Geçenlerde, Siber Güvenlik ve Altyapı Güvenliği Teşkilatında (CISA) üst düzey yetkililerle bir saat verildiğimi hayal etmem istendi – bunun 2023 ve sonrasında daha da büyük bir etkiye sahip olmasına yardımcı olmak için ne tavsiye ederdim?
ABD hükümeti, İç Güvenlik Bakanlığı’nın himayesinde CISA’yı ancak 2018’de oluşturdu. Sadece birkaç yıl içinde, halkı takdire şayan bir iş çıkardı. CISA’nın yayınladığı içeriğin kalitesi, ister tavsiyeler, ister infografikler veya videolar olsun, sürekli olarak birinci sınıftır. Yayınları eğitici, erişilebilir ve zamanında – siber güvenlik gibi hızlı hareket eden bir alanda gereklidir.
Diğer bir güçlü yönü ise, teşkilatın ön cephe güvenlik uygulayıcılarının aletlerini kullanmalarına, davetsiz misafirleri iş başında yakalamalarına veya girmelerini en baştan engellemelerine yardımcı olmak için sağladığı teknik göstergelerdir.
Ancak siber saldırıların sayısı artmaya ve daha karmaşık hale gelmeye devam ettikçe, CISA bu başarıyı geliştirebilir ve daha da iyisini yapabilir. Bu ruhla, CISA yetkilileriyle hayali bir görüşmemde bu tavsiyeyi verirdim.
Siber Güvenlik Çerçevesini güncelleme ve ilerlemeyi ölçme
Benim bakış açıma göre ajans, 2014’te ortaya koyduğu ve 2018’de güncellediği Siber Güvenlik Çerçevesini – insanların NIST Siber Güvenlik Çerçevesi (CSF) sürüm 1.0 olarak adlandırdığı) güncellemek için NIST ile işbirliği yapabilir. Orijinal, her kuruluşa veya işletmeye bir yekpare olarak hitap eder. İç Güvenlik Departmanı daha sonra sektöre özel uygulama rehberliği sağlamıştır.
Bir yenilemede, CISA ve NIST, bir kuruluşun ağ, bulut, mobil ve sayısız uç nokta (ve dolayısıyla birçok ayrı potansiyel güvenlik açığı) dahil olmak üzere bileşen parçalarından oluştuğu gerçeğini kabul etmelidir. Çerçevenin 2.0 sürümü, kuruluşların bu unsurların her birinde bulunan farklı güvenlik sorunlarını daha iyi ele almasını sağlayacaktır.
Ayrıca, bir kuruluşun siber güvenlik çerçevesinde ortaya konan en iyi uygulamalara göre nerede olduğunu anlamasına yardımcı olacak bir ölçüm çubuğu eklemenizi öneririm. Ajansın dile getirdiği reçeteler genellikle basit ve doğrudandır. Ancak, bir kuruluşun belirtilen en iyi uygulamalara giden yolun yüzde 20’sinde mi yoksa yüzde 60’ında mı olduğunu gösteren bir ilerleme çubuğu gibi bir şey tavsiye ederim.
Kuruluşların iş risklerine yönelik kararlar alması gereken bir dünyada, neyin iyi, daha iyi veya en iyi olduğunu bilmek çok yardımcı olabilir. Sürekli gelişen siber tehditler ve önerilen en iyi güvenlik uygulamaları ile hiçbir kuruluş tam olarak yakalanamaz. Yine de durumunu bir olgunluk ve bağlılık ölçeğinde görmek, bir kuruluşun güvenlik açıklarını ve önceliklerini daha iyi anlamasına yardımcı olur.
Markayı oluşturun ve odağı genişletin
Pazarlama, hayal ettiğim toplantıda gündeme getireceğim başka bir alandır. Güvenlik alanındaki herkes, bir içerik seliyle ve bitmek bilmeyen haber ve tehdit bültenleriyle mücadele ediyor. CISA’nın malzemeleri, gürültüyü kesmek için mükemmeldir. Yine de çok az sayıda şirket ve kuruluş CISA’nın ürettiklerini görüyor ve onun değerli tavsiyelerine uyuyor.
CISA yetkililerine şunları söylerdim: Ürünleriniz en güçlü yanlarınızdan biri, ancak daha geniş bir kitleye ulaşmak açısından iyileştirmeye yer var.
