Federal Bilgi Güvenliği Dairesi (BSI), dijital posta kutusu operatörlerinden açık bir talepte bulunuyor: Kimlik avı ve kimlik hırsızlığı gibi risklere karşı tüketicinin korunması halen parça parça uygulandığından, hizmetlerinin siber güvenliğinin sorumluluğunu sistematik ve kapsamlı bir şekilde üstlenmeleri gerekiyor. Bu, “Güvenli, şeffaf ve kullanımı kolay web posta hizmetleri” konulu “Dijital Tüketicinin Korunması” serisinin Pazartesi günü yayınlanan Beyaz Kitabının içeriğidir.
Duyurudan sonra devamını okuyun
Teknik incelemede BSI, e-posta güvenliğinin önemli bir bölümünün, özellikle kullanımı kolay uçtan uca şifrelemenin (E2EE) ve saldırılara karşı korumanın hâlâ kullanıcılara çok fazla yük getirdiğinden şikayetçi. Otomatik etki yaratabilecek teknik koruma mekanizmaları giderek artıyor. E-posta dijital kimlik yönetiminin temel bileşeni olduğundan ve genellikle diğer hesapları geri yüklemek için kullanıldığından, güvenilirlik, güvenlik ve kullanım kolaylığının sağlanması Gmail, GMX, web.de ve Hotmail gibi popüler web posta hizmetleri için özellikle önemlidir.
Yazarlar, kullanıcı dostu BT güvenliği için tasarım gereği güvenlik ve varsayılan güvenlik ilkelerini uygulamaya yönelik beş merkezi eylem alanı tanımlamaktadır. Sonuç olarak, satıcıların standart olarak basit ve güvenli kimlik doğrulama prosedürlerini uygulaması gerekir. Buna, iki faktörlü kimlik doğrulamanın (2FA) veya kullanıcıları biyometrik özellikler aracılığıyla tanımlayan modern geçiş anahtarlarının zorunlu olarak getirilmesi de dahildir. Ayrıca, son teknolojiye sahip bir şifre politikasına ve tanımlayıcıların girilmesinde hız sınırlaması gibi teknik önlemlere ihtiyaç vardır.
Spam ve kimlik avına karşı daha iyi koruma
BSI, birlikte çalışabilen ve kullanımı kolay uçtan uca şifrelemeyi (E2EE) iletişim gizliliğinin merkezi bir bileşeni olarak görmektedir. E2EE şu anda manuel anahtar yönetimi nedeniyle yalnızca niş bir konu olduğundan, BSI, OpenPGP ve S/MIME gibi açık standartların kullanımının doğrudan web posta göndericisinde etkinleştirilmesini talep etmektedir. Bu, hizmetteki anahtar çiftlerinin otomatik olarak oluşturulmasını ve yönetilmesinin yanı sıra, örneğin Web Anahtar Dizini (WKD) aracılığıyla genel anahtarın düşük eşikli değişimini gerektirir. Ayrıca aktarım şifrelemesinin DANE veya MTA-STS aracılığıyla uygulanması gerekir.
Ofis aynı zamanda spam ve kimlik avına karşı etkili koruma mekanizmalarına da ihtiyaç duyuyor ancak sorumluluk yalnızca son kullanıcılara devredilmemeli. Gönderenin gerçekliğini doğrulamak için arka uçta SPF, DKIM ve DMARC gibi prosedürlere dayanan çok katmanlı bir sistemin, istenmeyen e-postaları ve dolandırıcılık girişimlerini bildirmek için kullanıcı dostu işlevlerle tamamlanması gerekir. BSI geçen yıl bu konuyla ilgili bilgi vermişti.
Ayrıca ofis, özellikle hesabın üçüncü bir tarafça ele geçirilmesi durumunda, hesap kurtarma için güvenli ve izlenebilir bir seçeneğin hayati önem taşıdığını belirtiyor. Yedek e-postalar veya güvenlik soruları gibi geleneksel kurtarma prosedürleri manipüle edilebildiğinden, süreçlerin açık ve güvenli bir şekilde ele alınması gerekir.
Dijital katılımın temeli
Duyurudan sonra devamını okuyun
Satıcılar ayrıca şeffaf güvenlik profilleri ve izlenebilir güven modelleri sağlamalıdır. Merkezi güvenlik mekanizmalarının işlevselliği doğrudan tüketiciler tarafından doğrulanamadığından, kullanılan protokollerin ve süreçlerin açıklanması güveni güçlendirir ve müşterilerin güvenli bir hizmet seçmesine destek olur.
Yazarlar, “E-posta yoluyla güvenli iletişim, dijital katılım ve kendi kaderini tayin etme için temel bir gerekliliktir” diye belirtiyor. Daha fazla teknik gelişmenin yanı sıra bağlayıcı çerçeve koşulları, koruma standartları konusunda toplumsal uzlaşma ve hedeflenen siyasi dürtülere de ihtiyaç var. Bu nedenle çağrılar “iş dünyasına, siyasete ve sivil topluma eşit şekilde” yöneliktir. Etkilenen hizmet sağlayıcılar “artık bu Beyaz Kitapta listelenen somut önlemleri gönüllü taahhüt yoluyla uygulayarak gözle görülür bir güven oluşturma fırsatına sahip.” BSI'nin dijital tüketici koruma departmanı başkanı Caroline Krohn'a göre, koruma önlemleri “yalnızca anlaşılabilir, birlikte çalışabilir ve günlük kullanıma uygun olduklarında tam anlamıyla etkili hale gelecektir”.
(Asla)
Bir yanıt yazın