Uç Nokta Güvenliği, Yönetişim ve Risk Yönetimi, Devlet
Ülkeler Ticari Casus Yazılımların Sorumlu Kullanımına İlişkin Uluslararası Yönergeler Arıyor
Akşaya Asokan (asokan_akshaya), Mihir Bey (MihirBagwe) •
6 Şubat 2024
Amerika Birleşik Devletleri, Birleşik Krallık ve Fransa’nın gelişmiş casus yazılımların yayılmasını sınırlayan uluslararası bir anlaşmaya varmak amacıyla bir zirve toplamasından kısa bir süre önce ticari gözetim endüstrisi üzerindeki baskıyı artırdı.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Almak: CISO’ları Engellemek 5 En Önemli Güvenlik Sorunu
ABD Dışişleri Bakanı Antony Blinken Pazartesi günü, ticari casus yazılımların kötüye kullanılmasına karışan veya gazetecileri, aktivistleri ve muhalifleri gözetlemek için uygulamaları dağıtan hükümetlere casus yazılım sağlayan şirketleri kontrol eden kişiler için giriş vizelerini sınırlayan bir politika duyurdu. Sınırlamalar aynı zamanda çocuklar ve eşler gibi yakın aile üyeleri için de geçerlidir.
Aralarında Amerika Birleşik Devletleri’nin de bulunduğu yaklaşık iki düzine ülke, Salı günü Birleşik Krallık’ta iki günlük bir toplantı için bir araya gelerek Pall Mall Süreci adı verilen ve katılımcıların ticari casus yazılımların sorumlu bir şekilde konuşlandırılmasına yönelik yönergelerle sonuçlanacağını söylediği görüşmeleri başlattı. Katılımcılar arasında Google ve Microsoft gibi şirketler yer alıyor.
Katılımcılar, “Bu araç ve hizmetlerin birçoğu meşru amaçlarla kullanılabilir, ancak siber uzayın istikrarını veya insan haklarını ve temel özgürlükleri tehdit edecek şekilde geliştirilmemeli veya kullanılmamalıdır” dedi. Gelecek yıl Fransa’da tekrar buluşmayı planlıyorlar.
Küresel ticari casus yazılım endüstrisini izleyen Google, bu tür casus yazılımların (bulaşmış akıllı telefonlardaki etkinlikleri kaydeden ve ileten uygulamalar) dünya çapında 40 tedarikçisinin bulunduğunu tahmin ediyor. En son işletim sistemi yamalarına ve güvenlik düzeltmelerine sahip cihazlara bile virüs bulaşabilir (bkz.: Google, Düzinelerce Ticari Casus Yazılım Satıcısını İş Başında Uyardı).
İnsan hakları örgütleri, bazı satıcıların mallarını yalnızca ulusal güvenlik tehditleri ve suçlarla mücadelede kullanılmak üzere sattıkları yönündeki iddialarına rağmen, otoriter eğilimlere sahip hükümetlerin (Polonya ve Macaristan gibi Avrupa ülkeleri de dahil olmak üzere) muhalif grupları gözetlemek için casus yazılım kullandığını uzun süredir vurguluyor.
Yeni vize kısıtlamasını duyururken, Dışişleri Bakanlığı ticari gözetimi “keyfi gözaltılar, zorla kaybetmeler ve en vahim vakalarda yargısız infazlar” ile ilişkilendirdi. Başkan Joe Biden Mart ayında federal hükümetin yabancı hükümetler tarafından muhalifler hakkında casusluk yapmak için kullanılan casus yazılım lisanslarını satın almasını yasaklayan bir idari emir imzaladı ve bazı casus yazılım satıcılarına ihracatı kısıtladı (bkz:: ABD, Gelişmiş Akıllı Telefon Casus Yazılımlarının Hükümet Kullanımını Sınırlıyor).
The Citizen Lab’ın kıdemli araştırmacılarından John Scott-Railton, Biden yönetiminin kararına övgüde bulundu. “Vize yasağı etkili olacak çünkü insanları takip ediyor. Önceki çabalar casus yazılım şirketlerine odaklanmıştı ki bu iyi. Ancak casus yazılım oyuncuları kurumsal kimliklerle paravan oyunlar oynuyor. Artık, bu hafta şirketinizin adı ne olursa olsun, hâlâ yapabilirsiniz’ Disney World’e gitmeyin,” Scott-Railton söz konusu.
Kapalı kapılar ardında düzenlenen Pall Mall Süreci etkinliğinde konuşan İngiltere Başbakan Yardımcısı Oliver Dowden, yapay zekada kaydedilen ilerlemeler nedeniyle siber saldırı araçlarından kaynaklanan tehditlerin daha zorlu hale geldiğini söyledi.
Dowden, “Yapay zeka da dahil olmak üzere teknolojideki hızlı ilerlemeler sayesinde bu silahlar daha ucuz, daha yaygın ve kullanımı daha kolay hale geliyor.” dedi. “Harekete geçmezsek, bu pazar hızla karşı karşıya olduğumuz siber tehditlerin çoğunun itici gücü haline gelecektir.”
Dowden, özel sektör şirketlerinin, ürünlerinin düzenli yamalar almasını sağlayarak ve tedarik zinciri risklerini azaltarak casus yazılım saldırılarını önlemede hayati bir rol oynayabileceğini söyledi.
İngiltere ve Fransa’nın yanı sıra Pall Mall Süreci katılımcıları arasında Kıbrıs Cumhuriyeti, Yunanistan, Japonya, Almanya, Avustralya ve bölgesel bir organ olan Körfez İşbirliği Konseyi de yer alıyor. Özel sektör katılımcıları arasında Apple, BAE Systems ve Eset yer alıyor.