Ahmet Gumusbas tarafından yazılmış tüm yazılar

2014 yılında Bilkent Üniversitesi Hukuk Fakültesi’nden onur derecesiyle mezun oldu. Aynı yıl Leiden Üniversitesi'nde başladığı Uluslararası Kamu Hukuku yüksek lisans programını 2015 yılında Birleşmiş Milletler Geçici Yönetimleri üzerine yazdığı tezle tamamladı. Yüksek lisansı sırasında "The meaning of 'attack' in context of Cyber Warfare" adlı bir makale kaleme aldı. 2016 yılında tamamladığı avukatlık stajı sonrası Birleşmiş Milletler - Eski Yugoslavya Uluslararası Ceza Mahkemesi’nde yasal stajyer olarak başladığı kariyerine uluslararası bir STK’de hukuki danışman olarak bir süre devam etti. Gümüşbaş halen Leuven Katolik Üniversitesi’nde uluslararası hukuk alanında doktora programına devam etmektedir.
Makale & Analiz

Uluslararası hukuk açısından Türkiye siber saldırılara karşı ne yapabilir?

Yorum yapın

14 Aralık’tan itibaren Türkiye’ye yönelik  siber faaliyetlerin yoğunluğu giderek arttı.  Saldırılar 24 Aralık’ta farklı bir şekle bürünerek kamu ve özel bankaları hedef aldı. Her ne kadar Anonymous grubu eylemleri üstlense de, Rusya’nın bu faaliyetlerin arkasında olduğuna dair ciddi şüpheler var.

Rus uçağının düşürülmesinin ardından güç kullanımı ve meşru müdafaaya ilişkin uluslararası hukuk kuralları pek çok uzman tarafından masaya yatırıldı. Söz konusu kuralların siber savaş bağlamında da incelemesi gerektiği kanaatindeyiz. Bu yazıda birkaç haftadır yaşanan siber saldırıların uluslararası hukuk açısından hangi normları ihlal ettiği ve bunlara karşı yaptırımların neler olabileceği incelenecektir.

Anonymous saldırılarının Rusya’ya isnat edilip edilemeyeceği ayrı bir uluslararası hukuk tartışması olduğundan başka bir yazıda ele alınacaktır. Kısaca, saldırılar, Rusya’nın talimatı, yönlendirmesi veya kontrolü altında gerçekleşmiş ve buna dair somut deliller var ise Rusya’ya isnat edilebilecektir. Ancak bu durumun varlığı halinde aşağıdaki ihlal tartışmaları anlam kazanacaktır.

İLGİLİ YAZI >> SİZCE RUS HACKERLAR ŞİMDİ NE YAPIYORDUR?

İhlal edilen uluslararası hukuk normları

Siber savaş kavramı, siber faaliyetlerin son 10 yılda artmasıyla gündemimizi işgal etmeye başladı. Ancak henüz, özel olarak siber savaşı düzenleyen uluslararası hukuk normları geliştirilemedi. Bu sebeple, mevcut kinetik savaş (siber olmayan) hukuku kurallarını siber konsept içerisinde yorumlamamız gerekmektedir.

Buna dair en kapsamlı çalışma, NATO’nun siber savunma merkezinde hazırlanan ‘Tallinn Siber Savaş Kılavuzu’dur. Kılavuza göre, siber eylemler, seviye ve etkilerine göre 3 grupta incelenebilecektir.

Siber müdahale

Müdahale etmeme (non-intervention) kuralı, BM Sözleşmesi’nde açık bir şekilde yer almasa da uluslararası teamül olarak kabul görmüş ve bir çok davada bu kurala atıfta bulunulmuştur. Esas olan bir devletin diğer ülkenin iç işlerine müdahalede bulunmamasıdır.

İLGİLİ YAZI >> ANONYMOUS MASKESİ ARDINDAN KİM VAR?

Örneğin, bir ülkedeki isyancılara başka bir devlet tarafından para yardımı yapılması bu prensibi ihlal etmektedir (Nikaragua Davası-ABD’nin Nikaragua’daki milislere yardım etmesi üzerine Uluslararası Adalet Divanında açılan dava). Benzer şekilde, hacker gruplarına yapılan maddi yardımlar da bu kuralı ihlal edecektir. Bunun yanında, herhangi bir ülkede seçimlere ilişkin sonuçların tutulduğu elektronik sisteme yapılan siber saldırı, seçim sonuçlarını manipüle ediyor ise bu kural ihlal edilmiş olacaktır. Bu tür müdahalelerde saldıran ülkenin sorumluluğu en alt düzeydedir.

Siber güç kullanımı

BM Sözleşmesi’nin 2. maddesi, devletlerin diğer devletlere yönelik güç kullanımını yasaklamıştır. Ancak bu maddenin ihlal edilmiş sayılabilmesi için eylem, ölçüsü ve etkileri açısından belli bir seviyede olmalıdır.

