Siber Direnç Yasası (CRA) ile AB, ağa bağlı cihazların güvenlik düzeyini artırmak istiyor. Eylül 2022’de Komisyon, şu anda AB Parlamentosu ve Bakanlar Konseyi tarafından kabul edilmekte olan ilk düzenleme taslağını sundu. Diğer şeylerin yanı sıra, üreticilerin tasarım ve üretimde hangi yükümlülüklere sahip oldukları ve cihazlar için güncellemeleri ne kadar süreyle sağlamaları gerektiği ile ilgilidir. Her şeyden önce MKK, tıbbi cihazlar veya motorlu taşıtlar gibi özel bir düzenlemesi olmayan tüm cihazları içerir.
Birden çok kategori
CRA birkaç kategori ayırır: Bilgisayar oyunları gibi daha az kritik kabul edilen ürünler için, üreticiler yalnızca bir uygunluk beyanı düzenlemelidir. Bunu yaparken, ürünlerin teknik güvenlik açısından en son teknolojiye uygun olduğuna, bilinen hiçbir güvenlik açığı içermediğine ve birkaç yıl boyunca güncellemeler alacağına dair bağlayıcı bir beyanda bulunurlar. Ayrıca üreticiler, bilinen hale gelen güvenlik açıklarını kapatmayı taahhüt etmektedir. Bu beyan CE işaretinin bir parçası olacaktır. İşareti olmayan ürünlerin Avrupa’da piyasaya sürülmesine izin verilmemelidir.
Kripto işlemciler, sistem kontrolleri (SCADA), CNC kontrolleri, akıllı sayaçlar, robotik uygulamalar, sunucular için işletim sistemleri, masaüstü bilgisayarlar ve mobil cihazlar, güvenlik duvarları ve yönlendiriciler gibi daha kritik ürünler için komisyon ayrıca üçüncü şahıslar tarafından harici testler yapılmasını önermek istiyor. . Düzenlemenin arka planında, daha önce internete bağlı olmayan cihazların artan ağ oluşturması yatmaktadır. Çamaşır makineleri, akıllı saatler ve güç depolama kontrollerindeki kötü amaçlı yazılımlar, en azından yönlendiriciler, buzdolapları, termostatlar veya bebek monitörleri gibi ağa bağlı cihazları etkileyen Mirai botnet kötü amaçlı yazılımından bu yana politikacılar için gerçek bir senaryo haline geldi.
Daha sonraki yasal süreçte hangi ürünlerin daha katı test kriterlerine tabi tutulacağı ve hangileri için üreticinin uygunluk beyanının yeterli olacağı sorusu gündeme gelecek. Nicola Danti (Renew Europe Group), AB Parlamentosu raportörü olarak CRA ile müzakere ediyor. Paskalya’dan hemen önce, ilk değişiklik taslağını komitelere gönderdi.
BSI Başkan Yardımcısı Gerhard Schabhüser, Mart ayında dijital tüketici koruması 2022 raporunu sunuyor.
(Resim: Wolfgang Kumm/dpa)
Diğer şeylerin yanı sıra Danti, akıllı ev cihazlarını harici bir kuruluşun uygunluğu kontrol etmesi gereken kategoriye dahil etmek istiyor. Ayrıca, uygulamayı büyük ölçüde merkezileştirmek istiyor: Avrupa ağ ve bilgi güvenliği otoritesi ENISA, kendi isteğine göre sağlayıcılardan ve satıcılardan güvenlik raporlarını merkezi olarak toplamalı. Komisyon önerisi ise, Üye Devletlerdeki yetkililere daha güçlü bir rol sağlamaktadır. Almanya’da uygulanırsa, Federal Bilgi Güvenliği Ofisi (BSI) sorumlu olacaktır.
Yetkili, Alman BT güvenlik etiketiyle ürün testinde zaten aktif: Sağlayıcılar, 2021’den beri ürünlerini BSI tarafından tanımlanmış güvenlik standartlarına göre sertifikalandırabiliyor. Ancak, 2021’den 2023 Nisan başına kadar, posta dahil yalnızca 37 ürün sağlayıcılar, modemler ve yönlendiriciler bu testi tamamlamıştır. Siber Direnç Yasası ile BSI’nın görev yelpazesi büyük ölçüde artacaktır.
