AB’nin Siber Dayanıklılık Yasası hakkında bilmeniz gerekenler

   Şubat 5, 2025  Posted in Mix


MKK, zorunlu siber güvenlik gereksinimlerini sunar

Avrupa MKK, dijital öğelerle donanım ve yazılım için zorunlu siber güvenlik gereksinimleri yaratır. Kanunun erişimi geniştir, kapsamlı şirketlerin risk değerlendirmeleri yapması, koordineli bir güvenlik açığı açıklama politikası oluşturması, güvenlik açıklarını yönetmesi ve kötü niyetli bir aktör tarafından kullanılan güvenlik açığını bildirmesi için yeni gereksinimler uygular.

MKK, nerede üretildiklerine bakılmaksızın Avrupa’da satılan dijital unsurlara (PDE’ler) tüm ürünleri kapsar ve buna uyulmaması, para cezalarına yol açabilir veya ürünün AB’den zorla çekilmesine yol açabilir.

Hackerone, etik bilgisayar korsanlarını korumayı savundu

HackerOne’un savunuculuğu, (1) iyi niyetli güvenlik araştırmacıları için zorunlu güvenlik açığı raporlamasından artan korumalar ve (2) AB devletlerini araştırmacıları sorumluluktan korumaya ve çabaları için telafi etmeye teşvik eden hükümler dahil olmak üzere MKK’da önemli iyileştirmeler sağlamaya yardımcı oldu. Bu son metnin çeşitli hükümleri bu çabayı yansıtıyor:

  • “Sistem sahibinin güvenliğini veya güvenliğini teşvik etmek için iyi niyet testi, soruşturma, düzeltme veya açıklama amacıyla kötü niyetli bir niyet olmadan keşfedilen güvenlik açıkları, zorunlu bildirimlere tabi olmamalıdır. [Recital 35a]. “
  • “Üye Devletler, Bilgi Güvenliği Araştırmacılarının Bildirilmemesi ve Faaliyetleri için Sivil Sorumluluktan muafiyet ile ilgili yönergeler kabul etmeye teşvik edilmektedir. [Recital 35i]. “
  • “Üreticilerin koordineli kırılganlık ifşa politikası, üreticinin bu tür güvenlik açıklarını teşhis etmesine ve düzeltmesine izin veren bir şekilde güvenlik açıklarının rapor edildiği yapılandırılmış bir süreç belirtmelidir… Dijital elemanlarla yaygın olarak kullanılan ürünlerde sömürülebilir güvenlik açıkları hakkındaki bilgilerin Karaborsa yüksek fiyatlarla satılan bu tür ürünlerin üreticileri, bireylerin veya kuruluşların çabaları için tanınma ve tazminat almasını sağlayarak güvenlik açıklarının raporlanmasını teşvik etmek için koordineli güvenlik açığı ifşa politikalarının bir parçası olarak programları kullanabilmelidir (bu nedenle -‘Bug Bounty Programları’ [Recital 36]. “

Hackerone’de, misyonumuzun merkezi bir kısmı, iyi niyetli güvenlik araştırmacılarını dijital ekosistemi tehditlerden korumaları için güçlendirmektir. MKK’da yapılan iyileştirmeleri takdir ediyoruz ve güvenlik araştırmaları için daha uygun bir yasal ortam yaratma çabalarına öncülük etmeye devam edeceğiz.

Bu arada, Avrupa’da PDE’ler sunan şirketler, uygulama son tarihi öncesinde, özellikle güvenlik açıklarının ifşa edilmesini ve işlenmesini etkileyen gereksinimler, MKK’ya hazırlanmalıdır.

Güvenlik Açığı Raporlama ve Yönetim

Avrupa’da PDE satan şirketler aşağıdakileri yapmaya hazırlanmalıdır:

Güvenlik Açığı Yönetimi:

  1. PDE’lerin piyasaya sürülmeden önce “bilinen sömürülebilir güvenlik açıklarından” uzak olduğundan emin olun;
  2. Koordineli bir güvenlik açığı açıklama politikası (CVD veya VDP) oluşturmak;
  3. PDE’lerde bulunan güvenlik açıklarının raporlanması için bir iletişim adresi sağlamak;
  4. Düzenli test sağlamak ve mümkün olan yerlerde güvenlik güncellemeleri sağlamak için süreçler geliştirmek ve sürdürmek de dahil olmak üzere, gecikmeden güvenlik açıklarını gidermek ve düzeltmek;
  5. Güvenlik güncellemeleri yapıldıktan sonra sabit güvenlik açıkları hakkındaki bilgileri paylaşın ve herkese açık olarak ifşa edin;
  6. PDE’lerde en az üst düzey bağımlılıklara sahip bir yazılım malzemesi faturası sağlayın.

