Makale & Analiz

Etik hackerların güvenlik açığını tespit ettikleri kurumun adını açıklamaları hukuka aykırı mı?  

Etik hackerların güvenlik açığını tespit ettikleri kurumun adını açıklamaları hukuka aykırı mı?  Geçtiğimiz günlerde Türkiye’deki güvenlik araştırmacılarından Utku Şen’in bir hastane zincirinin güvenlik açığını tespit etmesi ve sonrasında hastane zinciri ile arasında geçen görüşmeler sonucu yazdığı makalede şirket ismi vermekten imtina etmesi ile ilgili haberi okuduk.  

Hatırlayacak olursak; Utku Şen, güvenlik açığını hastaneye rapor edip düzeltilmesini sağladıktan sonra konu ile ilgili makale yazmak istiyor; hastane buna rızası olmadığını, dolayısıyla unvanını makalelerde kullanamayacağını belirtiyor; Utku Şen de hukuki yaptırım tehdidi karşısında çalışmasını istediği gibi yayımlayamıyor.  

Hastaneden bug-bounty yerine komik teklif : Zafiyeti bulana ücretsiz check-up önerildi

Bu olayda, hastane zincirinin Utku Şen’e dişe dokunur bir ödül de önermediğini göz önüne alırsak, bir etik hacker’ın etik kalması için nereden motivasyon bulacağını merak edebilirsiniz. Etik hacker’ların bu gibi durumlarla sıkça karşılaşabileceğini düşünerek Utku Şen’in güvenlik zafiyetini tespit ettiği hastanenin unvanını kullanarak bir makale yayınlamasının hukuken bir sakıncası olup olmadığını değerlendirmenin faydalı olabileceğine inanıyorum. Bu değerlendirme, benzer bir yaklaşımla karşılaşabilecek diğer etik hacker’lara da yol gösterecektir.  

Ticaret unvanı (hastane zinciri olan şirketin adı), tüzel kişilerin varsayımsal “kişiliğinin” bir parçası olarak kabul edilir. Hukuken, aynı gerçek kişiler (insanlar) gibi tüzel kişilerin de kişilik hakkı koruma altındadır. Bu koruma uyarınca bir şirket, unvanını kullanarak kişiliğini, saygınlığını, onurunu zedeleyecek fiiller gerçekleştirenlere karşı manevi tazminat davası açabilir.  

Tüzel kişilerin kişilikleri yanında ticari rekabet alanları da koruma altındadır. Öyle ki bir şirketi veya hizmetlerini, faaliyetlerini, işlerini yanlış, yanıltıcı veya gereksiz yere incitici açıklamalarla kötülemek rekabeti bozucu bir fiil olarak kabul edilir. Şirket buna karşı tespit, rekabeti bozucu davranışın durdurulması, düzeltici beyanat verilmesi, uğradığı zararın tazmini gibi yollara başvurabilir.  

Şirketin sahip olduğu yukarıdaki korumaları okuyunca etik hacker’ların güvenlik zafiyetini tespit ettikleri şirketler karşısında çok zayıf bir ele sahip olduklarını düşünebilirsiniz. Ancak hukuk düzeni yukarıda bahsettiğimiz korumalar karşısında “ifade özgürlüğü”, “düşünceyi açıklama ve yayma hürriyeti”, “haber alma ve haber verme hürriyeti” gibi çok güçlü temel hak ve özgürlükleri ve “kamu yararını” üstün tutmaktadır.   

Akbank skandalının perde arkası: Krizin nedeni deneyimli personelin işten çıkarılması mı? 

TEMEL HAK ve ÖZGÜRLÜKLER ile KAMU YARARI ÖNCELİKLİDİR 

Bir şirketin unvanının makale ve haberlerde kullanılması ifade özgürlüğü ve düşünceyi yayma özgürlüğü kapsamında, o şirketin kişilik hakları ve rekabet alanı ihlal edilmedikçe hukuka uygundur. Eğer şirket unvanı kullanılarak yapılan açıklama veya yayım şirketin kişiliğine ve/veya rekabet kabiliyetine zarar veriyorsa, bahsi geçen açıklama ve yayımın hukuka aykırılığı gündeme gelir. Ancak bu açıklama veya yayım üstün nitelikte bir kamu yararına hizmet ediyorsa şirketin kişilik hakları ve rekabet alanı zedelense dahi hukuka aykırılık oluşmaz. Yani şirketin “kişiliğinin”, saygınlığının, ticari itibarının zedelenmesi, sektörde prestij kaybı yaşaması, güvenlik zafiyetine ilişkin bilgilerin açığa çıkması üstün nitelikteki kamu yararı karşısında mazur görülür. Şirketin rekabet alanının korunması açısından ise; bir şirket ile ilgili (şirket aleyhine de olsa) doğru bilgiler kullanılarak yapılan açıklama ve yayımlar, ölçülü bir dil kullanıldığı sürece haksız rekabet teşkil etmez. 

