bencede
New member
Köstebek vurma ve güvenlik standartları arasındaki siber güvenlik
İki günlük Münih Siber Güvenlik Konferansı'nın (MCSC) başlangıcında temsilciler tarafından çevik yasa koyucular, daha hızlı düzenleyiciler, ancak her şeyden önce daha fazla standart ve tasarım gereği güvenlik önerildi. Monaco Güvenlik Ağı tarafından düzenlenen onuncu etkinlik, daha fazla güvenlik ve siber suçlara karşı mücadelede daha iyi tarifler arayan 700 şirket temsilcisini, üst düzey ABD avukatlarını, düzenleyicileri ve “eski” gizli servis ajanlarını bir araya getirdi.
Duyuru
Münih Güvenlik Konferansı'nın eski başkanı Wolfgang Ischinger, dolu bir konferans salonunda yaptığı konuşmada, başlangıçta siber güvenliği dış politika odaklı konferansa entegre etme fikrine karşı olduğunu söyledi. Eğer biri “inek” olursa, koyu renk takım elbiseli, sigara içen beylerin (60 yıl önce askeri bilim konferansı olarak başlayan konferansın asıl personeli) kahve içmeye gitmesinden korkuyordu. Ischinger tamamen yanıldığını itiraf etti.
Bir köstebek vurmak
FBI Şefi Chris Wray konferansa, teşkilatının artan sayıdaki yayından kaldırma işlemleriyle ilgili bir güncelleme yaptı. MCSC sabahı Wray, “Ölmekte Olan Kor” Operasyonu'nda, Rus gizli servisinin GRU 26165 askeri birliğine ait yüzlerce sunucuya sahip, mahkeme kararıyla ve uluslararası ortaklarla birlikte desteklenen bir botnet'i çevrimdışına aldığını duyurdu.
Son zamanlarda otorite, Çinli bilgisayar korsanlarının kritik altyapılara yönelik olası saldırılara yönelik ağ geçitleri oluşturmak için kullandığı “Volt Typhoon” olarak bilinen ağın bazı örneklerini kapatarak ağır bir darbe indirdi. Güvenlik uzmanı Bruce Schneier, binlerce sunucunun yer aldığı Volt Typhoon'a karşı yapılana benzer bir eylemin kesinlikle iyi bir haber olduğunu söylüyor. Schneier, “Saldırganın onu yeniden inşa etmesi gerekiyor ve şimdi kullanmak isterse elinde olmayabilir” dedi. Elbette bu tür pek çok botnet var.
Wray ve Başsavcı Yardımcısı Lisa Monaco, Monaco'ya devlet botlarına karşı acımasız eylemlerde bulunmaya devam edeceklerine söz verdi.
Düzenleyici tsunami
Açılış konuşmasında Komisyon Başkan Yardımcısı Margaritis Schinas, NIS2 direktifinden bilgisayar bilimi ve güvenlik konusundaki henüz kesinleşmemiş düzenlemelere kadar mevcut Avrupalı yasa koyucunun ağlarda, platformlarda ve kritik altyapılarda daha fazla güvenliği garanti etmek istediği adımları özetledi. yapay zeka.
Düzenleyici tsunamiye yönelik eleştirilerle karşı karşıya kalan Schinas, şunları söyledi: “Düzenleme söz konusu olduğunda, hiç düzenlememe veya her şeyi düzenleme seçeneğiyle karşı karşıya olduğumuzu düşünmüyorum. Üçüncü bir yol var, Avrupa yolu.”
uyumlaştırma çabası
BSI başkanı Claudia Plattner, düzenleyici parçalanmaya karşı uyarıda bulunan BDI başkanı Siegfried Russwurm'dan ulusal siber güvenlik yetkililerine uygulama için daha fazla zaman vermesini istedi.
