Avrupa'nın siber güvenlik uyumluluk kurallarında gezinmek için beş gereklilik

[Cengiz Özemli]

Ne öğreneceksiniz:​

• AB pazarına girmeyi hedefleyen üreticilerin, CRA'nın beş temel gereksinimini anlamaları ve uygulamaları gerekiyor.
• Üretimdeki en iyi uygulamalar arasında, sürüm hattına güvenlik kapıları eklemek, mühendislere güvenli kodlama konusunda eğitim vermek ve donanım güven kökü özelliklerini kullanmak yer alır.
• Üreticiler bu adımları atarak düzenleyici gereklilikleri karşılıyor ve rekabetçi pazarlarda güven oluşturan daha güçlü ürünler sunuyor.

Geçtiğimiz yıl yürürlüğe giren Avrupa Birliği Siber Dayanıklılık Yasası, AB'deki üreticilerin bağlı ürünler için siber güvenliği yönetme biçiminde önemli bir değişikliğe yol açtı.
Dijital parçalar endüstriyel makinelerden akıllı sensörlere kadar her şeye dahil olduğundan, CRA bu ürünlerin tüm yaşam döngüsü boyunca güvenli kalmasını sağlamak için tutarlı bir çerçeve oluşturur.
Mevcut AB yasalarına göre halihazırda düzenlenen bazı ürünler ve ticari olmayan amaçlarla kullanılan açık kaynaklı yazılımlar hariç tutulsa da, CRA, endüstriyel kontrol sistemlerinden akıllı cihazlara kadar her şeyi kapsar.

AB pazarına girmek isteyen üreticiler, CRA'nın beş temel gerekliliğini anlamalı ve uygulamalıdır. Bu, uyum sağlamalarına ve müşteri güvenini oluşturmalarına yardımcı olacaktır.

Varsayılan ve tasarıma göre güvenlik​

CRA kapsamında, ürün ve yazılımların en başından itibaren güçlü güvenlik kontrollerine sahip olması gerekir. Bu "tasarım gereği güvenli" ilkesi, üreticilerin şunları yapmasını gerektirir:

• Potansiyel saldırı vektörlerini erken belirlemek için ürün geliştirme sırasında bir tehdit modelleme süreci kullanın.
• Son kullanıcı yapılandırmasına bağlı kalmak yerine kimlik doğrulama kontrollerini, şifreli iletişimleri ve güvenli varsayılanları uygulayın.
• Yaygın güvenlik açıklarına yönelik kod incelemeleri ve otomatik testler gibi güvenli yazılım geliştirme uygulamalarını sürdürün.

Üretimdeki en iyi uygulamalar arasında, sürüm hattına güvenlik kapıları eklemek, mühendislere güvenli kodlama konusunda eğitim vermek ve donanım güven kökü özelliklerini kullanmak yer alır.

Üreticiler bu adımları atarak düzenleyici gereklilikleri karşılıyor ve rekabetçi pazarlarda güven oluşturan daha güçlü ürünler sunuyor.

Üreticiler, kriptografik modülleri ve erişim kontrollerini donanım ve donanım yazılımı düzeylerine yerleştirerek CRA'nın gereksinimlerini karşılayabilir ve pahalı sürüm sonrası yamalara olan ihtiyacı azaltabilirler.

Olay yönetimi ve raporlama​

CRA, kapsam dahilindeki kuruluşların güvenlik olaylarını tespit etmek, yönetmek ve raporlamak için güçlü süreçler oluşturmasını zorunlu kılmaktadır. Temel unsurlar şunlardır:

• Rolleri, iletişim kanallarını ve yükseltme yollarını tanımlayan net bir olay müdahale planı.
• Sahada cihaz davranışlarının sürekli izlenmesi, kayıt altına alınması, uyarı verilmesi ve anormallik tespiti.
• Bir ürünün güvenlik açığının önemli bir risk oluşturması durumunda AB yetkililerini sıkı zaman çizelgeleri içinde bilgilendiren, kolaylaştırılmış bir raporlama prosedürü.

Üreticiler, müşterilerden veya üçüncü taraflardan gelen güvenlik açığı raporlarının hızlı bir şekilde sınıflandırılmasını sağlayarak IoT ve gömülü sistemlere özel güvenlik operasyon merkezi yeteneklerine yatırım yapmalıdır.

Otomatik gösterge panelleri ve önceden tanımlanmış şablonlar, raporlama son tarihlerine daha hızlı ulaşmanızı sağlayarak düzenleyici riski azaltabilir.

Güvenlik açığı yönetimi​

Etkili zafiyet yönetimi, CRA'nın riski azaltma hedefinin anahtarıdır. Üreticiler şunları yapmalıdır:

• Ürünlerde kullanılan bileşenler, kütüphaneler ve ürün yazılımı sürümleri dahil olmak üzere tüm yazılım öğelerinin güncel bir kaydını tutun.
• Yayınlamadan önce güvenlik açıklarını tespit etmek için periyodik olarak güvenlik açığı taramaları ve penetrasyon testleri gerçekleştirin.
• Müşterilere güvenlik güncellemelerini ve yamalarını zamanında sağlayın, ayrıca bunları yüklemeye yönelik net talimatlar ve yollar sağlayın.

