Yazılım güvenlik açıklarının ve veri ihlallerinin ifşa edilmesi son otuz yılda daha fazla kabul edilirken, araştırmacılar ve ihbarcılar yaşadıkları ülkeye bağlı olarak davaları ve cezai suçlamaları riske atmaya devam etmektedir.
Örneğin Nisan 2022’de İstanbul’daki polis Tutuklanan bağımsız Türk gazetecisi İbrahim Haskoloğlu Türkiye’de hükümet verilerinin ihlalinin ayrıntılarını açıkladıktan sonra. Ülkenin iktidar partisi o zamandan beri bir yasa önerdi Bir veri ihlalinin yanlış raporlanmasını yapmak için iki ila beş yıl hapis cezasına çarptırılabilen bir suçu – eleştirmenlerin gerçek veri ihlallerinin ifşa edilmesini önleyeceğini söylediği bir yasa.
Ve Malta ada ülkesinde, Malta Üniversitesi’nde üç bilgisayar bilimi ve öğretim görevlisi ücretlendirilecek Mart ayında, Hizmet Planlama Freehour’da güvenlik açıkları bulduktan iki yıl sonra ve şirketi bilgilendirdi. Freehour, açıklamanın fidye talebi olduğunu iddia etti ve öğrencileri polise bildirdi – ancak o zamandan beri firma ülkenin araştırmacılar için açık muafiyet eksikliğini eleştirdi.
Ancak öğrenciler suçlamalarla karşılaşmaya devam ediyor.
Öğrencilerden Michael Debono, “Umarım bu davanın sonunda, siber güvenlik için daha iyi bir iklimle sonuçlanıyor, ancak tüm bu durumdan gerçekten tükenmişim.” Facebook’ta bir gönderide belirtildi. Diyerek şöyle devam etti: “Neredeyse iki yıl geçirmek zorunda kaldım, şimdi Freehour ve polisle bir günde bir masa üzerinde çözülmesi gereken bir olayın serpinti ile uğraşıyor.”
Türkiye ve Malta, veri ihlallerini ve yazılım güvenlik açıklarını bildiren insanları kıran tek ülke değildir. Polonya’da bir tren üreticisi dava etmekle tehdit edildi Siber güvenlik uzmanlarının üçüncü taraf bir onarım tesisine park edilmiş engelli trenleri iddia ettikleri bir öldürme kodunu atlatan üç etik hacker. Çin’de, ilk olarak yazılım sorunlarını hükümete bildirmeyen güvenlik açığı araştırmacıları Risk Hapishane Süresi.
Güvenlik açığı açıklama sorunlarının olduğu ABD’de bile onlarca yıldır tartışıldışirketler ve devlet kurumları hala sivil katılımdan ziyade yasal saldırılara başvuruyorlar. Eylül 2024’te Columbus, Ohio Şehir Hükümeti, dava açtı Bir veri ihlalinin önemine itiraz ettikten sonra bilgi uçuran David L. Ross’a karşı, Ross’un ihlalin arkasındaki fidye yazılımı çetesi ile gizlendiğini iddia etti. İki ay sonra, Şehir davayı çözdü.
Savunma sürüşü ve açıklama
Dünya çapında, güvenlik açığı araştırmacılarının yazılım güvenlik sorunlarını açıklarken dikkatli olmaları gerekir. Bağımsız penetrasyon testçilerinin istikrarlı müşterileriyle birleştiren San Francisco merkezli Bugcrowd baş bilgi güvenlik görevlisi Trey Ford, Siber Güvenlik Araştırmacıları ve İhtiyaçlar için, savunma sürüşü gibi güvenlik tarafındaki hatanın varsayılan olması gerektiğini söylüyor.
Ekim 2022 e -postası, üç öğrenci ve öğretim görevlilerinin suçlamalarla sonuçlanmasıyla sonuçlandı. Kaynak: Öğretim Görevlisi Luke Collins ‘Sitesi
En iyi durumda, araştırmacılar araştırma yapmak ve bulguları ifşa etmek için hedeflenen kuruluştan izin almalıdır.
