16 Ocak’ta Başkan Joe Biden, ABD siber güvenliğini güçlendirmek için kapsamlı bir yönetici emri imzaladı. Emir, federal yazılım satıcıları için güvenli geliştirme uygulamalarını zorunlu kılıyor, enerji sektöründe bir pilot uygulamayla siber savunmayı geliştirmek için Pentagon içinde bir yapay zeka programı başlatıyor ve bulut platformları ve IoT cihazları için güvenlik standartlarını iyileştiriyor. Emir aynı zamanda federal kurumlara kuantum bilişimle ilgili siber güvenlik risklerini ele almaları talimatını veriyor ve siber saldırılara karışan yabancı kuruluşlara yaptırım uygulama eşiğini düşürerek ABD altyapısına yönelik tehditlere karşı hızlı eyleme geçilmesini sağlıyor.
Siber güvenlik topluluğundan uzmanlar, en son idari emir hakkında yorum yaptı ve bunun daha geniş güvenlik ortamı üzerindeki potansiyel etkilerine ilişkin düşüncelerini paylaştı.
Nick Mistry, Kıdemli Başkan Yardımcısı ve CISO, Lineaje
“En son idari emir (EO), EO14028’e dayanıyor ve üçüncü taraf yazılım tedarik zincirlerine odaklanıyor; bu, devlet hizmetlerinin büyüyen tehditlere karşı güvence altına alınmasına yönelik kritik bir adım. EO, genellikle yabancı devlet aktörleriyle bağlantılı son saldırılarda istismar edilen üçüncü taraf risklerine odaklanarak, daha sıkı bir risk yönetimini zorunlu kılıyor ve yazılım sağlayıcılarının güvenli geliştirme uygulamalarını onaylamasını zorunlu kılıyor.
Önemli bir hüküm, bu tasdiknameleri Federal Edinme Kuralına (FAR) dahil ederek, çok ihtiyaç duyulan yaptırımı da ekliyor. Ancak başarısı uygulamaya bağlıdır. Devlet kurumları anlamlı risk değerlendirmeleri mi yapacak yoksa bu, çok az gerçek güvenlik sunan bir onay kutusu uygulamasına mı dönüşecek?
EO’nun potansiyelini ortaya çıkarmasını sağlamak için aşağıdakiler de dahil olmak üzere çeşitli alanların ele alınması gerekir:
- Hükümet, beyanların doğrulanması için açık ve uygulanabilir standartlar oluşturmalıdır.
- Kurumların yüzeysel değerlendirmelerin ötesine geçerek derinlemesine risk değerlendirmeleri yapması gerekiyor.
- Yazılım yaşam döngüsü boyunca ortaya çıkan güvenlik açıklarını gidermek için sürekli izleme entegre edilmelidir.
Zorluklar devam etse de bu EO, tedarik zinciri genelinde şeffaflığa, hesap verebilirliğe ve daha güçlü savunmalara öncelik veriyor. Etkin bir şekilde uygulandığında güvenlik açıklarını önemli ölçüde azaltabilir ve yazılım ekosistemine olan güveni artırabilir.”
Keith Palumbo, Auguria CEO’su ve Kurucu Ortağı
“Biden Yönetimi’nin siber güvenliğe ilişkin yeni başkanlık emri kesinlikle iddialı. Ancak başarısı uygulama, işbirliği ve ölçeklenebilirlik konularındaki önemli zorlukların aşılmasına bağlıdır. Bu idari emir, siber güvenlikteki bazı siloların yıkılmasına yönelik çok ihtiyaç duyulan bir değişimi başlatabilir, ancak şeytan her zaman olduğu gibi uygulama ayrıntılarında olacaktır. Bürokratik ataletten kaçınmak ve bu önlemlerin gerçek, ölçülebilir güvenlik sonuçlarına dönüşmesini sağlamak için etkili işbirliği, şeffaflık ve açık yönergeler esas olacaktır.
Hükümete neyin saldırdığına dair “küresel” bir bakış açısına sahip olmak kesinlikle çok önemli. Saldırganlar silolar arasında kalan boşluklarda gelişirler. Ancak başarılı uygulama yalnızca yakın işbirliğini değil aynı zamanda sağlam bir teknik temelin sağlanmasını da gerektirecektir. Bu nedenle hükümetin yapay zeka destekli siber güvenlik araçlarına yönelik artan araştırma ve geliştirmeyi desteklemeye odaklandığını görmek güven verici. Bu, rakiplerin de agresif bir şekilde takip ettiği bir alan.”
Clyde Williamson, Kıdemli Ürün Güvenliği Mimarı, Protegrity
“2025 ve sonrasında veri güvenliği, yalnızca vatandaşlar ve müşteriler için değil, uluslararası müttefiklerimize duyduğumuz güven açısından da her yönetimin gündeminin ön sıralarında yer almalıdır. Görevde kim olursa olsun, veri gizliliği ve güvenliği konusunda partizan çizgileri aşan birleşik bir yaklaşıma ihtiyacımız olduğu açıktır. GenAI ve veri analitiğindeki hızlı ilerlemeler sayesinde artık güncelliğini kaybetmiş, parça parça düzenlemelere güvenemeyiz.