On binlerce hastası olan ve hassas nitelikte kişisel verileri saklayan hastane zincirinin bu verileri doğru şekilde muhafaza edemiyor oluşu kamusal anlamda ciddi bir tehlike yaratır. Bu riske karşı hastanenin bilgilendirilmesi ve güvenlik açığının bertaraf edilmesinin hem kamu hem de hastane yararına olduğu şüphe götürmez.  Ancak konunun kamuya açık şekilde internetten paylaşılmasının da bir o kadar kamu yararına olduğu kabul edilmelidir. Öyle ki; yapılan paylaşım ile hastanede kişisel verisi olan kişilere bunların sızmış olması riskine karşı önlem alma imkanı verilebilir. Kişisel Verileri Koruma Kurulu’nun, ki tam da bu gibi ihlalleri incelemek, gerektiğinde ceza vermek ve ihlalin tekrarını önlemek için kurulmuş, kamu adına ve kamu yararına çalışan bir kurumdur, yapılan açıklama ile konudan haberdar olması sağlanabilir. Ayrıca hastane zincirinin müstakbel hastalarına da haklı olarak o hastane zincirini tercih etmeme imkanı tanınmış olabilir. Hatta benzer sistemleri kullanan, dolayısıyla güvenlik açıkları bulunan hastanelerin de harekete geçerek kendi açıklarını düzeltmesi sağlanmış olabilir (burada etik hacker’ların kötü niyetli kişilerin hızlı davranarak benzer sistemleri kullanan kurumların güvenlik zafiyetini istismar etmesini önlemek için mümkün olduğunca temkinli davranmaları gerekir). Bunların tümü kanımca yapılacak yayının kamunun yararına olan sonuçları olarak kabul edilmelidir. Yayımın içerdiği zafiyet tespiti ve ilgili verilerin doğru bilgiye dayandığı da varsayıldığında, haksız rekabet durumu da oluşmayacaktır. 

HER ZAMAN BELİRLİ SINIRLAMALARA UYGUN AÇIKLAMA YAPILMALIDIR 

Ancak belirtmek gerekir ki ifade özgürlüğü, düşünceyi yayma özgürlüğü, haber alma ve haber verme özgürlüğünün ve kamu yararı gözeten açıklama ve yayımların da bazı sınırları vardır. Burada yüksek mahkeme kararlarında öne çıkan ve etik hacker’ların dikkat etmesi gereken konular; makaledeki verilerin gerçeğe uygun olması, konunun güncel ve toplumsal ilgi uyandırabilecek bir konu olması ve üslup olarak ölçülü şekilde (gereksiz sert ve incitici ifadeler kullanılmaksızın) aktarılmasıdır. Şirketin, bu kriterlere uygun olarak verilen bilgilerden ve bu bilgilerin yorumlanmasından rencide olması, müşteri (olayımızda hasta) kaybetmesi, maddi ve manevi zarara uğraması, ifade özgürlüğü, düşünceyi yayma özgürlüğü ve üstün nitelikteki kamu yararı karşısında hukuk aleminde koruma bulmaz.  

İnsülin cihazı hacklenebilir mi?: ABD’li firma ürünlerini geri topladı

Yukarıda özetlediğimiz esasları Utku Şen’in olayına uyarlayacak olursak; hastanenin Şen’in makale yayınlamasına baştan engel olması hukuken mümkün olmamalıdır kanısındayım. Şen kişisel çalışmaları sonucunda tespit ettiği açıkları hastane zincirinin unvanını da vererek yukarıdaki kriterlere uygun bir makalede yazabilir ve bunu kişisel bloğunda yayımlayabilirdi. Makalesinde tespit ettiği zafiyeti gerçeğe uygun şekilde aktardığı, agresif ve saldırgan bir dil kullanmadığı, etik anlamda öncesinde hastaneye zafiyeti gidermesi için makul süre verdiği sürece hukuka aykırılık oluşmayacaktı. Bu faaliyet aynı bir yatırım analistinin borsaya kote bir şirketi değerlendiren olumsuz bir rapor yayınlaması, bir futbol yorumcusunun bir spor kulübünün futbol takımının kadrosu hakkında menfi ifadelerle açıklamalar yapması gibi değerlendirilirdi. Bunun üzerine olası hukuka aykırılık iddiaları da (makale yukarıdaki kriterlere uygun olduğu sürece) “ifade özgürlüğü”, “düşünceyi açıklama ve yayma hürriyeti”, “haber alma ve haber verme hürriyeti”, “kamu yararını” kavramları koruması ile karşılaşırdı. Etik hacker’ların da “karanlık tarafı” seçmemeleri için tutunacak bir dalları daha olurdu… 

Fidye yazılım saldırısına uğrayan kahve makinesi, evet, doğru okudunuz! 

Hiçbir haberi kaçırmayın!

E-Bültenimiz ile gelişmelerden haberdar olun!

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Başa dön tuşu
%d blogcu bunu beğendi: