Illumio Federal Teknolojiden Sorumlu Başkan Yardımcısı Gary Barlet
Dünya, 2022’de siber güvenliğe yaklaşık 170 milyar dolar harcayacak ve bunun yaklaşık 20 milyar doları federal hükümet tarafından harcanacak – ancak fidye yazılımı saldırıları yakın zamanda herhangi bir yavaşlama belirtisi olmadan hala artıyor. Bu nedenle 2023-2025 Siber Güvenlik ve Altyapı Güvenliği Ajansı Stratejik Planı bu kadar önemli bir belgedir. Gelişen tehditlerin önünde kalmak istiyorsak, siber güvenliğe toplu yaklaşımımızın değişmesi gerektiğinin bir kabulüdür.
Dayanıklı Bir Zihniyete Geçiş
Plan, büyük ölçüde siber uzayda dayanıklılığı artırmaya ve korumaya odaklanan yeni bir yolun ana hatlarını çiziyor. Plandaki ilk hedef (1.1), “federal sistemlerin siber saldırılara ve olaylara dayanma kabiliyetini artırmak”tır – “FCEB [federal civilian executive branch] ajanslar siber saldırılara ve olaylara hazırlıklı ve hızlı bir şekilde toparlanabiliyor” ve “FCEB ajansları siber saldırılar ve olaylar sırasında ve sonrasında görev sürekliliğini koruyor”. Bu, saldırıları önlemeye ve çevreyi aştıklarında hızlı bir şekilde tespit etmeye odaklanan geleneksel güvenlik yaklaşımlarından kasıtlı bir geçiştir.
Başarılı siber saldırılar, bu tür önleme odaklı taktiklerin artık güvenilir bir şekilde çalışmadığını tekrar tekrar kanıtladı. Bu geleneksel güvenlik modelleri, hiper bağlantılı, dijital öncelikli bir ortamın yarattığı sorunları çözemez. Fidye yazılımları ve kötü aktörler, çevreyi ihlal etmek ve tespit edilmekten kaçınmak zorundadır.
CISA’nın Stratejik Planı, artık siber güvenlikte yeni bir çağda olduğumuzu kabul ediyor – bu, ihlalleri tecrit etmeye ve zararları azaltmak ve sürekli operasyonları sürdürmek için bunların etkilerini en aza indirmeye odaklanan, ihlallerin kontrol altına alınmasına ve esnekliğe dayalıdır. Bu, teknoloji kadar zihniyet değişikliğini de gerektiriyor. Yalnızca siber saldırıların kaçınılmaz olduğunu anlayarak etkiyi etkili bir şekilde sınırlayabiliriz. Hedef 1.1, ajans zihniyetlerini “ihlalleri önlemek”ten “ihlalin üstlenilmesine” kaydırır – zamanında ve çok önemli bir geçiş.
Risk azaltma ve esneklik, günümüzde siber stratejilerin giderek ön saflarında yer almakta ve ajansların reaktif bir duruştan proaktif bir duruşa geçmesine yardımcı olmaktadır. Süreç, saldırı yüzeyini küçültmekle (daha fazla federal kurumun Sıfır Güven Mimarisi’ne doğru geniş çaplı bir geçişle yaptığı bir şey) ve etkiyi en aza indirmek için görünürlüğü artırmakla başlar.
Ajanslar ayrıca stratejik ve etkili savunmayı bilgilendirmek için kapsamlı bir görünürlüğe sahip olmalıdır. Ağlar, bulut iş yükleri, uç noktalar ve kritik altyapılar arasında görünürlüğü artırmaya odaklanmalıdırlar. Ajanslar ayrıca, sivil operasyonlar veya daha geniş yazılım tedarik zinciri için bir tehdit haline gelmeden önce riskleri tespit edip kontrol altına almanın yollarına sahip olmalıdır. Sıfır Güven Segmentasyonu (yani mikro segmentasyon) gibi Sıfır Güven yetenekleri, bu gibi senaryolarda tehditleri izole etmeye ve riski azaltmaya yardımcı olabilir.
Hesap Verebilirlik İhtiyacı
CISA’nın Stratejik Planı, federal kurumları, hükümetin ulusal siber yaklaşımları modernize etmek için yüzleşmesi gereken en büyük değişikliklerden biri olan esnekliğe dayalı bir zihniyete geçmeye teşvik etme açısından iyi iş çıkarıyor. Ancak, planın ele almadığı iki büyük sorun var: hesap verebilirlik ve finansman.
