HackingTeam skandalı Wassenaar düzenlemesini etkiler mi?

Dünyadaki güvenlik ve istihbarat birimlerine casus yazılımlar satan Milano merkezli Hacking Team’in uğradığı siber saldırı, şirketin çok sayıda hükümetle olan ticari ilişkilerini ortaya çıkardı. Temmuz ayının başlarında gerçekleşen olay sonucu, firmanın hedef bilgisayarlara sızmak için kullandığı yazılım kodlarının yanı sıra müşterilerle yapılan yazışma ve faturalar da gün yüzüne çıktı. Müşterilerin arasında Libya ve Sudan gibi insan hakları noktasında son derece geri kalmış baskıcı rejimlerin bulunması aslında bir kaç senedir süren tepkilerin haklılığını ortaya çıkarmış oldu. Diğer dikkat çeken husus ise saldırıdan bir kaç ay önce ABD’nin, Wassenaar Düzenlemesi’nin kapsamını genişleterek bu tarz casus yazılımların ihracatının kontrol altına alınması hakkında Viyana’da her yıl toplanan Wassenaar’ın karar alma mekanizmasına verdiği teklifti.

2006 senesinde kurulan Hacking Team’in, onlarca ülkede bulunan müşterilerine “uzaktan kontrol sağlayan takip sistemleri” (Remote Control System) üretip sattığı bilinen bir gerçek. Bu yazılımlar sayesinde, kontrol altına alınan bilgisayar ve akıllı telefonlardan harddisk bilgileri, e-mailler, kullanıcı şifreleri ve Skype görüşmeleri gibi kişisel veriler ele geçirilebiliyor. Bununla birlikte cihazın kamerası ve mikrofonu kullanılarak hedef şahıslara ait ses ve görüntüler kaydedilebiliyor.

Terör başta olmak üzere, ülkelerin ulusal güvenliklerine tehdit oluşturan unsurların takip edilmesi ve suçun engellenmesi adına gereksinim duyulan bu sistemlerin baskıcı rejimlerin elinde ciddi insan hakkı ihlallerine sebebiyet vereceği endişesi zamanla gündeme gelmeye başladı. 2014 yılında Citizen Lab’ın yayınladığı raporda, satılan casus yazılımların baskıcı hükümetlerce politik amaçlarla muhalefet liderlerine ve yayın organlarına karşı kullanıldığı iddia edildi. Gerçekten de yapılan bazı bilişim analizleri sonucunda Sudan, Etiyopya, Birleşik Arap Emirliği ve Fas hükümetlerinin Hacking Team’den temin ettikleri yazılımlarla muhalif gazeteci ve insan hakları aktivistlerini hedef aldıkları tespit edildi. Ancak firma ısrarla bu iddiaları reddetti ve AB, BM ve NATO gibi kuruluşlarca baskıcı olarak nitelendirilen kara liste ülkelerle ticari ilişkilerden sakındıklarını vurguladı. Tartışmaların akabinde, Temmuz ayında ifşa olan 415 GB büyüklüğündeki arşiv firmaya karşı dile getirilen iddiaların gerçekliğini gözler önüne sermiş oldu.

İLGİLİ HABER >> HACKING TEAM EMNİYETE CASUS YAZILIM SATMIŞ

Hacking Team benzeri özel şirketlerin ürettiği bu yazılımların ülkelerin istihbarat ve güvenlik birimlerine satışını engelleyen uluslararası bir hukuk normunun olmayışı özellikle insan hakları örgütlerince çokça dile getirilen bir husus olmuştur. Gerçekten de yaklaşık 5 milyar dolarlık yıllık ticaret hacmine sahip olan takip sistemleri pazarı her yıl %20 oranında büyümekte ve bu durum özel hayatın gizliliği ve kişisel verilerin korunması noktasında tedirginliklere yol açmaktadır. Bu doğrultuda atılan en ciddi adım ise Wassenaar Düzenlemesi’nde 2013 yılında yapılan değişik olmuştur.

