BT Güvenliği Yasası 2.0: Kritik altyapıların korunması

15. Ağustos 2022
| Yorum yok

Gönderiyi paylaş

1 Mayıs 2023'te IT Security Act 2.0'da yapılan değişiklik yürürlüğe girecek. Geçiş dönemi sona erdiğinde BSI, kritik altyapı operatörlerinden yeni gereksinimler talep ediyor. Ayrıntılı olarak ne olacak, kimler etkilenecek ve o zamana kadar hangi önlemlerin alınması gerekiyor. bir yorum Radar Siber Güvenlik.

Siber suçlular, kritik altyapıların operatörlerini ve özellikle ekonomik önemi olan şirketleri giderek daha fazla hedef alıyor. Bu sadece milyonlarca dolarlık üretim kayıplarına ve arz darboğazlarına yol açmaz, aynı zamanda en kötü durumda kamu güvenliğini tehlikeye atabilir. Ayrıca, KRITIS operatörlerinin kendilerini yalnızca para amaçlı şantaj girişimlerine karşı korumak zorunda değildir. Hibrit savaşın bir parçası olarak siyasi amaçlı saldırılar da gerçek bir tehdit haline geldi.

ITSig 2.0 – Mayıs 2.0'ten itibaren BT Güvenliği Yasası 2023

Alman yasa koyucu, bu tehlikelere 2021 gibi erken bir tarihte, Bilgi Teknolojisi Sistemlerinin Güvenliğini Artırmak İçin İkinci Yasa - kısaca: BT Güvenliği Yasası 2.0 ile tepki gösterdi. Bununla birlikte, mevcut BSI yasası başka noktalarla desteklendi. İkinci bir Ağ ve Bilgi Güvenliği Yönergesi (NIS 2) de AB düzeyinde aynı şeyi yapacaktır.

Geleneksel KRITIS operatörlerine ek olarak, silah üreticileri veya özellikle büyük ekonomik öneme sahip şirketler gibi "özel kamu yararı" olarak bilinen şirketler de artık belirli BT güvenlik önlemlerini uygulamalıdır. Sonuç olarak, kritik altyapılar çemberi, atık bertarafı ve silah üretimi gibi sektörleri içerecek şekilde genişletildi.

IT Security Act 2.0: Bir bakışta yeni gereksinimler

  • Kritik altyapı operatörleri, saldırı tespit sistemlerini en geç 1 Mayıs 2023 tarihine kadar hayata geçirmelidir.
  • KRITIS operatörleri, örneğin üreticinin üçüncü bir ülke tarafından kontrol edilmesi veya Alman Federal Hükümeti, AB veya NATO'nun güvenlik politikası hedefleriyle çelişmesi durumunda, kritik bileşenlerin planlanan ilk kullanımı hakkında Federal İçişleri Bakanlığı'nı bilgilendirmelidir.
  • Özel kamu yararına olan şirketler, düzenli olarak öz beyanda bulunmakla yükümlüdür. Son iki yılda BT güvenliği alanında hangi sertifikaların verildiğini ve BT sistemlerinin nasıl güvence altına alındığını açıklamak zorundadırlar.

Kritik altyapıyı korumaya yönelik önlemler

BT ve kontrol teknolojilerini siber saldırılardan koruması gereken KRITIS operatörleri ve şirketleri, bilgi güvenliğine ilişkin BT Güvenliği Yasası 2.0, BSI Yasası ve ISO standardı 27001 ile uyumlu entegre çözümlere ihtiyaç duyar. Bu nedenle, teknoloji tarafında aşağıdaki algılama modülleri kullanılmalıdır:

  • Günlük veri analizi (LDA) / güvenlik bilgileri ve olay yönetimi (SIEM): Bu, çok çeşitli kaynaklardan günlüklerin toplanması, analizi ve korelasyonu anlamına gelir. Bu, güvenlik sorunları veya olası riskler için uyarılarla sonuçlanır.
  • Güvenlik Açığı Yönetimi ve Uyumluluk (VMC): Güvenlik açığı yönetimi, eksiksiz kapsama için kapsamlı algılama, uyumluluk kontrolleri ve testlerle sürekli, dahili ve harici güvenlik açığı taraması sağlar. Yazılım uyumluluğunun bir parçası olarak, her bir sunucu veya sunucu grubu için yazılımın yetkili kullanımı, bir dizi kural ve sürekli analiz kullanılarak belirlenir. Manipüle edilmiş yazılımlar hızlı bir şekilde tanınabilir.
  • Ağ Durumu İzleme (OT modülü): Bu, hatasız operasyonda bir kesintiye işaret eden gerçek zamanlı iletişimleri bildirir. Böylece teknik aşırı yük koşulları, fiziksel hasar, yanlış yapılandırmalar ve ağ performansındaki bozulma anında fark edilir ve hata kaynakları doğrudan belirlenir.
  • Ağ Davranış Analitiği (NBA): Ağ davranış analizi ile imza ve davranış tabanlı algılama motorlarına dayalı olarak ağ trafiğindeki tehlikeli kötü amaçlı yazılımların, anormalliklerin ve diğer risklerin tespiti mümkündür.
  • Endpoint Detection & Response (EDR): Endpoint Detection and Response, bilgisayar bilgisayarlarındaki (ana bilgisayarlar) anormalliklerin analizi, izlenmesi ve algılanması anlamına gelir. EDR ile aktif koruma aksiyonları ve anlık uyarılar sağlanır.

🔎 1. Bölüm: Kritis için BT Güvenliği Yasası 2.0 (Resim: Radar Siber Güvenlik).

Karmaşıklık nedeniyle, bu modüllerden güvenlikle ilgili bilgilerin daha fazla işlenmesi güvenlik uzmanları tarafından gerçekleştirilir. Büyük bir veri koleksiyonundan otomatik olarak elde edilen içgörüleri değerlendirir ve önceliklendirirsiniz. Bu analizin sonuçları, kurum içi uzmanlar tarafından doğru önlemlerin alınması için temel oluşturur.

Mümkün olan en iyi veri güvenliğini sağlamak için, en güvenli dağıtım biçimi olarak şirket içi çözümlerin kurulması da önerilir. Eğilim giderek buluta doğru gitse bile bu, KRITIS alanındaki yüksek düzeyde veri hassasiyeti açısından sorunludur.

Kritik altyapıyı korumak için Siber Savunma Merkezleri (CDC)

Güvenlik Operasyon Merkezi (SOC) olarak da bilinen bir Siber Savunma Merkezi (CDC) ile KRITIS operatörleri ve şirketleri, BT ve OT altyapıları için tutarlı, entegre bir güvenlik konsepti uygulamak amacıyla yukarıdaki noktaların tümünü etkili bir şekilde uygulayabilir. . Bir CDC, bir kuruluşun bilgi güvenliğini izlemek, analiz etmek ve sürdürmekten sorumlu teknolojileri, süreçleri ve uzmanları kapsar. CDC, kuruluşun ağlarından, sunucularından, uç noktalarından ve diğer dijital varlıklarından gerçek zamanlı veriler toplar ve olası siber güvenlik tehditlerini XNUMX/XNUMX algılamak, önceliklendirmek ve bunlara yanıt vermek için akıllı otomasyon kullanır. Bu, tehditlerin hızla kontrol altına alınmasını ve etkisiz hale getirilmesini sağlar.

🔎 2. Bölüm: Kritis için BT Güvenliği Yasası 2.0 (Resim: Radar Siber Güvenlik).

Ayrıca, KRITIS operatörleri ve şirketleri için Avrupa güvenlik teknolojilerinin özellikle kamu yararına kullanılması tavsiye edilmektedir. Bu sayede yasal veri koruma gereklilikleri kolaylıkla karşılanabilmektedir. Bunlar, örneğin, bilgi teknolojisi sistemlerinizin, bileşenlerinizin kullanılabilirliği, bütünlüğü, özgünlüğü ve gizliliğindeki kesintileri önlemek için önlemlerinizin uygun bir şekilde kanıtlanması için AB Genel Veri Koruma Yönetmeliğinin (GDPR) gerekliliklerini ve BSI yasasının gerekliliğini içerir. veya işlettikleri kritik altyapıların işlevselliği için gerekli olan süreçlerle ilgilidir.

