ABD’nin Maryland eyaleti, etik bilgisayar korsanlarına hükümet genelindeki sistemleri kusurlar ve güvenlik açıkları açısından inceleme şansı vermek ve onlara güvenli, basit ve şeffaf raporlama mekanizmaları sağlamak için eyalet çapında bir Güvenlik Açığı Açıklama Programı (VDP) başlattı.
Bugcrowd’daki bug bounty ve VDP programı uzmanları tarafından yürütülecek olan program, Maryland’in köklü bir bilgisayar korsanları topluluğuna, kanıtlanmış iş akışlarına ve ölçeklenebilir raporlama altyapısına erişmesini sağlayacak. Eyalet liderleri, bu şekilde çalışmanın hacker katılımını artıracağını, güvenlik açığı belirleme verimliliğini artıracağını ve dahili BT ekiplerinin eyaletin vergi mükellefleri için değeri korurken iyileştirmeye odaklanmasını sağlayacağını söyledi.
Maryland eyaleti CISO vekili James Saunders, LinkedIn’de şunları söyledi: “Siber güvenliğe genellikle bir takım sporu denir. Şuna derinden ve daha da önemlisi, hepimizin aynı takımda olduğumuza inanıyorum. Güvensiz bir şey görürseniz bunu bildirin. Her gözlem, savunmamızı güçlendirmemize ve birlikte gelişmemize yardımcı olur.
“Siber güvenlik özünde her zaman insanlarla ilgili olmuştur. Teknoloji önemlidir, ancak güven, iletişim ve paylaşılan sorumluluk daha da önemlidir. Bu çabalar bize işbirliği yaptığımızda, öğrendiğimizde ve birbirimizi koruduğumuzda Maryland’i birlikte daha güçlü hale getirdiğimizi hatırlatıyor!”
Maryland, böyle bir programı yürüten ilk Amerikan yargı bölgesi değildir; Kaliforniya, Iowa, Ohio, Delaware, Minnesota, Idaho, New Jersey, Los Angeles ve Washington DC de bu tür programları yürütmektedir, ancak şu anda VDP’nin oluşturulması, kısmen, şu anda kapalı olan federal hükümette kesintiler devam ederken eyalet hükümetleri arasında kendi işlerinin daha fazla sorumluluğunu üstlenme konusunda artan ivmeyi yansıtıyor.
Siber güvenlik sektöründe, Trump yönetimini eleştirenlerin ABD’nin hem kendi sınırları içinde hem de küresel sahnede siber tehditlere yanıt verme kapasitesini sınırladığını söylediği Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) yapılan kesintilerin ardından endişeler artmaya devam ediyor.
Kardeş başlığımıza göre, İç Güvenlik Bakanlığı bünyesinde yer alan CISA, son günlerde Paydaş Katılımı Bölümü’nün kapsamlı işten çıkarmalara maruz kaldığını gördü. Siber Güvenlik Dalışı. Konuya aşina kaynaklara dayandırılan raporda, son kesintilerin akademik kurumlarla, CNI operatörleriyle, devlet kurumlarıyla, kar amacı gütmeyen kuruluşlarla, KOBİ’lerle ve eyalet ve yerel yönetimlerle çalışan birimlerin fiilen personelsiz kalacağı bildirildi.
Zorunlu bilgi paylaşımı
Bu arada, yeni VDP’sine ek olarak Maryland, eyalette çalışan tüm devlet kurumlarının, yerel yönetimlerin, kritik altyapı operatörlerinin ve özel sektör ortaklarının katılımını zorunlu kılan şirket içi Bilgi Paylaşımı ve Analiz Merkezini (MD-ISAC) genişletiyor.
Saunders, gerçek zamanlı işbirliğinin ve güvenilir bilgi paylaşımının “günümüzün hızla gelişen siber ortamında kolektif dayanıklılığımız için hayati önem taşıdığını” söyledi.
Eyalet liderlerine göre, bir dizi “kritik siber güvenlik olayı”, Maryland’in hassas tehdit bilgilerini ve olay ayrıntılarını zamanında yaymak için tek, güvenli ve evrensel bir kanaldan yoksun olduğunu vurguladı.
Zorunlu katılım, siber ekiplerin yeni tehditleri araştırmasına ve tespit ve önleme yeteneklerini geliştirmesine olanak sağlamak için kapsam içi organlara bir tehdit göstergeleri havuzuna erişim sağlayacak; Maryland’in kendi sistemlerinde görülen kalıplar, eğilimler ve anormalliklerle ilgili spesifik tehdit verilerini belirtin; ve sürekli tehdit değişimi işbirliği yetenekleri.
Yönetilen bir güvenlik hizmetleri sağlayıcısı (MSSP) olan Xcape’in kıdemli güvenlik mühendisi Noelle Murata, “Maryland yetkilileri, araştırmacıların düzinelerce sorunu tespit ettiği daha önceki hata ödül pilotlarına, hacker topluluğunun dahil edilmesinin riski açıkça azalttığının kanıtı olarak işaret ediyor” dedi.
“James Saunders’ın eyalet CISO’su olarak yeni atanmasıyla proje, alım, güvenli liman raporlaması ve kurumlar arasında iyileştirmenin standartlaştırılması yönünde bir çaba öneriyor. VDP ve MD-ISAC’ın ortak hedefi, geçici bulguları eyalet çapında hız uyarılarına ve eyleme geçirilebilir çözümlere dönüştürmektir.
“Maryland’in savunuculara ve araştırmacılara mesajı basit; bir şey görürseniz söyleyin, birlikte hızla düzeltelim” dedi.