Bilgisayarın Kötüye Kullanımı Yasası'nın savunucuları tarafından oluşturulan bir rapor (CMA) reform, kanundaki değişiklikleri değerlendiren politika yapıcılara, BT sistemlerine bazı izinsiz erişim örneklerinin meşruluğu ve yasallığı konusunda netlik sağlamayı umuyor. Rapora göre siber güvenlik uzmanları ve profesyoneller bu konularda hemfikir.
Taraflar Bilgisayar Kötüye Kullanım Yasası konusunda fikir birliğine vardı
CyberUp hareketi yıllardır Bilgisayar Kötüye Kullanım Yasası reformu talep ediyordu. Yasanın, BT endüstrisinin önemli ölçüde farklı olduğu 1990'ların başında kabul edilmesinden bu yana, güvenlik camiasında, yasanın mevcut metninin esasen etik bilgisayar korsanlarının ve güvenlik araştırmacılarının çalışmalarını suç saydığına dair çok fazla endişe var.
Bu nedenle grup, 2019'dan bu yana Bilgisayar Kötüye Kullanım Yasası'na yasal bir savunma eklenmesi için baskı yapıyor. Hükümet geçen yıl Bilgisayar Kötüye Kullanım Yasası'nda reform yapmak için çalışmaya başlayacağını açıklasa da, o zamandan bu yana çok az değişiklik oldu; Lordların, Ürün Güvenliği ve Telekomünikasyon Altyapısı (PSTI) Tasarısına yasal bir savunma ekleme girişimi.
“Bugün yayınlanan raporda ana hatlarıyla belirtilen fikir birliği, yasal bir savunmanın pratikte nasıl işleyebileceğini gösteriyor. En önemlisi, siber uyanıklığın 'Vahşi Batı'sını açmayacağının altını çiziyor. CyberUp Kampanyası, bunun yerine, raporda özetlenen faaliyetleri savunulabilir hale getirmek için Bilgisayar Kötüye Kullanım Yasası'nda reform yaparak, hükümetin ulusun ve müttefiklerinin siber dayanıklılığının arttırılması ve Birleşik Krallık'ın yerel siber sektörünün hızlandırılmış büyümesi de dahil olmak üzere bir dizi fayda sağlayabileceğini savunuyor. kampanyacılar güvenlik sektörü” dedi.
Anket katılımcılarından güvenlik açığı ve tehdit araştırmalarında kullanılan siber faaliyetleri ve teknikleri birkaç kategoriye ayırmaları istendi: hiç zarar vermeyen veya çok az zarar veren ancak fayda sağlayan, savunulabilir eylemler; zarara yol açan ancak hiç fayda sağlamayan veya çok az fayda sağlayan ve yine savunulabilir nitelikteki eylemler; ve zarara neden olan ancak hiç fayda sağlamayan veya çok az fayda sağlayan, savunulamaz eylemler.
CyberUp, ilk kategoriye giren 13 etkinlik üzerinde anlaştı. Bunlar arasında uygulama programlama arayüzü (API) anahtarlarının kullanılması, banner kapma, işaret kullanımı, güvenlik duvarları ve ağ erişim kontrollerinin uygulanması, bal küpleri ve açık dizin listelerinin kullanılması, pasif istihbarat toplama, bağlantı noktası tarama, sanal alanlar veya tarpitlerin kullanılması, sunucuların veya botnet'lerin yok edilmesi, Holing, web kazıma ve kötü amaçlı yazılım analizi. CyberUp, yenilenen Bilgisayar Kötüye Kullanım Yasası'nın sonuç olarak bu eylemleri haklı göstermesi gerektiğini düşünüyor.
CyberUp, ikinci kategoride ileri veya aktif istihbarat toplama, üçüncü taraf ağlara yama uygulama ve saldırganların sistemlerinden bilgi toplamak için uzak masaüstü protokol bağlantılarını kullanmanın savunulabilir olabileceği ancak bunların nasıl yönetileceğini belirlemek için daha fazla araştırmaya ihtiyaç duyulacağı ikinci kategoride fikir birliği keşfetti.
Bir sonraki soruda katılımcılara, yeni oluşturulan Bilgisayar Kötüye Kullanım Yasası'nın yetkisiz erişim gerektiren meşru veya gayri meşru siber faaliyetleri ve taktikleri dikkate alıp almaması gerektiği konusundaki görüşleri soruldu.
