Yapay Zeka ve Makine Öğrenimi , COVID-19 , Kritik Altyapı Güvenliği
Odak Kritik Altyapı Güvenliğini, Güvenli Yazılım Geliştirmeyi İçerir
Mathew J. Schwartz (euroinfosec) •
2 Mart 2023
Beyaz Saray Perşembe günü Biden yönetiminin uzun zamandır beklenen ulusal siber güvenlik stratejisini açıkladı.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Strateji, ABD’nin karşı karşıya olduğu zorlukları ve tehditleri ve bunlara yönelik öncelikleri detaylandırıyor.
Başkan Joe Biden yazılı girişinde, “Siber güvenlik, ekonomimizin temel işleyişi, kritik altyapımızın işletilmesi, demokrasimizin ve demokratik kurumlarımızın gücü, verilerimizin ve iletişimimizin gizliliği ve ulusal savunmamız için çok önemlidir.” dedi. stratejiye.
Strateji tarafından getirilen önemli bir yeni değişiklik, kritik altyapı sektörlerindeki kuruluşların, beklendiği gibi, belirli temel siber güvenlik gereksinimlerini karşılaması gerekeceğidir. Buna ek olarak yönetim, ticari satıcıların ve yazılım ve donanım üreticilerinin, en azından güvenli geliştirme uygulamaları yoluyla, mallarını güvende tutma konusunda çok daha fazla sorumluluk almalarını istiyor.
Biden, “Siber güvenlik sorumluluğunun çok büyük bir kısmı bireysel kullanıcılara ve küçük kuruluşlara düştü” diyor.
Ulusal Siber Güvenlik Stratejisi: 5 Sütun
Yeni strateji, Trump yönetimi tarafından yayınlanan 2018 ulusal siber stratejisinin yerini alıyor.
Ulusal Siber Direktör Vekili Kemba Walden, yeni strateji hakkında bir brifingde, “Bu strateji endüstriden daha fazlasını istiyor, ancak aynı zamanda federal hükümetten daha fazlasını taahhüt ediyor” dedi. “Endüstri ile ilgili olarak, kamu güvenliğini ve siber güvenliği iyileştirmek için hedeflenen ve dar düzenlemelerin gerekli olduğu durumlarda boşlukları belirleyeceğiz ve mevcut yetkililerdeki yükleri azaltacağız.”
Yeni stratejinin beş ayağı var:
- Kritik altyapıyı savun: Strateji, tüm kritik altyapı sektörlerindeki kuruluşlar için minimum siber güvenlik gereksinimlerini belirlerken, aynı zamanda kamu-özel işbirliğini genişletmeye ve federal ağları modernize etmeye çalışacak.
- Tehdit aktörlerini hedefleyin ve engelleyin: Yönetim, kötü niyetli aktörleri hedef almak için “ulusal gücün tüm araçlarını” kullanacağına söz verdi ve daha fazla özel sektör uzmanlığı getirmeye ve “uluslararası ortaklarımızla aynı doğrultuda” fidye yazılımlarını hedeflemeye devam etme sözü verdi.
- Güvenliği ve dayanıklılığı artırmak için piyasa güçlerini kullanın: İdare, veri sahiplerini daha iyi güvence altına almaya yönlendirmek için “kişisel verilerin gizliliğini ve güvenliğini teşvik etmeye” daha fazla odaklanmak istiyor ve ticari geliştiricilerin ve yazılım ve donanım satıcılarının, kabul görmüş güvenlik geliştirme uygulamalarını kullanmadıkları takdirde sorumlu tutulmalarını istiyor.
- Esnekliğe yatırım yapın: Strateji, temel teknolojideki güvenlik açıklarını azaltma, “post-kuantum şifreleme, dijital kimlik çözümleri ve temiz enerji altyapısı” gibi gelişmekte olan teknolojiler için araştırma ve geliştirmeye öncelik vermenin yanı sıra ülkenin siber iş gücünün boyutunu genişletme ihtiyacını vurguluyor.
- Uluslararası ortaklıkları geliştirin: Stratejiye göre, “sorumlu devlet davranışını” ve müttefiklerin kendi siber güvenlik direncini ve tedarik zinciri güvenliğini teşvik etmek ve “sorumsuz davranış” sergileyen ülkelere maliyet yüklemeye çalışmak bir hedef olmaya devam ediyor.
Zorluklar ve Riskler
Stratejide belirtildiği gibi, özellikle COVID-19 salgını, dijital bağlantının toplumun güvenli ve güvenli işleyişi üzerinde her zamankinden daha büyük bir etkiye sahip olduğunu gösterdi.
Ancak zorluklar çoktur. Yapay zeka ve kuantum bilgi işlemin yükselişi gibi teknolojideki gelişmeler, artı sistemlerin ve tedarik zincirlerinin birbirine daha fazla bağlanması ve gelişmiş operasyonel teknolojinin yaygın olarak benimsenmesi, sistemleri ve verileri güvenli hale getirme ve koruma girişimlerini karmaşık hale getiriyor.
