Klasik bir polisiye filminde dedektif, şüphelinin evine girdiğinde çekmeceleri karıştırır ve mektupları okur. Dijital dünyada ise bu “ev”, bir hard disktir. Adli bilişim araçları (EnCase, FTK, Autopsy) o diski açtığında, silinmiş dosyalar da dahil olmak üzere işletim sistemindeki her bir bayt veri uzmanın ekranına dökülür.

Eğer şirket “Bu bilgisayar benim, içindeki her şeye bakabilirsin” derse, bu hukuken geçersiz bir talimattır. Çünkü Anayasa ve KVKK, çalışanın iş bilgisayarında bile belirli bir “özel hayatın gizliliği” beklentisine sahip olduğunu kabul eder. Bir veri sızıntısını veya içeriden gelen bir tehdidi (Insider Threat) araştırırken mahremiyeti korumak için uygulanan katı teknik kurallar şunlardır:

1. Gözle Okumanın Yasaklanması: Hedefli Arama (Keyword Searching)

İyi bir adli bilişim uzmanı, şüpheli bir diski açıp içindeki dosyalara “Acaba içinde ne var?” diyerek tek tek tıklamaz. Bu hem terabaytlarca veri yüzünden teknik olarak imkansızdır hem de doğrudan mahremiyet ihlalidir. Bunun yerine Hedefli Arama ve Filtreleme mantığı kullanılır:

• Veri Odaklı Arama: Çalınan bir müşteri listesi aranıyorsa, sadece “.csv” veya “.xlsx” uzantılı dosyalar ya da içinde “kredi kartı”, “müşteri_id” geçen metinler otomatik olarak taranır.

• Tehdit Odaklı Arama: Bir fidye yazılımı (Ransomware) aranıyorsa, sadece şüpheli IP adreslerine yapılan bağlantı loglarına veya yürütülebilir (.exe) dosyalara bakılır.

Adli bilişim yazılımı, sadece bu filtreye takılan dosyaları uzmanın önüne getirir. Çalışanın özel tatil fotoğrafları veya sağlık sonuçları bu filtrelere takılmadığı için uzmanın ekranında hiçbir zaman görünmez.

2. Karma Değerleri (Hashing) ile Kör Tespit

Bazen uzmanlar, dosyaları hiç açmadan tespit yaparlar. Önceki konularda konuştuğumuz “Hash” (Dijital Parmak İzi) mantığı burada devreye girer. USOM gibi merkezler, bilinen zararlı yazılımların Hash değerlerini yayınlar. Adli bilişim aracı, incelenen diskteki tüm dosyaların parmak izini çıkarır ve bu veri tabanıyla eşleştirir. Eşleşme olursa, uzman dosyanın içeriğini okumasına gerek kalmadan zararlı yazılımın varlığını matematiksel olarak kanıtlayabilir.

3. İlgisizlik İlkesi ve Raporlamada Karartma (Redaction)

İnceleme sırasında uzman, filtreleme yapsa bile bazen tesadüfen konuyla tamamen alakasız özel bir veriye denk gelebilir. Burada devreye hukukun İlgisizlik İlkesi girer. Uzman, soruşturmanın konusuyla ilgili olmayan hiçbir veriyi kanıt dosyasına ekleyemez.

Nihai adli bilişim raporunda, bu tür kişisel veriler dijital olarak karartılır (Redaction). Yönetim veya mahkeme raporu okuduğunda sadece suçun işlendiği kısmı görür; çalışanın mahrem hayatına dair kısımlar siyah bir kutu olarak kalır.

4. Denetçiyi Denetlemek: Kesin Kayıt Altına Alma (Chain of Custody)

Adli bilişim incelemelerinin yapıldığı laboratuvarlar ve yazılımlar, uzmanın bizzat kendisini de kaydeder (Audit Trail). Uzmanın diskin kopyasını saat kaçta aldığı, hangi anahtar kelimeleri arattığı ve hangi dosyaya tıkladığı saniyesi saniyesine değiştirilemez bir “Log” dosyasına yazılır.

Bu sayede uzman, ileride mahkemede yöneltilebilecek “Özel hayatı kurcaladı” suçlamasına karşı, kendi yazılımının loglarını sunarak sadece belirli filtreleri kullandığını kanıtlayabilir.