Portekiz, iyi niyetli güvenlik araştırmaları için yasal ve güvenli bir liman oluşturmak ve bilgisayar korsanlığını belirli katı koşullar altında cezalandırılamaz hale getirmek için siber suç yasasını değiştirdi.
İlk olarak Daniel Cuthbert tarafından tespit edilen, Madde 8.oA’daki “Siber güvenliğe ilişkin kamu yararı nedeniyle cezalandırılamayan eylemler” başlıklı yeni bir hüküm, daha önce yasa dışı sistem erişimi veya yasa dışı veri müdahalesi olarak sınıflandırılan eylemler için yasal bir muafiyet sağlıyor.
Muafiyet yalnızca güvenlik araştırmacılarının güvenlik açıklarını tespit etmek ve siber güvenliğe katkıda bulunmak amacıyla hareket ettiği durumlarda geçerlidir. Cezai sorumluluktan korunmak için yerine getirilmesi gereken temel koşullar şunlardır:
- Araştırma yalnızca araştırmacı tarafından yaratılmayan güvenlik açıklarını belirlemeyi ve ifşa yoluyla siber güvenliği iyileştirmeyi amaçlamalıdır.
- Araştırmacı normal mesleki tazminatın ötesinde herhangi bir ekonomik fayda isteyemez veya alamaz.
- Araştırmacı, güvenlik açığını derhal sistem sahibine, ilgili veri denetleyicisine ve CNCS’ye bildirmelidir.
- Eylemler kesinlikle güvenlik açığını tespit etmek için gerekli olanlarla sınırlı olmalı ve hizmetleri kesintiye uğratmamalı, verileri değiştirmemeli veya silmemeli veya zarara neden olmamalıdır.
- Araştırma, kişisel verilerin GDPR kapsamında yasa dışı işlenmesini içermemelidir.
- Araştırmacı, DoS veya DDoS saldırıları, sosyal mühendislik, kimlik avı, şifre hırsızlığı, kasıtlı veri değişikliği, sisteme zarar verme veya kötü amaçlı yazılım yayılımı gibi yasaklanmış teknikleri kullanmamalıdır.
- Araştırma sırasında elde edilen her türlü veri gizli kalmalı ve güvenlik açığının giderilmesinden sonraki 10 gün içinde silinmelidir.
- Sistem sahibinin rızasıyla gerçekleştirilen eylemler de cezadan muaftır ancak bulunan herhangi bir güvenlik açığının yine de CNCS’ye bildirilmesi gerekir.
Yeni makale, güvenlik araştırmasının sınırlarını açıkça tanımlıyor ve aynı zamanda iyi niyetli bilgisayar korsanlarına yasal koruma sağlıyor.
Kasım 2024’te Almanya Federal Adalet Bakanlığı, güvenlik kusurlarını keşfeden ve satıcılara sorumlu bir şekilde bildiren güvenlik araştırmacılarına benzer korumalar sağlayan bir yasa tasarısı sundu.
Daha önce, Mayıs 2022’de ABD Adalet Bakanlığı (DOJ), Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasası (CFAA) ihlallerine ilişkin federal kovuşturma politikalarında revizyonlar yaptığını ve “iyi niyetli” araştırmalara bir muafiyet eklendiğini duyurmuştu.
Bu yasal çerçeveler altında, güvenlik araştırmaları yalnızca tanınmakla kalmıyor, aynı zamanda sistemleri proaktif olarak araştırmak, güvenlik açıklarını ortaya çıkarmak ve bunları yasal sonuçlardan korkmadan raporlamak için güvenli alan da veriliyor.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.