İşte Yazılım Mühendisleri İş Yerinde Yasa Dışı Bir Şey Yapmaları İstendiğinde Nasıl Davrandı

 (blog.pragmaticengineer.com)
1 puan yazan GN⁺ 2025-10-04 | 1 yorum | WhatsApp'ta paylaş
  • Yasa dışı eylemler yapmaları istenen durumlarda yazılım mühendislerinin gerçekten yaşadığı üç örnek anlatılıyor
  • FTX'te dolandırıcılığı fark ettikten sonra bile şirketten ayrılmayan bir mühendis hukuki sorumlulukla karşı karşıya kaldı
  • Frank vakasında gerçek veri manipülasyonu talebi alan bir mühendis bunu reddederek sorumluluktan kurtuldu
  • Pollen'da CEO'nun talebiyle müşterilerden mükerrer tahsilat yapan mühendis daha sonra sorunlarla karşılaştı
  • Bu üç örnek, yasa dışı talepleri açıkça reddetmenin en iyi tepki olduğunu vurguluyor

Giriş: Yazılım mühendisleri ve yasa dışı taleplerin gerçeği

  • Son dönemde, şirketlerin yasa dışı faaliyetlerine karışmanın eşiğine gelen yazılım mühendislerinin deneyimleri ortaya çıktı
  • Mühendisler yasa dışı bir eyleme yardım etmelerinin istendiği durumda hangi seçimleri yapabileceklerini gösteriyor; bu seçimler sonuçları büyük ölçüde değiştiriyor
  • Amaç, gerçek olaylar üzerinden yasa dışı taleplere doğru şekilde nasıl karşılık verileceğine dair dersler aktarmak

FTX: Yasa dışı durumu bilmesine rağmen şirkette kalan mühendislik direktörü

  • FTX olayında mühendis Nishad Singh, 2022 Eylül civarında Alameda Research'ün müşteri fonlarını büyük ölçekte kötüye kullandığını fark etti
  • Singh bu gerçeği öğrendikten sonra istifa etmeyi ya da ihbarda bulunma, hukuki danışmanlık alma gibi seçenekleri tercih edebilirdi
  • Ancak şirkette kalıp “sorunu çözmeye” çalıştı ve daha sonra 3.700.000 dolarlık kredi alarak bir ev bile satın aldı
  • Sonuç olarak Singh, dolandırıcılığa iştirak nedeniyle en fazla 75 yıl hapis riskiyle karşı karşıya kaldı; ancak 2025'teki kararda sorumluluğunun sınırlı olduğu kabul edildi ve hapis cezası almadan 3 yıl gözetim altında serbest bırakıldı
  • Bu olaydan çıkan ders, yasa dışı bir faaliyeti öğrenir öğrenmez şirketten ayrılmak ya da ihbarda bulunup hukuki tavsiye almak gerektiği

Frank: Veri manipülasyonu talebini reddeden yazılım mühendisi

  • Frank, 2016'da kurulan bir öğrenci kredisi girişimiydi ve 2021'de JP Morgan tarafından 175 milyon dolara satın alındı
  • Satın alma sürecinde, gerçekte yalnızca 293.000 müşteri verisine sahip olan şirket, mühendisten 4,2 milyon kişilik sahte veri üretmesini istedi
  • CEO Charlie Javice ve yönetim bunu “kimse hapse girmez” diyerek meşrulaştırmaya çalıştı, ancak mühendis bunu reddetti ve yalnızca gerçek verileri teslim etti
  • Sonuçta, yasa dışı eyleme ortak olmayan mühendis hukuki sorumluluktan kaçınabildi
  • Daha sonra CEO Javice, 175 milyon dolarlık dolandırıcılık nedeniyle 7 yıl hapis cezası aldı

Pollen: CEO'nun talebiyle müşterilerden mükerrer tahsilat yapan mühendis

  • Pollen bir etkinlik teknolojisi girişimiydi ve 200 milyon dolar yatırım aldıktan sonra, 3.200.000 dolar tutarındaki müşteri parasını yanlışlıkla tahsil ettiğini açıkladı
  • BBC belgeselinin araştırmasına göre, çifte tahsilat CEO'nun doğrudan talebiyle bir mühendisin kod değişikliği yapması sonucu gerçekleşti
  • İç mesajlarda mühendis, “CEO'nun talebiyle hatalı bir script çalıştırdım” diyerek pişmanlığını ve hatalı kararını kabul etti
  • Bu konuda hukuki sürecin sonucu henüz netleşmedi, ancak yüksek olasılıkla yasa dışı sayılabilecek bir durumla karşı karşıya kalındı
  • Çıkarılacak ders şu: CEO gibi üst düzey yöneticilerin yasa dışı talepleri de kayıt altına alınmalı ve reddedilmelidir; bu, hukuki güvenlik için en iyi yaklaşımdır

