SAN FRANCISCO — Siber Güvenlik ve Altyapı Güvenliği Ajansı, temel hataları müşterileri etkilediğinde teknoloji satıcılarına seslenme eğiliminde değil; yetkililer, bu hataları fark edip daha geniş bir kitleye genelleyerek daha büyük bir etki yaratabileceklerini iddia ediyorlar.
“Yıllardır, onlarca yıldır bozulan bir ekosistemi güvence altına almak için birden fazla araç kullanmak zorundayız.” CISA Direktörü Jen Easterly Salı günü RSA Konferansında bir medya brifinginde söyledi.
Easterly, “Şirketler açıkça ulusal güvenliğe zarar verebilecek şeyler yaptığında şirketleri uyarmak gibi şeyleri gerektirir, ancak aynı zamanda bu şirketlerle gerçek ortaklıklar da gerektirir” dedi. “Biz bir düzenleyici değiliz, biz bir emniyet teşkilatı değiliz; başarısı büyük ölçüde ortaklarla, ortaklarla ve ortaklar aracılığıyla çalışmaya dayalı bir ortaklık kurumuyuz.”
Siber Güvenlik İnceleme Kurulu’nun Çin’e bağlı bir tehdit grubunun geçen ayki raporu Microsoft Exchange hesaplarına izinsiz giriş ve bunların ele geçirilmesi Mayıs 2023’teki olay, federal hükümetin güvenlik kusurlarından dolayı belirli bir satıcıya seslenmesinin açık ve güncel bir örneğidir.
Ancak CSRB’nin Microsoft’a yönelttiği acı sonuçlar ve eleştiriler norm değil istisnadır.
İç Güvenlik Bakanlığı ve CISA, Şubat 2022’de hükümet yetkilileri ve siber güvenlik uzmanlarından oluşan 15 üyeli bir kurul oluşturdu. Bu ayın başlarında dört özel sektör yöneticisi kurula katıldı. ayrılan üyelerin değiştirilmesi.
Geçen ayın CSRB raporu, belirli bir tedarikçiye ilişkin ilk rapordu; önceki iki rapor, Log4j güvenlik açığı ve Lapsus$ fidye yazılımı grubu.
CISA’nın siber güvenlikten sorumlu yönetici yardımcısı Eric Goldstein, en son CSRB raporunun bir satıcının iş kararlarının müşterileri için nasıl güvensiz ve zararlı sonuçlara yol açtığını örneklendirdiğini söyledi.
Goldstein, “Aynı zamanda bir satıcı tarafından verilen güvensiz bir kararın, büyük olasılıkla bir satıcı sınıfı genelinde genelleştirilebileceği de bir gerçektir” dedi.
CISA için bu, ajansın şu şekliyle gelir: tasarım uyarı serisiyle güvenlibelirli güvenlik açıklarını ve kötü amaçlı etkinlikleri daha geniş çapta uygulanabilir bir mesaja ve satıcılar için eylem çağrısına dönüştüren bir çözümdür.
Goldstein, bu uyarıların CISA’nın işletmelerin genel olarak güvenliğin iyiliği için nerede farklı kararlar alabileceğini vurgulamasına olanak tanıdığını söyledi.
Goldstein, “Müşterilerin ne isteyeceklerini bilecekleri, talebe göre güvenli bir sinyal oluşturmak için çalışıyoruz” dedi. “Bu aslında ölçeklenebilir değişimi yönlendirmenin, sorunun simgesi olabilecek tek bir satıcıyı belirtmekten daha etkili bir yolu.”
CISA liderleri, teknoloji satıcılarını kamuya açık bir şekilde isimleriyle yargılamak veya eleştirmek konusunda istekli değiller; bunun nedeni kısmen, pek çok şirketin güvenliğe değil pazara sunma hızına ve özelliklere öncelik veren eski teknoloji ve yatırım kararlarıyla yükümlü olması.
Easterly, hiçbir CISO’nun federal sivil yürütme organına büyük bir ihlal veya müdahaleden sorumlu olmak istemediğini, hepsinin güvenli ürünler yaratmak istediğini ancak on yıllardır güvenliğe daha az önem veren iş kararlarıyla uğraştıklarını söyledi.