MCSC oturum aralarında 26 Avrupalı mevkidaş Siber Güvenlik Direktörleri Toplantısı için bir araya geldi. Plattner, “NIS2'nin uygulanmasını tam olarak nasıl uyumlu hale getireceğimizi konuştuk” dedi. Özellikle tartışmasız eIDAS direktifi gibi daha teknik standartlar söz konusu olduğunda, büyük ölçüde uygulama için seçilen standartlara bağlıdır.
ABD: Daha fazla düzenleme yapmaya cesaret edin
Ancak pek çok üst düzey ABD yetkilisinin artık düzenleme ihtiyacı konusunda ikna edilmeye ihtiyacı yok. ABD İç Güvenlik Bakanı Alejandro Mayorkas yeni bir “sibersosyal sözleşme” ihtiyacından bahsetti. Mayorkas, John Perry Barlow'un eyaletlerin şebekeden uzak durması yönündeki eski talebinin gününün geçtiğini söyledi.
Nükleer enerjide olduğu gibi dijital için de bağlayıcı bir düzenleyici çerçeveye ihtiyaç var ve hem AB hem de ABD doğru yolda. Yeniliği yavaşlatmamak için ayrıntılı düzenleme yapmak yerine standartlarla düzenleme yapılmalı ve yetkililerin ve yasa koyucuların kendilerinin daha çevik olması gerekir.
standart ama benim
MCSC'nin transatlantik ortakları standartların faydaları konusunda anlaştılar. Fransız siber güvenlik kurumu ANSSI başkanı Vincent Strubel, AB siber dayanıklılık yasası gibi yasaların şu anda hiçbir ayrıntı içermediğine dikkat çekti. “Birçok standarda ihtiyacımız olacak.” Kritik altyapının ardından artık daha da ileri gitmemiz gerekiyor: o kadar da kritik olmayan cihazları koruyun. Strubel, “Tıpkı bir diş fırçasının size elektrik şoku vermemesi hakkına sahip olduğunuz gibi, aynı zamanda diş fırçasının sizi gözetlememesi veya bir botnet'in parçası haline gelmemesi hakkına da sahipsiniz” diyor.
Aynı zamanda standardizasyon sürecinin güvenli spesifikasyonları sağlaması da önemlidir. İnternetin temel yapı taşlarının oluşturulması konusunda bu bağlamdaki performans kesinlikle karışıktır.
Tüm transatlantik birliğe rağmen standardizasyona ilişkin fikirler farklılık göstermektedir. ABD Ulusal Standartlar ve Teknoloji Enstitüsü'nden Katerina Megas, açık bir süreci ve aynı zamanda farklı standartlar arasındaki rekabeti vurgularken, Avrupa Telekomünikasyon Standartları Enstitüsü genel müdürü Luis Jorge Romero, aynı çatı altında bir rekabetin yapılmasını önerdi. Daha iyi olurdu. Ona göre, kullanılmayan gönüllü standartların pek bir anlamı yok.
Daha fazla çeviklik
DEFCON kurucusu Jeff Moss'a göre, siber suçlularla bitmek bilmeyen kirpi yarışına bir alternatif, güvenli olmayan ekipman, tedarikçi veya ürün satıcılarını hukuki olarak sorumlu tutmak olacaktır. “Ordum” diyor Moss, “aslında avukatlardan oluşan bir ordu. Neden onları savaşta emsal oluşturmak için kullanmayayım?” Çoğunlukla geciken düzenlemeye göre avantajları daha fazla esneklik ve uyarlanabilirlik olacaktır.
Schneier yasama organının daha çevik olması gerektiği konusunda uyardı. Eğer AB vatandaşları artık yapay zeka yasasını sonuçlandırmak için on yılda bir şansları olduğunu söyleselerdi, bunu korkutucu bulurlardı. Kendisinin açıkça memnuniyetle karşıladığı – “Avrupa'da yaşamasam bile hayatımı daha iyi hale getiriyor” – yasa taslağı hazırlandıktan sonra ayarlamalar yapılması gerekebilir.
(benim)
Haberin Sonu