Kinetik savaşlar (siber olmayan savaşlar) açısından, bir devletin başka bir ülkedeki isyancılara maddi yardımdan öte, silah göndermesi ve onları eğitmesi güç kullanımı olarak nitelendirilebilecektir. Bunun gibi, siber operasyonlar için gerekli casus yazılımlar ve kullanım talimatları, eylemi gerçekleştiren gruplara verildiği hallerde ‘siber güç kullanımı’ gerçekleşmiş olacaktır.

Bu güç kullanımının, bir ülkenin iç işlerine müdahalenin ötesinde bir zarara sebebiyet vermesi gerekmektedir. Bu zararın, bir sistemin ya da aletin kullanılmaz hale getirilmesi kadar büyük seviyede olması aranmayacaktır.

Anonymous’un DDoS saldırılarının normalin çok üzerinde bir yoğunlukta gerçekleşiyor olması, akıllara Rusya’nın temin ettiği teknik imkânlar mı kullanılıyor sorusunu getiriyor. Eğer böyle bir durum varsa, internet ve bankacılık işlemlerini kısmen kullanılamaz hale getiren bu operasyonların 2. maddeyi ihlal ettiğini söyleyebiliriz.

İLGİLİ YAZI >> RUSLARIN BİZE GÖR DEDİĞİ

Siber müdahale ve güç kullanımının varlığı halinde, saldırıya uğrayan devlet, saldırıları engellemek adına karşı tedbirlere (countermeasure) başvurma hakkı elde edecektir. Bunlar, orantılı olmak kaydıyla, karşı siber operasyonlar olabileceği gibi ekonomik ve politik önlemler de olabilir. Yani ölüm, yaralanma veya ciddi maddi hasara sebep olacak etkide olmamalıdır.

Buna ek olarak, BM Güvenlik Konseyi güç kullanan ülkeye karşı farklı yaptırımlar uygulayabilecektir. Rusya’nın bu teklifi veto edecek olması, Türkiye açısından bu önlemi imkansız kılacaktır.

Siber saldırı

Aklımıza gelen en önemli soru ise, siber saldırılar hangi düzeye ulaştığında Türkiye’nin Rusya’ya yönelik silahlı saldırı gerçekleştirebileceğidir.

BM Sözleşmesi’nin 51. maddesi, devletlerin güç kullanma yasağına meşru müdafaa kapsamında bir istisna getirmiştir. Buna göre, silahlı saldırıya (armed attack) maruz kalmış bir ülke, BM Güvenlik Konseyi devreye girene kadar kendini savunma hakkına sahiptir. ‘Silahlı’ tabiri geniş anlamda yorumlanmakta, siber saldırıları da kapsamaktadır.

Bir eylemin ‘siber saldırı’ olarak nitelendirilebilmesi için yukarıda bahsettiğimiz ‘güç kullanımı’ kavramını aşacak seviye ve etkide olması gerekiyor. Yani saldırılar, ölüm, yaralanma veya ciddi maddi hasara sebebiyet veriyor ise, 51. madde kapsamında meşru müdafaa hakkı doğacaktır.

Çok belirli bir ölçü söz konusu olmadığı için güç kullanımının hangi durumlarda ‘siber saldırı’ olarak nitelendirilebileceği örneklerle açıklamamız gerekmektedir.

Bir siber operasyon sonucunda şehrin su arıtma tesisleri işlemez hale getirildiğinde, ölüm ve yaralanmalar söz konusu olabilir. Daha somut bir örnek verecek olursak, 2008 yılında Bakü-Tiflis-Ceyhan boru hattında meydana gelen patlamanın Rusya’nın siber saldırıları sonucu olduğu iddia edilmekteydi ve bu saldırı insan ölümüne sebebiyet verebilirdi. Bu tür saldırıların ‘siber saldırı’ seviyesini aştığı ve meşru müdafaaya hakkını doğurduğu Tallinn uzmanlarınca kabul edilmiştir.

‘Ciddi maddi hasar’ tanımının ne olduğu ise tartışmalıdır. Örneğin Gürcistan’da siber saldırılar sonucunda, ülkedeki iki internet sağlayıcısından biri hizmet vermeyi birkaç günlüğüne durdurmuştu. Aynı şekilde Gürcistan’ın internet altyapısına yönelik saldırılardan dolayı, bankalar online işlemlerine 10 gün süreyle ara vermek zorunda kaldı.

Uluslararası hukukçular bu operasyonların ‘siber saldırı’ olarak değerlendirilip değerlendirilemeyeceği anlamak adına, Gürcistan’ın internete bağımlılığını, bir kaç günlük kesintilerin ne kadar büyük ekonomik zarar verdiğini inceledi ve eylemleri ‘silahlı saldırı’ olarak tanımlamadı.

