3 Haziran’da, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) Kritik Altyapı için Siber Olay Raporlama Yasası (CIRCIA) kapsamındaki Önerilen Kural Yapma Bildirimi (Önerilen Kural) için kamuoyunun yorum yapma süresi sona erdi. CISA’nın artık herhangi bir değişiklik yapması ve Nihai Kuralını yayınlaması için Ekim 2025’e kadar süresi var.
CIRCIA nedir?
CIRCIA, belirli kritik altyapı sektörlerinde faaliyet gösteren kuruluşlara yönelik artan sayıda siber tehdit ve saldırıya yanıt olarak Mart 2022’de yasalaştı. CIRCIA kapsamında, 16 kritik altyapı sektöründeki şirketlerin, “şirketin olayın meydana geldiğine makul şekilde inanmasından sonra” 72 saat içinde önemli siber saldırıları bildirmeleri gerekecektir. Fidye yazılımı ödemeleri de yapıldıktan sonraki 24 saat içinde bildirilmelidir. Şirketler ayrıca olaydan sonraki iki yıl boyunca belirli belgeleri saklamak zorundadır. CISA’nın bu Nisan ayında yayınlanan 447 sayfalık Önerilen Kuralı, hangi şirketlerin kapsam dahilinde olduğunu ve hangi olayların bildirilmesi gerektiğini belirleme kriterlerini ortaya koymaktadır.
Kimler Bildirmek Zorundadır?
CIRCIA, “kritik altyapı sektöründe” faaliyet gösteren şirketler için geçerlidir, ancak yasanın kendisi bu sektörlerde hangi şirketlerin yer aldığını tanımlamaz. Ancak Önerilen Kural yorumu, tanımın 2015 yılında Başkanlık Politika Direktifi 21 kapsamında geliştirilen kritik altyapı Sektöre Özgü Planlardaki sektör tanımlarına bağlı olduğunu göstermektedir.
Önerilen Kural, raporlama yükümlülüklerinin geçerli olması için şirketin yalnızca 16 kritik altyapı sektöründen birinde faaliyet göstermesi değil, aynı zamanda (1) ABD Küçük İşletme İdaresi’nin (SBA) küçük işletme boyutu standardını aşması veya (2) 16 kritik altyapı sektörünün 13’ü için belirli sektör tabanlı kriterleri karşılaması gerektiğini daha da açıklığa kavuşturmaktadır. Bu sektör tabanlı kriterler, SBA kriterlerinden bağımsızdır. Örneğin, 100’den az yatağa sahip sağlık tesislerinin olayları bildirmesi gerekmez, ancak “kritik erişim” hastanelerinin boyuttan bağımsız olarak bildirim yapması gerekir. (Önerilen Kural, Ticari Tesisler, Barajlar veya Gıda ve Tarım sektörleri için herhangi bir sektör tabanlı kriter içermez.)
Ne Zaman Bildirilmelidir?
Önerilen Kural, şirketlerin genellikle kapsam dahilindeki siber olayın gerçekleştiğine “makul şekilde inandıkları” tarihten 72 saat sonra ve fidye ödemesi yapıldıktan 24 saat sonra “önemli” siber olayları bildirmelerini gerektiriyor.
Bir siber olay ne zaman “önemli” sayılır?
Bir siber olay, aşağıdakilerden herhangi birine yol açıyorsa “önemli” sayılır:
- Bir bilgi sistemi veya ağının gizliliğinin, bütünlüğünün veya kullanılabilirliğinin önemli ölçüde kaybı.
- Operasyonel sistem ve süreçlerin güvenliği ve dayanıklılığı üzerinde ciddi bir etki.
- Bir şirketin ticari veya endüstriyel faaliyetlerini sürdürme veya mal veya hizmet sunma yeteneğinin bozulması.
- Bulut hizmeti sağlayıcısı, yönetilen hizmet sağlayıcısı veya diğer üçüncü taraf veri barındırma sağlayıcısının bir ihlali veya tedarik zinciri ihlali yoluyla kolaylaştırılan veya neden olunan bilgi sistemlerine veya ağlarına veya bunlarda bulunan herhangi bir kamuya açık olmayan bilgiye yetkisiz erişim.
Önemli siber olaylara örnek olarak şunlar verilebilir: (1) bir şirketin hizmetlerini veya mallarını uzun bir süre boyunca müşteriler için kullanılamaz hale getiren dağıtılmış hizmet reddi (DDoS) saldırısı, (2) bir temel işletmeyi veya bilgi sistemini şifreleyen bir siber olay ve/veya (3) yönetilen bir hizmet sağlayıcısından tehlikeye atılmış kimlik bilgilerini kullanarak bir şirketin iş sistemlerine yetkisiz erişim.
Ancak Önerilen Kural uyarınca her olay raporlanabilir olmayacaktır. Örneğin, müşterilere kritik işlevler veya hizmetler sağlamayan bir şirketin web sitesinin yalnızca kısa bir süre kullanılamamasına neden olan bir DDoS saldırısı rapor gerektirmez; aynı şekilde yalnızca küçük kesintilere veya tek bir kullanıcının kimlik bilgilerinin tehlikeye atılmasına neden olan bir siber olay da rapor gerektirmez. İndirilen kötü amaçlı yazılımlar da, antivirüs yazılımının başarılı bir şekilde çalışmasını engellemesi durumunda raporlanabilir olmayacaktır.
Yani örneğin, müşterilerin bir şirketin web sitesini ziyaret etmesini yalnızca geçici olarak engelleyen bir DDoS saldırısı önemli bir saldırı olmayacaktır; ancak kritik işlevler için önemli bir kesintiye neden olan benzer bir DDoS saldırısı kriterleri karşılayacaktır.
