Köstebek vurma ve güvenlik standartları arasındaki siber güvenlik
İki günlük Münih Siber Güvenlik Konferansı'nın (MCSC) başlangıcında temsilciler tarafından çevik yasa koyucular, daha hızlı düzenleyiciler, ancak her şeyden önce daha fazla standart ve tasarım gereği güvenlik önerildi. Münih Güvenlik Ağı tarafından düzenlenen 10'uncu etkinlik, daha fazla güvenlik ve siber suçlara karşı mücadelede daha iyi tarifler arayan 700 şirket temsilcisini, ABD'den üst düzey savcıları, düzenleyicileri ve “eski” gizli servis ajanlarını bir araya getirdi.
Reklamcılık
Münih Güvenlik Konferansı'nın eski başkanı Wolfgang Ischinger, dolu bir konferans salonunun önünde, siber güvenliğin dış politika odaklı konferansa entegre edilmesi fikrine başlangıçta karşı olduğunu söyledi. Eğer “inek” olursanız, koyu renk elbiseli, sigara içen beylerin (60 yıl önce askeri bilim konferansı olarak başlayan konferansın asıl ekibi) kahve içmeye çıkmasından korkuyordu. Ischinger oldukça yanıldığını itiraf etti.
Köstebek Patlat
FBI Şefi Chris Wray konferansa, teşkilatının artan sayıdaki yayından kaldırma işlemlerine ilişkin bir güncelleme sundu. MCSC sabahı Wray, “Ölmekte Olan Kor” Operasyonu'nda, Rus gizli servisinin GRU Askeri Birimi 26165'e ait, mahkeme kararıyla desteklenen ve uluslararası ortaklarla birlikte yüzlerce sunucuya sahip bir botnet'i çevrimdışına aldığını duyurdu.
Otorite yakın zamanda Çinli bilgisayar korsanlarının kritik altyapılara olası saldırılar için ağ geçitleri oluşturmak için kullandığı “Volt Typhoon” olarak bilinen ağın örneklerini kapatarak büyük bir darbe aldı. Güvenlik uzmanı Bruce Schneier, binlerce sunucunun bulunduğu Volt Typhoon'a karşı yapılan eyleme benzer bir eylemin kesinlikle iyi bir haber olduğunu söylüyor. Schneier, “Saldırganın bunu yeniden inşa etmesi gerekiyor ve şimdi kullanmak isterse ona sahip olmayabilir” dedi. Elbette bu tür birçok botnet var.
Wray ve Başsavcı Yardımcısı Lisa Monaco, Münih'te devlet botlarına karşı acımasız eylemlere devam edeceklerine dair söz verdiler.
Düzenleyici tsunami
Komisyon Başkan Yardımcısı Margaritis Schinas, açılış konuşmasında, NIS2 direktifinden şu anki AB yasa koyucusunun (aynı zamanda) ağlarda, platformlarda ve kritik altyapılarda daha fazla güvenlik sağlamak istediği adımları özetledi. Siber dayanıklılık ve yapay zeka.
Düzenleyici tsunamiye yönelik eleştiriler karşısında Schinas, şunları söyledi: “Düzenleme söz konusu olduğunda, hiç düzenlememe ya da her şeyi düzenleme seçeneğiyle karşı karşıya olduğumuzu düşünmüyorum. Üçüncü bir yol var, Avrupa yolu. “
uyumlaştırma çabası
BSI patronu Claudia Plattner, parçalı düzenlemeye karşı uyarıda bulunan BDI patronu Siegfried Russwurm'dan ulusal siber güvenlik yetkililerine uygulama için biraz daha zaman vermesini istedi.
MCSC oturum aralarında, Avrupa'dan 26 mevkidaş Siber Güvenlik Direktörleri Toplantısı için bir araya gelmeyi ayarlamıştı. Plattner, “NIS2 uygulamasını nasıl uyumlu hale getirebileceğimizi tam olarak konuştuk” dedi. Özellikle tartışmasız olmayan eIDAS direktifi gibi daha teknik düzenlemeler söz konusu olduğunda, çoğu şey sonuçta uygulama için seçilen standartlara bağlıdır.
