Bu yazı Marmara Üniversitesi Fen Bilimleri Enstitüsü Siber Güvenlik Tezsiz Yüksek Lisans programı Siber Güvenlik Dersi kapsamında yapılmış bir ödev çalışmasıdır.
<http://sg.fbe.marmara.edu.tr>
Günümüzde, internetin yaygınlaşması ile hem bilgiye erişim hem de bu erişim esnasında oluşabilecek tehlikeler de artmaya başladı. Bu tehlikeler sadece saldırganlardan da gelmeyebilir. Belki de Google’dan bulduğunuz ve kullandığınız bir görselin fikri mülkiyet hakkından dolayı yasal olarak tehlike siz olabilirsiniz.
Her gün güvenerek kullandığımız internet aracılarının bize sunması yasal olarak gereken güvenlik önlemlerini, belki de haberimiz bile olmadan arka planda bizim için alıyor. Bu önlemlerin neler olduğu gibi konular da yazımızın konularından.
Güvenlik önlemlerinin sınırlarını zorlayıp, tehlikeli kişilerden bizleri ve şirketleri koruyan siber güvenlikçiler de bu tehlikelerin kaynağı olan hackerler ile benzer bilgileri ve araçları kullanır. Onları birbirinden ayıran en önemli özellik ise siber güvenlikçilerin bağlı olduğu etik normlardır. Bu normlar da değineceğimiz konular arasında.
FİKRİ MÜLKİYET
Telif Hakları veya Fikri haklar diye de anılan “Fikri Mülkiyet”, Türkiye Cumhuriyeti Ticaret Bakanlığına göre bir kişiye veya kuruluşa ait olan fikir ürünüdür; söz konusu kişi ya da kuruluş, sonradan, bu eseri/ürünü/fikri serbestçe paylaşmayı veya kullanımını belirli biçimlerde kontrol etmeyi tercih edebilir.
Fikri mülkiyet hakları negatif haklardır. Negatif hak, toplumun hiçbir bireyine ayrım yapılmadan tanınan haklardır. Bu yüzden diğer kişilere yasaklanmış bir faaliyeti durdurmalarını talep etme hakkı verir.
Tescilli fikri mülkiyet hakları, patentler ve tescilli ticari markalar, genellikle devlet yetkilileri tarafından yapılan incelemeler sonucunda, uygun devlet kurumuna yapılan başvurudan sonra ülke/eyalet bazında verilir. Kayıt dışı olan fikri mülkiyet hakları ise genellikle devlet görevlilerinin müdahalesine gerek kalmadan ortaya çıkar. Buna örnek olarak telif hakkı gösterilebilir.
Bu konularda çokça kafa karışıklığına neden olabilecek terimlerden biri “Kamu Malı” terimidir. Fikri mülkiyet hukukuna göre, kamu malı, mevcut hiçbir fikri mülkiyet hakkına tabi olmayan anlamı taşırken, konuşma dilinde bir gizlilik eksikliğini veya kaybını belirtmek için kullanılır. Bu ikisinin ayırt edilebilmesi için, gizli olan bir eser, sonradan herkese açık şekilde yayınlanırsa, kamuya açık hale gelir ve gizliliği kaybolur. Ancak telif hakları açıkça feragat edilmedikçe telif hakkı ile korunuyor olabilir. Bu örneğin aksine, bir yazılımcı, kamu malı olarak yayınladığı kodun telif haklarını geri alamaz. Bu yüzden ‘kamu malı’ terimi dikkatli kullanılmalıdır.
Telif Hakkı
Telif hakkı, yeterince özgün bir eserin yaratılması ile ortaya çıkan tescilsiz bir haktır. Telif hakkı konusu, bu amaçla yazılım kodunu (hem kaynak hem de çalıştırılabilir kod) içeren edebi çalışmaları içerir. Bu, telif hakkını özellikle yazılımda bulunan güvenlik ürünlerinin geliştiricileri ve kullanıcıları için önemli hale gelir.
Telif hakları özelliklerinden bazıları şöyle sıralanabilir:
· Telif haklarının doğması için tescile gerek yoktur. Fikir ve sanat eserleri üzerindeki haklar eserin üretilmesi ile doğar.
· Telif hakları soyut niteliğe sahiptir, somutlaştığı maddeden ayrı ve bağımsız bir varlık ve hukuki değere sahiptir.
· Telif haklarında ülkesellik ilkesi geçerlidir. Koruma hangi ülkede talep ediliyorsa koruma şartları o ülke mevzuatına göre belirlenir.