Bu güvenlik açığı yönetimi gereksinimleri, daha güvenli ve esnek bir yazılım ortamı oluşturmak için şeffaflığı, zamanında iyileştirmeyi ve işbirliğini geliştirmeyi amaçlamaktadır. CVD ve güvenlik açığı işleme süreçleri, şirketlerin etik hack topluluğundan güvenlik açığı raporlarını triaşamasını ve kabul etmesini sağlar. Bu güvenlik uygulamalarının verimli bir şekilde uygulanmasıyla, kuruluşlar ortaya çıkan siber tehditlerin önünde kalabilirler.

Güvenlik Açığı Raporlama:

  1. Rapor, Koordinatör olarak adlandırılan Bilgisayar Güvenliği Olay Müdahale Ekibine (CSIRT) aktif olarak kullanılmıştır.
    1. Aktif olarak sömürülen güvenlik açığının varlığının farkına vardıktan sonraki 24 saat içinde erken bir uyarı bildirimi sağlayın.
    2. Sömürünün doğası, alınan herhangi bir düzeltici veya hafifletici önlem ve bilgilerin hassasiyeti gibi aktif olarak sömürülen güvenlik açığının farkına varıldıktan sonraki 72 saat içinde genel bilgi sağlayın.
    3. Güvenlik açığı, şiddetinin ve etkisinin ve güvenlik güncellemesinin ayrıntıları veya yapılan düzeltici önlemlerin açıklaması da dahil olmak üzere, güvenlik açığı için bir yama yayınladıktan sonraki 14 gün içinde nihai bir rapor sağlayın.
  2. CSIRT ve ENISA, olağanüstü koşullar dışında, güvenlik açığı raporlarını ürünün satıldığı Üye Devletlerdeki piyasa gözetim yetkililerine yayacaktır.

Düzenli güvenlik açığı testi ve hata ödül programlarının uygulanması, aktif bir sömürü düzenleyicileri bilgilendirme gereksinimini tetiklemeden önce şirketlerin yazılım kusurlarını bulmasına ve ortadan kaldırmasına yardımcı olacaktır.

Hackerone, AB milletvekillerini, şirketlerin potansiyel olarak görülmemiş güvenlik açıklarının erken ifşa edilmesi ile ilgili riskleri ele almasına izin vermek için MKK’nın güvenlik açığı raporlama gereksinimlerini gözden geçirmeye çağırdı. Bu çabalara rağmen, MKK, ürün üreticilerinin, hafifletme durumundan bağımsız olarak ve devlet kurumlarının güvenlik açıklarını nasıl kullanabileceğine dair korkuluklar olmadan güvenlik açıklarını açıklamalarını gerektirir. HackerOne, bu sürece ek önlemler almak için MKK uygulaması sırasında AB yetkilileri ve üye ülkelerle çalışmaya devam edecektir.

Nasıl Hazırlanır

MKK’nın güvenlik gereksinimleri birkaç ay boyunca yürürlüğe girmeyecek olsa da, AB’de yazılım veya bağlı ürünler satmayı planlayan şirketler uyumluluktan önce gelme fırsatını yakalamalıdır. İlk adım, potansiyel uyumluluk yükünüzü ve potansiyel saldırı yüzeyinizi daha iyi anlamak için MKK kapsamına girmesi muhtemel ürünlerin envanterini almak olacaktır. Şirketler, bu (ve tüm) ürünlerin yaşam döngülerine (ve tüm) güvenlik açığı yönetimi önlemlerini entegre etmeli ve düzenli bir test kadansı oluşturmalıdır. Ayrıca, şirketler şu anda kapsamlı bir CVD programının bir parçası olarak bir VDP kurabilir ve açıklamaların zamanında yapılmasını sağlamak için gerektiğinde güvenlik açığı işleme prosedürlerini değerlendirebilir ve değiştirebilir. Güvenlik açıklarını ele almak için önleyici eylemler yapmak hem en iyi uygulamalarla uyumlu olacak hem de şirketi MKK’nın uygulama son tarihlerinden daha iyi konumlandıracaktır.

Bir VDP ile nasıl başlayacağınız hakkında daha fazla bilgi edinin.



Source link