Görevden ayrılan Başkan Joe Biden Perşembe günü görevdeki son icraatlarından birinde, yazılım ve bulut şirketlerinden daha iyi güvenlik talep etmek de dahil olmak üzere ABD hükümetinin siber güvenliğini iyileştirme planlarının ana hatlarını çizen iddialı bir emir yayınladı.
Biden’ın uzun siber güvenlik emri, neredeyse dört yıl önce Colonial Pipeline fidye yazılımı saldırısının ardından başlayan planlara dayanıyor. Bu, aralarında CISA yetkilileri Jen Easterly ve David Mussington ile ABD siber uzay elçisi Nathaniel Fick’in de bulunduğu üst düzey siber güvenlik yetkililerinin yeni gelen Trump Yönetimini Rusya, Çin ve diğerlerinden gelen siber tehditlere ve dezenformasyona karşı mücadeleyi sürdürmeye çağırdığı bir haftaya denk geliyor. Mussington ayrıca iklim değişikliğinin kritik altyapı dayanıklılığına yönelik bir tehdit olduğunu da belirtti.
Biden Yönetimi’nin diğer son dakika hamlelerinde ABD, casus yazılımların yayılmasını durdurma çabaları konusunda gayri resmi bir BM Güvenlik Konseyi toplantısı düzenledi ve Biden’ın kendisi de “teknoloji sanayi kompleksini” ve bunun dezenformasyon ve “aşırı zenginlik” üzerindeki etkisini hedef aldı 15 Ocak’taki veda konuşmasında.
Yeni gelen Trump Yönetimi’nin siber güvenliğe ve diğer konulara yaklaşımı henüz belli değil, ancak Biden’ın başkanlık emri, yönetiminin siber güvenlikle ilgili çalkantılı dört yılda öğrendiği dersler açısından dikkate değer.
Biden Siber Güvenlik Siparişi Yazılım ve Bulut Güvenliğini Kapsar
Biden’ın nihai siber güvenlik planı, iddialı hedefleri ve aynı derecede iddialı bir zaman çizelgesini ortaya koyuyor; zira direktiflerin çoğu bir yıl içinde uygulamaya konulacak.
NIST, CISA, OMB ve Federal Satın Alma Düzenleme Konseyi (FAR Konseyi), yazılım sağlayıcılarının güvenli yazılım geliştirme uygulamalarını kullandıklarını tasdik etmelerini ve doğrulamalarını gerektiren bir sözleşme dili geliştirecektir.
Açık kaynaklı yazılımlar da incelenecek ve CISA, OMB ve GSA “güvenlik değerlendirmelerinin kullanımı ve açık kaynaklı yazılımlara yama uygulanması ve açık kaynaklı yazılım projelerine katkıda bulunmak için en iyi uygulamalar hakkında kurumlara öneriler” geliştirecek.
Federal hükümet yüklenicilerinin, “Federal Hükümete sağlanan BT hizmetlerini veya ürünlerini geliştirirken, sürdürürken veya desteklerken NIST tarafından belirlenen geçerli minimum siber güvenlik uygulamalarını takip etmeleri” gerekecektir.
FedRAMP politikaları ve uygulamaları, FedRAMP Pazarı’ndaki bulut hizmet sağlayıcıları için “kurum gereksinimlerine dayalı olarak Federal verileri güvence altına almak amacıyla kurum bulut tabanlı sistemlerin kurum yapılandırmasına yönelik spesifikasyonlar ve öneriler içeren temel çizgiler” oluşturmak üzere geliştirilecektir.
IAM, Kuantum Sonrası Şifreleme Biden’ın Hedefleri Arasında
Biden’ın emri, federal hükümete “ağlar genelinde güvenlik tehditlerinin görünürlüğünü artırmak ve bulut güvenliğini güçlendirmek için kimlik ve erişim yönetimine dahil olmak üzere endüstrinin kanıtlanmış güvenlik uygulamalarını benimsemesi” talimatını veriyor.
WebAuthn gibi ticari kimlik avına karşı dirençli standartlar için pilot testler, kuantum sonrası kriptografi (PQC) anahtar kurulumunun (veya PQC algoritması içeren bir hibritin) yanı sıra “destek sağlandıktan sonra mümkün olan en kısa sürede” federal kurumların gereksinimleri arasındadır. ağ mimarilerinde halihazırda konuşlandırılmış ağ güvenliği ürünleri ve hizmetleri.
Bulut hizmeti sağlayıcıları tarafından kullanılan erişim belirteçlerinin ve şifreleme anahtarlarının güvenli yönetimi başka bir gerekliliktir.
