Uç Nokta Güvenliği , Standartlar, Yönetmelikler ve Uyumluluk
Taslak Öneriler Sıfır Gün Ticaretinin ve Devlet Stoklamasının Yasaklanması Çağrısı
Akşaya Asokan (asokan_akshaya) •
24 Ocak 2023
Üye ülkelerin mobil cihazlarda gözetleme uygulamalarını kullanmasını soruşturan Avrupa Parlamentosu komitesi, gelişmiş casus yazılımların satışı ve kullanımına derhal bir moratoryum çağrısında bulunan bir dizi taslak tavsiyede, sıfır günlük istismarların ticari alım satımının yasaklanmasını önerdi.
Ayrıca bakınız: Veri Kaybını Önleme (DLP) Yeniden Tanımlanıyor
Pega Komitesi, Polonya, Yunanistan, Macaristan ve İspanya’daki yetkililerin bunu siyasi muhaliflere ve sivil topluma karşı kullandığına dair raporların ortaya çıkmasının ardından geçen Mart ayında kıtada gelişmiş casus yazılım kullanımını araştırmaya başladı. Gelişmiş casus yazılımların Yunan gizli servisleri tarafından politikacılara, gazetecilere ve şirket yöneticilerine karşı kullanılması, “Yunan Watergate” adı verilen ulusal bir skandala dönüştü.
Komite Çarşamba günü, komite raportörü ve Hollandalı temsilci Sophie in ‘t Veld’in Avrupalı liderlerin gelişmiş casus yazılımlar kullanan ulusal hükümetler tarafından gerçekleştirilen insan hakları ihlallerine ilişkin kanıtları gelişmiş casus yazılımlarla boğuşmaktansa gömmeyi tercih ettikleri yönündeki iddialarının yinelendiği bir toplantıda tavsiyeleri değerlendirmek üzere Çarşamba günü toplandı. sonuçlar (bkz: Gelişmiş Casus Yazılımların Yayılmasında AB’nin Suç Ortağı, Veld Suçlamaları).
Veld, “Üye ülkeler, Konsey ve Avrupa Komisyonu tarafından tamamen engelleniyoruz.” dedi. Casus yazılımların Avrupa ülkeleri tarafından kötüye kullanılması, “demokrasiye içeriden dijital bir saldırı” anlamına geliyor. Komite tavsiyeleri bu baharda tamamlamayı umuyor.
Otoriter rejimler de dahil olmak üzere dünyanın dört bir yanındaki hükümetler, gerçek veya algılanan siyasi muhalifleri gözetlemek için NSO Group’un Pegasus’u gibi casus yazılımları dağıtırken yakalandı. Casus yazılım endüstrisi savunucuları, mobil cihazlara sızma yeteneğinin suçluları yakalamada ve terörü durdurmada etkili olduğunu söylüyor.
Başlangıçta yalnızca bir avuç şirket, Android cihazlara ve iPhone’lara telefon görüşmelerini kaydedebilen ve kurbanların konumunu takip edebilen casus yazılımları bulaştırmak için mobil işletim sistemlerindeki güvenlik açıklarından yararlanacak teknik bilgiye sahipti. Artık bu sayı üç düzineye yaklaştı ve casus yazılım ile mali amaçlı kötü amaçlı yazılım arasındaki çizgi bulanıklaşıyor. Yunan skandalının merkezinde yer alan Predator casus yazılımı, Cytrok adlı daha önce belirsiz bir Kuzey Makedonya şirketinden geliyor.
Gelişmiş casus yazılımların sızma yeteneklerinin temel nedeni, sıfır gün – saldırganların güvenlik korumalarını atlamak için istismar ettiği iOS veya Android işletim sistemlerindeki yamalanmamış kusurlardır. Yeni sıfır gün keşifleri, güvenlik açığı aracılarının gri pazarında milyonlarca değerinde anlaşma sağlayabilir. Hükümetler bunları kendi amaçları için biriktirebilir.
Ekim ayında yapılan bir komite duruşması, güvenlik açıklarının casus yazılımların yayılmasındaki rolüne dikkat çekti ve Google yöneticisi Shane Huntley’nin güvenlik açıklarının birikmesini kınayan ifadesini içeriyordu (bkz:: Zero-Day Hoarding, Gelişmiş casus yazılımlara yardımcı oluyor, PEGA Komitesi Anlattı).
Taslak tavsiyeler, ifşanın faydalarını sıfır günlük sömürünün elde ettiği bilgisayar korsanlığı kazançlarına karşı ağırlıklandıran bir hisse senedi süreçleri tarafından yönetilen sınırlı durumlar dışında, kamu makamlarının güvenlik açıklarını kontrol etme yeteneğinin yasaklanmasını gerektiriyor. Tavsiyeler ayrıca, güvenlik açıklarının ticari ticaretinin yasaklanmasını ve sıfır günü ifşa eden güvenlik araştırmalarının cezai veya cezai sorumluluk endişelerinin hafifletilmesini de gerektiriyor.
Veld ayrıca, casus yazılımların edinilmesi ve kullanılmasına Avrupa çapında bir durdurmanın derhal yürürlüğe girmesi gerektiğini de önerdi. Yetkili makamlar casus yazılım kullanımına ilişkin Avrupa standartlarına uygun bir yasal çerçeve gösterebildikleri sürece, ülke bazında kaldırılabilir. Hükümetler ayrıca casus yazılım kötüye kullanımı suçlamalarını da araştırmalı ve “gecikmeden çözüme kavuşturmalıdır”.
Komite ayrıca taslağın, Polonya, Macaristan, Yunanistan ve İspanya’nın özellikle casus yazılım kötüye kullanımına karşı koruma önlemlerini güçlendirmesi ve devam eden soruşturmaları çözmesi yönündeki tavsiyelerini de dikkate alması gerekecek. Taslakta, ülkenin casus yazılımlar için verilen ihracat lisanslarını değerlendirmesini ve potansiyel olarak feshetmesini öneren Kıbrıs’ın gözetim endüstrisi için bir ihracat merkezi statüsüyle mücadele etmek için adımlar atması da gerekiyor.