Üretimde bu, koordineli bir güvenlik açığı ifşa programı oluşturmak, güvenlik araştırmacılarıyla ilişkiler kurmak ve endüstriyel cihazlar için kablosuz güncelleme sistemleri kullanmak anlamına gelir.

Yama dağıtımını otomatikleştirerek ve kurulum başarısını kontrol ederek kuruluşlar, düzenleyicilere önemli düzeltmelerin son kullanıcılara hızla ulaştığını gösterebilir.

Üçüncü taraf risk yönetimi​

Bağlantılı ürünler genellikle üçüncü taraf parçalara, dış geliştirmelere veya bulut hizmetlerine bağımlıdır. CRA, üreticilerin tedarik zincirindeki her adımla ilgilenmesini şart koşar:

• Tedarikçileri ve yazılım satıcılarını güvenlik durumları açısından inceleyin ve ISO 27001 veya IEC 62443 gibi standartları takip ettiklerinden emin olun.
• Sözleşmelere güvenlik gerekliliklerini ekleyin. Bu, yamalar, olay bildirimleri ve yükümlülüklerle ilgili sorumlulukları kapsamalıdır.
• Üçüncü tarafların güvenlik performansını düzenli olarak denetleyin ve mutabık kalınan kontrollere uyumu doğrulayın.

Büyük ölçekli üreticiler, tedarikçiler için geçmiş ihlal geçmişi, şifreleme uygulamaları ve güvenlik açıklarına karşı duyarlılık gibi kriterlere göre puanlama yapan bir risk derecelendirme sistemi uygulayabilir.

Veri odaklı bu yaklaşım, tedarik ekiplerinin yüksek riskli tedarikçileri tespit etmesine ve tedarik zinciri zayıflıkları konusunda harekete geçmesine yardımcı olur.

Üreticiler, IoT ve gömülü sistemlere özel güvenlik operasyon merkezi yeteneklerine yatırım yapmalıdır.

Ürün risk değerlendirmesi​

CRA, her ürünün piyasaya sürülmeden önce ve sonra ayrıntılı bir risk değerlendirmesinden geçmesini şart koşmaktadır. Bu değerlendirme şunları içerir:

• Olası tehditleri, saldırganların saldırı yollarını ve gizlilik, bütünlük ve erişilebilirlik üzerindeki etkilerini belirlemek.
• Tüketici elektroniğine göre daha sıkı kontroller gerektiren kritik endüstriyel kontrolörler gibi ürünleri risk profillerine göre sınıflandırmak.
• Yeni tehdit istihbaratı, yazılım güncellemeleri veya dağıtım bağlamlarındaki değişiklikler ışığında risk değerlendirmelerinin periyodik olarak gözden geçirilmesi.

Üreticiler, kalan riski ölçmek için Arıza Modu ve Etki Analizi (FMEA) veya Ortak Kriter değerlendirmesi gibi standartlaştırılmış metodolojileri benimsemelidir.

Teknik analizin iş etkisi çalışmalarıyla birleştirilmesiyle ekipler, tehlikeye atılması durumunda en ciddi sonuçlara yol açacak bileşenler üzerindeki azaltma çabalarına öncelik verebilir.

Üretimde CRA uyumluluğunun uygulanması​

CRA uyumluluğunun sağlanması, mühendislik, hukuk ve ticari işlevler arasında ekip çalışması gerektirir:

1. Yönetim ve politika: Politikaları tanımlamak, sorumluluk atamak ve uyumluluk kilometre taşlarına doğru ilerlemeyi izlemek için farklı işlevlerden üyelerden oluşan bir CRA görev gücü oluşturun.
2. Sürekli iyileştirme: Etkinliği ölçmek ve devam eden iyileştirmeleri yönlendirmek için yama için geçen ortalama süre, olay çözüm süresi ve tedarikçi risk puanları gibi ölçümleri kullanın.
3. Süreçleri hizalama: Ürün geliştirme, tedarik ve müşteri hizmetleri operasyonlarındaki mevcut iş akışlarına güvenlik kontrol noktalarını entegre edin.
4. Araçları ve otomasyonu kullanma: Rutin görevleri kolaylaştırmak ve verimliliği artırmak için güvenlik açığı tarayıcılarını, DevSecOps iş akışlarını ve otomatik raporlama sistemlerini kullanın.
5. Eğitim ve kültür: Mühendislere, kalite güvencesine ve tedarik zinciri yöneticilerine CRA gereklilikleri ve olay müdahale protokolleri hakkında düzenli olarak güvenlik farkındalığı eğitimi sağlayın.

Üreticiler bu adımları atarak düzenleyici gereklilikleri karşılıyor ve rekabetçi pazarlarda güven oluşturan daha güçlü ürünler sunuyor.

AB'nin Siber Dayanıklılık Yasası, bağlantılı ürünlerin güvenliği konusunda yeni bir sorumluluk düzeyi getiriyor. AB pazarlarına göz diken üreticiler için, varsayılan ve tasarım güvenliği, olay yönetimi ve raporlama, güvenlik açığı yönetimi, üçüncü taraf risk yönetimi ve ürün risk değerlendirmesi olmak üzere beş temel gerekliliğe uymak vazgeçilmezdir.
Bu en iyi uygulamaların izlenmesi, CRA uyumluluğunu sağlar ve kuruluşun genel siber güvenlik duruşunu iyileştirerek uzun vadede daha güvenli ve daha güvenilir ürünlere yol açar.