Türkiye’deki bankalara yönelik 24 Aralık’ta gerçekleşen saldırılar hiç şüphesiz Gürcistan’daki seviyenin altındadır. Bu sebeple, Türkiye bu operasyonları güç kullanımı olarak değerlendirip karşı yaptırımlar uygulayabilir, ancak 51. madde kapsamında meşru müdafaa yöntemlerine başvuramaz.

İran’a karşı gerçekleştirilen Stuxnet saldırısında ise, casus yazılımlar ile İran’ın nükleer faaliyetlerine ilişkin bilgiler elde edilmiştir. Ancak bundan da öte, yazılım, nükleer santraldeki santrifüjleri haddinden hızlı çalıştırarak maddi zarara sebebiyet vermiştir. Tallinn’de bulunan uzmanların çoğunluğu bu zararın ciddi boyuta ulaşmadığı ve ‘silahlı saldırı’ olarak değerlendirilemeyeceği sonucuna varmıştır.

Bu anlamda günümüze kadar gerçekleşen devletler arası siber operasyonların hiçbiri ‘siber saldırı’ boyutuna ulaşmamış ve ülkelere 51. madde kapsamında meşru müdafaa hakkı sağlamamıştır. Ancak bu saldırılar, eğer saldıran devletlere isnat edilebilir ise, BM Sözleşmesi kapsamında güç kullanma yasağını ihlal edecektir. Böylece, karşı yaptırımlara başvurma hakkı elde edilecek ve saldıran devletin sorumluluğuna gidilecektir.

Sonuç olarak, iki haftadır süren siber saldırılar Rusya’ya isnat edilebilir ise, müdahale etmeme ve güç kullanmama kurallarının ihlal edildiğini söyleyebiliriz. Bu durumu BM Güvenlik Konseyi’ne götürme hakkı olan Türkiye, karşı tedbirlere de başvurabilecektir. Ancak ‘siber saldırı’ boyutuna varmayan bu eylemler, 51. maddede ifade edilen meşru müdafaa hakkını doğurmayacaktır. Bu noktada, uluslararası hukuk çerçevesinde, Türkiye’nin karşı tedbirleri ‘silahlı saldırı’ boyutuna varmamalıdır.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]
Makale & Analiz

ABD backdoor istedi, Apple red etti; şimdi ne olacak?

Yorum yapın

Ekim ayının ortalarında New York Eyalet Mahkemesikişisel verilerin gizliliği hakkında çok önemli bir soruyu tartışmaya açtı. Bilinmek istenen husus şuydu; mahkemeler, iPhone gibi elektronik cihazlardaki şifrelemelerin üretici firma tarafından çözümlenmesi yoluyla kişisel verilerin (mesajlaşmalar, e-mailler, fotoğraflar vs.) mahkemeye sunulmasını emredebilir mi? Mahkeme Apple’a gönderdiği bir yazıyla bu durumun teknik açıdan mümkün olup olmadığının ve ne gibi bir külfetinin olacağının açıklanmasını istedi.

İLGİLİ YAZI>> ABD-İRLANDA-MICROSOFT ARASINDA KİŞİSEL VERİ ÜÇGENİ

Apple yaptığı açıklamada iOS 8 ve üzeri yazılım kullanılan cihazlarda bu durumun teknik olarak mümkün olmadığını, yeni geliştirdikleri şifreleme ve parmak izi sistemi ile bu verilere ulaşımın sadece kullanıcıların eline bırakıldığını ifade etti. Yani kısaca Apple, bir mahkeme kararı olsa dahi kendilerinin şifrelenmiş verilere ulaşamayacağını belirtmiş oldu. Buna ek olarak, böyle bir durumda, zaten hali hazırda bekleme listesinde olan çok sayıda şifre çözümleme talebinin artacağı ve bunun Apple’ı normal işlerini yürütemez hale getireceği ifade edildi. Ayrıca tüketicilerin veri gizliliği noktasında firmaya olan güvenlerinin sarsılacağının ve firmanın itibarının zarar göreceğinin altı çizildi. Her ne kadar Apple açıklamasında, ilgili kanunun (the All Writs Act) firmalara bu kapsamda bir emrin gönderilmesine olanak tanıyıp tanımadığına değinmese de, New York Civil Liberties Union ve Electronic Frontier Foundation kuruluşları bu hususu değerlendirmiş ve kanunun mevcut haliyle böyle bir emre izin vermediğini ifade etmiştir.

