ABD Hazine Bakanlığı ve Finansal Hizmetler Sektörü Koordinasyon Konseyi (FSSCC), finansal kuruluşların güvenli bulut benimseme yolculuklarında rehberlik etmeyi amaçlayan kapsamlı bir kaynak paketi yayınladı.
Bu çıktılar, Mayıs 2023’te kurulan ABD Hazine Bakanlığı Bulut Yürütme Yönlendirme Grubu’nun (CESG) liderliğinde Finansal ve Bankacılık Bilgi Altyapısı Komitesi (FBIIC) ile FSSCC arasındaki bir yıllık iş birliğinin sonucudur.
CESG, Mali İstikrar Gözetim Konseyi’nin (FSOC) talimatıyla, Hazine’nin Finansal Hizmetler Sektörünün Bulut Hizmetlerini Benimsemesine ilişkin çığır açıcı raporunda belirlenen boşlukları gidermek amacıyla oluşturuldu.
Bu girişimin amacı, finans kuruluşlarına güvenli bulut benimseme ve operasyonları için etkili uygulamalar sunmak ve belirlenen boşlukları gidermek için sürekli bir çaba oluşturmaktır.
ABD Hazine Bakanlığı’nın Temel Sonuçları ve Hedefleri
Yayımlanan belgeler birkaç temel alanı hedef alıyor:
- Ortak Sözlük Geliştirme:Finansal kurumlar ve düzenleyicilerin bulut hizmetleriyle ilgili tartışmalarda kullanabilecekleri standart bir terim seti oluşturmak.
- Gelişmiş Bilgi Paylaşımı: Bulut hizmet sağlayıcılarının sınavlarına yönelik koordinasyonun iyileştirilmesi.
- Gözetim Değerlendirmesi:Bulut servis sağlayıcılarını (CSP) denetlemek için mevcut otoritelerin değerlendirilmesi.
- Üçüncü Taraf Risk En İyi Uygulamaları:CSP’ler, dış kaynak kullanımı ve gerekli özeni gösterme süreçleriyle ilişkili riskleri yönetmek için en iyi uygulamaları geliştirmek.
- Bulut Benimseme Yol Haritası:Kapsamlı veya hibrit bulut benimseme stratejilerini düşünen finans kuruluşları için ayrıntılı bir yol haritası sağlamak.
- Tasarımla Güvenlik:Başından itibaren daha iyi güvenlik uygulamalarının sağlanması için bulut hizmetlerinin şeffaflığının ve izlenmesinin artırılması.
Hazine Bakan Yardımcısı Wally Adeyemo, “Bu iki çabanın tamamlanması, finansal sistemimizi daha fazla korumak için yaklaşık iki yıllık iş birliğinin doruk noktasıdır” dedi. “CESG artık kanıtlanmış bir model ve finansal hizmetler sektörünün en önemli siber güvenlik zorluklarımızı etkili bir şekilde ele alması için yeni bir yol.”
Tüketici Finansal Koruma Bürosu Müdürü Rohit Chopra, “Finansal sistemimiz tüm ekonomi için olmazsa olmaz bir altyapıdır ve bir avuç güçlü Büyük Teknoloji bulut hizmeti sağlayıcısına derinden bağımlıdır,” dedi. “Çalışmamız, her ölçekteki finansal firma ile büyük bulut hizmeti sağlayıcıları arasındaki rekabeti eşitleyerek finans sektörünü kesintilerden ve bozulmalardan korumaya yardımcı olacak.”
“Bankalar ve diğer finansal hizmet şirketleri yeni teknolojilere uyum sağlamaları gerektiğini biliyorlar, ancak birçoğu bunu güvenli ve sağlam bir şekilde nasıl yapacakları konusunda emin değil,” dedi Para Birimi Denetçisi Michael J. Hsu. “Bugünkü yayınlar, her ölçekteki banka için bir yol haritası ve faydalı kaynaklar sağlayarak önemli bir adım ileri taşıyor. Bu belgeler ayrıca bulut hizmeti sağlayıcılarının güvenli ve dayanıklı bir finansal sistem sağlama sorumluluklarını da açıklıyor.”
PNC Financial Services Group Yönetim Kurulu Başkanı ve CEO’su Bill Demchak, “Bu belgeler, CESG’nin bulutu finansal hizmetler sektörü içinde ve dışında daha güvenli ve daha dayanıklı hale getirme çabasında önemli bir adımdır,” dedi. “Kamu ve özel sektör liderleri arasındaki güçlü ortaklık, gelişen tehditlere karşı savunmada daha bütünsel, iş birlikçi bir yaklaşım benimsememizi sağlıyor.”
İş Akışları ve Çıktılar
CESG modeli, ABD Hazine Bakanlığı, FBIIC, FSSCC ve CSP’ler arasında benzeri görülmemiş düzeyde bir kamu-özel sektör ortaklığı temsil eder. Aşağıdaki iş akışları FSSCC tarafından yönetilmiştir:
- Bulut Profili 2.0: FSSCC Cloud Profile Workstream ve Cyber Risk Institute (CRI) tarafından geliştirilen, her ölçekteki finansal kuruluş için bir bulut güvenliği uygulama planı. Bu çerçeve, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Siber Güvenlik Çerçevesi’ne dayanmaktadır.
- Finans Sektörü Bulut Dış Kaynak Kullanım Sorunları ve Hususları: Şeffaflık, kaynak boşlukları ve operasyonel riskleri ele alan bu belge, FSSCC Bulut Dış Kaynak Kullanım Sorunları ve Hususları Çalışma Akışı ve Amerikan Bankacılar Birliği (ABA) tarafından, Menkul Kıymetler Endüstrisi ve Finans Piyasaları Birliği’nin (SIFMA) desteğiyle ortaklaşa yazılmıştır.
- Daha İyi “Tasarıma Göre Güvenli” için Şeffaflık ve İzleme: Bu belge, FSSCC Şeffaflık ve Güvenli Tasarım İş Akışını İzleme ve Finansal Hizmetler Bilgi Paylaşımı ve Analiz Merkezi (FS-ISAC) tarafından geliştirilen bir hizmetler arası bağımlılık ve dayanıklılık modeli içermekte ve finansal kuruluşlar için temel güvenlik sonuçları ile basitleştirilmiş bulut yapılandırmaları önermektedir.
Ayrıca FBIIC şunların geliştirilmesine öncülük etti:
- Bulut Sözlüğü: Para Birimi Kontrol Ofisi (OCC) öncülüğünde, finansal kuruluşlar ve CSP’ler için bulut terminolojisini standartlaştıran temel bir belge.
- Koordineli Bilgi Paylaşımı ve Sınav Girişimi: Tüketici Finansal Koruma Bürosu (CFPB) öncülüğünde, CSP incelemesi ve bilgi paylaşımı için kurumlar arası koordinasyonun artırılması.
Gelecek planları
FBIIC ve FSSCC’nin ortak liderliği altında, ABD Hazine Bakanlığı ve FSSCC, yıl boyunca bulut siber olay müdahale koordinasyonu ve bulut yoğunlaşma riskiyle ilgili ek kaynaklar yayınlamayı planlıyor. Bu çabalar, CESG çıktılarını daha geniş düzenleyici, gözetim ve inceleme çerçevelerine entegre etmeyi ve böylece finans sektöründe bulut hizmetleri için paylaşılan sorumluluk modelini güçlendirmeyi amaçlıyor.