Kritik altyapılar: IT Security Act 2.0 gereklilikleri

1. Nisan 2022
| Yorum yok
Kritik altyapılar: IT Security Act 2.0 gereklilikleri

Gönderiyi paylaş

Siber saldırılar bağlamında kritik altyapılar (KRITIS): tüm koruyucu önlemler yeni BT Güvenlik Yasası 2.0 ile uyumlu mu? BT Güvenlik Yasası 2.0, kritik altyapıların operatörleri için önemli ayarlamalar ile sonuçlanmıştır.

Enerji, su, finans ve sağlık alanlarındaki üreticiler ve kamu kuruluşları ile endüstriyel şirketler saldırganlar tarafından giderek daha fazla hedef alınıyor. Sonuç: Milyonlarca değerindeki üretim kayıpları ve insan hayatını tehlikeye atmaya varan arz darboğazları. Son örnekler arasında Amerika Birleşik Devletleri'ndeki en büyük boru hattına, İrlanda sağlık kurumuna yönelik saldırılar ve Avrupa'yı elektrik kesintisinin eşiğine getiren bir Hırvat trafo merkezinde yaşanan bir olay yer alıyor.

KRITIS saldırıları eylem gerektirir

Anhalt-Bitterfeld, Schwerin ve Witten'de olduğu gibi Alman belediye yönetimlerine yönelik siber saldırılar, BT sistemlerinin büyük bölümlerinin arızalandığı veya acil bir durumda kapatılması gerektiği durumlarda Alman makamlarının savunmasızlığını da vurguladı. Gıda üretiminin ne kadar çabuk durma noktasına gelebileceği, üretimden lojistiğe ve iletişime kadar şirketin tüm alanlarının etkilendiği Avusturya'nın en büyük üçüncü mandırasına yapılan siber saldırıyla açıkça ortaya çıktı.

Ek olarak, Florida'daki Oldsmar yeraltı suyu arıtma tesisine yapılan saldırı, tehlikeye atılmış kritik bir altyapının potansiyel olarak yaşamı tehdit eden sonuçlarını gösterdi. Saldırganlar, su arıtma tesisini kontrol eden bilgisayar sistemine başarılı bir şekilde sızdı ve su kaynağının kimyasal dengesini değiştirmek için bir bilgisayarı uzaktan manipüle ederek ciddi insanlara zarar verebilirdi.

Siber savaş: Müzakere ortağı eksik olduğunda

Bu artan sayıda saldırının arka planına karşı, kritik altyapı operatörleri ve özel ekonomik öneme sahip şirketler bu nedenle yalnızca şantaj girişimleriyle değil, aynı zamanda siber savaş konusuyla da uğraşmak zorundadır. Çünkü siber suçlular yalnızca fidye talep ederse, örneğin başarılı bir fidye yazılımı saldırısı meydana gelirse kuruluşlar en azından uygun eylem yönergelerini önceden uygulayabilir.

Bununla birlikte, bir siber saldırı tamamen politik olarak motive edilmişse ve kuruluş örnek teşkil etmesi için yalnızca düşman bir ulus devlet tarafından rastgele bir kurban olarak seçilmişse, müzakere ortağı yoktur ve hasarın yalnızca iş yeteneği üzerinde büyük bir etkisi olmakla kalmaz, aynı zamanda bir bütün olarak toplum için de boyutlar kazanır.

Dijital saldırılarla hibrit savaş

Bu yeni hibrit savaş, dijital saldırıların askeri saldırılardan önce geldiği ve gelecekte de devam edebileceği Ukrayna-Rusya çatışmasında açıkça görülüyor. 2015 gibi erken bir tarihte Rusya, büyük bir siber saldırı ile Ukrayna elektrik şebekesinin bir bölümünü felç etmeyi başardı ve kışın çeyrek milyon Ukraynalıyı elektriksiz bıraktı. Ocak 2022'de savaşın başlamasından bir ay önce Microsoft, Ukrayna devlet kurumlarının ve kuruluşlarının düzinelerce kritik sisteminde yıkıcı silici kötü amaçlı yazılım buldu. Ukrayna hükümetine göre, bu saldırıların arkasında Rusya'nın olduğuna dair açık göstergeler var. Ayrıca, bu tür olayların Ukrayna'nın ulusal sınırlarının çok ötesine taşabileceği de göz ardı edilemez. Alman güvenlik yetkilileri, özellikle kritik altyapı operatörlerini olası siber saldırılara karşı silahlandırmaya çağırdı.

Bu nedenle, KRITIS alanında hem BT hem de OT altyapısı için uçtan uca bir çözüm olarak tutarlı, entegre bir güvenlik konsepti uygulamak esastır, yalnızca parasal amaçlı saldırılar nedeniyle değil, aynı zamanda ürünleri içeren ulusal güvenlik açısından da. , süreçler ve tüm alanlarda kalifiye güvenlik uzmanları.

