Rehber · Adli bilişim raporu
Adli Bilişim Raporu Nasıl Okunur? Bölüm Bölüm Anatomi
Bir adli bilişim raporu elinize ilk geldiğinde, onlarca sayfalık teknik terim yığını gibi görünebilir. Hash değerleri, imaj dosyaları, hexadecimal tablolar ve uzun veri dökümleri çoğu okuyucu için ilk bakışta karmaşıktır. Oysa her adli bilişim raporu, aslında oldukça öngörülebilir bir iskelete sahiptir.
Bu iskeleti tanıdığınızda raporun neresine bakacağınızı, hangi bölümün ne anlama geldiğini ve en önemlisi nerede soru sormanız gerektiğini bilirsiniz. Bu yazı; hukukçular, mesleğe yeni başlayan adli bilişim uzmanları ve konuyla ilgilenen kişiler için hazırlanmış sade bir yol haritasıdır.
Rapor Neden Bu Kadar Önemli?
Adli bilişim incelemesi ne kadar titiz yapılırsa yapılsın, mahkemeye ulaşan temel metin rapordur. Dijital delil, yargılama makamı önünde çoğu zaman rapor üzerinden anlam kazanır. Bu nedenle raporun her bölümü, delilin güvenilirliğini ve hukuki değerini doğrudan etkiler.
İyi bir rapor iki şeyi aynı anda yapmalıdır: teknik olarak doğrulanabilir olmalı ve teknik olmayan okuyucu tarafından anlaşılabilir kalmalıdır. Başka bir uzman aynı delil üzerinde aynı adımları izlediğinde aynı sonuca ulaşabiliyor mu? Hâkim, savcı veya avukat, bilgisayar mühendisi olmadan da raporun sonucunu ve dayanağını anlayabiliyor mu? Raporun kalitesi bu dengeyle ölçülür.
1. Kapak ve Kimlik Bilgileri
Her rapor bir kapak veya kimlik bölümüyle başlar. Bu bölüm sıradan görünse de, raporun hangi dosya için, kim tarafından ve hangi tarihte hazırlandığını gösterir.
Burada görevlendirme makamı, dosya numarası, bilirkişinin kimliği, uzmanlık alanı, görevlendirme tarihi, delilin teslim tarihi ve rapor tarihi kontrol edilmelidir. Tarihler arasındaki açıklanamayan boşluklar, delil zinciri bakımından ilk sorgulanması gereken noktalardandır.
2. Görev Tanımı ve İnceleme Konusu
Görev tanımı, bilirkişiye hangi soruların sorulduğunu gösterir. Raporun geri kalanı bu sorulara verilen teknik cevaptır. Bu nedenle raporu okumadan önce bilirkişiden tam olarak ne istendiği anlaşılmalıdır.
Rapor, sorulan soruların tamamına cevap veriyor mu? Sorulmayan konularda değerlendirme yapıyor mu? Bilirkişi teknik tespit sınırını aşıp hukuki nitelendirme yapıyor mu? Bu sorular özellikle önemlidir. Bilirkişi teknik tespit yapar; hukuki değerlendirme mahkemeye aittir.
3. Teslim Alınan Deliller ve Delil Zinciri
Bu bölümde incelemeye konu dijital materyaller yer alır: telefonlar, bilgisayarlar, harddiskler, USB bellekler, SIM kartlar veya diğer dijital materyaller.
Her delil için marka, model, seri numarası, IMEI bilgisi, fiziksel durum, mühür bilgisi ve teslim tutanağı aranmalıdır. “Bir adet siyah telefon” şeklindeki genel ifadeler yeterli değildir. Delil, benzersiz şekilde tanımlanmalıdır.
Delil zinciri, delilin el konulduğu andan mahkemeye sunulduğu ana kadar kimlerin elinden geçtiğini gösterir. Zincirdeki bir kopukluk, “bu delil üzerinde oynanmış olabilir mi?” sorusunu doğurabilir.
4. İmaj Alma ve Hash Doğrulama
Bu bölüm, raporun teknik kalbidir. Adli bilişimde esas olan, mümkün olduğunca orijinal delil üzerinde doğrudan işlem yapmamaktır. Bunun yerine cihazın veya veri taşıyıcının birebir dijital kopyası, yani adli imajı alınır.
Hash değeri, bir dosyanın veya veri bütününün dijital parmak izi gibidir. Verideki en küçük değişiklik bile hash değerini değiştirir. Bu nedenle imaj alınırken hesaplanan hash değeri ile inceleme sonrasında hesaplanan hash değerinin eşleşmesi beklenir.
Raporda imaj alma yöntemi, kullanılan araç, hash algoritması ve hash değerleri açıkça yazılmalıdır. Hash değerlerinin hiç belirtilmemesi veya eşleşmemesi ciddi bir sorgulama konusudur.
İmaj alma sırasında yazma koruması kullanılıp kullanılmadığı da önemlidir. Yazma koruması, orijinal delile veri yazılmasını engeller. Raporda bu hususun belirtilmesi, delilin bütünlüğü açısından önem taşır.
5. Kullanılan Yöntem ve Araçlar
Bilirkişi, hangi yazılım ve donanımları kullandığını açıkça belirtmelidir. Araç adı, sürümü ve mümkünse lisans durumu yazılmalıdır. “Çeşitli programlarla incelenmiştir” gibi muğlak ifadeler yeterli değildir.
İyi bir raporda yöntem tekrarlanabilir olmalıdır. Başka bir uzman aynı delil üzerinde aynı adımları izlediğinde aynı sonuca ulaşabiliyor mu? Bu soru, bilimsel ve teknik denetlenebilirliğin temelidir.
