Ülkenin siber güvenlik direncini güçlendirmeye yönelik çok önemli bir adım olarak, İç Güvenlik Bakanlığı Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 27 Mart 2024 Çarşamba günü Önerilen Kural Oluşturma Bildirisini (NPRM) açıkladı. Federal Register, kritik altyapıların siber tehditlere karşı korunmasında önemli bir ilerleme anlamına geliyor.
2022 Kritik Altyapı için Siber Olay Raporlama Yasası (CIRCIA) tarafından zorunlu kılınan NPRM, gelişmiş siber güvenlik protokollerinde yeni bir çağın habercisidir.
CISA'yı CIRCIA aracılığıyla güçlendirmek
CIRCIA kapsamında CISA, gerçek zamanlı kalıpları tespit etmek, önemli bilgi boşluklarını kapatmak, siber saldırılarla kuşatılmış kuruluşlar için kaynakları hızlı bir şekilde harekete geçirmek ve potansiyel hedefleri önceden uyarmak için kuruma bildirilen siber olay ve fidye yazılımı ödeme verilerinden yararlanmaya hazırlanıyor.
Siber olay istihbaratının hızlı bir şekilde yayılması, siber güvenlik teşkilatının zamanında yardım sağlamasını ve diğer kuruluşlara yönelik benzer saldırıları önlemesini sağlar, böylece siber tehditlerin ulusal güvenlik üzerindeki kademeli etkisi engellenir.
İç Güvenlik Bakanı Alejandro N. Mayorkas, CIRCIA'nın ülkenin siber güvenlik duruşunu geliştirmedeki önemini vurgulayarak şunları söyledi: “CIRCIA aracılığıyla bize gönderilen siber olay raporları, ülkemizin kritik altyapısını daha iyi korumamızı sağlayacak.”
Mayorkas, hem kamu hem de özel sektör paydaşlarıyla işbirliğinin, önerilen kuralın şekillendirilmesinde ayrılmaz bir rol oynadığını vurguladı ve Nihai Kuralın iyileştirilmesi için kamuoyunun yorumu döneminde daha fazla katkı sağlanmasını istedi.
“CIRCIA, trendleri tespit etme, siber olay mağdurlarına yardım sağlama ve diğer potansiyel mağdurlarla hızlı bir şekilde bilgi paylaşma yeteneğimizi geliştirerek tüm kritik altyapı sektörlerinde siber risklerin azaltılmasını sağlıyor. Önerilen kural, kamu ve özel sektör paydaşları ile yapılan işbirliğinin bir sonucudur ve DHS, nihai kuralın yönü ve içeriği hakkında kamunun yorumu döneminde geri bildirimi memnuniyetle karşılamaktadır” dedi Mayorkas.
Mayorkas'ın duygularını yineleyen CISA Direktörü Jen Easterly, CIRCIA'yı siber güvenlik alanında ezber bozan bir kişi olarak övdü ve rakip kampanyaları önleme, erken tehdit tespitini teşvik etme ve kamu ve özel sektör ortaklarıyla senkronize yanıtları kolaylaştırmadaki önemli rolünü vurguladı.
“Karşılaştığımız tehditleri daha iyi anlamamıza, düşman kampanyalarını daha erken tespit etmemize ve siber tehditlere yanıt olarak kamu ve özel sektör ortaklarımızla daha koordineli eylemlerde bulunmamıza olanak tanıyacak. Easterly, Nihai Kuralı geliştirmeye doğru ilerlerken kritik altyapı topluluğundan ek geri bildirimler almayı sabırsızlıkla bekliyoruz” dedi.
Paydaş Katılımı ve İşbirliği Çabaları
Eylül 2022'den bu yana CISA, NPRM'yi şekillendirirken kritik altyapı topluluğu da dahil olmak üzere çok çeşitli paydaşlardan özenle girdi talep ediyor. Açık görüş dönemi, paydaşlara, CIRCIA düzenleyici çerçevesinin diğer yönlerinin yanı sıra, siber olay ve fidye ödemesi raporlamasına yönelik önerilen düzenlemelere ilişkin görüşlere katkıda bulunmaları için başka bir fırsat sunuyor.
Geçtiğimiz yıl gerçekleştirilen Bilgi Talebi (RFI) ve dinleme oturumlarından elde edilen bilgilerden yararlanan siber güvenlik kurumu, NPRM'yi paydaşların ihtiyaçları ve öncelikleriyle uyumlu olacak şekilde uyarladı.
CIRCIA'nın uygulanması, ulusal siber güvenlik stratejisinde bir paradigma değişikliğinin habercisi olup, CISA'nın gelişen siber tehdit ortamına ilişkin kapsamlı içgörüler elde etmesini sağlıyor. CIRCIA, siber hedefleme riski taşıyan kuruluşlara erken uyarılar sağlayarak proaktif siber risk azaltma girişimlerinin temel taşını oluşturur ve böylece ülkenin kritik altyapısını yeni ortaya çıkan siber tehditlere karşı güçlendirir.
NPRM, Federal Kayıt'ta resmi olarak yayınlanmaya doğru ilerledikçe, kamuoyunun 60 günlük yorum dönemine aktif olarak katılması ve Nihai Kuralı şekillendirmek için değerli perspektiflere katkıda bulunması teşvik edilmektedir.
CISA, kolektif çabalar ve işbirlikçi katılım yoluyla Amerika'nın siber savunmasını güçlendirmeyi ve gelişen siber tehditler karşısında kritik altyapısının dayanıklılığını sağlamayı amaçlıyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.