Sonuç ve çıkarılan dersler

  • Her üç örnekte de, yasa dışı talep alan mühendisin verdiği karar, sonraki hukuki ve etik sorumluluk üzerinde belirleyici oldu
  • Güvenli olan tek örnek, Frank vakasında mühendisin hemen ve açık biçimde reddetmesiydi
  • FTX ve Pollen örneklerinde, şirket taleplerine pasif biçimde uymanın ciddi sonuçlar doğurabildiği görüldü
  • Sonuçta en temel ders şu: “Kim olursa olsun, yasa dışı taleplere her zaman ‘hayır’ diyebilir

İlgili okumalar

1 yorum

 
GN⁺ 2025-10-04
Hacker News görüşü

  • 2010'da WellPoint'in meme kanseri hastalarının sigorta poliçelerini otomatik olarak iptal eden kod kullandığını öğrendim; o sırada CEO Angela Braly'ydi ve şu anda ExxonMobile'da, WellPoint de o dönemde ABD'nin en büyük ikinci sigorta şirketiydi; bu sistemin kurulması ciddi iş analizi ve yazılım geliştirme gerektiriyordu ve içeride bu kodun amacını anlayan insanlar mutlaka vardı; muhtemelen bu tür "tasarruflar" için bonus da aldılar

    • En azından buna karışan insanların isimlerinin bu rezaletle kalıcı olarak anılması gerektiğini düşünüyorum; bu kararları alan anonim bir "şirket" değil, meme kanseri hastalarını hedef almaya karar veren gerçek kişilerdi; dönemin CIO'su Lori A. Beer şu anda JP Morgan'da
    • 2010'larda ben de benzer bir şey yaşadım ama yasa dışı değildi; büyük bir ilaç dağıtım şirketinde çalışıyordum, opioid salgınının hemen öncesi ve sonrasında; o zamanlar şüpheli siparişleri DEA'e bildirme zorunluluğu yoktu, ayrıca arama emri olmadan veri de vermiyorduk; geliri maksimize etmek için büyük opioid müşterilerini seçiyor, daha hızlı ve daha fazla satın almaları için envanter sistemini rebate'ler ve uyarılarla güncelliyorduk; satış ekibinin bonuslarını kolay hesaplamak için her sağlayıcıyı bir satış temsilcisiyle eşleştirmiştik; biz yazılım mühendisleriydik ama bu programlardan en çok parayı, satın alma oranına göre kazanan satış ekibi kazandı

  • Büyük bir devlet projesinde çalışırken, yıl sonunda saatleri şişirerek sahte fatura kesemeyeceğimizi ve bunun yasa dışı olduğu için riskli olduğunu en baştan vurgulamıştım; sonra bir iş arkadaşımın benim adıma timesheet'e sahte saatler girdiğini öğrendim; bir avukata danıştıktan sonra GAO'ya bildirmem önerildi ama sonunda sadece sorumlu profesöre rapor verip ayrılmaya karar verdim; önceden bildirmemiş olsaydım sorumluluk bana da yüklenebilirdi, bu yüzden çok stresliydi; sonuçta ilgili profesör bu meseleyi halının altına süpürmüş gibi göründü

    • Avukatla yazışmaların varsa, sorumlu kişiye bildirip normal şekilde çalışmaya devam etmen yeterli olur; ekstra ücreti sen almadıysan denetim ya da soruşturmada pek umursamazlar

  • Benim deneyimime göre büyük şirketler yanlış davranışlara dair kanıtları gizlemede çok iyidir ve üst düzey yöneticileri korumak için tüm güçlerini kullanırlar; sonuçta önemli olan hisse fiyatıdır ve içyüzü ortaya çıkınca yönetici sadece "daha iyi bir fırsat" için ayrılır; stresi ise dürüst mühendis taşır, yönetici de bir sonraki aşamaya uçar gider; geriye dönüp bakınca şirket içi ihbar yönergeleri ya da şirket avukatıyla görüşmek işe yaramıyor; ya yetersizler ya da yetkin olsalar bile şirketi korumaya odaklanıyorlar; en iyisi doğrudan düzenleyici kuruma ayrıntılı bir rapor sunmak

    • Ülkeye göre değişir; Macaristan'da başbakanın ailesine para akıtmadan büyük bir şirket işletmek imkansız; ben de sıradan bir geliştirici olarak çok uluslu bir şirkette AB fonlarını hortumlamak için kullanılan belgelere imza attım; fazla saftım ve bunun gerçek bir proje olduğuna inandım, ama değilmiş; iş arkadaşlarımın neden karşı çıktığını çok sonra anladım

