Biden-Harris Yönetimi’nin kısa süre önce yayınladığı Ulusal Siber Güvenlik Stratejisi, ABD’nin siber uzayda rolleri, sorumlulukları ve kaynakları nasıl tahsis ettiğine dair iki temel değişiklik çağrısında bulunuyor:
- Kamu ve özel sektördeki en büyük, en yetenekli ve en iyi konumdaki kuruluşların siber riski azaltma yükünün daha büyük bir kısmını üstlenmesini sağlamak
- Siber güvenliğe uzun vadeli yatırımları desteklemek için artan teşvikler
Bugün İdare, bu vizyonu gerçekleştirmek için bir yol haritası açıklıyor. Şeffaflığı ve sürekli bir koordinasyon yolunu sağlamak için Ulusal Siber Güvenlik Stratejisi Uygulama Planını (NCSIP) yayınlamak gibi yeni bir adım atıyor. Bu plan, siber suçlarla mücadele ederek Amerikan işlerini korumaktan, giderek artan dijital ekonomimizde üstünlük sağlamak için donatılmış yetenekli bir siber iş gücü oluşturmaya kadar 65’ten fazla yüksek etkili Federal girişimin ayrıntılarını veriyor.
NCSIP, İki Taraflı Altyapı Yasası, CHIPS ve Bilim Yasası, Enflasyon Azaltma Yasası ve diğer büyük Yönetim girişimleriyle birlikte Amerika’nın altyapısını yeniden inşa etmeye, temiz enerji sektörümüzü geliştirmeye ve Amerika’nın teknoloji ve üretim üssünü yeniden desteklemeye yönelik yatırımları koruyacaktır.
Her NCSIP girişimi, sorumlu bir kuruma atanır ve tamamlanması için bir zaman çizelgesi vardır. İdarenin 2025 Mali Yılı Bütçesi için Siber Güvenlik Önceliklerinin yayınlanması gibi bazı girişimler planlanandan önce tamamlandı. 26 Mayıs Savunma Bakanlığı 2023 Siber Stratejisinin Kongre’ye iletilmesi ve 20 Haziran’da Adalet Bakanlığı tarafından yeni bir Ulusal Güvenlik Siber Bölümü oluşturulması gibi tamamlanan diğer faaliyetler, girişimlerin tamamlanmasında önemli kilometre taşlarıdır. Bu, her yıl güncellenecek canlı bir belge olan planın ilk tekrarıdır.
On sekiz kurum, İdarenin daha esnek, eşitlikçi ve savunulabilir bir siber alana yönelik derin taahhüdünü gösteren bu Bütün-Devlet planında öncü girişimlerdir. Ulusal Siber Direktör Ofisi (ONCD), uygulamanın durumu hakkında Başkan ve Kongre’ye sunulacak yıllık bir rapor da dahil olmak üzere plan kapsamındaki faaliyetleri koordine edecek ve Yönetim ve Bütçe Ofisi (OMB) ile ortaklaşa olarak fon tekliflerini güvence altına alacaktır. Başkanın Bütçe Talebi, NCSIP girişimleriyle uyumludur.
Yönetim, bu planı özel sektör, sivil toplum, uluslararası ortaklar, Kongre ve eyalet, yerel, Kabile ve bölgesel hükümetlerle sürekli işbirliği içinde uygulamayı dört gözle bekliyor. İdarenin kamu-özel sektör işbirliği taahhüdünün bir örneği olarak ONCD, yakın gelecekte yayınlanacak olan siber güvenlik mevzuatı uyumlaştırmasına ilişkin bilgi talebi üzerinde de çalışmaktadır.
NCSIP, NCS’yi destekleyen tüm Federal ajans faaliyetlerini kapsamayı amaçlamaz. Aşağıda, NCS sütunları ve stratejik hedefler tarafından düzenlenen plandan örnek girişimler yer almaktadır.
Birinci sütun: Kritik altyapıyı savunmak
Ulusal Siber Olaylara Müdahale Planını Güncelleyin (1.4.1): Bir siber olay sırasında, hükümetin koordineli bir şekilde hareket etmesi ve özel sektör ile SLTT ortaklarının nasıl yardım alacaklarını bilmesi çok önemlidir. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), “birine çağrı herkese çağrıdır” politikasını daha tam olarak gerçekleştirmek için Ulusal Siber Olaylara Müdahale Planını güncelleme sürecine öncülük edecektir. Güncelleme aynı zamanda dış ortaklara, Federal kurumların olay müdahalesi ve kurtarmadaki rolleri ve yetenekleri hakkında net rehberlik içerecektir.
