TR 
EN 
Amerika Birleşik Devletleri Dışişleri Bakanlığı (Department of State), Hazine Bakanlığı (Department of the Treasury), Anayurt Güvenliği Bakanlığı (Department of Homeland Security) ve Federal Soruşturma Bürosu (Federal Bureau of Investigation) 15 Nisan 2020 tarihinde ortak bir rapor (“Rapor”) yayımlayarak Kuzey Kore Demokratik Cumhuriyeti (“KKDC”) kaynaklı zararlı siber aktivitelerin, başta uluslararası finansal sistem olmak üzere, Amerika Birleşik Devletleri (“ABD”) ve uluslararası toplum nezdinde yarattığı risklere dikkat çekmiştir. Rapor’da özetle, yakın tarihte gerçekleşen Sony Pictures, Bangladeş Banka Soygunu, Wanna Cry 2.0, FASTCash ve dijital para hacklemeye yönelik saldırılar örnek gösterilerek finansal kurumların siber aktiviteler aracılığıyla finansal hırsızlık, para aklama, gasp ve cryptojacking (mağdur bilgisayar aracılığıyla dijital para madenciliği gerçekleştirme işlemi) saldırılarına hedef olabileceği uyarılarında bulunulmuştur.
Rapor’da ayrıca olası saldırılara ilişkin tedbirler alınması gerektiği belirtilerek başvurulabilecek önlemlere ilişkin çeşitli önerilere yer verilmiştir. ABD makamları, öncelikle kamu ve özel sektörün söz konusu tehdide ilişkin farkındalık kazanması gerektiğini belirterek siber saldırılara karşı önleyici ve risk azaltıcı mekanizmaların uygulanması gerektiğini ifade etmiştir. Gerçekten de bu tip saldırıların şirket çalışanları üzerinden gerçekleştirilecek phishing (sahte linkler aracılığıyla sisteme izinsiz giriş sağlama) gibi basit yöntemler aracılığıyla büyük tahribatlar yaratabildiği dikkate alındığında, dünya genelinde evden çalışma yöntemine yaygın bir şekilde başvurulduğu bu dönemde riskin her zamankinden daha ciddi olduğu tespiti yapılabilecektir. Bu kapsamda ulusal ve uluslararası seviyede siber saldırıların tespiti ve bu saldırılara karşı siber güvenliğin iyileştirilmesine yönelik değerlendirilebilecek savunma mekanizmalarına dair bilgi paylaşımında bulunulması, şebekenin parçalara ayrılması ve özellikle finans kurumlarının zararlı siber aktivitelere yönelik hükümet ve diğer endüstri kanallarıyla tehditlere dair temas halinde olması tavsiye edilmiştir. Keza şirket bünyesinde alınabilecek önlemlere verilerin düzenli olarak yedeklenmesi, sosyal mühendislik taktiklerine karşı farkındalık eğitimlerinin düzenlenmesi, bilgi paylaşımı ve şebekeye erişime yönelik belirli prensiplerin uygulanması ve siber olaylara müdahale planları üretilmesi örnek gösterilmiştir. Bütün bunlara ek olarak, herhangi bir saldırı halinde kolluk kuvvetleriyle hızlı bir şekilde iletişime geçilmesinin soruşturmanın başarısının yanı sıra çalınan malvarlığının kurtarılabilmesi adına da önemli olduğu hususu hatırlatılmıştır.
Rapor ile ABD makamları bütün ülkeleri uluslararası finansal sistemin para aklama, terörün finansmanı için kullanılması ve KKDC’den kaynaklanan diğer finansal risklere ilişkin uyarmış; bu çerçevede finans kurumlarını KKDC şirketleri, finans kurumları veya onlar adına hareket eden kimseler ile gerçekleştirilen iş ilişkileri ve alışverişler konusunda önlemler almaya davet etmiştir. Keza BM Güvenlik Konseyi’nin 2270 sayılı kararına atıfla, bütün üye devletlerin KKDC bankalarıyla iletişimlerini keserek mevcut iştirak ve temsil ofislerini kapatmaları gerektiği ifade edilmiştir.
Rapor’da özellikle dijital para hususuna ayrıca önem atfedilerek dijital malvarlıklarına ilişkin hizmet sağlayan kurumların standart düzenlemelere uyum sağlanmasının özellikle dijital para takas işlemlerine dair riskleri azaltacağı öngörülmüştür. Keza yabancı ülkelerde mukim olup ABD’de işlem gerçekleştiren dijital malvarlığı hizmet sağlayıcıları da dahil olmak üzere Banka Gizliliği Kanunu’na (Bank Secrecy Act – 31 U.S.C. §§ 5318 ve 5322 “BSA”) tabi olan kurumların ilgili mevzuat kapsamındaki düzenleyici hususlara uyum göstermesi gerektiği de beyan edilmiştir. Öte yandan, şüpheli işlemlerin takibine dair yükümlülüklere uyulması açısından özellikle anonim ödeme imkanının sunulduğu platformların ciddi risk teşkil ettiği tespitinde bulunulmuştur. İşbu sebeple, finans kurumlarının para aklamaya karşı etkili programlar benimsemesi ve faaliyetleri sırasında meydana gelebilecek şüpheli işlemleri tespit edip bu işlemleri gerçekleştiren kimseleri yetkililere bildirerek para aklama ve terörizmin finansmanıyla mücadeleye ilişkin makul önlemler alma yükümlülüklerini yerine getirmesinin önemi vurgulanmıştır.