Bir şirket bir olayı ne zaman bildirmek zorundadır?
Önerilen Kural, bir şirketin kapsanan bir olayın meydana geldiğine dair “makul inancının” öznel olduğunu kabul eder. Birçok durumda, bir şirketin bir siber olayın meydana geldiğine dair makul bir inanca ulaşmadan önce bir miktar “ön analiz” yapması gerekecektir. Ancak CISA, Önerilen Kuralında, herhangi bir ön analizin “makul bir inanç” elde edilebilmesi için nispeten kısa süreli olması gerektiğini (yani, günler değil, saatler) ve genellikle konunun uzmanı düzeyinde ve yönetici düzeyinde değil gerçekleşeceğini” belirtmiştir.
Bir şirket neyi raporlamalıdır?
Önerilen Kural uyarınca, bir şirketin aşağıdakilerin tümünü içeren olay raporlarını web tabanlı bir portalda sunması gerekecektir:
- Olayı, etkilenen bilgi sistemleri, olayın zaman çizelgesi ve operasyonel etkisi de dahil olmak üzere anlatan bir açıklama.
- Herhangi bir güvenlik açığının açıklaması ve kapsam dahilindeki kuruluşun güvenlik kontrolleri.
- Failin kullandığı taktikler, teknikler ve prosedürler (TTP’ler) ve bunlarla ilişkili uzlaşma göstergeleri.
- Kolluk kuvvetleri de dahil olmak üzere herhangi bir üçüncü tarafın yardım için görevlendirilip görevlendirilmediği ve bu üçüncü tarafların kimlikleri.
Fidye ödeme raporları için CISA, fidye talep tutarı, ödeme tarihi, ödenen tutar ve fidye ödemesinin sonucuyla ilgili ayrıntıların yanı sıra benzer bilgileri de talep ediyor.
CISA Bu Bilgilerle Ne Yapar?
Yeni raporlama yükümlülükleriyle birlikte ifşaların nasıl kullanılacağına dair endişeler de ortaya çıkıyor. Bunlar, bir raporlama şirketinin olayla ilgili sorumluluğunu etkilemese de, CIRCIA bu raporlar için belirli korumalar sağlıyor. CISA’ya sağlanan bilgiler, federal bir kurum tarafından yalnızca (1) bir siber güvenlik amacı için; (2) bir siber güvenlik tehdidini veya güvenlik açığını belirlemek için; ve (3) belirli bir ölüm, ciddi bedensel zarar veya ciddi ekonomik zarar tehdidine yanıt vermek veya bunları azaltmak için ifşa edilebilir veya kullanılabilir. Yalnızca bir raporun sunulması veya CISA’dan gelen bir bilgi talebine yanıt verilmesi temelinde hiçbir yaptırım eylemi gerçekleştirilemez. Ayrıca, raporlar, yanıtlar ve ilgili iletişimler kanıt olarak kabul edilemez, keşfedilemez veya herhangi bir yasal işlemde kullanılamaz. Kapsam dahilindeki bir kuruluş, isterse raporunu “ticari, finansal ve özel bilgi” olarak belirleyebilir ve raporlar, Bilgi Edinme Özgürlüğü Yasası (FOIA) ve benzeri yasalar uyarınca ifşadan muaftır.
Bildirilmediğinde Ne Olur?
Önerilen Kural, CISA’ya, “kuruluşun kapsam dahilindeki bir siber olay yaşadığına veya fidye ödemesi yaptığına ancak olayı veya ödemeyi bildirmediğine inanmak için sebep varsa…” şirketlere bilgi ifşasını zorunlu kılan celpler çıkarma yetkisi veriyor. Bir şirket uymaz veya yetersiz ya da yanlış bir yanıt verirse, CISA soruşturmayı, hukuki işlem başlatmak veya satın alma cezaları, askıya alma veya men cezası talep etmek için ABD Adalet Bakanlığı’na yönlendirebilir.
Sıradaki ne?
CISA’nın 4 Ekim 2025’e kadar herhangi bir değişiklik yapması ve Nihai Kuralını yayınlaması gerekiyor. CISA, nihai kuralın 2026’nın başlarında yürürlüğe girmesini bekliyor. Şirketlerin Nihai Kural yürürlüğe girene kadar siber olayları veya fidye ödemelerini bildirmeleri gerekmeyecek olsa da CISA, tüm şirketleri bu arada gönüllü olarak bilgi paylaşmaya teşvik etti.
Şirketler Nasıl Hazırlanabilir?
Çok sıkı bir şekilde düzenlenen sektörlerdeki birçok şirket, bu yeni 72 saatlik raporlama gereksinimini karşılamak için değiştirilmesi gereken yazılı bilgi güvenliği programlarına zaten sahip olacaktır. Şu anda yazılı olay müdahale planları da dahil olmak üzere yazılı bilgi güvenliği programlarına sahip olmayan kritik altyapı sektöründeki şirketler için, bu tür planlar hazırlamak ve masaüstü simülasyonları çalıştırmak, Nihai Kuralın uygulanmasına hazırlanmada çok önemli olacaktır. CISA’nın belirttiği gibi, şirketlerin bir olayın ön analizini “günler değil saatler” içinde gerçekleştirmeleri beklenecektir. Bu nedenle, bir şirketin yazılı müdahale planı BT, bilgi güvenliği, hukuk ve yönetici çalışanlar için tanıdık bir belge olmalıdır.
Reklam