Patent
Patent, başvuru ve incelemenin ardından eyalet/ülke bazında verilen tescilli bir fikri mülkiyet hakkıdır. Patentler, yeni olan ve aynı zamanda eyaletler/ülkeler tarafından “yaratıcı adım”, “açık olmayan” bir karakter veya benzer bir şey olarak çeşitli şekillerde tanımlanan ek bir ayırt edici özelliği içeren bir buluşu korumayı amaçlamaktadır. Bu yaratıcı adım gerekliliği, patent korumasını önemsiz olmaktan çok bir şekilde önemli olan buluşlarla sınırlamak için kullanılan bir politika aracıdır. İlgili teknik alanda hünerli kişilerce açıkça görülebilecek yeni buluşlar, normal olarak patent korumasından mahrum bırakılırlar.
Siber güvenlikle ilgili icatlar, genellikle matematiksel veya algoritmik yapıda olurlar (örneğin, kriptografik yöntemler). Bu icatlar, yazılım özellikli cihazlar da dahil olmak üzere çeşitli cihazlarda yapılandırıldığı haliyle patent korumasına tabi olabilirler. Tarihsel olarak önemli kriptografi buluşları, DES, Diffie-Helman ve RSA dahil olmak üzere patentlerle korunmuştur. Bu çığır açan kriptografik buluşların patentlerinin süresi dolmuş olsa da siber güvenlik alanı, yeni patentler ve bekleyen patent başvuruları ile çalkalanıyor.
Ticari Markalar
Ticari markalar genellikle, başvuruyu takiben eyalet/ülke bazında verilen tescilli fikri mülkiyet haklarıdır. Ticari marka, bir kişinin işletmesini veya ürünlerini diğerlerinden ayırmak için kullanılan bir simge veya işarettir. En yaygın ticari markalar, sözcüklerden veya şekillerden oluşur. Ticari markalar, tanımlanmış kullanım kategorileri dahilinde verilir; bu, iki farklı kişinin aynı sembolün farklı iş kollarında kullanımı için münhasır haklara sahip olmasının mümkün olduğu anlamına gelir. Ticari markaların amacı, mal veya hizmet satın alanların kafa karışıklığı olasılığını azaltmak ve bu mal veya hizmetleri tedarik eden işletmenin itibarına yapılan yatırımı korumaktır. Genellikle 10 yıllık kaydedilir ve sürekli yenilenebilir.
Ticaret Sırları
Ticari sırlar geleneksel olarak genel haksız fiil hukuku kapsamında korunur ve sırlarını saklamaya çalışan kişilere bu sırları uygunsuz bir şekilde elde eden, kullanan veya ifşa edenlere karşı yasal işlem yapma hakkı veren haklardı. Ancak yirminci yüzyıla ilerlendikçe, ticari sırların yasal korumasını artırma eğilimi ortaya çıkmaya başladı. Her bir ABD eyaletinin konumu 1980'lerden beri önemli ölçüde uyumlu hale getirildi ve ABD federal hükümeti, ticari sır hırsızlığını caydırmak için ulusal bir ticari sır yasası olarak 1996 tarihli Ekonomik Casusluk Yasasını kabul etti. Avrupa Birliği ise ticari sırlara yönelik yaklaşımını 2018'den itibaren önemli ölçüde uyumlu hale getirdi.
Yaptırımlar — Çareler
Başarılı bir davacının kullanabileceği hukuk yolları da dikkate alınmadan, fikri mülkiyet hukukunun etkisinin değerlendirilmesi eksiktir. Bu anlamda cezai ve sivil olmak üzere iki sorumluluk vardır.
Cezai Sorumluluklar
Bazı korkunç durumlarda, fikri mülkiyetin ihlali- özellikle telif hakkı ve ticari marka- suç olarak yargılanabilir. Bu durumlarda genellikle ihlalde bulunan tarafın ihlalin farkında olduğuna ve genellikle toplu halde bu hakları ihlal etme modeline veya uygulamasına dayandığına dair kanıt gerektirir. ABD telif hakkı yasasına göre ilk suç için 5 yıl ve ikinci suç için 10 yıl olmak üzere maksimum cezaya çarptırılır. İngiltere’de ise bu ceza 2 yıldır. Sivil Sorumluluk
Bir hak sahibi, normalde fikri mülkiyetin ihlali nedeniyle bir kişiye karşı yasal işlem başlatabilir. İhlalin telafisi normalde makul bir telif hakkı, yasal tarife veya ihlal edenin herhangi bir kârın hesabını yapması talebiyle hesaplanabilen parasal zararları içerir- elde edilen ekonomik faydanın hak sahibine ihlalinden dolayı ödenmesi talep edilir. Medeni hukuk yolları, fikri mülkiyet haklarını ihlal eden ürünlere el koyma ve belki de imha etme emirlerini de içerebilir. Bu siparişler, özellikle ticari marka veya telif hakkı ihlalleri içeren “taklit” malların gönderilerini yasaklarken kullanışlıdır.
