Yönetişim ve Risk Yönetimi , Gizlilik , Standartlar, Yönetmelikler ve Uyum
Cytrox ve Intellexa Dünya Çapında Gizliliği ve Güvenliği Tehdit Etmekle Suçlanıyor
Mathew J. Schwartz (euroinfosec) •
19 Temmuz 2023
ABD hükümeti, Amerikan mallarını veya hizmetlerini tedarik etmeye çalıştıkları takdirde kısıtlamalarla karşılaşan kuruluşlar listesine iki ticari casus yazılım satıcısı daha ekledi.
Ayrıca bakınız: İsteğe Bağlı | Gelişmiş Uç Nokta Stratejileri Sayesinde Sıfır Güven Hedeflerinize Nasıl Ulaşabilirsiniz?
Hareket, ticari casus yazılımlarının yasa dışı kullanımını kolaylaştıran gözetim aracı üreticileriyle mücadele etmek için tasarlandı.
Yaptırım uygulanan şirketler Yunanistan’da Intellexa SA, İrlanda’da Intellexa Limited, Macaristan’da Cytrox Holdings Crt ve Kuzey Makedonya’da Cytrox AD. Hepsi artık ABD teknoloji ihracat lisansı gerekliliklerine tabidir.
Intellexa ve Cytrox’un ilişkilerinin tam kapsamı net olmasa da yakın bağları var gibi görünüyor. İsrail gazetesi Haaretz geçen ay Intellexa’nın eski bir İsrail ordusu istihbarat subayı tarafından Kıbrıs ve Yunanistan merkezli ticari casus yazılım firmalarının ittifakı olarak kurulduğunu bildirdi. Gazetenin haberine göre Intellexa, Cytrox’u 2019’da satın aldı ve Predator gözetleme araçlarını satmaya devam etti.
Ticaret Bakanlığı, dört kuruluşun da “bilgi sistemlerine erişim elde etmek için kullanılan siber istismarlarda kaçakçılık yapmakla, dünya çapındaki bireylerin ve kuruluşların gizliliğini ve güvenliğini tehdit etmekle” suçlanan ABD Ticaret Bakanlığı’nın Sanayi ve Güvenlik Bürosu’nun Varlık Listesine eklendiğini söyledi.
Varlık Listesi, ABD ulusal güvenliği veya dış politika çıkarlarıyla çatışan çalışan kuruluşlarla ilgilenmek için bir Beyaz Saray aracıdır. Ticaret Departmanına göre, düşmanların “insan hakları ihlallerinde veya suiistimallerinde kötüye kullanım riski oluşturan gözetim araçlarının geliştirilmesine katkıda bulunabilecek mallara, yazılımlara ve teknolojilere” erişmesini önlemek için tasarlandı.
Zaten kara listede İsrail’in NSO Grubu ve Candiru var. Her iki şirket de yetkilileri, gazetecileri, aktivistleri, akademisyenleri, büyükelçilik çalışanlarını ve diğerlerini hedef almak için yabancı hükümetlere casus yazılım sağladığı iddiasıyla Kasım 2021’de Biden yönetimi tarafından yaptırıma tabi tutuldu.
Ticari casus yazılım pazarı son on yılda büyük bir patlama yaşadı. Artık en az 30 satıcı, akıllı telefon metin mesajlarını uzaktan almak, gizlice mikrofonları etkinleştirmek ve kesin konumları elde etmek için tasarlanmış araçlar sunuyor. Araçların uygunsuz bir şekilde kullanılmasını önlemek için güçlü kontrollere sahip olduklarına dair birçok satıcının güvencesine rağmen, sivil toplum aktivistleri bu tür araçların otoriter veya baskıcı rejimler tarafından düzenli olarak kullanıldığını söylüyor.
Dışişleri Bakanlığı yaptığı açıklamada, “Ticari casus yazılımların çoğalması, ABD hükümet personeli ve ailelerinin emniyeti ve güvenliği de dahil olmak üzere, ABD için belirgin ve büyüyen karşı istihbarat ve güvenlik riskleri oluşturuyor.”
Açıklamada, “Bu araçların küresel çapta kötüye kullanılması, baskıyı kolaylaştırdı ve siyasi muhalifleri sindirmek ve muhalefeti dizginlemek, ifade özgürlüğünü sınırlamak ve aktivistleri ve gazetecileri izlemek ve hedef almak da dahil olmak üzere insan hakları ihlallerine olanak sağladı” ifadeleri kullanıldı.
Yine Intellexa tarafından satılan Cytrox’s Predator ve NSO Group’un Pegasus’u gibi uygulamaları içeren casus yazılım suiistimalleri, birçok Avrupa ülkesinde son zamanlarda siyasi skandalları tetikledi. Ayrıca 2021’de Uganda’da görev yapan ABD’li diplomatların cihazlarında Pegasus’u bulduğu bildirildi.
Mart ayında Başkan Joe Biden, ajansların yabancı hükümetler tarafından muhalifleri gözetlemek için kullanılan casus yazılım lisanslarını satın almasını yasaklayan bir yürütme emri imzaladı. Hareket, hükümetin Pegasus veya Cytrox gibi gelişmiş gözetim yazılımlarını kullanımını sınırlamak için tasarlandı. O sırada Beyaz Saray, denizaşırı ülkelerdeki en az 50 ABD personelinin birden fazla kıtada 10 ülkede gelişmiş casus yazılımlar tarafından hedef alındığını söyledi.
BIS Müsteşarı Alan Estevez Salı günü yaptığı açıklamada, “Dijital baskı araçlarının yayılmasını engellemeye odaklanmış durumdayız.” dedi.
Yasadışı hükümet gözetim programlarını izleyen Toronto Üniversitesi Citizen Lab, geçen yıl bu tür yazılımların “siyaset, seçimler ve insan hakları ihlallerinde” kullanıldığı konusunda uyarıda bulundu (bkz:: Dağlık Karabağ Savaşı’nda Pegasus Casus Yazılımı Göründü).
Avrupa ayrıca casus yazılımların yasa dışı kullanımını da hedefliyor. Geçen yıl, Pegasus gibi ticari casus yazılım araçlarının kötüye kullanımını araştıran bir Avrupa Parlamentosu komitesi, tüm “modern casus yazılımların” yasaklanması çağrısında bulundu. Mayıs ayında komite tavsiyelerini revize etti ve bunun yerine bir dizi yeni düzenleyici koruma çağrısında bulundu.