SAN FRANCISCO – Ulusal Siber Direktör Vekili Kemba Walden Salı günü RSA Konferansı’nda gazetecilerle yaptığı bir tartışma sırasında, Beyaz Saray’ın bu yazın başlarında piyasaya sürmesi planlanan ulusal siber güvenlik stratejisinin uygulanmasına rehberlik edecek bir yol haritası hazırladığını söyledi.
İlkeler etrafında şekillenen strateji, 10 yıllık bir raf ömrüne sahip olacak şekilde geliştirildi. Walden, siber güvenliğin dinamik ve gelişen doğasının, yeni tehditler veya teknolojiler ortaya çıktıkça esneklik gerektirdiğini söyledi.
Walden, “Şeytan uygulama planlama sürecindedir,” dedi. “Hükümetin bir tür sosis fabrikasında, politika oluşturma sürecinde kimin neden sorumlu olduğu, kimin neden sorumlu olduğu gerçekten olacak.”
Şubat ayında selefi Chris Inglis’in emekli olmasının ardından oyunculuk pozisyonuna yükselen Walden, Mart ayı başlarında Beyaz Saray’ın ulusal siber güvenlik stratejisinin yayınlanmasının ardından ön planda ve merkezde yer aldı.
Herkesin dijital ekosistemde başarılı olmasını istiyor, ancak bu geniş manzaranın temellerinin güvenli ve emniyetli olduğundan emin olmak için aciliyet hissediyor.
“Politika kafalarımızı bir araya getirmeye ve politika oluşturmaya çalışsak bile, yine de bir şeyler yapabiliriz. Hâlâ araba kullanabiliriz,” dedi Walden.
“Ulusal Siber Direktör Ofisi’ndeki tüm yolculuğum, nasıl uçulacağını öğrenirken bir uçak yapmak ve ardından onu uçurmakla geçti. İşte böyle, ”dedi Walden.
Düzenleyici görünüm
Asgari siber güvenlik gereksinimlerini artırma çabaları da dahil olmak üzere düzenleme, federal hükümetin savunmayı güçlendirmek ve güvenlik sorumluluğunu teknoloji satıcılarına kaydırmak için kullanması gerekebilecek birçok kaldıraçtan biridir.
Bununla birlikte, düzenleme için yakın vadeli görünüm umut verici görünmüyor.
Walden, “Beyaz Saray’dan Kongre’ye kadar uzanan bir yazılım sorumluluğu rejimine şu anda hazır olduğumuzu düşünmüyorum” dedi.
Yazılım geliştiriciler, avukatlar ve Kongre üyeleri dahil olmak üzere paydaşlarla görüşmeler devam etmektedir.
Walden, Beyaz Saray’ın siber güvenlik hedeflerine karşı çıkan tek bir kişiyle tanışmadığını, ancak düzenlemedeki boşlukların nasıl ele alınacağı ve ulusal siber güvenlik stratejisinde ana hatları çizilen bazı değişikliklerin nasıl etkileneceği konusunda anlaşmazlıklar olabileceğini söyledi.
Walden, “Kongre’nin bizimle çalışmayacağından hiç endişe duymuyorum” dedi. “Bence makul beyinler bazı konularda fikir ayrılığına düşebilir, ancak ortak bir zeminde buluşabilir ve ilerleyebiliriz.”
Sorumluluğun teknoloji satıcılarına kaydırılması
Stratejinin en bariz ve belki de zorlayıcı bileşeni, güvenlik sorumluluğunu yazılım, donanım ve platform sağlayıcılarına yüklemeyi içerir.
Walden, sorumluluk değişimini zor ama gerekli olarak tanımlayarak, “Kolay kelimesi stratejide hiç yer almıyor,” dedi.
Walden, “Bunu yapmak için kongre desteğine ihtiyacımız olabilir,” dedi. “Cevaplara henüz sahip değilim, ancak bu noktada, yazılım sorumluluğunun sorumluluk değişimini teşvik etmek için kullanılması makul olan araçlardan biri olduğu konusunda ortak bir zemin var gibi görünüyor.”
Walden, Beyaz Saray, ONCD ve Siber Güvenlik ve Altyapı Güvenliği Teşkilatından gelen bu toplu baskının oybirliğiyle desteklenmediğini söyledi. Bazı sağlayıcılar, tasarım gereği güvenli ve varsayılan olarak güvenli ilkelerini geri itti.
“Midemiz yandı, [but] kimse hazırlıksız yakalanmadı, ”dedi Walden. “Bir süredir sınırlarda bunun hakkında konuşuyoruz.”
Walden’a göre, paydaşlarla görüşmeler Beyaz Saray’ın stratejiyi oluşturma çabalarının başlarında gerçekleşti.
Siber güvenlik yetkilileri ve Beyaz Saray, neyin gerekli olduğunu ve bu sorumluluk değişikliğini başarmak için ne kadar ileri gidebileceğini değerlendiriyor.
Büyük teknoloji tedarikçileri, ürünlerinde daha iyi güvenlik önceliklendirmek ve sağlamak için gerekenlere sahipken, daha küçük ekipler ve açık kaynak toplulukları ayak uydurmak için zorlanacak.
Walden, “Teknolojik yeniliklerimiz için açık kaynağın önemini anlıyorum ve bunu teşvik etmek istiyorum, ancak aynı zamanda insanları kalitesiz kodlardan korumak istiyorum” dedi.
Nihai hedef, büyüklüğünden bağımsız olarak aynı olsa da, büyük teknoloji şirketleri için güvenlik yükü muhtemelen daha fazla olacaktır.
Walden, “Mümkün olduğu kadar sert ve yukarı doğru itiyorum,” dedi. “Olabildiğince zincirin yukarısına doğru itmeye çalışıyorum. Farklı noktalarda duracak. Siz yükseldikçe, bir tür dereceli sorumluluklar dizisi olacak.
Walden’a göre, bazı satıcılar tarafından paylaşılan bu nüanslara ve endişelere rağmen, teknoloji endüstrisinin çoğu gemide ve çabayı destekliyor.
Walden, “Artık hepimiz bu yönde ilerliyoruz,” dedi. “Hepimiz benim bulunduğum ay için aynı durumda mıyız? Bazılarımız öyle ama bazılarımız yıldızlara indi.”