Federal Bilgi Güvenliği Dairesi (BSI), dijital posta kutusu operatörlerinden açık bir talepte bulunuyor: Tüketicilerin kimlik avı ve kimlik hırsızlığı gibi risklerden korunması halen düzensiz bir şekilde uygulandığından, hizmetlerinin BT güvenliğinin sorumluluğunu sistematik ve kapsamlı bir şekilde üstlenmeleri gerekiyor. Bu, Pazartesi günü yayınlanan “Dijital Tüketiciyi Koruma” serisinden “güvenli, şeffaf ve kullanıcı dostu web posta hizmetleri” konulu teknik incelemenin içeriğidir.
Reklamdan sonra devamını okuyun
Teknik incelemede BSI, e-posta güvenliğinin temel bir parçasının (özellikle kullanımı kolay uçtan uca şifrelemenin (E2EE) ve saldırılara karşı korumanın) hâlâ kullanıcıların omuzlarında çok fazla yüklendiğinden şikayetçi. Otomatik etki yaratabilecek teknik koruyucu mekanizmalar giderek artıyor. E-postanın dijital kimlikleri yönetmek için merkezi anahtar bileşen olduğu ve sıklıkla diğer hesapları geri yüklemek için kullanıldığı göz önüne alındığında, Gmail, GMX, web.de ve Hotmail gibi özellikle sık kullanılan web posta hizmetleri için güvenilirliğin, güvenliğin ve kullanıcı dostu olmanın sağlanması özellikle önemlidir.
Yazarlar, kullanıcı dostu BT güvenliği için tasarım gereği güvenlik ve varsayılan güvenlik ilkelerini uygulamaya yönelik beş merkezi eylem alanı tanımlamaktadır. Buna göre sağlayıcılar standart olarak basit ve güvenli kimlik doğrulama prosedürlerini uygulamalıdır. Buna, iki faktörlü kimlik doğrulamanın (2FA) veya kullanıcıları biyometrik özellikler aracılığıyla tanımlayan modern geçiş anahtarlarının zorunlu olarak getirilmesi de dahildir. Ayrıca son teknolojiye sahip bir şifre politikası ve tanımlayıcıların girilmesinde hız sınırlaması gibi teknik önlemlerin alınması gerekmektedir.
Spam ve kimlik avına karşı daha iyi koruma
BSI, birlikte çalışabilen ve kullanımı kolay uçtan uca şifrelemeyi (E2EE) iletişimin gizliliğinin merkezi bir bileşeni olarak görmektedir. E2EE şu anda manuel anahtar yönetimi nedeniyle yalnızca niş bir konu olduğundan, BSI OpenPGP ve S/MIME gibi açık standartların kullanımının doğrudan web posta göndericisinde etkinleştirilmesini talep ediyor. Bu, hizmetteki anahtar çiftlerinin otomatik olarak oluşturulmasını ve yönetilmesini ve ayrıca genel anahtarın örneğin Web Anahtar Dizini (WKD) aracılığıyla düşük eşikli değişimini gerektirir. Ayrıca aktarım şifrelemesinin DANE veya MTA-STS aracılığıyla uygulanması gerekir.
Ofis aynı zamanda spam ve kimlik avına karşı etkili koruma mekanizmalarına da ihtiyaç duyuyor ancak sorumluluk yalnızca son kullanıcılara devredilmemeli. Gönderenin kimliğini kontrol etmek için arka uçta SPF, DKIM ve DMARC gibi prosedürlere dayanan çok katmanlı bir sistemin, istenmeyen e-postaları ve dolandırıcılık girişimlerini raporlamaya yönelik kullanıcı dostu işlevlerle desteklenmesi gerekir. BSI geçen yıl bu konuda bilgi vermişti.
Ayrıca ofis, özellikle hesabın üçüncü bir tarafça ele geçirilmesi durumunda, hesap kurtarma için güvenli ve izlenebilir bir seçeneğin önemli olduğunu belirtiyor. Yedekleme e-postaları veya güvenlik soruları gibi geleneksel kurtarma prosedürleri değiştirilebildiğinden, süreçlerin açık bir şekilde yönetilmesi ve güvenli olması gerekir.
Dijital katılımın temeli
Reklamdan sonra devamını okuyun
Sağlayıcılar ayrıca şeffaf güvenlik profilleri ve izlenebilir güven modelleri sağlamalıdır. Merkezi güvenlik mekanizmalarının işlevselliği tüketiciler tarafından doğrudan doğrulanamadığından, kullanılan protokollerin ve süreçlerin açıklanması güveni güçlendirir ve müşterilerin güvenli bir hizmet seçmesine destek olur.
Yazarlar, “Güvenli e-posta iletişimi, dijital katılım ve kendi kaderini tayin etme için temel bir gerekliliktir” diye vurguluyor. Daha fazla teknik gelişmenin yanı sıra, bağlayıcı çerçeve koşulları, koruma standartları konusunda toplumsal uzlaşma ve hedeflenen siyasi dürtüler de gereklidir. Bu nedenle çağrılar “iş dünyasını, siyaseti ve sivil toplumu” hedef alıyordu. İlgili hizmet sağlayıcılar “artık bu beyaz kitapta listelenen somut önlemleri gönüllü bir taahhüt yoluyla uygulayarak gözle görülür bir güven oluşturma şansına sahip.” BSI'ın dijital tüketici koruması departmanı başkanı Caroline Krohn, yalnızca koruyucu önlemlerin anlaşılabilir, birlikte çalışabilir ve günlük kullanıma uygun olduğunda “tam etkisini gösterebileceklerini” söylüyor.
(Asla)
Bir yanıt yazın