Mevzuat, güvenlik operasyonları, standartlar, düzenlemeler ve uyumluluk
Kongre, son tarihten önce siber tanımları modernize etme baskısı ile karşı karşıya
Chris Riotta (@Chrisriotta) •
24 Haziran 2025
Çok önemli bir siber güvenlik yasası, süresi dolmaktan sadece birkaç düzine çalışma kongre günüdür, endişeli analistlerin ABD federal tüzüğünün özel sektör bilgi paylaşımının süresinin dolabileceğini veya iyileşmeden yenilenebileceğinden endişe etmeleri.
CISA 2015 olarak aksi takdirde bilinen ve ülkenin siber ajansıyla karıştırılmaması gereken 2015 Siber Güvenlik Bilgi Paylaşımı Yasası 30 Eylül’de sona eriyor. Yasanın geniş iki taraflı desteği, özel sektörden güçlü bir desteği ve yenilenmesini ele alan Meclis Komitesi Başkanı Yeniden yetkilendirmeye “bu yıl en büyük öncelik”.
Bu, kamu sektörü siber güvenlik ve bilgi paylaşım analistlerine göre, yasanın mükemmel olduğu anlamına gelmez. Gelişen tehditler arasında savunmaları iyileştirmek için daha güçlü tanımlar, genişletilmiş sorumluluk korumaları ve daha net rehberlik ile güncellenmesi gerektiğini söylüyorlar. Ancak geri sayım, Kongre’nin, uzmanların hükümetin kritik altyapıya görünürlüğüne ciddi şekilde zarar verebileceği ve kamu-ön-sektör paylaşım anlaşmalarını zayıflatabileceği konusunda uyarılmadan önce herhangi bir prosedürel takma, müzakere aksaklıkları veya gecikmeleri planlama yapabilen bir yasa tasarısına girmesi için devam ediyor.
Eylül sonuna kadar bugünden itibaren uzanan 99 takvim gününden Meclis, 37 günde Senato, sadece 27’si üzerinde toplanacak. Bu süre zarfında Kongre, federal hükümeti açık tutmak ve Trump yönetiminden “bir güzel fatura eylemi” uzlaşma teklifiyle boğuşmak için harcama faturalarını da onaylamalıdır. Zaman sıkı.
Siber Güvenlik Politikası Merkezi Genel Müdürü Ari Schwartz, CISA 2015’teki bir atlamanın en büyük kısa vadeli etkisinin, birçok özel sektör kuruluşunun son on yılda oluşturulan bilgi paylaşımı anlaşmaları için yasal temelini yeniden değerlendirmesi gerektiğidir. Birçok kuruluş yasaya büyük ölçüde güvenir ve yokluğunda, yeni anlaşmalar hazırlanıncaya kadar paylaşımı durdurması gerekebilir – bazıları muhtemelen neyin ileriye dönük olarak paylaşılabileceğinin kapsamını kısıtlayacaktır.
Obama Beyaz Saray’ın eski en iyi siber güvenlik yetkilisi Schwartz, “Bu varlıklardan bazıları bilgi paylaşmayı tamamen bırakmak zorunda kalacak.” Dedi. “Bu sonuç bizi daha az güvenli hale getirecek.”
CISA 2015’in sorumluluk korumaları, gizlilik korumaları ve merkezi raporlama mekanizmaları, yasal riski azaltarak ve gerçek zamanlı işbirliği için bir çerçeveyi resmileştirerek son on yılda bilgi paylaşımının geliştirilmesine yardımcı oldu. Ancak siber güvenlik on yıldır durmadı. Teknoloji politikası ve siber güvenlik uzmanları, yakın zamanda yapılan bir House Inand Güvenlik Siber Alt Komitesi duruşması sırasında temel tanımları modernize etmek, sorumluluk korumalarını genişletmek ve yasal güvenli limanların güçlendirilmesi için çağrıda bulunmuştur.
Panelistler, yasanın yapay zeka manipülasyonu, dağıtım öncesi yazılım kurcalama gibi ortaya çıkan tehditleri ve operasyonel teknoloji ve Nesnelerin İnterneti cihazları gibi geleneksel olmayan hedeflere saldırılara yönelik yararlılığını sınırlayan modası geçmiş dile işaret ettiler.
Kongre, orijinal 2015 yasasının taslağını hazırlamaya yardımcı olan eski bir House çalışanı olan Diane Rinaldo, kamu ve özel sektörler arasında “daha geniş bilgi paylaşımını teşvik etmek için sorumluluk korumalarını genişletmeli ve açıklığa kavuşturmalı” dedi. Bilgi Teknolojisi Endüstrisi Konseyi’nde Güven, Veri ve Teknoloji Politikası Kıdemli Başkan Yardımcısı John Miller, milletvekillerini makine öğrenimi modellerine yönelik saldırılar, bozuk yazılım tedarik zincirleri ve IOT ve OT sistemleri gibi tartışma dışı cihazlar da dahil olmak üzere modern riskleri daha iyi yansıtmak için “siber tehdit göstergesi” ve “siber güvenlik tehdidi” gibi temel tanımları güncellemeye çağırdı.
Siber alt komite tasarının tam bir revizyonunu tercih ederse, yeniden yetkilendirme, AI’da paketleme çabaları ve oylamayı karmaşıklaştırabilecek tedarik zinciri güncellemelerinin yanı sıra gizlilik savunucularından, zemin planlama engellerinden ve diğer prosedürel gecikmelerden kaynaklanan tedarik zinciri güncellemeleri de dahil olmak üzere durabilir. Tasarının sektörler arası bilgi paylaşımını güçlendirmek için gereken güncellenmiş önlemlerden yoksunsa milletvekilleri temiz bir yenilemeye direnebilir.
Kamu sektöründeki siber güvenlik ekiplerine yapılan son kesintiler, şiddetli bir siber yetenek boşluğu ve federal bilgi paylaşım işbirliklerinde daha fazla kesintilerle daha da birleşebilir.
Siber Tehdit İttifakı başkanı ve CEO’su Michael Daniel, yasa geçerse, kuruluşların siber tehdit verilerini nasıl paylaştıkları ve bu paylaşıma bağlı yasal ve lojistik yükleri önemli ölçüde artırma konusunda yaygın bir belirsizlik yaratabilir.
Daniel, “Potansiyel olarak büyük tehdit aktörleri hakkındaki bilgileri ekosistem boyunca zamanında paylaşma yeteneğini kaybedebiliriz, çünkü şirketler aşırı derecede temkinli hale gelir.” Dedi.