İLGİLİ HABER >> ALMANYA KİŞİSEL VERİLER İÇİN ÖZEL BİRİM KURDU

Tartışmalar sürerken, Obama hükümeti de bu konuda geri adım attığını açıkça gösterdi ve dijital cihazların şifrelemelerinin çözümlenmesi için firmalara emir verilemeyeceğinibelirtti. Güvenlik birimlerine şifrelenmiş verilere ulaşabilme yolunun (“backdoor”) açılmasının,  Çin, Rusya ve siber saldırganlar için bir saldırı açığı oluşturabileceği vurgulandı. Gerçekten de Microsoft, Apple ve Google gibi firmaların yanı sıra çok sayıda bilgisayar uzmanı, hükümetin şifreleme yöntemlerine ve kaynak kodlarına ulaşmasının güvenlik açığı oluşturabileceğini belirtti. FBI yöneticisi James B. Comey de yaptığı açıklamada hükümetin, güvenlik birimlerine ve mahkemelere böyle bir yetkiyi açıkça tanıyan bir teklifi kanunlaştırmayacağını düşündüklerini açıkladı.

İLGİLİ HABER >> MICROSOFT KAYNAK KODLARINI AVRUPA’YA AÇTI

Verilere firmalar üzerinden ulaşım sağlanamaması FBI ve NSA’in hoşnut kalmayacağı bir durum. Ancak güvenlik ve istihbarat teşkilatlarının kuvvetli suç şüphesi taşıyan kişilere karşı elinin kolunun bağlı kalması, bu kişilere ait cihazlardan veri elde edememeleri pek de kabul görecek bir uygulamaya benzemiyor. Bu birimlerin bu hususta hükümet üzerinde baskılarını arttırıp yeni yöntemler ve hukuki düzenlemeler geliştireceğini söylemek mümkün.

Bu yöntemlerden ilk akla gelen, teşkilatların firmalardan çözümlenmesini isteyemediği şifreli verileri kendi hacking yöntemleriyle elde etmeleridir. Aslında Edward Snowden’ın yayınladığı belgelerden de açıkça gördüğümüz üzere, NSA bu yöntemi uzun bir süre uygulamış ve Facebook, Google, Apple gibi büyük şirketlere ait şifrelemeleri kırarak kullanıcılara ait bilgilere erişebilmiştir. NSA’in tarafından gerçekleştirilen bu faaliyetler mahkeme kararı olmadan gerçekleştirildiği için skandal olarak adlandırılmıştı. “Hukuka uygun hacking” dediğimiz yöntemde ise, güvenlik birimleri tıpkı telefon dinlemelerinde olduğu gibi ancak mahkeme kararıyla bu işlemi yapabilmektedirler. Ancak şirketler üzerinden veri elde edilemediği durumlarda, istihbarat birimleri zaten yapabilme kapasitesine sahip oldukları hukuka uygun hacking faaliyetlerini arttıracak ve bu durum veri güvenliği açısından daha büyük endişelere sebebiyet verecektir. Kendi hacking kapasitelerini arttırma yoluna gidecekler ve mahkemelerden aldıkları arama kararlarıyla Apple gibi firmalara ihtiyaç duymadan şifrelenmiş verilere ulaşabileceklerdir.

İLGİLİ HABER >> FRANSA FİBER OPTİK ÜZERİNDEN 40 ÜLKEYİ DİNLEDİ

Zaten meşruiyeti ve sınırları tartışılan bu hacking yöntemleri, bu durumda mevcut sıkıntıları daha da arttıracaktır. Öncelikle şunu belirtmek gerekir ki, şuan Apple’ın da dahil olduğu bazı şirketler yıllık olarak şeffaflık raporları yayınlamaktadırlar. Bu raporlarda, mahkemelerin firmalara gönderdiği veri talepleri yer almaktadır. Eğer güvenlik teşkilatları hukuka uygun hacking yöntemlerine başvurur ise, bu yöntemle elde edilen veriler bu yayınlanan raporlarda yer almayacaktır ve hacking gölge faaliyet olarak devam edecektir.

Ayrıca bu yöntem klasik hukuk uygulamalarına nazaran kötüye kullanılmaya daha müsaittir. Her ne kadar bu işlemler yine bir mahkeme kararıyla kanunun çizdiği çerçevede yapılmaya çalışılsa da bunun dışarıdan denetimi pek de mümkün olmayacaktır. Çünkü bu durumdan ne şüphelinin ne de kullandığı cihazın firmasının bu hacklemeden haberi olacaktır. Örnek verecek olursak, eski durumda mahkeme Apple’dan bir şifreli verinin çözümlenerek mahkemeye ibrazını istediğinde Apple avukatları talebi veri gizliliği açısından değerlendirecek ve gerekirse itiraz edebilecektir. Ancak birimlerin doğrudan hacking yöntemine başvurması halinde böyle bir durumdan tarafların haberi olmayacağı için herhangi bir itiraz mekanizması harekete geçmeyecektir. Böylece güvenlik birimleri uzaktan takip yöntemleri dahil her türlü hacking metoduna başvurabilecektir.

