İsrail polisinin, cep telefonlarını yakından izleyebilen NSO Pegasus casus yazılımını, eski Başbakan Benjamin Netanyahu’nun devam eden davasında bir devlet tanığı da dahil olmak üzere kendi vatandaşlarına karşı kötüye kullandığı yönündeki medya suçlamalarının ardından, hükümet soruşturması yakın zamanda belirlendi polisin yanlış bir şey yapmadığını ve yasalara uygun hareket ettiğini söyledi.
Burada önemli olan soruşturmanın sonucu değil, İsrail’in ürünlerini ihraç eden yerel bir şirket olan NSO’dan ziyade polisi soruşturması. Ancak polis soruşturması, bu araçların nasıl kullanıldığına ilişkin etik yükün, yalnızca satıcılara değil, nihai olarak doğrudan kullanıcılarına ve bunları satın alan veya ihraç edilmelerine izin veren hükümetlere ait olduğunun altını çiziyor.
Aynı teknoloji, Suudi hükümetine köşe yazarı Jamal Khashoggi’yi öldürmesinde yardım etmek ve Meksika ve Birleşik Arap Emirlikleri’ndeki muhalifleri takip etmek için kullanıldığı iddiası da dahil olmak üzere, yurtdışında kullanımı için ateş altında kaldı. NSO ve başka bir İsrail siber şirketi, ürününün nasıl kullanıldığına ilişkin kamuoyu eleştirilerine ek olarak ABD hükümeti tarafından kara listeye alındı, bu da Amerikan şirketlerinin onlara teknoloji satamayacağı anlamına geliyor. Bu hamleler, bazı hükümet yöneticilerinin (ve kamuoyunun) casus yazılımların nasıl kullanıldığına dair tüm suçu yanlış bir şekilde casus yazılımın yapımcılarına yüklediğini gösteriyor.
Saldırgan Siber Araçların Kullanımından Kim Sorumludur?
Dünya, saldırgan siber araçların tanklardan, insansız hava araçlarından veya füzelerden farklı olmayan silahlara dönüştüğünü kabul etmelidir. Bu nedenle, geleneksel silahlarda olduğu gibi, kullanımlarının sorumluluğu, nihai olarak, kolluk kuvvetleri, ordular veya istihbarat teşkilatları olsun, onları kullananların ve ayrıca ihraç edilmelerine izin veren hükümetlerin elindedir.
Şirketin araçların nerede veya ne sıklıkta kullanıldığını görmesi bazen teknik olarak mümkün olsa da, bu şirketlerin kullanımlarını anlamlı bir şekilde izleyebileceklerini düşünmek saflık olur. Özellikle araçlar genellikle gizli faaliyetlere yardımcı olmak için istihbarat iznine ihtiyaç duyanlar tarafından kullanıldığından, lojistik olarak imkansızdır. Özel şirketler de polisin hangi araçları ne için kullanabileceğine karar verme konumunda olmamalıdır; hükümetin rolü budur.
Bu araçların ihracatıyla ilgili olarak, İsrail hükümeti, kendisinin ve diğer birçok ülkenin geleneksel silah ihracatını düzenlemesine benzer şekilde, hangi siber teknolojilerin ve kime ihraç edilebileceğini onaylıyor. İsrail hükümeti ayrıca kısa süre önce, ABD’nin kamuoyu endişeleri ve araçları satın alan yabancı hükümetlerin bunları muhalifleri ve insan hakları aktivistlerini hedef almak için kullandığı yönündeki iddialar arasında kara listeye alınmasının ardından, bu araçların satılabileceği yabancı hükümetler listesini yeniden gözden geçireceğini söyledi.
Ancak yine de, NSO – veya bu konuda benzer herhangi bir şirket – araçların kullanımından makul olarak sorumlu tutulamaz veya suçlanamaz. Ne de olsa şirket onları yalnızca İsrail hükümetinin temizlediği ülkelere (ve özellikle İsrail ve ABD’den düzenli olarak güçlü geleneksel silahlar satın alan ülkelere) sattı; bunların yurtdışında kötüye kullanılmasına ilişkin herhangi bir sorumluluk, siber araçların üreticisine değil, ihracatlarını onaylayan hükümete (yabancı kullanıcılara olduğu kadar) aittir.
Etik kod
Elbette bu, siber şirketlerin herhangi bir etik koddan muaf olduğu anlamına gelmiyor; aslında, geçemeyecekleri katı kırmızı çizgileri var. Bunlar, saldırı araçlarını yalnızca onaylanmış hükümet listelerine ihraç edebileceklerini ve bunları bireylere, hükümet dışı gruplara veya terör örgütlerine satamayacaklarını içerir. Tüm bu yönergeleri gerçekten takip ettilerse, şirket işini en azından etik düzeyde yapmıştır.
Ne de olsa özel bir şirketin, bu tür araçları satın almak veya kullanmakla ilgilenebilecek yabancı hükümetlerin niyetlerini, etik ve yasal duruşlarını anlaması, bunları kullanabilecekleri toplumun inceliklerini ve olası sonuçlarını tam olarak kavraması beklenemez. Bu hükümetler için de zor olsa da, geleneksel silahları hangi ülkelere ihraç edeceklerine karar verme konusunda daha fazla uzmanlığa sahipler ve onlarca yıldır bu sorumluluğu üstleniyorlar.
Siber endüstri geliştikçe, hem savunma hem de saldırı araçlarının daha güçlü hale geleceğine şüphe yok. Uygun şekilde kullanıldığında, bu araçlar telefonları takip ederek şiddet suçlarını durdurarak veya kritik altyapıya yönelik siber saldırıları önleyerek hayat kurtarabilir. Ayrıca, hiç şüphesiz, kötüye kullanılabilirler. Ancak bu ince ve karmaşık çizgi, özellikle araçların potansiyel alıcıları kişinin kendi hükümeti veya müttefik bir ülke olduğu durumlarda, özel sektörün kapsamının çok ötesindedir. Bu hükümetler için bir yargı çağrısıdır.
Siber şirketlerin araçlarını kimin kullanacağına karar vermede tek başına ana rolü oynamasını beklemek sadece mantıksız değil, aynı zamanda tehlikelidir.