Tersine Mühendislik
Tersine mühendislik, “insan yapımı bir eserden bilgi veya bilgi edinme süreci” olarak tanımlanır ve fikri mülkiyet yasasının çeşitli kategorilerinde farklı şekilde ele alınmasına rağmen genel olarak kabul edilen bir uygulamadır. Tersine mühendislik, tarihsel olarak ticari sırları kötüye kullanmanın diğer yüzü olarak görülmüştür. Ticari sır kanunu bir ticari sırrın kötüye kullanılmasını yasaklasa da (örneğin endüstriyel casusluk, rüşvet vb.), Sırlarını öğrenmek amacıyla halka açık bir satışta satılan ve satın alınan bir cihazın bilimsel çalışması genellikle ‘adil oyun’ olarak görülmüştür. Bir ticari sır, bu şekilde başarılı bir şekilde tersine mühendislik uygulanıp yayınlanırsa, ticari sır olmaktan çıkar.
Uluslararası Muamele ve Hukuk Çatışması
Fikri mülkiyet haklarının varlığı ve ilk mülkiyetin değerlendirilmesi normalde bu hakların ortaya çıktığı yere referansla ölçülür. Tek bir eyalette/ülkede oluşturulduktan sonra, telif hakkının varlığı genellikle dünya çapında çoğu yerde çeşitli telif hakkı anlaşmalarının uygulanmasıyla kabul edilmektedir.
İNTERNET ARACILARI
İnternet kullanımını kolaylaştıran şirketlere internet aracısı denir. İnternet servis sağlayıcıları, arama motorları, veri işleme, veri barındırma sağlayıcıları ve sosyal medya platformları örnek olarak verilebilir. Verileri barındırmaktan başka bir şey içermeyen bir hizmet sağlayanlar, altyapılarının yasadışı içerik barındırdığını bilmek için nedenleri olmadıkça genellikle içerikle ilgili sorumluluktan muaf tutulurlar. Bu noktada, genellikle rahatsız edici içeriği ‘süratle’ kaldırma yükümlülükleri vardır.
BELGELERİN VE ELEKTRONİK GÜVEN HİZMETLERİNİN DEMATERYALİZASYONU
E-ticaret çağı geliştikçe, bilginin doğruluğunu ve bütünlüğünü (ör. İmzalar, mühürler ve silinmez mürekkep) sağlamak için geleneksel yöntemlerin tamamen elektronik ve çevrimiçi ortamlarda kullanılabilecek bir biçime nasıl aktarılacağına ilişkin endişeler arttı. Güvenlik teknolojisi uzmanları, bu endişeleri gidermeyi amaçlayan bir dizi yeni teknolojiyle (genellikle Açık Anahtar Altyapısına (PKI) dayalı) cevap verdi. Bu gelişimler, bu tür teknolojilerin kullanımına potansiyel olarak müdahale eden bir dizi yasal endişeye yol açtı. Bu endişeler, genel olarak üç kategoriye ayrılır.
Elektronik Belgelerin Kanıtına Kabul
Bir biçim gerekliliği, geçerli yasaların getirdiği, belirli bir iletişimin ancak ve ancak önceden belirlenmiş bir biçimi alması durumunda uygulanabilir olacağına dair herhangi bir yükümlülüktür. Uygulanabilir bir form gerekliliğine uyulmaması halinde, iletişim konusunun tamamen veya kısmen uygulanamaz hale gelmesi riskini yaratır.
