Siber güvenlik dünyasında dikkat çeken bir dönüşüm yaşanıyor: Kurumlara yönelik saldırılarla adlarını duyuran bazı bilgisayar korsanları, zamanla bu kurumların güvenlik ekiplerinde yer almaya başladı. "Beyaz şapkalı hacker" kavramı, etik sınırlar içinde hareket eden ve sistem açıklarını kötüye kullanmak yerine raporlayan bireyleri tanımlıyor. Ancak bazı örneklerde, sistemleri yasa dışı yollardan ihlal eden hackerların daha sonra aynı kurumlarca işe alınması, etik tartışmaları da beraberinde getiriyor.
Yeteneği cezalandırmak mı, değerlendirmek mi?
Dünyada olduğu gibi Türkiye’de de bazı hackerlar, kamu kurumlarını veya özel şirketleri hedef alan siber saldırılarla gündeme geldikten sonra, teknik bilgileri ve sistem açıklarını bulmadaki becerileri nedeniyle bu kurumların dikkatini çekiyor. Özellikle yüksek profilli veri sızıntıları sonrası gözaltına alınan bazı kişiler, suçlamaların ardından "siber güvenlik danışmanı" sıfatıyla kurum içinde görev alabiliyor.
Bu tür uygulamalara karşı çıkanlar, suça ödül verildiğini savunurken; destekleyenler, sistemin zayıflığını ortaya koyanların sisteme dahil edilerek daha güçlü bir savunma ağı kurulabileceğini ileri sürüyor.
Kurumlar neden tercih ediyor?
Uzmanlara göre, bu kişilerin bilişim altyapılarına dair sezgisel ve pratik bilgileri, klasik eğitimlerden çok farklı. Hacker kökenli uzmanlar, sistemlere sıradan yöntemlerle değil, saldırgan zihniyetiyle yaklaştıkları için güvenlik açıklarını daha etkili tespit edebiliyor. Bu yaklaşım, "düşmanı tanı, onunla savaş" anlayışını andırıyor.
Ayrıca özel sektörde, yasal çerçevede "etik hacker" programları giderek yaygınlaşıyor. Büyük şirketler, “bug bounty” adı verilen ödül sistemleriyle kendi açıklarını bulan ve bildiren hackerlara ciddi meblağlar ödüyor.
Hukuki ve etik sınırlar bulanık
Ancak sistemleri yasa dışı yollarla hackledikten sonra iş teklifi almak, hâlâ gri bir alan. Türkiye’de Türk Ceza Kanunu’na göre bilişim sistemine izinsiz giriş suçu açıkça tanımlanmış durumda. Bir hackerın bu suçu işlemiş olması hâlinde yargı süreci sona ermeden istihdam edilmesi, kurumların hukuki sorumluluklarını da gündeme getiriyor.
Bu nedenle bazı kurumlar, önce etik hacker programlarına dahil kişileri tercih ediyor. Yani sisteme izinsiz girmeden, açık bildirenlerle çalışma daha yaygın ve yasal bir zemin oluşturuyor.
