Bilişim bilirkişi raporları

Bilişimle ilgili bilirkişi raporları nasıl yazılmalıdır?

Bilirkişi incelemelerdeki en önemli konulardan biri, incelemenin, adli bilişim ilke ve prosedürlerine uygun olarak ve bu amaca yönelik olarak üretilmiş cihaz ve araç-gereçlerle yapılmış olmasıdır. 

İkinci olarak, bilirkişi incelemeleri, bilimsel, yani tekrarlanabilir özellikte olmalıdır. Bir başka bilirkişi de aynı araç-gereçleri ve yöntemleri kullandığında aynı sonuca ulaşıyorsa o inceleme bilimseldir. 

Üçüncü olarak, bilirkişi incelemesi yapan bir adli bilişimcinin tüm inceleme sürecini, inceleme sürecinde hangi donanım, yazılımları kullandığı, hangi anahtar kelimeleri arattığı, hangi işlem sonucunda hangi sonuca ulaştığı vb bilgileri de kayıtları arasında tutmalıdır, ki  aylar sonra o incelemeyle ilgili olarak kendisinden bilgi istendiğinde gerekli açıklamaları yapabilmelidir. 

Bir inceleme sonucunda bilirkişinin raporunda yazacakları şeyler genellikle, KANAAT veya TESPİT'lerden oluşur. Bunların kesinlik dereceleri ve dolayısıyla yargılama safhasında göz önüne alınma dereceleri farklı olacağından, bilirkişinin raporunu yazarken bu konuda çok dikkatli olması gerekir.

Adli bilişimcinin, kanaat veya tespitlerini raporunda belirtirken ayrıca aşağıdaki hususlara dikkat etmesi gerekir:

 a) İnceleme sürecindeki teknik detaylar raporu anlaşılmaz kılacak kadar aşırı şekilde kullanılmamalıdır. Bu detaylar, bilirkişinin raporundan ziyade inceleme notlarında yer alabilir. Örnek; "ISO katmanları", "frame relay bağlantı", "CRC", "APPLE TALK" vb terimler, raporu okuyan hukukçuyu sıkacak ve hatta raporun anlaşılmaz olduğunu düşünerek daha anlaşılır bir rapor yazılması için aynı konuyu bir başka bilirkişiye havale edecektir.

  Bu nedenle, bilişimle ilgili bilirkişi raporları, bilişimci olmayan ortalama bir kullanıcının anlayabileceği kadar sade yazılmalıdır. Teknik ifade ve terimlerin konu açısından önemi varsa ve muhakkak yazılması gerekiyorsa, bunlar Türkçe yazılmalı, karşılığı yok ise Türkçe açıklaması parantez içerisinde belirtilmelidir. Örnek, "router” kelimesi raporda geçmesi gerekiyorsa parantez içerisinde(yönlendirici) şeklinde belirtilmelidir. Ayrıca sayfanın altında bu terimlerin ne anlama geldiğinin yazılması daha iyi olur. Mesela, 'router' için (iki ağ arasındaki veri iletişimini sağlayan cihaz) şeklinde yazılması, bilirkişi raporunun anlaşılırlığını kolaylaştıracaktır.

c) Rapor metninde ve eklerinde, incelenen materyallerden bahsederken, “incelenen materyalin ilk tanımlandığı” kısımlarda kullanılan tanımların aynısı kullanılmalıdır. Örnek: Onlarca cep telefonu incelemesinin yapıldığı bir bilirkişi incelemesinde, raporda “İncelenen materyal” bölümünde;

 “1 adet mavi renkli, Nokia N97, xxxxxxxxxx IMEI no etiketli cep telefonu”

şeklinde tanımlama yapılmış ise, raporun ilerleyen metinlerinde ve eklerinde de bu tanımlayıcı ifade aynen geçmelidir. Bunu yazmayıp raporda sadece  “telefon” olarak bahsetmek "acaba hangi telefonu kastediyor" soruna neden olacak ve karışıklığa yol açabilecektir.

