ABD hükümetinin uzun süreli bir kapanmaya girmesiyle Eylül ayının sonunda geçerliliğini yitirmesine izin verilen, Obama dönemi siber güvenlik istihbarat paylaşım yasası olan 2015 ABD Siber Güvenlik Bilgi Paylaşım Yasası (CISA), federal hükümeti yeniden açmaya yönelik devam eden kararın bir parçası olarak yeni bir yaşam kirası alacak.
Washington DC’deki politikacılar bu hafta, yüz binlerce federal işçinin ücretsiz çalışmasına, Amerika’nın milli parklarının kapatılmasına ve gezginler için kaosa neden olan kapatmanın sona erdirilmesi konusunda geçici ilerleme kaydediyor.
10 Kasım Pazartesi günü ABD Senatosu’nda onaylanan anlaşmanın bir parçası olarak CISA, en azından 30 Ocak 2026’ya kadar geçici olarak yeniden devreye girecek, ancak söz konusu tasarının hâlâ Kongre’deki alt Temsilciler Meclisi’nden geçmesi gerekiyor ve burada daha fazla zorlukla karşı karşıya kalabilir.
Demokrasileri Savunma Vakfı (FDD) düşünce kuruluşunun Siber ve Teknoloji Yenilik Merkezi’nde (CCTI) kıdemli politika analisti Jiwon Ma, uzatmanın CISA 2015’in yanı sıra Eyalet ve Yerel Siber Güvenlik Hibe Programının (SLCGP) uzun vadeli yeniden yetkilendirmesini tamamlamak için zaman kazanacağını söyledi.
“Kongrenin, CISA 2015 ve SLCGP’ye uzun vadeli istikrarı yeniden tesis edip etmeyeceğine veya siber savunmamızı zayıflatan kısa vadeli yamalar döngüsünü sürdürüp sürdürmeyeceğine karar vermek için artık 90 günden az bir süresi var” dedi.
Ma, “Uzatma, her iki programı da modernize etmek için bir fırsat olarak değerlendirilmelidir – ve Meclis’te tam da bunu yapmak için beklemede olan bir yasa var” diye ekledi Ma. “Kongre, sorumluluk korumalarını güncelleyerek, veri işleme standartlarını açıklığa kavuşturarak ve çoğunlukla resmi bilgi paylaşım ağlarının dışında kalan küçük ve kırsal kritik altyapı sahiplerinin ve operatörlerinin katılımını genişleterek CISA 2015’i güçlendirebilir.”
Exabeam bilgi güvenliği sorumlusu (CISO) Kevin Kirkwood, CISA 2015’in yenilenmesini DC kanun koyucularının “iyi bir fikri kötü bir alışkanlığa dönüştürmesinin” klasik bir örneği olarak nitelendirdi ve halefinin nasıl görünmesi gerektiği konusunda yeniden düşünme çağrısında bulundu.
“CISA, özünde, günümüzün tehdit ortamında kesinlikle önemli olan tehdit istihbaratının gönüllü paylaşımını teşvik ederek özel sektör ile hükümet arasındaki işbirliğini geliştirmeyi amaçladı. Ancak asıl değer, sunduğu yasal kalkanlardan geldi: sorumluluk korumaları, rekabet muafiyetleri ve FOIA [Freedom of Information Act] bağışıklık. Teşvik buydu ve işe yaradı. Sorun paylaşımda değil, federal kurumların ‘siber güvenlik koordinasyonu’ başlığı altında ayak izlerini genişletmeleriyle ortaya çıkan kaçınılmaz şişkinlik” dedi.
“Yasanın kısa bir süreliğine geçerliliğini yitirdiğine ve Kongre’nin onu yeniden uygulamaya koymaya çalıştığına göre, sürüm 2.0’ın nasıl görünmesi gerektiğini yeniden düşünmenin zamanı geldi. İstihbarat akışını koruyan ancak merkezi bürokrasinin çekim kuvvetine direnen daha yalın, daha odaklı bir modele ihtiyacımız var.
Kirkwood, “Cevap, daha fazla komite, daha fazla evrak işi ya da ajanslara sorumluluk olmadan işleri “geliştirmek” için belirsiz yetkiler vermek değil, dedi. “Bu, hükümetin ekosistemi yönlendirmek yerine desteklediği, özel sektörü ön planda tutan bir mimari. Başka bir deyişle: sömürgeleştirme olmadan işbirliği.”
Kapatmanın siber veri paylaşımı üzerindeki etkisi bilinmiyor
Kapanma başlamadan önce siber uzmanlar, CISA 2015’in uzatılmadan veya değiştirilmeden sona ermesine izin verilmesi durumunda, yasal belirsizlik içinde kalan işletmelerin zamanında veri paylaşamamasından, FBI gibi ABD kurumlarının dahil olduğu çok uluslu kolluk kuvvetleri operasyonlarının kapasitesinin azalmasına kadar ciddi etkilerin olabileceği konusunda uyarmıştı.
Neyse ki, en kötü senaryo (ABD’nin çekirdek bir hükümet kurumunu etkileyen büyük bir ulus devlet siber saldırısı), kamuoyunun şu anda bildiği kadarıyla gerçekleşecek gibi görünmüyor.
Bununla birlikte, CISA 2015’in geçici olarak sona ermesinin gerçek etkisi bir süre daha netlik kazanmayabilir.