Avrupa'da ürün siber güvenliğini düzenleyen en kapsamlı yasa olan Avrupa Komisyonu'nun Siber Dayanıklılık Yasası yakında yürürlüğe girecek. Son dönemde kanunun kapsamını belirleyen bir takım değişiklikler yapıldı. Resmi evlat edinme uzman çevrelerde güvenli kabul ediliyor.
“Güvenlik analizi bakış açımıza göre, Siber Dayanıklılık Yasası'nın spesifikasyonu, özellikle de son kullanıcılar için daha da genişletilmiş güvenlik düzeyi memnuniyetle karşılanıyor. Cihaz sınıfları yeniden tanımlandı: Madde 6, temel işlevleri Yönetmeliğin Ek III'ünde listelenen kritik donanım ve yazılım ürünleri için iki ek siber güvenlik risk sınıfı getirdi. Bir cihaz sınıfı özellikle kritik sistemleri ve cihazları içerir. Tüm akıllı ev cihazları ve interaktif oyuncaklar artık açıkça dahil edilmiştir.
Otomatik analiz
Testlerimizde, bu tür cihazların sıklıkla, önemli parçaların otomatik analizi yoluyla kolayca tespit edilebilecek ve dolayısıyla daha hızlı düzeltilebilecek önemli güvenlik açıklarına sahip olduğunu gördük. Onekey CEO'su Jan Wendenburg, "Mevcut versiyonda önceki taslakta yer almayan endüstriyel ürünler ve yönlendiriciler alanının keskinleştirilmesi gerekebilir" diyor. Düsseldorf merkezli şirket, ağ erişimi olan tüm cihazlarda bulunan yazılımı analiz eden ve yazılım parça listesi (SBOM) olarak tam listelemenin yanı sıra, risk değerlendirmesiyle ayrıntılı bir güvenlik analizine de olanak tanıyan bir Ürün Siber Güvenliği ve Uyumluluk analiz platformu işletmektedir. olası güvenlik açıklarından. Onekey, gömülü yazılımlardaki, özellikle de Nesnelerin İnterneti cihazlarındaki kritik güvenlik açıklarını ve uyumluluk ihlallerini otomatik olarak kontrol edip tanımlar ve bunları tüm ürün yaşam döngüsü boyunca izler ve yönetir. Üreticiler artık yeni Onekey Uyumluluk Sihirbazı'nı (sanal asistan) kullanarak gelecekte ihtiyaç duyulacak uyumluluk öz-beyanını daha kolay bir şekilde oluşturabiliyor ve gerekirse bunu dışa aktarma yoluyla harici sertifikasyon kuruluşlarına aktarabiliyor.
Siber Dayanıklılık Yasasında Son Tarihler
Pek çok üretici için AB tarafından tanınan 36 aylık geçiş süresi zaten kısıtlıdır - yeni ürün ve yazılımların geliştirilmesi genellikle yıllar alır - bu nedenle tüm üreticilerin uygulamaya derhal başlaması gerekmektedir. ONEKEY'in otomatik analiz platformu, güvenlik açıklarını ve uyumluluk ihlallerini dakikalar içinde tespit ederek, bağlı cihaz üreticileri için geliştirme süresinden ve maliyetlerinden önemli ölçüde tasarruf sağlar. Keşfedilen güvenlik açıklarının raporlanması için son tarihler, Siber Dayanıklılık Yasası'nın son taslağında kısaltılmıştır: “Yeni güvenlik açıkları, ulusal denetleyici makamlara ve Avrupa Ağ ve Bilgi Güvenliği Otoritesi ENISA'ya 24 saat içinde rapor edilmelidir. İnternet veya ağ erişimi olan cihazları üreten veya pazarlayan şirketler için, Siber Dayanıklılık Yasası nihayet yürürlüğe girmeden çok önce olası ciddi sıfır gün boşluklarını ortadan kaldırmak için zamanında risk yönetimi ve kendi ürünlerinin kapsamlı analizi daha da önemli hale geliyor " tanımlayın ve kapatın," diye devam ediyor ONEKEY'den Jan Wendenburg. AB'ye ve Alman Federal Bilgi Güvenliği Ofisi (BSI) gibi yetkililere göre, gelecekteki güvenlik mimarisinde merkezi bir rol oynayacak olan yazılım malzeme listesi - SBOM (Yazılım Malzeme Listesi) önemli bir bileşendir. .
Bir fare tıklamasıyla SBOM
Açık kaynaklı yazılımlara ilişkin sorumluluk sorunu da yeni düzenlendi: Siber Dayanıklılık Yasası'nın önceki taslaklarında yazılımın yaratıcılarına uyma yükümlülüğü getiriliyordu. Ancak mevcut sürüm, açık kaynak projelerine katkıda bulunan açık kaynak kuruluşlarını ve gerçek kişileri sorumluluktan açıkça muaf tutmaktadır. "Bu, AB düzenlemelerine uyum sorumluluğunun yalnızca açık kaynak kodunu ticari olarak kullanan veya ürünlerinin bir parçası olarak pazarlayan şirketlere ait olduğu anlamına geliyor.
BSI bu amaç için kendi SBOM yönergelerini oluşturmuştur. Onekey, tüm yazılım tedarik zincirinde kullanılan bileşenlerin şeffaf analizi ve temsiline yönelik gereksinimleri zaten karşılayabilmektedir. Bunu yapmak için Onekey Ürün Siber Güvenliği ve Uyumluluk platformu, cihazlarda bulunan yazılım ve donanım yazılımını tamamen analiz eder ve dahil edilen tüm bileşenleri listelemenin yanı sıra güvenlik açıklarına yönelik bir risk analizi de gerçekleştirir. CEO Wendenburg, "Teknolojimiz, AB tarafından tanımlanan tüm cihaz sınıflarındaki cihaz yazılımlarının derinlemesine analizini mümkün kılıyor" diye açıklıyor. Yerleşik uyumluluk kontrolü ile IEC 62443-4-2, ETSI 303 645 veya AB Siber Dayanıklılık Yasası ve daha birçokları gibi mevcut ve gelecekteki yasal teknik uyumluluk gereksinimleri otomatik olarak kontrol edilebilir. Gelecekte, zorunlu uyumluluk öz beyanı, sanal bir asistan kullanan yeni, patent bekleyen Uyumluluk Sihirbazı kullanılarak çok daha hızlı ve daha kolay oluşturulacak ve harici sertifikalar için tüm veriler tek tıklamayla sertifikasyon kuruluşuna aktarılabilecek.
Daha fazlası OneKey.com'da
ONEKEY Hakkında ONEKEY (eski adıyla IoT Inspector), endüstrideki (IIoT), üretimdeki (OT) ve Nesnelerin İnterneti'ndeki (IoT) cihazlar için otomatik güvenlik ve uyumluluk analizleri için Avrupa'nın önde gelen platformudur. Cihazların otomatik olarak oluşturulan "Dijital İkizlerini" ve "Yazılım Malzeme Listesini (SBOM)" kullanan ONEKEY, herhangi bir kaynak kodu, cihaz veya ağ erişimi olmadan, kritik güvenlik açıkları ve uyumluluk ihlalleri için ürün yazılımını bağımsız olarak analiz eder.
Konuyla ilgili makaleler