Sebuah artikel oleh Reemt Matthiesen dan Markus Kaulartz, pengacara di CMS Hasche Sigle di Munich.
Undang-undang keamanan TI baru telah diberlakukan sejak musim panas. Tujuannya adalah untuk memperkuat keamanan sistem TI di Jerman dengan meningkatkan ketersediaan, integritas, kerahasiaan, dan keasliannya.
Siapa yang terkena dampak peraturan baru ini?
Di dunia startup, aturan baru ini berlaku khususnya bagi penyedia telemedia, yaitu layanan informasi dan komunikasi elektronik seperti aplikasi, situs web, atau perangkat di Internet of Things (IoT).
Apa yang perlu dipertimbangkan oleh penyedia telekomunikasi sekarang
Akibat perubahan pada UU Telemedia Tujuannya adalah untuk memerangi penyebaran malware, oleh karena itu penyedia telekomunikasi harus menerapkan sejumlah langkah keamanan. Fasilitas teknis yang digunakan untuk presentasi telemedia terpengaruh, yaitu perangkat keras dan perangkat lunak (server web, server database, sistem operasi, sistem manajemen konten, dll.).
Langkah-langkah teknis
Penyedia telekomunikasi harus memastikan bahwa akses tidak sah terhadap fasilitas teknis dapat dicegah – dan bahwa sistem diamankan dari gangguan. Dari sudut pandang teknis, merupakan tanggung jawab penyedia telemedia untuk selalu memperbarui perangkat lunak yang mereka gunakan melalui pembaruan dan perbaikan untuk menutup bug dan kesenjangan.
Jika startup mengembangkan perangkat lunak yang mereka gunakan sendiri, perhatian khusus harus diberikan untuk memastikan bahwa bug teridentifikasi dan ditutup secara independen. Rekomendasi dari proyek OWASP dia atau itu Panduan untuk mengembangkan aplikasi web yang aman dan rekomendasi untuk klien dari BSI (misalnya: kewajiban untuk memberikan kata sandi yang cukup aman). Jika Anda ingin lebih mengurangi risiko, Anda dapat menggunakan pihak ketiga untuk menganalisis risiko kode yang Anda kembangkan sendiri.
Dari segi teknis, penggunaan metode enkripsi yang diakui aman secara tegas disebutkan dalam TMG. Ini harus digunakan tidak hanya saat mengangkut data (TLS/SSL), tetapi juga saat menyimpan data. Tingkat enkripsi yang harus dipertimbangkan bergantung pada data yang akan dilindungi.
Langkah-langkah organisasi
Untuk mencegah karyawan perusahaan mendapatkan akses tidak sah ke sistem, penting untuk memastikan akses, akses, dan kontrol akses yang aman. Sistem peran dan otorisasi yang canggih memastikan bahwa karyawan hanya memiliki akses ke sistem yang mereka perlukan untuk melakukan pekerjaan mereka. Editor online tidak akan dapat memasukkan kode JavaScript ke dalam konten editorial.
Langkah-langkah keamanan organisasi menurut undang-undang keamanan TI yang baru mungkin juga mengharuskan karyawan untuk diberi informasi dan diberi pengarahan terlebih dahulu tentang aspek-aspek yang relevan dengan keamanan dalam pekerjaan mereka. Hal ini masuk akal karena, dari sisi perangkat lunak, tidak semua pelanggaran yang dilakukan karyawan dapat dikesampingkan. Siapa pun yang menerapkan manajemen keamanan berperilaku patut dicontoh (mis ISO 27001 dan itu Perlindungan IT-Ground BSI).
Layanan dari pihak ketiga, misalnya dari penyedia layanan IT
Tentu saja, tidak semua startup menyediakan semua layanan yang tersedia bagi penggunanya. Terutama jika ada pihak ketiga yang terlibat, penting untuk mengikat pihak ketiga ini secara kontrak: Mereka harus memenuhi kewajiban yang berlaku dan memberi ganti rugi kepada perusahaan rintisan jika terjadi kerusakan atau klaim dari pengguna. Contoh pihak ketiga tersebut adalah: pusat data, pemrogram, penyedia spanduk iklan, penyedia konten, atau penyedia layanan TI lainnya (misalnya Google Analytics).
