LAS VEGAS — Ekonominin büyük kesimlerini durduran veya aksatan yıkıcı siber saldırılara veya hatalara rağmen, Siber Güvenlik ve Altyapı Güvenlik Ajansı Direktörü Jen Easterly, kötü niyetli faaliyetlere karşı savaşın kaybedilmediğini söylüyor.
Easterly, Çarşamba günü Black Hat’te düzenlenen bir medya brifinginde, kuruluşların saldırıları püskürtme veya azaltma yeteneklerini yükseltmenin ve tedarikçilerin sorumluluklarına daha fazla vurgu yapmanın mümkün olduğunu söyledi. “Kendimizi buna bulaştırdık, kendimizi bundan kurtarmalıyız” dedi.
Easterly’nin iyimserliği kör bir güvenin sonucu değil. “Geçtiğimiz birkaç yılda bile muazzam bir ilerleme kaydettik,” dedi.
ABD hükümeti işletmeler ve uluslararası ortaklarla olan bağlantılarını güçlendirdi ve daha fazla CEO ve yönetim kurulu siber riski temel bir iş fonksiyonu olarak ele alıyor. Easterly, kurumsal siber sorumluluğu BT profesyonellerine ve güvenlik liderlerine havale etmek yerine bir yönetim meselesi olarak benimsediklerini söyledi.
Ancak Easterly’e göre, her şeyden önce CISA’nın güvenli tasarım girişimi kötü niyetli faaliyetlere karşı mücadelede en büyük vaadi taşıyor. Easterly’nin 2021’de kuruma katılmasından bu yana CISA’nın en iddialı hedefi, güvenlik sorumluluğunu müşterilerden tedarikçilere kaydırmayı amaçlıyor.
Easterly, “Savaşın, tasarıma göre güvenli yazılıma yönelik bir yaklaşımı gerçekten harekete geçirebildiğimizde kazanılacağını düşünüyorum. Hepimizin kasıtlı olarak odaklanması gereken tek önemli girişim budur ve bu gerçekten zor bir sorundur,” dedi.
The tasarım ilkelerine göre güvenliilk olarak Nisan 2023’te tanıtıldı ve bir gönüllü taahhüt Mayıs ayında 68 teknoloji şirketi güvenli geliştirme uygulamalarını benimsemek için imza attı. Bugüne kadar yaklaşık 200 şirket bu taahhüdü imzaladı.
Easterly, siber güvenliğe sürdürülebilir ve ölçeklenebilir bir yaklaşım üretmenin tek yolunun, baştan itibaren güvenli bir yazılım oluşturmak olduğuna inandığını söyledi.
Unutulmayacak bir yıl, unutulacak bir yıl
Bu yıl, savunucuların ve federal otoritelerin daha az yaygın ve daha az zararlı hale getirmeye kararlı olduğu karmaşayı örnekleyen büyük saldırılarla dolu oldu.
Şubat ayında gerçekleşen bir fidye yazılımı saldırısı, sağlık sektörünün faturalama işlemlerinin önemli bir kısmı aylarca faaliyeti durduruldu ve 100’den fazla işletme tehlikeye girdi Snowflake müşteri ortamlarını hedef alan saldırı dalgası Nisan ayında.
Geçtiğimiz ay, bir talihsiz CrowdStrike yazılım güncellemesi tarihin en büyük BT kesintilerinden biri olarak kabul edilen olayda küresel BT sistemleri ve ağları çevrimdışı kaldı.
Bunlar, 2024’ün şimdiye kadarki büyük hitlerinin sadece bir özeti. Yine de Easterly caydırılmadı ve gelgitin döneceğine dair umutlu olmaya devam ediyor.
Birçok federal kurum ve uluslararası ortak, teknoloji satıcılarını daha az kusurlu yazılımlar tasarlamaları, geliştirmeleri, test etmeleri ve dağıtmaları konusunda teşvik ederek sorunun kökenine inmeye çalışıyor.
Easterly, “Siber güvenlik sektörünün varlığını, teknoloji satıcılarının onlarca yıldır güvenlikten çok pazara sunma hızını ön planda tutan hatalı, kusurlu ve güvenli olmayan yazılımlar üretmesine izin verilmesi nedeniyle kabul etmeliyiz” dedi.
Easterly, “Daha fazlasını yapabiliriz ama savaş orada kazanılacak,” dedi. “Eğer bir kenara koyarsak “Tehdit aktörleri ve kurbanları bir kenara bırakıp satıcılar hakkında konuşuyoruz.”
Açıklama: Black Hat ve Cybersecurity Dive’ın her ikisi de Informa’ya aittir. Black Hat’ın Cybersecurity Dive’ın kapsamı üzerinde hiçbir etkisi yoktur.