  • "Her zaman reddedebilirsiniz" dersi, yönetimin reddeden kişiye misilleme yapma ihtimalini görmezden geldiği için gerçekçi değil; zaman geçince misillemeden çok hapse girme riskinin daha büyük olduğunu anlıyorsunuz ama o anda "hayır" deme cesaretini bulmak kolay olmuyor

    • İstediğin zaman, mutlak olarak "hayır" diyebilirsin; onların verdiği havuç da para ve gelir geçer, kırbacı da para ve o kadar kaygılanacak bir şey değil
    • Bence bir yönetici yasa dışı bir şey emrediyorsa, işini kaybetme ihtimali olsa bile kişinin etik ve ahlaki sorumluluğu vardır; kanun kanundur ve istisnası yoktur; yönetici de sorumludur ama kişi yasa dışı eyleme katılırsa o da sorumludur diye düşünüyorum; tabii hayatına yönelik tehdit, zorlama vb. varsa durum farklı; zor bir mesele ve kusursuz bir etik çizgiyi korumanın her zaman mümkün olmadığını anlıyorum ama vatandaş olarak yasayı çiğnememek temel yükümlülüktür
    • İşten çıkarılma, taciz, geleceği olmayan birime sürgün gibi misillemeler genç mühendis için korkutucu gelebilir ama makul bakınca çok da güçlü değillerdir (tabii birçok yönetici asla makul değildir); işten çıkarmanın şirkete maliyeti yüksektir ve üstelik kovulduktan sonra kişinin gidip her şeyi devlete anlatma olasılığı daha da artar; içeride de hukuk ya da muhasebe ekibi yasa dışı olmayan alternatifleri genelde iyi bulur; aslında güçlü olan gerçek misillemeden çok "misilleme olabilir" havasıdır (tabii bu, misillemenin yasa dışı olduğu ve hukuken dava konusu yapılabildiği ülkeler için geçerli)
    • Bu tür misillemelerin kendisi de ayrı bir yasa dışı eylemdir
    • Bu yüzden muhbir koruma yasalarının çok daha güçlü olması gerektiğini düşünüyorum (örneğin misilleme olursa, ihbar yanlış çıksa bile otomatik hapis gibi); ödüller de daha büyük olmalı

  • Ekibimin Ar-Ge vergi kredisi başvurusunu onaylamam istendi ama inceledikten sonra reddettim; sonra muhasebeciyle toplantıda bunun CEO'nun sözüne dayandırıldığını öğrendim ve ayrıntıları birlikte gözden geçirince büyük ölçüde bana katıldığını gördüm; sonra şunu fark ettim: vergi kredisi "R&D" diye etiketlenmiş olsa da, yasal tanım gereği sıradan geliştirme işlerine kadar uzanmıyor; önceki durumda yasa dışı niyet yoktu ama normal şartlarda vergi kaçakçılığı sayılabilecek kısımlar vardı; böyle durumlarda kuralım her zaman şirketten beni doğrudan uzmanla görüştürmesini istemektir; böylece hem ben hem şirket hukuken korunur; doğruyu söylersen sorun olmaz

  • Yazılım geliştiricilerinin de diğer mesleklerde olduğu gibi bir etik kurala imza atması ve etik dışı talepler geldiğinde bu kurala dayanarak reddedebilmesi gerektiğini düşünüyorum; bu, yasa dışı olmayan ama ahlaken sorunlu ya da rahatsız edici kararlar için de etkili olur (örneğin gizlilik varsayılanını açık/public yapmak); IEEE ya da ACM gibi resmi kurumların kurallarını alıntılamak misillemeyi caydırmaya da yardımcı olur

    • Biz daha Agile Manifesto'nun tek bir maddesini bile korumakta zorlanıyoruz
    • Doktorların Hipokrat Yemini gibi, zorunlu olmasa da yeterince işlev gördüğü için geliştiriciler için de ACM ya da IEEE'nin bir yemin hazırlayabileceğini düşünüyorum
    • Örneğin bununla A) geliştiricilerin etik kurala özgürce imza atabilmesini mi, B) imzanın zorunlu tutulup imza atmayanların istihdamının engellenmesini mi, C) yoksa başka bir şeyi mi kastettiğini merak ediyorum
    • ACM'nin de bir etik kuralları var ama bunu düzenli olarak ihlal eden şirketlere karşı neredeyse hiç yaptırım yok gibi görünüyor
    • Böyle bildirisel kurallar tek başına yeterli değil; yaptırım gücü ve muhbir koruması şart

