Beyaz Saray, devlete bağlı tehdit grupları ve diğer kötü niyetli aktörler tarafından ABD devlet kurumlarını, kritik altyapı sağlayıcılarını ve yüksek profilli bireyleri hedef alan artan düzeydeki karmaşık saldırılarla mücadele etmek için Perşembe günü merakla beklenen bir başkanlık emrini yayınladı.
Yönetici emri, ABD’ye, hastaneleri ve diğer kritik hizmet sağlayıcıları aksatan kötü niyetli aktörlere karşı yaptırımlar uygulama konusunda daha fazla yetki verecek.
Federal yetkililer ayrıca teknoloji şirketlerinin daha güvenli yazılım geliştirmesini sağlamak için hükümetin yıllık 100 milyar dolarlık BT harcamasından yararlanmayı planlıyor.
Bu emir, aralarında devlet bağlantılı bir dizi kampanyanın ardından geldi. Dokuz telekom şirketinin hacklenmesi Salt Typhoon tarafından Hazine Bakanlığı’na ayrı saldırı BeyondTrust müşterilerinin uzlaşmasına bağlı. Son saldırıların tümü Çin Halk Cumhuriyeti tarafından desteklenen bilgisayar korsanlarıyla bağlantılı.
“Amaç, Çin, Rusya, İran ve fidye yazılımı suçlularının hacklenmesini maliyetli ve zorlaştırmak ve aynı zamanda işlerimizi ve vatandaşlarımızı korumak söz konusu olduğunda Amerika’nın ciddi bir ticaret olduğunun sinyalini vermektir.” Anne Neuberger, siber ve gelişen teknolojilerden sorumlu ulusal güvenlik danışman yardımcısıÇarşamba günü sanal bir brifing sırasında gazetecilere söyledi.
Neuberger ayrıca daha önceki hacklemelerden de bahsetti: Uydu sistemlerinin Rusya bağlantılı hedeflenmesi 2022’deki Ukrayna işgalinden ve devlet bağlantılı hacklenmeden önce 2023’te Microsoft Exchange Online.
Trump yönetimi yeni siber liderliğini henüz kamuoyuna açıklamadığından, Beyaz Saray yetkilileri yeni gelen yönetimle henüz spesifik görüşmelerde bulunmadı. Neuberger ve diğer siber politika uzmanları, siber dayanıklılığı artırmaya yönelik ek önlemler için iki partili desteğin bulunduğunu söyledi.
Kamu ve özel sektörde güvenliğin artırılmasına yardımcı olmak amacıyla, yürütme emri şunları amaçlamaktadır:
- ABD’ye, hastaneler de dahil olmak üzere kritik sağlayıcılara sahip bilgisayar korsanlarına karşı yaptırımları artırma yetkisi verin.
- Federal hükümetle iş yapan yazılım satıcılarının güvenli geliştirme uygulamalarını kullandıklarını kanıtlamalarını zorunlu kılın. Federal hükümet, özel sektör alıcılarının güvenli yazılım konusunda bilinçli kararlar almasına yardımcı olmak için bu kanıtları doğrulamayı ve bilgileri yayınlamayı planlıyor.
- Ulusal Standartlar ve Teknoloji Enstitüsü, yazılım güncellemelerinin güvenli ve güvenilir bir şekilde nasıl dağıtılacağına ilişkin rehberlik geliştirecektir.
- Genel Hizmetler Yönetimi, bulut müşterilerinin bu ürünleri nasıl güvenli bir şekilde kullanabilecekleri konusunda rehberlik geliştirecektir.
- Federal hükümetle çalışan şirketler için minimum siber güvenlik standartlarını belirleyin. Federal bilgi sistemlerini kullanmaya yönelik bürokrasi ve siber güvenlik gereklilikleri üç yıl boyunca basitleştirilecek.
- Federal yetkililer, yazılımdaki güvenlik açıklarını araştırmak, yamalamayı yönetmek ve tehditleri tespit etmek için yapay zeka tabanlı araçlar üzerinde araştırmalara başlayacak. Enerji sektöründeki kritik altyapıyı korumak amacıyla yapay zekayı kullanmak için bir kamu-özel ortaklığı geliştirilecek.
- ABD yalnızca internete bağlı cihazları satın alacak Siber Güven Markası standartları 2027’de başlıyor.
Gartner’ın seçkin Başkan Yardımcısı analisti Katell Thielemann, yönetim emrinin Biden yönetiminin çok daha erken bir zamanda çözmek isteyeceği bir dizi güvenlik sorununu temsil ettiğini söyledi.
Thielemann, Cybersecurity Dive’a e-posta yoluyla şunları söyledi: “Kapsam olarak geniş kapsamlı ve görevden ayrılan yönetimin ele almak istediği ancak uygulamak için zamanının kalmadığı öğelerden oluşan bir istek listesi gibi görünüyor.”
Yeni yönetimin muhtemelen bu girişimlerin bazılarını tersine çevirmesi mümkün olacağından, yönetim emrindeki bazı maddelerin uygulanması diğerlerinden daha kolay olabilir. Thielemann dikkat çekti.