Odadaki fil: Çalışanlar siber güvenlik eğitimlerini görmezden geliyor
CyberUp'a göre birçok etkinlik, geçerli yetkisiz erişim durumları olarak değerlendirilebilir ve bu nedenle izin verilmesi gerekir. Kamuya açık (yani internete açık) sistemlerin güvenlik açıkları açısından orantılı olarak araştırılması, sorumlu güvenlik araştırması, sorumlu açıklama, aktif tarama, numaralandırma, internet taraması için en iyi uygulamalar, Active Directory listelerinin kullanımı, tanımlama, pasif keşif ve soruşturma ve Bal küplerinin kullanımı bu faaliyetlerden bazılarıdır.
Ayrıca, geri hackleme, dağıtılmış hizmet reddi saldırıları başlatma, kötü amaçlı yazılım ve fidye yazılımı kullanma, kötü niyetli "sosyal olarak istenmeyen" eylemlerde bulunma, açıklardan yararlanmaları doğrulama veya kanıt sağlama dahil olmak üzere hangi davranışların yasa dışı yetkisiz erişim olarak nitelendirildiğine ilişkin fikir birliğinin olduğu da keşfedildi. Güvenlik sınırının ihlal edilmesi ve ülkenin kritik altyapısının önemli parçaları olduğu düşünülen sistemlere izinsiz girilmesi. Başkalarına zarar vermek gibi daha belirsiz bir fikir de bu eylem koleksiyonuna dahil edilmiştir.
Sonuç
Son olarak araştırma, İçişleri Bakanlığı'nın olası düzenleyici değişikliklere geçmeye hazır olması nedeniyle, aktif savunma olarak adlandırılan siber taktik grubunun hala gri bir alanı temsil edebileceği konusunda bir anlaşmaya varıldığını gösteriyor.
Tehdit aktörlerinin ağlarına veya sistemlerine sızma, pasif olarak tespit edilen güvenlik açıklarını doğrulama, güvenlik açıklarından yararlanma, kimlik bilgileri doldurma, şüpheli veya kötü amaçlı varlıkları etkisiz hale getirme, aktif olarak istihbarat toplama, botnet kullanma ve adli analizleri aktif olarak araştırma ve yürütme gibi eylemler bu gri alanların örnekleridir.
Artan siber güvenlik riskleri sağlık sektörünü tehdit ediyor
CyberUp, çalışmasında yer alan eylem listesinin tamamının, yasal bir savunmayla birlikte hükümet rehberliğinde yer alması anlamına gelmediğini, çünkü güvenlik ortamının ne kadar hızlı ilerlediği göz önüne alındığında listenin şüphesiz güncelliğini yitireceğini vurguladı. Bunun yerine, bir mahkemenin gelecekteki hayali bir davayı değerlendirirken herhangi bir zamanda "zarar-fayda" matrisine dayalı anlaşma düzeyini kullanabileceğini umduğunu belirtti.
Ayrıca, katılımcıların birçoğunun izin verilen faaliyetlerin sınırlarını genişletmeye yönelik genel stratejiye katılmadığını veya bu stratejiyle ilgili endişeleri olduğunu da keşfetti. Bir kişi, "istihbarat veya kolluk operasyonlarının aksaması, diplomatik olaylar veya savaş" potansiyeli göz önüne alındığında statükonun korunması gerektiğini söyledi.
Siber zorbalık toksik davranışlarımızın dijital versiyonudur ve kimsenin buna ihtiyacı yoktur
Bazı katılımcılar belirli siber operasyonlar için bir lisanslama sisteminin olması gerekip gerekmediğini sorgularken, bir diğeri ise yalnızca geçerli mahkeme izinlerine sahip sertifikalı aktörlerin bu faaliyetlerde bulunması gerektiğini söyledi.
Bu istişare sürecinin sonuçlarına göre, yetkisiz erişim gerektiren ancak zarar verme potansiyeli açısından tartışmalı olmayan ve revize edilmiş Bilgisayar Kötüye Kullanım Yasası kapsamında yasal olması gereken siber güvenlik faaliyetleri türleri üzerinde anlaşma sağlandı.
Bu anlaşma, siber güvenlik uzmanları için yasal savunmaya dayalı yeni bir yasal çerçevenin temel taşı olacak. Bu, politika yapıcılara, gözden geçirilmiş Bilgisayar Kötüye Kullanım Yasası'nın vahşi batıda siber ihtiyatlılığı tetiklemeyeceği konusunda güvence vermelidir. Bunun yerine, Birleşik Krallık'ın siber güvenlik sektörünün, toplumu güvence altına almaya yönelik genel çabanın bir parçası olarak Birleşik Krallık'ı daha iyi korumasını ve siber suçluların adalet önüne çıkarılmasını mümkün kılacak.
