Uyumun etrafında çok fazla gürültü var. Her yıl yeni düzenlemeler ortaya çıkıyor, her biri dijital çağla birlikte gelen güvenlik sorunlarının sürekli büyüyen listesini düzeltmeyi vaat ediyor. Ancak, AB’nin Siber Esneklik Yasası (MKK) farklı bir yaklaşım benimsemektedir. Sadece GDPR gibi veri korumasına odaklanmak yerine, CRA konuşmayı her bağlı cihaza ve hizmete genişletir.
CRA vs. GDPR: Daha geniş bir görev
Genel Veri Koruma Yönetmeliği (GDPR) kendi başına bir oyun değiştiriciydi. 2016 yılında yürürlüğe girdiğinde, kuruluşları veri gizliliğini ciddiye almaya zorladı ve kişisel verilerin nasıl toplanması, işlenmesi ve depolanması gerektiği konusunda net yönergeler oluşturdu. Ancak GDPR kadar geniş kapsamlı olduğu kadar, özel bir odağı vardı: kişisel verileri korumak.
Siber Dayanıklılık Yasası farklı bir canavardır. GDPR’nin veri gizliliğini geliştirdiği yerlerde, CRA, bağlı her cihaz, hizmet ve yazılım bileşenini içeren çok daha büyük bir tehdit manzarasını ele almak için yakınlaştırır. Bu sadece verilerle ilgili değil; Bu verileri işleyen sistemlerin bütünlüğü ile ilgilidir. GDPR, insanların gizliliğini korumakla ilgiliydi ve MKK, IoT cihazlarından kritik altyapıya kadar her şeyi korumakla ilgilidir.
Bu ayrım çok önemlidir. GDPR, verileri işlemek ve işlemek için çerçeveler oluşturmak anlamına geliyordu, ancak MKK daha derine iniyor. Kuruluşların güvenliği yalnızca müşteri verileri için bir uyumluluk onay kutusu değil, temel ürünün bir parçası olarak değerlendirmesini gerektirir. Geliştiriciler, mühendisler ve iş liderleri için, “kişisel verileri nasıl koruruz?” “Tüm ürün ekosisteminin güvenli olmasını nasıl sağlayabiliriz?”
MKK NEDEN ÖNEMLİ
MKK, DevOps ekipleri için günlük operasyonları doğrudan etkiler. GDPR öncelikle yasal ve uyumluluk ekipleriyle ilgili olsa da, CRA geliştiricileri ve mühendisleri sistemlerini başlangıçtan itibaren güvence altına almak için baskılar. Bu mevzuat önemlidir, çünkü yazılımları bina ve dağıtım için kare sorumluluk veriyor.
İşletmeler giderek daha fazla bulut hizmetlerine, SaaS ürünlerine ve IoT’ye güvenirken, MKK, her bileşenin (dahili olarak geliştirilen veya üçüncü taraf) güvenli olmasını sağlamak için ekipleri zorlar. Diyelim ki akıllı bir ev sistemi için bir IoT çözümü kullanıyorsunuz. MKK altında, kullanıcı verilerini şifrelemek yeterli değildir. Cihazın kendisinin iletişim kurduğu ağ, verilerini depolayan bulut hizmetleri ve her şeyi birbirine bağlayan API’ler de dahil olmak üzere saldırılara karşı esnek olduğundan emin olmanız gerekir.
Geliştirme ekipleri tekrar aynı şekilde çalışacak mı? MKK altında, dağıtımdan sonra güvenlik hakkında düşünmeye başlamak için beklemek için yer yoktur. Uyumluluk, ilk tasarımdan devam eden güncellemelere kadar, geliştirme yaşam döngüsünün her aşamasına güvenliğin inşa edilmesini gerektirir.
MKK, proaktivitede bir derstir
MKK ve GDPR örtüşmesinin hassas bilgileri koruduğu önemli bir alan, ancak MKK, sistemlerin sırları nasıl ele aldığına odaklanarak bunu daha da ileri götürür. Hepimiz API anahtarlarının veya kimlik bilgilerinin kamu depolarında veya yapılandırma dosyalarında yanlışlıkla maruz kaldığını gördük. GDPR ile kişisel verilerden ödün verilirse bu para cezalarına yol açabilir. MKK altında, herhangi Maruz kalan kimlik bilgisi bir uyum sorunu haline gelir.
MKK’nın GDPR’den ayrıldığı bir başka alan da gölge verilerinin tedavisinde. GDPR kişisel verilerin uygun şekilde ele alınmasına odaklanırken, MKK, Tümü Veriler, hatta unutulan veya ihmal edilen tür. Gölge verileri günlükleri, geçici dosyaları, yedeklemeleri ve diğer işlenmemiş verileri içerir. Sistemlerin ve uygulamaların arka planında biriken bilgilerdir – hassas bilgiler kolayca içerebilen ancak genellikle birincil veri kümeleriyle aynı incelemeye tabi olmayan verilerdir. MKK, işletmeleri de sorumlu tutar.
Güvenlik Sol: MKK’nın GDPR’nin ötesine geçtiği yer
Güvenliği kaydırma kavramı artık MKK altında bir gerekliliktir. Uygulamada bu, güvenlik testinin CI/CD boru hattınıza pişirilmesi gerektiği anlamına gelir. Güvenlik açıklarının mümkün olduğunca erken yakalanması gerekir ve kod incelemeleri sadece işlevselliği değil potansiyel riskleri göz önünde bulundurmalıdır. Birçok takım yıllardır soldan ayrılıyor, ancak MKK onu pazarlık edilemez hale getiriyor.
İşletmeler için bu, ekiplerin nasıl yapılandırıldığından kullandıkları araçlara kadar her şeyi etkiler. Geliştiriciler ve DevOps ekipleri artık uyum sağlamanın ön cephesinde olduğundan, güvenlik endişelerini ayrı bir departmana dağıtmak artık yeterli değildir. MKK, işletmeleri güvenlik araçlarına yatırım yapmaya, güvenlik açığı taramasını otomatikleştirmeye ve geliştirmeye nasıl yaklaştıklarını yeniden düşünmeye zorlar.
MKK yeni bir siber güvenlik çağına işaret ediyor mu?
İster IoT cihazları geliştiriyor, bulut hizmetleri dağıtıyor veya kritik altyapıyı yönetiyor olun, MKK sizi sistemlerinizi nasıl oluşturduğunuzu, dağıttığınızı ve sürdürdüğünüzü yeniden düşünmeye zorluyor. Ve yolculuk zor olsa da, sonuç daha güvenli bir dijital dünya olacak.
Yazar hakkında
Dotan Nahum, Check Point Software Technologies’de geliştirici ilk güvenlik başkanıdır. Dotan, Check Point Software tarafından satın alınan Spectralops’un kurucu ortağı ve CEO’su ve şimdi geliştirici ilk güvenliğinin başkanı. Dotan, deneyimli bir uygulamalı teknolojik Guru & Code Ninja’dır. Büyük açık kaynaklı katılımcı. React, Node.js, Go, React Native, Dağıtılmış Sistemler ve Altyapı (Hadoop, Spark, Docker, AWS, vb.) [email protected] Ve https://twitter.com/jondot ve şirket web sitemizde https://spectralops.io/