettikleri e-postaları alırken, adli bütünlüğün sağlanması için e-posta arşivinin tamamını (.pst formatında) alırken, sunucu ve benzeri alanlarda bulunan dosyalar için hedefli imaj alma yöntemiyle inceleme kapsamında tespit edilen dosyanın bulunduğu klasörün tamamının bir kopyasını almakta. Ayrıca aldıkları veriler içerisinde inceleme kapsamında olmayan veriler de olduğu için alınan veriler 3.parti bir devlet otoritesi veya özel şirket tarafından saklanıyor. Saklanan veriler, veri sahibi teşebbüs tarafından incelenebiliyor ve avukat müvekkil gizliliği sınıfındaki bilgiler, otoritenin incelemesi öncesinde veriler arasından çıkarılabiliyor.
Avrupa Komisyonu da kopyalama için benzer bir yol izliyor. Öncelikli uygulama, teşebbüsün dijital ortamlarında yapılan inceleme olurken zaman zaman fiziksel, mantıksal veya hedefli imaj alındığına da şahit oluyoruz. Buna ek olarak, inceleme süresince bilgisayarlara/sunuculara ait harddisklere el konulduğu da oluyor.
Avrupa Komisyonu, inceleme ve kopyalama için piyasada bulunun yazılımların yanında kendi geliştirdiği çeşitli araçları kullanıyor. Genellikle, kopyalanan veri komisyonun Brüksel’deki merkezine götürülüyor ve inceleme sadece teşebbüs yetkililerinin nezaretiyle gerçekleştirilebiliyor. Teşebbüsler, kopyalanan verinin içerisinde avukat-müvekkil gizliliği ve ticari sır sınıfındaki verilerin inceleme kapsamında çıkartılmasını talep edebiliyor. İnceleme sonunda Komisyonun kopyaladığı verileri sakladığı cihazlardaki veriler geri getirilemeyecek şekilde imha ediliyor.
Amerika’da ise durum biraz farklı. Rekabetle ilgili konuları araştırmakla yetkili 2 ayrı kurum bulunuyor. Biri bağımsız bir düzenleyici kurum olan Federal Ticaret Komisyonu (Fedeeral Trade Comission – FTC), diğeri de Adalet Bakanlığı’nın (Department of Justice – DOJ) Rekabet Departmanı. FTC’nin yerinde inceleme için tek başına yetkisi yok. Bunun için DOJ’dan ve FBI’dan uzmanlar eşliğinde hareket etmesi gerekiyor. Yapılan yerinde incelemeler ise Avrupa Komisyonunun yaptıklarına büyük ölçüde benzerlik gösteriyor. Avrupa Komisyonunu gerçekleştirdiği yerinde incelemelerde gelen uzmanların yaptığı incelemeye eşlik etmek mümkünken DOJ ve FBI’ın gerçekleştiği incelemelerde gelen uzmanlara eşlik etmek mümkün olmayabiliyor.
Genellikle incelemelerin kapsamında alınan verilerin bir kopyasının teşebbüslere teslim edildiğini görüyoruz. Kimi ülkelerde şirket çalışanlarının evlerinde arama yapılabilirken, bazılarında inceleme şirket (dijital) sınırları içerisinde gerçekleştirilebiliyor. Tabi her iki durumda da kendi cihazını kullanan çalışanların bilgisayarları da incelenebiliyor. Ayrıca, İngiltere, İskoçya ve Galler gibi bazı ülkelerde incelemeler için arama izni vb. yasal izinler gerekirken Türkiye’nin de dahil olduğu bazı ülkelerde incelemeler rekabet otoritesinin yetkileri dahilinde.
Çalışanların kullandığı mobil cihazlar da incelemenin kapsamında olabiliyor. Bu amaçla ağırlıklı olarak Cellebrite kullanıldığını görüyoruz. Ayrıca, çalışanların e-posta hesaplarının dondurulması, bilgisayarların/sunucuların internet bağlantısının kesilmesi gibi farklı uygulamalara şahit olabiliyoruz.
Bizi ne bekliyor?
Geçmiş tecrübelerimize ve Dünya üzerindeki farklı uygulamalara dayanarak, yeni değişikliklerle birlikte bizde izlenecek metodun mevcut inceleme yöntemlerine ek olarak mantıksal imaj alma olacağını öngörüyoruz. Beklentimiz:
- Toplanacak verilerin iki ayrı kopyasının hazırlanması,
- Hash değerleri kontrol edildikten sonra kopyalardan birinin ilgili teşebbüse teslim edilmesi,
- Diğer kopyanın inceleme için Rekabet Kurumunun Ankara’daki merkezine götürülmesi,
- İnceleme öncesinde veya sırasında teşebbüslere avukat-müvekkil gizliliği, ticari sır vb. sınıfındaki dokümanların ayrıştırılması için ortam sağlanması,
- İncelemenin şirket yetkilileri eşliğinde gerçekleştirilmesi,
şeklinde bir prosedür izlenmesi.
Tabi ki uygulamalar, mevzuat netleşene yani ilgili yönetmelik çıkarılıncaya kadar yaşanacak gelişmelere göre değişebilir fakat nihai prosedürün tahminimizin çok uzağında olmasını beklemiyoruz. Şimdilik yapılması gereken, Rekabet Kurumunun potansiyel ziyaretleri öncesinde olabildiğince hazırlıklı olmak ve attığımız ticari adımların Rekabet Kanununa uyumunu sürekli olarak gözetmek. Ayrıca, Rekabet Kurumunun açıklamalarını yakından takip etmek. Kanun artık hayatımızda; yerinde incelemelere hazırlanmak için her şeyin netleşmesini beklemeye gerek yok. Özellikle Rekabet Kurumu ve şirketler arasındaki teknolojik uyuşmazlıklar incelemenin engellenmesiyle ilgili kararlara sebep olurken.