Avustralya’nın mahremiyet gözlemcisi, siber olayla ilgili bilgilerin hükümetle paylaşılmasını teşvik edecek bir mekanizmanın, hükümetin gelecekteki eylemleri başlatmasını engelleyebileceğinden endişe ediyor.
Avustralya Bilgi Komiserliği Ofisi (OAIC) bir parlamento sunumu kullandı [pdf] Planlanan “sınırlı kullanım yükümlülüğü” konusunda dikkatli olunması çağrısında bulunuldu.
Bu yükümlülük geçen yılın federal siber güvenlik stratejisinin bir parçası olarak gündeme getirilmişti.
İşletmelerin siber olaylarla ilgili bilgileri Avustralya Sinyal Müdürlüğü (ASD) ve ulusal siber güvenlik koordinatörü ile paylaşmalarını teşvik etmek amaçlanıyor.
Bilgiler, hem onu başka kimlerin görebileceği hem de ne için kullanılabileceği konusunda kısıtlamalara tabi olacaktır.
İçişleri Bakanlığı geçen ayın sonunda bir istişare belgesinde, “Bu yükümlülük, siber olay bilgilerinin, işletmelerin siber olaylara müdahale etmesine yardımcı olmak da dahil olmak üzere, yalnızca öngörülen siber güvenlik amaçları için kullanılmasına izin verecektir” dedi. [pdf]
“Bu, ASD’ye ve siber koordinatöre bildirilen olay bilgilerinin düzenleme amacıyla kullanılamayacağı anlamına geliyor.
“Ancak, bu tür bir sınırlı kullanım yükümlülüğü, diğer düzenleyici veya yasa uygulayıcı eylemleri etkilemeyecek veya yasal sorumluluktan muafiyet sağlamayacaktır.”
Bu açıdan yükümlülük, güvenli limandan farklıdır; çünkü bilgilerin yetkililere iletilmesi, saldırıya uğramış bir işletmeyi her türlü sorumluluktan korumaz.
“Bu teklif, bir kuruluşu düzenleyici yükümlülüklerden muaf tutmayacak veya bir kuruluşun ASD’ye veya siber koordinatöre gönüllü raporlama temelindeki yasal sorumluluğunu azaltmayacaktır, çünkü bu, kamuoyunun beklentilerine aykırı olacaktır ve şu anda dikkate alınmamaktadır.” İşler dedi.
OAIC, yaptırım konusunda daha az endişe duysa da, yükümlülüğün caydırıcılık faaliyetini zorlaştırabileceğinden endişe duymaktadır.
Ofis, “OAIC’in görüşü, kamu çıkarına yönelik düzenleme faaliyetlerinin engellenmemesi için bu tür herhangi bir yükümlülüğün dikkatli bir şekilde geliştirilmesi ve net sınırlara tabi tutulması gerektiği yönünde” dedi.
“OAIC, siber olaylara etkili bir şekilde anında müdahale edilmesini kolaylaştırmak için etkilenen kurumlar ile ASD ve ulusal siber koordinatör arasında acil işbirliği ve bilgi paylaşımının önemini takdir etse de, bir olay sırasında endüstri işbirliğinin kolaylaştırılması ile Düzenleyici kurumların yasaları uygulama ve uygun olmayan durumları uygun zamanda caydırma yeteneği.”
OAIC, sınırlı kullanım yükümlülüğü tasarımının “kamu çıkarına yönelik düzenleyici eylemleri engellememesini veya herhangi bir yasal raporlama gerekliliğini etkilememesini” sağlamak için hükümetle istişare fırsatları aradı.