BSI’nin denetim makamı olarak hareket etmesi muhtemeldir, ancak Teknik İzleme Dernekleri (TÜV) gibi diğer kuruluşlar asıl ürün testini gerçekleştirecektir. Şu anda görev yapan BSI Başkan Yardımcısı Gerhard Schabhüser, CRA ile “durumu belirsiz tüketici cihazlarının” piyasadan silineceğini umuyor. Ancak Schabhüser, Mart ayında BSI’nın 2022 tüketiciyi koruma raporu sunulduğunda bunun gönüllü olmaktan daha fazlasını gerektirdiğini vurguladı.
BSI temel görevleri almaktır
Federal hükümet henüz CRA’daki konumunu bulamadı. Federal İçişleri Bakanlığı (BMI) sözcüsü c’t tarafından sorulduğunda, “CRA’dan kaynaklanan rollerin ve görevlerin dağılımına ilişkin müzakereler hala devam ediyor” dedi. “BMI açısından, BSI temel görevleri alacak.”
İkinci, en önemli çekişme noktası, Danti’nin başka bir önerisi: “Dijital öğeler içeren ürünler”in yeni kurallar kapsamına girdiği andan itibaren geçiş dönemlerini büyük ölçüde uzatmak istiyor. Avrupa Parlamentosu Sanayi Komitesi’nde yer alan Danti, düzenlemenin yürürlüğe girmesinden sonra Komisyon’un önerdiği 24 aylık süre yerine şirketlere 40 aylık bir geçiş süresi vermek istiyor ki bu en erken 2028. Halihazırda piyasada olan ürünler, en azından önemli bir değişiklik olmadığı sürece eski haline getirilmelidir.
(Resim:
c’t 10/2023
)
Dil modelleri sörf yapmayı öğrenir! AI arama motorları sizin için web’i araştırır ve kaynaklarınızı birbirine bağlar. c’t yedi arama hizmetini yapay zeka desteğiyle test eder ve sonuç olarak ortaya çıkan yeni güvenlik risklerini gösterir. Windows 10 desteğinin yakında sona ermesi, çalışan bilgisayarları elektronik atığa dönüştürmekle tehdit ediyor çünkü birçok bilgisayar Windows 11 gereksinimlerini karşılamıyor. Politika ve iş dünyasının bu konuda gerçekte ne söylemesi gerektiğini soruyoruz. Mini PC’leri de test ettik, silinen dosyaları Linux altında nasıl geri getireceğimizi açıkladık ve c’nin “Hommingberger Gepardenforelle” kampanyasını hatırladık. Bunu ve daha fazlasını c’t 10/2023’te okuyabilirsiniz!
(kst)
Haberin Sonu
Birden çok kategori
CRA birkaç kategori ayırır: Bilgisayar oyunları gibi daha az kritik kabul edilen ürünler için, üreticiler yalnızca bir uygunluk beyanı düzenlemelidir. Bunu yaparken, ürünlerin teknik güvenlik açısından en son teknolojiye uygun olduğuna, bilinen hiçbir güvenlik açığı içermediğine ve birkaç yıl boyunca güncellemeler alacağına dair bağlayıcı bir beyanda bulunurlar. Ayrıca üreticiler, bilinen hale gelen güvenlik açıklarını kapatmayı taahhüt etmektedir. Bu beyan CE işaretinin bir parçası olacaktır. İşareti olmayan ürünlerin Avrupa’da piyasaya sürülmesine izin verilmemelidir.
Kripto işlemciler, sistem kontrolleri (SCADA), CNC kontrolleri, akıllı sayaçlar, robotik uygulamalar, sunucular için işletim sistemleri, masaüstü bilgisayarlar ve mobil cihazlar, güvenlik duvarları ve yönlendiriciler gibi daha kritik ürünler için komisyon ayrıca üçüncü şahıslar tarafından harici testler yapılmasını önermek istiyor. . Düzenlemenin arka planında, daha önce internete bağlı olmayan cihazların artan ağ oluşturması yatmaktadır. Çamaşır makineleri, akıllı saatler ve güç depolama kontrollerindeki kötü amaçlı yazılımlar, en azından yönlendiriciler, buzdolapları, termostatlar veya bebek monitörleri gibi ağa bağlı cihazları etkileyen Mirai botnet kötü amaçlı yazılımından bu yana politikacılar için gerçek bir senaryo haline geldi.
