hadicanim
Aktif Üye
Yorum: Talihsiz NIS-2 uygulamasına büyük bir tokat atıldı
“Federal Hükümet ve Federal İçişleri Bakanlığı her zaman kendilerine verilen imkanlar çerçevesinde AB NIS2 Direktifini uygulamaya çabalıyor.” Bu, Federal Denetim Bürosu (BRH) tarafından federal hükümet ve özellikle Federal İçişleri Bakanlığı (BMI) için yayınlanan iş referansı olabilir. Bakanlığın öğrenme konusundaki isteksizliği ve inatçı davranışları her fırsatta haklı olarak eleştiriliyor.
Reklamcılık
Manuel “HonkHase” Atug, kendisini kritik altyapıyı korumaya adamış bağımsız AG KRITIS'in kurucusu ve sözcüsüdür.
BMI ve federal hükümet iyileştirme önerilerini pek dinlemiyor ve kabul etmek istemiyor. Neyse ki BRH pes etmedi ve BMI'ya sunulan yaklaşık 42 raporla birlikte büyük ölçüde göz ardı edilen birkaç açıklamanın ardından nihayet 2024 Eylül ayının ortasında test sonuçlarını yükseltti. Federal Meclis Bütçe Komitesi ve İçişleri Komitesi'ne sunduğu raporda, BRH şunu açıkça belirtiyor: NIS 2 Uygulama ve Siber Güvenliği Güçlendirme Yasası'nın (NIS2UmsuCG) hükümet taslağı ne yeterli siber güvenlik sağlıyor ne de vergi mükelleflerinin parasının mantıklı bir şekilde kullanılmasını bekleyebiliriz.
Herkesi tehlikeye atan “yama işi yorgan”
BMI'nın taslağı kabineye sunarken Federal Bakanlıkların Ortak Usul Kurallarını (GGO) da ihlal etmesi, BRH'nin eksiklikler listesindeki en küçük noktayı oluşturuyor. Bu nedenle BMI'nın BRH'nin farklı görüş ve eleştirilerine dikkat çekmesi gerekirdi ama bunlardan hiç söz etmiyor.
Formalitelerdeki kötü tarz, NIS2UmsuCG'nin içerik açısından neyi başarması gerektiği konusunda da bulunabilir. BRH, AG KRITIS'in makine dairesinden kolayca gelebilecek net sözleri anlayamıyor. Federal hükümet “bilgiyi ve siber güvenliği iyileştirme hedefini kaçırma” riskiyle karşı karşıyadır. Halihazırda bilinen açıklara değinilmeyecek ve birden fazla departmanın koordinasyonundan sonra bile siber güvenliğe ilişkin kilit noktalar ele alınamayacaktır. Ve önemli düzenlemelerin federal yönetimin tamamı için aynı şekilde bağlayıcı olması amaçlanmadığından, yasanın ilgili herkesi tehlikeye atan bir “yama işi yorgan” haline gelme riski vardır. NIS2UmsuCG, kendisi için belirlediği hedeflerin çok gerisinde kalıyor.
5 Kasım'da tanınmış BT hukuku ve güvenlik uzmanları, NIS2'den hangi şirketlerin etkilendiğini, NIS2 ve Alman NIS2 Uygulama Yasası'nın tam olarak neleri gerektirdiğini, hangi önlemlerin hangi son tarihlerle uygulanması gerektiğini açıklayacak. Diğer konular arasında NIS2'nin ISO 27001 ve IT-Grundschutz gibi yerleşik güvenlik konseptleriyle etkileşimi, direktifin olaylara müdahale üzerindeki etkileri ve NIS2'nin tedarikçiler ve hizmet sağlayıcılar için önemi yer alıyor. Katılımcıların soruları için yeterince yer var.
Daha fazla bilgi ve kayıt: https://nis2.Haber
Federal yönetime nazik muamele
Az önce ilginç bir tokat duyduysanız: Bu, yüze atılan yankılanan ve açıkça çok ihtiyaç duyulan tokattı. Biraz daha ayrıntıya girelim.
Aslında 2017 tarihli bir kabine kararına göre Federal Bilgi Güvenliği Dairesi (BSI) tarafından geliştirilen temel BT koruması federal yönetim için zorunlu olacak. Ne yazık ki, bu hiçbir zaman yasal olarak bağlayıcı hale getirilmedi. Ve böylece federal hükümet, kabine kararına rağmen federal yetkililerin BT güvenlik seviyesinin son yıllarda önemli ölçüde iyileşmediğini keşfettiğinde şaşkına döndü.
