Federal politika değirmeninden yeni çıkan Biden Yönetiminin 57 sayfalık Ulusal Siber Güvenlik Stratejisi Uygulama Planı (NCSIP), çeşitli federal kurumların önümüzdeki birkaç yıl içinde uygulayacağı 65’ten fazla girişimi açıklıyor. Bunlar, ABD kritik altyapısını siber tehditlere karşı güçlendirmeyi, yazılım ürünleri ve hizmetleri için uygulanabilir yükümlülükler oluşturmayı ve tehdit aktörü operasyonlarını ve altyapılarını bozmak ve devre dışı bırakmak için daha etkili yollar bulmayı içeriyor.
Bir Uygulama Yol Haritası
Bu hafta birkaç güvenlik uzmanı, NCSIP’yi Biden’ın siber güvenlik stratejisinin ilerlemesi için önemli olarak algıladı ve nispeten agresif son tarihlerinin paydaşlara doğru anlamda aciliyet getirdiğini söyledi. Ancak bazıları – daha önce olduğu gibi – Kongre’de yeterli fon ve iki partili destek olmadan nasıl başarılı olacağını merak etti.
Telos’ta devlet işleri müdürü Robert DuPree, e-postayla gönderilen bir yorumda, “Siber Güvenlik Stratejisini uygulamaya yönelik bu yol haritası doğru yönü göstermeye devam ediyor, ancak bazı finansal çukurlar var” dedi. Örneğin, uygulama planı federal kurumları eski sistemleri ortadan kaldırmaya çağırırken, 2017’de onaylanan Teknoloji Modernizasyon Fonu’na (TMF) fon sağlanmadığını söyledi. 2024 Mali Yılı için önerilen bütçe, TMF için önemsiz bir 200 milyon dolar talep etti, ancak Meclis ödenek tasarısı bu finansmanı bile sıfırladı. DuPree, “Yeni finansman sağlanmazsa, Yönetimin çok yıllı planında yeni bir yol bulması gerekecek” dedi.
NCSIP’nin yönetici özeti, belgenin bu hafta yayınlanan sürümünü uygulama planının ilk yinelemesi olarak tanımladı ve onu yıllık olarak güncellenecek “yaşayan bir belge” olarak adlandırdı. Özette, “Gelişen siber ortamın talepleri doğrultusunda girişimler eklenecek ve tamamlandıktan sonra kaldırılacaktır.”
Mart ayında Biden, kritik altyapı sektörleri, yazılım satıcıları ve hizmet sağlayıcılar dahil olmak üzere tüm paydaşların siber tehditlere karşı korunmada aktif rol almalarını sağlamak için stratejinin gerekli olduğunu söyledi. Biden, “Siber güvenliğin sorumluluğunu daha etkili ve daha adil olacak şekilde yeniden dengeleyeceğiz” demişti. “Güvenliğe, dayanıklılığa ve gelecek vaat eden yeni teknolojilere uzun vadeli yatırımları desteklemek için teşvikleri yeniden düzenleyeceğiz.”
Siber stratejinin hedefleri beş ayrı sütun altında toplanmıştır: Kritik Altyapıyı Savun; Tehdit Aktörlerini Bozma ve Dağıtma; Güvenliği ve Direnci Artırmak için Piyasa Güçlerini Şekillendirin; Dirençli Bir Geleceğe Yatırım Yapın; ve Uluslararası Ortaklıklar Oluşturun. Bu haftanın belgesi, bu hedeflere ulaşmak için üst düzey planlar ve girişimler sunuyor.