Düzenlemeler, hassas bilgilerin fidye değerinden arındırılması için temel olarak verilerin kimliksizleştirilmesini ve şifrelenmesini gerektirmelidir. Bu tür teknikler, çalınan verileri neredeyse işe yaramaz hale getirerek tehdit aktörleri açısından değerini azaltır ve ihlallerin etkisini önemli ölçüde azaltır. Bu tür proaktif yaklaşım, ihlallerin hepimizi (sadece şirketleri ve kurumları değil, aynı zamanda bilgileri korunmasız bırakılan her bir bireyi) etkilediğine dair artan farkındalıkla da uyumludur.
İkincisi, GenAI ve büyük dil modelleri veri güvenliğinde yeni karmaşıklık katmanları yarattı. Örneğin, AI modellerini eğitmek için kullanılan özel veriler, potansiyel olarak önyargılı veya eksik algoritmaların ciddi etik kaygılara yol açmasıyla, kötüye kullanım için birincil hedef olabilir. Yeni yönetim, bu araçların adil olmayan önyargıları yaymamasını veya veri güvenlik açıklarını artırmamasını sağlayacak şeffaflık ve düzenli denetimler için standartlar belirleyerek bu GenAI zorluklarına değinmelidir.
2025 yılı veri korumada dönüm noktası olacaksa bu, şeffaflığı ve hesap verebilirliği ön planda tutan, tüketici güvenini güçlendiren, veri güvenliği tedbirlerinin teknolojik gelişmelere ayak uydurmasını sağlayan politikalarla olacaktır. Modernize edilmiş, kapsamlı bir ulusal veri güvenliği politikası, yalnızca uyumluluk kutularını işaretlemek değil, gizliliği koruma ruhuna da dayanmalıdır.”
Richard Bird, Güvenlik Şefi, İzlenebilir Yapay Zeka
“Başkan Biden, siber güvenliği kendisinden önceki hiçbir liderin yapmadığı kadar öncelikli hale getirdi, ancak son ABD Hazine ihlali kritik bir konuyu vurguluyor: Yönetici emirleri genellikle yapay zeka gibi moda konulara odaklanırken temel güvenlik kusurlarını göz ardı ediyor. Eski altyapı, yanlış yönetilen erişim kontrolleri ve yama yapılmamış sistemler, hem devlet hem de özel sektörde yaygın güvenlik açıkları olmaya devam ediyor. Bu girişimler çoğu zaman etkiden ziyade optiklere öncelik veriyor ve sistemik zayıflıkları gidermek için gereken hesap verebilirlik ve yatırımdan yoksun. Güvenliği artırmak için, temel konulara hazırlığımız ve bağlılığımız hakkındaki rahatsız edici gerçeklerle yüzleşmeli, performansa yönelik gündemler yerine pratik önlemlere öncelik vermeliyiz.
Trump yönetiminin karşı karşıya olduğu soru, para akışının, ilginin ve tüketiciye yönelik ürünlerde, çözümlerde ve gelirde finansal çıkarları olan teknoloji liderlerinin doğrudan katılımının, siber güvenlik talimatlarından ve taleplerinden uzaklaşmaya yol açıp açmayacağıdır. Kendi verilerini ve kendi müşterilerinin mahremiyetini ve güvenliğini koruma konusunda berbat geçmiş performanslara sahip şirketlerin CEO’ları, hükümetimizin ulusal kritik altyapıyı koruma, yapay zeka rekabetçiliği ve ihtiyaç duyulan destek ağının sorumlu kullanımı ve geliştirilmesi konusundaki pozisyonlarına danışman olacak mı? bu işlevler için? Eğer bu soruların cevabı evet ise Trump yönetiminin devreye girmesi, Biden yönetiminin siber güvenlik konusundaki çalışmalarını tarihi bir dipnot haline getirecek.”
Ilona Cohen, Hukuk ve Politika Direktörü, HackerOne
“Siber güvenlik ve ülkemizin kritik altyapısını tehditlere karşı savunmak her zaman tarafsız bir konu olmuştur. Bu nedenle Biden ve ilk Trump yönetimleri, seleflerinin siber güvenliğe ilişkin yayınladığı idari emirleri sürdürdü. Emrin, yapay zekanın siber güvenliği artırma potansiyelinin tanınması ve yapay zeka sistemleri ve yazılımlarını içeren güvenlik açıklarının yönetimine odaklanması bizi özellikle teşvik ediyor. Trump yönetimini emrin hükümlerini, özellikle de yapay zeka kullanarak güvenlik konusunda Çin’in önünde kalmayı amaçlayan hükümlerini geliştirmeye teşvik ediyoruz.”
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu”nda 500.000’den fazla siber güvenlik profesyoneline katılın!