Çeşitli devletler tarafından benimsenen biçim gerekliliklerine örnekler, uygulanabilir olması için şunları talep eden kuralları içerir:
· Belirli yasal uyarılar ‘yazılı olarak’ teslim edilmelidir;
· Belirli taahhüt türleri yazılı olmalı ve aleyhine icra talebinde bulunulan taraf tarafından “imzalanmalı” (veya “icra edilmelidir”, vb.);
· Bir devlet kurumuna belirli başvurular belirli bir form kullanılarak yapılmalıdır;
· Sorumluluğu kısıtlamayı amaçlayan belirli sözleşme maddeleri veya bildirimleri, uygulanacakları tarafa belirgin bir şekilde (örneğin tümü büyük harf, kalın veya italik yazı tipi, vb.) sunulmalıdır;
· Sorumluluğu kısıtlamayı amaçlayan belirli sözleşme maddeleri, uygulanacakları taraf tarafından parafe edilmelidir;
· Son bir vasiyetname ve vasiyet yazılı olarak teslim edilmeli ve vasiyetçi tarafından, belgeyi de imzalaması gereken belirli sayıda tanık huzurunda imzalanmalıdır; ve
· Belirli mülk türlerine mülkiyet aktaran bir belge, daha sonra belgeye resmi bir mühür yapıştırmak zorunda olan bir devlet adli görevlisinin huzurunda imzalanmalıdır.
Elektronik İmzalar ve Kimlik Güven Hizmetleri
Modern e-ticaretin ortaya çıkışı, kimlik güveni hizmetlerinin, özellikle de bir Açık Anahtar Altyapısında belirli bir genel anahtara sahip bir kişinin kimliğini bağlayan dijital sertifikalar düzenleyenlerin ortaya çıkmasıyla eşzamanlıydı.
Bu kimlik güven hizmetleri için mühendislik standartları ortaya çıkmaya başladıkça, bu hizmetleri sağlamak veya kullanmak isteyen herkes tarafından değerlendirilmek üzere ilgili iki yasal soru ortaya çıktı:
· Böyle bir sistem kullanılarak üretilen dijital bir “imzanın” kâğıt üzerinde ıslak mürekkepli bir imza ile yasal eşdeğerlik verilme derecesi; ve
· Bu sistemlerin bakımı ve kullanımına dahil olan çeşitli kişilerin haklarının ve sorumluluklarının niteliği.
Hukuk Çatışması- Elektronik İmzalar ve Güven Hizmetleri
Elektronik imzaların ve güven hizmetlerinin doğası, ilgili taraflar farklı eyaletlerdeyken/ülkelerdeyken her zaman hukuk çatışmalarını içerir. Tüketici olmayan imzacı ve tüketici olmayan üçüncü taraf arasında basit bir sözleşme söz konusu olduğunda, Avrupa mahkemeleri, taraflarca seçilen devletin yasaları tarafından uygulanan geçerlilik şartlarını karşılıyorsa sözleşmenin resmi geçerliliğini bulmaya istekli olmalıdır. Sözleşmeyi, B Eyaleti/Ülkesi yasasını, C Eyaleti/Ülkesi yasasını veya bunlardan herhangi birinden farklıysa, muhtemelen her iki tarafın mutat meskeninin yasasını düzenler (Roma I, Madde 11). Tüketicilerin dahil olduğu yerlerde, Avrupa mahkemeleri böyle bir sınır ötesi sözleşmeyi ancak tüketicinin mutat meskeninin yasasına göre geçerli sayılırsa geçerli bulur.
DİĞER MEVZUAT HUSUSLARI
Önümüzdeki dört başlıkta, bir siber güvenlikçinin karşılaşabileceği diğer düzenleme konularına kısaca değineceğiz.
Sektöre Özgü Düzenlemeler ve NIS Direktifi
Çok çeşitli tek sektörlü düzenleyiciler, konu endüstrilerini düzenleyen daha büyük rolleri çerçevesinde siber güvenliği benimsemiştir. Örneğin, finansal hizmetlerdeki operasyonel riskin düzenleyicileri olarak rollerinde bulunan birçok finansal hizmet düzenleyicisi, siber güvenlik operasyonları üzerinde her zaman bir dereceye kadar konuyla ilgili yargı yetkisine sahip olmuştur. Siber güvenlik risk yönetiminin ayrıntıları, mali hizmetler yönetmeliği içinde önemi artmıştır ve belirgin bir şekilde öne çıkmaya devam etmesi beklenebilir.
AB Direktifinin 14. Maddesi, üye devletlerin “temel hizmetlerin operatörlerinin” şunları sağlamasını gerektirmektedir:
• ‘Operasyonlarında kullandıkları ağ ve bilgi sistemlerinin güvenliğine yönelik riskleri yönetmek için uygun ve orantılı teknik ve organizasyonel önlemleri almak’;
• ‘Bu hizmetlerin sürekliliğini sağlamak amacıyla, bu tür temel hizmetlerin sağlanması için kullanılan bilgi sistemlerinin ve ağın güvenliğini etkileyen olayların etkisini önlemek ve en aza indirmek için uygun önlemleri almak’; ve
· ‘Yetkili makamı veya CSIRT’i, sağladıkları temel hizmetlerin sürekliliği üzerinde önemli bir etkiye sahip olan olaylardan gecikmeksizin haberdar edin’.
