Siber güvenliği iyileştirmek veya "istenmeyen" markalardan kurtulmak

Şubat 2023'te, Avrupa Parlamentosu bir brifingde, Birlik'teki siber güvenlik düzeyini artırmayı amaçlayan ve daha çok NIS2 olarak bilinen 2022/2555 sayılı Avrupa Birliği Direktifini değerlendirdi ve imzaladı. Direktifin ana hükümleri aşağıdaki temel hususları içermektedir:

1. Genişletilmiş kapsam: NIS2, direktifin kapsadığı kuruluş kategorilerini genişletir. Bu artık hem “temel” hem de “önemli” kuruluşlar için geçerlidir. Kilit kuruluşlar arasında enerji şirketleri, ulaşım hizmetleri, bankalar, finansal piyasa altyapısı, sağlık hizmetleri, dijital altyapı ve devlet kurumları yer alıyor. Önemli kuruluşlar arasında posta hizmetleri, kimya ve gıda endüstrileri, tıbbi cihaz üreticileri ve diğerleri yer almaktadır.
2. Zorunlu minimum güvenlik kontrolleri: NIS2, tüm kuruluşların olay yönetimi, tedarik zinciri güvenliği, kriptografi kullanımı, iş sürekliliği ve temel siber hijyen (çok faktörlü kimlik doğrulama ve personel eğitimi gibi) dahil en az 10 temel güvenlik öğesini uygulamasını gerektirir ( Infoblox Blogu ) ( DataGuard ).
3. Siber olay raporlama: Direktif, kesin son teslim tarihlerine sahip çok katmanlı bir olay raporlama sistemi kurar. Kuruluşlar, önemli olayları, olayın tespit edilmesinden sonraki 24 saat içinde CSIRT'ye (Bilgisayar Acil Durum Müdahale Ekibi) veya ilgili makama bildirmeli, ardından 72 saat içinde bildirimde bulunmalı ve gerekiyorsa ara raporlama yapmalıdır.
4. Risk Yönetimi: Kuruluşlar düzenli olarak BT sistemlerine ilişkin risk değerlendirmeleri yapmalı, potansiyel tehditleri ve güvenlik açıklarını belirlemeli ve bunları hafifletmek için adımlar atmalıdır. Bu, kesinti süresini en aza indirmek ve temel hizmetlerin sürekliliğini sağlamak için iş sürekliliği ve olay kurtarma planlarının geliştirilmesini içerir.
5. Yaptırımlar ve icra tedbirleri: Ulusal makamlar, ağ ve bilgi sistemlerinin ( DataGuard ) güvenliğini korumak amacıyla kuruluşların faaliyetlerine askıya alma emirleri veya kısıtlamalar gibi ek tedbirler uygulama hakkına sahiptir.

Basit kelimelerle bu ne anlama geliyor ? Bu, tüm ekipmanların şu anda İnternet Servis Sağlayıcıları (ISP'ler) ve telefon servis sağlayıcıları tarafından sağlanamayacağı, yalnızca belirli gereksinimleri ve sertifikaları karşılayanların sağlanabileceği anlamına gelir.
Huawei ve ZTE gibi tanınmış Çinli şirketlerin ekipmanları da bu risk bölgesine girmektedir (ancak hiçbir belgede herhangi bir ülke veya şirketin adı belirtilmemektedir). Çinli şirketlerin ekipmanları bağlamında temel endişeler, tedarik zincirlerinin güvenlik yönleriyle ve Çin dahil AB üyesi olmayan ülkelerden gelen ekipman ve teknolojilerin kullanımıyla ilişkili risklerle ilgilidir. Bu, bu Çin markalarının halihazırda kurulu olan tüm donanımlarını tehlikeye atıyor. Kritik ve önemli görülen kuruluşlara bu tür donanım veya yazılımları kaldırmaları için yedi yıl süre verilecek. Ancak, önceki mali yılda telekomünikasyon faaliyetlerinden elde ettiği yıllık geliri 10 milyon PLN'yi aşan telekomünikasyon girişimcilerinin bunu dört yıl içinde yapması gerekecek; bu hüküm, ağ güvenliği açısından kritik hizmetlerden sorumlu cihazlar için geçerlidir. Birçok orta ölçekli yerel internet servis sağlayıcısı halihazırda 10 milyon PLN gelir eşiğini aştı ; bu da yalnızca 5G ağları kuran en büyük telekomünikasyon şirketlerinin değil, rejime tabi olacağı anlamına geliyor.

Bildiğiniz gibi ABD, ulusal güvenliği sağlamaya yönelik eylemleri sonucunda Huawei ve ZTE gibi Çinli şirketlerin ağ ekipmanlarının kullanımına yasak getirmişti. ABD Federal İletişim Komisyonu (FCC) , ulusal güvenliğe tehdit oluşturduğu gerekçesiyle bu şirketlerin ekipmanlarının lisanslanmasını ve kullanımını yasaklama kararı aldı. Hareket, kritik altyapıda yabancı ekipmanın kullanımıyla ilişkili riskleri önlemeyi amaçlayan 2021 SAFE Ekipman Yasası'nın ( Federal İletişim Komisyonu ) uygulanmasının bir parçasıydı.