Ajansın da odağını genişletmesi gerekiyor. Şu anda, CISA üç ana hedef kitleye odaklanmaktadır:
1. Tüm hükümet seviyeleri
2. Büyük işletmeler
3. Kritik altyapı (elektrik şebekesi ve ülkenin su sistemleri gibi)
Bu üç kilit alandan birinde çalışan güvenlik uzmanları için CISA, tavsiye ve destek materyalleri yayınlama konusunda iyi bir iş çıkarıyor. Ve anlaşılır bir şekilde, CISA ilk yıllarında, çalışanları yeni bir varlık inşa ederken öncelikler belirleme ihtiyacı duydu.
Şimdi, misyonu genişletmenin ve daha büyük emsalleri kadar savunmasız olan ve genellikle daha fazla yardıma ihtiyaç duyan orta ve küçük ölçekli işletmeleri ve kuruluşları desteklemek için kapasite oluşturmanın zamanı geldi.
CISA’nın Kongre’nin kendisine verdiği parayla ancak bu kadarını yapabileceğinin farkındayım, ancak 2023 için 2,9 milyar dolarlık bir bütçe tahsis eden yakın tarihli çok amaçlı harcama anlaşması doğru yönde atılmış bir adım. Bu yıl, bu, 500 kadar az kişiyi istihdam eden orta ölçekli kuruluşları içerecek şekilde genişleme anlamına gelebilir. Bundan sonra, federal fonlar isterse, CISA yetkilileri daha küçük kuruluşlara ulaşma zorluğunu üstlenebilir.
Daha kapsamlı paylaşım güveni artırabilir
Son olarak, CISA’nın, ihlalde bulunan şirketlerden daha fazla bilgi toplamaya yardımcı olan bir çözümün parçası olması gerekiyor. Bazı izinsiz girişler, bir şirketin halkı uyarmasını gerektirir, ancak birçoğu bunu gerektirmez, bu da güvenlik açıklarının raporlanmasında bir tutarsızlık anlamına gelir. Daha tutarlı bir raporlama kuralları dizisine ve bu bilgileri işlemeye yönelik bir mekanizmaya sahip olmak kamu yararınadır. İnsanlar istihbaratı oraya ne kadar hızlı ulaştırırsa, bir saldırının etkisi o kadar hafif olur.
Bazıları, CISA’nın bir siber olayın zorunlu olarak bildirilmesi için eşiği düşürmesi gerektiğini savunuyor. En azından müşterilerin kişisel bilgilerini tehlikeye atmayan ihlaller konusunda henüz o noktada olmadığımızı düşünüyorum. İlk olarak, hükümetin kendi bildirdiği verilerle ne yapacağı sorusu var.
CISA’nın anahtarı güven oluşturmaktır. Bu, bir şirketin paylaştığı verilerin nasıl kullanılacağı ve nasıl korunacağı konusunda netlik sağlamak anlamına gelir. Gerekirse, belirli raporlama vakaları için anonimlik sözü verin.
Ayrıca, haber medyasındaki çoğu güvenlik kapsamına damgasını vuran karamsarlığa karşı koymak için olumlu hikayeleri öne çıkarma şansı da vardır. Kamuoyunun bildiğinden veya duyduğundan daha sık olarak, bir kuruluş, sahip oldukları güvenlik sistemleri nedeniyle bir davetsiz misafiri başarılı bir şekilde savuşturur ve etkisiz hale getirir. Bu kahraman hikayeleri dikkate değerdir ve CISA, kendini beğenmiş müstakbel kurban ek saldırılara davet etmesin diye – yine anonim kalsalar bile – bunların tanıtılmasına yardımcı olabilir.
Ancak 2023’te hangi adımları atarsa atsın, CISA’nın güçlü olduğu alanlarda – bilgi paylaşımı ve en iyi uygulamalar – devam eden mükemmelliğini dört gözle bekliyorum.
Saldırganlar, kimlik avı saldırıları ve fidye yazılımı gibi işe yarayan hareketleri kullanmaya devam edecek. Ve neden olmasın? Bunu basketbola benzetiyorum, çemberden uzakta 3 sayılık atışlar yapmaya çalışmak, bir oyuncu sürekli olarak kolay turnikeleri atarak gol atabiliyorsa pek mantıklı değil. Kuruluşların bir sonraki saldırı için ellerinden gelenin en iyisini yapmalarına yardımcı olmak için elinden gelen her şeyi yapmak CISA gibi kritik kurumların görevidir.