Güvenlik açıklarını bildiren güvenlik araştırmacıları, ifşayı engellemek için yasal yaptırımlarla karşı karşıya kalma veya kusurları daha en başta buldukları için onları cezalandıran yasal bir savaşa girme riskiyle karşı karşıyadır.
ABD Adalet Bakanlığı geçen yıl “iyi niyetli” güvenlik açığı araştırmaları yapan ve Bilgisayar Sahtekarlığı ve Kötüye Kullanım Yasasını (CFAA) ihlal ettikleri için ifşa eden siber güvenlik araştırmacılarını yargılamayacağını açıklamış olsa da, araştırmacılar hala eyaletlerden cezai ve hukuki davalar alma riskini alıyor. yabancı hükümetler ve şirketler. Kâr amacı gütmeyen Siber Güvenlik Politikası ve Hukuk Merkezi, istismar edildiğinde kullanıcılara zarar verebilecek güvenlik açıklarını keşfeden kişileri korumak için iki koordineli girişimle (Hackleme Politikası Konseyi ve Güvenlik Yasal Araştırma Fonu) geri adım atıyor.
Futurum Research kıdemli analisti Krista Macomber, Hacking Policy Council ve Security Legal Defence Fund’ın oluşturulmasının, kötü niyetli aktörlerin yazılıma, altyapıya ve verilere erişmesini önlemek için güvenlik açıklarını belirlemenin ve ifşa etmenin ne kadar kritik olduğunun altını çizdiğini söylüyor.
Macomber, “Amaç, işbirliğini ve bilgi paylaşımını teşvik eden ve potansiyel tehditleri ortaya çıkarmak için özenle çalışan insanları koruyan bir ortam yaratmaktır” diyor.
Hacking Policy Council, daha iyi güvenlik açığı açıklama düzenlemeleri ve eski yasaların kaldırılması için savunuculuk yapmayı ve lobi yapmayı planlıyor. Kurucu üye kuruluşlar arasında Google, Bugcrowd, HackerOne, Intel, Intigriti ve Luta Security bulunmaktadır. Güvenlik Yasal Araştırma Fonu, şu andan itibaren yalnızca fon sağlayacak.
Venable’ın avukatı ve iki yeni grubun koordinatörü olan Harley Geiger, iki girişimi duyuran basın toplantısında, “Savunma fonu şu anda araştırmacılara doğrudan yasal temsil sağlamayı planlamıyor” dedi. “Bunun yerine, iyi niyetli güvenlik araştırması ve güvenlik açığı ifşası nedeniyle yasal tehditlerle karşı karşıya kalan kişilere fon sağlanmasına yardımcı olacak.”
Etik Hackerların Durumu
Security Legal Research Fund’ın yönetim kurulu üyelerinden biri ve Berkeley Law ve Stanford Üniversitesi’ndeki California Üniversitesi’nde öğretim görevlisi olan James Dempsey, bağımsız araştırmacıların çabaları nedeniyle uzun süredir yasal tehlikeyle karşı karşıya olduklarını belirtti. Örneğin Dempsey, 2008’de bir yargıcın bir MIT öğrencilerinden oluşan bir ekibin DEF CON güvenlik konferansında Massachusetts Bay Transit Authority’nin ücret kartı sisteminde keşfettikleri güvenlik açıkları hakkında sunum yapmasını engelleyen bir tedbir kararı verdiği iyi bilinen bir davaya işaret etti.
Dempsey, 2021’de Missouri Valisi Mike Parson’ın, gazetenin bir devlet kurumunun web sitesinde güvenlik açıklarını ortaya çıkaran bir makale yayınlamasının ardından St. Ancak Missouri savcıları nihayetinde suçlamada bulunmayı reddetti.
Dempsey, “Bu mektubu antetli kağıda yasal işlemle tehdit etmek çok korkutucu olabilir ve insanların üstesinden gelmesine yardımcı olmak istediğimiz şey bu” dedi.
Google’ın güvenlik politikası başkanı Charley Snyder, “Bu sorunun o kadar çok etkisi var ki, bu konuya sıkı sıkıya odaklanan ve bu uzmanlığı politika yapıcılara daha bilinçli politikalar yapmalarına yardımcı olmak için getirebilecek bir grubu gerçekten hak ettiğini düşünüyorum” dedi.
Hacking Policy Council, başlangıçta ABD’de ve nihayetinde dünya çapında yasa ve yönetmeliklerde değişiklik yapılması için lobi yapmak üzere çalışacak. Luta Security’nin kurucusu ve CEO’su Katie Moussouris, birçok düzenlemenin güncelliğini yitirdiğini vurguladı.
