Almanya’da siber güvenlik: topu yuvarlayın ama fırlatmayın
Saldırılar artsa bile: Almanya siber güvenlik açısından savunmada kalmak istiyor. Ancak bunun daha iyi ayarlanması gerekiyor. Dijital İşler Komitesi, Federal Almanya Cumhuriyeti’ndeki sorumluluklar ve olanaklarla ilgilendi. Dijital Komite önceden Kritis çalışma grubundan Federal Veri Koruma ve Bilgi Özgürlüğü Komiseri (BfDI), Ulrich Kelber ve Manuel Atuğ gibi uzmanları davet etmiş ve onlardan siber güvenlikle ilgili 18 soruyu yanıtlamalarını istemişti. Davet edilen tüm uzmanlar, saldırgan siber savunma yerine savunma amaçlı siber savunma olması gerektiği konusunda hemfikirdi. Buna ek olarak, ilgili kişiler Federal Bilgi Güvenliği Ofisinin (BSI) güçlendirilmesinden yana konuştular.
Ancak Atuğ, bunun tek başına yeterli olmayacağını vurguladı. Bu, trafik ışığı koalisyonunun koalisyon anlaşmasında kararlaştırılan “BT güvenlik mimarisinin yapısal yeniden yapılandırılmasını” – BSI’yı daha bağımsız hale getirmek ve onu “BT güvenliği alanında merkezi bir ofis” olarak genişletmek için – yapar. beton. “Çok fazla aktör ve çok fazla etkisiz yasa, siber güvenliği karmaşık hale getiriyor ve karmaşıklık, güvenliğin düşmanıdır.” Ek olarak, genellikle yasanın bir incelemesi yoktur – Atuğ’a göre, “işe yarayan bilimsel olarak değerlendirilmiş tasarım ilkeleri olarak” tasarım yoluyla güvenlik veya tasarım yoluyla gizlilik yoluyla bilgi ve iyi dijitalleştirme yoluyla gerçek bir siber güvenlik yoktur. .
New Responsibility Foundation Siber Güvenlik Politikası ve Direnç Başkanı Dr. Sven Herpig’e göre, güvenlik açıklarını bildiren kişilerin yasal sonuçlardan korktuğuna da inanıyor.
Güvenlik açığı raporu
Atuğ’a göre, istihbarat servisleri ve diğer devlet aktörlerinin de güvenlik açıklarını bildirmeleri istenmeli. Devletin zaaflarını yıllardır gözetlemek için kullanıyor olamaz. Katılımcılar ayrıca güvenlik açıkları için bir raporlama noktası üzerinde anlaştılar. Muhtemelen BSI’da bulunabilir. FDP’den komite üyesi Maximilian Funke-Kaiser tarafından sorulduğunda Atuğ, güvenlik açığı yönetimine şiddetle karşı çıktı. Hiçbir koşulda taktik nedenlerle güvenlik açıkları açık bırakılmamalıdır.
ABD gizli servisi NSA, EnternalBlue ile Windows bilgisayarlardaki güvenlik açıklarını gözetlemek için uzun süredir geride tutuyordu. Sonuç olarak, bu bilgisayarlar, olası yüksek fidyeler nedeniyle failler arasında çok popüler olan fidye yazılımı saldırılarına açıktı. Pegasus’un İsrailli şirket NSO-Group tarafından kullanılıp kullanılmadığı henüz netlik kazanmadı. ABD Yüksek Mahkemesi geçtiğimiz günlerde Meta’nın WhatsApp sunucusuna yetkisiz erişim iddiasıyla dava açmasına izin verdi.
Herpig ayrıca koalisyon anlaşmasında yer alan “şifreleme hakkına” da değindi. BSI kurulduğundan beri, şifreleme tartışması siber güvenlik politikasının en eski yönlerinden biri olmuştur. Bu bağlamda, polis ve istihbarat servislerinin çevrimiçi arama ve telefonla gözetleme için gözetleme yazılımları kullanması ve gizli dinleme arayüzlerini standartlaştırma çabaları defalarca tartışılmaktadır.