Bununla birlikte, temel BT korumasını tüm federal makamlar için zorunlu kılmak yerine, NIS2'nin uygulanmasına ilişkin mevcut yasa taslağı, yükümlülüğü yalnızca federal bakanlıklar ve Federal Şansölyelik ile sınırlandırıyor. BRH şunu belirtiyor ve keyifle aktarıyorum: “Ağ bağlantılı bir federal yönetimde, ticari işletmelerin katı yasal yükümlülükleriyle karşılaştırıldığında bu ne uygun ne de uygundur.”
Rol model olarak İsviçre delik peyniri mi?
Aksine, NIS2UmsuCG'de federal kurumların tamamının veya bir kısmının koruma gerekliliklerinin dışında tutulmasını mümkün kılan çeşitli düzenlemeler bulunmaktadır. Dışişleri Bakanlığı bile açık bir istisna olarak dahil edilmiştir. Uzun süreli hafızaya sahip insanlar kafalarını kaşıyabilirler: Birkaç yıl önce zaten başarılı bir siber saldırının hedefi değil miydiler? Ama bunun bir önemi yok, o yüzden devam et.
Ve neden bu kadar çok istisnaya ihtiyaç var? Bunu size ne ben ne de BRH açıklayabilir. İkincisi, kendi denetim bulgularına ve BSI'nin federal yönetim veri merkezlerinin BT güvenliğine ilişkin açıkları “güçlü bir şekilde” doğrulayan denetim bulgularına atıfta bulunuyor. Federal hükümetin bu İsviçre delikli peynirini federal yönetimin genelinde güvenlik düzeyini artırmak için nasıl kullanmak istediği “belirsiz” olmaya devam ediyor ve bu sadece BRH için geçerli değil.
Kuşkusuz, argüman bulmak da zor olacaktır. Bir yandan, 50 veya daha fazla çalışanı olan küçük ve orta ölçekli şirketlerin siber güvenlik için NIS2UmsuCG gerekliliklerini halihazırda uygulaması gerekiyor. Öte yandan, gümrük idaresi gibi bazen birkaç bin çalışanı olan alt federal yetkililerin hiçbir şey uygulamasına gerek yoktur. Kritik altyapıların operatörleri gelecekte her üç yılda bir siber güvenlik kanıtlarını BSI'ya sunmak zorunda kalacak olsa da, burada da federal yetkililer için benzer bir şey planlanmamıştır.
Hiçbir şey yapmak zorunda olmayan ve hiçbir şey yapmasına izin verilmeyen federal bir CISO
Taslakta öngörüldüğü gibi iş dünyasında CISO olarak da bilinen bilgi güvenliği koordinatörü pozisyonunun da herhangi bir gelişme sağlaması beklenmemelidir. Çünkü bu sadece pozisyonu ayarlamakla ilgili. Görevler ve yetkiler düzenlenmemiştir bile. Bu pozisyondaki birinin departmanlar arasında nasıl etkili olması gerektiği konusunda kafa karıştıran yalnızca BRH değil.
Gerekçe olarak BMI, federal hükümetin halihazırda CISO federal hükümeti için bir konsept sunma sürecinde olduğuna işaret ediyor. BRH, ne yazık ki beş ay içinde böylesine ortak bir kavram üzerinde anlaşmayı başaramadıklarını söylüyor. Bu, federal yönetimdeki tehdit durumunu açıkça “hak etmiyor”. Dokun.
Açık olmalısınız: Bu sadece bir ofisin fidye yazılımını yakalayıp yönetilebilir mali hasara neden olmasıyla ilgili değil. Tüm kamu yönetiminden ve dolayısıyla tüm vatandaşların güvenliğinden ve devlete olan güveninden bahsediyoruz.
Kurtarmaya siber yardım organizasyonu
Özellikle kriz durumlarında devlet işlevlerinin sürdürülmesini tehlike altında gören yalnızca BRH'nin cesur savaşçıları değil. Pek çok belediye ve ilçede merkezi BT hizmetlerinde halihazırda kapsamlı ve uzun süreli arızalar yaşanmaktadır. BRH'nin bahsettiği federal makamlardaki BT altyapılarının güvenliğine ilişkin önemli kavramsal ve teknik eksiklikler iyiye işaret değil.
Federal yönetimin mevcut eksiklikleri acilen gidermesi gerekiyor. Ve ismine layık bir NIS2 uygulaması bunu kesinlikle ilerletmelidir. Peki ya bu olmazsa? O zaman BRH ve BSI'nin söylediği gibi, artık büyük ölçekli bir başarısızlık olup olmayacağına dair herhangi bir soru kalmadı. Ancak bunun ne zaman gerçekleşeceği ve tüm bu büyük siber kayıpların ne kadar kapsamlı olacağı.
Ama belki o zamana kadar THW'de siber yardım organizasyonu kurulacak. Gönüllü dijital yardımcılar daha sonra devreye girebilir ve bit değerlerinin satırlar halinde değişmesi durumunda yardım sunabilirler.
(akşam)