Almanya Federal Adalet Bakanlığı, güvenlik açıklarını tespit eden ve sorumlu bir şekilde rapor eden güvenlik araştırmacılarına yasal koruma sağlamayı amaçlayan bir yasa taslağı yayınladı. Almanya’nın bilgisayar ceza yasasını modernleştirme çabasının bir parçası olan bu yasa, zararlı siber suçlar için daha sert cezalar belirlerken, etik güvenlik araştırmalarının cezai sorumluluktan korunmasını sağlamayı amaçlıyor.
Önerilen yasa, yasal güvenlik araştırma faaliyetleri için net sınırlar çiziyor ve araştırmacıların, eylemlerinin belirlenen yönergelere uygun olması koşuluyla, kovuşturma korkusu olmadan BT güvenlik açıklarını tespit etmelerine ve satıcılara iletmelerine olanak tanıyor. Şu anda, Ceza Kanunu’nun (StGB) 202a Bölümü gibi yasalar, faydalı amaçlara yönelik olsa bile verilere yetkisiz erişimi suç saymakta ve etik bilgisayar korsanlarının güvenlik kusurlarını sorumlu bir şekilde ifşa etmelerini riskli hale getirmektedir.
Yeni taslak kapsamında Bakanlık, 202a maddesinin yanı sıra 202b ve 303a maddelerine, güvenlik araştırmalarının hangi koşullar altında “izinli” sayılacağı ve dolayısıyla cezai yaptırımlardan muaf tutulacağını belirten yeni bir paragraf eklenmesini öneriyor.
Adalet Bakanı: Tanıyın, Cezalandırmayın, Etik Hacking
Almanya Federal Adalet Bakanı Dr. Marco Buschmann, güvenlik araştırmacılarının kamu güvenliğine katkıda bulunabileceği bir ortamın teşvik edilmesinin önemini vurguluyor.
Dr. Buschmann, “BT güvenlik açıklarını kapatmak isteyen herkes takdiri hak eder; savcının mektubunu değil” dedi. Kontrol edilmeyen güvenlik açıklarının sağlık, ulaşım ve enerji gibi kritik sektörler için ciddi tehditler oluşturduğunu vurguladı.
Siber suçlular ve yabancı güçler, hastaneleri felç edebilecek, ulaşımı aksatabilecek veya enerji santrallerini tehlikeye atabilecek BT güvenlik açıklarından yararlanabilir. Bu nedenle güvenlik açıklarının hızlı bir şekilde tespit edilmesi ve düzeltilmesi kamu yararınadır. Bu yasa tasarısı ile bu hayati görevi üstlenen kişilerin cezai sorumluluk riskini ortadan kaldırmayı hedefliyoruz” diye konuştu.
Taslak yasa, güvenlik araştırmacılarını korumaktan fazlasını yapıyor; aynı zamanda ciddi veri casusluğu ve müdahale vakaları için daha katı cezalar uygulamaktadır. Özellikle ciddi casusluk ve veri tahrifatı vakalarının cezalandırılmasına yönelik hükümler getirmektedir. Önerilen revizyonlara göre, yetkisiz erişim (Bölüm 202a) ve verilere müdahale (Bölüm 202b) ile ilgili ciddi suçlar, belirli kriterleri karşılamaları halinde daha katı sonuçlara yol açabilir.
Suç teşkil eden eylemin ciddi mali kayıpla sonuçlanması, açgözlülük veya ticari kazançtan kaynaklanması veya organize bir grup tarafından gerçekleştirilmesi durumunda bu davalar “özellikle ciddi” olarak kabul ediliyor. Kamu hizmetleri veya ulaşım ağları gibi kritik altyapının işlevselliğini, bütünlüğünü veya gizliliğini veya Almanya’nın güvenliğini tehlikeye atan suçlar da daha sert cezalara tabi olacaktır. Bu tür faaliyetlerde bulunan kişiler üç aydan beş yıla kadar hapis cezasıyla karşı karşıya kalabilir.
Daha Sert Siber Suç Yasalarıyla Ulusal Güvenliğin Korunması
Mevzuat, kritik altyapıların siber suçlular için nasıl giderek daha çekici bir hedef haline geldiğinin altını çiziyor; çünkü bu sistemlere yapılan saldırılar, geniş çaplı kesintilere ve önemli ekonomik kayıplara neden olabilir. Bakanlık, bu yüksek riskli suçlara yönelik cezaları artırarak, temel kamu hizmetlerine ve ulusal güvenliğe risk oluşturan siber suçlulara karşı güçlü bir caydırıcılık oluşturmayı amaçlıyor.