  • Sonradan bakınca apaçık görünüyor olabilir ama o anda hangi davranışın doğru olduğuna karar vermek kolay değil diye düşünüyorum; aşırı tepki veriyormuş gibi hissetmek, durumu rasyonalize eden açıklamalar, işi kaybetme tehdidi gibi birçok etken cesaret göstermeyi zorlaştırıyor; net bir siyah-beyaz suç olsaydı reddetmek kolay olurdu ama gerçek hayat hep belirsiz gri alanlarla dolu; cehalet de sorumluluğu ortadan kaldırmaz, bu yüzden herkes kendi eyleminden sorumludur; yine de kimsenin böyle bir durumun içine düşmemesini dilerim

    • "Siyah-beyaz diye ayrılan mesele yoktur" sözüne katılmakta zorlanıyorum; üç örnek de son derece net siyah-beyaz meseleler
    • Ailesinin geçimini sağlamak zorunda olan ya da sigorta/vize nedeniyle şirkete bağımlı durumda olan biri için, güvencesiz koşullarda yasa dışı/etik dışı talepleri reddetmek zor olacaktır; şirketler de çalışanları kontrol etmek ve sömürmek için bu yüzden çeşitli araçlar kullanır

  • 20 yıldır geliştirici olarak çalışıyorum; çoğu zaman yıllık kısa süreli sözleşmelerle birçok şirkette bulundum ama bana bir kez bile yasa dışı bir şey yapmam söylenmedi; yani bu tür deneyimler çok nadirdir; eğer birinden yasa dışı bir şey isteniyorsa bence derhal şirketten ayrılmalıdır; çünkü böyle bir şirket anormal ve umutsuz bir durumdadır ve muhtemelen daha da kötüye gidecektir; bu asla normal bir şey değildir; ne olursa olsun hızlıca çıkmak gerekir

    • Etik dışı ya da ahlaken gri davranışlar, bayağılık, profesyonellik dışı hareketler, dolambaçlı yollar vb. her şirkette bolca bulunur ve o sırada fark edilmeyip sonradan yakalanabilirsiniz; ama gerçek anlamda yasa dışı bir şey olduğunda o anda bir şeyin farklı hissettirdiğini söylüyorum; hukuki bilginiz az olsa bile ortada tuhaf bir hava olur ve çevrenin hali, iş arkadaşlarının davranışı, içinize çöken huzursuzluk gibi şeylerle bunu sezgisel olarak anlarsınız

  • 2020'de NS8'de 4 ay çalıştım, sonra şirket çöktü ve CEO yatırımcılara karşı 123 milyon dolarlık dolandırıcılık yapmakla suçlanarak tutuklandı; şirketin işten çıkarma davasından kısa süre önce küçük bir tazminat aldım ama COVID'in ortasında işini kaybetmek son derece stresliydi

  • Benim için "asla kötü/yasa dışı bir şey yapmam" inancı çok nettir; ama iki şey pek konuşulmuyor; biri, tam teşekküllü bir muhbirliğe gitmese bile bireyin katlanmak zorunda kalacağı maliyetin çok yüksek olabilmesidir; en iyi senaryoda bile sonunda iş arama baskısına dönüyor ve herkesin yedek seçeneği ya da finansal güvenlik ağı yok; ayrıca zihinsel tükenme de ciddi; ben bir kez böyle bir durumu düzeltmeye çalışırken neredeyse burnout yaşadım ve sonunda projeyi uzaktan raydan çıkarken izledim; tanıdığım birinin de ortada büyük bir hata yokken kurum içi sorunları açığa çıkardığı için ağır bedel ödediğini gördüm; yöneticiler de çoğu zaman doğrudan soruna karışmış olmaktan çok sistem tarafından kıskaca alınmış oluyor ve bizzat çözme yetkileri bulunmuyor; ikinci nokta ise, her şeyinizi ortaya koyup topyekun savaşa girmeyecekseniz, çoğu zaman ulaşabileceğiniz en fazla şey kendinizi korumaktır; yine de ilkelerinize sadık kaldığınızı bilerek rahat uyursunuz ama adaleti bizzat yerine getirememiş olmanın burukluğu kalır

    • Herkesin kolay bir alternatifi olmayabilir; bu yüzden her an istifa edebilecek kadar yeterli acil durum birikimi yapmanızı tavsiye ederim; hisse yerine nakit tutmak ve sözleşmelerin altın kelepçeye dönüşmemesini sağlamak da buna dahil; bu sadece etiği korumak için değil, her türlü pazarlıkta da avantaj sağlar; BATNA (en iyi alternatif) adlı müzakere kavramına bakmak faydalı olabilir bağlantı