“Şu anda, açıkçası, güvenlik açığı keşfi ile kötü amaçlı bilgisayar korsanlığını önleme arasındaki el ele ilişkiye dair incelikli bir anlayışın olmadığı farklı bir çağda yazılmış birçok düzenlememiz var” dedi.
Konuları karmaşık hale getiren, düzenlemelerdeki ve politikalardaki küresel eşitsizliktir ve bazen birlikte veya etkilenen kullanıcılara ve kamuya bildirimde bulunulmadan önce bir hükümete açıklama yapılmasını gerektirir. fare kayıt edilmiş. Avrupa Komisyonu tarafından önerilen Siber Dayanıklılık Yasası’ndaki bir hüküm, AB’de bir güvenlik açığı keşfeden herkesin bunu 24 saat içinde ifşa etmesini gerektirecektir.
Venable’dan Geiger, “Yazıldığı gibi, GDPR gizlilik için ne kadar etkiliyse, güvenlik için de o kadar etkili olacak” dedi.
Karmaşıklığa ek olarak Geiger, mevcut tanımın iyi niyetli güvenlik araştırması ile kötü niyetli suçlular arasında ayrım yapmadığını belirtti.
“Şu anda güvenlik açığının ifşa edilmeden önce yamalandığından emin olmak için bir hüküm yok” dedi. “CRA ile ilgili endişelerin bir kısmı, daha sonra AB çapında, belki de düzinelerce AB devlet kurumuyla paylaşılan, henüz hafifletilmemiş olabilecek bir yazılım ve güvenlik açıkları listesine sahip olmanızdır.”
Güvenlik Araştırmacıları için Hukuki Yardım
Medya brifinginde Google’ın Project Zero ekibinin başkanı Tim Willis, Güvenlik Hukuku Araştırma Fonu’nun güvenlik açıklarını ifşa etmekten vazgeçen mektuplar, davalar, para cezaları ve kovuşturmalarla karşı karşıya kalan iyi niyetli güvenlik araştırmacılarına ve penetrasyon testçilerine yardımcı olacağını söyledi.
“Uzun vadede bu fon için umudum, şu anda güvenlik araştırmacıları tarafından hissedilen caydırıcı etkinin zamanla tersine dönmesidir. Tüm bu tarafların hemfikir olduğu bir şey, işler hızlı bir şekilde çözülmediğinde kullanıcıların kaybedeceğidir.” dedi.
Geiger, çabanın, araştırmalarını yalnızca kullanıcıları korumak için kullanan etik korsanları korumaya odaklanacağını vurguladı.
Geiger, “Fon, şantaj gibi bir şeyle dava edilen iyi niyetli güvenlik araştırmacılarına, aslında gasp işlemişlerse yardım etmeyi düşünmüyor” dedi. “Bu, iyi niyetli güvenlik araştırması eylemi veya bu iyi niyetli güvenlik araştırması ile bağlantılı güvenlik açığı ifşası eylemi için olacaktır.”
Future of Privacy Forum’da ABD politikasından sorumlu Başkan Yardımcısı ve Security Research Legal Defence Fund yönetim kurulu üyesi Amie Stepanovich, her talebin davanın kapsamı ve esasına ve başvuranın mali kaynaklarına göre değerlendirileceğini söyledi.
Stepanovich, “Fonları en çok ihtiyaç duyulan yerlere yönlendireceğiz” dedi. “Mümkün olduğu kadar çok insana, mümkün olduğunca çok ihtiyaç halinde yardım edebilmek istiyoruz ve bu nedenle, vakaya, ihtiyaca ve gerçek olgusal koşulların ne olduğuna bağlı olarak miktarlar hakkında kararlar alacağız.”
Google, Güvenlik Hukuku Araştırma Fonu’nu açıklanmayan bir miktarla tohumluyor, ancak fon, hiçbir şirketin fonların nasıl kullanıldığı üzerinde etkisinin olmamasını veya iltimas görmemesini sağlamak için Siber Güvenlik Politikası ve Hukuk Merkezi tarafından işletilecek. Willis, diğer şirketleri de fona katkıda bulunmaya çağırdı.
Omdia analisti Curtis Franklin, fonun ve danışmanın bağımsız araştırmacıların güvenlik açıklarını bulmadaki rolünü daha fazla doğruladığına ve desteklediğine inanıyor.
Franklin, “Bağımsız araştırmacılar şu anda güvenlik altyapımızın gerekli bir parçası ve bence bunun tanınması ve bu şirketlerin bunun daha resmi yasal olarak tanınması için adımlar atmak istemesi iyi,” diyor. “Sistemlerimiz artık o kadar karmaşık ki, hiçbir şirket sistemlerinde var olan tüm güvenlik açıklarını ve tüm etkileşimleri, yayımlanmadan önce veya sonra bulamıyor.”