CISA aynı zamanda hızlı tehdit avına olanak sağlamak için kurumların EDR çözümlerinden ve güvenlik operasyon merkezlerinden “gerekli verilere zamanında erişim sağlamaya yönelik teknik yeteneğin” geliştirilmesine de öncülük edecek.
BGP güvenlik eksiklikleri, ISP’lerin Rota Menşei Yetkilendirmeleri, Rota Menşei Doğrulaması, rota sızıntısını azaltma ve kaynak adresi doğrulaması gibi İnternet yönlendirme güvenlik teknolojilerini dağıtma gereksinimleriyle giderilecektir.
DNS trafiği, e-posta, video konferans ve anlık mesajlaşma için şifreleme gerekli olacaktır.
Biden Düzeni ile Dijital Kimlikler ‘Cesaretlendiriliyor’
Karar ayrıca “savunmasız nüfuslara yönelik geniş program erişimini koruyan ve mahremiyet, veri minimizasyonu, veri minimizasyonu ilkelerini destekleyen bir şekilde yapıldığı sürece, kimlik doğrulaması gerektiren kamu yararı programlarına erişim için dijital kimlik belgelerinin kabulünü güçlü bir şekilde teşvik edecektir.” ve birlikte çalışabilirlik.”
Ajanslar, kimlik sahtekarlığını bildirmenin yanı sıra, bu hedefe ulaşmak için mobil sürücü lisansları geliştirmek ve yayınlamak için eyaletlerle birlikte çalışacak.
Yapay Zeka Siber Güvenlik İnovasyonu ve Kontrolleri
Biden emrinde yapay zekanın “yeni güvenlik açıklarını hızlı bir şekilde tespit ederek, tehdit tespit tekniklerinin ölçeğini artırarak ve siber savunmayı otomatikleştirerek siber savunmayı dönüştürme potansiyeline sahip olduğu” belirtiliyor. “Federal Hükümet yapay zekanın geliştirilmesini ve konuşlandırılmasını hızlandırmalı, yapay zekayı kullanarak kritik altyapının siber güvenliğini iyileştirmenin yollarını keşfetmeli ve yapay zeka ile siber güvenliğin kesiştiği noktada araştırmaları hızlandırmalı.”
Bu çabalar, “enerji sektöründeki kritik altyapının siber savunmasını geliştirmek için yapay zekanın kullanımına ilişkin” bir pilot programla başlayacak.
Bu pilot program, güvenlik açığı tespitini, otomatik yama yönetimini ve “bilgi teknolojisi (BT) veya operasyonel teknoloji sistemleri genelinde anormal ve kötü niyetli etkinliklerin tanımlanmasını ve sınıflandırılmasını” içerebilir.
Bunu, “siber savunma için gelişmiş yapay zeka modellerinin kullanılmasına yönelik” bir Savunma Bakanlığı programı izleyecektir.
Kararda ayrıca kurumlardan aşağıdaki konulardaki araştırmalara öncelik vermeleri isteniyor:
- Savunma siber analizine yardımcı olacak insan-yapay zeka etkileşim yöntemleri
- Yapay zeka tarafından oluşturulan kodun güvenliği de dahil olmak üzere yapay zeka kodlama güvenliği yardımı
- Güvenli yapay zeka sistemleri tasarlama yöntemleri
- “Yapay zeka sistemlerini içeren siber olayların önlenmesi, müdahalesi, iyileştirilmesi ve kurtarılmasına” yönelik yöntemler.
Güvenli Mimari Uzun Vadeli Bir Hedef
Talimattaki birkaç uzun vadeli hedeften biri, OMB Direktörünün üç yıl içinde “kritik riskleri ele almak ve Federal bilgi sistemleri ve ağları genelinde modern uygulamaları ve mimarileri uyarlamak için” kılavuz yayınlaması gerekliliğidir.
Buna en azından sıfır güven mimarileri, EDR özellikleri, şifreleme, ağ bölümlendirme ve kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulama dahildir.
Son bir gereklilik, kurumların “BT tedarikçilerinin ve hizmetlerinin yoğunlaşmasının misyon açısından temel işlevlere yönelik riskleri” değerlendirmesini gerektiriyor.
Biden’ın emri federal sivil kurumlar için geçerli ancak Ulusal Güvenlik Sistemleri (NSS) için geçerli değil. Bununla birlikte, NSS’nin ve “zayıflatıcı etki sistemlerinin” de “bu sıralamada belirtilen gerekliliklerle tutarlı” gereksinimler geliştirmesi gerekecektir.
İlgili