bencede
New member
BT Güvenliğinin Tutarsız Standartları: Açık bir strateji olmayan belediyeler
Almanya'daki belediye bilgisayar güvenliğinin mevcut durumu endişe vericidir. Bu, Dr. Tilmann Dittrich ve Prof. Dennis-Kenji Kipker ve IT Nordpass güvenlik sağlayıcısı tarafından “Açık, Gereksinimler ve Tedbirler: Testte Belediye BT Güvenliği” nden değişmektedir. Mevcut durumun bir nedeni olarak, Kipker “pervasız dijitalleşmenin bir karışımından, Almanya'da bilgisayar güvenliği için tekdüze standartların eksikliğinden, siyasete ve dolayısıyla yasa koyucuya, özellikle federal eyaletlerde önemli ölçüde gecikmiş bir tepki” belirtiyor. Birçok belediye, bilgisayar güvenliği için gereken önlemleri uygulamak için para ve personel eksiktir.
Şaşkın ve eksik yasal gereksinimler
Her ne kadar Genel Veri Koruma Yönetmeliği (GDPR) ve Federal Bilgi Teknolojisi Güvenliği Ofisi (BSI) özellikle bir resim sunar ve “verilerin ve BT'nin kullanılabilirliği, gizliliği ve bütünlüğü” hakkında yönergeler oluşturur. Bununla birlikte, bunlar “başvuru alanında çeşitli şekillerde ve tüm siber belediye risklerini hiç kapsamazlar”. Belediyelerin örgütsel önlemleri şu anda yetersizdir ve “devlet gereksinimleri, federal hukuk ve AB yasalarının karışık bir karışımı ile güçlendirilir”.
Federal Devletler Yasası ve AB NIS2 düzenlemesi için beklenen istisnalar bunu değiştirmeyecektir. Çevrimiçi erişim yasasının güvenlik gereksinimleri de yalnızca seçilen idari hizmetleri etkiler. Yazarlara göre, tek tip ve açık bilgisayar güvenlik stratejisi yoktur. Ülke düzeyinde, Baden-Württemberg, Hesse, Saxony, Saarland, Bavyera, Bavyera, Bassa Saksonya ve Renanda-Palatinato, belediyelerde bilgisayar güvenliği ile ilgili düzenlemelerle bir araya geldi. Bazı ülkeler zaten BT güvenliği ile ilgilenen ulusal CISO'yu atadı.
Eylem önerileri
Yazarlara göre, bilgisayar güvenliği sorumluluğu, eğitilmiş ve BT güvenlik standartları ve daha fazla risk yönetimi oluşturması gereken belediyelerin yönetim düzeyinde yatmaktadır. Buna ek olarak, belediyeler bir CISO ve bir uzman ekibi atamalıdır. BT servis sağlayıcısına dış kaynak kullanımı da açık BT güvenlik gereksinimleri temelinde yapılmalıdır. Son olarak, Kipker ve Dentrich bir acil durum planı ve düzenli eğitim önermektedir.
BSI raporunun önceki raporu, Haziran 2022'den Haziran 2023'e kadar, altı milyona kadar nüfusun belediyelere yönelik fidye yazılımı saldırılarından etkilendiğini gösterdi. Belediyelerde, fidye yazılımı saldırıları genellikle orantısız olarak gerçekleşir. Bu “sadece önemli operasyonel kısıtlamalara değil”, aynı zamanda temel idari hizmetlerin kısıtlanmasına da yol açtı. Rapora göre, fidye son yılda sadece bir kez-Crypto Trojan'ın Dettelbach'taki bir belediyeye yaptığı bir saldırının ardından 2016 yılında Bitcoin'de 490 avro ödendi.
Belediyeler hazır değil
Çalışma ayrıca Assia gibi federal devletlerin çalışma ilişkilerinin örnekleri olarak listelenmiştir. Buna göre, geçen yıl 21 bilgisayar saldırısı Asya belediyelerine bildirildi, ancak çoğu durumda zararsız ve veri veya sistem hatalarının deflower'ları olmadan. Bitterfeld bölgesindeki bilgisayar saldırısı ciddi bir örnek olarak listelendi. Saldırıdan dört gün sonra Bitterfeld felaketi ilan etmişti. BSI raporunda da listelenen Güney Westphalia IT'de 2023'ün sonunda bir başka ciddi saldırı da gerçekleşti.
Çalışmanın yazarlarına göre, dijitalleşmenin gerçekleştiği tüm yaşam alanları BT kazaları risk altındadır. Hastaneler gibi sibercrunal alanlar, yüksek ödeme baskısı olduğu için BT suçlusu için özellikle ilginçtir. Diğer şeylerin yanı sıra, bunun nedeni şirketin bilgisayar saldırısı veya hassas sağlık verileri için rahatsız olabilmesidir.
Diğer ülkelerdeki resim sorulduğunda, Kipker, Hırvatistan veya Yunanistan gibi diğer ülkelerde devletin BT güvenlik altyapılarının uygulanmasında ülkeleri desteklediğini gösterdiğinde yanıtladı. Dittrich'e göre, federalizm Almanya'da bir sorundur.
(Mack)