Uç Nokta Güvenliği, Yönetişim ve Risk Yönetimi, Bilgi Paylaşımı
GAO Raporu, CISA'nın Kritik Altyapılara Yönelik Bilgi Paylaşımı Programlarını Eleştiriyor
Prajeet Nair (@prajeetspeaks) •
11 Mart 2024
ABD Hükümeti Sorumluluk Ofisi, Siber Güvenlik ve Altyapı Güvenliği Dairesi'nin kritik altyapı paydaşlarıyla bilgi paylaşımı uygulamalarında verimsizlikler tespit etti ve teşkilatın OT olaylarını ele almak için yeterli sayıda personel bulunmadığı uyarısında bulundu.
Ayrıca bakınız: Talep Üzerine | Avustralya'nın İş Sürekliliğini Belirsiz Tehdit Ortamından Korumak
Gözlemci kurum aynı zamanda Boru Hattı ve Tehlikeli Madde Güvenliği İdaresi'nin siber tehdit bilgilerini sahiplere ve operatörlere yayma yaklaşımındaki eksikliğe de dikkat çekti.
CISA tarafından sağlanan 13 operasyonel teknoloji siber güvenlik ürün ve hizmetini değerlendiren GAO raporu, ankete katılan 13 federal olmayan kuruluştan 12'sinin bildirdiği olumlu deneyimleri ortaya çıkardı. Eş zamanlı olarak CISA'nın ve inceleme altındaki yedi kuruluşun karşılaştığı zorluklara dikkat çekildi.
Yedi kuruluş, operasyonel teknoloji ürün ve hizmetlerinin sunumunda zorluklar tespit etti. Bu zorluklar, CISA'nın ürün ve hizmetleriyle ilgili olumsuz deneyimlerle karşılaşma ve OT becerilerine sahip CISA personelinin eksikliğiyle karşı karşıya kalma etrafında dönüyordu.
Raporda, “CISA yetkilileri, tehdit avcılığı ve olay müdahale hizmetindeki dört federal çalışanının ve beş yüklenici personelinin, aynı anda birden fazla yerde OT sistemlerini etkileyen önemli saldırılara yanıt vermek için yeterli personel olmadığını belirtti.” ifadesine yer verildi.
CISA'nın ürün ve hizmetleriyle ilgili zorluklarla karşılaştığını tespit eden yedi kurum şunlardır: Savunma Bakanlığı'nın Savunma Siber Suç Merkezi; Savunma Bakanlığı'nın Ulusal Güvenlik Teşkilatı; Enerji Bakanlığı Siber Güvenlik, Enerji Güvenliği ve Acil Durum Müdahale Dairesi; İç Güvenlik Bakanlığı Ulaştırma Güvenliği İdaresi; DHS'nin ABD Sahil Güvenliği; Ulaştırma Bakanlığı Federal Demiryolu İdaresi; ve DOT'un Boru Hattı ve Tehlikeli Madde Güvenliği İdaresi.
GAO, belirlenen yedi kurumdan yetkililerden, OT siber risklerini azaltmak için CISA ile işbirliği yaparken karşılaşılan zorlukları belirlemelerini istedi. GAO, hem yedi kurumdan hem de CISA'dan gelen belgeleri, özel olarak seçilmiş beş önde gelen işbirliği uygulamasıyla uyumlu olarak inceleyerek karşılaştırmalı bir analiz gerçekleştirdi.
Raporda, CISA'nın OT ürünleri ve hizmetleri için müşteri hizmetlerini kapsamlı bir şekilde değerlendirmediği ve OT personeli için etkili iş gücü planlaması yapmadığı ortaya çıktı.
Adı açıklanmayan federal olmayan bir kuruluş da GAO'ya, bir güvenlik açığının CISA süreci aracılığıyla ilk kez rapor edilmesi ile kamuya açıklanması arasındaki sürenin genellikle bir yılı aştığını söyledi.
Ekim 2018 ile Kasım 2023 arasında CISA, kritik altyapı sahiplerine ve operatörlerine 13 operasyonel teknoloji siber güvenlik ürün ve hizmetini ücretsiz olarak sundu.
2022 Mali Yılı Ulusal Savunma Yetki Yasası, GAO'nun CISA'nın endüstriyel kontrol sistemlerine verdiği destek hakkında rapor vermesine yönelik bir hüküm içermektedir. Federal kılavuz artık bu sistemleri daha geniş bir OT kategorisi altında ele alıyor.
CISA, kritik altyapı sahiplerine ve operatörlerine dört OT siber güvenlik ürünüyle katkıda bulundu. Bunlardan ikisi, siber tehdit bilgilerinin ve OT'ye özgü en iyi uygulamaların paylaşımını kolaylaştırmak için tasarlandı.
Geriye kalan iki ürün, sahiplerin ve operatörlerin OT güvenlik uygulamalarını değerlendirmelerine ve OT ağ trafiğini ve günlüklerini analiz etmelerine olanak tanıyan araç görevi gördü.
CISA, ürünlerin yanı sıra kritik altyapı paydaşlarına dokuz OT siber güvenlik hizmeti de sundu. Bu hizmetler şu şekilde sınıflandırılabilir:
- Güvenlik Açığı Tespit Hizmetleri: Sahiplere ve operatörlere OT ağlarındaki güvenlik açıklarını belirlemede yardımcı olmaya odaklanan dört hizmet, bunların azaltılması için uygulanabilir adımlar sunuyor.
- Hazırlık Hizmetleri: Kritik altyapı sahiplerine ve operatörlerine, OT ağlarındaki potansiyel siber saldırılara daha iyi hazırlanmak için eğitim, tatbikat ve ilgili bilgiler sağlamaya odaklanan üç hizmet.
- Yanıt Hizmetleri: Sahip ve operatör OT ağlarında meydana gelen kötü amaçlı siber etkinliklerin belirlenmesine, analiz edilmesine veya bunlara yanıt verilmesine yardımcı olmayı amaçlayan iki hizmet.
Bu ürün ve hizmetleri desteklemek için CISA, Ortak Siber Savunma İşbirliğinin ayrılmaz bir parçası olarak Nisan 2022'de Endüstriyel Kontrol Sistemleri çalışma grubunu kurdu.
Bu çalışma grubu, ülkenin OT sistemlerinin en iyi şekilde korunmasını stratejik olarak planlama, hükümetin OT siber güvenliğine ilişkin direktiflerini şekillendirme ve OT alanındaki özel ve kamu ortakları arasında bilgi paylaşımını teşvik etme amacına hizmet ediyor.