Ayrıca kullanılan aracın sınırları da belirtilmelidir. Hiçbir adli bilişim aracı her veriyi eksiksiz kurtaramaz. Sağlıklı bir rapor, neyin elde edildiği kadar neyin elde edilemediğini de açıklar.
6. Bulgular
Bulgular bölümü, raporun en hacimli kısmıdır. Mesajlar, arama kayıtları, fotoğraflar, internet geçmişi, silinmiş dosyalar, konum verileri ve uygulama kayıtları burada sunulabilir.
Bu bölümde en önemli ayrım bulgu ile yorum arasındadır. “Cihazda şu tarihte şu dosya tespit edilmiştir” ifadesi teknik bulgudur. “Bu dosya, kişinin suçu işlediğini gösterir” ifadesi ise yorumdur. İyi raporlar bu ikisini açıkça ayırır.
Silinmiş veriler bakımından da dikkatli olunmalıdır. Silinen veri bazen tamamen değil, kısmen kurtarılır. Kısmi kurtarılan bir mesajın bağlamı eksik olabilir ve tek başına yanıltıcı sonuçlara götürebilir.
Zaman damgaları ayrıca kontrol edilmelidir. Dosya oluşturma, değiştirme ve erişim tarihleri cihaz saatine bağlıdır. Cihaz saati yanlışsa, zaman çizelgesi de yanıltıcı olabilir.
7. Değerlendirme ve Sonuç
Sonuç bölümü, bulguların görev tanımıyla ilişkilendirildiği yerdir. Bu bölüm okunurken sonuçta yer alan her iddianın bulgular kısmında teknik karşılığı olup olmadığı kontrol edilmelidir.
Kesinlik dili de önemlidir. “Kesin olarak tespit edilmiştir”, “kuvvetle muhtemeldir” ve “ihtimal dahilindedir” ifadeleri aynı anlama gelmez. Teknik olarak ihtimal düzeyinde olan bir bulgunun kesinlik diliyle sunulması yanıltıcıdır.
“Cihazda bulundu” ile “kişi yaptı” aynı şey değildir. Bir verinin cihazda bulunması, o veriyi cihaz sahibinin oluşturduğunu, indirdiğini, gönderdiğini veya kullandığını tek başına kanıtlamaz.
Cihazı başka biri kullanmış olabilir, veri uzaktan aktarılmış olabilir, otomatik senkronizasyon veya yedekleme sonucu oluşmuş olabilir, uygulama önbelleğine kaydedilmiş olabilir ya da zararlı yazılım etkisi söz konusu olabilir. Bu ihtimaller dışlanmadan doğrudan failiyet sonucuna varılamaz.
Örneğin telefonda bir görsel dosyası bulundu diye, o görseli mutlaka telefon sahibinin indirdiği veya gönderdiği söylenemez. Görsel bir WhatsApp grubundan otomatik inmiş, bulut yedeğinden cihaza senkronize olmuş, başka biri telefonu kullanmış veya zararlı yazılım tarafından kaydedilmiş olabilir.
8. Ekler
Ekler; ekran görüntüleri, veri dökümleri, tutanak kopyaları ve teknik tabloları içerir. Çoğu zaman raporun ana metninden daha uzundur.
Ana metinde atıf yapılan her ekin gerçekten dosyada bulunup bulunmadığı kontrol edilmelidir. Ayrıca ekteki ham veri ile ana metindeki özetin uyumlu olup olmadığına bakılmalıdır. Kritik bir bulgu söz konusuysa yalnızca ana metinle yetinilmemeli, ekteki ham veri de incelenmelidir.
Okuyucu Profiline Göre Hızlı Rehber
Hukukçular için ilk kontrol noktası görev tanımı ile sonuç bölümünün karşılaştırılmasıdır. Sorulan sorulara cevap verilmiş mi? Sonuçlar bulgularla destekleniyor mu?
Avukatlar için delil zinciri, hash değerleri, zaman damgaları ve bulgu-yorum ayrımı özellikle önemlidir. “Cihazda bulundu, o halde müvekkil yaptı” şeklinde kurulan teknik sıçramalar savunma bakımından kritik olabilir.
Adli bilişim uzmanları için temel ölçüt tekrarlanabilirliktir. Rapor, aynı incelemeyi başka bir uzmanın da yapmasına yetecek açıklıkta mı? Eksik olan nokta varsa ek rapor veya yeni inceleme talebi buradan şekillenebilir.
Sık Yapılan Okuma Hataları
- Doğrudan sonuç bölümüne atlamak.
- Hash, imaj alma ve delil zinciri gibi teknik bölümleri tamamen geçmek.
- Raporun uzunluğunu kaliteyle karıştırmak.
- Bulgu ile yorum arasındaki farkı gözden kaçırmak.
- Tek rapora mutlak kesinlik atfetmek.
Sonuç
Adli bilişim raporu, teknik bir belge olduğu kadar hukuki sonuçları olan bir metindir. Onu okumak için yazılım bilmek gerekmez; iskeletini tanımak yeterlidir.
Kim yazdı? Ne soruldu? Elde ne var? Delil korundu mu? Nasıl incelendi? Ne bulundu? Ne anlama geliyor? Ham veri nerede? Bu sekiz soruya cevap arayarak okunan her rapor, artık teknik terim yığını değil; güçlü ve zayıf noktaları görülebilen bir metin haline gelir.
Bu yazı genel bilgilendirme amaçlıdır; hukuki görüş niteliği taşımaz. Somut dosyalar için alanında uzman kişilerden destek alınması önerilir.