Standartlar, Düzenlemeler ve Uyumluluk
Siber Savunma Ajansı, Çin Saldırılarına Karşı Korumayı Güçlendirmeyi Amaçlıyor
Chris Riotta (@chrisriotta) •
3 Ocak 2025
Çinli firmalarla kısıtlı toplu veri satan veya paylaşan Amerikalıların artık Pekin’in hassas, tanımlanabilir veya şifresi kolayca çözülebilen verilere erişimini engellemek için tasarlanmış katı siber güvenlik kurallarına uyması gerekiyor.
Ayrıca bakınız: Netskope HIPAA Haritalama Kılavuzunun Kullanımı
Siber Güvenlik ve Altyapı Koruma Ajansı, Adalet Bakanlığı’nın başta Çin olmak üzere Rusya ve Venezüella da dahil olmak üzere düşman ülkelere toplu ticari transferleri kısıtlayan bir düzenlemeyi tamamlamasından birkaç gün sonra toplu veri koruması için nihai bir kuralı Cuma günü yayınladı (bkz.: ABD, Çin’e Toplu Veri Satışını Kısıtlayan Kuralını Sonlandırdı).
Yeni siber güvenlik gereklilikleri, sınırlı işlemlerde bulunan ABD’li bireylere, sistem varlıklarının düzenli olarak güncellenen envanterlerini tutma, olay müdahale planları geliştirme, kapsam dahilindeki sistemler için günlükleri toplama ve yetkisiz donanımın kapsam dahilindeki varlıklara bağlanmamasını sağlamak için süreçleri uygulama görevini veriyor.
Nihai kural, kapsanan sistemleri, hassas verileri “toplu olarak” işleyen sistemlerle sınırlandırıyor; toplu etkileşim olmadan öncelikli olarak bireysel kullanıcı verilerine erişen veya görüntüleyen sistemleri hariç tutuyor. Ajans ayrıca, ulusal güvenliğin veya askeri tesislerin coğrafi konumunu içeren veriler veya mevcut veya yakın tarihli hükümet çalışanları ve yüklenicilerle bağlantılar içeren pazarlanan veriler gibi hükümetle ilgili verilerle etkileşime giren tüm sistemlerin kapsam dahilindeki sistemler olarak kabul edildiğini belirtti.
Kural, Başkan Joe Biden’ın Şubat ayındaki bir idari emrinden kaynaklanıyor ve düşman ülkelerin Amerikalıların toplu hassas kişisel verilerine erişimini ulusal güvenlik endişesi olarak nitelendiriyor. Verilerin silah haline getirilmesiyle ilgili endişeler, makine öğrenimi ve yapay zekanın yükselişiyle birlikte arttı; ayrıca Pekin’in Amerikalılar hakkında mümkün olduğu kadar çok toplu veriyi hackleme veya satın alma konusunda on yılı aşkın süredir devam eden ilgisi (bkz.: Biden Yönetici Emri Çin’e Toplu Veri Transferini Hedefliyor).
Nihai CISA kuralı, daha önceki bir taslaktan bazı revizyonlar, ağ görünürlüğüne ilişkin yumuşatılmış gereksinimler, zorunlu donanım yazılımı güncellemeleri gereksiniminin kaldırılması ve erişim iptali zaman çizelgelerinin “hemen” yerine “derhal” olarak ayarlanması gibi uyumu kolaylaştırmayı amaçlayan değişiklikler içerir. Ajans, güvenlik gerekliliklerini “düzenleme yükünü, teknik fizibiliteyi ve esnekliği temel ulusal güvenlik ihtiyaçları ile dengelemek amacıyla” oluşturduğunu söyledi.
CISA ayrıca kuruluşların internete yönelik sistemlerde istismar edilen bilinen güvenlik açıklarını risk bazlı bir strateji aracılığıyla ele almasını, kritik varlıklara öncelik vermesini ve 45 gün içinde iyileştirmeyi garanti etmesini gerektiren yeni bir yaklaşım benimsediğini söyledi.
Siber savunma kurumu, çok faktörlü kimlik doğrulaması olmayan sistemler için minimum karakter sayısını 16’dan 15’e düşürerek şifre kuralını revize etti. OT varlıklarının kapsam dahilindeki verileri barındırma ihtimalinin düşük olduğunu belirterek ve BT sistemleri için güçlü şifreleri vurgulayarak daha fazla indirimi reddetti.
Nihai kurallar, Hazine Bakanlığı’nın yaptırımlar ofisinin yakın zamanda ihlal edilmesi ve ülke çapında en az dokuz telekomünikasyon firmasının hacklenmesi de dahil olmak üzere ABD’nin kritik altyapısını ve federal kurumlarını hedef alan yüksek profilli Çin bağlantılı siber saldırı dalgasının ortasında geldi.
CISA ve Adalet Bakanlığı yorum taleplerine hemen yanıt vermedi.