Bu kadar saygıdeğer altyapı parçalarının güvenlik açıklarından bu kadar etkilendiği bir zamanı hatırlamak zor. İlk olarak, kurumsal yazılım satıcısı SolarWinds, 300.000 müşterisine güvenlik açıklarının saldırganların sistemlerinin kontrolünü ele geçirmesine izin verebileceğine dair bir uyarı yayınladı.
Orion ve Serv-U FTP paketlerindeki güvenlik açıkları, Aralık ayında şirketin şüpheli bir Rus saldırısı tarafından saldırıya uğradığı haberlerinin hemen ardından geldi.
Bunu, Microsoft Exchange Server’da, Çin tarafından desteklenen devlet destekli bir grup tarafından aktif olarak kullanılan bir dizi sıfırıncı gün güvenlik açığı izledi.
SolarWinds saldırılarının tek başına küresel olarak yaklaşık 18.000 kuruluşu etkilediği tahmin ediliyor ve bu nedenle bu kurumsal düzeydeki saldırıların etkisinin ölçeği önemli.
Hükümet yanıtı
Bu nedenle, yeni Biden yönetiminin yeni bir siber güvenlik derecelendirme sisteminin popüler donanım ve yazılım çözümlerinin güvenlik yönlerine gelişmiş görünürlük sağlama potansiyeli hakkında yakın zamanda yaptığı bir basın toplantısında konuşması belki de şaşırtıcı değil.
“Belediye Başkanı Bloomberg, birkaç yıl önce, restoran temizliğini ele almak istediğinde, bilirsiniz, sağlık departmanı restoranları derecelendirmeye devam etti ve bu hiçbir şeyi değiştirmiyordu. Bu nedenle, restoranların bir pazar oluşturmak için ön pencerelerine basit bir derecelendirme – A, B, C, D – koymalarını istedi – sağlık ve sanitasyon etrafında bir pazar oluşturmak için ”diye açıklıyorlar.
“Ve yazılım satın aldığımız yazılım şirketlerinin siber ve siber güvenliği ile çok benzer bir şey yapmak istiyoruz.”
Beyaz Saray ayrıca, bir dizi farklı Nesnelerin İnterneti cihazı için siber güvenlik standartlarının sağlandığı Singapur’dan ilham aldıklarını açıkladı. Örneğin, ebeveynler bağlı bir bebek telsizi satın alabilir ve ürünü satın almadan önce ürünün ne kadar güvenli olduğunu anlayabilir. Bu şu anda Amerika Birleşik Devletleri’nde olmayan bir yaklaşım ama önümüzdeki haftalarda ülkeyi bu yola sokmak için bir şeyler duyurma planları var.
Siber Güvenlik Etiketleme Planı
Geçen yılın Ekim ayında Singapur’da gönüllü bir program başlatılmıştı, ancak bugüne kadar yalnızca akıllı ev hub’ları ve wifi yönlendiricileri değerlendirildi. Siber Güvenlik Etiketleme Planı (SLC), akıllı ışıklar, IP kameralar, akıllı yazıcılar ve akıllı kapı kilitleri dahil olmak üzere çok daha geniş bir tüketici cihazı yelpazesini dahil ederek bunu geliştirmeyi amaçlıyor. Umut, bunun ülke genelinde siber güvenlik hijyenini iyileştireceğidir.
SLC, en alt düzeyde temel parola korumaları ve düzenli güvenlik güncellemelerinden en üst düzeyde sıkı üçüncü taraf güvenlik testlerinden geçen ürünlere kadar uzanan dört katmanlı siber güvenlik desteği içerir.
Singapur hükümeti, tüketicilere temel düzeyde güvenlik güvencesi sağlamayı umuyor. Son zamanlardaki yüksek profilli saldırılar, ülke genelinde siber güvenliğin iyileştirilmesinin öneminin altını çizerken, hükümetin önümüzdeki haftalarda bir şekilde tekrarlamayı umduğu bir şey.
Güvenliğin iyileştirilmesi
SolarWinds saldırısı tarafından tehlikeye atılan dokuz federal kurum vardı ve hükümet, saldırılarda tanımlanan belirli boşlukları kapatmak için teknolojinin hızla kullanıma sunulacağını açıkladı. Hükümet, yalnızca ağların ve sistemlerin güvenli olmasını değil, aynı zamanda halk adına çalışan sistemlerde görünür bir güvenin olmasını sağlamayı amaçladığından, bu çözümler daha sonra federal hükümet genelinde daha geniş bir alana yayılacaktır.
Hükümet genelinde olay müdahalesinin maliyetini sınırlamak için açık bir istek var ve bu nedenle Beyaz Saray, kurumları en başından itibaren yerleşik siber güvenlik içeren ürün, uygulama ve hizmetlerin kullanımına öncelik vermeye teşvik edeceklerini söyledi. Bu tutkuyu açıkça belirterek, ajansları sistemlerini güvence altına alma konusunda desteklemekle kalmayıp, aynı zamanda güvenli teknolojiler için özel sektör genelinde açık bir pazar yaratmayı umuyorlar.
“[We’re] yazılım güvenliği yaklaşımını yeniden başlatmayı, yazılım güvenlik standartlarına yaklaşımı yeniden başlatmayı ve sahip olduğumuz bir hedefe ulaşmaya çalışmayı düşünerek: sistemlerimize olan güven düzeyimiz, siber güvenliklerinin görünürlüğü ile doğru orantılıdır.” yetkililer açıkladı. “Bu görünürlük seviyesinin, bu sistemler başarısız olursa sonuçlarla eşleşmesi gerekiyor.”
Siber güvenlik derecelendirme sistemi, yalnızca birkaç endüstri grubu tarafından değil, aynı zamanda iki taraflı Siber Uzay Solaryum Komisyonu tarafından da savunulan bir fikirdir. Bununla birlikte, bu tür derecelendirmeler yasa haline gelirse, yalnızca siber güvenli ürünler için pazar oluşturmaya yardımcı olmakla kalmaz, aynı zamanda hükümetin dijital altyapının güvenliğine verdiği yenilenmiş odağı da gösterir.