Almanya Federal Adalet Bakanlığı, güvenlik açıklarını keşfeden ve satıcılara sorumlu bir şekilde bildiren güvenlik araştırmacılarına yasal koruma sağlayacak bir yasa taslağı hazırladı.
Belirlenen sınırlar dahilinde güvenlik araştırması yapıldığında sorumlular cezai sorumluluktan ve kovuşturma riskinden muaf tutulacak.
Federal Adalet Bakanı Dr. Marco Buschmann, “BT güvenlik açıklarını kapatmak isteyenler, savcının mektubunu değil, tanınmayı hak ediyor” dedi.
Bakan aynı açıklamasında, “Bu yasa tasarısı ile bu önemli görevi üstlenen kişilerin cezai sorumluluk riskini ortadan kaldıracağız” dedi.
Ek olarak, ceza kanununda önerilen değişiklik, özellikle kritik altyapının hedef alındığı ciddi veri casusluğu ve müdahale vakalarına yönelik daha katı cezalar getiriyor.
Güvenlik araştırmacılarını koruma
Yeni yasa tasarısı, BT güvenliği araştırmacılarını, şirketlerini ve sözde “hackerları” bilgisayar ceza hukuku kapsamındaki cezalardan korumak amacıyla Ceza Kanununun (StGB) 202a Bölümünü değiştiriyor.
Bu, “yetkisiz” olarak değerlendirilmediği sürece, bir güvenlik açığını tespit etmek ve kapatmak için yapılan eylemlerde geçerlidir.
Güvenlik araştırması için karşılanması gereken kriterler şunlardır:
- Eylem, bir BT sistemindeki bir güvenlik açığını veya başka bir güvenlik riskini belirlemek amacıyla gerçekleştirilmelidir.
- Araştırmacı, belirlenen güvenlik açığını sistem operatörü, yazılım üreticisi veya Federal Bilgi Güvenliği Dairesi (BSI) gibi sorunu çözebilecek sorumlu bir kuruluşa bildirme niyetinde olmalıdır.
- Güvenlik açığının tanımlanması için sisteme erişim eylemi gerekli olmalıdır. Bu, muafiyetin gereksiz veya aşırı erişim olmaksızın yalnızca güvenlik testi için gereken ölçüde geçerli olmasını sağlar.
Aynı cezai sorumluluk muafiyeti, ilgili eylemler yetkili kabul edildiği sürece veri müdahalesi (§ 202b StGB) ve veri değişikliği (§ 303a StGB) ile ilgili suçlar için de geçerlidir.
Aynı zamanda, taslakta ciddi kötü amaçlı veri casusluğu ve verilere müdahale vakaları için üç aydan beş yıla kadar hapis cezası da getiriliyor (§ 202a StGB).
Ağır vakanın ne olduğu açısından tasarıda aşağıdaki durumlara yer veriliyor:
- Suç önemli maddi zarara yol açmaktadır.
- Eylemin kâr amacı güttüğü, ticari ölçekte yürütüldüğü veya bir suç örgütünün parçası olarak gerçekleştirildiği belirtiliyor.
- Hastaneler, enerji tedarikçileri veya ulaşım ağları gibi kritik altyapıyı tehlikeye atan veya yurt dışından kaynaklanan saldırılar da dahil olmak üzere Almanya’nın veya eyaletlerinden birinin güvenliğini etkileyen vakalar.
Kanun taslağı ve önerilen değişiklikler hakkında daha fazla ayrıntıya buradan ulaşabilirsiniz.
Federal eyaletler ve ilgili dernekler, raporu incelenmek üzere aldılar ve parlamentoda görüşülmek üzere Federal Meclis’e sunulmadan önce geri bildirimlerini sunmaları için 13 Aralık 2024’e kadar süre verildi.
ABD Adalet Bakanlığı, Mayıs 2022’de Bilgisayar Dolandırıcılığı ve İstismar Yasası’nda (CFAA) benzer bir revizyonu duyurdu ve “iyi niyetli” güvenlik araştırmacıları için kovuşturma dışı bırakmalar getirdi.