sonsuzda Siber güvenliği iyileştirmek ve dijital savunmalara yatırımı teşvik etmek için mücadele eden bazı uzmanların tartışmalı bir önerisi var. Şirketlerin bunu ciddiye almasını sağlamanın tek yolunun, ürünlerini ve altyapılarını güvence altına almak için yeterli adımları atmadıkları takdirde onları yasal olarak sorumlu kılarak gerçek ekonomik teşvikler yaratmak olduğunu söylüyorlar. Herhangi birinin isteyeceği son şey daha fazla sorumluluktur, bu nedenle bu fikir hiçbir zaman popülarite kazanmadı, ancak Beyaz Saray’ın bu hafta ulusal siber güvenlik stratejisi konsepte önemli bir destek veriyor.
Uzun zamandır beklenen belge, kritik altyapı için daha güçlü siber güvenlik korumaları ve düzenlemeleri, siber suç faaliyetlerini bozmak için genişletilmiş bir program ve küresel işbirliğine odaklanma öneriyor. Bu önceliklerin birçoğu geniş çapta kabul görmektedir ve geçmiş ABD yönetimleri tarafından ortaya konan ulusal stratejiler üzerine inşa edilmiştir. Ancak Biden stratejisi, sorumluluk konusunda önemli ölçüde genişliyor.
“En gelişmiş yazılım güvenlik programlarının bile tüm güvenlik açıklarını önleyemeyeceğini kabul ederken, yazılımlarını güvence altına almak için makul önlemleri almayan kuruluşlara sorumluluğu devretmeye başlamalıyız” diyor. “Yazılım yapan şirketler yenilik yapma özgürlüğüne sahip olmalı, ancak aynı zamanda tüketicilere, işletmelere veya kritik altyapı sağlayıcılarına borçlu oldukları özen yükümlülüğünü yerine getirmediklerinde sorumlu tutulmalıdırlar.”
Stratejiyi duyurmak, Beyaz Saray’ın önceliklerini netleştirmenin bir yoludur, ancak tek başına bu, Kongre’nin belirli politikaları yürürlüğe koymak için yasa çıkaracağı anlamına gelmez. Belgenin yayınlanmasıyla birlikte Biden yönetimi, sorumlulukla nasıl daha iyi başa çıkılacağına dair tartışmayı teşvik etmeye ve bireysel olarak Amerikalılar için riskler hakkında farkındalık yaratmaya odaklanmış görünüyor.
“Bugün, kamu ve özel sektör genelinde, siber riskin sorumluluğunu aşağıya doğru devretme eğilimindeyiz. Bireylerden, küçük işletmelerden ve yerel yönetimlerden hepimizi savunmak için önemli bir yükü omuzlamalarını istiyoruz. Bu sadece haksızlık değil, etkisiz, ”dedi ulusal siber direktör vekili Kemba Walden Perşembe günü gazetecilere verdiği demeçte. “Dijital ekosistemimizdeki en büyük, en yetenekli ve en iyi konumdaki aktörler, siber riski yönetme ve hepimizin güvenliğini sağlama yükünün daha büyük bir kısmını üstlenebilir ve taşımalıdır. Bu strateji endüstriden daha fazlasını istiyor ama aynı zamanda federal hükümetten daha fazlasını taahhüt ediyor.”
ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatının direktörü Jen Easterly, bu hafta başlarında Carnegie Mellon Üniversitesi’ndeki izleyiciler için benzer bir duyguya sahipti. “Bugün genellikle bir güvenlik açığı olan bir şirketi, bilinen bir güvenlik açığını düzeltmediği için suçluyoruz” dedi. “Başlangıçta çok fazla yama gerektiren teknolojiyi üreten üreticiden ne haber?”
Sorumluluğu büyük şirketlere kaydırma hedefi kesinlikle bir tartışma başlattı, ancak tüm gözler bunun gerçekten bir değişiklikle sonuçlanıp sonuçlanmayacağı sorusunda. Uygulama güvenliği firması Veracode’un kurucusu ve CTO’su Chris Wysopal, Beyaz Saray stratejisi için Ulusal Siber Direktör Ofisi’ne girdi sağladı.
“Bu alandaki düzenleme karmaşık ve aldatıcı olacak, ancak uygun şekilde yapılırsa güçlü olabilir” diyor. Wysopal, güvenlik yükümlülüğü yasaları kavramını çevresel düzenlemelere benzetiyor. “Kirletip öylece çekip gidemezsin; işletmelerin kendi pisliklerini temizlemeye hazırlıklı olmaları gerekecek.”