Daha sonraki yasal süreçte hangi ürünlerin daha katı test kriterlerine tabi tutulacağı ve hangileri için üreticinin uygunluk beyanının yeterli olacağı sorusu gündeme gelecek. Nicola Danti (Renew Europe Group), AB Parlamentosu raportörü olarak CRA ile müzakere ediyor. Paskalya’dan hemen önce, ilk değişiklik taslağını komitelere gönderdi.
BSI Başkan Yardımcısı Gerhard Schabhüser, Mart ayında dijital tüketici koruması 2022 raporunu sunuyor.
(Resim: Wolfgang Kumm/dpa)
Diğer şeylerin yanı sıra Danti, akıllı ev cihazlarını harici bir kuruluşun uygunluğu kontrol etmesi gereken kategoriye dahil etmek istiyor. Ayrıca, uygulamayı büyük ölçüde merkezileştirmek istiyor: Avrupa ağ ve bilgi güvenliği otoritesi ENISA, kendi isteğine göre sağlayıcılardan ve satıcılardan güvenlik raporlarını merkezi olarak toplamalı. Komisyon önerisi ise, Üye Devletlerdeki yetkililere daha güçlü bir rol sağlamaktadır. Almanya’da uygulanırsa, Federal Bilgi Güvenliği Ofisi (BSI) sorumlu olacaktır.
Yetkili, Alman BT güvenlik etiketiyle ürün testinde zaten aktif: Sağlayıcılar, 2021’den beri ürünlerini BSI tarafından tanımlanmış güvenlik standartlarına göre sertifikalandırabiliyor. Ancak, 2021’den 2023 Nisan başına kadar, posta dahil yalnızca 37 ürün sağlayıcılar, modemler ve yönlendiriciler bu testi tamamlamıştır. Siber Direnç Yasası ile BSI’nın görev yelpazesi büyük ölçüde artacaktır.
BSI’nin denetim makamı olarak hareket etmesi muhtemeldir, ancak Teknik İzleme Dernekleri (TÜV) gibi diğer kuruluşlar asıl ürün testini gerçekleştirecektir. Şu anda görev yapan BSI Başkan Yardımcısı Gerhard Schabhüser, CRA ile “durumu belirsiz tüketici cihazlarının” piyasadan silineceğini umuyor. Ancak Schabhüser, Mart ayında BSI’nın 2022 tüketiciyi koruma raporu sunulduğunda bunun gönüllü olmaktan daha fazlasını gerektirdiğini vurguladı.
BSI temel görevleri almaktır
Federal hükümet henüz CRA’daki konumunu bulamadı. Federal İçişleri Bakanlığı (BMI) sözcüsü c’t tarafından sorulduğunda, “CRA’dan kaynaklanan rollerin ve görevlerin dağılımına ilişkin müzakereler hala devam ediyor” dedi. “BMI açısından, BSI temel görevleri alacak.”
İkinci, en önemli çekişme noktası, Danti’nin başka bir önerisi: “Dijital öğeler içeren ürünler”in yeni kurallar kapsamına girdiği andan itibaren geçiş dönemlerini büyük ölçüde uzatmak istiyor. Avrupa Parlamentosu Sanayi Komitesi’nde yer alan Danti, düzenlemenin yürürlüğe girmesinden sonra Komisyon’un önerdiği 24 aylık süre yerine şirketlere 40 aylık bir geçiş süresi vermek istiyor ki bu en erken 2028. Halihazırda piyasada olan ürünler, en azından önemli bir değişiklik olmadığı sürece eski haline getirilmelidir.
(Resim:
c’t 10/2023
)
Dil modelleri sörf yapmayı öğrenir! AI arama motorları sizin için web’i araştırır ve kaynaklarınızı birbirine bağlar. c’t yedi arama hizmetini yapay zeka desteğiyle test eder ve sonuç olarak ortaya çıkan yeni güvenlik risklerini gösterir. Windows 10 desteğinin yakında sona ermesi, çalışan bilgisayarları elektronik atığa dönüştürmekle tehdit ediyor çünkü birçok bilgisayar Windows 11 gereksinimlerini karşılamıyor. Politika ve iş dünyasının bu konuda gerçekte ne söylemesi gerektiğini soruyoruz. Mini PC’leri de test ettik, silinen dosyaları Linux altında nasıl geri getireceğimizi açıkladık ve c’nin “Hommingberger Gepardenforelle” kampanyasını hatırladık. Bunu ve daha fazlasını c’t 10/2023’te okuyabilirsiniz!
(kst)
Haberin Sonu