Kritik Altyapı Güvenliği , Devlet , Sektöre Özgü
Strateji için Uygulama Planı Federal Sorumlulukları Atıyor, Son Tarihler Belirliyor
Mathew J. Schwartz (euroinfosec) •
13 Temmuz 2023
Biden yönetimi, Mart ayında yayınladığı uzun zamandır beklenen ulusal siber güvenlik stratejisini uygulamaya yönelik bir plan yayınladı.
Ayrıca bakınız: İsteğe Bağlı | Gelişmiş Uç Nokta Stratejileri Sayesinde Sıfır Güven Hedeflerinize Nasıl Ulaşabilirsiniz?
Perşembe günü yayınlanan yeni Ulusal Siber Güvenlik Stratejisi Uygulama Planı, federal kurumlar için son tarihler ve sorumlulukları ortaya koyuyor. Her ikisi de Beyaz Saray’ın Ulusal Siber Direktör Ofisi tarafından koordine ediliyor (bkz: Beyaz Saray, Biden’ın Ulusal Siber Güvenlik Stratejisini Açıkladı).
Çok sayıda siber güvenlik uzmanı, yalnızca Beyaz Saray siber güvenlik planını değil, aynı zamanda yeni uygulama programını da övdü. Contrast Security’de siber stratejiden sorumlu kıdemli başkan yardımcısı Tom Kellermann, ABD ve müttefiklerinin karşı karşıya olduğu, en azından Rusya ve Çin ile bağlantılı veya onlar tarafından yönetilen bilgisayar korsanlarının ellerinde olan ve sürekli artan çevrimiçi tehdit temposu göz önüne alındığında, bunun özellikle önemli olduğunu söyledi. .
Information Security Media Group’a “Sonunda doğru yönde ilerliyoruz” dedi. “Yönetimin bütüncül stratejisini ve agresif uygulama planını alkışlıyorum.”
NCSIP olarak adlandırılan plan, ulusal siber güvenlik stratejisini gerçekleştirmek için yaklaşık 65 farklı federal girişimin 18 farklı federal kurum tarafından nasıl ve ne zaman tamamlanması gerektiğini ayrıntılarıyla anlatıyor.
Beyaz Saray Perşembe günü yayınlanan bir genel bakışta, “Her NCSIP girişimi sorumlu bir kuruma atanır ve tamamlanması için bir zaman çizelgesi vardır.” Dedi. “Her NCSIP girişimi, sorumlu bir kuruma atanır ve tamamlanması için bir zaman çizelgesi vardır.”
Siber güvenlik uzmanları, uygulama planının Biden yönetiminin ulusal siber güvenlik planını sunmayı önerdiğinin somut bir işareti olduğunu söylüyor. Black Hat ve DEF CON konferanslarının kurucusu Jeff Moss, Mastodon’a gönderdiği gönderide, “Bu üst düzey belgeleme girişimlerinden kimin sorumlu olduğunu ve beklenen tamamlanma tarihlerini ilk kez gördüğümü hatırlıyorum.” “Harika iş, ONCD!”
Federal Son Tarihler
Yol haritası, ulusal siber güvenlik stratejisinde yer alan çok sayıda gereksinim için son tarihler belirler. Bunlar, siber güvenlik araştırması için finansmana öncelik vermekten ve kamu ve özel kuruluşlar arasındaki güvenlik açığı ifşasını koordine etmekten, fidye yazılımı kullanan suçlular için güvenli sığınakları caydırmaya ve tasarım gereği ve varsayılan olarak güvenli olan teknolojinin gelişimini yönlendirmeye kadar uzanıyor.
Siber güvenlik hizmetleri şirketi BlackCloak’ın CEO’su Chris Pierson, ulusal siber güvenlik stratejisinin kısmen hükümet ile özel sektör arasında daha iyi siber güvenlik iletişimini kolaylaştırmak için tasarlandığını söyledi. Stratejinin bir parçası olarak, yeni yayınlanan uygulama yol haritası, federal kurum siber liderlerinin “risk iyileştirme faaliyetlerine yönelik daha spesifik önceliklendirme” geliştirmelerine ve “bütçenin bu hedeflere göre ayarlanmasına yardımcı olmasına” olanak tanıyacak.
Beyaz Saray, uygulama planının “her yıl güncellenecek yaşayan bir belge” olduğunu söyledi.