Kritik altyapılar için yeni yasal çerçeve

Yasa koyucu yeni dijital zorluklara tepki gösterdi. Sonuç olarak, kritik altyapı operatörleri ve özel kamu çıkarına sahip şirketler, yalnızca artan siber tehditler nedeniyle değil, aynı zamanda Almanya ve Avrupa düzeyinde yasal çerçevenin güncellenmesi nedeniyle de büyük zorluklarla karşı karşıya kalmaktadır.

Alman BSI Yasasına göre kuruluşlar, enerji, sağlık, bilgi teknolojisi ve telekomünikasyon, ulaşım ve trafik, su, finans ve sigorta ve gıda gibi yedi sektörden birine ait olmaları, kritik hizmetler sağlamaları ve bunu yaparken, BSI-KRITIS yönetmeliği aşım eşiklerine uyun.

2022'de KRITIS operatörleri için ek yasal gereklilikler

Almanya'da, bilgi teknolojisi sistemlerinin güvenliğini artırmaya yönelik ikinci yasa - kısaca: IT Security Act 2021 - BSI Yasasına ek olarak Mayıs 2.0'de yürürlüğe girdi. Bu, belediye atık bertaraf sektörünü içerecek şekilde kritik altyapı grubunu genişletti. Ayrıca, silah üreticileri veya özellikle büyük ekonomik öneme sahip şirketler gibi sözde "özel kamu yararı" kapsamındaki diğer şirketler de gelecekte belirli BT güvenlik önlemlerini uygulamak zorunda kalacak.

BT Güvenlik Yasası 2.0, şirketler ve bazı durumlarda kritik altyapı operatörleri için önemli düzenlemelerle sonuçlanmıştır:

Kritik altyapı operatörleri, saldırı tespit sistemlerini en geç 1 Mayıs 2023 tarihine kadar hayata geçirmelidir.
Ayrıca operatörler, örneğin üreticinin üçüncü bir ülke tarafından kontrol edilmesi veya Alman Federal Hükümeti, AB veya NATO'nun güvenlik politikası hedefleriyle çelişmesi durumunda, kritik bileşenlerin planlanan ilk kullanımı hakkında Federal İçişleri Bakanlığı'nı bilgilendirmelidir.
Özel kamu yararına olan şirketler, düzenli olarak öz beyanda bulunmakla yükümlüdür. Son iki yılda BT güvenliği alanında hangi sertifikaların verildiğini ve BT sistemlerinin nasıl güvence altına alındığını açıklamak zorundadırlar.

Ayrıca Avrupa Komisyonu, kritik tesislerin ve ağların dijital ve fiziksel dayanıklılığını iyileştirmek için Avrupa NIS Direktifi (NIS-2) ve bir "Kritik Tesisler Direnç Direktifi" reformu için bir teklif sunmuştur. Bu önerilerin amacı mevcut ve gelecekteki riskleri en aza indirmektir. Dolayısıyla, bu Avrupa yönergelerinin uygulanması, BT Güvenlik Yasası 2.0'ın yenilenmiş bir revizyonuyla sonuçlanabilir.

Kritik altyapının entegre koruması neye benziyor?

Enerji, su ve sağlık sektörlerindeki üreticiler ve tedarikçilerin yanı sıra BT ve kontrol teknolojilerini siber saldırılardan koruması gereken endüstriyel şirketler, BT Güvenliği Yasası 2.0/BSI Yasası ve ISO 27000 ile uyumlu entegre çözümlere ihtiyaç duyar. bilgi güvenliği koşulu için standartlar. Teknoloji tarafında, saldırılara karşı sıkı bir güvenlik ağı oluşturmak için aşağıdaki yetkinlikler birbirine bağlanmalıdır:

Kritik altyapıları korumak için güvenlik modülleri

  • Günlük Veri Analizi (LDA): Güvenlik Bilgileri ve Olay Yönetimi (SIEM) olarak da bilinen günlük veri analizi, çok çeşitli kaynaklardan günlüklerin toplanması, analizi ve korelasyonudur. Bu, güvenlik sorunları veya olası riskler için uyarılarla sonuçlanır.
  • Güvenlik Açığı Yönetimi ve Uyumluluk (VMC): Güvenlik açığı yönetimi, kapsamlı algılama, uyumluluk kontrolleri ve eksiksiz kapsama için testlerle sürekli dahili ve harici güvenlik açığı taraması sağlar. Yazılım uyumluluğunun bir parçası olarak, her bir sunucu veya sunucu grubu için yazılımın yetkili kullanımı, bir dizi kural ve sürekli analiz kullanılarak belirlenir. Manipüle edilmiş yazılımlar hızlı bir şekilde tanınabilir.
  • Ağ Durumu İzleme (OT modülü): Bu, hatasız operasyonda bir kesintiye işaret eden iletişimleri gerçek zamanlı olarak raporlamak için kullanılır. Böylece teknik aşırı yük koşulları, fiziksel hasar, yanlış yapılandırmalar ve ağ performansındaki bozulma anında fark edilir ve hata kaynakları doğrudan belirlenir.
  • Ağ Davranışı Analitiği (NBA): Ağ davranışı analizi ile, imza ve davranış tabanlı algılama motorlarına dayalı olarak ağ trafiğindeki tehlikeli kötü amaçlı yazılımların, anormalliklerin ve diğer risklerin tespiti mümkündür.
  • Uç Nokta Tespiti ve Yanıtı: Endpoint Detection and Response, bilgisayar bilgisayarlarındaki (ana bilgisayarlar) anormalliklerin analizi, izlenmesi ve algılanması anlamına gelir. EDR ile aktif koruma aksiyonları ve anlık uyarılar sağlanır.

Karmaşıklık nedeniyle, bu modüllerden güvenlikle ilgili bilgilerin daha fazla işlenmesi güvenlik uzmanları tarafından gerçekleştirilir. Kazanılan bilgileri otomatik olarak değerlendirir ve önceliklendirirsiniz. Bu, doğru karşı önlemleri başlatmanın temelidir. Son olarak, güvenlik uzmanları tüm bilgileri, BT ve OT operasyon ekiplerinin yanı sıra yönetimin de dahil olduğu ilgili paydaşların erişebildiği veya anlayabilecekleri özelleştirilmiş raporları düzenli olarak aldıkları merkezi bir portalda açık bir şekilde sunar.

Avrupa güvenlik teknolojileri

Avrupa güvenlik teknolojilerinin kullanımı BSI yasasında yer almasa da, KRITIS operatörleri ve özellikle kamu yararına olan şirketler için aşağıdaki yasal gereklilikleri kolayca karşılayabilmeleri için tavsiye edilir:

Genel Veri Koruma Yönetmeliğine uyumun yanı sıra BT sistemlerinin bütünlüğü, özgünlüğü ve gizliliği

KRITIS operatörleri, diğer tüm sektörlerdeki şirketler gibi, AB Genel Veri Koruma Yönetmeliği'nin (GDPR) gerekliliklerine tabidir ve her zaman bunlara uymalı ve güvenliklerini buna göre sağlamalıdır.

Ayrıca, BSI Yasası (§ 8a Paragraf 1 BSIG), kritik altyapı operatörlerinin, bilgi teknolojisi sistemlerinin, bileşenlerinin veya süreçlerinin kullanılabilirliği, bütünlüğü, özgünlüğü ve gizliliğindeki kesintileri önlemek için aldıkları önlemlere ilişkin uygun kanıtları BSI'ya sağlamalarını gerektirir. onlar tarafından işletilen kritik altyapıların işlevselliği için elzemdir.

Radar Cyber ​​​​Security CEO'su ve Genel Müdürü Ali Carl Gülerman (Resim: Radar Cyber ​​​​Security).

Hizmetleri Avrupa'da geliştirilen tescilli teknolojiye dayalı olan Avrupalı ​​güvenlik sağlayıcıları ile, en yüksek veri koruma standartlarına tabi olduklarından, yukarıdaki gerekliliklere uyumun uygulanması kolaydır. KRITIS şirketleri, siber güvenlik sağlayıcısının kökenine ek olarak, güvenlik yazılımının kurulma şekline ve güvenlik verilerinin toplanmasına da dikkat etmelidir. Mümkün olan en iyi veri güvenliğini sağlamak için, en güvenli dağıtım şekli olarak şirket içi çözümler kurmanızı öneririz. Eğilim giderek buluta doğru gitse bile, bu, KRITIS alanındaki yüksek veri hassasiyeti göz önüne alındığında eleştirel olarak görülmelidir.

Kritik bileşenler: Kullanılan üreticilerin özellikleri

Avrupa güvenlik teknolojisinin kullanımı, kritik bileşenlerin BSI tarafından § 9b BSIG uyarınca test edilmesini de kolaylaştırır. Örneğin, BSI aşağıdaki durumlarda kritik bir bileşenin ilk kullanımını yasaklayabilir:

  • Üreticinin, diğer devlet kurumları veya silahlı kuvvetleri dahil olmak üzere üçüncü bir ülkenin hükümeti tarafından doğrudan veya dolaylı olarak kontrol edilmesi,
  • İmalatçının, Federal Almanya Cumhuriyeti veya Avrupa Birliği, Avrupa Serbest Ticaret Birliği veya Kuzey Atlantik Antlaşması'na üye başka bir devlette veya bunların kurumlarında kamu düzeni veya güvenliği üzerinde olumsuz etkileri olan faaliyetlerde bulunmuş veya bulunması,
  • Kritik bileşenin kullanımı, Federal Almanya Cumhuriyeti, Avrupa Birliği veya Kuzey Atlantik Antlaşması'nın güvenlik politikası hedefleriyle tutarlı değildir.