ABD: Daha fazla düzenleme yapmaya cesaret edin
Ancak pek çok üst düzey ABD yetkilisinin artık düzenlemenin gerekliliği konusunda ikna olmasına gerek yok. ABD İç Güvenlik Bakanı Alejandro Mayorkas, yeni bir “Siber-Sosyal Sözleşme”nin gerekliliğinden bahsetti. Mayorkas, John Perry Barlow'un eyaletlere ağdan uzak durmaları yönündeki eski çağrısının artık sona erdiğini söyledi.
Nükleer enerjide olduğu gibi dijital için de bağlayıcı bir düzenleyici çerçeveye ihtiyaç var ve hem AB hem de ABD bu yolda. Yeniliği yavaşlatmamak için ayrıntılı düzenleme yapmak yerine standartlarla düzenleme yapılmalı ve yetkililerin ve yasa koyucuların kendilerinin daha çevik olması gerekir.
standartlar, ama benimki
MCSC'deki transatlantik ortaklar standartların faydaları konusunda anlaştılar. Fransız siber güvenlik kurumu ANSSI başkanı Vincent Strubel, AB Siber Dayanıklılık Yasası gibi yasaların şu anda herhangi bir ayrıntı içermediğini vurguladı. “Birçok standarda ihtiyacımız olacak.” Kritik altyapının ardından artık daha da ileri gitmemiz gerekiyor; o kadar da kritik olmayan cihazların güvenliğini sağlamamız gerekiyor. Strubel, “Tıpkı bir diş fırçasının size elektrik şoku vermemesini isteme hakkına sahip olduğunuz gibi, diş fırçanızın sizi gözetlememesini veya bir botnet'in parçası haline gelmemesini de isteme hakkına sahipsiniz” diyor.
Aynı zamanda standardizasyon sürecinin güvenli spesifikasyonları sağlaması da önemlidir. İnternetin temel yapı taşlarını oluşturma konusunda bu bağlamdaki performans kesinlikle karışıktır.
Tüm transatlantik birliğe rağmen standardizasyona ilişkin fikirler farklılık göstermektedir. ABD Ulusal Standartlar ve Teknoloji Enstitüsü'nden Katerina Megas, açık bir süreci ve aynı zamanda farklı standartlar arasındaki rekabeti vurgularken, Avrupa Telekomünikasyon Standartları Enstitüsü Genel Müdürü Luis Jorge Romero, tek çatı altında rekabetin sağlanmasını önerdi. daha iyi ol. Kullanılmayan gönüllü standartların pek bir anlam ifade etmediğine inanıyor.
Daha fazla çeviklik
DEFCON'un kurucusu Jeff Moss'a göre, siber suçlularla ebedi tavşan-kirpi yarışına bir alternatif, güvenli olmayan ekipman sağlayıcıları, sağlayıcıları veya ürünleri medeni hukuk kapsamında sorumlu tutmak olacaktır. “Benim ordum” diyor Moss, “aslında avukatlardan oluşan bir ordu. Neden onları savaşta emsal oluşturmak için kullanmayayım?” Çoğunlukla gecikmeli düzenlemeye göre avantajları daha fazla esneklik ve uyarlanabilirlik olacaktır.
Schneier yasama organının daha çevik olması gerektiği konusunda uyardı. Eğer AB'deki insanlar artık Yapay Zeka Yasasını doğru şekilde uygulamak için on yılda bir bir şansa sahip olduklarını söyleselerdi, bunu korkutucu bulurdu. Açıkça memnuniyetle karşıladığı – “Avrupa'da yaşamasam da hayatımı daha iyi hale getiriyor” – yasanın taslağı hazırlandıktan sonra düzeltmeler yapılması gerekebilir.
(benim)
Haberin Sonu