Kritik Altyapı Güvenliği
Beyaz Saray, Artan Çin Tehdidi Ortasında Siber Olaylara Müdahale Planlarını Zorunlu Hale Getirdi
Chris Riotta (@chrisriotta) •
14 Ocak 2025
Salı günü açıklanan federal düzenlemeler, ABD denizcilik endüstrisinin, Çin gibi düşmanlardan gelen saldırılara maruz kalma endişeleri nedeniyle temel siber güvenlik önlemlerini uygulamasını gerektirecek.
Ayrıca bakınız: Dijital Dönüşüm Çağında Siber Güvenlik: Gerçeklik Kontrolü
Sahil Güvenlik, Cuma günü Federal Kayıt’ta yayınlanması beklenen deniz taşımacılığı sistemindeki siber güvenlik için nihai bir kural yayınladı. Sektördeki kuruluşlara bir siber güvenlik planı geliştirme, bir siber güvenlik görevlisi atama ve siber savunmayı güçlendirmek için ek önlemler uygulama görevi veriyor. Düzenlemeler, Başkan Joe Biden’ın Şubat ayında imzaladığı ve önümüzdeki beş yıl içinde ABD liman altyapısındaki iyileştirmeleri desteklemek için 20 milyar doların üzerinde taahhütte bulunan ve Sahil Güvenlik komutanına siber olayları önlemek ve düzeltmek için önlemler geliştirmekle görevlendiren bir idari emri takip ediyor (bkz.: Biden Deniz Siber Güvenliğini Artıran Yönetici Kararnamesini İmzalayacak).
Sahil Güvenlik, siber bağlantılı sistemlerin sektör genelinde ayrılmaz hale gelmesi nedeniyle denizcilik sektörünün “giderek artan siber güvenlik tehditleriyle karşı karşıya olduğunu” söyledi. Kongre, Çin’in gemiden kıyıya liman vinçlerinin önemli ulusal güvenlik ve siber güvenlik açıkları oluşturduğu konusunda uyardı. ZPMC olarak bilinen Çin devletine ait şirket, ABD pazarındaki tüm gemiden kıyıya vinçlerin %80’ini tedarik ediyor ve Güney Çin Denizi’nin askerileştirilmesinde önemli rol oynuyor (bkz: Sahil Güvenlik, Çin Liman Vinçlerinde Devam Eden Riskler Konusunda Uyardı).
Denizcilik sektörü siber güvenlik planları, onaylanmış donanım ve yazılım listelerinin tutulması, kritik sistemlerde varsayılan çalıştırılabilir uygulamaların devre dışı bırakılması ve ağ haritaları ve yapılandırmalarını belgelendirirken ağa bağlı varlıklar için envanterler geliştirilmesi de dahil olmak üzere temel cihaz güvenliği önlemlerini özetlemelidir. Ayrıca günlüklerin güvenliğini sağlamak ve hassas verileri korumak için şifreleme kullanmak gibi veri güvenliği önlemlerini de içermelidirler.
ABD gemilerinin, tesislerinin ve dış kıta sahanlığı tesislerinin (tipik olarak petrol, arama ve sondaj tesisleri) sahipleri ve işletmecileri, nihai kurala göre, olay müdahale planlarındaki kilit rolleri, sorumlulukları ve karar vericileri içeren müdahale prosedürlerinin ana hatlarını hazırlamalıdır. Ayrıca personelin hem daha geniş siber güvenlik planını hem de kural kapsamında gereken olay müdahale planını uygulamasını sağlamaktan sorumlu bir siber güvenlik görevlisi atamakla da görevlendirildiler.
Biden’ın bu yılın başlarında yayınladığı denizcilik idari emri, ABD Sahil Güvenlik liman kaptanlarına, bilinen veya şüphelenilen siber tehditler sunan gemileri kontrol etmek için genişletilmiş yetkiler sağlarken, tesislerin liman güvenliğine tehdit oluşturan ortalamanın altındaki siber koşulları düzeltmesini gerektiriyordu. Sahil Güvenlik Kasım ayında yaptığı bir duyuruda, “ulaşım güvenliği olayını önlemek için ek önlemlerin gerekli olduğunu” söyledi.
Bildirimde, Sahil Güvenlik’in “ABD’de ÇHC şirketleri tarafından üretilen STS vinçlerinin yaygınlığı” ve “ÇHC’nin ABD’nin kritik altyapısını bozma konusundaki çıkarlarıyla ilgili tehdit istihbaratı” nedeniyle ek siber güvenlik önlemlerine ihtiyaç duyduğu belirtildi. Bildirimde ayrıca Çin yapımı liman vinçlerinin “uzaktan erişim ve kontrole yönelik yerleşik güvenlik açıkları” konusunda da uyarıda bulunuldu.
Kuralın yayımlanmasından altı ay sonra yürürlüğe girmesi planlanıyor ancak yönetim, bazı ABD bayraklı gemiler için uygulama dönemlerinin iki ila beş yıllık olası bir gecikmesi konusunda kamuoyunun görüşünü bekliyor. Sahil Güvenlik yorum talebine hemen yanıt vermedi.