BİLGİ GÜVENLİĞİ KONUSUNDA ABD HUKUKUNA BİR BAKIŞ Erdem AKYAZILI İstanbul Bilgi Üniversitesi Bilişim Teknolojisi Hukuku Uygulama ve Araştırma Merkezi
SORULAR 1) Bilgi güvenliği konusunda hukukun müdahalesine ihtiyaç var mı? - Kabul edilebilir risk mi? - Hukuki sorumluluk mu? 2) Sorumluluğun hukuki çerçevesi - Ceza Hukuku - İdare Hukuku - Özel Hukuk 3) Kim sorumlu? - Bilgi güvenliği zafiyetinden yararlanan: Fail (mesela hacker) - Teknik açık nedeniyle bilgi güvenliği zafiyetine sebep olan: Mesela İHS, banka, hastane.
BİLGİ GÜVENLİĞİ KONUSUNDA ABD HUKUKU DÜZENLEMELERİ Genel Düzenlemeler Federal yasalar ve eyalet yasaları Gramm-Leach-Bliley Kanunu Bölüm (GLB Act) Finansal hizmet sektöründe elektronik bilginin korunmasına dair tarihli Sağlık Sigortaları ve Muhasebe Kanunu (HIPAA) Sağlık sektöründe elektronik bilginin korunmasına dair.
BİLGİ GÜVENLİĞİ KONUSUNDA ABD HUKUKU DÜZENLEMELERİ Espionage Act (Sec. 793, 794, 798) Economic Espionage Act (Sec. 1831) Computer Fraud and Abuse Act Electronic Communications Privacy Act Patriot Act ULUSLARARASI DÜZENLEME: Convention of Cybercrimes
KİM SORUMLU? Klasik görüş: Fail sorumlu olursa bilgi güvenliği suistimalleri azalacaktır. Temel sorun: Failin yakalanması gerekli. 1) Fiilden haberdar olunmalı. 2) Fail tespit edilebilmeli.
KİM SORUMLU? Özel Hukuk sorumluluğu söz konusu olacaksa, failin yanında, kusuruyla fiilin olmasına neden olan da sorumlu. İHS’ler, donanım ve yazılım satıcıları, okul ve üniversiteler ile son kullanıcının da belli oranlarda sorumlu tutulması gerektiği yönünde görüşler ileri sürülmüştür. Bu görüşler bazı mahkeme kararlarında benimsenmiştir.
SORUMLULUK Özel hukuk sorumluluğunun kaynağı: - Sözleşme - Sözleşme - Haksız Fiil - Haksız Fiil
AİHS H Sözleşme Haksız Fiil Kamu İdare Ceza Hukuku İdare Hukuku
SÖZLEŞMEDEN KAYNAKLANAN SORUMLULUK Sorumluluğun esasları sözleşme hükümlerine göre belirlenir.
HAKSIZ FİİLDEN KAYNAKLANAN SORUMLULUK Kusur gerekli. Kusurun tespiti United States v. Carroll Towing Co. Davasında benimsenen yöntemle yapılmaktadır: B < P x L B: Alınması gereken önlemlerin maliyeti P: Hukuka aykırı fiilin gerçekleşme olasılığı L: Zarar
ÖRNEK MAHKEME KARARLARI Cubby v. CompuServe (1991) CompuServe bir sattığı gazetelerin içeriğinden sorumlu olmayan gazete bayiine benzer. CompuServe editörü ise ancak durumu biliyorsa veya bilmesi gerekiyorsa sorumlu tutulabilir. Buna karşılık Stratton Oakmont v. Prodigy (1995) mahkeme tam aksi sonuca varmıştır: Prodigy içerikten sorumludur.
ÖRNEK MAHKEME KARARLARI RTC v. Netcom İHS telif hakkı ihlalinden sorumludur. A&M Records, Inc. v. Napster Napster yasal olmayan materyalin dağıtıldığından haberdardı ve bunu engellemediği için sorumlu bulundu.
ÖRNEK MAHKEME KARARLARI Cyber Promotions v. Apex Global Information Services (AGIS) Apex, CP’nin hizmet sağlayıcısıdır. Sözleşme yapıldığı sırada CP’nin istenmeyen ticari e-posta gönderdiği Apex tarafından bilinmektedir. Sözleşmenin kurulmasından 6 ay sonra CP saldırıya uğrar ve bu saldırı nedeniyle Apex’in bant genişliği tüketmiştir. Bunun üzerine Apex tarafından açılan taminat davasında, mahkeme Apex’i, diğer İHS’ler gibi değişen şartlara göre uygun güvenlik önlemleri almamaktan dolayı kusurlu bulur. Bu kararla bilgisayar güvenliği konusunda en iyi uygulama kriteri, ABD hukukunda kabul edilmiş olmaktadır.
SONUÇ 1) Bilgi güvenliği konusu mutlaka hukuken düzenlenmelidir. Bu konuda hukukun tüm disiplinlerinin koordinasyon halinde olması gerekir. 2) Tüm bilgisayar kullanıcılarının bilgi güvenliği açığı konusunda sorumlulukları söz konusudur. 3) En iyi uygulama kriterleri belirlenmeli, bu kriterler hukuki sorumluluk konusunda dikkate alınmalıdır.