“Gerçek şu ki: Bir şey görürseniz ve kesinlikle emin değilseniz – ve makbuzlarınız ve kanıtınız yok – belki hiçbir şey söylemeyin ya da hapse girme riskiniz var” diyor Ford, bu savunmaya işaret ediyor Veya haklı kuruluşlar sorun yaratabilir. Herhangi bir risk “bir sorunu ele almamayı tercih eden şirketlerin yanlış hizalanmış teşvikleri tarafından daha da güçlendirilebilir. Bu şirketler muhabiri neredeyse tamamen susturma gücüne sahiptir.”
Buna ek olarak, bir hack-hizmet platformu Hackerone baş hukuk ve politika sorumlusu Ilona Cohen, bir ihlal veya kırılganlık oluşturduğuna dair potansiyel yanlış bilgileri en aza indirmeye yardımcı olabilir.
Araştırmacılar da her zaman yerel hukukun farkında olmalıdır.
Cohen, “Bir veri ihlali olup olmadığı veya bir güvenlik açığı mevcut olup olmadığı her zaman net değildir.” Diyerek şöyle devam etti: “Ülkelerin hileli yanlış beyanlara karşı yasalara sahip olması nadir değildir, ancak milletvekilleri aldatma veya zarar verme niyetinde olmayan bireyleri hedeflememeye özen göstermelidir.”
İyi huylu veya düşmanca eylemler
Şimdiye kadar, araştırmacılar ve ihbarcılar netlik eksikliğinin bedelini ödüyorlar. Örneğin Türk gazetecisi Haskoloğlu, Bildirdiğini iddia etti Türk hükümeti açıklamasından iki ay önce, bilgisayar korsanları tarafından verilerin çalındığını söyledi. Geçen ay Türkiye’den ayrılacağını açıkladı Artan ölüm tehditlerinin ardından.
Aralık ayında Newag – Polonya’daki tren trenleri atölyelerinde tamir etmediği iddia edilen tren üreticisi – dava açtı Öldürme kodu için geçici çözümlerini keşfeden ve duyuran üç hacker’a karşı. Avrupa Birliği Onarım hakkı yasasını benimsedi 2024 yılında tüketici malları için, trenler ve makineler gibi endüstriyel ekipmanların örtülmediği belirsizdir.
Bir üçüncü taraf böcek programını sürdüren Trend Micro’daki tehdit farkındalığının ve sıfır günlük girişim başkanı Dustin Childs, olaylar, kuruluşların kendilerine kamuoyunun etkileşimi yerine araştırmacıları susturmayı hedeflediğini vurguluyor.
“Bu rahatsız edici bir trend umarım yakında tersine döner” diyor. Diyerek şöyle devam etti: “Güvenlik açıklarını koordineli bir şekilde bildirmek isteyen araştırmacılara güvenli bir liman sunmalıyız. Ne yazık ki, bu eğilimin dava veya mevzuat olmadan değişmesi olası değil.”
Bununla birlikte, küresel olarak mevzuat farklı bir yönde ilerliyor gibi görünmektedir. Ağustos 2024’te BM Genel Kurulu siber suçlara karşı kongre kabul ettibu da “haksız bir bilgi veya iletişim teknolojisi (BİT) sistemi” veya verileri veya iletişimi engellemeyi bir suç haline getirir. Dijital hak grupları, anlaşmanın meşru güvenlik araştırmalarını cezalandıran daha fazla yasaya yol açacağından endişe ediyor.
Türkiye, Ağustos ayından bu yana daha katı bir siber suç heykelini geçen ilk ülke gibi görünse de, daha sert düzenlemeler giderek daha muhtemel görünüyor.
“Genel olarak, şu anda hükümetlerin bireysel araştırmacılara göre işletmeleri tercih ettikleri bir ikliyiz” diyor. Diyerek şöyle devam etti: “Diğer ülkelerde benzer önlemler görmek beni şaşırtmayacaktı.”