Etik bilgisayar korsanlığı ve ceza hukuku

Bilgisayar korsanlığı genellikle kötü niyetle sistemlere sızmak olarak düşünülür. Bu tür bilgisayar korsanlığı sorgusuz sualsiz cezalandırılabilir. Bununla birlikte, etik hackleme olarak adlandırılan asil bir amaçla hackleme de vardır. Buna beyaz şapkalı bilgisayar korsanlığı da denir, kötü niyetli bilgisayar korsanları ise siyah şapkalı olarak adlandırılır.

Etik hackerlar ağ ve sistemlerdeki güvenlik açıklarını bulur ve bunları istismar etmeyerek, güvenlik açıklarını doğrudan sistemin yöneticisine bildirerek kendilerini farklılaştırırlar. Bu şekilde açık kapatılabilir ve söz konusu sistem daha güvenli hale gelir.

Örneğin, bir web sitesindeki bir form aracılığıyla bir veritabanının SQL enjeksiyonlarına açık olduğunu belirtmek beyaz şapkalı bilgisayar korsanlığı kapsamına girebilir. DDoS saldırısı gerçekleştirmek veya erişim elde etmek için bir sistemi kaba kuvvetle zorlamak gibi diğer eylemler etik bilgisayar korsanlığının kapsamı dışında kalır.

Hollanda hukuku bir bilgisayar korsanının niyetine göre herhangi bir ayrım yapmamaktadır. Bilgisayar korsanlığı (madde 138ab Sr) da dahil olmak üzere çeşitli cezai hükümler ilke olarak etik korsanlık için de geçerlidir. Yasa koyucu, bir sisteme girmenin "koşulsuz olarak izin verilmediğini" vurgulamak istemiştir (bkz. B.J. Koops ve J.J. Oerlemans (ed.), Strafrecht en ICT, Lahey: Sdu 2019, s. 39). Ancak uygulamada, bunun her zaman bir mahkumiyete yol açması gerekmemektedir (bilgisayar korsanının kimliğinin bilineceği ölçüde). İlk olarak, bilinçli bilgisayar korsanlığı her zaman rapor edilmemektedir. İkincisi, mahkumiyet için hukuka aykırılık gerekir. İşte etik hackerlar için fırsatlar burada yatmaktadır.

Eşgüdümlü Güvenlik Açığı Bildirimi hakkında açıklama yok

Günümüzde birçok kuruluşun Sorumlu İfşa (RD) olarak da bilinen Koordineli Zafiyet İfşası (CVD) ile ilgili politikaları vardır. Bu, güvenlik açıklarının kuruluş tarafından belirlenen bir şekilde sorumlu bir şekilde ifşa edilmesini içerir. Bir güvenlik açığı gösterildiğinde ve bu kurallara göre raporlandığında, prensip olarak herhangi bir açıklama yapılmaz. Aksine, bazen onurlu bir anma veya hatta bir ödül vaat edilir.

CVD politikası, kuruluşların sistemlerindeki güvenlik açıklarından mümkün olduğunca hızlı ve dikkatli bir şekilde haberdar olmalarının yararına olduğunun fark edilmesiyle ortaya çıkmıştır. Bu politika sayesinde kuruluşlar, örneğin bilgisayar ihlallerini ne şekilde ve hangi koşullar altında rapor etmemeye hazır olduklarını bildirirler. Bu, söz konusu kuruluşta etik korsanlığın 'oyunun kuralları' hakkında önceden netlik sağlar.

2013 yılında Ulusal Siber Güvenlik Merkezi (NCSC) bir rehber belgesorumlu bir açıklama uygulaması oluşturmak için yayınlanmıştır. Bu kılavuz, alınan dersler doğrultusunda 2018 yılında güncellenmiştir. NCSC, son yıllarda yapılan ifşaatların bilgi sistemlerinin güvenliğini ve sürekliliğini artırdığını ve etik hacklemenin değerini kabul ettiğini vurgulamaktadır.

Cumhuriyet Savcılığı 2013 yılında bir politika mektubu yayınlamıştır. Bu mektupta Başsavcılar Kurulu, etik hack vakalarında savcının nasıl hareket etmesi gerektiğini ortaya koymaktadır. Buradaki temel ilke, muhabir ve kuruluş arasında "adaletin yeniden tesis edilmesi" halinde cezai soruşturma yapılmayacağıdır. Mektup aynı zamanda, bir güvenlik açığının sorumlu bir şekilde raporlanmasının, raportörü cezai bir soruşturma ve hatta kovuşturma başlatılması olasılığından "hiçbir şekilde korumadığını" vurgulamaktadır. OM, şüphe durumunda, diğer şeylerin yanı sıra, bir muhabirin çok ileri gidip gitmediğini değerlendirebilmek istiyor.

