Bugün iki federal milletvekili, siber tehdit verilerinin özel şirketler ve federal hükümet arasında paylaşılmasını kolaylaştıran temel düzenlemeleri koruyan iki partili bir yasa tasarısı getirdi.
ABD Senatörleri Gary Peters (D-MI) ve Mike Rounds (R-SD) tarafından tanıtılan Siber Güvenlik Bilgi Paylaşımı Uzantısı Yasası, Eylül ayında sona ermesi gereken 2015 Siber Güvenlik Bilgi Paylaşımı Yasası hükümlerini genişletecektir. Yasa, işletmeleri federal hükümetle devam eden siber güvenlik tehditleri hakkında bilgi paylaşmaya teşvik ediyor ve güvenlik uzmanları, gerçek dünyadaki siber güvenlik üzerinde gerçekten etkisi olan birkaç yasama eyleminden biri.
Özellikle, 2015 Siber Güvenlik Bilgi Paylaşımı Yasası, şirketleri İç Güvenlik Departmanı (DHS) ile yazılım güvenlik açıkları, kötü amaçlı yazılım veya kötü niyetli IP adresleri gibi siber güvenlik tehdit göstergelerini gönüllü olarak paylaşmaya teşvik etmektedir. Bunu, federal antitröst muafiyetleri sağlayarak ve devlet ve federal ifşa yasalarından sorumlu tutulmasını engelleyerek bunu yapan şirketler için yasal korumalar sağlayarak yapar.
Siber güvenlik direnç teknolojisi firması Deepwatch Ciso, Chad Cragle, Cybersecurity Dive’a e -posta yoluyla yaptığı açıklamada, “Siber Güvenlik Bilgi Paylaşımı Yasası, iğneyi gerçekten hareket ettiren birkaç yasama araçlarından biri oldu.” Dedi. Diyerek şöyle devam etti: “Endüstriye Tehdit Intel’i hızlı, doğrudan ve avukatları ikinci olarak tahmin etmeden paylaşmak için yasal netlik verdi.”
Gerçekten de, yasa, hem devlet kurumlarını hem de Microsoft gibi özel sektör şirketlerini etkileyen yaygın Solarwinds tedarik zinciri saldırısı da dahil olmak üzere büyük siber güvenlik olaylarının araştırılmasında etkili olmuştur. Ayrıca, kritik altyapı sahiplerinin ve operatörlerinin tesislerini korumalarına yardımcı olmak için tehdit bilgi paylaşımı konusunda işbirliği yapan üye odaklı kuruluşlar olan bilgi paylaşımı ve analiz merkezleri (ISAC) için destek sağlar.
Kalabalık siber güvenlik firması Bugcrowd’un kurucusu Casey Ellis, “Siber güvenlik bir takım sporudur ve bu fikrin gerçeği sadece giderek daha düşmanca bir küresel ortamda daha belirgin hale geliyor.” Dedi. “Siber Güvenlik Bilgi Paylaşımı Yasası, bilgi paylaşımı için güvenli bir çerçeve sağlar ve ABD tabanlı ISAC’lara güç veren hem kamu/özel ortaklık paylaşımını temel alır.”
Yasayı genişletmek için güçlü dava
Ayrı ifadelerde, her iki senatör de, hem kamu hem de özel sektörün hem devlet destekli hem de diğer kötü aktörlerden sürekli güvenlik tehditleriyle karşılaştığı mevcut siber güvenlik ikliminde Kanun’un korunmalarını sürdürmenin önemini de vurguladılar.
Sen. Peters, “Siber güvenlik tehditleri giderek daha karmaşıklaştıkça, bilgi paylaşımı sadece değerli değil, ulusal güvenliğimiz için de gerekli” dedi.
Bu arada Sen. Turları, 2015 Siber Güvenlik Bilgi Paylaşımı Yasası’nın “siber güvenlik ekosistemimizi önemli ölçüde zayıflatacağını”, “özellikle de” ulusumuzun siber savunmalarını güçlendirmede “önemli ölçüde zayıflatacağını söyledi.
Bununla birlikte, aynı zamanda, 2015 Yasası’nın hazırlandığından beri tehdit manzarasının evrimini göz önünde bulundurmak için yeni Yasanın hazırlanması, sadece mevzuata yeni bir şey eklemeyen bir “lastik damga” değil.
“Bu, günümüzün gizlilik beklentilerini, tedarik zinciri gerçeklerini ve operasyonel karmaşıklığı yansıtmasını sağlarken temel gücünü koruyarak yasaya ince ayar yapmak için bir fırsattır.” “Bunu doğru yapmak, neyin değiştiğine uyum sağlarken neyin işe yaradığını inşa etmek anlamına gelir.”