Ürün ve Hizmetler İçin Artan Siber Güvenliği Teşvik Etmek
Ortaya çıkan Nesnelerin İnterneti ve buna bağlı olarak bulut tabanlı hizmetlerin büyümesi, siber güvenlik ihlallerinden hem tüketicilere hem de ticari kuruluşlara yönelik artan riskler yaratır. Politika yapıcılar, ürün ve hizmetlerin çeşitli siber güvenlik standartlarına uygunluğunun belgelendirilmesi için yasal çerçeveler benimsemeye başladılar ve birçok sertifika ve sertifikasyon faaliyetleri ortaya çıktı.
Güvenlik Teknolojilerinin Dışa Aktarılmasına İlişkin Kısıtlamalar
Devletlerin, kendilerine tehlike oluşturabilecek malların ihracatına kısıtlama getirmeleri alışıla gelmiş bir davranıştır. Batı bloğu ülkelerinin, doğu bloğu ülkelerine savunma teknolojilerinin akışını kısıtlarken, Soğuk Savaş sırasında bu yasalar önemli ölçüde büyüdü. Şaşırtıcı derecede çok çeşitli ikili kullanım ürünleri (ve hizmetleri) bu tür kısıtlamalar kapsamında yakalanmış olsa da belirli kriptografik işlevleri içerdikleri için yakalanan ürünler, özellikle siber güvenlik alanında tartışmalı olmuştur.
ABD de dahil olmak üzere birçok ülke, bazı kriptografik teknoloji uygulamaları da dahil olmak üzere belirli çift kullanımlı ürünlerde ihracat kısıtlamalarını korumaya devam ediyor. İhlaller suç olarak yargılanabileceğinden, bu ürünlerin üretimi ile uğraşan herkes geçerli yasaları dikkatlice incelemelidir. Yakın zamanda İngiltere hükümeti mikroçip üreticisi olan ARM şirketinin bir ABD şirketi olan Nvidia’ya satılmasını engelleyerek bu konuda güncel bir örnek sağladı.
Devlet Tarafından Gizli Olarak Sınıflandırılan Konular
Devletler tarafından istihdam edilen veya görevlendirilen uygulayıcılar, bu devletler tarafından gizli olarak sınıflandırılan belirli bilgilerin gizliliğini zorunlu kılan yasalara rutin olarak tabidir. En yaygın olarak, bu ilgili sırların açıklanması devlet destekli casusluk faaliyeti yürüten kişiler, vb. devletin savunmasını, bir polis soruşturması bütünlüğünü, güvenliğini veya etkinliğini zarar verebilecek bir ortamda doğar.
Bu yasalar bazen, üçüncü partilerin araştırma veya geliştirmelerine müdahil olarak sır olarak sınıflandırabilir. Buna örnek olarak yine yakın zamanda, ABD hükümeti Lockheed Martin firmasına Çin’e verdiği bazı bilgiler yüzünden ceza kesti.
ULUSLARARASI KAMUSAL HUKUK
Uluslararası kamu hukuku, devletler arası ve devletler arasındaki ilişkileri düzenleyen hukuk organıdır ve bu amaçla uluslararası hükümet kuruluşlarını içerir, ancak federal bir devletin kurucu devletlerini hariç tutar. Uluslararası kamu hukukunun kaynakları arasında antlaşmalar, geniş çapta kabul gören uluslararası normlar ve gelenekler ve uluslararası mahkemelerin kararları yer alır. Uluslararası hukuk ikamet edenlerin veya vatandaşların değil, devletlerin davranışlarını denetlemek içindir.
Uluslararası Hukuka Göre Bir Devlete Eylem Atfetmek
Atfetme, bir devletin belirli bir eylem için uluslararası hukuka göre yasal olarak sorumlu olup olmadığını belirleme sürecidir. Bir devletin belirli bir eylemden ne zaman sorumlu olduğunu tanımlamak için bir dizi uluslararası hukuk doktrini kullanılır.
Belirli bir eylem, örneğin aşağıdaki durumlarda yasal olarak bir devlete atfedilebilir:
• Eylem, devletin bir temsilcisi veya memuru (devletin ordusunun veya polisin aktif görevde bulunan bir üyesi gibi) tarafından üstlenilirse; veya
• Eylem, devlet memurlarının yönlendirmesi altında veya aktif teşviki ile devlet dışı bir kişi (teknoloji hizmetleri sağlayıcısı gibi) tarafından üstlenilirse.