Strateji, jeopolitik cephede, özellikle Çin’in siber operasyonlarının ve ekonomik casusluğunun ABD ulusal çıkarları için oluşturduğu riske dikkat çekiyor. Bu arada, çoğu Rusya gibi güvenli limanlardan kaynaklanan siber suçlar ve özellikle fidye yazılımları her yıl milyarlarca dolarlık zarara neden oluyor.
Bu sorunları ele almak için, yeni ulusal siber güvenlik stratejisi, yönetimin ulusal siber güvenliği iyileştirmeye, kritik altyapı kontrol sistemlerini güvence altına almaya ve ABD hükümetinin sıfır güven ilkelerini ve kriptografik sistemleri benimsemesini sağlamaya odaklanan yürütme emirleri dahil olmak üzere önceki çabalarına dayanmaktadır. Kuantum hesaplamadaki gelişmelere direnmek.
Beyaz Saray, “Bu çabaları genişleten strateji, siber uzayın kendi amacı için değil, en yüksek özlemlerimizi gerçekleştirmek için bir araç olarak var olduğunu kabul ediyor” dedi.
Uygulama Devam Ediyor
Yeni strateji, Beyaz Saray’ın Ulusal Siber Direktör Ofisi tarafından koordine ediliyor ve yetkililer, uygulamanın halihazırda devam ettiğini söylüyor. Örneğin, boru hatları ve demiryollarının temel siber güvenlik standartlarını karşılaması zaten zorunluydu ve Çevre Koruma Ajansı yakında su sektöründen de aynısını talep etmeye başlayacak.
İsminin açıklanmaması koşuluyla konuşan üst düzey bir yönetim yetkilisi, “Su tesisi sahipleri ve operatörleri, içme suyu güvenliği konularına ve ekipmanına baktıkları düzenli sıhhi araştırma programlarına bazı siber güvenlik unsurlarını dahil etmek zorunda kalacaklar” dedi.
Yetkili, bunun EPA tarafından kullanılan yeni bir güç olmadığını, bunun yerine yakında yürürlüğe girecek olan “mevcut bir otoriteye ek unsurlar ekleyen bir yorum” olduğunu söyledi. Bu, yönetimin siber güvenlikte “boşlukları kapatmanın yollarını” aramasıyla, bugün isteğe bağlı olabilecek asgari gereksinimleri zorunlu kılmak da dahil olmak üzere, diğer sektörler için bir model olacak.
Yetkili, “Belirlediğimiz çıta yüksek bir çıta değil, gerçekten sadece mal sahiplerinin ve operatörlerin temelleri yapmalarını umuyoruz” dedi (bakınız: Birleşik Krallık Siber Şefi, Temel Bilgilerin Çoğu Fidye Yazılımı Saldırısını Engelleyeceğini Söyledi).
Yetkililer, stratejide ifade edilen tüm hedeflere kısa vadede ulaşılamayacağını kabul ediyor. Üst düzey yönetim yetkilisi, özellikle, “sorumluluğun değiştirilmesini uzun vadeli bir süreç olarak görüyoruz” dedi. “Bu stratejiyi düşündüğümüzde, on yılı geride bırakıyoruz.” Öngörüldüğü gibi, yeni yaklaşım, Kongre’nin endüstri tanımlı güvenli yazılım geliştirme en iyi uygulamalarını benimseyen kuruluşlar için bir “sorumluluk kalkanı” oluşturmasını sağlayacaktır (bkz.: ABD Yetkilisi Sektörü Kötü Siber Güvenlikle Suçladı).
Hedef: Siber suç
İdarenin siber suçları engellemeye yönelik ileri düzeydeki çabaları da halihazırda devam etmektedir. Siber ve Gelişen Teknolojiden Sorumlu Ulusal Güvenlik Danışman Yardımcısı Anne Neuberger, “Tehdit aktörlerini bozmaya ve tasfiye etmeye odaklanmaya devam ettikçe, fidye yazılımlarının yalnızca suç teşkil eden bir meydan okuma olmaktan ziyade ulusal güvenlik için bir tehdit olduğunu ilan ederek fidye yazılımları üzerindeki çalışmalarımızı artırıyoruz” dedi. , yeni strateji hakkında bir brifingde konuşuyor.
Beyaz Saray, başkanın siber suçları engellemek için kullanabileceği “ulusal güç” seçeneklerinin arasında diplomasi, kolluk kuvvetleri, istihbarat, ekonomik ve finansal araçların yanı sıra askeri yetenekler olduğunu söylüyor. Bununla birlikte, pek çok suçlu Rusya gibi “güvenli limanlardan” faaliyet göstermeye devam ettiğinden, Beyaz Saray, suçluların hayatlarını olabildiğince karmaşık hale getirmek için Dışişleri Bakanlığı’nın Adalet için Ödül programı gibi ek stratejiler kullandığını söylüyor.
Üst düzey bir yönetim yetkilisi, “İnsanların cezasız bir şekilde kötü niyetli siber faaliyetler yürütebileceği, onlara baskı uygulayabileceği ve hayatlarını biraz daha az zevkli hale getirebileceği Dünya’yı küçültmek istiyoruz” dedi. “Eğer bir suçlu Rusya’da yaşamakla sınırlıysa ve sınırları terk edemiyorsa, bu belki biraz caydırıcı bir etki yaratabilir.”