bencede
New member
Ülkede faaliyet gösteren tüm şirketlerin herhangi bir siber güvenlik açığını derhal bir devlet kurumuna bildirmesini gerektiren iki yıllık Çin yasası, ayrıntıların devlet korsanlığı gruplarıyla bağlantısı olan kurumlara da ulaşmasını sağlıyor. Bu, Atlantik Konseyi tarafından bugün sunulan ve düşünce kuruluşunun Çinli bilgisayar korsanları tarafından sıfır gün güvenlik açıklarının artan kullanımının bu yeni kaynağa kadar izlenebileceğini öne sürdüğü bir rapordan ortaya çıkıyor. Hatta raporun yazarlarından biri Amerikan dergisi Wired’a, uluslararası şirketlerin bu uygulamadan tamamen habersiz olabileceğini, çünkü Çin’deki çalışanların şirket içinde iletilen bilgileri saklıyor olabileceğini belirtti.
Duyuru
Güvenlik açıklarına ilişkin ileri düzeyde bilgi
Söz konusu yasa, ağ ürünlerindeki güvenlik açıklarını yönetme gerekliliklerini ele alıyor. Bu kural 2021 yılı sonundan itibaren yürürlükte olup, bilişim şirketlerinin yazılımlarındaki güvenlik açıklarını tespit edildikten sonraki 48 saat içinde Sanayi ve Bilgi Teknolojileri Bakanlığı’na bildirmelerini zorunlu kılmaktadır. Aynı zamanda, güvenlik araştırmacılarının bir yama yayınlanmadan önce bu tür güvenlik açıklarına ilişkin ayrıntıları yayınlamaları yasaktır. Raporda, özellikle bunun, güvenlik açıklarıyla ilgili tüm bilgilerin, bir yama yayınlanana kadar neredeyse özel erişime sahip olan Çin hükümetinin elinde olacağı anlamına geldiği belirtiliyor. Bu doğrudan saldırılara izin vermese de bilgisayar korsanlarına nereden başlamaları gerektiğini söyleyebilir.
Yazar ekibin özetlediği gibi, bilgilerin son derece ayrıntılı olması ve aynı zamanda güvenlik açığının tam olarak nerede bulunduğunu ve nasıl istismar edilebileceğini de ortaya koyması gerekiyor. Bu ayrıntılar yetkililer ve kuruluşlarla paylaşılan bir veri tabanında yer alıyor. Bunlar arasında devlet kontrolündeki hacker gruplarıyla bağlantılı olan ve hatta saldırılardan sorumlu olduğuna inanılan çeşitli kurumlar yer alıyor. Ekip, bilgiye bu erişimi kullanmamaları halinde ihmalkar davranacaklarını yazıyor. Bunun olduğuna dair bir kanıt olmasa da grup, Halk Cumhuriyeti’ndeki hacker gruplarının önemli ölçüde daha fazla sıfır gün güvenlik açığından yararlandığını gösteren bir Microsoft raporuna işaret ediyor.
Analistler ayrıca yasaya uyduğu ve güvenlik açıklarının ayrıntılarını Çin hükümetine aktardığı iddia edilen şirketlerin bir listesini de buldu. Bunlar endüstriyel kontrol sistemi (ICS) üreticileri Beckhoff, D-Link, KUKA, Omron, Phoenix Contact ve Schneider Electric’tir. Wired, sorulduğunda yalnızca D-Link (Tayvan’dan) ve Phoenix Contact’ın (Almanya’dan) şiddetle reddedildiğini yazıyor. En belirsiz cevap Fransız Schneider şirketinden geldi. Bu nedenle genel olarak işletmelerin işbirliğinin tam kapsamını tahmin etmek zordur. Amerikan dergisi bir uzmanın aktardığına göre, bunların yalnızca belirsiz veya işe yaramaz ayrıntılar vermesinin akla yatkın olduğunu söylüyor.
Ancak siber güvenlik uzmanı JD Work, Wired’a, şirketin Çin’deki bazı bölümlerinin şirket genel merkezinin haberi olmadan kurallara uymasının da mümkün olduğunu söylüyor. Çin’deki yöneticiler, bu bilgilerin şirket içinde paylaşılmasını yasaklamayı amaçlayan başka bir Çin yasasını casusluk olarak yorumlayabilir. O zaman Batılı şirketlerin Çin’deki bu bilginin hemen hükümete ulaşacağı konusunda hiçbir fikri olmayacaktı. Ancak raporun ortak yazarlarından Sophos’tan Kristin Del Rosso, ekonomi henüz yasaya tam olarak uyum sağlamamış olsa bile, mevcut kuralların eninde sonunda daha güçlü bir şekilde uygulanmayacağının garantisinin olmadığını söylüyor.