Genel Olarak Devlet Siber Operasyonları
Uluslararası kamu hukuku, bölgesel egemenlik ilkesi üzerine kurulmuştur. Bir devletin kendi topraklarında egemen olduğu ve aynı zamanda uluslararası hukuka uygun olarak kendi bölgesi dışında faaliyetlerde bulunma hakkına sahip olduğu söylenir.
Uluslararası hukuk genellikle bir devletin diğerinin egemenliğini ihlal etmesini yasaklar. Bununla birlikte, devletler, uluslararası hukuk kapsamında birincisine borçlu olduğu yükümlülüklerini ihlal eden ikinci bir devlete yanıt olarak uygun karşı tedbirleri alma hakkına sahiptir.
Bir devletin başka bir devlete yönelik siber operasyonu, ikinci devletin işlerine müdahale etmesi halinde uluslararası hukukun ilkelerine aykırıdır. Örneğin, DDoS operasyonu gibi bir siber saldırı operasyonu, hedef devlet için ayrılmış bir konudaki sonuçları veya bununla ilgili davranışları etkileyecek şekilde tasarlanmış bir şekilde ikinci durumu zorlamak için kullanılırsa müdahale oluşturacaktır.
Barış Zamanında Siber Casusluk
Genellikle, barış zamanında siber casusluk uluslararası hukuka aykırı sayılmaz. Bir devletin topraklarından başka bir devletteki kişilere veya teçhizata karşı yürütülen siber gözetim ve kanıt toplama faaliyetleri, bu nedenle mutlaka uluslararası hukukun ihlali anlamına gelmez. Ancak casusluk yöntemleri, ikinci devletin iç ceza hukukunu kolayca ihlal edebilir.
Bu ilkenin belirli bir örneği, haberleşmeleri engellemek amacıyla denizaltı haberleşme kablolarına dokunma çabaları için geçerlidir. Bir devlet, uluslararası sularda kabloları işlevselliğini önemli ölçüde kesintiye uğratmadan gizlice dinlerse, bu büyük olasılıkla uluslararası hukukun ihlali anlamına gelmez. Ancak bir devlet, ikinci bir devletin karasularında bu dinlemeyi gerçekleştirirse, operasyon ikinci devletin egemenliğinin ihlali anlamına gelir.
Sınır Ötesi Ceza Soruşturması
Bir başka (ilgisiz) devletin topraklarında polis gücünün kullanımını oluşturan bir devletin eylemleri, normalde o devletin uluslararası hukuka göre egemenliğinin ihlali anlamına gelir. Bu, polisin yetkilerinin, fiziksel tesislerde arama yapmak veya ikinci devlette bulunan bir şüpheliyi tutuklamak veya sorgulamak gibi şahsen güç kullanımını içerdiği durumlarda görmek kolaydır.
Bir devletin sınırları içinde, o devletin görevlilerinin başka bir devletin toprakları ile fiziksel teması içermeyen gözetim eylemlerini analiz etmek daha karmaşıktır. Devletin uzaktan gözetim eylemleri kendi başına uluslararası hukuku ihlal etmeyebilirken, devletin kanıt toplama yöntemleri diğer devletin ihlalini oluşturabilir.
Silahlı Çatışma Hukuku
Silahlı çatışmanın başlaması üzerine, bu çatışma bağlamındaki faaliyetin yürütülmesinin ‘silahlı çatışma hukuku’ tarafından yönetildiği söylenir. Silahlı bir çatışmanın parçası olarak gerçekleştirilen siber operasyonlar, silahlı çatışma hukukuna göre değerlendirilir. Tallinn Kılavuzu 2.0 bu konuyu daha ayrıntılı olarak ele almaktadır. Daha derin bilgiler için başvurulabilir.
Silahlı çatışma hukukunun temel ilkeleri şunları içerir:
• Askeri gereklilik: Bir devlet, silahlı çatışma hukukunun diğer ilkelerini ihlal etmemek kaydıyla, bir düşmanı hızlı ve verimli bir şekilde yenmek için gerekli olan gücü kullanabilir.
• İnsancılık: Bir devlet, meşru bir askeri amacı gerçekleştirmek için gerekli olmayan ıstırap, yaralanma veya yıkıma uğratamaz.
