ABD’nin 2015 yılı siber güvenlik Bilgi Paylaşımı Yasası’na (CISA), Eylül ayı sonunda, uyum boşlukları ve son kullanıcı kuruluşlarına yönelik risk artan riskleri toplayarak Washington DC’deki Kongre aracılığıyla ilerliyor.
Şimdi CISA ile karışıklığı önlemek için – en azından CISA ile karışıklıktan kaçınmak için – Altyapı ve Hükümet (WIMWIG) Yasası için yaygın bilgi yönetimi olarak adlandırılan yedek mevzuat, Eylül ayının başında House İç Güvenlik Komitesi’ni geçti.
Temsilci Andrew Garbarino, “Sanayi sektörlerinden paydaşlar, 2015’in siber güvenlik bilgisi paylaşımı kanunundaki temel gizlilik ve sorumluluk korumalarını koruduğu için bu mevzuatı onayladılar, yasanın dilini gelişen tehdit manzarasını daha iyi ele almak için açıklığa kavuşturuyor ve özel sektör anlayışının düzgün bir şekilde yakalanmasını sağlıyor” dedi.
“Federal hükümetin en temel siber güvenlik araçlarından birinin önümüzdeki on yıl için alaka düzeyini ve etkinliğini sağlayamamak, sadece ağlarımızı değil, aynı zamanda anavatanın güvenliğini de tehdit edecektir” dedi.
Garbarino, “Bugünün Wimwig Yasası’nın hızlı ilerlemesi… Meclis İç Güvenlik Komitesi’nin ülkemizin siber güvenlik duruşunu artırma konusundaki iki taraflı taahhüdünün altını çiziyor” diye ekledi.
“Kongre her iki faturayı da Başkan Trump’ın masasına gecikmeden almalı.”
CISA 2015 nedir?
CISA 2015, kuruluşların tehdit istihbaratını ve diğer kritik siber güvenlik verilerini birbirleriyle ve hükümetle paylaşmaları için yasal koruma ve güvence altına alan bir Barack Obama dönemi yasasıdır.
Halcyon Güvenlik Fidye Yazılım Araştırma Merkezi kıdemli başkan yardımcısı Cynthia Kaiser ve yakın zamana kadar FBI’ın siber bölünmesinde siber politika, istihbarat ve araştırma müdür yardımcısı yardımcısı, CISA 2015’i, geçmişte olan siber saldırılara yardımcı olarak, geçmişteki siber saldırılara yardımcı olduğu için, geçmiş siber saldırılara yardımcı olduğunu söyledi, zamanında istihbarat sağlayarak yardımcı oldu, Siber suçluluğu hedefleyen operasyonlar.
Bu hafta Computer Weekly ile konuşan Kaiser, CISA 2015 yürürlüğe girdiğinde, insanların yasal yankılar korkusu olmadan siber zekayı paylaşmalarını sağlamak için korumaların olması gerektiğini kabul ettiğini söyledi.
Örneğin, CISA 2015 yerinde iken, aşağı yönlü müşterilerini etkileyen bir tedarik zinciri saldırısında tehlikeye atılan varsayımsal yönetilen bir hizmet sağlayıcı, kurban verilerini soruşturmanın bir parçası olarak FBI veya diğer kurumlara teslim etmekten sorumlu tutulmaktadır.
Kaiser, “FBI’daki insanlara her zaman söylediğim şey, sizi koruyamayız ve sizden haber almazsak başkalarını koruyamayız” dedi.
“Bir şirket doğru şeyi yapıyor ve gerçekleşen kötü niyetli bir siber kampanya hakkında bilgi vermek için federal hükümete geliyorsa, bunu yapmalarını sağlayan belirli korumaları var. [and] Bu, hükümete gelme riskini azaltır.
“Endüstriden endüstriye paylaşım için antitröst koruması sağladığı ikinci bir özellik var” diye ekledi. “Şimdi Halcyon Ransomware Araştırma Merkezi’ni çalıştırıyorum – farklı şirketlerin bir araya gelmesini ve siber zekayı birlikte paylaşmasını istiyoruz, ancak bunu yaparsak, ‘Hepiniz bir araya geliyorsanız, bu bir tekel’ diyebileceği bir potansiyeli olabilir. ‘
Küresel Siber İşbirliği için Potansiyel Tehdit
CISA 2015, milletvekillerinin etkili olup olmadığını tespit etmelerini sağlamak için 10 yıllık bir gün batımı maddesi ile yürürlüğe girdi ve Kaiser’e göre, kısmen federal hükümetin onu daha fazla özel veri toplamak için bir araç olarak kullanabileceği endişeleri nedeniyle.