Son olarak, Rapor ile uluslararası işbirliğinin önemi üzerinde durularak diğer ülkelerin de şebeke savunmalarını güçlendirmeleri, üçüncü ülkelerdeki KKDC ortak girişimlerini kapatması ve uluslararası hukuka uygun bir şekilde Kuzey Koreli bilgi teknolojisi çalışanlarını sınır dışı etmeleri tavsiye edilmiştir.
Yaptırım Riski
Rapor’da ayrıca finansal işlemlerin denetlenmesi sonucunda yasaklı veya yaptırıma tabi işlemlerde bulunan kişi veya kurumların maruz kalabileceği hukuki sonuçlar konusunda da uyarılarda bulunulmuştur. Zira Yabancı Varlıkları Kontrolü Ofisi’nin (Office of Foreign Assets Control – “OFAC”) KKDC yahut Kore İşçi Partisi adına siber güvenliği olumsuz etkileyen aktivitede bulunan, KKDC’de bilgi teknolojileri alanında faaliyet gösteren, diğer zararlı siber aktivitelerde bulunan yahut KKDC ile mal hizmet veya teknoloji ithalat/ihracatına ilişkin işlemler gerçekleştirenlere yaptırım uygulama yetkisi bulunmaktadır.
ABD Hazine Bakanı ABD Dışişleri Bakanlığı’na danışarak yabancı bir finans kurumunun bilerek KKDC ile veya KKDC’ye uygulanan yaptırımlara ilişkin 13382 sayılı Başkanlık Emri uyarınca tespit edilen kimselerle önemli bir ticari faaliyet gerçekleştirmesi halinde ilgili kurumlara yönelik çeşitli kısıtlamalar uygulanmasına karar verebilecektir. Nitekim yaptırımları ihlal eden kişi veya kurumlar ABD merkezli finans kurumlarının muhabir bankacılık hizmetlerinden mahrum bırakılabilecektir. Bunun yanı sıra, Kuzey Kore yaptırımlarının ihlal edilmesi halinde, ilgili yaptırım kapsamında öngörülen azami para cezası yahut işlem değerinin iki katı tutarında para cezası ile karşılaşılabilecektir.
ABD Adalet Bakanlığı (Department of Justice) da yaptırım yasalarının ihlaline ilişkin soruşturmalar yürütebilecek ve bu kapsamda ilgili mevzuat uyarınca sorumlulara cezai yaptırımların uygulanması söz konusu olabilecektir. Örneğin, kasıtlı olarak yaptırımlara ilişkin yasal düzenlemeleri ihlal eden kişilere 20 yıla kadar hapis cezası ve 1 milyon ABD doları tutarında para cezası uygulanabileceği gibi yaptırımı ihlal eden işlemin değeri öngörülen para cezasından yüksek olduğu takdirde ceza işlem bedelinin iki katı olarak da uygulanabilecektir. Keza bu takdirde uygulanacak cezalara ilaveten işlemde kullanılan malvarlığının müsaderesi de söz konusu olabilecektir.
Rapor’da ayrıca BSA’ya tekrar atıfta bulunularak ilgili düzenlemeler kapsamında finans kurumlarının etkili para aklama karşıtı programlar yürütmek ve Finansal Suçlar Uygulama Ağı’na (FinCEN) bildirimde bulunmak gibi yükümlülüklerin ihlalinin de ceza soruşturmalarına konu olabileceği belirtilmiştir. Nitekim ilgili mevzuat uyarınca BSA’ya aykırı hareket eden kimseler 5 yıla kadar hapis cezasına ve 250,000.00 ABD Doları tutarında para cezasına tabi olabileceği gibi ayrıca ihlale konu olan malvarlığının müsadere edilmesi yoluna da başvurulabilecektir.
ABD Hazine Bakanlığı veya savcılık makamı ABD’de muhabir banka hesabına haiz olan yabancı finans kurumlarının yurtdışındaki kayıtlarına ilişkin bilgilerine başvurabilmektedir. Şayet yabancı finans kurumu bu yükümlülüğünü yerine getirmezse Hazine Bakanı veya Savcılık, ABD finans kurumlarına yazılı bildirimde bulunarak söz konusu finans kurumuyla ilişkisini 10 gün içerisinde kesmeye zorlayabilecektir. Zira bu yönde bir bildirimin gereğini yerine getirmeyen finans kurumlarına günlük olarak para cezası uygulanması öngörülmüştür.
Sonuç olarak, söz konusu Rapor ile siber güvenliğe ilişkin denetim mekanizmalarına hassasiyet gösterilmesi tavsiye edilmiş ve son zamanlarda popülerleşen dijital paralar aracılığıyla gerçekleştirilebilecekler başta olmak üzere, KKDC tarafından bu kapsamda başvurulabilecek zararlı siber aktivitelerin de yaptırımların ihlaline yol açabileceği uyarılarında bulunulmuştur. Dolayısıyla söz konusu risklerle karşılaşması muhtemel finans kurumlarının yaptırımlara ilişkin hususları dikkate alarak bu kapsamdaki düzenlemelere uyumlu bir şekilde hareket etmesi büyük önem arz etmektedir.
Kaan Erdoğan