Federal Adalet Bakanlığı taslağı kendi internet sitesinde yayınladı ve incelenmek üzere çeşitli eyalet ve derneklere dağıttı. Siber güvenlik firmaları, hukuk uzmanları ve kamu sektörü temsilcilerinin de aralarında bulunduğu paydaşların önerilen değişikliklere ilişkin yorumlarını 13 Aralık 2024 tarihine kadar sunmaları gerekiyor. Bu açıklamalar, bu önemli düzenleyici güncelleme hakkında şeffaf bir tartışmaya olanak sağlayacak şekilde kamuya açıklanacaktır.
Taslak yasa, Almanya’nın ulusal siber güvenliği güçlendirmeye yönelik daha geniş çabalarının yanı sıra Avrupa Birliği’nin siber savunmaları uyumlu hale getirmeye yönelik devam eden odağıyla da uyumlu. Bilgisayarla ilgili suçları düzenleyen mevcut Alman düzenlemeleri büyük ölçüde AB yasalarından alınmıştır ancak o zamandan beri AB tarafından yeni siber riskleri ele alacak şekilde revize edilmiştir. Bu mevzuat güncellemesi, Almanya’nın gelişen siber ortama ayak uydurma, dijital altyapısının dayanıklı kalmasını ve kritik endüstrilerinin korunmasını sağlama girişiminin bir parçası.
Almanya genelindeki siber güvenlik uzmanları ve etik bilgisayar korsanları, genellikle gri bir alana düşen sorumlu ifşa uygulamaları konusunda yasal netliği uzun süredir savunuyorlar. Mevcut yasalara göre, şirketlere güvenlik açıklarını bildirmeye yönelik iyi niyetli girişimler bile cezai soruşturmalara yol açabilir ve araştırmacıların siber güvenliğin iyileştirilmesine yardımcı olma konusunda cesaretlerini kırabilir. Önerilen yasa taslağının, kötü niyetli bilgisayar korsanlığı ile yetkili güvenlik açığı araştırması arasında açık bir ayrım yaparak bu endişeyi hafifletmesi bekleniyor.
Kritik Sektörlere Yönelik Artan Siber Tehditlerin Ele Alınması
Almanya’nın siber güvenliğe odaklanması, kritik altyapılara ve özel sektöre yönelik siber saldırıların artması nedeniyle son yıllarda önemli ölçüde arttı. Önerilen yasa, hükümetin araştırmacılar ve kuruluşlar arasındaki işbirliğini teşvik eden yasal bir çerçeveyi desteklemesiyle birlikte siber güvenliğin kolektif bir sorumluluk olduğu konusunda artan farkındalığı yansıtıyor.
Teknoloji ulaşımdan sağlık hizmetlerine kadar toplumun her alanına entegre olmaya devam ederken, BT sistemlerinin bütünlüğünü ve güvenliğini sağlamak en önemli öncelik haline geldi. Alman hükümetinin yasama çabaları, yalnızca kritik altyapıyı korumakla kalmayıp aynı zamanda onu korumak için çalışanları da destekleyerek bu entegrasyonu sağlamayı amaçlıyor.
Bu taslakla Adalet Bakanlığı, güçlü siber güvenlik ihtiyacını, çalışmaları güvenlik açıklarını ortaya çıkarmaya ve düzeltmeye yardımcı olan kişilere yönelik korumalarla dengelemek için adımlar atıyor. Bu teklifin sonucunun Almanya’nın ötesinde etkileri olacak ve muhtemelen sorumlu siber güvenlik uygulamalarını teşvik etme konusunda benzer zorluklarla karşılaşan diğer ülkeler için bir emsal teşkil edecek.
Kanuna ilişkin nihai kararın, geri bildirim süresi sona erdikten sonra verilmesi ve Bakanlığın tüm yorumları gözden geçirerek düzeltmeleri dikkate alması bekleniyor. Bu yasa kabul edilirse, Almanya’nın siber güvenliğe yaklaşımında ileriye doğru önemli bir adımın sinyalini verecek ve potansiyel olarak daha fazla güvenlik profesyonelini güvenlik açığı keşfi, raporlama ve sonuçta ülkenin siber tehditlere karşı savunmasını güçlendirme konusunda teşvik edecek.