Wassenaar Düzenlemesi, asıl adıyla “Konvansiyonel Silahlar ve Çift Kullanımlı Mallar ve Teknolojiler İhracatlarının Kontrolüne Dair Wassenaar Düzenlemesi”, soğuk savaş döneminde kurulan Çok Taraflı Silah İhracat Koordinasyon Komitesi (COCOM)’nin devamı niteliğinde ortaya çıkan bir silah kontrol mekanizmasıdır. Türkiye, Rusya ve ABD de dahil olmak üzere 41 ülkenin taraf olduğu bu Düzenleme kapsamında devamlı olarak güncellenen bir teknolojik ürün ve silah listesi yayınlanmaktadır. Taraf ülkeler listedeki ürünlerin ihracatının kısıtlanması veya kontrol altına alınmasına yönelik olarak iç hukuklarında çıkardıkları yönetmelik ve tebliğlerle etkinlik sağlamaktadır. Bu Düzenleme uluslararası sözleşme (treaty) niteliğini haiz olmadığı için taraf devletler açısından uluslararası bir bağlayıcılığı bulunmasa da iç hukuk mekanizmaları bu ürünlerin ihracatını kontrol altına almaktadır. Örneğin ülkemizde bu ürünlerin ihracatı için lisans alınması gerekmektedir. İhracatçı firmaların başvurusu üzerine, İstanbul Maden ve Metaller İhracatçı Birliği Genel Sekreterliği’nce bir değerlendirme yapılmakta ve nihai karar Dış Ticaret Müsteşarlığı’nca verilmektedir. Teknolojik inceleme açısından uzmanlık gerektiren bu lisanslama sürecinin ülkemizde ehil kurumlarca yapılmaması, kontrol mekanizmasının etkin bir şekilde işletilememesine sebebiyet vermektedir.

İLGİLİ YAZI >> KURAN’I CASUSLUĞA ALET EDEN ŞİRKET

Asıl meselemize dönecek olursak, 2013 yılında Wassenaar Düzenlemesi’ne siber güvenlikle ilgili bazı yazılımların (“intrusion software” ve “IP network surveillance systems”) ihracatının lisansa bağlanması noktasında bir ekleme yapıldı. Ancak asıl dikkat çeken teklif,  Mayıs ayında ABD’den geldi.  Teklife göre, 2013’teki liste, çok daha kapsamlı olacak şekilde genişletilecek ve yazılımlar konusunda çok ciddi bir ihracat kontrolü söz konusu olacak. Aslında 2013’teki değişiklik her ne kadar “saldırı yazılımları” tanımını geniş tutsa da getirilen istisnalar kontrol mekanizmasının kısıtlı bir seviyede kalmasını sağlıyor.Son verilen teklif ise, bu istisnaları kaldırmakla beraber güvenlik araştırmaları ve penetrasyon testlerinde kullanılan araç ve yazılımların ihracatına lisans zorunluluğu getiriyor.Bu durumda, siber saldırılara karşı sistem açıklarınıtespit etmeye yarayan teknolojiler için lisans zorunlu hale gelecek  ve hatta bulunan açıkların paylaşılması yasaklanmış olacak.

HAFTALIK HABER BÜLTENİNE ABONE OLMAK İÇİN FORMU DOLDURUNUZ

 

Teklif, başta Google olmak üzere birçok yazılım üreticisinden ciddi eleştiriler aldı. Kuralların çok geniş kapsamlı olmakla beraber muğlâk ifadeler içermesinin söz konusu yazılım teknolojilerine ait bilgilerin küresel düzeyde paylaşılmasını kısıtlayacağı ifade edildi. Google Chrome Güvenlik Ekibi’nden Tim Willis yaptığı açıklamada, teklifin kabulünün güvenlik açıklarını bulmak adına yapılan Ar-Ge çalışmalarında caydırıcılığa sebep olacağı ve araştırmaları sekteye uğratacağını vurguladı. Yazılım güvenliği uzmanı Jonathan A. Zdziarski ise, bu kadar kapsamlı bir kısıtlamanın ürünlerin hukuksuz olarak kullanılmasını engellemekten çok güvenlik amaçlı yapılan araştırmaları yavaşlatacağını ve internet güvenliğinde çok ciddi açıklara sebebiyet vereceğini belirtti. Yoğun tepkiler üzerine Temmuz ayı sonunda açıklama yapan ABD Ticaret Bakanlığı sözcüsü, yapılan yorumları göz önünde bulundurarak teklifi tekrar gözden geçireceklerini ifade etti.