Değerlendirme kriterleri savcı ve yargıç

Etik ihlalin değerlendirilmesindeki kriterler, eylemin gerekli olup olmadığı ve orantılılık ve ikincillik gerekliliklerinin karşılanıp karşılanmadığıdır. Gereklilik için kriter, ağır basan bir kamu yararı olup olmadığıdır. Orantılılık, seçilen araçların hedefle makul bir orantı içinde olup olmadığına bakar. Son olarak, ikincillik, bilgisayar korsanının farklı davranıp davranamayacağı ve davranması gerekip gerekmediği ile ilgilidir. Diğer hususların yanı sıra, burada önemli olan bir güvenlik açığının mümkün olan en kısa sürede bildirilmesidir.

Eğer konu cezai kovuşturmaya gelirse, beyaz şapkalı hacker eylemlerinin hukuka aykırı olmadığını savunabilir. Mahkeme bu savunmaya itibar ederse, genellikle beraat kararı verilir (örneğin bilgisayar korsanlığı davalarında).

Bir hacker nüfuz etti bir hastanenin sunucusuna girerek, mahkemeye göre ağın yeterince güvenli olmadığını göstermek için hareket etmiştir. Bununla birlikte, bilgisayar korsanı hemen bir gazeteciyi bilgilendirdiği ve daha sonra sunucuya birkaç kez daha eriştiği için serbest kalmadı. Dahası, sistemde Hollandalı bir ünlüye ait verileri aradı. Mahkeme bu nedenle orantılılık sınırlarının aşıldığına hükmetti ve bilgisayar korsanını bilgisayar korsanlığı suçundan mahkum etti.

Doğrudan medyaya gitmek de 2018'deki bir davada bir şüphelinin üzerine atılmıştı. Burada da orantılılık şartının yerine getirilmediğini belirtmiştir.

Sonuç

Kısacası, etik hackerlar için öncelikle bir kuruluşun Koordineli Güvenlik Açığı İfşa politikasını tespit etmeleri tavsiye edilir. Bu politikanın içeriği önemlidir. Sonuçta, hangi durumlarda bir ifşanın yapılıp yapılmayacağını açıklayabilir. Örneğin, sistemlerin kapsamlı bir şekilde taranması her zaman hoş karşılanmaz, çünkü kuruluş bunun beyaz şapkalı bir hacker mı yoksa kötü niyetli bir davetsiz misafir mi olduğunu önceden bilemez. Bu durumda Bilgisayar Acil Durum Müdahale Ekibi (CERT) görevlendirilerek gereksiz maliyetler ortaya çıkabilir.

Her şeyden önce, en az müdahaleci araçları kullanarak, herhangi bir veriyi ele geçirmeyerek ve sızıntıyı derhal bildirerek ihlali en aza indirmek önemlidir. İkincisi de ihtiyatlı bir şekilde yapılmalıdır, örneğin şifreli bir e-posta mesajı ile, böylece üçüncü taraflar güvenlik açığını öğrenemez. Ödül gibi koşulları aktif olarak kendiniz belirlemeniz de tavsiye edilmez. Uygun durumlarda inisiyatifin kuruluşta olması gerekecektir. Son olarak, keşfin ancak güvenlik açığı çözüldükten sonra kamuoyuna duyurulması tavsiye edilir.

Etik hacker tamamen anonim kalmadığı sürece, kovuşturma asla tamamen göz ardı edilemez. Ne de olsa kriterler yoruma yer bırakmaktadır. Bununla birlikte, tüm bu koşullar yerine getirildiğinde, cezai kovuşturma riski - biraz acımasız yasal metne ve parlamento geçmişine rağmen - nispeten düşüktür. Bu durumlarda kovuşturma her zaman olmamalıdır. Sonuçta, ihlali sınırlı tutan, hiçbir şeyi devralmayan ve doğrudan kuruluşun RD politika kurallarına göre bir rapor hazırlayan muhabir, böylece kuruluşa ve topluma bir hizmette bulunur.