Coğrafi Odak: Birleşik Krallık , Coğrafi Spesifik , Mevzuat ve Dava
Genişletilmiş Polis Yetkileri Tartışıldı; Siber Güvenlik Profesyonelleri, Beyaz Şapkalı Hacker Önlemlerini Arıyor
Mathew J. Schwartz (euroinfosec) •
17 Şubat 2023
Eleştirmenler, iyi niyetle hareket eden güvenlik araştırmacılarını korumak için somut tekliflerin bulunmayışının gölgelendiğini söyleyen bir kamu istişaresinde, İngiliz hükümeti bilgisayar korsanlarına karşı kendisine daha fazla yasa uygulama yetkisi vermeyi teklif ediyor.
Başbakan Rishi Sunak’ın muhafazakar hükümeti, bu ay Birleşik Krallık’ın temel bilgisayar korsanlığı önleme yasası olan 1990 tarihli Bilgisayar Kötüye Kullanım Yasası için önerilen güncellemeleri açıkladı. Kanun, kolluk kuvvetlerine siber suçla bağlantılı IP adreslerini ele geçirme, veri korumasını zorlama ve çalınan verilere sahip olmayı daha fazla suç saymak için. İçişleri Bakanlığı yetkilileri, güncellenmiş bir yasanın beyaz şapkalı bilgisayar korsanları için koruma içereceğine söz verdi, ancak henüz bunu yapmak için somut bir teklif yayınlamadı.
Ayrıca bakınız: Araçlar ve Teknoloji: Yönetişim, Risk ve Uyum Başucu Kitabı
1990 yasası, bilgisayar sistemlerine ve verilerine yetkisiz erişimi, bunlara zarar vermeyi veya yok etmeyi suç sayar ve sistemlerin ve bilgilerin güvenliğini ve bütünlüğünü korumayı amaçlar.
32 yaşındaki oyuncunun bir güncelleme için geciktiğine dair yaygın bir fikir birliği var. Britanya Bilgisayar ve Hukuk Derneği’ne göre, “Yasada, en son 2015’te, Birleşik Krallık mevzuatının Avrupa Konseyi Siber Suçlar Sözleşmesi – Budapeşte Sözleşmesi – ve diğer ilgili AB direktiflerinin gerekliliklerini karşılamasını sağlamak için birkaç değişiklik yapıldı.” . “Ancak, bu değişiklikler nispeten sınırlıydı.”
Hükümet, 7 Şubat’ta yaptığı bir yorum talebinde, kolluk kuvvetleri, alan adı kayıt şirketleri ve kayıt kuruluşları ve barındırma sağlayıcılarından önerileri hakkında geri bildirim almakla özellikle ilgilendiğini söyledi. İçişleri Bakanlığı’nın bir parçası olan Güvenlikten Sorumlu Devlet Bakanı olarak görev yapan muhafazakar Parlamento üyesi Tom Tugendhat, hükümetin ayrıca yasada önerilen üç özel güncelleme hakkında geri bildirim istediğini söylüyor:
- IP adreslerini ele geçirmek: Kolluk kuvvetleri, örneğin bilgisayar korsanlığı veya dolandırıcılık amacıyla suçlular tarafından kullanıldıklarında alan adlarına ve IP adreslerine el koyma yetkisine sahip olmalı mı? “Alan adlarının kötüye kullanımıyla mücadele etmek için gönüllü düzenlemeler kapsamında önemli bir miktar yapıldığının farkındayız ve bu düzenlemelerin baltalandığını görmek istemeyiz, ancak bu tür düzenlemelerin mevcut olmadığı durumlarda kolluk kuvvetlerinin bunu yapmasını sağlamamız gerektiğine inanıyorum. harekete geçme gücü,” diyor Tugendhat.
- Veri koruma: Kolluk kuvvetleri, bir soruşturma sırasında gerekli olduğu tespit edilirse bilgisayar verilerinin korunmasını talep edebilmeli midir? Teklif, polisin bu tür verileri doğrudan ele geçirmesine izin vermiyor – yalnızca korunmasını zorunlu kılmak için.
- Veri suçları: Bilgisayar Kötüye Kullanım Yasasını ihlal eden başka birinden alınan, kişisel tanımlanabilir bilgiler de dahil olmak üzere çalınan verilere sahip olmak veya bunları kullanmak da suç sayılmalı mı?
Siber risk konusunda uzmanlaşmış Londra merkezli hukuk firması Pinsent Masons’ın bir ortağı olan Julia Varley, “Önerilen değişikliklerin dikkate değer bir özelliği, suç alanları ile kurban alanları arasındaki bağlantıyı kırmaya çalışmaktır” diyor. Önerilen değişiklikler, suçlular tarafından kullanıldığından şüphelenilen IP adreslerine el koymanın ötesinde, polise “İngiltere sicil dairesinden suç amaçlı kullanıldığı tahmin edilen alan adlarını kaydetmemesini talep etme yetkisi” de verecek.
