23 Nisan 2021'de Federal Meclis, revize edilmiş BT Güvenlik Yasasını (ITSiG 2.0) kabul etti. Saldırıları tespit etmeye yönelik sistem olan ITSiG 2.0, KRITIS için zorunludur. Kritik altyapıların iki yıl içinde saldırı tespiti için bütüncül bir sistem kurması gerekiyor. Tedarik zinciri, BT Güvenlik Yasası'nın bir parçası haline gelir.
23 Nisan 2021'de Federal Meclis, revize edilmiş BT Güvenlik Yasasını (ITSiG 2.0) kabul etti. Federal Bilgi Güvenliği Ofisi'nin (BSI) genişletilmiş yetkilerine ek olarak, siber güvenlik gereklilikleri de sıkılaştırılıyor. Enerji tedarikçileri ve su tedarikçileri gibi kritik altyapılar ve artık atık bertaraf şirketleri ve ekonomik öneme sahip büyük şirketler, değişiklikle saldırı tespit sistemi uygulamak zorunda. Yasal metnin açıklamasına göre, bu, kritik altyapı operatörlerinin iletişim teknolojisini mümkün olduğunca kapsamlı bir şekilde korumalıdır, yani § 8a (1a) uyarınca "tehditleri sürekli olarak belirlemek ve bunlardan kaçınmak" için tüm altyapıyı dikkate almalıdır. ). Bu, operatörün kurumsal BT'den ayırmak için operasyonel teknoloji (OT) olarak adlandırılan telekontrol, süreç ve ağ kontrol teknolojisinin de odak noktası olduğu anlamına gelir.
KRITIS koruması zorunludur
Rhebo CEO'su Klaus Mochalski, "Yasa, tasarımı açısından büyük ölçüde belirsiz kalsa bile, saldırı tespiti için bütünsel bir sistem talebi kesinlikle gecikmiştir." »Bu, hem OT siber güvenliğinin artan önemini hem de kurumsal BT ve OT'nin yakınsamasına yönelik eğilimi hesaba katar. Örneğin, enerji tedarikçileri ve endüstriyel şirketlerdeki izleme projelerinde ve risk analizlerinde, daha önce ayrı yönetilen ağların arayüzlerinden geçen tehditleri yıllardır tespit ediyoruz. Bu, yalnızca OT aracılığıyla gerçekleşen siber saldırı riskini artırmaz. Enerji arzı ve üretimi gibi endüstriyel süreçlerin kalıcı olarak kesintiye uğrama riski de son yıllarda önemli ölçüde arttı." 2020 yılında halka açılan enerji tedarik şirketlerine yönelik siber saldırıların değerlendirilmesi, dünya çapında bir önceki yıla göre yüzde 38 artış gösteriyor. Sanayi şirketleri için yüzde 111'lik bir artış oldu (kaynak: www.hackmageddon.com).
Gereksiz Gecikme
Kritik altyapı operatörlerinin artık saldırı tespit sistemini uygulamak için 24 ayı var. ITSiG 2.0'ın ilk taslaklarında, BSI 12 ay içinde uygulanmasını talep etmişti. Bazı kritik altyapıların karmaşıklığı nedeniyle, müzakerelerin son birkaç haftasında uygulama süresi yalnızca ikiye katlandı. Son dakika ayarlaması hakkında yorum yapan Mochalski, "Mevcut risk durumuyla ilgili olarak, kısa vadeli bir taahhüt arzu edilirdi" diyor. "Özellikle, karmaşık altyapıların bile hızlı bir şekilde güvenli hale getirilmesini sağlayan uzun süredir yaklaşımlar ve teknolojiler olduğu için. Örneğin, bazı müşterilerimiz çok sayıda trafo merkezi, yenilenebilir enerji santrali ve diğer trafo merkezleri işletiyor. Endüstriyel ağ izleme sistemimizin anormallik tespiti ile entegrasyonu burada çok kısa sürede yapılabilir. Bu da mümkündür, çünkü çözümümüzü kolayca mevcut ağ bileşenlerine dayandırabiliriz, örn. B. Barracuda, INSYS icom, RAD ve Welotec«.
Tedarikçiler sorumlu tutulur
ITSiG 2.0'ın bir başka yeniliği de mevzuatın kritik altyapının büyük tedarikçilerini içerecek şekilde genişletilmesidir. Bu, tüm tedarik zincirini hesaba katması gereken, giderek daha karmaşık hale gelen bir siber tehdit ortamını hesaba katar.
Mochalski, "Bu düzenleme muhtemelen 5G ağı için yabancı tedarikçileri hedefliyor olsa da, bu aynı zamanda tüm kritik altyapı operatörleri veya ekonomik açıdan ilgili şirketler için doğru adımdır" diye vurguluyor. "En azından SolarWinds olayı bunu netleştirdi." Saldırganlar, tedarik zinciri ele geçirmesi olarak bilinen saldırı tekniğini kullanarak asıl hedeflerine, yani SolarWinds müşterilerine oradan erişim elde etmek için ilk olarak 2020'nin sonunda BT platformu hizmet sağlayıcısı SolarWinds'in güvenliğini ele geçirdi. »Bu nedenle, bir süredir çeşitli OT bileşenleri ve kritik IoT sistemleri üreticileriyle çalışıyoruz«>. Rhebo, 2019 yılından beri dünya çapında kullanılan Alman üretici Sonnen GmbH'nin enerji depolama sistemlerini koruyor. 2021'in başında Rhebo, lider enerji yönetimi çözümleri sağlayıcısı Landis+Gyr tarafından devralındı. Rhebo'nun Landis+Gyr'nin Gelişmiş Ölçüm Altyapısına entegrasyonuyla, dünya çapındaki kritik altyapılar, hizmetlerinin daha fazla dijitalleştirilmesi ve otomasyonu için güvenli bir çözüm elde edecek.
Daha fazlası Rhebo.com'da
Rhebo GmbH
Rhebo, enerji tedarikçileri, endüstriyel şirketler ve kritik altyapılar için yenilikçi endüstriyel izleme çözümleri ve hizmetleri geliştirir ve pazarlar. Şirket, müşterilerinin OT ve IoT altyapılarının hem siber güvenliğini hem de kullanılabilirliğini sağlamalarına ve böylece endüstriyel ağların ve akıllı altyapıların güvenliğini sağlamaya yönelik karmaşık zorlukların üstesinden gelmelerine olanak tanıyor. Rhebo, 2021'den bu yana, dünya çapında yaklaşık 100 çalışanı ile enerji endüstrisi için entegre enerji yönetimi çözümlerinin önde gelen global sağlayıcısı olan Landis+Gyr AG'nin %5.500 yan kuruluşudur. Rhebo, Federal Bilgi Güvenliği Ofisi'nin (BSI) Siber Güvenlik İttifakının bir ortağıdır ve güvenlik standartlarının geliştirilmesi için güvenlik yönetimi konusunda Teletrust - Bundesverband IT-Sicherheit eV ve Bitkom çalışma grubuna aktif olarak katılmaktadır.