bencede
New member
Almanya'nın en üst düzey siber güvenlik otoritesi göründüğü kadar pasif değil. Görünüşe göre Federal Bilgi Güvenliği Bürosu (BSI), geçen yılın sonbaharından bu yana güvenlik önlemleriyle ilgili bilgi almak için Microsoft'a başvuruyor. Microsoft'un herhangi bir şey sağlamaması ve açıklamayı geciktirmeye devam etmesi üzerine, BSI en keskin kılıcına başvurdu: BSI Yasası'nın 7a Bölümü, diğer hususların yanı sıra, bilginin açıklanması için dava açmasına olanak tanıyor. Bu artık Federal Meclis'in dijital komitesinden yapılan bir sızıntıyla biliniyor.
Duyuru
Bilgi talebi, Microsoft'taki sansasyonel güvenlik olayları bağlamında geliyor; eyalet saldırganları birçok kez Microsoft'un kendisinden ve aynı zamanda bulut müşterilerinden gelen bilgilere erişmeyi başardı. Özellikle Microsoft bulut ana anahtarının çalınmasını içerir. ABD İç Güvenlik Bakanlığı (DHS) tarafından atanan soruşturma komisyonu, Microsoft'un bu davada tamamen başarısız olduğunu zaten tespit etti. Microsoft en azından onlarla konuştu; Ancak BSI'ya bilgi akışı o kadar engellendi ki Alman yetkililer soruşturmalarını giderek yoğunlaştırdı.
Microsoft'a sert eleştiri
Bir BSI Güvenlik sözcüsü, “Microsoft ile teknik anlaşmazlık devam ederken, BSI'nin daha önce düzenli bir bilgi alışverişinde aldığı bilgiler tatmin edici olmadığından, BSI resmi bir emir verme yolunu izledi” dedi. Özellikle BSI, diğer şeylerin yanı sıra, en azından özellikle güvenli ortamlarda veri sızıntısını etkili bir şekilde önleyebilecek çift anahtarlı kriptografinin kullanımıyla ilgileniyordu. Bu süreçte veriler iki anahtarla şifrelenir ve bunlardan biri her zaman müşteride kalır. Ancak ayrıntılar o kadar belirsiz ki BSI, saldırganların düz metin verilerine erişip erişemediğini değerlendiremiyor.
Tekrarlanan taleplere ve yasal işlem tehdidine rağmen Microsoft istenen bilgileri sağlamadı. Hâlâ bilgiye ihtiyaç olduğunu düşünen BSI sözcüsü, BSI'nın bu nedenle artık elindeki yasal araçları kullandığını açıklıyor. Ayrıca değerlendirmesini BSI'ın paylaştığı ABD Siber Güvenlik İnceleme Kurulu'nun yaptığı sert eleştirilere de açıkça atıfta bulunuyor. “BSI, diğer bulut sağlayıcılarının güvenliğin teknik uygulaması ve bir BT güvenliği olayı meydana geldiğinde nasıl tepki verecekleri konusunda daha iyi konumda olduklarına inanıyor.”
BSIG'nin 7. paragrafı
BSI Yasasının 7. Bölümü BSI uyarılarıyla ilgilidir. Paragraf 7a, gerekli “BT güvenlik soruşturmalarını” düzenlemektedir; Bu nedenle Federal Ofis, “BT ürünleri ve sistemleri üreticilerinden, özellikle teknik ayrıntılarla ilgili gerekli tüm bilgileri talep edebilir”. Bu tam olarak BSI'ın Alman Federal Meclisi Dijital Komitesi'ne yaptığı ve rapor ettiği şey gibi görünüyor. Bilgiler oradan daha fazla ayrıntıyı bildirecek olan Spiegel'e sızdırılacaktı.
Bizim adımıza not: Bu makalenin yazarı, ABD CISA'nın faaliyetleri ve BSI'nın görünürdeki eylemsizliği göz önüne alındığında, “tehlikeli bir Microsoft karşıtı duruş” konusunda uyarıyor. Şunu tekrar gözden geçireyim: Mevcut yaklaşımdan “resmi olarak etkilendim” ve bundan sonra ne olacağını görmek beni çok heyecanlandırıyor.
(Evet)
Haberin Sonu
Duyuru
Bilgi talebi, Microsoft'taki sansasyonel güvenlik olayları bağlamında geliyor; eyalet saldırganları birçok kez Microsoft'un kendisinden ve aynı zamanda bulut müşterilerinden gelen bilgilere erişmeyi başardı. Özellikle Microsoft bulut ana anahtarının çalınmasını içerir. ABD İç Güvenlik Bakanlığı (DHS) tarafından atanan soruşturma komisyonu, Microsoft'un bu davada tamamen başarısız olduğunu zaten tespit etti. Microsoft en azından onlarla konuştu; Ancak BSI'ya bilgi akışı o kadar engellendi ki Alman yetkililer soruşturmalarını giderek yoğunlaştırdı.
Microsoft'a sert eleştiri
Bir BSI Güvenlik sözcüsü, “Microsoft ile teknik anlaşmazlık devam ederken, BSI'nin daha önce düzenli bir bilgi alışverişinde aldığı bilgiler tatmin edici olmadığından, BSI resmi bir emir verme yolunu izledi” dedi. Özellikle BSI, diğer şeylerin yanı sıra, en azından özellikle güvenli ortamlarda veri sızıntısını etkili bir şekilde önleyebilecek çift anahtarlı kriptografinin kullanımıyla ilgileniyordu. Bu süreçte veriler iki anahtarla şifrelenir ve bunlardan biri her zaman müşteride kalır. Ancak ayrıntılar o kadar belirsiz ki BSI, saldırganların düz metin verilerine erişip erişemediğini değerlendiremiyor.
Tekrarlanan taleplere ve yasal işlem tehdidine rağmen Microsoft istenen bilgileri sağlamadı. Hâlâ bilgiye ihtiyaç olduğunu düşünen BSI sözcüsü, BSI'nın bu nedenle artık elindeki yasal araçları kullandığını açıklıyor. Ayrıca değerlendirmesini BSI'ın paylaştığı ABD Siber Güvenlik İnceleme Kurulu'nun yaptığı sert eleştirilere de açıkça atıfta bulunuyor. “BSI, diğer bulut sağlayıcılarının güvenliğin teknik uygulaması ve bir BT güvenliği olayı meydana geldiğinde nasıl tepki verecekleri konusunda daha iyi konumda olduklarına inanıyor.”
BSIG'nin 7. paragrafı
BSI Yasasının 7. Bölümü BSI uyarılarıyla ilgilidir. Paragraf 7a, gerekli “BT güvenlik soruşturmalarını” düzenlemektedir; Bu nedenle Federal Ofis, “BT ürünleri ve sistemleri üreticilerinden, özellikle teknik ayrıntılarla ilgili gerekli tüm bilgileri talep edebilir”. Bu tam olarak BSI'ın Alman Federal Meclisi Dijital Komitesi'ne yaptığı ve rapor ettiği şey gibi görünüyor. Bilgiler oradan daha fazla ayrıntıyı bildirecek olan Spiegel'e sızdırılacaktı.
Bizim adımıza not: Bu makalenin yazarı, ABD CISA'nın faaliyetleri ve BSI'nın görünürdeki eylemsizliği göz önüne alındığında, “tehlikeli bir Microsoft karşıtı duruş” konusunda uyarıyor. Şunu tekrar gözden geçireyim: Mevcut yaklaşımdan “resmi olarak etkilendim” ve bundan sonra ne olacağını görmek beni çok heyecanlandırıyor.
(Evet)
Haberin Sonu