Hesap verebilirlik, şirketlerin bir siber saldırı nedeniyle işlerini kaybetme veya başarısız olma riskiyle karşı karşıya olduğu özel sektörde varsayılan olarak mevcuttur, ancak devlet kurumları hala engellerle karşı karşıyadır. Devlet kar amacı güden bir kuruluş değildir ve işlerini rakiplerine kaptırmaz. Ajans liderlerinin bir siber güvenlik direktifini karşılayamadıkları için işlerini kaybetmeleri pek olası değildir.
CISA’nın planı, kolaylaştırılmış yönetim ve kurumlar arası işbirliği süreçlerine kafa sallayarak doğru yönde bir adım atarken, ayrıntılardan yoksundur. Özellikle ihmal, hesap verebilirliği uygulamaya yönelik hedefler ve stratejilerdir. Hedeflere ulaşmak için belirli zaman dilimleri vermez veya belirli iş işlevlerine sorumluluklar atamaz.
Ne yazık ki, tarih, federal siber güvenlik talimatlarına hesap verme sorumluluğunun, söylenenden daha kolay olduğunu göstermiştir. Örneğin, 2004 yılında yayınlanan HSPD-12, ajanslar arasında çok faktörlü kimlik doğrulamanın (MFA) benimsenmesini teşvik etmeye yönelik bir adımdı. Ancak neredeyse yirmi yıl sonra, federal hükümet hala departmanları MFA’ya duyulan ihtiyaç konusunda eğitiyor. Neden? Niye? Çünkü federal hükümette değişim yavaş gerçekleşir.
Finansman Arayışı
CISA’nın planında eksik olan diğer önemli parça ise finansman. Ajanslar, personel istihdam edemez ve hedeflerini yeterince finanse edemezlerse, bu hedeflere ulaşamazlar veya onlardan sorumlu tutulamazlar. Planlar ancak personel ve para gibi kaynaklar onları yedeklerse uygulanabilir. Çoğu federal kurum, yılda yalnızca birkaç yeni proje uygulayacak kaynaklara sahiptir, bu nedenle belirli bir proje için finansman sağlamak yıllar alabilir.
Federal ajans finansmanı, uzun bütçeleme döngüleri, devam eden kararlar ve diğer çeşitli ekonomik kısıtlamalar gibi faktörlerden de etkilenir. Finansman önceliklerinin net bir taslağı ve bu tür planların eyleme dönüştürülmesine yardımcı olacak ek dolarlar olmadan, hükümet siber saldırganlara karşı yarışta her zaman ayak bileklerinde ağırlıklarla koşacaktır.
Yine de, CISA’nın Stratejik Planı doğru yönde atılmış büyük bir adımdır. Federal hükümetin ulusal siber güvenliğe yaklaşımını değiştirme zamanının geldiğini iletmek için en sonuncusu. Tehdit aktörleri evrim geçirirken ve saldırı yüzeyi hızla genişlerken, geleneksel bir “ihlalleri önleme” yaklaşımından “ihlal varsayma” zihniyetine geçmeliyiz. Ancak geleceğe baktığımızda, hesap verebilirliğin ve kaynakların bunun gibi yeni hedeflere nasıl bağlandığını da düşünmemiz şart. Gerçek değişimi yönlendirebilecek ve ulusal direncimizi geliştirebilecek tek şey eylem ve sorumluluktur.
yazar hakkında
Gary Barlet, hükümet Zero Trust mimarisinin stratejik bir bileşeni olarak Zero Trust Segmentation oluşturmak için devlet kurumları, müteahhitler ve daha geniş ekosistemle birlikte çalışmaktan sorumlu olduğu Illumio’da Federal Teknolojiden Sorumlu Başkan’dır. Daha önce Gary, Amerika Birleşik Devletleri Posta Servisi Genel Müfettişliği Ofisi’nde Baş Bilgi Görevlisi (CIO) olarak görev yaptı. Bilgi teknolojisi politikasından ve üst düzey liderlere teknik uzmanlık sağlamaktan sorumlu olduğu Hava Kuvvetleri CIO’su için Kara Ağları Şefi ve Ulusal Hava Muhafızları CIO’su için Ağlar Şefi dahil olmak üzere birçok CIO kadrosunda kilit pozisyonlarda bulundu. 20 yıl boyunca Siber Uzay Operasyonları Subayı olarak görev yaptığı Birleşik Devletler Hava Kuvvetleri’nden emekli bir Yarbaydır.
Gary’ye çevrimiçi olarak https://www.linkedin.com/in/gary-barlet-4384115/ adresinden ve şirketimizin web sitesi https://www.illumio.com/ adresinden ulaşılabilir.