Tüm Hackerlar Suçlu Değildir
İçişleri Bakanlığı, CMA’da yapılacak değişiklikler yoluyla bir dizi “karmaşık mesele” ile başa çıkmak için önerileri tartışmak üzere paydaşları bir araya getirecek.
“Bunlar, cezalandırma düzeyleri, CMA suçlarına karşı savunmalar, güvenlik açıklarını bildirme yeteneğindeki iyileştirmeler ve Birleşik Krallık’ın sınır ötesi tehditleri kapsayacak yeterli mevzuata sahip olup olmadığına ilişkin önerileri içeriyordu” diyor.
Bu açıklamada, hükümetin iyi niyetle hareket eden siber güvenlik araştırmacıları için yasal korumaları gözden geçirme taahhüdüne atıfta bulunulmaktadır. Bu tür koruma önlemlerinin getirilmesi, İngiltere Ulusal Siber Güvenlik Merkezi’nin eski başkanı Ciaran Martin de dahil olmak üzere hizmet sağlayıcılar ve siber güvenlik topluluğu üyeleri tarafından geniş çapta talep edildi. “Hükümet yanlış bir şey yapmıyor. Sadece bilgisayarların kötüye kullanılmasına ilişkin 1990 tarihli yasanın güncelliğini yitirdiği açık.” Martin tweet attı geçen Eylül.
Manchester merkezli siber güvenlik danışmanlığı NCC Group’ta strateji ve halkla ilişkiler grup başkanı Kat Sommer, şimdilik, siber güvenlik profesyonellerine yönelik korumalarla ilgili “sürekli belirsizliğin” İngiliz kuruluşlarını çevrimiçi saldırılara karşı koruma işini karmaşık hale getirdiğini söylüyor.
Sommer, hükümetin CMA’yı güncellemesinin neden bu kadar uzun sürdüğünü soruyor. “21 aylık istişareden sonra, 32 yıllık Bilgisayar Kötüye Kullanım Yasasını 21. yüzyıla taşımak için açıklanandan daha fazla ilerleme kaydetmeyi umardık” diyor.
Ulusötesi Suç
CMA’da yapılan değişiklikler ne olursa olsun, her yasanın sınırları vardır. Bu durumda, bu kadar çok fail yalnızca İngiltere dışında değil, aynı zamanda kural olarak vatandaşlarını iade etmeyen Rusya içinde veya çevresinde ikamet ettiğinden siber suçla mücadele zorluğunu da içeriyor.
Pinsent Masons’ın bir ortağı olan Stuart Davey, “Birleşik Krallık hükümeti, diğer yargı alanlarındaki hükümetler ve kolluk kuvvetleriyle ve ayrıca bölge dışı suçları kovuşturma yetkisine ve mevzuatına sahip olan yargı alanlarındaki işbirliğine güvenmek zorunda kalacak” diyor. “Küresel yanıt gerektiren küresel bir sorun ve bu, istişarelerde bir dereceye kadar kabul edildi.”
İngiltere’nin Avrupa Birliği ile olan ilişki statüsü sorunu potansiyel olarak şiddetlendiriyor. Brexit’i savunan bazı İngiliz yetkililerin aksini iddia etmelerine rağmen, İngiltere AB’den ayrıldıktan sonra, artık AB’nin kolluk istihbarat teşkilatı Europol’e üye olmasına izin verilmedi. Birleşik Krallık, AB üye devletleri arasında sınır ve güvenlik bilgileri paylaşımını kolaylaştıran Schengen Bilgi Sistemine erişimini de kaybetti.
Hızlı bilgi akışı tam olarak kesintiye uğramamıştır. Bir Lordlar Kamarası raporuna göre İngiltere, AB ile bazı AB veritabanlarına erişim sağlayan bir Ticaret ve İşbirliği Anlaşması imzaladı. “Örneğin, belirli kısıtlamalara ve ön koşullara tabi olarak, DNA ve parmak izi verilerinin Prüm sistemi üzerinden değiş tokuşuna devam edilebilir” diyor.
Ayrıca, Sayıştay kapsamında Birleşik Krallık irtibat görevlilerinin “sınır ötesi işbirliğini kolaylaştırmak için Europol’ün genel merkezinde bulunmalarına” izin verilmektedir. Birleşik Krallık, Avrupa Tutuklama Emri’ne erişimini kaybederken, Sayıştay kapsamında “AB’nin Norveç ve İzlanda ile yaptığı Teslim Anlaşmasına benzer iade düzenlemeleri” var.
Avrupa Tutuklama Emri uyarınca, AB içinde tutuklanan bir zanlının 60 gün içinde tutuklama emrini veren AB üye devletine nakledilmesi gerekiyor. Sayıştay uyarınca, bu tür transferler 90 güne kadar sürebilir.