• Ayrım (diğer adıyla Ayrımcılık): Bir devlet, askeri kişileri ve nesneleri sivil kişilerden ve nesnelerden ayırmaya çalışmalıdır. Bu, savaşan bir devlete, kendi askeri kişisini ve nesnelerini sivil kişilerden ve nesnelerden ayırma ve düşman devletin askeri ve sivil kişileri ve nesnelerini ayırmaya çalışma yükümlülüğü yükler.
• Orantılılık: Bir devlet mantıksız veya aşırı bir şekilde hareket edemez.
Tallinn El Kitabı 2.0, uzman grubunun ‘kişilerin yaralanmasına veya ölümüne veya nesnelere zarar veya tahribata neden olması makul olarak beklenen’ bir siber operasyon olarak tanımladığı ‘siber saldırı’ gibi bir operasyondan bahseder. Bir siber operasyonun uluslararası hukuka göre siber saldırı olarak nitelendirilmesi, silahlı çatışma hukukunun devletlerin bu tür saldırıları gerçekleştirme şeklini sınırlandırması nedeniyle kritiktir.
ETİK
İlk siber güvenlik etiği kılavuzu, fikri mülkiyet, veri koruma ve gizlilik yasaları kapsamında ortaya çıkan sorumluluk gibi yasal risk yönetimine önemli ölçüde odaklanmıştır. Uygulayıcıların eylemleri için geçerli olan kanunların farkında olmaları gerekmesine rağmen, kanuna uymak kendi başına bir pratisyeni etik eyleme yönlendirmek için yetersiz olabilir.
Genellikle resmi devlet mesleki düzenlemesinin yokluğunda yürütülen bir uygulama olarak, güvenlik uygulayıcıları tarafından üstlenilen faaliyetlere uygulanması beklenen genelleştirilebilir normları belirlemek zordur. Bu yazının kalan kısmında yinelenen bazı sorunlara ve potansiyel rehberlik kaynaklarına değineceğiz.
Müşteriye Olan Yükümlülükler
Düzenlemeye tabi profesyonellerin müşterilere borçlu olduğu bazı yükümlülüklerin gözden geçirilmesi, toplumların siber güvenlik uygulayıcılarının müşterilerine borçlu olması gereken yükümlülüklere yaklaşımlar geliştirmeye devam etmesi nedeniyle yararlı olabilir.
Yasal düzenlemelere tabi profesyonellerin normalde müşterilerinin çıkarlarına en uygun şekilde hareket etmeleri, çıkar çatışmalarından kaçınmaları ve müşteri işlerinin gizliliğini korumaları beklenir. Bu tür yükümlülüklerin sözleşmeyle olumlu bir şekilde benimsenmesi genellikle tartışmalı olmasa da bir güvenlik pratisyeni ve müşteri belirli durumlarda en uygun eylem planı hakkında fikir birliğine varmadıklarında zorluklar ortaya çıkabilir.
Davranış Kuralları
Çeşitli meslek kuruluşları, siber güvenlik uygulayıcıları için davranış kuralları ve etik yönergeler yayınlamıştır. Bunların çoğu, uygulayıcılara ilkelerin yorumlanmasında yardımcı olmak için gerekli olan daha ayrıntılı rehberlik olmadan üst düzey etik ilkelere atıfta bulunmaktadır. Bilgisayar Makineleri Derneği (ACM), ACM Etik ve Profesyonel Davranış Kuralları, veri bağlantısının etkisini dikkate almak için 2018 yılında kapsamlı bir şekilde revize edilmiştir.
Güvenlik Açığı Testi ve İfşa
Güvenlik açıklarını arama, bulma, ifşa etme ve bunlara yanıt olarak hareket etme süreci, yinelenen etik (ve yasal) sorunlara neden olabilir. Bunları üç başlıkta inceleyebiliriz:
•Güvenlik Açıklarını Test Etme
•Güvenlik Açıklarının İfşa Edilmesi
· Güvenlik Açığı İfşalarını Kolaylaştırmak ve Bunlara Göre Hareket Etmek
Güvenlik Açıklarını Test Etme
Güvenlik açıklarını test eden uygulayıcılar, faaliyetlerinin doğasını dikkatlice değerlendirmelidir. Somut donanım ürünleri, yerel olarak yerleşik lisanslı yazılımlar veya yayınlanmış kriptografik ilkeler ve iletişim protokolleri gibi nesneleri inceleme ve analiz etme eylemi normalde tartışmasızdır. Salt analiz eyleminden kamu zararına doğru bir nedensellik çizgisi çekmek zordur. Ancak uygulayıcılar, incelenen güvenlik nesnesinin kaynağını göz önünde bulundurmak için dikkatli olmalıdır.