İLGİLİ YAZI>> ABD CYCON’DA: DÜNYAYI DİNLİYORUM GÖZLERİM KAPALI

Bu hassas tartışma konusu bir müddet devam edeceğe benziyor. İlk bakışta, Apple’ın yeni şifreleme yöntemi, kullanıcılara kişisel verilerinin gizliliği hususunda bir güven verse de, güvenlik birimlerinin Apple’dan elde edemeyeceği verileri kendi hacking yöntemleriyle elde edebilme ihtimali tedirginlikyaratmaktadır. Kişiler, bir yandan verilerinin gizli kalmasını talep etse de, diğer yandan güvenlik birimleri de kuvvetli suç şüphesi durumlarında bu verilere erişmek istemektedirler. Yapılacak bir kanunla bu konu ayrıntılı olarak düzenlenmeli ve bu iki denge unsuru göz önünde bulundurulmalıdır. Güvenlik birimlerinin bu yöntemlere başvurmaları zorlaştırılmalı, gereken durumlarda uygulanması halinde ise şeffaflık ve denetlenebilirlik gibi hususlar dikkate alınmalıdır.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]
Makale & Analiz

Microsoft – ABD – İrlanda üçgeninde veri mahremiyeti davası

Yorum yapın

Microsoft ve ABD hükümeti arasında uzun zamandan bu yana bir hukuk mücadelesi yaşanıyor. Eylül ayında New York Eyaleti Temyiz Mahkemesi’nde görülmeye başlayan dava Microsoft’un ABD hükümetine karşı verdiği savaşın son basamağını oluşturuyor. Dava sonunda verilecek karar yalnızca Microsoft’u değil dünya üzerinde hizmet veren çok sayıda şirketi etkileyecek ve hatta ülkelerin sınırları içerisindeki egemenliği konusunu tartışmaya açacağa benziyor.

Bu kritik davanın başlangıç noktasını, ilk dereceli Eyalet Mahkemesi’nin Aralık 2013’te Microsoft’a gönderdiği bir arama emri oluşturuyor. FBI’ın talebi doğrultusunda uyuşturucu ticaretini konu alan bir soruşturma yürüten Mahkeme, soruşturmanın derinleştirilmesi için şüphelilerden birinin outlook.com bünyesinde gerçekleştirdiği e-mailleşmelerin Microsoft tarafından mahkemeye ibraz edilmesi istedi.

İLGİLİ YAZI >> HACKING TEAM WASSENAAR DÜZENLEMESİNİ ETKİLER Mİ?

Elektronik iletişim verilerinin soruşturma aşamasında mahkemelerce talep edilmesi aslında günümüzde çokça rastlanan bir durum. Hatta bir çok ülke kanununa göre, şirketler telefon görüşmelerinden e-mailleşmelere kadar her türlü iletişim bilgisini belli şartları taşımak kaydıyla mahkemelere sunmak zorunda. Ancak söz konusu davada Microsoft’tan talep edilen standart bir mahkeme emrinden farklıdır. Çünkü olayımızda, şüpheliye ait veriler ABD mahkemelerinin yargılama yetkisinin olduğu kendi topraklarında değil, Microsoft’un İrlanda’daki veri depolarında tutulmaktadır.

İlk akla gelen soru, verilerin ABD topraklarında değil de başka bir ülkede depolanıyor olmasının neyi değiştirdiğidir. Hukukun en temel ilkesinden biri olan yargılama yetkisi (jurisdiction) gereğince, ülke mahkemeleri bu yetkisini ancak kendi egemenliği altındaki sınırlar içerisinde (territorial jurisdiction) kullanabilir. Örnek verecek olursak, bir Türk Mahkemesi Rusya’da ikamet eden bir kişiye karşı (Türk vatandaşı olsa dahi) yürüttüğü soruşturmada, şüpheliye ait bilgilerin (delillerin) mahkemeye sunulması yada şüphelinin evinde arama yapılması gibi talepleri Rusya’daki ilgili makamlara iletmesi ve adli destek alması gerekmektedir. Bu süreçte, Rusya makamları söz konusu talebin kendi iç hukuklarına uygunluğunu denetleyecektir. Olayımızda da ABD mahkemesi bu prosedürleri uygulamadan, İrlanda devleti egemenliği kapsamında bulunan bir verinin  direkt olarak ibraz edilmesini emretmektedir.