Örneğin, kritik altyapı savunmasını güçlendirmeye yönelik planlar arasında sektördeki kuruluşlar için yeni siber güvenlik gereksinimlerinin oluşturulması, kamu-özel sektör ortaklıklarının ölçeklendirilmesi, federal siber güvenlik merkezlerinin entegrasyonu ve federal olay müdahale planlarının ve süreçlerinin güncellenmesi yer alıyor. Benzer şekilde, tehdit aktörlerini tasfiye etme planları, ayrı federal bozma faaliyetlerinin entegre edilmesini, tehdit istihbaratı paylaşımının hızını ve ölçeğini artırmayı ve tehdit aktörlerinin saldırılar gerçekleştirmek için ABD altyapısını kötüye kullanmasını önlemeyi içeriyor.
Pek çok güvenlik uzmanının beş stratejik hedef arasında en önemlilerinden biri olarak kabul ettiği üçüncü sütuna yönelik planlar arasında uzun vadeli bir yazılım sorumluluk çerçevesi geliştirme, yazılım malzeme listesi (SBOM’ler) girişimleri ve diğer güvenli yazılım geliştirme girişimleri etrafındaki çabaları ilerletme yer alır. . NCSIP, kalan her iki sütun için benzer planlar ve girişimler sağlar. Bu planların birçoğunun uygulama için son tarihi 2025’tir ve bazılarının şimdiden hazırlıkları devam etmektedir.
Başarının Önündeki Engeller
Allegro Solutions’ta siber güvenlik uyum uzmanı olan Karen Walsh, uygulama planıyla ilgili bir sorunun, koordineli, standartlaştırılmış uygulamaya giden herhangi bir yolun olmaması ve kontrolü sektöre özgü münferit kurumlara bırakması olduğunu söylüyor. “Yaptırım için yasal ve düzenleyici çerçeve oluşturmak, şu anda bölücü siyasi ortamımızda pek olası görünmeyen Kongre ile çalışmayı gerektiriyor” diyor.
Walsh, uygulama planının yazılım sorumluluk çerçeveleri oluşturmak için belirlediği iki ila üç yıllık pencerenin de biraz iddialı göründüğünü söylüyor. Walsh, “MY24’ün 4. çeyreğinde, Ulusal Siber Direktör Ofisi, düzenleyici kanunun farklı alanlarını ve potansiyel çerçeveleri tartışmak için bir sempozyum toplayacak” diyor. Ardından, 2025 yılının 2. çeyreğine kadar, CISA’nın bir SBOM boşluk değerlendirmesini tamamlaması gerekir, ancak görevin karmaşıklığı göz önüne alındığında, bunun 2026’dan önce tamamlanması pek olası değildir. “Bunun ötesinde, hükümetin bu yükümlülüğü nasıl yapılandırdığına bağlı olarak, bir düzenleyici kuruma uygulama yetkisi verilmesi, ardından kural koymaya başlaması veya bir yasanın sonuçları tanımlaması gerekir. Yine, bu, herhangi bir gerçekçi zaman çizelgesini daha da ileriye götürür.”
Critical Insight’ın CISO’su Mike Hamilton, yeni NCSIP’nin kritik altyapı güvenliği ve tehdit aktörlerini bozma çabaları konusunda iğneyi ileriye taşıdığını düşünüyor. Örneğin NCSIP, ulusal siber olay müdahale planını kritik altyapı sektörünün ötesinde tüm sektörleri ve işletme boyutlarını kapsayacak şekilde genişletmeye odaklanmış görünüyor, diyor. “Önemli bir altyapı kesintisi olması durumunda özel sektörden uygulayıcıları ulusal düzeyde müdahale ekipleri olarak görevlendirmek için bir girişim olacağından şüpheleniyorum. Üstesinden gelinmesi gereken sorunlar, akreditasyon ve tazminat olacaktır.”
Uygulama planının, fidye yazılımı saldırılarının önemli bir hedefi olan sağlık sektörü için siber güvenlik eğitimi ve olay müdahalesi sağlamada Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) önemli bir rolü vardır. Hamilton, “Olay müdahalesinin artık kendi başına bir federal kurum olacağını bilmek, fidye yazılımı operatörlerinin hastaneleri vurmayı düşünürken duraklamalarına neden olabilir” diyor.