KRITIS kuruluşları için temel olan güçlü siber dayanıklılık

Kritik altyapıya yönelik saldırılar, siber suçlular için kazançlıdır. Aynı zamanda, topluluğa zarar verme konusunda özellikle yüksek bir potansiyel taşırlar: örn.

Bu nedenle, KRITIS kuruluşlarının savunma önlemleri için BSI ve ISO 27000 standartlarının gerekliliklerini tam olarak karşılayan ve aynı zamanda en yüksek Avrupa veri koruma standartlarına uyan güvenlik sağlayıcıları seçmesi çok önemlidir. Önerme, yalnızca para cezalarından kaçınmak değil, özellikle BT ve OT sistemlerinin etkili ve sürdürülebilir şekilde korunmasını sağlamak olmalıdır. Ancak saldırılara karşı güçlü siber direnç, hiçbir zaman yalnızca güvenlik teknolojilerine dayanmaz, her zaman doğru süreçleri ve kalifiye uzmanları içerir. Siber tehditlere karşı bütüncül erken tespit ve hızlı müdahale sağlamak için yalnızca bu ürün, süreç ve uzman üçlüsü aracılığıyla bir kuruluşun tüm altyapısının 360 derecelik bir görünümüne sahip olmak mümkündür.

RadarCS.com'da daha fazlası

 

Radar Siber Güvenlik Hakkında

Radar Cyber ​​​​Security, tescilli Siber Tespit Platformu teknolojisine dayalı olarak Viyana'nın kalbinde Avrupa'nın en büyük siber savunma merkezlerinden birini işletmektedir. On yıllık araştırma ve geliştirme çalışmalarından elde edilen en son teknolojik gelişmelerle eşleştirilen insan uzmanlığı ve deneyiminin güçlü birleşiminden güç alan şirket, RADAR Hizmetleri ve RADAR Çözümleri ürünlerinde BT ve OT güvenliği ile ilgili zorluklara yönelik kapsamlı çözümleri bir araya getiriyor.

 

Konuyla ilgili makaleler

BT güvenliği: NIS-2 bunu birinci öncelik haline getiriyor

Alman şirketlerinin yalnızca dörtte birinde yönetim BT güvenliği sorumluluğunu üstleniyor. Özellikle küçük şirketlerde ➡ Devamını oku

Siber saldırılar 104'te yüzde 2023 artacak

Bir siber güvenlik şirketi geçen yılın tehdit ortamını inceledi. Sonuçlar şu konularda önemli bilgiler sağlıyor: ➡ Devamını oku

Mobil casus yazılımlar işletmeler için tehdit oluşturuyor

Giderek daha fazla insan hem günlük yaşamda hem de şirketlerde mobil cihaz kullanıyor. Bu aynı zamanda “mobil ➡ Devamını oku

Kitle kaynaklı güvenlik birçok güvenlik açığını tespit ediyor

Kitle kaynaklı güvenlik geçen yıl önemli ölçüde arttı. Kamu sektöründe önceki yıla göre yüzde 151 daha fazla güvenlik açığı rapor edildi. ➡ Devamını oku

Dijital Güvenlik: Tüketiciler en çok bankalara güveniyor

Dijital güven araştırması, tüketicilerin en çok güvendiği alanların bankalar, sağlık hizmetleri ve hükümet olduğunu gösterdi. Medya- ➡ Devamını oku

Darknet iş değişimi: Bilgisayar korsanları içerideki hainleri arıyor

Darknet yalnızca yasadışı malların takas edildiği bir yer değil, aynı zamanda bilgisayar korsanlarının yeni suç ortakları aradığı bir yer ➡ Devamını oku

Güneş enerjisi sistemleri – ne kadar güvenli?

Bir çalışma güneş enerjisi sistemlerinin BT güvenliğini inceledi. Sorunlar arasında veri aktarımı sırasında şifreleme eksikliği, standart şifreler ve güvenli olmayan ürün yazılımı güncellemeleri yer alıyor. akım ➡ Devamını oku

Yeni kimlik avı dalgası: Saldırganlar Adobe InDesign kullanıyor

Tanınmış ve güvenilir bir belge yayınlama sistemi olan Adobe InDesign'ı kötüye kullanan kimlik avı saldırılarında şu anda bir artış var. ➡ Devamını oku

Stories
, , , , ,