İLGİLİ HABER >> MICROSOFT KAYNAK KODLARINI AVRUPA’YA AÇTI

Microsoft mahkemeye sunduğu itirazda, emrin dayanağı olan Elektronik İletişimin Gizliliği Hakkındaki Kanun’a göre verilerin ibrazını emreden bu talebin ABD sınırları dışındaki verileri kapsayamayacağını, yalnızca iç hukukta etki doğuracağını ifade etmiştir. Microsoft’a göre bu verilerin mahkemeye sunulması ancak ABD ve İrlanda arasında yapılan Adli Yardımlaşma Antlaşması (Mutual Legal Assistance Agreement) çerçevesinde mümkün olacaktır. Aksi halde ABD, İrlanda’nın toprakları üzerindeki egemenlik hakkını ihlal ederek uluslararası hukuku çiğnemiş olacaktır. ABD hükümeti ise, Microsoft’un kişiler bakımından yargı yetkisi (personal jurisdiction) kapsamında yer aldığını vurgulamıştır. Bu açıdan, şirketin fiili hakimiyetinde olan bir verinin yabancı ülke topraklarında bulunsa dahi ABD’nin yargılama yetkisi kapsamında değerlendirilmesi gerektiği belirtilmiştir. Bu şekilde, mahkemenin bu verileri doğrudan Microsoft’tan talep edebileceği iddia edilmiştir. Mahkeme ise Microsoft’un argümanları reddederek, Amerikan şirketlerinin ellerinde bulunan bu verilerin, verilerin nerede bulunduğuna bakılmaksızın, Mahkemeye sunulması gerektiğine hükmetti. Sonuç olarak, Mahkeme Microsoft’un veri üzerinde kontrol ve hakimiyetinin bulunmasını yeterli saymış oldu. Ancak bu karar Microsoft tarafından temyiz edilmiştir ve verilecek nihai karar önümüzdeki aylarda kesinleşecektir.

Edward Snowden geçtiğimiz yıllarda, NSA’in Microsoft, Google, Apple ve Facebook’un gibi şirketlerin bünyesindeki kullanıcı verilerini gözetlediğine dair bilgileri sızdırmıştı. Wikileaks skandalı çok sayıda şirketi veri güvenliği ve gizliliği noktasında adımlar atmaya yönlendirdi. Ayrıca, “Cloud Computing” sistemlerinin bu kadar yaygınlaştığı günümüzde kullanıcılar kişisel verilerinin gizli kalması noktasında çok daha hassaslar ve şirketlerden bu noktada gerekli tüm tedbirleri almalarını beklemektedir. Microsoft’un 2013’ün sonlarında başlayan bu mücadelesi ve aralarında Apple, AT&T, Cisco ve Verizon’un da bulunduğu 94 şirketin bu davaya kısmen de olsa müdahil olması şirketlerin veri gizliliği noktasındaki hassasiyetlerinin en önemli göstergesidir.

İLGİLİ HABER >> ADALET DİVANI KARARI AB – ABD ANLAŞMASINI İPTAL ETTİ

Her ne kadar kullanıcılar elektronik verilerin de fiziki veriler gibi değerlendirilmesi gerektiği noktasında diretse de yaşanan gelişmeler kaygıları daha da arttırmaktadır. Örneğin İngiltere Temmuz 2014’te çıkardığı bir kanunla, şirketlere yabancı ülkelerde depoladıkları verileri dahi gerektiğinde mahkemelere sunma zorunluluğu getirdi. Eğer Microsoft hakkında verilen karar da temyiz mahkemesince bozulmaz ise kullanıcıların ABD şirketlerine karşı olan güveni iyice sarsılmış olacak ve verilerin gizliliği noktasında endişeler artacaktır. Diğer yandan, çok muhtemelen ABD dışındaki ülkeler de bu duruma misilleme olarak kendi ülkelerinde kurulu ancak verilerini ABD topraklarında depolayan şirketlerin elektronik verilerine doğrudan ulaşılması noktasında mahkemelerine yetki tanıyacaktır. Örnek olarak, Türk mahkemeleri Microsoft Türkiye’den veriler nerede depolanırsa depolansın kendisine sunulmasını isteyebilecektir. Ancak her ülkenin veri gizliliğini düzenleyen kanun hükümlerinin farklı olduğu göz önünde bulundurulduğunda Microsoft Türkiye’nin bu verileri ibraz etmesi, verilerin bulunduğu ülkenin hukukunu ihlal edebilecektir. Özellikle AB ülkelerinde bulunan veri gizliliği üst düzeyde garanti altına alan hukuki normlar ile arama emri gönderen ülke hukuku bir çatışma içerisine girebilecektir.

Genel kanaate göre, çözüm için gerek kullanıcıların veri gizliliği gerek uluslararası hukuk kapsamında ülkelerin egemenliği göz önünde bulundurulduğunda, elektronik verilerin de fiziksel veriler gibi değerlendirilmesi ve bu verilerin yabancı ülke mahkemelerine sunulmasının ancak ülkeler arasındaki Adli Yardımlaşma Antlaşmaları (Uluslararası İstinabe) kapsamında gerçekleşmesi gerekmektedir. Ancak çok yavaş işleyen adli yardımlaşma prosedürlerinin elektronik bir sistem kurularak hızlandırılması uygulanabilirliği arttıracaktır.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]
Makale & Analiz

HackingTeam skandalı Wassenaar düzenlemesini etkiler mi?