Örneğin, bir ticari sır şifreleme şemasının işlevselliğini keşfetmek için bir silikon çipi tersine mühendislik ile aynı gizli metodolojiyi içeren şüpheli kökene sahip üçüncü taraf yazılımı tersine mühendislik arasında bir ayrım olabilir. Birincisine genel olarak izin verilse de ikincisi ticari sır haklarının ihlali teşkil edebilir ve sonuçların yayınlanması kabiliyetinin sınırlandırılması konusunda sorumluluk veya kısıtlamalara neden olabilir.
Güvenlik Açıklarının İfşa Edilmesi
Güvenlik açıklarını bulanlar, yeni buldukları bilgilerle ne yapacaklarına dair bir seçimle karşı karşıyadır. Herhangi bir açıklama yapmamaktan, her detayı anında dünyaya yaymaya kadar geniş bir yelpazede seçenekleri mevcuttur. Bu iki uç nokta arasında birçok olasılıkları vardır.
Güvenlik araştırmacısı olarak çalışmaları sırasında güvenlik açıkları bulan uygulayıcılar, elde ettiklerini herhangi bir mali fayda için işverenlerine veya fon sağlayıcılarına karşı ne ölçüde sorumlu olabileceklerini daha fazla düşünmelidir.
Güvenlik Açığı İfşalarını Kolaylaştırmak ve Bunlara Göre Hareket Etmek
Ürün ve hizmet satıcıları, müşterilere ve üçüncü kişilere verilecek zararı en aza indirecek şekilde güvenlik açığı açıklamalarını nasıl kolaylaştırabileceklerini düşünüp ardından buna göre hareket etmelidir. Güvenlik açığı ifşalarını doğru şekilde ele almayı kolaylaştırmak için temel ilkeler şunları içerir:
- bulucuların satıcıya güvenlik açıklarını ifşa etmeleri için kabul edilebilir yöntemler yayınlamak
- güvenlik açığını açıklandığında doğrulamak için özenle çalışmak
- iyileştirme veya azaltma stratejileri geliştirmek
- düzeltmeleri yaymak
- tedarik zinciri ortaklarıyla çalışmak ve bulanlara geri bildirim sağlamak.
Sonuç
Bu yazıda CyBOK kitabının 3. bölümünün bir kısmının üzerinden geçtik. Fikri mülkiyet hakkının ne olduğu ve çeşitleri ile başımıza gelebilecek hak ihlallerine değindik. İnternet aracıları teriminin kimler için kullanıldığı ve ne gibi yasal yükümlülükleri olduğuna e-imza gibi dijital ortamın zorlayıcı alanlarından olan elektronik belgeler ve bunların yasal düzenlemesinden uluslararası hukukta devletlerin birbirlerine yapabilecekleri eylemlerin sınırlarından savaş hukukuna birçok konuya yüzeysel olarak değindik. Son olarak da siber güvenlikçileri ilgilendiren etik kurallara ve olaylara değindik. Bu yazıyı da Ken Thompson tarafında yazılmış Reflections on Trusting Trust isimli makelenin kapanışındaki yine bu etik kurallara değinen “Bir bilgisayar sistemine girme eylemi, bir komşunun evine girmekle aynı sosyal damgaya sahip olmalıdır. Komşunun kapısının açık olması önemli değil. Basın, bir bilgisayarın yanlış yönlendirilmiş kullanımının, bir otomobilin sarhoşken kullanılmasından daha şaşırtıcı olmadığını öğrenmelidir.” sözüyle bitiriyorum.
KAYNAKÇA
A. Rashid, H. Chivers, G. Danezis, E. Lupu, A. Martin, Y. Rigby, and J. Hallett, in CyBOK: Cyber Security Body of Knowledge, United Kingdom, Bristol: The National Cyber Security Centre, 2019, pp. 103–126.
“T.C. Ticaret Bakanlığı,” https://ticaret.gov.tr, 2019. [Online]. Available: https://www.ticaret.gov.tr/gumruk-islemleri/sikca-sorulan-sorular/ticari/fikri-mulkiyet-haklari
“Telif Hakkı Nedir? — Telif Hakları Genel Müdürlüğü,” Ana Sayfa. [Online]. Available: https://www.telifhaklari.gov.tr/Telif-Hakki-Nedir
M. N. Schmitt, Ed., Tallinn Manual 2.0 on the International Law Applicable to Cyber Warfare. Cambridge University Press, 2017.
Thompson, K. (1984). Reflections on trusting trust. Communications of the ACM, 27(8), 761–763. https://doi.org/10.1145/358198.358210