Özetle, Hacking Team’in uğradığı saldırı uzaktan kontrol sağlayan takip sistemlerinin ne kadar yaygın olarak kullanıldığını gözler önüne serdi. Özellikle, 3. Dünya ülkesi olarak sınıflandırabileceğimiz ülkelerin bu ürünleri hukuki çerçeve dışında bir saldırı mekanizması olarak kullanabileceği görülmüş oldu. Bu doğrultuda, 2013’te Wassenaar Düzenlemesi’ndeki değişiklik ile ortaya konulan siber güvenlik ürünlerine ihracat kontrolü bu konudaki ilk ciddi adım olmuştu. Ancak geçtiğimiz aylarda Hacking Team gibi şirketlerin ürettiği casus yazılımların da ihracatını kısıtlayacak yeni kuralların getirilmesi internet güvenliği uzmanlarınca ciddi tepkilere sebep oldu ve teklif konusunda geri adım atıldı.

Suçla mücadele açısından zaruri görülen takip sistemlerinin insan hakkı ihlallerine sebebiyet verecek saldırı araçlarına dönüşebildiği görülmekle beraber, bu yazılımların ihracatında gidilecek bir kısıtlamanın da durumu kontrol altına almaktan çok güvenlik konusundaki Ar-Ge çalışmalarını yavaşlatabileceği tartışmaları daha uzun yıllar devam edeceğe benziyor.

Ahmet Gumusbas

2014 yılında Bilkent Üniversitesi Hukuk Fakültesi’nden onur derecesiyle mezun oldu. Aynı yıl Leiden Üniversitesi'nde başladığı Uluslararası Kamu Hukuku yüksek lisans programını 2015 yılında Birleşmiş Milletler Geçici Yönetimleri üzerine yazdığı tezle tamamladı. Yüksek lisansı sırasında "The meaning of 'attack' in context of Cyber Warfare" adlı bir makale kaleme aldı. 2016 yılında tamamladığı avukatlık stajı sonrası Birleşmiş Milletler - Eski Yugoslavya Uluslararası Ceza Mahkemesi’nde yasal stajyer olarak başladığı kariyerine uluslararası bir STK’de hukuki danışman olarak bir süre devam etti. Gümüşbaş halen Leuven Katolik Üniversitesi’nde uluslararası hukuk alanında doktora programına devam etmektedir.
Ahmet Gumusbas

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Ahmet Gumusbas

2014 yılında Bilkent Üniversitesi Hukuk Fakültesi’nden onur derecesiyle mezun oldu. Aynı yıl Leiden Üniversitesi'nde başladığı Uluslararası Kamu Hukuku yüksek lisans programını 2015 yılında Birleşmiş Milletler Geçici Yönetimleri üzerine yazdığı tezle tamamladı. Yüksek lisansı sırasında "The meaning of 'attack' in context of Cyber Warfare" adlı bir makale kaleme aldı. 2016 yılında tamamladığı avukatlık stajı sonrası Birleşmiş Milletler - Eski Yugoslavya Uluslararası Ceza Mahkemesi’nde yasal stajyer olarak başladığı kariyerine uluslararası bir STK’de hukuki danışman olarak bir süre devam etti. Gümüşbaş halen Leuven Katolik Üniversitesi’nde uluslararası hukuk alanında doktora programına devam etmektedir.
Ahmet Gumusbas