Bir sorununuz olduğunu kabul etmek, sorunu ciddi bir şekilde ele almanın ilk adımıdır. Beyaz Saray’ın yakın zamanda “Amerika’nın Siber Güvenliğini Güçlendirme” girişimini duyurmasının nedeni bu gibi görünüyor.
Duyuru metni, siber güvenlik hakkında daha önce okumuş olan herkesin defalarca duymuş olacağı birkaç ifade içeriyor: artan dayanıklılık, daha fazla farkındalık, fidye yazılımı saldırılarına karşı koyma – liste uzayıp gidiyor.
Siber güvenliğin ulus-devlet düzeyinde çözülebilecek bir şey olmadığı, hiçbir zaman olmadığı ve asla olmayacağı gerçeği de dahil olmak üzere metnin bazı yeni yönleri de var.
Beyaz Saray ayrıca bir çözüm olarak IoT uyarı etiketlerine dikkat çekti ve hepimize (ve hatırlatmaya ihtiyacımız var) siber güvenlik eğitiminin önemini hatırlattı. Hadi bir bakalım.
Uluslararası işbirliği kritik
Beyaz Saray’ın açıklamasının çok net bir şekilde ortaya koyduğu kilit nokta, tehdit aktörlerinin ceza almadan sınır ötesi faaliyet gösterebilmesi anlamında siber saldırıların asimetrik olduğudur. Bu arada, savunucular genellikle orantılı yanıtlara izin vermeyen yasal gereklilikler tarafından kısıtlanacaklardır.
Saldırganlar, evlerinde daha hafif düzenleyici ve yaptırım önlemlerine sahip oldukları için bir koruma duygusu hissederler ve hedefin ikamet ettiği ülkede yasalar ne kadar güçlü bir şekilde uygulanırsa uygulansın, gezegenin hemen hemen her yerinde çalışan sistemleri hedefleyebilirler.
Konu uluslararası düzeyde ele alınmadığı sürece, bulunan hiçbir çözüm yara bandından daha iyi olmayacaktır. Beyaz Saray girişimi, birçok durumda, NATO gibi uluslararası ortakların ve kuruluşların siber güvenlik alanında belirleyici bir rol oynayacağını doğru bir şekilde belirtiyor.
Bu ideal bir çözüm değil. Evet, birlikte çalışan uluslararası ortaklar, savunma alanını, sorunun boyutuna daha çok benzeyen bir boyuta genişletiyor. Bununla birlikte, bu hala sınırlı etkinliği olan bir patchwork çözümüdür.
İhtiyacımız olan şey, siber güvenlik yasasını gerçekten uygulayan küresel bir anlaşma gibi bir şey. Örneğin, uluslararası deniz hukukunun etkisini bir düşünün.
Bununla birlikte, tehdit aktörleri, metodolojiler ve yeni teknikler hakkında bilgi paylaşmak kuşkusuz herkesin yararınadır ve yeterince harekete geçirilirse yeni tehditlere daha hızlı yanıt verilmesini sağlayacaktır.
Siber güvenlik eğitimi önemini korumaya devam ediyor
Güçlendirme Amerika’nın Siber Güvenlik girişiminin bir başka ilginç yönü, siber güvenlik eğitimini artırmaya odaklanmasıdır. Sürekli ve acı bir şekilde farkında olduğumuz için, siber güvenlik bir teknoloji sorunu olmaktan çok, her şeyden önce bir insan sorunudur.
Siber güvenlik okuryazarlığını artırmak ve insanlara özel ve iş yaşamının tüm aşamalarında çevrimiçi ortamda nasıl güvenli davranacaklarının temellerini öğretmek, hem riski azaltmada hem de kaçınılmaz olarak meydana gelecek herhangi bir olayın etkisini azaltmada birleşik etkilere sahip olacaktır.
Örneğin, NIST tarafından desteklenen Ulusal Siber Güvenlik Eğitimi Girişimi’ni (NICE) ele alalım. Resmi bir çerçeve, düzenli etkinlikler ve bülten güncellemeleri ile güçlü bir çaba gösterir. Elbette hiçbir çözüm kusursuz değildir, ancak her girişimin kümülatif etkileri bir fark yaratacaktır.
IoT cihazları için risk etiketleri ne olacak?
IoT cihazları için yeni bir risk etiketi şeması etrafında sıcak bir tartışma var. Tüketici siber güvenlik etiketlerinin, gıda etiketlerinin içerikleri ve besin puanlarını listeleme şekline benzer şekilde, ifşa etme yolu olarak hareket etmesi amaçlanmıştır.
Ancak, tüketici siber güvenlik etiketinin ne kadar etkili olacağı konusunda jüri hala kararsız. Her zaman yeni güvenlik açıkları ortaya çıkıyor, bu nedenle Best Buy’da bir cihaz rafta otururken yarım yıl önce basılan bir etiketin ne kadar doğru olacağı tartışılır.
Ayrıca, yeterli uluslararası destek olmadan, etiketleme girişimi, tıpkı GDPR’nin yaptığı gibi, büyük olasılıkla parçalanmaya yol açacaktır – çünkü bazı web siteleri artık GDPR gereksinimlerine uymaya çalışmak yerine GDPR kapsamındaki bölgelerden gelen tüm ziyaretçileri engellemeyi seçmektedir.
Ayrıca bir etiketin saldırganlar için basitçe “alakart” bir menü olabileceği endişesi de var. Bir etiket, bir cihazın sahip olduğu tüm siber güvenlik önlemlerini açıkça belirtiyorsa, bir saldırganın işini kolaylaştırır çünkü işe yaramayacağı açık olan saldırı stratejilerini atlayarak zaman kazanabilirler.
Bu adım adım bir süreç
Tüketici siber güvenlik etiketi, herhangi bir ilerleme kaydetmenin genellikle zor olduğu bir ortamda doğru yönde atılmış bir adımdır. Doğru şekilde uygulanırsa, tüketici siber güvenlik etiketleri İnternet ve çeşitli ağlar genelinde güvenlik koşullarında genel bir iyileşmeye yol açabilir. Aynı şey, artan sayıda siber güvenlik eğitimi girişimi için de geçerli.
Ama dedikleri gibi, şeytan ayrıntıda gizlidir ve bunlar henüz açıklanmamıştır. Buradaki paket, ABD hükümetinin ülke vatandaşlarının ve işletmelerinin siber güvenlik krizini kontrol altına almasına yardımcı olmak için en azından biraz çaba sarf etmesidir.
Yeterli olacak mı? Muhtemelen hayır, ama biraz hareket, hiç hareket etmemekten iyidir.
Bu makale tarafından yazılmıştır ve sponsorluk TuxCarekurumsal düzeyde endüstri lideri Linux otomasyonu. TuxCare, geliştiriciler, BT güvenlik yöneticileri ve Linux sunucu yöneticileri siber güvenlik operasyonlarını uygun maliyetli bir şekilde geliştirmeyi ve basitleştirmeyi hedefliyor. TuxCare’in Linux çekirdeği canlı güvenlik düzeltme eki ve standart ve gelişmiş destek hizmetleri bir milyondan fazla üretim iş yükünün güvence altına alınmasına ve desteklenmesine yardımcı olur. ile bağlantıda kalmak için TuxCarebizi takip edin LinkedIn, heyecan, Facebookve Youtube.