İlk açıdan, bunun kesin bir başarı olduğunu söyledi ve neyse ki, Wimwig’i bitiş çizgisine almak için hem Demokratlar hem de Cumhuriyetçilerden güçlü iki partili destek olduğunu söyledi.
Ancak WIMWIG’in geçişi olmadığı için, CISA 2015’in yakında sona ermesi Washington’daki siber ve ulusal güvenlik uzmanları arasında önemli endişeler yaratmaya başlamıştı.
“Sahip olamayacağımız şey bu konuşmalar hala tahkim ve sonra [CISA 2015] 30 Eylül’de sona er, çünkü bir aylık bir geçmesi bile sorunlara neden olur ”dedi.
“İhlal danışmanlarının dışında olan avukatlarla konuştum ve bu eylem geçerse, federal hükümetle iletişim kurup vermeyeceklerini düşünürken şirketlere verdikleri tavsiyeyi değiştirmek zorunda kalacaklarını belirttiler” dedi.
Ancak ABD’nin sınırlarının ötesinde, eğer CISA 2015 süreklilik olmadan geçecek olsaydı, güvenlik sektörü dünya çapında etkileri görmeyi bekleyebilirdi, dedi Kaiser. Hemen hemen, CISA gibi federal ajanslardan çıkan zamanında tehdit bilgileri ve güncellemeleri hafifletmeye başlayacak ve bu muhtemelen ABD ve İngiliz yetkilileri tarafından ve Avustralya, Kanada ve Yeni Zelanda’daki karşı imzalanan Çin’in tuz tayfası için Ağustos Tuz Tayfası gibi bültenler anlamına gelebilir.
Ayrıca, İngiltere’nin Ulusal Suç Ajansı’ndaki gibi cephe siber polislerinin siber suçlulara karşı etkili operasyonlar yürütme yeteneği de vurulurken, kullanıcı kuruluşları da kendi hükümetlerinden daha az bilgi sahibi oldukları için ABD’den daha az veri alıyorlar.
İkinci endişe, siber güvenlik tedarikçileri ve endüstriler arasındaki bilgi paylaşımının sıklığının ve kalitesinin antitröst ve diğer uyum ve sorumluluk endişelerine göre azalacağını söyledi.
Kaiser, “Hepimiz rakipiz, ama aynı zamanda özellikle siber tehdit istihbaratında da çok işbirlikçiyiz” dedi. “Son 10 yılda buna o kadar alıştık ki, şimdi nasıl iş yaptığımızı gerçekten destekliyor. Genel olarak, bu yeniden yetkilendirilmezse küresel olarak bilgi paylaşımının bozulacağını düşünüyorum.”
Karşılaştı Güncellemeler
Wimwig’in taslak versiyonu, olumlu olmak için çok şey içeriyor, dedi Kaiser. Önemli olarak, sorumluluk korumaları etrafında CISA 2015 tarafından biraz belirsiz bırakılan bazı alanları açıklığa kavuşturmaktadır.
“Bazıları daha kapsamlı, geniş bir okuma aldı ve bazıları daha dar okumalar aldı” dedi. “Geniş okuma bence insanların ve şirketlerin sahip olmasını istediğimiz, bu yüzden bu sorumluluk korumalarını açıklığa kavuşturmak ileriye doğru ilerleyen harika bir düzenleme.”
WIMWIG ayrıca, 2015’ten bu yana ilerlemiş APACE ve sivil özgürlükler ve gizlilik için korumaları korumak için prosedürel güncellemeleri olan yapay zeka (AI) gibi ortaya çıkan siber saldırı taktiklerini, teknikleri ve prosedürleri kapsayacak güncellenmiş tanımları da içerir.
Yasa ayrıca özel sektör kuruluşlarının-özellikle küçük ve orta ölçekli işletmeler-kritik altyapı operatörleri gibi risk altındaki kuruluşlar için bir kerelik okuma gibi mekanizmalar aracılığıyla daha fazla bilgi almasını sağlar; federal organları özel sektöre gönüllü olarak teknik yardım sağlamaya yönlendirir; ve güvenli AI kullanımını teşvik eder.
Aynı zamanda Kongre’nin Gözetim ve Etkinliğini Otomatik Gösterge Paylaşımı Programının-İç Güvenlik Bakanlığı tarafından geliştirilen gerçek zamanlı bir veri paylaşım yeteneği olanı geliştirir.