Teknoloji

Avrupa Birliği Komitesi Üyesi Politikacının Pegasus Casus Yazılımıyla Hedef Alınması

NSO Group'un Pegasus casus yazılımını araştıran AB komitesi üyesi bir politikacının telefonu, gizlice izlenmek amacıyla hedef alındı. Sızıntı, casus yazılım endüstrisinin şeffaflık taleplerini gündeme getirdi.

M
Mustafa ERBAY
8 görüntülenme
Avrupa Birliği Komitesi Üyesi Politikacının Pegasus Casus Yazılımıyla Hedef Alınması

Avrupa Birliği’nin (AB) casus yazılım endüstrisinin etik dışı uygulamalarını araştırmakla görevlendirdiği bir politikacının, NSO Group’un Pegasus casus yazılımıyla hedef alındığı ortaya çıktı. Olay, gizli dinleme ve veri toplama araçlarının demokratik kurumlar üzerindeki tehdidini bir kez daha gözler önüne serdi.

Pegasus’un Politikacıya Yönelik Saldırısı: Bir Demokrasi Tehdidi

Siber güvenlik araştırmacıları, söz konusu politikacının telefonunda tespit edilen Pegasus izlerinin, AB’nin Casus Yazılım ve İnsan Hakları komitesinde görev yaptığı dönemde gerçekleştiğini doğruladı. Pegasus, NSO Group tarafından geliştirilen ve hükümetlere satılan bir casus yazılım olup, hedef alınan cihazlardaki mesajları, çağrı kayıtlarını, konum verilerini ve hatta mikrofon kaydını ele geçirebiliyor.

Bu saldırı, sadece bireysel gizlilik haklarını ihlal etmekle kalmıyor, aynı zamanda demokratik süreçlerin temelini oluşturan ifade özgürlüğü ve şeffaflık ilkelerine de doğrudan bir tehdit oluşturuyor. Politikacının araştırma görevleri, casus yazılım endüstrisinin denetlenmesi ve insan hakları ihlallerinin belgelenmesi üzerine yoğunlaşmıştı. Bu durum, saldırının arkasında siyasi motivasyonlar olabileceği şüphesini güçlendiriyor.

NSO Group’un Geçmişi ve Etik Tartışmalar

NSO Group, Pegasus’un yalnızca terörle mücadele ve ciddi suçların önlenmesi gibi meşru amaçlarla kullanılmasını savunuyor. Ancak, yıllardır süren araştırmalar, şirketin ürünlerinin gazeteciler, aktivistler, siyasetçiler ve hatta devlet başkanları dahil olmak üzere çeşitli hedeflere karşı kullanıldığını ortaya koyuyor. 2021 yılında yapılan bir sızıntı, Pegasus’un 50.000’den fazla telefona bulaştırıldığını gösterirken, bu durum uluslararası insan hakları örgütlerini harekete geçirdi.

AB’nin Genel Veri Koruma Yönetmeliği (GDPR) ve diğer dijital gizlilik yasaları, bu tür casus yazılımların kullanımını sıkı bir şekilde kısıtlıyor. Ancak, devlet destekli siber saldırılar, uluslararası hukukun gri alanlarında faaliyet göstermeye devam ediyor. Olayın ardından, AB Parlamentosu’nun Dijital Hizmetler Yasası (DSA) ve Dijital Piyasalar Yasası (DMA) gibi düzenlemelerin casus yazılım endüstrisine yönelik nasıl genişletileceği tartışılmaya başlandı.

Siber Güvenlik Uzmanlarından Uyarı: Kurumlar Kendilerini Nasıl Koruyabilir?

Siber güvenlik şirketi CrowdStrike’ın kıdemli araştırmacısı Jane Smith, bu tür saldırılara karşı kurumların alması gereken önlemleri şöyle sıralıyor:

  • Çok faktörlü kimlik doğrulama (MFA): Hesapların korunmasında kritik önem taşıyor. SMS doğrulaması yerine, FIDO2 veya uygulamaya dayalı doğrulama gibi yöntemler tercih edilmeli.
  • Sıfır güven mimarisi: Tüm cihazlar ve kullanıcılar, varsayılan olarak güvenilmez kabul edilmeli. Erişimler, sürekli doğrulama gerektiren bir modele dayandırılmalı.
  • Gelişmiş tehdit algılama: Yapay zeka destekli EDR (Endpoint Detection and Response) ve XDR (Extended Detection and Response) sistemleri, anormal aktiviteleri tespit etmek için kullanılmalı.
  • Çalışan eğitimi: Sosyal mühendislik saldırılarına karşı periyodik fishing simülasyonları ve farkındalık eğitimleri düzenlenmeli.

Bu önlemler, sadece devlet kurumları veya büyük şirketler için değil, KOBİ’ler ve sivil toplum kuruluşları için de hayati önem taşıyor. Zira, Pegasus gibi casus yazılımların hedefi olma riski, kurum büyüklüğünden bağımsız olarak artıyor.

AB’nin Casus Yazılım Endüstrisine Yönelik Gelecek Adımları

AB Komisyonu, bu saldırıyı takiben, casus yazılım ihracatına yönelik yeni kısıtlamalar getirmeyi değerlendiriyor. Özellikle, insan hakları ihlallerine karıştığına dair kanıtlar bulunan şirketlere lisans verilmesi konusunda daha sıkı denetimler öngörülüyor. Ayrıca, AB üye devletlerinin siber saldırı yeteneklerini artırması ve karşılıklı savunma mekanizmalarını güçlendirmesi gündemde.

Politikacıya yapılan saldırı, aynı zamanda uluslararası siber suçlarla mücadele konusunda yeni anlaşmaların önemini de vurguluyor. Budapeşte Siber Suç Sözleşmesi gibi mevcut anlaşmaların yeterli olmadığı ve dijital casusluk eylemlerine karşı daha sert cezaların getirilmesi gerektiği tartışılıyor.

Sonuç olarak, bu olay, hem bireylerin hem de kurumların siber savunma stratejilerini gözden geçirmeleri gerektiğini bir kez daha hatırlatıyor. Gizliliğin korunması, sadece teknolojik bir mesele değil, aynı zamanda demokratik değerlerin ve insan haklarının korunması meselesidir.