Standartlar, Düzenlemeler ve Uyumluluk
CAC Kuralı İSS’lerin Ön Analizi 24 Saat İçinde Tamamlamasını Gerektiriyor
Jayant Chakravarti (@JayJay_Tech) •
11 Aralık 2023
Çin Siber Uzay İdaresi Cuma günü, ağ operatörlerini büyük siber güvenlik olaylarını, olaylar hakkında bilgi sahibi olduktan sonraki bir saat içinde yetkililere bildirmeye ve ilk 24 saat içinde ayrıntılı bir analiz sunmaya zorlamak için bir teklif yayınladı.
Ayrıca bakınız: İşletmenizin Güvenliğini Sağlama Parola Güvenliğiyle Başlar
Ağ Güvenliği Olay Raporlama Yönetimi Tedbirleri düzenlemesi, devlete ait ve özel ağ operatörleri için geçerli olacaktır. Kamuoyunun geri bildirimi için son tarih 7 Ocak’ta sona erecek.
Taslak talimat, üçüncü taraf satıcılara veya ağ operatörlerine, ağ sağlayıcının bir olayı kabul etmemesi veya bildirmemesi durumunda siber güvenlik olaylarını Çinli yetkililere bildirme yetkisi veriyor. Bireyler ve sosyal kuruluşlar, ağ operatörünün bunu yapmaması durumunda siber güvenlik olaylarını doğrudan il yetkililerine bildirebilecek.
Orijinal Çinceden makine çevirisine göre, “Operatörlerin, büyük zararlı sonuçlara yol açacak siber güvenlik olaylarını geciktirmesi, ihmal etmesi, raporlaması veya gizlemesi halinde, operatörler ve ilgili sorumlu kişiler yasa uyarınca ağır şekilde cezalandırılacaktır.”
Taslak, önemliden çok ciddiye kadar değişen üç aşamalı olay sınıflandırması önermektedir. Son kategori ise bir ildeki bireylerin yüzde 30’undan fazlasının “işini ve yaşamını” etkileyen olayları ya da bilişim altyapısının tamamını etkileyen altı saatten fazla süren kesintileri kapsıyor. Yönetmelik ayrıca, resmi veya önemli haber sitelerinin hacklenmesi veya çevrimiçi platformlar aracılığıyla çevrimiçi ortama yerleştirildiğinde 1 milyondan fazla görüntüleme veya tıklama alan “yasa dışı ve zararlı” bilgilerin yayılmasını da büyük bir olay olarak sınıflandırıyor.
CAC, bir ağ operatörünün bir siber güvenlik olayı yaşadığında, olayla ilgili belirli ayrıntıları kamu güvenlik kurumlarına bildirmesi gerektiğini söyledi. Bu ayrıntılar arasında etkilenen birimin adı ve olayın meydana geldiği tesis, sistem ve platformlar hakkında temel bilgiler, olayın ortaya çıktığı veya meydana geldiği zaman ve yer, olayın türü, fidye istenip istenmediği ve alınan önlemler yer alıyor. .
Kuruluşların ayrıca olayın nedeninin ön analizi, durumun mevcut durumu, daha fazla araştırma ve analiz için gerekli ipuçları ve diğer etkilerle ilgili bilgiler gibi olayla ilgili ayrıntıları 24 saat içinde bildirmeleri gerekecektir.
“Olayın ele alınmasının ardından operatör, 5 iş günü içerisinde olayın nedeni, acil müdahale tedbirleri, tehlikeler, sorumluluk alma, düzeltme durumları, alınan dersler vb. hakkında kapsamlı bir analiz ve özet yapacak ve bir rapor oluşturacak ve CAC, orijinal kanala göre gönderin” diye ekledi.
Siber güvenlik kurumu, ağ operatörlerinin siber güvenlik raporlama yönergelerini harfiyen takip etmeleri ve siber güvenlik olaylarının etkisini azaltmak için gerekli önlemleri almaları halinde yasal işlemden muaf tutulabileceklerini veya “hafif cezalarla cezalandırılabileceklerini” söyledi.