Beyaz Saray, sayıları giderek artan siber tehditlerle mücadelede ABD yazılım satıcıları ve teknoloji sağlayıcıları için çok daha büyük bir rol öngören Ulusal Siber Güvenlik Stratejisini yayınladı.
3 Mart 2023’te yayınlanan strateji, Biden yönetiminin ABD’nin siber güvenliğe yaklaşımında iki temel değişiklik yapma planını ortaya koyuyor.
İlk değişim, gerekli uzmanlığa ve kaynaklara sahip kuruluşların siber tehditlerle başa çıkma yükünü omuzlaması gerektiğini belirten strateji ile hükümet ve endüstri arasında çok daha yakın bir işbirliğini gerektiriyor.
“Kolektif siber direncimiz, en küçük kuruluşlarımızın ve bireysel vatandaşlarımızın sürekli uyanıklığına güvenemez” dedi. “Bunun yerine, hem kamu hem de özel sektör genelinde, dijital ekosistemimizi güvenli ve dirençli hale getirmek için en yetenekli ve en iyi konumdaki aktörlerden daha fazlasını istemeliyiz.”
Bunun çeşitli ulusal ve federal siber güvenlik kurumları veya girişimlerinin yanı sıra çok çeşitli özel aktörleri içereceğini de sözlerine ekledi: “Federal hükümet [will] ayrıca siber ortamı daha fazla güvenlik ve dayanıklılık lehine yeniden şekillendirme yeteneği ile yazılım, donanım ve yönetilen hizmet sağlayıcılarla operasyonel ve stratejik işbirliğini derinleştirin.”
Biden daha önce Mayıs 2021’de Amerika’nın siber savunmasını güçlendirmek için kamu-özel sektör ortaklıkları ve bilgi paylaşımına büyük önem veren bir Başkanlık Kararnamesi imzalamıştı. ‘ siber savunmalar.
Daha sonra, Mart 2022’de yeni bir siber güvenlik olayı raporlama yetkisini imzalayarak, kritik ulusal altyapı operatörlerinin siber saldırıları ABD hükümetine ifşa etmesini yasal bir gereklilik haline getirdi.
Strateji, siber uzayı savunma sorumluluğunu yeniden dengelemenin yanı sıra, ABD’nin siber uzayını gelecekte “doğası gereği daha savunulabilir ve dayanıklı” hale getirebilmesi için, uzun vadeli yatırımları destekleyecek şekilde teşvikleri yeniden düzenlemeyi amaçlıyor.
“Piyasa güçlerinin ve kamu programlarının benzer şekilde güvenliği ve dayanıklılığı ödüllendirdiğinden, güçlü ve çeşitliliğe sahip bir siber iş gücü oluşturduğundan, güvenlik ve dayanıklılığı tasarım gereği benimsediğinden, siber güvenliğe yönelik araştırma ve geliştirme yatırımlarını stratejik olarak koordine ettiğinden ve dijital ekosistemimizin işbirlikçi yönetimini desteklediğinden emin olmalıyız. ,” o dedi.
ABD siber güvenlik yaklaşımındaki bu iki “temel değişikliği” başarmak için strateji beş sütunu özetlemektedir: kritik altyapıyı savunmak; tehdit aktörlerini bozmak ve ortadan kaldırmak; güvenliği ve dayanıklılığı artırmak için piyasa güçlerini şekillendirmek; dayanıklı bir geleceğe yatırım yapın; ve ortak hedeflere ulaşmak için uluslararası ortaklıklar kurun.
Özel sektörün rolü açısından, Beyaz Saray bir bilgi notunda bu sütunların kamu-özel işbirliğinin gerekli hız ve ölçekte çalışmasını sağlamayı gerektireceğini söyledi; özel sektörü tehdit eden aktörü bozma faaliyetlerine dahil etmek; ve güvenlik hatalarına ilişkin sorumluluğun yazılım şirketlerine yönlendirilmesi
Daha genel olarak, Beyaz Saray’ın minimum siber güvenlik gereksinimlerinin kullanımını genişletmek için çalışacağını da sözlerine ekledi; federal ağları ve olay müdahale politikalarını modernize edin; kişisel verilerin gizliliğini ve güvenliğini teşvik etmek; ve düşmanları bozmak için “ulusal gücün tüm araçlarını” stratejik olarak kullanır.
Strateji, Yönetim ve Bütçe Ofisi (OMB) ve Ulusal Siber Direktör Ofisi (ONCD) ile koordineli olarak Ulusal Güvenlik Konseyi (MGK) tarafından uygulanacaktır. stratejinin etkinliği.
Stratejinin geliştirilmesine katkıda bulunan yazılım tedarik zinciri yönetimi şirketi Sonatype’ın kurucu ortak baş teknoloji sorumlusu Brian Fox, stratejinin satıcıların siber güvenlik riskleri için daha fazla sorumluluğa sahip olmasını sağlama hamlesini övdü.
“Log4shell, dünya çapında hükümetler tarafından daha iyi yazılım tedarik zinciri güvenliği için harekete geçirici çağrıların itici gücüydü” dedi ve stratejinin, günümüzün tehdit ortamına ilişkin incelikli bir anlayışa işaret eden “endüstri için dönüm noktası niteliğinde bir an” olduğunu da sözlerine ekledi.
“Piyasa güçleri belirli endüstrilerde dibe doğru bir yarışa yol açarken, sözleşme yasası her türden yazılım satıcısının kendisini sorumluluktan korumasına izin veriyor… Mükemmel bir güvenlik sürecinin bile mükemmel sonuçları garanti edemeyeceğinin farkındayız.”
Stratejinin ayrıca, büyük miktarda bilgi toplayan şirketleri elinde tutmak ve ardından bu bilgileri çok az başvuru ile saldırganlara açık bırakmak için hareket ettiğini de sözlerine ekledi.
“Yönetmelik değişiklikleri olmadan, bu tür ihlallerin sonuçları tüketiciler için çok büyük olabilirken, sonuçta ortaya çıkan davalar bir yuvarlama hatası ve bu şirketler için iş yapma maliyeti anlamına geliyor” dedi. “Hesap verebilirlik dinamiklerini değiştirmek, uygun sonuçları elde etmenin tek yoludur. Ama bu çok daha büyük bir sohbetin sadece başlangıcı.”
ReliaQuest’in güvenlik operasyonlarından sorumlu kıdemli başkan yardımcısı Michael McPherson da stratejiyi memnuniyetle karşıladı ve “düşman üzerinde maksimum etkiyi empoze etmek için özel sektörle yakın işbirliğine yönelik bütün-hükümet yaklaşımını teyit ediyor” dedi.
“Nihayetinde, ABD hükümeti düşmanın ekosistemini bozmak ve yasadışı faaliyetleri için sonuçlar empoze etmek istiyor” diye ekledi. FBI gibi ajanslar, çabaları koordine etmede ve bu kesinti operasyonlarını yönlendirmede öncü bir rol oynamaya devam edecek. Özel sektörle işbirliği yapmak için çok büyük zorluklar olacak olsa da, bu strateji ulusal güvenlik için zorunlu olduğunu özetliyor.”