Eski güvenlik açıkları ve belalı saldırganlar
Atuğ, Almanya’daki siber güvenlik teşkilatının da modernize edilmesi gerektiğini ve “sadece sorumluluğun dağılmasının gizli resmindeki birçok aktör tarafından değil” dedi. Herpig, kamuya açık olmayan belgeler nedeniyle şeffaflığın olmamasını da eleştirdi. Herkes birlikte oynamak ister. Ancak Atuğ’a göre bir şey olur olmaz kimse sorumlu değil. Her yerde “çok sayıda bariz saldırgan” var, sistemlerin büyük bir ihmalle çalıştırılıp çalıştırılmadığı sorusu, “arkeolojik açıdan değerli uzaktan bakım, işletim sistemleri veya ağ bileşenleri asırlık güvenlik açıklarıyla çalıştırıldığında” – güvenlik yamaları kullanımda olmadan, ancak kimse sormuyor . Bazı üreticiler – eğer şirketleri hala mevcutsa – yazılımın eski olması nedeniyle yamaları artık sunmuyor.
Defansif Siber Savunma
Siber savunmanın türü konusunda da anlaşma sağlandı – örneğin hackback şeklinde bir saldırı siber savunması söz konusu bile olamazdı. Siber güvenlik şirketi Deutor’dan Stefanie Frey’e göre, faillerin yeri tespit edilemediği için karşı önlem olarak bir DDoS saldırısı genellikle mümkün olmuyor. Saldırı diğer sistemleri de etkileyebilir. Ayrıca başvuranlara mali teşvikler yoluyla polisin güçlendirilmesi çağrısında bulundu. Ayrıca soruşturma yetkisi de çoğu zaman eksiktir. Aynı şekilde, mağdurlar çoğu durumda vakaları bildirmez çünkü neredeyse hiç başarı şansı yoktur.
300.000 polis memurundan Atuğ’a göre, “herkes ceza yazabilir, ancak yalnızca çok küçük bir kısmı çevrimiçi olaylar için suç duyurusunda bulunabilir”. Bremen Uygulamalı Bilimler Üniversitesi’nde BT güvenlik hukuku profesörü olan Profesör Dennis-Kenji Kipker, vasıflı işçi eksikliğini de görüyor ve hatta “eskiden çok daha disiplinlerarası” hale getirmek için hukuk eğitiminde reform yapılması çağrısında bulunuyor. Bilişim hukukçuları hem hukuki hem de teknik bilgiye sahip olmalıdır. Bu nedenle, avukatların çalışmalarını bir siber güvenlik yüksek lisans derecesi ile tamamlayabileceklerini önermektedir.
AG Kritis sözcüsü, Almanya’da programlama, algoritmalar ve veri yapıları alanlarında yeterince uzman yetiştirilmediğini de eleştiriyor. Bilgi, dijital egemenlik için mevcut olmalıdır. Ama gerçeklik farklı görünüyor. Güvenlik araştırma topluluğu, karar vericilerle bir faks makinesinin dijital yeterlilik düzeyinde “neden belirli prosedürler ve saldırgan rüyaların tam tersini ürettiğini” ve dijital olarak sürdürülebilir olmadığını tartışmalıdır. Bu nedenle, gelecek nesiller için teknoloji borçları kaçınılmazdır – AG Kritis, sürekli olarak yangınları söndürmek zorundadır. Devlet isteseydi ve yapabilseydi, kolluk kuvvetleri çok şey yapardı.
İnternet ulusal sınır tanımıyor
Atuğ’a göre, İnternet ulusal sınır tanımadığından, BT güvenliği ülke çapında “uyumlaştırılmalı ve koordine edilmelidir”. Kritis çalışma grubu, federal eyaletlerde BT güvenliğinden sorumlu yetkililerin bazen son teknolojinin yıllarca gerisinde kalmalarını ve güncelliğini yitirmiş bilimsel bilgilere dayanarak hareket etmelerini de eleştirdi. Örnek olarak, AG Kritis, Bavyera devlet dairesinin talimatıyla şifrelerini düzenli olarak değiştiren Bavyera makamlarından alıntı yapıyor. Siber güvenlikle ilgili AB çapında mevzuat olan NIS2 direktifini uygulamak için ülke düzeyinde yetkili makamların atanması da önemlidir. Devlete ait ek idari makamların kurulması uygun görünmemektedir.
(mak)
Haberin Sonu