AB’nin Siber Dayanıklılık Yasası Hakkında Bilmeniz Gerekenler

   Aralık 3, 2024  Posted in Mix


CRA Zorunlu Siber Güvenlik Gereksinimlerini Tanıttı

Avrupa CRA, dijital öğelere sahip donanım ve yazılımlar için zorunlu siber güvenlik gereksinimleri oluşturur. Kanunun kapsamı geniş olup, kapsam dahilindeki şirketlere risk değerlendirmeleri yapma, koordineli bir güvenlik açığı açıklama politikası oluşturma, güvenlik açıklarını yönetme ve kötü niyetli bir aktör tarafından kullanılan herhangi bir güvenlik açığını bildirme konusunda yeni gereksinimler getirmektedir.

CRA, nerede üretildiklerine bakılmaksızın Avrupa’da satılan dijital öğelere (PDE’ler) sahip tüm ürünleri kapsar ve bunlara uyulmaması, para cezalarına veya ürünün AB’den zorla geri çekilmesine yol açabilir.

HackerOne Etik Hackerları Korumayı Savundu

HackerOne’ın savunuculuğu, (1) iyi niyetli güvenlik araştırmacılarının zorunlu güvenlik açığı raporlamasına karşı geliştirilmiş korumaları ve (2) AB devletlerini araştırmacıları sorumluluktan korumaya ve çabalarının karşılığını almalarını sağlamaya teşvik eden hükümler dahil olmak üzere, CRA’da kayda değer iyileştirmelerin yapılmasına yardımcı oldu. Bu son metnin çeşitli hükümleri bu çabayı yansıtmaktadır:

  • “Sistem sahibinin ve kullanıcılarının güvenliğini veya emniyetini artırmak amacıyla iyi niyetle test etme, araştırma, düzeltme veya açıklama amacıyla kötü niyet taşımadan keşfedilen güvenlik açıkları, zorunlu bildirimlere tabi tutulmamalıdır. [Recital 35a].”
  • “Üye Devletler, bilgi güvenliği araştırmacılarının kovuşturulmamasına ve onların faaliyetlerine ilişkin hukuki sorumluluktan muafiyete ilişkin yönergeler benimsemeye teşvik edilmektedir. [Recital 35i].”
  • “Üreticilerin koordineli güvenlik açığı açıklama politikası, üreticinin bu tür güvenlik açıklarını teşhis etmesine ve düzeltmesine olanak tanıyacak şekilde güvenlik açıklarının üreticiye bildirildiği yapılandırılmış bir süreç belirtmelidir… Yaygın olarak kullanılan ürünlerdeki istismar edilebilir güvenlik açıkları hakkındaki bilgilerin, dijital unsurlarla birlikte kullanılabileceği gerçeği göz önüne alındığında, Karaborsada yüksek fiyatlara satılan bu tür ürünlerin üreticileri, koordineli güvenlik açığı açıklama politikalarının bir parçası olarak, bireylerin güvenlik açıklarının raporlanmasını teşvik edecek programlar kullanabilmelidir. veya kuruluşlar çabaları karşılığında tanınma ve tazminat alırlar (‘hata ödül programları’ olarak adlandırılır) [Recital 36].”

HackerOne’da misyonumuzun merkezi bir parçası, iyi niyetli güvenlik araştırmacılarını dijital ekosistemi tehditlerden koruma konusunda güçlendirmektir. CRA’da yapılan iyileştirmeleri takdir ediyoruz ve güvenlik araştırmaları için daha uygun bir yasal ortam yaratma çabalarına öncülük etmeye devam edeceğiz.

Bu arada, Avrupa’da PDE’ler sunan şirketlerin, özellikle güvenlik açıklarının ifşa edilmesini ve ele alınmasını etkileyen gereklilikler olmak üzere, son uygulama tarihinden önce CRA’ya hazırlanmaları gerekmektedir.

Güvenlik Açığı Raporlaması ve Yönetimi

Avrupa’da PDE satan şirketlerin aşağıdakileri yapmaya hazırlanmaları gerekir:

Güvenlik Açığı Yönetimi:

  1. Piyasaya sürülmeden önce PDE’lerin “bilinen istismar edilebilir güvenlik açıklarından” arınmış olduğundan emin olun;
  2. Koordineli bir güvenlik açığı açıklama politikası (CVD veya VDP) oluşturun;
  3. PDE’lerde bulunan güvenlik açıklarının raporlanması için bir iletişim adresi sağlayın;
  4. Düzenli testler sağlamak ve mümkün olduğunda güvenlik güncellemelerini sağlamak için süreçlerin geliştirilmesi ve sürdürülmesi de dahil olmak üzere, gecikmeden güvenlik açıklarını ele alın ve giderin;
  5. Güvenlik güncellemeleri yapıldıktan sonra düzeltilen güvenlik açıklarına ilişkin bilgileri paylaşın ve kamuya açıklayın;
  6. PDE’lerde en azından üst düzey bağımlılıklara sahip bir Yazılım Malzeme Listesi sağlayın.

