bencede
New member
BSI Başkanı: “Daha fazla koruma için daha yüksek demiryolu”
Federal Bilgi Güvenliği Dairesi (BSI) Başkanı Claudia Plattner, daha fazla işbirliği ve pragmatik bir yaklaşım çağrısında bulunuyor. Salı günü Bonn'da düzenlenen 20. BSI kongresinde, eski BND başkanı Gerhard Schindler tarafından agresif bir şekilde desteklenen hackback çağrılarının her zaman çok spesifik bir perspektiften geldiğini söyledi. Plattner, bu durumun, bir saldırganın operasyonel açıdan önemli bir binaya bir dinamit çubuğu yerleştirmesi ve fitili, saldırganın kibritle durduğu saldırganın bölgesine kadar yerleştirmesine benzediğini açıkladı.
Duyuru
Birkaç seçenekle tepki verebilirsiniz: Saldırganı yakalayın, oyununu etkisiz hale getirin, bunu düşünebilirsiniz. Ancak sigortayı da kesebilir veya kapıyı kapatabilirsiniz. BT güvenliğinde bu, önleme ve tespit olacaktır.
Her şeyden önce cazip hedefleri temsil eden orta ölçekli şirketlerdir.
Siber güvenlik durumu endişe verici olmaya devam ediyor. Kâr amaçlı organize suç çeteleri ile devletin desteği veya hoşgörüsü arasında kutsal olmayan bir ittifak var. Çoğu durumda motivasyonu, yani saldırının siyasi mi yoksa tamamen suça dayalı bir saldırı mı olduğunu tespit etmek kolay değildir.
Plattner, küçük ve orta ölçekli işletmelerin özellikle savunmasız olduğunu, orta ölçekli işletmelerin de ilginç bir hedef olduğunu açıkladı. Ancak tıpkı büyük şirketler gibi onların da savunmasız olmaları gerekmiyor. Teknik koruma mevcuttur ve bunun uygulanması “en yüksek önceliktir”.
SBOM ve CSAF, sorunların çözülmesine yardımcı olmayı amaçlamaktadır
Bununla birlikte, her şeyi gerçekten doğru yapan şirketler bile, özellikle de tedarik zincirinin üst kademelerinde yer alan şirketler, güvenlik açıklarına karşı savunmasızdır. Bu bağlamda Plattner Log4j ve xz örneklerine değindi. BSI Başkanı bu nedenle “Yazılım Malzeme Listesini” (SBOM) daha fazla güvenliğe doğru atılmış önemli bir adım olarak görüyor. Bu, kullanılan yazılım bileşenlerinin saklandığı standartlaştırılmış bir dokümantasyon formatıdır. Makine tarafından okunabilen Ortak Güvenlik Danışma Çerçevesi (CSAF) ile birlikte bu, güvenlik açısından kritik güncellemelerin kapsamlı otomasyonuna da olanak tanır.
Bu iki unsur Siber Dayanıklılık Yasası (CRA) ile zorunlu hale geliyor. BSI başkanı bunun değerlendirmeyi de kolaylaştıracağını umuyor. Bu aynı zamanda kendinizi olası güvenlik açıklarına açık hale getirmek anlamına gelse de avantajları dezavantajlarından daha ağır basmaktadır.
İrtibat kişilerini standart bir şekilde kullanılabilir hale getirin
Güvenlik açıklarının tanımlanmasını kolaylaştırmak için BSI, RCF 9116 ile uyumlu bir güvenlik.txt dosyası önermiştir: bu, güvenlik sorunları durumunda sorumlularla iletişime geçmeyi daha kolay ve daha standart hale getirecektir. Şu anda yayınlanan öneriler, minimum iletişim bilgileri ve son kullanma tarihine ek olarak, diğer şeylerin yanı sıra güvenli iletişim kanallarını, bizimle iletişim kurmak için tercih edilen dilleri, açık iş pozisyonlarına ilişkin bilgileri, CSAF'ye referansları ve özel prosedürlere referansları dahil etmeyi tavsiye etmektedir. hata ödül programları veya kullanılacak diğer yöntemler gibi.
BSI'nın on aydır başkanlığını yapan Plattner, katılan herkes arasında daha fazla işbirliği yapılması çağrısında bulunuyor: Onun için mesele BSI için daha fazla beceri kazanmak değil. Bu, siber güvenlik için mümkün olan en kısa sürede çok şey yapmakla ilgilidir. Çünkü konu karmaşık: “Siber güvenlik DIN A4 sayfasına sığmıyor, daha çok A0 arka planına benziyor.” Tüm aktörler işbirliği yapmalı; Sorunlar federal eyaletlerin sınırlarında kalmayacaktı. Plattner, BSI'nın siber güvenlik alanında daha güçlü ve daha resmi bir konuma (siyasi açıdan tartışmalı sözde merkez ofis işlevi) karşı Länder'ın direnişine değiniyordu.
(başvuru)
Haberin Sonu