Yorum yapın

Dünyadaki güvenlik ve istihbarat birimlerine casus yazılımlar satan Milano merkezli Hacking Team’in uğradığı siber saldırı, şirketin çok sayıda hükümetle olan ticari ilişkilerini ortaya çıkardı. Temmuz ayının başlarında gerçekleşen olay sonucu, firmanın hedef bilgisayarlara sızmak için kullandığı yazılım kodlarının yanı sıra müşterilerle yapılan yazışma ve faturalar da gün yüzüne çıktı. Müşterilerin arasında Libya ve Sudan gibi insan hakları noktasında son derece geri kalmış baskıcı rejimlerin bulunması aslında bir kaç senedir süren tepkilerin haklılığını ortaya çıkarmış oldu. Diğer dikkat çeken husus ise saldırıdan bir kaç ay önce ABD’nin, Wassenaar Düzenlemesi’nin kapsamını genişleterek bu tarz casus yazılımların ihracatının kontrol altına alınması hakkında Viyana’da her yıl toplanan Wassenaar’ın karar alma mekanizmasına verdiği teklifti.

2006 senesinde kurulan Hacking Team’in, onlarca ülkede bulunan müşterilerine “uzaktan kontrol sağlayan takip sistemleri” (Remote Control System) üretip sattığı bilinen bir gerçek. Bu yazılımlar sayesinde, kontrol altına alınan bilgisayar ve akıllı telefonlardan harddisk bilgileri, e-mailler, kullanıcı şifreleri ve Skype görüşmeleri gibi kişisel veriler ele geçirilebiliyor. Bununla birlikte cihazın kamerası ve mikrofonu kullanılarak hedef şahıslara ait ses ve görüntüler kaydedilebiliyor.

Terör başta olmak üzere, ülkelerin ulusal güvenliklerine tehdit oluşturan unsurların takip edilmesi ve suçun engellenmesi adına gereksinim duyulan bu sistemlerin baskıcı rejimlerin elinde ciddi insan hakkı ihlallerine sebebiyet vereceği endişesi zamanla gündeme gelmeye başladı. 2014 yılında Citizen Lab’ın yayınladığı raporda, satılan casus yazılımların baskıcı hükümetlerce politik amaçlarla muhalefet liderlerine ve yayın organlarına karşı kullanıldığı iddia edildi. Gerçekten de yapılan bazı bilişim analizleri sonucunda Sudan, Etiyopya, Birleşik Arap Emirliği ve Fas hükümetlerinin Hacking Team’den temin ettikleri yazılımlarla muhalif gazeteci ve insan hakları aktivistlerini hedef aldıkları tespit edildi. Ancak firma ısrarla bu iddiaları reddetti ve AB, BM ve NATO gibi kuruluşlarca baskıcı olarak nitelendirilen kara liste ülkelerle ticari ilişkilerden sakındıklarını vurguladı. Tartışmaların akabinde, Temmuz ayında ifşa olan 415 GB büyüklüğündeki arşiv firmaya karşı dile getirilen iddiaların gerçekliğini gözler önüne sermiş oldu.

İLGİLİ HABER >> HACKING TEAM EMNİYETE CASUS YAZILIM SATMIŞ

Hacking Team benzeri özel şirketlerin ürettiği bu yazılımların ülkelerin istihbarat ve güvenlik birimlerine satışını engelleyen uluslararası bir hukuk normunun olmayışı özellikle insan hakları örgütlerince çokça dile getirilen bir husus olmuştur. Gerçekten de yaklaşık 5 milyar dolarlık yıllık ticaret hacmine sahip olan takip sistemleri pazarı her yıl %20 oranında büyümekte ve bu durum özel hayatın gizliliği ve kişisel verilerin korunması noktasında tedirginliklere yol açmaktadır. Bu doğrultuda atılan en ciddi adım ise Wassenaar Düzenlemesi’nde 2013 yılında yapılan değişik olmuştur.

Wassenaar Düzenlemesi, asıl adıyla “Konvansiyonel Silahlar ve Çift Kullanımlı Mallar ve Teknolojiler İhracatlarının Kontrolüne Dair Wassenaar Düzenlemesi”, soğuk savaş döneminde kurulan Çok Taraflı Silah İhracat Koordinasyon Komitesi (COCOM)’nin devamı niteliğinde ortaya çıkan bir silah kontrol mekanizmasıdır. Türkiye, Rusya ve ABD de dahil olmak üzere 41 ülkenin taraf olduğu bu Düzenleme kapsamında devamlı olarak güncellenen bir teknolojik ürün ve silah listesi yayınlanmaktadır. Taraf ülkeler listedeki ürünlerin ihracatının kısıtlanması veya kontrol altına alınmasına yönelik olarak iç hukuklarında çıkardıkları yönetmelik ve tebliğlerle etkinlik sağlamaktadır. Bu Düzenleme uluslararası sözleşme (treaty) niteliğini haiz olmadığı için taraf devletler açısından uluslararası bir bağlayıcılığı bulunmasa da iç hukuk mekanizmaları bu ürünlerin ihracatını kontrol altına almaktadır. Örneğin ülkemizde bu ürünlerin ihracatı için lisans alınması gerekmektedir. İhracatçı firmaların başvurusu üzerine, İstanbul Maden ve Metaller İhracatçı Birliği Genel Sekreterliği’nce bir değerlendirme yapılmakta ve nihai karar Dış Ticaret Müsteşarlığı’nca verilmektedir. Teknolojik inceleme açısından uzmanlık gerektiren bu lisanslama sürecinin ülkemizde ehil kurumlarca yapılmaması, kontrol mekanizmasının etkin bir şekilde işletilememesine sebebiyet vermektedir.

