Bu Help Net Security röportajında Project Black’in Baş Danışmanı Eddie Zhang, siber güvenlikteki güvenlik açığının ifşa edilmesinin karmaşık ve çoğu zaman tartışmalı dünyasını araştırıyor.
Zhang, araştırmacıların kamu, özel şirketler ve devlet kurumları da dahil olmak üzere çeşitli paydaşların çıkarlarını gözetirken gerçekleştirmeleri gereken karmaşık dengeleme eylemini araştırıyor. Tam kamuya açıklama yapmaktan daha ihtiyatlı, koordineli yaklaşımlara kadar farklı açıklama stratejilerinin etik, yasal ve pratik sonuçlarını tartışıyor.
Konuşmada ayrıca siber güvenlikteki daha geniş etik hususlara ve gelişen teknolojilerin güvenlik açığı açıklama uygulamaları üzerindeki etkisine de değiniliyor ve bu kritik kararlarla boğuşan siber güvenlik profesyonellerine tavsiyeler sunuluyor.
Güvenlik açığı açıklamalarıyla ilgili kararlar her zaman yerel yasalar ve olası yasal sonuçlar dikkate alınarak alınmalıdır.
Araştırmacılar bir açıklama stratejisine karar verirken kamu, şirketler ve devlet kurumları gibi farklı paydaşların çıkarlarını nasıl dengeleyebilir?
Bir açıklama stratejisine karar verirken bu dengeyi bulmak, araştırmacının ‘etik olanın ne olduğu’ ve risk toleransı konusundaki görüşüyle ilgilidir. Bu senaryolarda halkın çıkarları (güvenlik/verileriyle ilgili endişeler) sıklıkla şirketlerin çıkarlarıyla (Fikri Mülkiyet ve itibarlarının korunması) çatışır.
Bazıları, konunun mümkün olduğu kadar çabuk kapatılmasını sağladığı için kamuyu aydınlatmanın kamu yararı açısından en etik yaklaşım olduğunu iddia edebilir. Diğerleri kamuya açıklamayı, yalnızca araştırmacının çıkarına çalışan, kendi çıkarlarına hizmet eden ve ilgi isteyen bir davranış olarak görebilir.
İkinci olarak risk toleransı konusuna gelince, eğer kuruluş veya bazı durumlarda devlet kurumları sizi yasal olarak takip etmeye karar verirse, kamuya açıklamayı tercih etmek, birey olarak kendinizi daha fazla riske maruz bırakabilir.
Farklı açıklama yaklaşımlarının hukuki hususları ve potansiyel sonuçları hakkında ayrıntılı bilgi verebilir misiniz?
Özel senaryonuzla ilgili yerel yasal tavsiye alın.
Bir şirket olumsuz tanıtımdan kaçınmayı amaçlayacaktır. Tamamen kamuya açıklanmayı tercih etmek, etkilenen kuruluşa sorunu çözmesi için baskı uygulayabilir, ancak bu baskı aynı zamanda size karşı yasal bir takibe dönüşebilir.
Güvenlik Araştırması Tehditleri, bu senaryolardan bazılarının nasıl gerçekleştiğini görmek için araştırmacılara yönelik yapılan yasal tehditlerin iyi bir derlemesidir. Yasal tehditler fikri mülkiyet ihlalleri, durdurma ve vazgeçmelerden hapis cezası tehditlerine kadar uzanır.
Koordineli veya özel bir açıklama yoluyla kuruluşla birlikte çalışmak ve iyi niyetle hareket etmek bireysel olarak sizin için riski azaltabilir ancak sıfır riski garanti etmez.
Sorumlu açıklama yerine tam açıklamayı seçmenin etik sonuçları nelerdir?
Sorumlu açıklama genellikle daha etik olarak kabul edilir. Güvenlik açıklarını açıklamanın temel amacı, kişisel tanınma arayışından ziyade insanları korumak olmalıdır. Etkilenen tarafla çalışmak onlara sorunları düzgün bir şekilde düzeltmeleri için zaman verebilir.
Bunun tersine, kamuya tamamen ifşa edilmesi, kötü niyetli aktörlerin kamuya açıklama ile yama uygulanması arasındaki pencerede sorunu istismar etmesi durumunda daha fazla kişinin zarar görmesine neden olabilir.
Buna karşı olan karşı argüman genellikle, koordineli bir açıklama senaryosunda aşırı derecede uzayan iyileştirme zaman dilimleriyle ilgilidir. Kötü niyetli kişilerin bu güvenlik açığından zaten yararlandığına dair endişeleriniz varsa, kamuya açıklama için bir son tarih belirleyerek baskı uygulayabilirsiniz. Ancak şirketin bunu gasp olarak görme riski de mevcut.
Güvenlik açığının ifşa edilmesiyle ilgili kararları yönlendiren siber güvenlik uzmanlarına ne gibi tavsiyelerde bulunursunuz?
