ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), düşman devletlerin Amerika’nın kişisel verilerine ve hükümetle ilgili bilgilere erişmesini önlemek için güvenlik gereksinimleri öneriyor.
Gereksinimler, özellikle bilgilerin “ilgili ülkeler” veya “kapsam kapsamındaki kişilere” açık olması durumunda, ABD’nin hassas kişisel verilerini veya ABD hükümetiyle ilgili verileri içeren kısıtlı işlemlerde bulunan kuruluşlara yöneliktir.
Teklif, Başkan Biden tarafından bu yılın başlarında imzalanan ve ulusal güvenlik risklerini genişleten veya artıran ciddi veri güvenliği yükümlülüklerini ele almayı amaçlayan 14117 sayılı Başkanlık Kararnamesi’nin uygulanmasıyla bağlantılı.
Etkilenen kuruluşlar arasında yapay zeka geliştiricileri ve bulut hizmeti sağlayıcıları, telekomünikasyon firmaları, sağlık ve biyoteknoloji kuruluşları, finans kurumları ve savunma yüklenicileri gibi teknoloji işletmeleri yer alabilir.
Endişe duyulan ülkeler genellikle ABD hükümetinin düşman olarak gördüğü veya siber casusluk, veri ihlalleri ve devlet destekli bilgisayar korsanlığı kampanyaları geçmişi nedeniyle güvenlik riski oluşturduğunu düşündüğü ülkeleri ifade eder.
Güvenlik gereksinimleri
CISA, organizasyonel/sistem düzeyindeki gereksinimler ve veri düzeyindeki gereksinimler halinde kategorize edilen güvenlik önlemlerini önerir. Aşağıda bunlardan bazılarının özetini bulabilirsiniz:
- IP adresleri ve donanım MAC adreslerini içeren bir varlık envanterini aylık olarak koruyun ve güncelleyin
- Bilinen istismar edilen güvenlik açıklarını 14 gün içinde düzeltin
- Kritik güvenlik açıklarını (kullanım durumu bilinmeyen) 15 gün içinde ve yüksek önemdeki kusurları 30 gün içinde düzeltin
- Olay tanımlama ve müdahaleyi kolaylaştırmak için doğru bir ağ topolojisi sağlayın
- Tüm kritik sistemlerde çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın, en az 16 karakter uzunluğunda parolalar kullanılmasını zorunlu kılın ve istihdamın sona ermesinden veya kuruluştaki rol değişikliğinden hemen sonra herhangi bir kişinin erişimini iptal edin
- USB aygıtları gibi yetkisiz donanımların kapsam dahilindeki sistemlere bağlanmasını önleyin
- Erişim ve güvenlikle ilgili olaylara ilişkin günlükleri toplayın (IDS/IPS, güvenlik duvarı, veri kaybını önleme, VPN, oturum açma etkinlikleri)
- Yetkisiz erişimi veya ABD’li kişilere bağlanılabilirliği önlemek için toplanan veri miktarını azaltın veya maskeleyin ve kısıtlı işlemler sırasında kapsam dahilindeki verileri korumak için şifreleme uygulayın
- Şifreleme anahtarlarını kapsam dahilindeki verilerle birlikte veya ilgilenilen bir ülkede saklamayın
- İşlenen verilerden hassas verilerin yeniden oluşturulmasını önlemek için homomorfik şifreleme veya diferansiyel gizlilik gibi teknikleri uygulayın
CISA, teklifin nihai biçimini daha da geliştirmek için kamuoyunun katkısını bekliyor. Bunu yapmak isteyenler, düzenlemeler.gov adresini ziyaret edebilir, arama alanına CISA-2024-0029 yazıp “Şimdi Yorum Yap!” düğmesini tıklayabilir. simgesini tıklayın ve ardından yorumlarını alanlara girin.