Siber güvenlik stratejisinin bazı yönlerinin yakın vadeli teslim tarihleri vardır, ancak birçok çabanın başarılması yıllar alacaktır. Pierson, NCSIP aracılığıyla sorumlulukların atanmasının ve insanları, altta yatan sayısız çabanın etkililiğini analiz etme ve raporlama konusunda sorumlu kılmanın, bunların etkili bir şekilde belirlenmesini ve uygulanmasını sağlamak için gerekli olacağını söyledi.
Kongre tabelaları
Demokrat milletvekilleri, Temsilciler Meclisi İç Güvenlik Komitesi’nin kıdemli üyesi Mississippi Temsilcisi Bennie G. Thompson ve Temsilciler Meclisi Siber Güvenlik ve Altyapı Koruma Alt Komitesi’nin kıdemli üyesi Kaliforniya Temsilcisi Eric Swalwell, uygulama planının çok önemli olacağını söyledi. özellikle ulus-devlet tehditleriyle mücadele için gerekli mevzuatı geliştirmek için.
Milletvekilleri yaptıkları açıklamada, “Yürütmenin iddialı siber güvenlik hedeflerini nasıl sürdüreceği konusunda şeffaf olan Kongre, yönetimi sorumlu tutarken gerekli kaynakları ve yetkilileri sağlamak için daha iyi bir konumdadır.” “Ayrıca, özel sektöre ve diğer kritik paydaşlara etkili bir şekilde dahil olma gücü veriyor, bu kritik çünkü başarımız tam saha baskı gerektiriyor.”
Bazı GOP milletvekilleri, Biden yönetimini, stratejiyi uygulama çabasının bir parçası olarak endüstriyi aşırı düzenlememesi konusunda uyardı (bkz.: Milletvekilleri Biden’ın Siber Stratejisinde Önerilen Yasaları Tartıyor).
NCSIP’de belirtilen son teslim tarihlerinden bazıları zaten karşılandı. Örneğin, bir girişim, Anavatan Güvenliği Departmanının, son tarihi 30 Haziran olan bir Siber Güvenlik İnceleme Kurulu oluşturmak için yasa taslağı hazırlamak üzere Kongre ile birlikte çalışmasını gerektiriyor. Nisan ayında, DHS önerilen CSRB yasasını yayınladı.
Zorluklar Ortaya Çıkıyor
Stratejinin yayınlanmasından önce bile Biden yönetimi, boru hatları ve demiryolları dahil olmak üzere çok sayıda kritik altyapı sektöründe siber güvenliği güçlendirmeye çalıştı. 3 Mart’ta, Çevre Koruma Ajansı eyaletlerin kamu su sistemlerinin siber güvenlik duruşunu gözden geçirmesini gerektiren bir kılavuz yayınladığında, Beyaz Saray bu çabayı genişletti.
Adının açıklanmaması koşuluyla konuşan üst düzey bir yönetim yetkilisi Mart ayında “Belirlediğimiz çıta yüksek bir çıta değil. Gerçekten sadece mal sahiplerinin ve operatörlerin temelleri yapmalarını umuyoruz” dedi.
Bu çabalar için her şey yolunda gitmedi. Nisan ayında, Cumhuriyetçi liderliğindeki bir grup eyalet, EPA’ya su sistemi siber güvenlik gereklilikleri nedeniyle dava açtı. Arkansas, Iowa ve Missouri eyalet başsavcıları, EPA’nın siber güvenlik kurallarını dayatma yetkisine sahip olmadığını savundu. Küçük su sistemlerini temsil eden Amerikan Su İşleri Derneği, kuralların küçük ve kırsal toplulukların “maliyetli değişiklikler üstlenmesini” gerektireceğini iddia ederek, Ulusal Kırsal Su Derneği ile birlikte davaya katıldı.
Çarşamba günü, St. Louis’deki 8. ABD Temyiz Mahkemesi, EPA’nın su sektörü rehberliğini durdurdu ve davayı incelerken gereksinimleri duraklattı.
Bunun da gösterdiği gibi, stratejinin bazı yönleri ve uygulanması, özellikle satıcılara güvenli kod geliştirmek için daha fazla sorumluluk üstlenmeye yönelik tartışmalı çağrısı nedeniyle, zaten zorlu bir savaşla karşı karşıya.
Pierson, yirmi yıldır hükümetin endüstriye siber güvenlik için gönüllü olarak daha fazla sorumluluk alma çağrılarının gerekeni yerine getirmediği konusunda uyardı. “Değişim yalnızca finansal teşvikler, düzenleyici değişiklikler ve daha fazla ortaklık yolları yoluyla gerçekleşecek” dedi.