Kritik Altyapı Güvenliği, Devlet, Sektöre Özel
ABD Siber Savunma Ajansı Kapsam Dahilindeki Kuruluşlar için 72 Saatlik Raporlama Kuralı Önerdi
Chris Riotta (@chrisriotta) •
27 Mart 2024
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, kapsam dahilindeki kuruluşların belirli siber olayları tespit edildikten sonraki 72 saat içinde federal hükümete bildirmelerini gerektirecek yeni düzenlemeler hakkında kamuoyundan geri bildirim bekliyor.
Ayrıca bakınız: FedRAMP ve StateRAMP'ı Anlamak
Siber savunma kurumu Çarşamba günü Federal Kayıt'a, kritik altyapı sektörleri için siber olay raporlama gerekliliklerini geliştirmeye yönelik yıllar süren çabanın bir parçası olarak önerilen kural koyma bildirimini yayınladı. CISA, Başkan Joe Biden'ın 2022 Kritik Altyapı için Siber Olay Raporlama Yasasını imzalamasının ardından kural oluşturma çabalarına öncülük etmeye başladı.
Mevzuat, federal kurumlara tespit edilen siber olaylara ilişkin raporları CISA'ya paylaşmaları için 24 saat veriyor ve İç Güvenlik Bakanlığı'na, federal olay raporlama gerekliliklerini koordine etmek için hükümetler arası bir Siber Olay Raporlama Konseyi kurma görevi veriyor.
İç Güvenlik Bakanı Alejandro Mayorkas yaptığı açıklamada, “CIRCIA aracılığıyla bize gönderilen siber olay raporları, ulusumuzun kritik altyapısını daha iyi korumamızı sağlayacak.” dedi. Olay raporlama gerekliliklerinin departmanın ve CISA'nın eğilimleri daha iyi tespit etmesine ve “diğer potansiyel kurbanlarla bilgileri hızlı bir şekilde paylaşmasına” olanak tanıdığını ekledi.
Önerilen kural oluşturma, CISA'nın kapsam dahilindeki kuruluşlara yönelik nihai düzenlemelerine dahil etmeyi amaçladığı spesifik raporlama gerekliliklerini ayrıntılarıyla anlatmaktadır. Teşkilat, kuruluşlardan fidye ödeme raporlarının saldırganların kimliğinin yanı sıra kurbanın fidye ödemesini veya altta yatan saldırıyı çözerken kolluk kuvvetleriyle iletişime geçip geçmediği hakkında bilgi içermesini istiyor.
Önerilen kural koyucu eyaletler, “Bu tür bilgiler, CIRCIA tarafından kurulan Ortak Fidye Yazılımı Görev Gücü'nün etkili operasyonları için son derece yararlı olacak ve federal hükümetin koordinasyonsuz yasa uygulama faaliyetleri potansiyelini en aza indirmesine yardımcı olacaktır.”
CISA, önerilen kuraldan potansiyel olarak 316.244 kuruluşun etkilenebileceğini, bunun da özel sektöre 1,4 milyar dolar, federal hükümete ise 1,2 milyar dolar maliyet getireceğini tahmin ediyor.
CISA Direktörü Jen Easterly, yaptığı açıklamada CIRCIA'yı “oyun değiştirici” olarak nitelendirdi ve şunları ekledi: “Nihai kuralı geliştirmeye doğru ilerlerken, kritik altyapı topluluğundan ek geri bildirimler bekliyoruz.”
Önerilen kuralların ele aldığı önemli sorulardan biri, hangi kritik altyapı operatörlerinin raporlama gereklilikleri kapsamına gireceğidir. DHS, kuralın şunları kapsaması gerektiğini söylüyor:
- Telekomünikasyon, kablolu yayın operatörleri ve radyo ve televizyon yayıncıları dahil kablolu veya radyo iletişim hizmetleri sağlayıcıları;
- Elektrikli ekipman, makine veya birincil metal üreticilerinin yanı sıra ulaşım ekipmanı imalatçıları;
- Hassas bilgilerle temasa geçen savunma yüklenicileri;
- Kolluk kuvvetleri ve yangın ve kurtarma da dahil olmak üzere acil durum hizmet sağlayıcıları;
- Toplu elektrik ve dağıtım kuruluşları;
- Federal Rezerv, Federal Mevduat Sigorta Şirketi veya Emtia Vadeli İşlemler Ticaret Komisyonu dahil olmak üzere halihazırda federal kurumlar tarafından denetlenen bankalar veya finansal hizmetler;
- Eyalet, yerel, kabile ve bölgesel yönetimler;
- 1.000'den fazla öğrenciye hizmet veren eğitim kurumları ve yüksek öğretim kurumları;
- Hastanelerin yanı sıra bazı ilaç ve tıbbi cihaz üreticileri;
- “Bilgisayar kaynakları ağına doğrudan veya ayrıcalıklı erişime” sahip olan bilgi teknolojisi üreticileri, orijinal ekipman üreticileridir, “güvenilmesi gereken kritik bir işlevi” yerine getirir veya operasyonel teknolojiyi kontrol eder;
- Demiryolu, otobüs, deniz ve uçak operatörleri ve kargo tarama tesisleri;
- Su sistemleri.
Bu bir son dakika haberidir ve mevcut oldukça daha fazla bilgi ile güncellenecektir.