İLGİLİ YAZI >> KURAN’I CASUSLUĞA ALET EDEN ŞİRKET

Asıl meselemize dönecek olursak, 2013 yılında Wassenaar Düzenlemesi’ne siber güvenlikle ilgili bazı yazılımların (“intrusion software” ve “IP network surveillance systems”) ihracatının lisansa bağlanması noktasında bir ekleme yapıldı. Ancak asıl dikkat çeken teklif,  Mayıs ayında ABD’den geldi.  Teklife göre, 2013’teki liste, çok daha kapsamlı olacak şekilde genişletilecek ve yazılımlar konusunda çok ciddi bir ihracat kontrolü söz konusu olacak. Aslında 2013’teki değişiklik her ne kadar “saldırı yazılımları” tanımını geniş tutsa da getirilen istisnalar kontrol mekanizmasının kısıtlı bir seviyede kalmasını sağlıyor.Son verilen teklif ise, bu istisnaları kaldırmakla beraber güvenlik araştırmaları ve penetrasyon testlerinde kullanılan araç ve yazılımların ihracatına lisans zorunluluğu getiriyor.Bu durumda, siber saldırılara karşı sistem açıklarınıtespit etmeye yarayan teknolojiler için lisans zorunlu hale gelecek  ve hatta bulunan açıkların paylaşılması yasaklanmış olacak.

HAFTALIK HABER BÜLTENİNE ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”3″]

 

Teklif, başta Google olmak üzere birçok yazılım üreticisinden ciddi eleştiriler aldı. Kuralların çok geniş kapsamlı olmakla beraber muğlâk ifadeler içermesinin söz konusu yazılım teknolojilerine ait bilgilerin küresel düzeyde paylaşılmasını kısıtlayacağı ifade edildi. Google Chrome Güvenlik Ekibi’nden Tim Willis yaptığı açıklamada, teklifin kabulünün güvenlik açıklarını bulmak adına yapılan Ar-Ge çalışmalarında caydırıcılığa sebep olacağı ve araştırmaları sekteye uğratacağını vurguladı. Yazılım güvenliği uzmanı Jonathan A. Zdziarski ise, bu kadar kapsamlı bir kısıtlamanın ürünlerin hukuksuz olarak kullanılmasını engellemekten çok güvenlik amaçlı yapılan araştırmaları yavaşlatacağını ve internet güvenliğinde çok ciddi açıklara sebebiyet vereceğini belirtti. Yoğun tepkiler üzerine Temmuz ayı sonunda açıklama yapan ABD Ticaret Bakanlığı sözcüsü, yapılan yorumları göz önünde bulundurarak teklifi tekrar gözden geçireceklerini ifade etti.

Özetle, Hacking Team’in uğradığı saldırı uzaktan kontrol sağlayan takip sistemlerinin ne kadar yaygın olarak kullanıldığını gözler önüne serdi. Özellikle, 3. Dünya ülkesi olarak sınıflandırabileceğimiz ülkelerin bu ürünleri hukuki çerçeve dışında bir saldırı mekanizması olarak kullanabileceği görülmüş oldu. Bu doğrultuda, 2013’te Wassenaar Düzenlemesi’ndeki değişiklik ile ortaya konulan siber güvenlik ürünlerine ihracat kontrolü bu konudaki ilk ciddi adım olmuştu. Ancak geçtiğimiz aylarda Hacking Team gibi şirketlerin ürettiği casus yazılımların da ihracatını kısıtlayacak yeni kuralların getirilmesi internet güvenliği uzmanlarınca ciddi tepkilere sebep oldu ve teklif konusunda geri adım atıldı.

Suçla mücadele açısından zaruri görülen takip sistemlerinin insan hakkı ihlallerine sebebiyet verecek saldırı araçlarına dönüşebildiği görülmekle beraber, bu yazılımların ihracatında gidilecek bir kısıtlamanın da durumu kontrol altına almaktan çok güvenlik konusundaki Ar-Ge çalışmalarını yavaşlatabileceği tartışmaları daha uzun yıllar devam edeceğe benziyor.