Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal, eyalet, yerel, kabile ve bölgesel (SLTT) hükümetlerin, özel sektör kuruluşlarının, ve uluslararası ortaklar, Başkanlık Politikası Direktifi 41 (PPD-41) kapsamında önemli siber olayları ele alıyor.
Bu hamle, ülke çapındaki kritik altyapıları ve hükümet sistemlerini hedef alan giderek daha karmaşık hale gelen siber tehditlere doğrudan bir yanıttır.
NCIRP güncellemesi, mevcut siber tehdit ortamını, yasal gelişmeleri ve kurumsal yeteneklerdeki ilerlemeleri yansıtacak şekilde 2016 versiyonunun revizyonunu gerektiren 2023 Ulusal Siber Güvenlik Stratejisi ile uyumludur.
Gözden geçirilmiş plan, devlet kurumları ve özel sektör arasındaki işbirliğini geliştirecek yeni mekanizmalar getirerek paydaşların önemli siber saldırıları tespit etme, yanıt verme ve bu saldırılardan kurtulmasını sağlıyor.
Güncellenmiş NCIRP’nin Temel Özellikleri
NCIRP, her siber olayın benzersiz olduğunu kabul ederek esnekliği ve ulusal çaba birliğini vurguluyor. Plan adım adım talimatlar sunmasa da bir siber olay sırasında koordinasyon ve ortaklık için net bir çerçeve sunuyor.
Belge, olay yaşam döngüsü boyunca katılımcıların potansiyel rollerini, karar verme süreçlerini ve temel müdahale faaliyetlerini özetlemektedir.
CISA, özel sektörü, SLTT hükümetlerini ve sivil toplum kuruluşlarını güncellenmiş NCIRP’yi gözden geçirmeye ve ilkelerini kendi siber güvenlik planlamalarına ve operasyonlarına entegre etmeye teşvik etmektedir.
Plan, her biri belirlenmiş lider kurumlar tarafından yönetilen dört temel “çaba hattı” (LOE) etrafında yapılandırılmıştır:
- Varlık Yanıtı: CISA liderliğindeki bu çaba, etkilenen kuruluşların siber varlıklarını korumalarına ve geri yüklemelerine yardımcı olmaya odaklanıyor.
- Tehdit Yanıtı: Adalet Bakanlığı (DOJ) ve Federal Soruşturma Bürosu (FBI) öncülüğünde yürütülen bu LOE, siber tehdit aktörlerinin tanımlanmasını ve azaltılmasını hedefliyor.
- İstihbarat Desteği: Ulusal İstihbarat Direktörü Ofisi (ODNI) tarafından yönetilen bu hat, durumsal farkındalığı artırmak için istihbarat paylaşımını kolaylaştırıyor.
- Etkilenen Kuruluşun Yanıtı: Federal departmanları veya kurumları ilgilendiren durumlarda, etkilenen her kuruluş, yanıtını CISA veya ABD Siber Komutanlığı gibi uzmanlaşmış kuruluşlarla ortaklaşa koordine eder.
NCIRP ayrıca, kritik fiziksel altyapıdaki kesintiler veya halk sağlığına yönelik riskler gibi siber uzayın ötesinde daha geniş sonuçları olan olayları ele almak için Federal Acil Durum Yönetim Ajansı’nın (FEMA) Ulusal Müdahale Çerçevesi gibi diğer federal çerçevelerden elde edilen bilgileri de entegre eder.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin
Gelişmiş Koordinasyon Yapıları
NCIRP, siber olayların giderek artan karmaşıklığını ele almak için iki temel koordinasyon yapısı tanımlamaktadır:
- Siber Müdahale Grubu (CRG): Başkanın liderliğindeki grubun bu İdari Ofisi, önemli siber olaylara yönelik politika geliştirmeyi ve stratejik rehberliği denetler.
- Siber Birleşik Koordinasyon Grubu (Siber UCG): Cyber UCG, büyük olaylar sırasında dört LOE genelindeki çabaları uyumlu hale getiren birincil ulusal operasyonel koordinasyon mekanizması olarak hizmet vermektedir.
Bu yapılar, olayları beş seviyeli bir ölçekte değerlendiren Siber Olay Önem Şeması tarafından belirlendiği üzere, olayın ciddiyetine ve etkisine göre etkinleştirilir. Önemli olaylar (Seviye 3 ve üzeri), NCIRP’nin koordinasyon mekanizmalarının tam olarak uygulanmasını gerektirir.
Siber Olaylara Müdahalenin Aşamaları
NCIRP, siber olaylara müdahaleyi iki ana aşamaya ayırır:
- Tespit Aşaması: Bu aşama potansiyel bir siber olayın ciddiyetinin belirlenmesine, doğrulanmasına ve değerlendirilmesine odaklanır. Temel faaliyetler arasında işbirlikçi risk değerlendirmeleri, etkilenen kuruluşlarla bilgi paylaşımı ve koordineli bir federal müdahalenin gerekli olup olmadığının belirlenmesi yer alıyor.
- Yanıt Aşaması: Bir olay doğrulandığında, müdahale çabaları saldırıyı kontrol altına almayı, ortadan kaldırmayı ve saldırıdan kurtulmayı amaçlar. Bu aşama aynı zamanda olayı ilişkilendirmek ve failleri sorumlu tutmak için kolluk kuvvetleri tarafından yürütülen soruşturmaları da içerir.
Büyük bir siber olayın ardından NCIRP, gelecekteki müdahale çabalarını iyileştirmek için öğrenilen derslerin yakalanıp uygulanmasının önemini vurguluyor.
CRG ve 14028 sayılı Yönetici Emri uyarınca oluşturulan Siber Güvenlik İnceleme Kurulu gibi diğer kuruluşlar tarafından yürütülen incelemeler, müdahalenin etkinliğini değerlendirecek ve iyileştirmeler önerecektir.
Güncelleme, yabancı siber tehditlere ilişkin endişelerin arttığı bir dönemde geldi. Bu yılın başlarında yapılan bir kongre duruşmasında CISA Direktörü Jen Easterly, ABD’nin kritik altyapısına sızdığı bildirilen “Volt Typhoon” gibi Çinli gruplar da dahil olmak üzere ulus devlet aktörlerinden gelen ileri düzey kalıcı tehditler konusunda uyardı. Revize edilen NCIRP, ülkenin bu tür saldırıları hızlı bir şekilde tespit etme ve bunlara yanıt verme yeteneğini güçlendirmeyi amaçlıyor.
CISA, farklı sektörlerdeki kuruluşları NCIRP’yi siber güvenlik planlamalarına ve operasyonlarına entegre etmeye çağırıyor.
Bu, olay raporlamaya yönelik en iyi uygulamaların benimsenmesini, kilit kurumlarla ve sektöre özgü risk yönetimi kuruluşlarıyla ilişkilerin geliştirilmesini ve Ortak Siber Savunma İşbirliği (JCDC) gibi işbirlikçi girişimlere katılmayı içerir.
Siber tehditler gelişmeye devam ederken CISA, NCIRP’nin siber olaylara karşı ulusal müdahaleleri koordine etmek için pratik ve etkili bir araç olarak kalmasını sağlamak amacıyla düzenli olarak güncellemeyi taahhüt etti.
Ajans ayrıca hazırlıklılığı daha da artırmak için sektöre özel ekler ve acil durum planları gibi ek kaynaklar geliştirmeyi planlıyor.