1. Güvenlik açığı araştırması ve ifşasıyla ilgili yerel yasalarınızı anlayın.
2. Bu bilgi birikimiyle bu yolculuğa çıkmadan önce kendi risk değerlendirmenizi yapın. En kötü durumda mesleki itibarınızı ve istihdamınızı riske atıyor olabileceğinizi düşünün. Bunun gerçekleşme olasılığı nedir? Bu riski kabul etmeye istekli misiniz yoksa bunu hafifletmek için yapabileceğiniz herhangi bir şey var mı (örneğin, isimsiz olarak ifşa ederek)? Pek çok insan için potansiyel risk, iyi bir samiriyeli olmanın faydasına değmez ve bu nedenle zayıf noktaları açığa vurmaktan tamamen kaçınırlar.
3. Muhtemelen en önemlisi saygılı olun ve iyi niyetle hareket edin. İdeal olarak kanunun lafzına ve ruhuna uygun hareket etmek istersiniz, ancak etik hackleme gibi konularla uğraşırken kanunun lafzı genellikle belirsiz veya güncelliğini kaybetmiştir. Güvenlik açığının açıklanmasıyla ‘doğru şeyi yapmaya çalışmak’ için katı yasal korumaların yokluğunda, iyi niyetle hareket etmek, yasal takip olasılığını azaltma eğilimindedir.
Bir güvenlik açığını kamuya açıklama kararı, daha geniş siber güvenlik etiğiyle nasıl uyumludur?
Bu biraz tavşan deliği olabilir. Neyin etik olduğuna kim karar veriyor? Siber güvenlik etiği nedir? Bu sorular konusunda otorite olduğumu düşünmüyorum ancak genel olarak siz okuyucuların düşünmesini sağlayacağım bazı tartışma noktalarını burada bulabilirsiniz:
Kamuyu aydınlatmanın şirketteki bireyler üzerindeki etkisi
- Şirketler insanlardan oluşur. Bir insan işin içinde olduğu sürece hatalar veya güvenlik sorunları gibi hataların meydana gelmesi kaçınılmazdır. Kamuya yapılan açıklamalar, sorunu çözmek zorunda olan ön saflarda çalışan işçiler üzerinde büyük bir baskı oluşturuyor. Durumun yarattığı stresin ötesinde, bu kuruluşlardaki kilit kişilerin halk tarafından hedef alınması veya taciz edilmesi riski de mevcut. Bu bireyleri daha büyük bir iyilik uğruna riske atmak etik midir?
- Verileri işleyen şirketlerin de verileri sorumlu bir şekilde ele alması ve bu hataları önlemek için yeterli sayıda insan, süreç ve teknolojinin mevcut olmasını sağlaması gerekir. Kamuya yapılan bir açıklama, bunlardan herhangi birini düzeltmek için değişikliği tetikliyor mu?
Kamu yararı
- Kamuya açıklama konusunda yaygın bir argüman, ‘insanların verilerinin yanlış kullanıldığını bilmeye ihtiyaç duyması’ ile ilgilidir.
- Bu ihtiyacı karşılamak güvenlik açığı araştırmacılarının görevi midir? Düzenleyici kurumların kendi yetki alanları dahilindeki şirketlerin verileri doğru şekilde işlemesini sağlamaları gerekmez mi?
- Siber güvenlik biraz yankı odası olabilir. Genel nüfus umursuyor mu?
Etkilenen bireylerin gizliliği
- Kötü niyetli aktörlerin halihazırda bu verileri istismar ettiği varsayımsal duruma karşı koruma sağlamak için verileri kamuya açıklama yoluyla ifşa etmek (eğer güvenlik açığı bu bilgilerin sızdırılmasıyla ilgiliyse) etik midir?
- Siz konuyu kamuya açıklayana kadar hiç kimse konuyu aktif olarak istismar etmezse, bu durumda kötü aktör mü olursunuz?
Gelişen teknolojiler güvenlik açığının ifşa edilmesine yönelik uygulamaları nasıl etkileyebilir?
Gelişen teknolojiler yeni saldırı yüzeyleri ve yeni saldırı teknikleri yaratıyor. Gelişen teknolojilerin güvenlik açıklarını ifşa etme şeklimizi temelden değiştireceğine inanmıyorum. Ancak kuruluşların bu ifşaatları ele almaya yönelik güçlü programlara sahip olmasının hiçbir zaman bu kadar önemli olmadığını düşünüyorum.
Kuruluşlar, halkı güvenlik açıklarını bildirmeye teşvik etmelidir. En kötü senaryo, yasal sonuçlar doğuracağı korkusuyla açıklanmayan bir güvenlik açığının daha sonra keşfedilip kötü niyetli bir aktör tarafından istismar edilmesi ve bunun sonucunda veri ihlaline yol açmasıdır.
Düzenleyici kurumlar/hükümet kurumları da iyi niyetle hareket eden araştırmacılara yönelik korumaları yasal hale getirmek için harekete geçmelidir.