Standartlar, Düzenlemeler ve Uyumluluk
Digital Europe, Üçüncü Taraf Değerlendirmelerinin Tedarik Zincirlerini Tuzağa düşürebileceğini Söyledi
Akşaya Asokan (asokan_akshaya) •
8 Kasım 2023
Avrupa’nın önde gelen teknoloji şirketlerinin başkanları, ticaret bloğu milletvekillerini, tedarik zincirini bozacak darboğazlar yaratacağını öne sürdükleri bir siber güvenlik yasasını gözden geçirmeye çağırıyor.
Ayrıca bakınız: İşletmenizin Güvenliğini Sağlama Parola Güvenliğiyle Başlar
Avrupa Parlamentosu tarafından hızla yasalaştırılan ve Siber Dayanıklılık Yasası adı verilen mevzuat, belirli yüksek riskli ürünlerin üreticilerinin, ürünleri pazara sunmadan önce üçüncü taraf risk değerlendirmesinden geçmesini gerektiriyor. Avrupa Komisyonu tarafından 2022’de öne sürülen teklif, Temmuz ayında önemli bir parlamento komitesinden geçti ve Avrupa Komisyonu’nun aracılık ettiği görüşmelerde milletvekilleri ile doğrudan ulus devlet hükümet temsilcilerinden oluşan bir organ olan Avrupa Konseyi arasındaki müzakerelere hızla aktarıldı. .
Aralarında Siemens, Ericsson ve Schneider Electric’in de bulunduğu şirketlerin CEO’ları, Digital Europe ticari birliğinin öncülük ettiği bir mektupta, Avrupa’nın pek çok üçüncü taraf değerlendirmesini gerçekleştirecek kapasiteye sahip olmadığını söyledi.
Mektuplarda, yeni koronavirüs pandemisinin 2020’de başlamasının neden olduğu üretim kesintilerine atıfta bulunularak, “Avrupa tedarik zincirlerinde COVID tarzı bir tıkanıklık yaratma, tek pazarı bozma ve rekabet gücümüze zarar verme riskiyle karşı karşıyayız” ifadesi yer alıyor. Mektupta, teklifin çamaşır makinelerinden siber güvenlik ürünlerine kadar her şeyi etkileyebileceği belirtiliyor.
Avrupa Konseyi tarafından desteklenen bir karşı teklif, zorunlu üçüncü taraf güvenlik değerlendirmelerine tabi olan kritik ürünlerin sayısını büyük ölçüde azaltacaktır. Konseyin görüşüne göre, yalnızca “güvenlik kutuları olan donanım cihazları”, akıllı sayaçlar ve akıllı kartlar üçüncü taraf sertifikasyonuna tabi olacak.
Digital Europe, tasarıdaki ifadenin güvenlik standartlarını karşılamak için kendi kendini sertifikalandırma riski daha az olan ürünler gerektirmesi nedeniyle, konsey üçlü görüşmelerde galip gelse bile teklifin hala darboğaz riskleri oluşturacağını söyledi. Kendi kendine sertifikalandırma ancak Avrupa Birliği’nin uyumlaştırılmış kendi kendine sertifikalandırma standartlarını onaylaması durumunda mümkün olacaktır. Bir Digital Europe yetkilisi Information Security Media Group’a “Standartların kesinleşmesi ve genel olarak özel ve kamu sektörünün yeni uyumluluk rejimine hazırlanması için yeterli zaman olmayacak” dedi.
Mektubu imzalayanlar ayrıca, yazılım geliştiricilerin güvenlik açıklarını keşfedildikten sonraki 24 saat içinde bildirmelerini gerektiren bir hükümden de endişe duyuyor.
Mektupta, Avrupa’nın şu anda bir siber güvenlik iş gücü sıkıntısına tanık olduğu bir ortamda, önerilen maddenin siber kurumların başa çıkma kapasitesinin ötesinde yüksek miktarda raporlamaya yol açabileceği öne sürülüyor.
Benzer endişeler, yakın zamanda ulus devletlerin ve diğer bilgisayar korsanı gruplarının, sıfır gün erişimine yönelik güvenlik açıklarını ve bilgisayar korsanlığı kampanyalarına yönelik diğer kritik kusurları bildirmek için merkezi bir veritabanını hedef alabilecekleri konusunda uyaran siber güvenlik uzmanları tarafından da dile getirildi (bkz.: Siber Mavenler Avrupa’nın Siber Dayanıklılık Yasasını Eleştirdi ).
Pazartesi günkü mektupta şirket başkanları, AB yetkililerine önerilen 24 saatlik güvenlik açığı son tarihini yalnızca “önemli bir siber güvenlik riski” oluşturan aktif olarak kullanılan kusurları içerecek şekilde değiştirmeye çağırdı.
Üreticilerin, “siber güvenlikle ilgili haklı gerekçelere dayanarak” hangi kusurların yamalanacağı konusunda bir “karar kararı” vermesine izin verilmesi gerektiğini eklediler.