hadicanim
Aktif Üye
Almanya'nın en yüksek BT güvenlik yetkilisi göründüğü kadar pasif değil. Geçen yılın sonbaharından bu yana Federal Bilgi Güvenliği Dairesi (BSI), güvenlik önlemleri hakkında bilgi almak için Microsoft'a başvuruyor gibi görünüyor. Microsoft'un teslimatta başarısız olması ve iletişimi geciktirmeye devam etmesi üzerine, BSI en keskin kılıcına başvurdu: BSI Yasası'nın 7a Bölümü, diğer şeylerin yanı sıra, bilginin açıklanması için dava açmasına da olanak tanıyor. Bu artık Federal Meclis'in dijital komitesinden yapılan bir sızıntıyla biliniyor.
Reklamcılık
Bilgi talebi, Microsoft'taki bariz güvenlik olayları bağlamında gerçekleşti; eyaletteki saldırganlar çeşitli durumlarda Microsoft'un kendisinden ve aynı zamanda bulut müşterilerinden gelen bilgilere de erişebildiler. Özellikle, Microsoft bulutunun ana anahtarının çalınmasıyla ilgilidir. ABD İç Güvenlik Bakanlığı (DHS) tarafından atanan soruşturma komisyonu, bu davada Microsoft'un tamamen başarısız olduğunu zaten teşhis etti. Microsoft en azından onlarla konuştu; Ancak BSI'ya bilgi akışı o kadar sekteye uğradı ki Alman yetkililer soruşturmalarını yavaş yavaş artırdı.
Microsoft'a sert eleştiri
BSI'nın bir sözcüsü, Güvenlik'i uyarma prosedürünü şöyle açıkladı: “Microsoft ile teknik anlaşmazlık devam ederken, BSI'nin daha önce düzenli bir bilgi alışverişinde aldığı bilgiler tatmin edici olmadığından, BSI resmi bir emir verme yolunu izledi.” Özellikle BSI, diğer şeylerin yanı sıra, en azından özel olarak güvenli ortamlarda veri sızıntısını gerçekten önleyebilecek çift anahtarlı şifreleme adı verilen yöntemin kullanılmasıyla ilgileniyordu. Bu süreçte veriler biri her zaman müşterinin elinde kalan iki anahtarla şifrelenir. Ancak ayrıntılar o kadar belirsiz ki BSI, saldırganların düz metin verilerine erişip erişemediklerini değerlendiremiyor.
Defalarca yapılan soruşturmalara ve dava açma tehdidine rağmen Microsoft, talep edilen bilgileri sağlamadı. Hâlâ bilgiye ihtiyaç olduğunu düşünen BSI sözcüsü, BSI'nın bu nedenle artık elindeki yasal araçları kullandığını açıklıyor. Ayrıca değerlendirmesini BSI'ın paylaştığı ABD Siber Güvenlik İnceleme Kurulu'nun sert eleştirilerine de açıkça atıfta bulunuyor. “BSI, diğer bulut sağlayıcılarının, güvenliğin teknik uygulaması ve bir BT güvenlik olayı meydana geldiğinde nasıl tepki verdikleri konusunda daha iyi konumda olduklarını görüyor”, vardığı sonuç da bu.
BSIG'nin 7. paragrafı
BSI Yasasının 7. Bölümü BSI'dan gelen uyarılarla ilgilidir. Paragraf 7a, gerekli “bilgi teknolojisinde güvenliğin araştırılmasını” düzenler; Buna göre Federal Ofis, “bilgi teknolojisi ürünleri ve sistemleri üreticilerinden, özellikle teknik ayrıntılara ilişkin gerekli tüm bilgileri talep edebilir.” Görünüşe göre BSI'nin yaptığı ve Alman Federal Meclisi Dijital Komitesi'nde rapor ettiği şey de tam olarak bu. Görünüşe göre bilgiler buradan Spiegel'e sızdırıldı ve Spiegel daha fazla ayrıntı bildirdi.