Bu güvenlik açığı yönetimi gereksinimleri, daha güvenli ve dayanıklı bir yazılım ortamı oluşturmak için şeffaflığı, zamanında iyileştirmeyi ve işbirliğini geliştirmeyi amaçlamaktadır. CVD ve güvenlik açığı ele alma süreçleri, şirketlerin etik korsanlık topluluğundan gelen güvenlik açığı raporlarını önceliklendirmesine ve kabul etmesine olanak tanır. Bu güvenlik uygulamalarının verimli bir şekilde uygulanmasıyla kuruluşlar, ortaya çıkan siber tehditlerin önünde kalabilir.

Güvenlik Açığı Raporlaması:

  1. Aktif olarak yararlanılan güvenlik açıklarını, koordinatör olarak belirlenen Bilgisayar Güvenliği Olaylarına Müdahale Ekibine (CSIRT) ve Kanunda belirlenen zaman çizelgeleri dahilinde ENISA’ya bildirin.
    1. Aktif olarak yararlanılan güvenlik açığının varlığından haberdar olduktan sonraki 24 saat içinde erken uyarı bildirimi sağlayın.
    2. Aktif olarak yararlanılan güvenlik açığının farkına varılmasından sonraki 72 saat içinde, kötüye kullanımın niteliği, alınan düzeltici veya hafifletici önlemler ve bilgilerin hassasiyeti gibi genel bilgileri sağlayın.
    3. Güvenlik açığına ilişkin bir düzeltme ekinin yayınlanmasından sonraki 14 gün içinde, güvenlik açığının açıklaması, ciddiyeti ve etkisi, güvenlik güncellemesinin ayrıntıları veya uygulanan düzeltici önlemler de dahil olmak üzere nihai bir rapor sağlayın.
  2. CSIRT ve ENISA, olağanüstü durumlar dışında, güvenlik açığı raporlarını ürünün satıldığı Üye Devletlerdeki piyasa gözetimi yetkililerine dağıtacaktır.

Düzenli güvenlik açığı testleri ve hata ödül programlarının uygulanması, şirketlerin aktif bir istismarın düzenleyicilere bildirim zorunluluğunu tetiklemesinden önce yazılım kusurlarını bulmasına ve ortadan kaldırmasına yardımcı olacaktır.

HackerOne, AB yasa yapıcılarını, şirketlerin potansiyel olarak giderilemeyen güvenlik açıklarının vaktinden önce açıklanmasını gerektiren riskleri ele almalarına olanak sağlamak için CRA’nın güvenlik açığı raporlama gerekliliklerini gözden geçirmeye çağırdı. Bu çabalara rağmen CRA, ürün üreticilerinin, azaltma durumuna bakılmaksızın ve devlet kurumlarının güvenlik açıklarını nasıl kullanabileceğine ilişkin korkuluklar olmaksızın güvenlik açıklarını açıklamasını zorunlu kılmaktadır. HackerOne, CRA’nın uygulanması sırasında bu süreçte ek güvenlik önlemleri almak için AB yetkilileri ve Üye Devletlerle birlikte çalışmaya devam edecek.

Nasıl Hazırlanır

CRA’nın güvenlik gereklilikleri birkaç ay içinde yürürlüğe girmeyecek olsa da, AB’de yazılım veya bağlantılı ürünler satmayı planlayan şirketlerin uyumluluk konusunda bir adım öne geçme fırsatını yakalaması gerekiyor. Potansiyel uyumluluk yükünüzü ve potansiyel saldırı yüzeyinizi daha iyi anlamak için ilk adım, CRA kapsamına girmesi muhtemel ürünlerin envanterini çıkarmak olacaktır. Şirketler, güvenlik açığı yönetimi önlemlerini bu (ve tüm) ürünlerinin yaşam döngüleri boyunca entegre etmeli ve düzenli bir test temposu oluşturmalıdır. Ek olarak, şirketler şu anda kapsamlı bir CVD programının parçası olarak bir VDP oluşturabilir ve açıklamaların zamanında yapılmasını sağlamak için güvenlik açığı yönetimi prosedürlerini gerektiği şekilde değerlendirip değiştirebilir. Güvenlik açıklarını ele almak için önleyici eylemlerde bulunmak, hem en iyi uygulamalarla uyumlu olacak hem de şirketi CRA’nın uygulama son tarihleri ​​öncesinde daha iyi konumlandıracaktır.

VDP’ye nasıl başlayacağınız hakkında daha fazla bilgi edinin.



Source link