Bu yardımda net güvenlik röportajında, Codific’in kurucu ortağı Dr. Dag Flachet, Siber Dayanıklılık Yasası’nın (CRA) şirketler için ne anlama geldiğini ve düzenleyici karmaşıklık ve kuruluşlar üzerindeki etkisi açısından GDPR ile nasıl karşılaştırıldığını açıklıyor. Özellikle güvenli yazılım geliştirmede MKK’nın ortaya koyduğu teknik ve prosedürel zorlukları tartışıyor ve OWASP SAMM gibi çerçevelerin hazırlık değerlendirmeleri yapmasında rolünü vurguluyor.
Sizce, MKK, kuruluşlar için düzenleyici etki ve karmaşıklık açısından GDPR ile nasıl karşılaştırılır? Bu etkinin kuruluşlar için pratik terimlerle nasıl göründüğünü açıklayabilir misiniz?
GDPR uyarınca, işletmeler için en etkili yönü, bireylerin verileriyle neler yapabileceğiniz konusundaki sınırlamalardır. Veriler AB’yi yalnızca belirli koşullar altında bırakabilir ve yalnızca konunun onay verdiği amaçlar için kullanılabilir. Bu, şirketlerin (veri denetleyicileri) tüm tedarikçileriyle (veri işlemcileri) vb. Sözleşmeleri olması gerektiği anlamına gelir. 8 veri konusu haklarına uymak, verilerin nerede olduğuna dair net bir envantere ve verileri işleyen herkesle sözleşmeye dayalı bir anlaşmaya sahip olduğumuzda nispeten kolaydır.
MKK, dijital bileşenli tüm ürünler için minimum bir güvenlik seviyesi belirler; bu, satılan, sipariş için inşa edilen tüm yazılımları ve şirket içi SaaS çözümlerini (bulut saaS’ı hariç tuttu ve radyo ekipmanı ve tıbbi cihazlar gibi diğer mevzuatın kapsadığı ürünler) içerir. Ayrıca bebek monitörleri ve akıllı buzdolapları gibi fiziksel şeyleri de içerir. GDPR tamamen kişisel verilerle ilgili olsa da, CRA B2C ve B2B ürünlerini içerir. CRA, CE ürün emniyet etiketleme sistemi üzerine inşa edilmiştir.
Bu, şirketlerin uyumluluk göstermesi gerektiği anlamına gelir ve kritikliğin sınıflandırılmasına bağlı olarak harici doğrulama veya sertifikalı bir kalite kontrol sistemine ihtiyaç duyabilir. Ancak bu noktada asıl zorluk sertifikasyon değil, düzenlemenin gerekliliklerine uymak için gereken temel güvenlik uygulamalarıdır. Bunlar, kritik kabul edilmeyenler de dahil olmak üzere dijital bileşenli tüm ürünler için gereklidir. Uygulamada, dünya çapında tedarikçiler de dahil olmak üzere milyonlarca şirket, güvenlik faaliyetlerinin düzenlemeye uyması için uygulama programlarını yükseltmek veya bir APPSEC programı oluşturmak zorunda kalacaklar.
SAMM modelinin MKK hazırlığını değerlendirmek için nasıl kullanıldığını ve neden bu tür bir düzenleyici uyum için anlamlı bir lens olduğunu açıklayabilir misiniz?
OWASP SAMM, uygulama güvenliği etrafında önerilen tüm organizasyonel süreçlerin bir envanteridir, sürecin vade başına kategorize edilmiştir veya daha geniş güvenlik faaliyeti. Kimse hepsini yapmaz ve bu da savurgan olur. Bunun yerine SAMM, mevcut durumun envanter ve haritası olarak kullanılır ve güvenlik yatırımları hakkında stratejik seçimler yapmak için kullanılır. Seçimler risk profillerine, risk iştahına, teknolojik bağlama, iş bağlamına ve düzenleyici bağlama bağlıdır.
Bu nedenle SAMM, MKK’ya uyabilmek için gereken güvenlik etrafında örgütsel süreçlerin somut bir tanımlanmasını sağlamak için idealdir.
Tehdit modelleme ve uygulama riski profili oluşturma, en büyük hazırlık boşluklarından bazılarına sahipti. Şirketlerin bu alanlarda MKK zaman çizelgelerini karşılayacak kadar hızlı olgunluk oluşturmaları için ne alacak?
