Biden yönetiminin kritik altyapı sektörlerindeki kuruluşlar için minimum siber güvenlik gereksinimleri getirme planları, bölünmüş bir Kongre’de zorluklarla karşılaşabilir.
Bununla birlikte, birkaç eski hükümet yetkilisi ve güvenlik uzmanı, cumhurbaşkanının 2 Mart’ta duyurulan geniş kapsamlı yeni Ulusal Siber Güvenlik Stratejisindeki diğer birçok teklifin uygulanmasının nispeten daha kolay olabileceğini söyledi.
Çok Gerekli Güncelleme
Üst düzey bir yönetim yetkilisi Dark Reading’e “Başkan Biden’ın Ulusal Siber Güvenlik Stratejisi, ABD’nin siber-sosyal sözleşmesinin çok ihtiyaç duyulan bir güncellemesini yönlendirecek” dedi. “Bu, hem yönetimin kritik altyapı siber güvenliğini yönlendirmek için yürütme eylemlerine dayanan acil girişimleri hem de önümüzdeki birkaç yıl içinde yasal, düzenleyici ve teknolojik yenilikleri gerektirecek iddialı, uzun vadeli bir vizyonu içeriyor.”
Yetkili, stratejinin federal kurumların bu yenilikleri takip etme ve hedeflere ulaşmak için endüstri ile işbirliği yapma taahhüdünü temsil ettiğini söylüyor ve “iki partili siber güvenlik politikası geliştirmede Kongre ile uzun süredir devam eden kritik ortaklığımızı” sürdürüyor.
Biden’ın ABD’nin siber uzayda dayanıklılığını oluşturmaya yönelik stratejisinin temel odak alanları şunlardır: kritik altyapı savunması, tehdit aktörlerini bozmak ve kamu ve özel sektörde daha iyi siber güvenlik uygulamalarını etkilemek için hükümetin satın alma nüfuzunu ve diğer mekanizmaları kullanmak. Plan ayrıca siber güvenlik araştırma ve geliştirmeye, dijital kimlik ekosistemi oluşturmaya ve Alan Adı Sistemi ve IPv6 gibi temel İnternet teknolojilerine odaklanmaya yeni federal yatırım öneriyor.
Stratejinin bireysel bileşenleri, kritik altyapı için zorunlu minimum siber güvenlik gereksinimlerini, yazılım satıcılarını ürünlerinin ve hizmetlerinin güvenliğinden sorumlu kılma teklifini ve mevcut kamu ve özel ortaklıkların ölçeklendirilmesini içerir.
Ulusal Siber Güvenlik Stratejisinde Sırada Ne Var?
En azından şu an için, strateji belgesi sahada bir şeyleri değiştirmek için hiçbir şey yapmıyor. Socure’da kıdemli başkan yardımcısı ve kamu sektörü stratejisi başkanı Jordan Burris, yasama, düzenleme ve takip yürütme eylemlerinin hepsinin yönetimin gündemini ilerletmede kilit rol oynayacağını söylüyor.
Beyaz Saray Yönetim ve Bütçe Ofisi’nin eski genelkurmay başkanı Burris, “Özellikle, siber güvenlik için minimum gereksinimleri belirlemek üzere kritik altyapı sektörlerine yönelik düzenlemede bunun etkisini göreceğiz” diyor. Mevzuat ayrıca, ajanslar ve diğer paydaşlar için stratejideki bazı yeni gereksinimler için kaynakların mevcut olmasını sağlamada da rol oynayacaktır.
Burris, “Siber güvenlik, Washington DC’de her zaman tarafsız bir konu olarak görülmüştür” diyor. “Ancak yönetimin planlarını hayata geçirmeye devam ederken ilerleme kaydetmek için koridorun her iki tarafıyla birlikte çalışması kritik önem taşıyor.”
Bu, Kongre’yi kurumlar arasında siber güvenlik yeteneklerine yatırım yapmaya çağırırken özellikle kilit olacak, diyor, “Maalesef, yönetimlerin savunduğu ve Kongre salonlarında çok az ilgi gören veya hiç ilgi görmeyen birçok teklif var.”
Fortalice Solutions CEO’su ve Beyaz Saray Başkanlık İcra Ofisi’nde eski bir CIO olan Theresa Payton, ideal olarak, Biden’ın planlarının önerileri için iki partinin üzerinde alkış ve eylem alması gerektiğini söylüyor. “Ama şu anda Washington’daki siyasi atmosferin zehirli olmaktan çok uzak olduğunu anlayacak kadar uzun süredir buralardayım” diyor. “Dolayısıyla, bu kritik öneme sahip konularda ortak bir zemin bulmak zor olacak” diye ekliyor.
Burris gibi Payton da yeni stratejinin şimdilik yönetimin siber güvenlik öncelikleri için her şeyden çok bir yol haritası sağladığını belirtiyor. Esasen strateji, federal hükümetin siber güvenlikteki önemli rolünü kabul ederken, aynı zamanda özel sektörden çok daha fazlasını talep ediyor.
