Taahhüt, şirketlerin hedeflere nasıl ulaşabileceklerine dair örnekler sunuyor ancak şirketlerin bunu “en iyi nasıl gerçekleştireceklerine karar verme takdirine sahip olduğunu” belirtiyor. Belge aynı zamanda şirketlerin hedeflerinde “ölçülebilir ilerleme” gösterdiğini ve “başkalarının öğrenebilmesi için” tekniklerini belgelemesinin önemini de vurguluyor.
Goldstein’a göre CISA, bir yandan ajansın hedeflerine ulaşırken bir yandan da onlar için neyin mümkün olabileceğini anlamak amacıyla teknoloji şirketleriyle istişarede bulunarak taahhüdü geliştirdi. Bu, taahhütlerin yalnızca Silikon Vadisi devleri için değil, her büyüklükteki şirket için uygulanabilir olmasını sağlamak anlamına geliyordu.
Teknoloji sektörü yetkilisine göre, ajans başlangıçta şirketleri taahhüdü imzalamaya teşvik etmek için Ortak Siber Savunma İşbirliği’ni kullanmayı denedi ancak şirketler operasyonel bir siber savunma işbirliği grubunun kullanımını “bir politika ve yasal sorun” nedeniyle sorguladığında bu durum geri tepti. yetkili diyor.
Yetkili, “Sektör, taahhüt almak için JCDC’yi kullanmaya çalışmaktan duyduğu hayal kırıklığını dile getirdi” dedi ve CISA “akıllıca bu çabayı geri çekti.”
CISA daha sonra Bilgi Teknolojileri Sektörü Koordinasyon Konseyi aracılığıyla şirketlerle görüşmelerde bulundu ve onların geri bildirimlerine göre taahhütte ayarlamalar yaptı. Sektör yetkilisine göre, başlangıçta taahhüt yediden fazla hedef içeriyordu ve CISA, imzacıların ilerlemeyi göstermek için “sağlam ölçümler” taahhüt etmelerini istiyordu. Bu kişi, sonuçta CISA’nın birçok hedefi ortadan kaldırdığını ve ilerlemeyi ölçme konusunda “dili genişlettiğini” söylüyor.
Büyük bir endüstri ticaret grubu olan Bilgi Teknolojileri İnovasyon Konseyi’nin politika, güven, veri ve teknolojiden sorumlu kıdemli başkan yardımcısı John Miller, değişimin akıllıca olduğunu çünkü çok faktörlü kimlik doğrulamayı kullanan kullanıcı sayısı gibi somut ilerleme ölçümlerinin olduğunu söylüyor. “kolaylıkla yanlış anlaşılabilir.”
Goldstein, taahhüt imzalayanların sayısının bu noktada “nerede olacağımıza dair beklentilerimi aştığını” söylüyor. Sektör yetkilisi, kısmen satıcıların CISA’nın RSA’daki lansman etkinliğinden sonra “imzalama seçeneğini açık tutmak” istemesi nedeniyle taahhüdü imzalamayı kesin olarak reddeden herhangi bir şirketten haberdar olmadıklarını söyledi. “Herkes bir nevi bekle-gör modunda.”
Yasal sorumluluk, potansiyel imza sahibi şirketler için en önemli endişe kaynağıdır. Miller şöyle diyor: “Eğer kaçınılmaz olarak bir tür güvenlik olayı meydana gelirse,” [a] şirket kamuya açık olarak davalarda kullanılabileceğini söyledi.
Bununla birlikte Miller, katı yeni Avrupa güvenlik gereksinimleriyle karşı karşıya olan bazı küresel şirketlerin, zaten yapmak zorunda oldukları bir şey için ABD’nin “krediyi alma” taahhüdünü imzalayacaklarını öngörüyor.
CISA’nın Tasarım Yoluyla Güvenli kampanyası, Biden yönetiminin, yönetimin Ulusal Siber Güvenlik Stratejisinin temel teması olan siber güvenliğin yükünü kullanıcılardan satıcılara kaydırmaya yönelik iddialı planının merkezini oluşturuyor. Kurumsal siber sorumluluğa yönelik baskı, Microsoft, SolarWinds, Kaseya ve Change Healthcare gibi kritik yazılım üreticilerine yönelik yıllardır süren yıkıcı tedarik zinciri saldırılarının yanı sıra okullara, hastanelere ve hastanelere yönelik fidye yazılımı saldırılarına güç veren yaygın yazılım açıklarının giderek artan bir listesinin ardından geliyor. diğer temel hizmetler. Beyaz Saray yetkilileri, maliyetli ve çoğu zaman önlenebilir ihlallerin, kurumsal hesap verebilirliğin arttırılması ihtiyacını gösterdiğini söylüyor.