Bulut Güvenliği, Güvenlik Operasyonları
Kural, ABD IaaS Sağlayıcılarının Kötü Amaçlı Yabancı Kullanımını Önlemeye Yönelik Bir Tekliftir
Chris Riotta (@chrisriotta) •
30 Ocak 2024
Bulut sağlayıcıları hükümete, yabancı müşterilerin kimliklerini doğrulamalarını gerektiren bir düzenleme teklifinden pek memnun olmadıklarını, ancak şikayetlerinin ABD Ticaret Bakanlığı’nın bu kuralı uygulamaya devam etmesini engellemesinin pek olası olmadığını söyledi.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Ticaret Bakanlığı Pazartesi günü, hizmet olarak altyapı sağlayıcılarına, yeni veri saklama ve kayıt tutma gerekliliklerini içeren bir “müşterinizi tanıyın” programını uygulamaya çağıran bir teklif yayınladı. Teklif, o zamanki Başkan Donald Trump’ın görevdeki son saatlerinde imzaladığı idari emirden kaynaklanıyor.
Bakanlık, Eylül 2021’de yayınlanan önerilen kural koymaya ilişkin ön bildirimdeki yorumlara ilişkin analizinde, “Yorum yapanların çoğu, önerilen bu düzenlemedeki herhangi bir gereksinimin ABD IaaS sağlayıcılarına yük getireceğini belirtti.” dedi.
Commerce’in yanıtı, “bu kural koymanın en azından bazı ABD IaaS sağlayıcıları için uyumluluk maliyetleri getireceğini kabul ettiği” şeklinde oldu. Bakanlık, kuralın 1.837 kadar IaaS sağlayıcısı ve satıcısını etkileyeceğini tahmin ediyor. Commerce, bir müşteri tanımlama programı geliştirmek, onu güncel tutmak ve doğruluğunu yıllık olarak onaylamak gibi unsurların toplu olarak şirketlere yıllık 170 milyon dolara kadar maliyet getirebileceğini söyledi.
Önerilen düzenleme aynı zamanda IaaS sağlayıcılarının, yabancı bir kişinin çevrimiçi kötü amaçlı faaliyetlerde potansiyel olarak kullanılabilecek yeteneklere sahip büyük bir yapay zeka modelini eğitmesine izin verecek bir işlemde olduklarında federal hükümete bildirimde bulunmalarını da gerektirecektir. Teklifte, Commerce’in daha sonra raporlama gerekliliğine hak kazanmak için bir AI modelinin sahip olması gereken teknik koşullar kümesini tanımlayacağı belirtiliyor (bkz.: Biden’ın Yapay Zeka Kararnamesi, 90 Gün Sonra).
Hükümet, yabancının siber saldırılarda kullanılmak üzere buluta erişim sattığını düşünmesi veya yabancının önemli sayıda saldırının yaşandığı bir bölgede bulunması durumunda IaaS sağlayıcılarının yabancılara hesap sağlamasını durduracağını söyledi. Uluslararası Acil Ekonomik Güçler Yasası olarak bilinen 1977 tarihli bir yasa, Beyaz Saray’a ulusal bir acil durum sırasında yapılan özel sektör işlemleri üzerinde yetki veriyor; Başkan Barack Obama, 2015 yılında siber güvenlik alanında bunun var olduğunu ilan etti.
Önde gelen bir IaaS sağlayıcısı olan IBM, e-postayla gönderilen bir açıklamada, şirketin siber güvenlik ve bulut politikası yöneticisi Mason Molesky’nin, yerel bulut ve yapay zeka altyapısının kötüye kullanımını azaltmaya yönelik önerilen kuralın “niyetlerini” desteklediğini söyledi.
“Ancak kurumsal bulut sağlayıcıları için istenmeyen sonuçlardan kaçınmak için daha fazla sektör katılımına ihtiyaç var” diye ekledi ve “ABD dışındaki müşteriler için veri gizliliği endişelerinin” ele alınması gerektiğini söyledi.
Kamuoyunun önerilen düzenlemelere ilişkin yorumlarını sunmak için 29 Nisan’a kadar süresi var.