d) Bilirkişi raporunda konu bütünlüğü olan aşamalar bütünlük ifade eden paragraflar şeklinde yazılmalıdır. Örnek, bir paragrafta hem kumar, hem p o r n o grafi, hem özel hayatın gizliliğini ihlal ile ilgili incelemeler birbirine girmiş şekilde yazılmamalıdır. Kısa ve az satırlı paragraf yapmak daha kolay anlaşılırlık sağlar. 

e) Çok sayıda ve farklı tiplerde materyal (cep telefonu, hafıza kartları, SIM kart vs) içeren incelemelerde, çok spesifik ve net bir anlatım uslubü izlenmelidir. Raporu okuyan kişinin kafasında belirsizlik oluşmasına neden olunmamalıdır.  

Örnek; İncelemeye konu bir cep telefon var diyelim. Telefon içerisinde ayrıca SIM kart var, hafıza kartı gibi farklı birimler de var diyelim. İncelemelerde cep telefonunun hafıza kartı içerisinden delil bulunması durumunda, bilirkişi raporunda “…telefondan bulunan deliller…” şeklinde yazmak hem belirsiz bir ifadedir hem de eksik ve yanlış bilgi vermek demektir.

Çünkü gerçekte söz konusu delil(ler), telefon içerisinde olmayıp hafıza kartı içerisindedir ve söz konusu hafıza kartının gerçekte o telefonla hiç bir ilgisi de olmayabilir. O hafıza kartı kısa bir süre önce başka bir telefonda kullanılmış ve olayın hemen öncesinde söz konusu cep telefonuna takılmış da olabilir. Dolayısıyla kart içeriği ile telefon kullanıcısının hiç bir ilgisi de olmayabilir. Bu nedenle, bir cihaz içerisine kolaylıkla çıkarılıp takılabilen birimler, bilirkişi raporunda ayrı ayrı belirtilmelidir ki bu sayede hangisinden ne bulunduğu konusu net olarak anlaşılabilsin ve “cep telefonundan ne bulundu?” “SIM karttan ne bulundu?” “Hafıza kartından ne bulundu" net olarak ortaya konulsun ve delillendirme ve yargılama da ona göre yapılabilsin.

g) İncelemede kesin emin olunamayan sonuçlara ilişkin olarak, raporda kesin ifadelere yer verilmemelidir. Örnek, "hard disk içerisindeki resimlerin A ve B şahısları tarafından kopyalanmış olduğu anlaşılmıştır" ifadesi fazla iddialı bir ifade olabilir. Çünkü adli bilişim incelemerinde çoğu zaman doğrudan kişi tespiti yapılamaz. Bilgisayarda bir işlemi yapmış olan kullanıcı hesabı belki tespit edilebilir ancak o işlemi yapan hesabın olay sırasında gerçekten A kişisi tarafından kullanıldığı kesin olarak tespit edilemez.

h) Bilişimle ilgili bilirkişi raporu yazıldıktan sonra ve ilgili makama teslim etmeden önce raporu bilişimci olmayan herhangi bir kişiye okutmak ve raporun gerçekten anlatılmak isteneni veriyor olduğunu teyit etmek iyi olur.

İncelemeyi yapan bilirkişi, o alanı iyi bildiğinden ve inceleme sürecine hakim olduğundan, herkesin konuyu aynı şekilde kendisi gibi bildiğini düşünerek raporda bir çok noktayı yazmadan geçmiş olabilir. Örnek olarak, "güvenlik kamerası hard diskinden eski kayıtların silinmiş olduğunu" yazıp öylece bırakmak gibi. 

"Silinmiş derken neyi kastediyor acaba, birisinin kasten silmesini mi, yoksa normal kullanım sürecinde yer açmak amacıyla sistem tarafından yapılan silme işlemini mi...". İşte bu gibi konularda "raporu okuyan savcı-hakim zaten genel kültürüyle biliyordur" diye düşünmek yanlıştır. 



Dr. Yunus BALI
Adli Bilişim Uzmanı 
dijitaldeliller@gmail.com