CRA, ürünlerin sahip olması gerektiğini açıkça belirtiyor Risklere dayalı uygun siber güvenlik seviyesirisk temelli yaklaşım düzenlemede temeldir. Bu, bu seviye için iyi bir riske dayalı tartışma yaptığımız sürece çıtayı istediğimiz her yere ayarlayabilmemiz avantajına sahiptir. Bu, bir risk kategorizasyonuna sahip olmamız gerektiği anlamına gelir, bu nedenle uygulama risk profillerine ihtiyacımız var. Bunu uygulamak için başvuru riski profilleri uygulamasının olgunluk seviyesi 1, 2 ve 3’ün kalite kriterlerini takip edebiliriz. Bu, açıkça kararlaştırılmış, anlaşılmış, erişilebilir ve güncellenmiş bir risk sınıflandırma sistemine sahip olmayı içerir.
Ayrıca, verilerin gizliliğini ve bütünlüğünü koruduğumuzu da gösterebilmeliyiz.En son teknoloji mekanizmaları ve diğer teknik araçları kullanarak”Ve potansiyel riskleri sistematik olarak analiz ettiğimiz. Tehdit modellemesi ve bulgularının iyileştirilmesi bu gereksinimler için gereklidir. Bu yeteneği geliştirmek için şirketler, tehdit modellemesi için OWASP’nin olgunluk seviyesi 1 ve 2’deki kuralcı rehberliğini takip edebilir.
2027 yılına kadar MKK uyumluluk boşluğunu kapatmak için kuruluşlar şu anda ne gibi pratik adımlar atmalıdır? Bu ilerlemeyi hızlandırabilecek belirli güvenlik çerçeveleri veya araçlar var mı?
İlk adım boşlukları tanımlamak olmalıdır. Birçok şirketin zaten SAMM değerlendirmeleri var, SAMM değerlendirmeleriniz yoksa, ancak OWASP DSOMM veya NIST CSF gibi başka bir olgunluk çerçeveniz kullanıyorsa, SAMM’ye çeviriyi hızlandırmak için mevcut eşlemeleri kullanabilirsiniz. Aksi takdirde SAMM değerlendirmeleri yapmanızı ve gerekli süreçlerdeki boşlukları belirlemenizi öneririz. Daha sonra süreçleri ve yetenekleri zamanında geliştirmek için bir yol haritasına karar vermek.
Neden Samm olmadan buna gitmiyorsun? Çünkü süreçleri ve en iyi uygulamaları tanımlamanız gerekir. OWASP tarafından zaten yapılmış ve OWASP’nin rehberliğine atıfta bulunmak, organları düzenleyerek endüstri en iyi uygulamalarına uygun olarak kabul edilmektedir. Uygulama güvenlik programınızın arkasında sağlam bir olgunluk çerçevesine sahip olmak da süreçlerin uygun bir envanterini sağlar ve çoklu uyumluluk çabalarını kolaylaştırır, farklı uyum çabaları için bağımsız ve bazen çelişkili belgelere sahip olmaktan kaçınır.
MKK uygulamasına hazırlanırken şirketler GDPR icra modellerinden hangi dersler almalıdır?
GDPR’de verilerin nereye gittiğine dair iyi bir resme sahip olmalıyız, taşeronlarımızın ve alt yüklenicilerinin dahil olduğu veri akışı diyagramlarını düşünün. Verilerin nereden seyahat ettiği üzerinde sıkı bir kontrol olmadan, GDPR’ye uymak çok zordur. MKK’da yeterli güvenlik süreçlerine sahip olduğumuzu ve bilinen güvenlik açıklarına sahip ürünler göndermediğimizi göstermemiz gerekir. Bu nedenle, veri akışlarının iyi bir resmine sahip olmanın yanı sıra, süreçlerin iyi bir resmine sahip olmalıyız.
GDPR’ye dayanarak, para cezaları yavaşça başlayacak ve daha sonra ilkeler endüstri tarafından iyi içselleştirilip uygulanana kadar birkaç yıl düzenlemeye hızlanacaktır. Sonra para cezaları azalmaya başlar. Ödevimizi yaparak ve en başından beri evimizi düzenleyerek risk, stres ve para cezalarından kaçınabiliriz.