Arka kapı erişimi için hükümet talepleri: Federal kurumların özel verilere erişimi olmalı mı?

• Yazar:
• Yazar adı

  Kuantumrun Öngörüsü
• 19 Ekim 2022

Analiz özeti

Pek çok hükümet, giderek artan siber saldırıların körüklediği web şifreleme düzenlemesini tartışıyor. 2020 yılında Avrupa Birliği Konseyi konuyla ilgili bir karar kabul etti. Bu arada ABD, teknoloji endüstrisini ulusal yönetimlere arka kapı erişimi sağlamaya teşvik etmek için Kanada, Hindistan, Japonya, İngiltere, Avustralya ve Yeni Zelanda'ya katıldı.

Arka kapı erişim bağlamı için hükümet talepleri

Şifreleme, yetkisiz kişi veya kuruluşlar tarafından okunabilirliğini önlemek için verilerin anlaşılmaz bir forma dönüştürülmesi işlemidir. Bu teknoloji, birinin verilere erişmesini engellemez, ancak bilgilerin kendisini görüntülemesini engeller. Verilerin şifresi bir anahtar olmadan çözülebilse de, bunu yapmak önemli ölçüde teknik bilgi gerektirir. 

Arka kapı, bilgilere izinsiz erişmek için veri kimlik doğrulamasını veya şifrelemeyi atlamanın gizli bir yöntemidir. Bir arka kapı, farklı yazılımlar veya özel donanımlar kullanılarak bir bilgisayar programına yerleştirilebilir. Yaygın ve kabul edilebilir bir arka kapı, üreticinin yazılımındaki veya cihazındaki, şirketin kullanıcı parolalarını sıfırlamasına izin veren mekanizmasıdır.

Teknoloji ve siber suçlular daha karmaşık hale geldikçe, hükümetler teknoloji sağlayıcılarına, bunun ulusal güvenlik için olduğunu iddia ederek federal kurumlara arka kapı erişimi sağlamaları konusunda baskı yapıyor. Örneğin, ABD hükümeti, kolluk kuvvetlerinin kimliği tespit edilen teröristlerin ve diğer suçluların bilgisayarlarına ve cep telefonlarına erişmesine izin vermek için bilgisayar donanımı oluşturulmasını önerdi. En eski arka kapı tekliflerinden biri, 1993 yılında ABD Ulusal Güvenlik Ajansı'nın Clipper Chip'i kolluk kuvvetlerine şifreli iletişimlere erişim sağlamak için tasarladığı zamandı. Çip, gönüllü olarak benimsenmesine rağmen, belirgin veri gizliliği ihlalleri nedeniyle yaygın olarak uygulanmadı.

Yıkıcı etki

Arka kapılar, web kameralarından ve kişisel verilerden bilgi toplamak için kötüye kullanılabilse de, daha ileri kullanımlara da sahip oldukları zamanlar vardır. Örneğin geliştiriciler, cihazlara ve işletim sistemlerine güvenli güncellemeler yüklemek için bunları kullanır. Hükümetler, kolluk kuvvetlerinin arka kapılar aracılığıyla kişisel cihazlara erişmesine izin vermek için bir dizi "altın anahtar" oluşturulması gerektiğinde ısrar ediyor.

2020'de Cumhuriyetçi milletvekilleri tarafından Şifrelenmiş Verilere Yasal Erişim Yasası çıkarıldı. Yasalaştığı takdirde, iletişim hizmetlerindeki şifrelemeyi zayıflatacak ve böylece kolluk kuvvetlerinin bir izinle cihazlara erişebilmesini sağlayacak. Ayrıca bir arka kapı, sıradan insanları siber suçluların saldırılarına karşı savunmasız bırakabilir. Sıfır gün güvenlik açıklarının yaygınlığı (yani bilgisayar korsanlarının sistemlerdeki zayıflıkları başlatılır başlatılmaz istismar etmesi) göz önüne alındığında, bazı uzmanlar arka kapıların en iyi çözüm olduğundan şüphe ediyor. Ancak tasarı teklif aşamasının ötesine geçemedi.

En belirgin endişe, arka kapı erişiminin gizlilik haklarını ihlal edip etmediğidir. Buna ek olarak, bir arka kapı kolluk kuvvetlerinin kullanımı için açık bırakıldığında, başkaları onu bulup kötüye kullanabilir, bu da şifrelemeyi işe yaramaz hale getirebilir. Ayrıca bazı uzmanlar, New America Açık Teknoloji Enstitüsü'nden kıdemli politika analisti Andi Wilson Thompson'ın, arka kapı faturalarının şifrelemeye yönelik başka bir saldırı olduğunu söylemesiyle aynı fikirde. 

Arka kapı erişimi için resmi makam taleplerinin etkileri

Devletin arka kapı erişimi taleplerinin daha geniş sonuçları şunları içerebilir: 

• Ulus devletler, şirketleri kamu gözetimi için özel bilgileri sunmaya zorlamak için rıza ve gizlilik yasalarını atlıyor.
• Telekom ve internet servis sağlayıcıları, arka kapıların neden olduğu sıfırıncı gün saldırılarına karşı korunmak için siber güvenlik önlemlerini iyileştirmeye baskı yapıyor.
• Daha fazla sıradan insan, veri gizliliğinin olası ihlaliyle ilgili endişelerini dile getiriyor ve bu da vatandaşlar ve temsilcileri arasında artan gerilime yol açıyor. 
• Teknoloji şirketlerinin şifresi çözülmüş verileri göndermesi veya cezalandırılma veya para cezasına çarptırılma riski.
• Küçük ve orta ölçekli işletmeler (KOBİ'ler), odaklarını arka kapı gerektirmeyen şifreleme teknolojileri geliştirmeye kaydırarak gizliliğe öncelik veren müşterileri çekiyor.
• Karmaşık uyumluluk sorunlarıyla karşı karşıya olan uluslararası işletmeler, ülkeler arasında farklı şifreleme düzenlemeleriyle uğraşmak zorunda kalıyor ve bu da potansiyel olarak küresel operasyonları engelliyor.
• Eğitim kurumlarının daha güçlü dijital güvenlik ve gizlilik derslerini müfredatlarına entegre etmesi, bu konulara artan kamu ilgisini ve hükümet odağını yansıtıyor.

Dikkate alınması gereken sorular

• Özel bilgilerin siber suçluların eline geçmesinin diğer olası sonuçları nelerdir?
• Şirketler verilerini devlet yetkililerinden başka nasıl koruyabilir?