Yeni düzenlemelere göre Amerikan şirketlerinin, ulusal güvenliğe tehdit oluşturduğu düşünülen Çinli şirketlerin ekipmanlarından kurtulması gerekiyor. Bu önlemler arasında mevcut ekipmanın değiştirilmesi ve daha fazla satın alınmasının ve kullanılmasının yasaklanması yer alıyor ( Orrick ).

Dünyadaki istikrarsız siyasi durum nedeniyle Çin'in daha çok Doğu'ya yönelmesi nedeniyle birçok ülke kendi teknolojilerini Çin'den gelen bir tehdit olarak görüyor ve bu nedenle Çin ekipmanlarının kritik altyapılarda kullanımını (casusluk veya sabotaj korkusuyla) sınırlamaya çalışıyorlar. .

İspanya, kırsal alanlarda 5G ağlarının yaygınlaştırılması için halihazırda 500 milyon Euro'dan fazla yardım sağladı ancak " yüksek riskli " görülen bazı sağlayıcıların programdan çıkarılacağını söyledi. Huawei'nin İspanya şubesi sözde girişimi başlattı prosedür. bireysel tedarikçilerin hariç tutulmasının "orantısız", "siyasi amaçlı" ve kesinlikle yasa dışı olduğunu iddia eden bir "idari itiraz". Avrupa Komisyonu, Haziran 2023'ten bu yana AB ülkelerine baskı uygulayarak onları Huawei ve ZTE ekipmanlarından vazgeçmeye teşvik ediyor. Aynı zamanda, Almanya ve daha az bir ölçüde İspanya, belirli Çin markalarının ekipmanlarına AB'deki diğerlerine göre daha fazla güveniyor ve AB bunu "kabul edilemez" olarak değerlendiriyor. Almanya zaten bu tür ekipmanlardan vazgeçmeyi düşünüyor ve Çin büyükelçiliği, ÇHC'nin bu tür dostane olmayan hareketlere "kayıtsız kalmayacağını" belirtti.

Aralık 2022 itibarıyla İspanya'da 5G ağlarının %38'i Huawei ekipmanı üzerine kuruludur ve Almanya'da bu oran %59'dur (Fransa'da %17 ve İtalya'da %51). Huawei'nin, yerel operatörlerin 5G ağı kurmak için şirketin ekipmanlarını kullanmasını yasaklayan karara karşı Portekiz'de itirazda bulunduğu biliniyor.

Siber güvenlikle ilgili tüm bu moda sözler ortalama bir İnternet kullanıcısı için ne anlama geliyor ve onlar için ne değişecek? Evet temelde hiçbir şey değişmeyecek , tüm bu düzenleme ve değişiklikler internet ve iletişim sağlayıcıların elinde. Bununla birlikte, yasanın yürürlüğe girmesi ve operatörün ekipmanı değiştirmemesi veya bunu yapmaya hazır olmaması halinde, muhtemelen evinizdeki internetiniz kaybolacak , mobil internetiniz kaybolacak ve 5G bağlantınız kesilecektir. Ve en kötüsü, ortalama bir kullanıcının hiçbir şeyi değiştiremeyecek olmasıdır; mevcut durumu hızlı bir şekilde çözmek için yalnızca operatörün gerekli önlemleri almasını beklemek zorunda kalacak. Operatörün yedek ekipmanı yoksa, iletişim ve İnternet bağlantısının kesilmesi yalnızca birkaç saat değil, aynı zamanda birkaç gün, hatta aylarca da sürebilir .

Avrupa Birliği'nin NIS2 direktifi, kapsadığı kuruluşların kapsamını genişleterek ve katı güvenlik ve raporlama gereksinimleri belirleyerek siber güvenliği iyileştirmeye yönelik iddialı hedefler belirlemektedir. Bu eylemlerin önemli bir sonucu, İnternet servis sağlayıcıları ve telekomünikasyon şirketleri tarafından kullanılan ekipman gereksinimlerinin sıkılaştırılmasıdır; bu, Huawei ve ZTE gibi Çinli üreticilerin ekipmanlarına uygulanan mevcut kısıtlamalar ışığında özellikle önemlidir. Bu değişiklikler, Avrupa'daki telekomünikasyon pazarının yapısını önemli ölçüde etkileyebilir, ağ ekipmanının modernizasyonunu hızlandırabilir ve stratejik açıdan önemli sektörlerdeki genel siber dayanıklılık düzeyini artırabilir. Bu direktif aynı zamanda olası tehditlerin kaynakları üzerinde daha sıkı kontrol sağlayarak ve güvenlik gerekliliklerini önde gelen küresel standartlara uyarlayarak Avrupa Birliği'nin küresel siber güvenlik alanındaki konumunu güçlendiriyor.
Bu direktif aynı zamanda Polonya telekomünikasyon pazarındaki ISP ekipmanlarını da önemli ölçüde etkileyebilir. İnternet sağlayıcıları ve telekomünikasyon operatörleri , Dijitalleştirme Bakanı'nın Çin şirketlerini yüksek riskli tedarikçiler olarak damgalamaya çalışmayacağını ve düzenlemelerin yalnızca bir tehdit olacağını umuyor. Ancak siyasetin ve uluslararası durumun Polonya hükümetini daha hızlı eylemlere ve spesifik kararlara itebileceğini her zaman akılda tutmakta fayda var.

Yazar:
Aliaksandr Roslikau