Duyuru
(mho)
Haberin Sonu
Duyuru
Güvenlik açıklarına ilişkin ileri düzeyde bilgi
Söz konusu yasa, ağ ürünlerindeki güvenlik açıklarını yönetme gerekliliklerini ele alıyor. Bu kural 2021 yılı sonundan itibaren yürürlükte olup, bilişim şirketlerinin yazılımlarındaki güvenlik açıklarını tespit edildikten sonraki 48 saat içinde Sanayi ve Bilgi Teknolojileri Bakanlığı’na bildirmelerini zorunlu kılmaktadır. Aynı zamanda, güvenlik araştırmacılarının bir yama yayınlanmadan önce bu tür güvenlik açıklarına ilişkin ayrıntıları yayınlamaları yasaktır. Raporda, özellikle bunun, güvenlik açıklarıyla ilgili tüm bilgilerin, bir yama yayınlanana kadar neredeyse özel erişime sahip olan Çin hükümetinin elinde olacağı anlamına geldiği belirtiliyor. Bu doğrudan saldırılara izin vermese de bilgisayar korsanlarına nereden başlamaları gerektiğini söyleyebilir.
Yazar ekibin özetlediği gibi, bilgilerin son derece ayrıntılı olması ve aynı zamanda güvenlik açığının tam olarak nerede bulunduğunu ve nasıl istismar edilebileceğini de ortaya koyması gerekiyor. Bu ayrıntılar yetkililer ve kuruluşlarla paylaşılan bir veri tabanında yer alıyor. Bunlar arasında devlet kontrolündeki hacker gruplarıyla bağlantılı olan ve hatta saldırılardan sorumlu olduğuna inanılan çeşitli kurumlar yer alıyor. Ekip, bilgiye bu erişimi kullanmamaları halinde ihmalkar davranacaklarını yazıyor. Bunun olduğuna dair bir kanıt olmasa da grup, Halk Cumhuriyeti’ndeki hacker gruplarının önemli ölçüde daha fazla sıfır gün güvenlik açığından yararlandığını gösteren bir Microsoft raporuna işaret ediyor.
Analistler ayrıca yasaya uyduğu ve güvenlik açıklarının ayrıntılarını Çin hükümetine aktardığı iddia edilen şirketlerin bir listesini de buldu. Bunlar endüstriyel kontrol sistemi (ICS) üreticileri Beckhoff, D-Link, KUKA, Omron, Phoenix Contact ve Schneider Electric’tir. Wired, sorulduğunda yalnızca D-Link (Tayvan’dan) ve Phoenix Contact’ın (Almanya’dan) şiddetle reddedildiğini yazıyor. En belirsiz cevap Fransız Schneider şirketinden geldi. Bu nedenle genel olarak işletmelerin işbirliğinin tam kapsamını tahmin etmek zordur. Amerikan dergisi bir uzmanın aktardığına göre, bunların yalnızca belirsiz veya işe yaramaz ayrıntılar vermesinin akla yatkın olduğunu söylüyor.
Ancak siber güvenlik uzmanı JD Work, Wired’a, şirketin Çin’deki bazı bölümlerinin şirket genel merkezinin haberi olmadan kurallara uymasının da mümkün olduğunu söylüyor. Çin’deki yöneticiler, bu bilgilerin şirket içinde paylaşılmasını yasaklamayı amaçlayan başka bir Çin yasasını casusluk olarak yorumlayabilir. O zaman Batılı şirketlerin Çin’deki bu bilginin hemen hükümete ulaşacağı konusunda hiçbir fikri olmayacaktı. Ancak raporun ortak yazarlarından Sophos’tan Kristin Del Rosso, ekonomi henüz yasaya tam olarak uyum sağlamamış olsa bile, mevcut kuralların eninde sonunda daha güçlü bir şekilde uygulanmayacağının garantisinin olmadığını söylüyor.
Duyuru
(mho)
Haberin Sonu