Bagaimana cara menentukan “kecanggihan” yang akan diterapkan?
Pembuat undang-undang sengaja menggunakan istilah “canggih” untuk memastikan kemajuan teknis tetap terjaga. Kecanggihan mengacu pada semua proses, perangkat, atau metode operasi canggih yang cocok untuk melindungi sistem TI. Untuk menentukan keadaan terkini secara lebih rinci, norma dan standar internasional, Eropa dan nasional yang sesuai dapat digunakan (seperti Standar atau pedoman DIN atau ISO Dan Standar dari BSI). Selain itu, prosedur, fasilitas dan metode pengoperasian yang sebanding yang telah berhasil diuji dalam praktik dapat dipertimbangkan.
Kewajaran sebagai batas
Sangat penting bagi para pemula untuk memahami bahwa hanya tindakan-tindakan yang secara teknis memungkinkan dan masuk akal secara ekonomi yang boleh diterapkan. Artinya, tidak semua penyedia telemedia perlu menerapkan hal yang sama agar sesuai dengan teknologi terkini. Startup beranggotakan lima orang yang menawarkan game online tentu memiliki persyaratan yang berbeda dengan bank online besar (misalnya mengenai enkripsi data atau login). Secara umum, biayanya harus sebanding dengan tujuan perlindungan yang dimaksudkan. Legislator juga menekankan bahwa perhatian khusus harus diberikan pada aksesibilitas prosedur.
Mirip dengan pendekatan “Privasi berdasarkan desainMulai saat ini, dalam bidang keamanan TI, langkah-langkah yang secara khusus diperlukan namun juga tepat yang bersifat teknis dan organisasional harus dikoordinasikan antara TI dan Hukum ketika sistem TI dikembangkan dan diimplementasikan.
Apa konsekuensi yang dihadapi penyedia telekomunikasi jika terjadi pelanggaran?
Penyedia telekomunikasi yang melanggar ketentuan Undang-Undang Keamanan TI akan dikenakan denda hingga 50.000 euro. Selain itu, tidak dapat dikesampingkan bahwa pengguna akan mengajukan tuntutan ganti rugi jika kerusakan pada pengguna terjadi sebagai akibat dari pelanggaran peraturan yang dapat dihukum (misalnya: jika malware diunduh saat mengunjungi situs web, yang mengakibatkan hilangnya data pengguna). Perlu dikhawatirkan bahwa pelanggaran tugas juga dapat mengakibatkan peringatan dari pesaing – namun hal ini belum diklarifikasi di pengadilan.
Yang juga terkena dampak: Infrastruktur penting dan penyedia layanan TI mereka
Selain penyedia telekomunikasi, operator infrastruktur penting yang sangat penting bagi berfungsinya masyarakat juga terkena dampaknya karena kegagalan atau kerusakan infrastruktur tersebut dapat menyebabkan kemacetan pasokan yang signifikan atau ancaman terhadap keselamatan publik. Contohnya adalah pemasok energi atau perusahaan makanan. Pemula biasanya tidak akan menemukan diri mereka di sini.
Setidaknya, perusahaan rintisan yang menyediakan layanan TI untuk infrastruktur penting harus memahami peraturan baru ini. Mereka dapat terkena dampak tidak hanya secara tidak langsung, tetapi juga secara langsung: mereka harus mematuhi segala kewajiban untuk bekerja sama, dan perangkat lunak yang mereka kembangkan dapat diselidiki oleh BSI, termasuk hal ini. Rekayasa Terbalik produk mereka.
Kesimpulan: Kenapa tidak perlu panik
Perubahan undang-undang tersebut terutama berdampak pada perangkat teknis yang tidak bersentuhan langsung dengan data pribadi (seperti nama, alamat, alamat email, nomor kartu kredit, dll.). Sistem seperti toko online dan buletin yang memproses data pribadi tersebut sudah diwajibkan berdasarkan situasi hukum sebelumnya untuk menerapkan tindakan perlindungan yang sesuai. Siapa pun yang selama ini acuh tak acuh harus bertindak sekarang.
Peraturan baru ini kini melampaui bidang data pribadi dan memengaruhi hampir semua TI yang digunakan untuk menawarkan telemedia. Dalam kasus tertentu, startup mungkin perlu mengubah pusat data atau mencari mitra periklanan baru.