Kuzey Dakota eyaletinin CISO’su olan Michael Gregg, ilk görevlerinden birinin eyaletin siyasi altyapısına risk ve sigorta hizmetleri sağlayan kar amacı gütmeyen bir kuruluş olan Kuzey Dakota Sigorta Rezerv Fonu (NDIRF) ile görüşmek olduğunu söylüyor. O zamanlar NDIRF, uç nokta tespit ve müdahale, antivirüs ve güvenlik farkındalığı eğitimini ilk kez uygulayan herhangi bir belediyeye, kuruma veya başka kuruluşa %4’lük bir sigorta indirimi sunuyordu.
Bu siber güvenlik kontrollerini uygulamak için hibelerden fon tahsis edilmesi, belediyeler, okullar, hastaneler ve diğer devlet kurumları ve tesisleri için siber sigorta maliyetlerini azaltacaktır. Bu, devletin uygulama maliyetlerini önden yüklerken uzun vadeli maliyet tasarrufu yaratmasına olanak tanır. Gregg, hibeler kuruduktan sonra ağır finansmana dayanmayan bir güvenlik sistemi kurmanın çok önemli olduğunu söylüyor.
Devletler, yerel kuruluşlarına ve vatandaşlarına güvenlik kaynakları sağlamak için yeni yöntemler araştırıyorlar. Yardımcı olmak için 2021 tarihli ABD Altyapı Yatırım ve İş Yasası (IIJA), Eyalet ve Yerel Siber Güvenlik Hibe Programını (SLCGP) oluşturdu. Bu yıllar SLCGP finansmanında 375 milyon dolar inovasyonu teşvik ediyor ve bugün 30’dan fazla eyalette siber güvenlik görev güçleri. Eyalet CISO’larının ve görev güçlerinin karşılaştığı zorluk, federal hibelerden daha uzun süre dayanacak uzun vadeli yükümlülüklere sahip altyapılar inşa etmek değil, fonlarını akıllıca kullanmaktır.
Eyaletler + Diğer Eyaletler
Gregg, İç Güvenlik Bakanlığı’ndan kaliteli tehdit istihbaratı aldığını ve Çok Durumlu Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC), diğer eyaletteki CISO’larla deneyimleri hakkında doğrudan konuşarak elde ettiği filtrelenmemiş verileri takdir ediyor. Bir telefon alıp başka bir eyaletteki CISO’larla konuşmanın daha hızlı olduğunu ve daha fazla eyleme geçirilebilir veri sağladığını söylüyor.
Connecticut eyaletinin CISO’su Jeff Brown da aynı fikirde. Connecticut, eyalet genelinde ücretsiz MS-ISAC araçlarından ve hizmetlerinden yararlanırken, Kötü Amaçlı Etki Alanı Engelleme ve Raporlama (MDBR) araçlarıCISA ve Akamai tarafından ortaklaşa geliştirilen Brown aynı zamanda meslektaşlarıyla doğrudan konuşmayı da seviyor. Eyalet içinde üretilen tehdit istihbaratını diğer CISO’larla paylaşır ve elde eder.
Brown, “Çapraz işbirliği inanılmaz derecede iyi” diyor. Ticari ISAC’lardan farklı olarak finansal hizmetler ISACMS-ISAC üyeleri birbirleriyle rekabet halinde değildir. “Neyin işe yarayıp neyin yaramadığını birbirimizle çok ama çok samimi bir şekilde paylaşabiliriz. Ve bunu çok fazla sterilize etmemize de gerek yok.”
Eyaletin CISO’su olarak Brown, belediyeleri ve diğer yerel ve bölgesel hükümet organlarını belirli güvenlik önlemleri almaya zorlama yetkisine sahip olmadığını belirtiyor. Bununla birlikte, çoğu kırsal alanlarda olmak üzere eyaletteki birçok kuruluşa destek, araç ve rehberlik sunarak, sonuçta önemli kaynakların ve operasyonların güvenliğinin sağlanmasına yardımcı olacak siber güvenlik iyileştirmelerini kolaylaştırabilir.
Brown, eyaletin CISO ofisinin çeşitli toplulukların veya yerel kuruluşların ortamlarına erişimi bulunmadığından bu grupların kendi BT işlerini yapması gerektiğini söylüyor. “Bunu ne kadar kolaylaştırırsak, sürtüşmeleri de o kadar ortadan kaldırabilir ve hizmetlerin evet demesini kolaylaştırabiliriz [to]”Topluluklar ne kadar güvende olursa” diyor.
Devletler + Satıcılar
“Siber güvenlik bir takım sporudur” [that] Açık Sistemler Güvenlik Evangelisti Craig Harber şöyle diyor: “Kamu sektörü ve özel sektör arasındaki operasyonel stratejiler konusunda yenilikçi yaklaşımlar ve işbirliği gerekiyor.” özel sektör, kamu sektörü tarafından sağlanan tavsiyelerden, kaynaklardan ve potansiyel ve mevcut tehditlere ilişkin bildirimlerden yararlanacaktır.”
Bu ittifaka yardımcı olmak amacıyla Minnesota, yerel operasyonlara güvenlik araçları sağlamak amacıyla satıcılarla anlaşmalar yapıyor. federal hibe finansmanı Protiviti danışmanlık firmasının genel müdürü Michael Porier, daha ileri gidin diyor. Bu anlaşmaların devletlere, daha küçük devlet kurumlarının başka türlü sahip olamayacakları araçları sağlamasına olanak tanıdığını söylüyor.
Devletin sağladığı araçları kullanma zorunluluğu yok ama belediyeler bunları ücretsiz ya da çok indirimli fiyatlarla alıyor. Porier, devlet-tedarikçi ilişkisinin bir diğer faydasının da, araçların birlikte iyi çalıştıklarından emin olmak için incelenmesi olduğunu, böylece topluluğun çok pahalı entegrasyon gerektiren bir ürün koleksiyonuyla sonuçlanmayacağını belirtiyor.
Eyaletler + Personel
Kamu sektörü için önemli bir sorun, benzer özel sektör pozisyonlarında alacaklarından daha az para almaya istekli eğitimli personel bulmaktır. Porier, “Eğer sadece temel engelleme ve müdahale işlemlerini iyi bir şekilde yapabilselerdi, mevcut temel tehditlerin %90’ını karşılayabilirlerdi” diyor.
Qualys’in CISO’su ve güvenlik çözümleri mimarisinden sorumlu kıdemli başkan yardımcısı Jonathan Trull, yetenek açığını kapatmak için Colorado eyalet yetkilileri ve eyaletin siber güvenlik görev gücüyle birlikte çalıştı. Devletin kullandığı taktiklerden biri, geleneksel olmayan siber yetenekleri yerel kuruluşlardan birine yerleştirmeye yardımcı olmak için işe almak ve eğitmek için programlar geliştirmekti.
Trull, “Eyalette ortaklık kurabileceğimiz eğitim kampları vardı; örneğin birisini ordudan alırdık ve dört yıl daha üniversiteye gitmek yerine temel becerileri bir eğitim kampından alabilirdik.” Trull diyor. “Daha sonra yerel yönetimdeki bağlantılarımıza ulaşıp onlara ilk işini arayan harika bir ağ mühendisimiz olduğunu bildirirdik.
“Bu adaylardan bazılarına altı aylık pratik deneyim kazanmalarına yardımcı olmak için eyalette staj bile teklif ettik” diye devam ediyor. “Eyalette mevcut bir iş olmasaydı, katılımcı ilçe veya hükümetlerden birinde bir rol aramaya çalışırdık. Bu, yapabileceğiniz en etkili şeylerden biri.”