En Büyük Kongre Onay Zorlukları
Payton, Biden’ın strateji belgesindeki düzenleyici bileşen söz konusu olduğunda Kongre’de destek toplamanın özellikle zor olacağını söylüyor. Yönetimin, diğer yönetimlerin uzak durduğu bir alana girmeye istekli olması dikkate değer olsa da, Meclis çoğunluğu arasındaki iş yanlısı/düzenleme karşıtı ortam göz önüne alındığında, düzenleyici soru Hill’de zorlu bir satış olacak. Buna rağmen, “Bence SolarWinds ihlali ve Colonial Pipeline saldırısının ardından, tüm kamu ve özel sektör ortaklarının sahip olması gereken önemli ve muhtemelen gecikmiş bir diyalog” diyor Payton.
Ve Biden yönetiminin yazılım sorumluluğunu kullanıcılardan yazılım satıcılarına ve yayıncılara kaydırma önerisi, neredeyse kesinlikle başka bir zorlu satış olacak. Geçmişte hiçbir yere varmayan benzer teklifler oldu ve yeni planların farklı şekilde ilerleyeceğine dair çok az şey var.
Eski bir Ulusal Güvenlik Teşkilatı (NSA) analisti ve SANS Enstitüsü’nde yükselen güvenlik trendlerinin şu anki yöneticisi olan John Pescatore, yazılımın ABD’de Tekdüzen Ticaret Kanunu (UCC) kapsamında hâlâ somut bir ürün olmamasının başlangıçtaki engellerden biri olduğunu açıklıyor. Pescatore, Dark Reading’e Biden’ın yeni stratejisindeki sorumluluk değiştirme önerisine yönelik yasama desteğiyle ilgili tartışmalar başlamadan önce, bu sorunun çözülmesi gerektiğini söyledi.
“UCC, yazılımın somut bir mal olmadığını ve bu olmadan sorumluluk yükleyemeyeceğinizi söylüyor” diyor. Teknoloji devlerinin Washington’da sahip olduğu lobicilik gücünün, sorunu yalnızca daha da kötüleştireceğini belirtiyor.
Buna rağmen, Payton’a göre Beyaz Saray birçok durumda tek taraflı eylemde bulunabilir. Payton, “İster bir yürütme emri olarak ister Kongre tarafından kabul edilen bir yasa olarak uygulansın, stratejinin neredeyse tüm alanları eyleme geçirilebilir” diye ekliyor. Kongre’nin bölünmüş doğası göz önüne alındığında, önümüzdeki haftalarda ve aylarda Beyaz Saray’dan bir dizi kararname çıkmasını bekliyorum.”
Eyleme Geçirilebilir Bazı Strateji Bileşenleri Vardır
Planın en büyük parçaları şimdilik eyleme geçirilemezken, Biden’ın stratejisindeki önerilerin tümü yasama ve düzenleyici eyleme bağlı değil. Güvenlik uzmanlarına göre bu grup arasında belki de en önemlisi, yazılım satıcılarının ve hükümetle iş yapan diğer kişilerin siber güvenlik en iyi uygulamalarını takip etmelerini sağlamak için federal hükümetin satın alma gücünü kullanma planıdır.
Bir Biden Mayıs 2021 yürütme emri, şimdiden tüm federal yüklenicilerin federal kurum müşterilerine bir yazılım malzeme listesi (SBOM) ve güvenli yazılım geliştirme uygulamalarının diğer eserlerini oluşturmasını gerektiriyor. Geçen haftaki strateji, bu tür çabaları büyütmeyi ve geliştirmeyi amaçlıyor ve bunu yapmak için yasama desteği gerekmeyecek. Strateji belgesinin kamu-özel bilgi paylaşımını destekleme ve tehdit aktörü altyapısını ortadan kaldırma önerisi de Kongre’nin ilerlemesine bağlı olmayan diğer iki alandır.
Ve gerçekten de Burris, yönetimin Sektör Risk Yönetimi Ajanslarını (SRMA’lar) bilgi paylaşım ve analiz merkezleri (ISAC’ler), ABD Siber Güvenlik ve Altyapı Ajansı (CISA) gibi kuruluşlarla daha iyi koordine etmesini sağlayarak bu cephede işleri ilerletebileceğini düşünüyor. ve Ortak Siber Savunma İşbirliği gibi kuruluşlar.
Omdia analisti Curtis Franklin, “Stratejinin bir kısmı Beyaz Saray yönetimindeki yürütme organı tarafından yasalaştırılabilir” diyor. “Bu parçalar büyük olasılıkla eyleme geçirilebilir ve bir kez yerine oturduğunda bağlayıcı ve uzun ömürlü olacaktır.” Örnek olarak, federal siber güvenlik merkezlerini entegre etmeye, federal olay müdahale planını ve süreçlerini güncellemeye ve federal aksama faaliyetlerini entegre etmeye yönelik yeni stratejideki önerilere işaret ediyor.
Franklin, “Belgede mevcut stratejik öğelerin bir uzantısı olan pek çok şey var ve bunlar ilerlemek için en kolay zamana sahip olacak” diyor. Yine de gerçekçi olmanın önemli olduğunu kabul ediyor: “Yasal veya düzenleyici işlem gerektirecek parçalar çok daha zorlu ve bazıları asla gerçekleşmeyecek.”