İkinci sütun: Tehdit aktörlerini bozmak ve tasfiye etmek
Fidye Yazılımlarla Mücadele (2.5.2 ve 2.5.4): Yönetim, CISA ve FBI’ın eş başkanlığındaki Ortak Fidye Yazılımı Görev Gücü aracılığıyla fidye yazılımları ve diğer siber suçlarla mücadele kampanyasını sürdürecek. FBI, fidye yazılımı gelirlerinin aklanmasını sağlayan sanal varlık sağlayıcıları ve fidye yazılımı faaliyetleri için ilk erişim kimlik bilgileri veya diğer materyal desteği sunan web fora dahil olmak üzere fidye yazılımı ekosistemine karşı kesinti operasyonları yürütmek için Federal, uluslararası ve özel sektör ortaklarıyla birlikte çalışacak.
CISA liderliğindeki tamamlayıcı bir girişim, hastaneler ve okullar gibi fidye yazılımının yüksek riskli hedeflerine saldırı olasılığını azaltmak için eğitim, siber güvenlik hizmetleri, teknik değerlendirmeler, saldırı öncesi planlama ve olay müdahalesi gibi kaynakların sunulmasını içerecektir. ve saldırıya uğramaları halinde etkilerin ölçeğini ve süresini azaltmak için.
Üçüncü sütun: Pazar güçlerini şekillendirmek ve güvenliği ve dayanıklılığı artırmak
Yazılım Malzeme Listesi (3.3.2): Artan yazılım şeffaflığı, pazar aktörlerinin tedarik zinciri risklerini daha iyi anlamalarına ve satıcılarını güvenli geliştirme uygulamaları için sorumlu tutmalarına olanak tanır. CISA, yazılım malzeme listesi (SBOM) ölçeği ve uygulamasındaki boşlukları belirlemek ve azaltmak için kilit paydaşlarla çalışmaya öncülük etmeye devam ediyor. CISA ayrıca kullanım ömrü sonu/destek sonu yazılımı için küresel olarak erişilebilir bir veri tabanı gereksinimlerini araştıracak ve SBOM konusunda personel düzeyinde uluslararası bir çalışma grubu toplayacaktır.
Dördüncü sütun: Dirençli bir geleceğe yatırım yapmak
Drive Anahtar Siber Güvenlik Standartları (4.1.3, 4.3.3): Teknik standartlar İnternet için temeldir ve ABD’nin bu alandaki liderliği siber uzayın canlılığı ve güvenliği için esastır. Ulusal Standartlar Stratejisi ile uyumlu olarak, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), uluslararası siber güvenlik standardizasyonundaki ana konuları koordine etmek ve ABD federal kurumunun sürece katılımını artırmak için Kurumlar Arası Uluslararası Siber Güvenlik Standardizasyon Çalışma Grubunu toplayacaktır. NIST ayrıca bir veya daha fazla kuantum dirençli açık anahtar şifreleme algoritmasının standardizasyonunu da tamamlayacaktır.
Beşinci sütun: Ortak hedeflere ulaşmak için uluslararası ortaklıklar oluşturmak
Uluslararası Siber Uzay ve Dijital Politika Stratejisi (5.1.1 ve 5.1.2): Siber uzay doğası gereği küreseldir ve politika çözümleri ortaklarımız ve müttefiklerimiz ile yakın işbirliğini yansıtmalıdır. Dışişleri Bakanlığı, ikili ve çok taraflı faaliyetleri içeren bir Uluslararası Siber Uzay ve Dijital Politika Stratejisi yayınlayacaktır. Devlet ayrıca, ortak ülkelerle koordinasyonu kolaylaştırmak için ülke ve bölgesel kurumlar arası siber ekipler oluşturmak ve güçlendirmek için kullanılabilecek siber uzay ve dijital politika ile ilgili personel bilgi ve becerilerinin gelişimini katalize etmek için çalışacaktır.