Kendi adımıza not: Bu makalenin yazarı, ABD CISA'nın faaliyetleri ve BSI'nin görünürdeki eylemsizliği göz önüne alındığında “tehlikeli bir Microsoft karşıtı duruş” konusunda uyardı. Bunu geri almak istiyorum; mevcut yaklaşımdan “resmi olarak etkilendim” ve bundan sonra ne olacağını görmek beni çok heyecanlandırıyor.
(Evet)
Haberin Sonu
Reklamcılık
Bilgi talebi, Microsoft'taki bariz güvenlik olayları bağlamında gerçekleşti; eyaletteki saldırganlar çeşitli durumlarda Microsoft'un kendisinden ve aynı zamanda bulut müşterilerinden gelen bilgilere de erişebildiler. Özellikle, Microsoft bulutunun ana anahtarının çalınmasıyla ilgilidir. ABD İç Güvenlik Bakanlığı (DHS) tarafından atanan soruşturma komisyonu, bu davada Microsoft'un tamamen başarısız olduğunu zaten teşhis etti. Microsoft en azından onlarla konuştu; Ancak BSI'ya bilgi akışı o kadar sekteye uğradı ki Alman yetkililer soruşturmalarını yavaş yavaş artırdı.
Microsoft'a sert eleştiri
BSI'nın bir sözcüsü, Güvenlik'i uyarma prosedürünü şöyle açıkladı: “Microsoft ile teknik anlaşmazlık devam ederken, BSI'nin daha önce düzenli bir bilgi alışverişinde aldığı bilgiler tatmin edici olmadığından, BSI resmi bir emir verme yolunu izledi.” Özellikle BSI, diğer şeylerin yanı sıra, en azından özel olarak güvenli ortamlarda veri sızıntısını gerçekten önleyebilecek çift anahtarlı şifreleme adı verilen yöntemin kullanılmasıyla ilgileniyordu. Bu süreçte veriler biri her zaman müşterinin elinde kalan iki anahtarla şifrelenir. Ancak ayrıntılar o kadar belirsiz ki BSI, saldırganların düz metin verilerine erişip erişemediklerini değerlendiremiyor.
Defalarca yapılan soruşturmalara ve dava açma tehdidine rağmen Microsoft, talep edilen bilgileri sağlamadı. Hâlâ bilgiye ihtiyaç olduğunu düşünen BSI sözcüsü, BSI'nın bu nedenle artık elindeki yasal araçları kullandığını açıklıyor. Ayrıca değerlendirmesini BSI'ın paylaştığı ABD Siber Güvenlik İnceleme Kurulu'nun sert eleştirilerine de açıkça atıfta bulunuyor. “BSI, diğer bulut sağlayıcılarının, güvenliğin teknik uygulaması ve bir BT güvenlik olayı meydana geldiğinde nasıl tepki verdikleri konusunda daha iyi konumda olduklarını görüyor”, vardığı sonuç da bu.
BSIG'nin 7. paragrafı
BSI Yasasının 7. Bölümü BSI'dan gelen uyarılarla ilgilidir. Paragraf 7a, gerekli “bilgi teknolojisinde güvenliğin araştırılmasını” düzenler; Buna göre Federal Ofis, “bilgi teknolojisi ürünleri ve sistemleri üreticilerinden, özellikle teknik ayrıntılara ilişkin gerekli tüm bilgileri talep edebilir.” Görünüşe göre BSI'nin yaptığı ve Alman Federal Meclisi Dijital Komitesi'nde rapor ettiği şey de tam olarak bu. Görünüşe göre bilgiler buradan Spiegel'e sızdırıldı ve Spiegel daha fazla ayrıntı bildirdi.
Kendi adımıza not: Bu makalenin yazarı, ABD CISA'nın faaliyetleri ve BSI'nin görünürdeki eylemsizliği göz önüne alındığında “tehlikeli bir Microsoft karşıtı duruş” konusunda uyardı. Bunu geri almak istiyorum; mevcut yaklaşımdan “resmi olarak etkilendim” ve bundan sonra ne olacağını görmek beni çok heyecanlandırıyor.
(Evet)
Haberin Sonu