bencede
New member
BSI başkan yardımcısı Gerhard Schabhüser, Federal Meclis dijital komitesi başkanı Tabea Rößner'e (Yeşiller) hitaben yazdığı bir mektupta, BSI'nın WebEx'i tavsiye etmediğini açıklıyor. Schabhüser mektubunda C5 sertifikaları diye adlandırılan sertifikaların bulunduğunu açıklıyor. Ancak bu prosedür, Bonn BT Güvenlik Otoritesi'nin katılımı olmadan gerçekleşecektir: “Kriterlerin yerine getirilip getirilmediği, örneğin denetçiler tarafından belgelendirilebilir ve daha sonra müşterilere gösterilebilir. Bu durumda, bu denetçiler doğrudan hizmet sağlayıcı tarafından görevlendirilir. bulut”, çevrimiçi olarak mevcut olan mektubu okuyor. Cisco, 2019 yılı itibarıyla WebEx'in “Bulut Bilişim Uyumluluk Kontrol Kataloğu” (C5) kriterlerini karşıladığını duyurdu. Bu süreçte BSI'nin kendisi tarafından değerlendirme yapılmasına ilişkin herhangi bir hüküm bulunmamaktadır.
Duyuru
BSI WebEx'i önermiyor
Schabhüser, WebEx'in kullanılmasına yönelik BSI'dan herhangi bir tavsiye gelmediğini açıklıyor. WebEx yalnızca gizli içeriğin, yani “yalnızca resmi kullanım için” resmi sınıflandırmasından, gizli bilgilerin sırasına uygun olarak tamamen korunan bir ortamda kullanılması durumunda tartışılmaya uygundur. Geçtiğimiz hafta, yeni raporlara ilk tepki olarak Federal İçişleri Bakanlığı, BSI'nin şu anda tavsiyelerini incelemekte olduğunu söyledi.
Bugünkü mektuba göre Bonn'daki Federal Siber Güvenlik Otoritesi, tanıdığı tüm etkilenen kişileri derhal bilgilendirdi ve WebEx sağlayıcısı Cisco ile iletişim halinde. Başkan Yardımcısı Schabhüser, Dijital Komite'ye şunları yazdı: “Ortaya çıkan BT güvenlik açıkları, öğrenildikten sonra Cisco tarafından kapatıldı.” “Gerektiğinde BSI, bir bilgisayar ürünü hakkında gerekli tüm bilgileri üreticisinden talep etmek için elindeki tüm yasal yolları tüketme hakkını saklı tutar.”
BSI güvenlik tavsiyeleri yayınlıyor
Dün, Pazartesi günü, Zeit Online'ın güvenlik endişelerini yayınlamasından birkaç gün sonra BSI ilk kez güvenlik tavsiyesini yayınladı. Şöyle diyor: “BSI tavsiyeleri takip edilirse, güvenlik açığı 'sadece' meta veri sızıntılarına yol açacaktır.” Ayrıca, 28 Mayıs'tan önce WebEx'te oluşturulan ve halen beklemede olan toplantıların silinip yeniden oluşturulması gerekir. “Buna özellikle 28 Mayıs 2024'ten önce planlanan düzenli randevular dahildir.” Aksi takdirde, toplantıları tahmin etmeye devam edebilir ve herhangi bir şifre korumanız yoksa muhtemelen toplantılara katılabilirsiniz.
Güvenlik açığından da etkilenen BSI, güvenlik uyarısında BSI'ın olayı federal makamlardan sorumlu Federal Veri Koruma Komiseri'ne bildirdiğini de belirtiyor. Bu aynı zamanda diğer tüm ilgili taraflara yönelik bir not olarak da görülmelidir: Etkilenen kişiler, WebEx açığını ilgili denetim makamına bildirmelidir. Cisco, hatanın hem şirket içi hem de bulut kullanıcılarını etkilediğini iX'e itiraf etti ve kullanıcıları yapılandırma hataları konusunda uyardı.
(mho)
Haberin Sonu
Duyuru
BSI WebEx'i önermiyor
Schabhüser, WebEx'in kullanılmasına yönelik BSI'dan herhangi bir tavsiye gelmediğini açıklıyor. WebEx yalnızca gizli içeriğin, yani “yalnızca resmi kullanım için” resmi sınıflandırmasından, gizli bilgilerin sırasına uygun olarak tamamen korunan bir ortamda kullanılması durumunda tartışılmaya uygundur. Geçtiğimiz hafta, yeni raporlara ilk tepki olarak Federal İçişleri Bakanlığı, BSI'nin şu anda tavsiyelerini incelemekte olduğunu söyledi.
Bugünkü mektuba göre Bonn'daki Federal Siber Güvenlik Otoritesi, tanıdığı tüm etkilenen kişileri derhal bilgilendirdi ve WebEx sağlayıcısı Cisco ile iletişim halinde. Başkan Yardımcısı Schabhüser, Dijital Komite'ye şunları yazdı: “Ortaya çıkan BT güvenlik açıkları, öğrenildikten sonra Cisco tarafından kapatıldı.” “Gerektiğinde BSI, bir bilgisayar ürünü hakkında gerekli tüm bilgileri üreticisinden talep etmek için elindeki tüm yasal yolları tüketme hakkını saklı tutar.”
BSI güvenlik tavsiyeleri yayınlıyor
Dün, Pazartesi günü, Zeit Online'ın güvenlik endişelerini yayınlamasından birkaç gün sonra BSI ilk kez güvenlik tavsiyesini yayınladı. Şöyle diyor: “BSI tavsiyeleri takip edilirse, güvenlik açığı 'sadece' meta veri sızıntılarına yol açacaktır.” Ayrıca, 28 Mayıs'tan önce WebEx'te oluşturulan ve halen beklemede olan toplantıların silinip yeniden oluşturulması gerekir. “Buna özellikle 28 Mayıs 2024'ten önce planlanan düzenli randevular dahildir.” Aksi takdirde, toplantıları tahmin etmeye devam edebilir ve herhangi bir şifre korumanız yoksa muhtemelen toplantılara katılabilirsiniz.
Güvenlik açığından da etkilenen BSI, güvenlik uyarısında BSI'ın olayı federal makamlardan sorumlu Federal Veri Koruma Komiseri'ne bildirdiğini de belirtiyor. Bu aynı zamanda diğer tüm ilgili taraflara yönelik bir not olarak da görülmelidir: Etkilenen kişiler, WebEx açığını ilgili denetim makamına bildirmelidir. Cisco, hatanın hem şirket içi hem de bulut kullanıcılarını etkilediğini iX'e itiraf etti ve kullanıcıları yapılandırma hataları konusunda uyardı.
(mho)
Haberin Sonu