Almanya Federal Adalet Bakanlığı, güvenlik araştırmacılarının güvenlik açıklarını tespit edip sorumlu bir şekilde raporlamasına olanak tanıyacak bir yasa tasarısı yayımladı. Bu yasa, etik güvenlik araştırmalarını yasal sınırlar içinde koruma altına alarak araştırmacıların suçlanma korkusu olmadan güvenlik açıklarını tespit edip bildirmesini sağlamayı amaçlıyor. Mevcut durumda, Ceza Kanunu’nun (StGB) 202a maddesi gibi yasalar, faydalı amaçlarla bile olsa izinsiz veri erişimini suç sayarak etik hacker’ların güvenlik açıklarını bildirmesini riskli hale getiriyor.
Yeni tasarıda, 202a, 202b ve 303a maddelerine yeni bir paragraf eklenmesi öngörülüyor. Bu paragraf, güvenlik araştırmalarının hangi koşullarda “yetkili” sayılacağını ve bu nedenle cezai yaptırımlardan muaf olacağını belirtiyor.
Beyaz şapkaya koruma, siyah şapkaya daha sert ceza
Almanya Federal Adalet Bakanı Dr. Marco Buschmann, güvenlik araştırmacılarının kamu güvenliğine katkı sağlamasının önemini vurguluyor. “IT güvenlik açıklarını kapatmak isteyen herkes takdiri hak ediyor — savcılıktan bir mektup değil,” diyen Buschmann, kontrolsüz güvenlik açıklarının sağlık, ulaşım ve enerji gibi kritik sektörlerde ciddi tehditler oluşturduğuna dikkat çekti. Siber suçlular ve yabancı güçler, bu açıkları hastaneleri felç etmek, ulaşımı aksatmak veya enerji santrallerini tehlikeye atmak gibi amaçlarla kullanabilirler. Bu nedenle, güvenlik açıklarının hızlı bir şekilde tespit edilip düzeltilmesi kamu yararınadır. Bu yasa tasarısı ile bu önemli işi üstlenen kişilerin suçlanma riskini ortadan kaldırmayı hedefliyoruz.”
Yasa tasarısı, yalnızca güvenlik araştırmacılarını korumakla kalmıyor, aynı zamanda veri casusluğu ve veri müdahalesi gibi ciddi siber suçlar için daha sert cezalar getiriyor. Özellikle ciddi casusluk ve veri müdahalesi durumlarına yönelik yaptırımlar içeren tasarı, belirli kriterleri karşılayan izinsiz erişim ve veri engelleme suçları için daha ağır cezalar öngörüyor. Suçun ticari kazanç amacıyla işlenmesi veya kritik altyapıların işleyişini, bütünlüğünü veya gizliliğini tehlikeye atması durumunda, suçlular üç aydan beş yıla kadar hapis cezasıyla karşı karşıya kalabilirler.
Tasarı, Almanya’nın ulusal güvenliğini koruma ve kritik altyapıyı hedef alan siber saldırılara karşı daha sert yaptırımlar getirerek caydırıcılığı artırmayı amaçlıyor. Bu bağlamda, yasa tasarısının Almanya’nın dijital altyapısını güvence altına alma ve kritik sektörleri koruma çabalarının bir parçası olduğu görülüyor.
Tasarı, Adalet Bakanlığı’nın web sitesinde yayımlandı ve çeşitli eyaletler ve derneklere görüş için gönderildi. Siber güvenlik firmaları, hukuk uzmanları ve kamu sektörü temsilcileri de dahil olmak üzere paydaşların, önerilen değişikliklere ilişkin yorumlarını 13 Aralık 2024 tarihine kadar sunmaları bekleniyor. Bu yorumlar kamuya açık hale getirilecek ve bu önemli düzenleyici güncelleme hakkında şeffaf bir tartışma ortamı sağlanacak.
Almanya, siber güvenlikte AB’yi izliyor
Tasarı, Almanya’nın ulusal siber güvenliğini güçlendirme çabaları ve Avrupa Birliği’nin siber savunmayı uyumlaştırma konusundaki devam eden çalışmalarına uyum sağlama amacını taşıyor. Mevcut Alman bilgisayar suçları yasaları büyük ölçüde AB yasalarından devralınmış olsa da, AB’nin yeni siber risklere karşı bu yasaları revize etmesiyle Almanya da bu değişikliklere ayak uydurmayı hedefliyor. Bu yasa tasarısı, Almanya’nın siber tehditlere karşı daha dirençli bir dijital altyapıya sahip olmasını sağlama ve kritik sektörleri koruma hedefi doğrultusunda atılan önemli bir adımı temsil ediyor.
Siber güvenlik uzmanları ve Almanya genelindeki etik hacker’lar, sorumlu açıklama uygulamaları konusunda uzun süredir yasal netlik talep ediyordu. Mevcut yasalar altında, şirketlere güvenlik açıkları konusunda iyi niyetle bildirimde bulunmak bile cezai soruşturmalara yol açabileceği için araştırmacılar, siber güvenliğin geliştirilmesine yardımcı olmaktan kaçınıyorlardı. Önerilen yasa tasarısının, kötü niyetli hacking ile yetkili güvenlik açığı araştırmasını açıkça ayırarak bu endişeyi gidermesi bekleniyor.
Sonuç olarak, Almanya Federal Adalet Bakanlığı, güçlü bir siber güvenlik ihtiyacını, bu güvenlik açıklarını ortaya çıkarıp düzeltmek için çalışanları koruma ihtiyacıyla dengelemeye yönelik adımlar atıyor. Bu öneri, yalnızca Almanya için değil, benzer zorluklarla karşı karşıya kalan diğer ülkeler için de bir emsal oluşturabilir.