Avrupa'nın KRITIS'ine yönelik saldırılar artacak

Avrupa güvenlik teknolojisinin kullanılması, üçüncü ülke aktörlerinin herhangi bir zamanda AB veri korumasını ihlal ederek hassas bilgilere erişememesini sağlamak için BSI'nın kritik bileşenleri kontrol etmesini de kolaylaştırır. Bu, ABD ve Avrupa arasındaki Gizlilik Yasasının devre dışı olduğu zamanlarda daha da önemlidir.

Avrupa'nın kritik altyapısına yönelik saldırıların gelecekte artarak devam etmesi beklenebilir ve bu özellikle Ukrayna savaşıyla birlikte jeopolitik sahnede belirgindir. Bütüncül bir Siber Savunma Merkezi çözümü ile Alman KRITIS operatörleri, saldırılara karşı kendilerini savunmak için siber dayanıklılıklarını önemli ölçüde artırabilir.

RadarCS.com'da daha fazlası

 

Radar Siber Güvenlik Hakkında

Radar Cyber ​​​​Security, tescilli Siber Tespit Platformu teknolojisine dayalı olarak Viyana'nın kalbinde Avrupa'nın en büyük siber savunma merkezlerinden birini işletmektedir. On yıllık araştırma ve geliştirme çalışmalarından elde edilen en son teknolojik gelişmelerle eşleştirilen insan uzmanlığı ve deneyiminin güçlü birleşiminden güç alan şirket, RADAR Hizmetleri ve RADAR Çözümleri ürünlerinde BT ve OT güvenliği ile ilgili zorluklara yönelik kapsamlı çözümleri bir araya getiriyor.

 

Konuyla ilgili makaleler

BT güvenliği: NIS-2 bunu birinci öncelik haline getiriyor

Alman şirketlerinin yalnızca dörtte birinde yönetim BT güvenliği sorumluluğunu üstleniyor. Özellikle küçük şirketlerde ➡ Devamını oku

Siber saldırılar 104'te yüzde 2023 artacak

Bir siber güvenlik şirketi geçen yılın tehdit ortamını inceledi. Sonuçlar şu konularda önemli bilgiler sağlıyor: ➡ Devamını oku

Mobil casus yazılımlar işletmeler için tehdit oluşturuyor

Giderek daha fazla insan hem günlük yaşamda hem de şirketlerde mobil cihaz kullanıyor. Bu aynı zamanda “mobil ➡ Devamını oku

Kitle kaynaklı güvenlik birçok güvenlik açığını tespit ediyor

Kitle kaynaklı güvenlik geçen yıl önemli ölçüde arttı. Kamu sektöründe önceki yıla göre yüzde 151 daha fazla güvenlik açığı rapor edildi. ➡ Devamını oku

Dijital Güvenlik: Tüketiciler en çok bankalara güveniyor

Dijital güven araştırması, tüketicilerin en çok güvendiği alanların bankalar, sağlık hizmetleri ve hükümet olduğunu gösterdi. Medya- ➡ Devamını oku

Darknet iş değişimi: Bilgisayar korsanları içerideki hainleri arıyor

Darknet yalnızca yasadışı malların takas edildiği bir yer değil, aynı zamanda bilgisayar korsanlarının yeni suç ortakları aradığı bir yer ➡ Devamını oku

Güneş enerjisi sistemleri – ne kadar güvenli?

Bir çalışma güneş enerjisi sistemlerinin BT güvenliğini inceledi. Sorunlar arasında veri aktarımı sırasında şifreleme eksikliği, standart şifreler ve güvenli olmayan ürün yazılımı güncellemeleri yer alıyor. akım ➡ Devamını oku

Yeni kimlik avı dalgası: Saldırganlar Adobe InDesign kullanıyor

Tanınmış ve güvenilir bir belge yayınlama sistemi olan Adobe InDesign'ı kötüye kullanan kimlik avı saldırılarında şu anda bir artış var. ➡ Devamını oku

Stories
, , , , ,