Zincirde – tedarik zincirinde – kıvrımlar var. Ve son birkaç yıldaki birkaç yüksek profilli siber güvenlik ihlalinden sonra, federal hükümet, devlet kurumlarını ve yüklenicileri etkileyen yeni kural ve düzenlemelerle potansiyel riskleri ortadan kaldırmaya devam ediyor.
ABD devlet kurumlarını destekleyen yüklenicileri ve hizmet sağlayıcıları, Savunma Bakanlığı’nın Siber Güvenlik Olgunluk Modeli Sertifikasyon (CMMC) programı doğrultusunda gelişmiş siber güvenlik gereksinimlerini karşılamalarını zorunlu kılacak yeni bir Federal Edinme Yönetmeliği (FAR) kuralı önerisi en sonuncusu. bunun temsili.
Şu anda, hükümet için hassas bilgileri işleyen herkesin 15 temel siber güvenlik gereksinimini karşılaması zorunludur. Ancak önerilen değişiklikler, siber güvenlik standartlarını yükseltmeyi ve bunları, hassas devlet bilgilerini işleyen Savunma Bakanlığı (DoD) yüklenicileri için zaten bir gereklilik olan Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Özel Yayını 800-171’e yaklaştırmayı amaçlıyor. Bununla birlikte, uyumluluğun nasıl ölçüleceği ve izleneceği hala net değil. DoD CMMC programıyla birlikte izleniyorsa, üçüncü taraf değerlendirme gereklilikleri ve kendi kendini raporlamanın bir karışımı olabilir.
Bu yeni genişletilmiş uyumluluk önlemleri, federal tedarik zincirindeki siber ve veri güvenliğini iyileştirecek olsa da, birçok devlet kurumu hala kendi zorluklarıyla karşı karşıya. Modern, sıkı güvenlik ve uyumluluk raporlama gereksinimlerini karşılamayabilen eski sistemler ve eski ağ altyapıları üzerinde çalışırlar. Uzaktan çalışmanın yükselişini ve harici ağların ve cihazların kullanımını ekleyin ve daha az güvenli olan birden fazla erişim noktasına sahip olma riskini alırsınız. Federal ağların birbirine bağlı doğası ve devlet verilerini doğru ve güvenli bir şekilde işlemek için yüklenicilere ve üçüncü taraf sağlayıcılara güvenilmesi nedeniyle tüm ekosistemin bütünlüğünün sağlanması, bir yönüyle kritik, bir yönüyle de zorlayıcıdır.
Sıfır Güven Ağ Oluşturma
Sıfır güven ağ oluşturmaya doğru ilerlemek için yeni gereksinimler, devlet kurumlarının ne kadar temel oluşturması gerektiğini gün ışığına çıkarıyor. En büyük engellerden biri sürekli izleme ihtiyacıdır. Ağ güvenliği, tehditleri, güvenlik açıklarını ve potansiyel ihlalleri tespit etmek için devam eden bir süreç gerektirir. Birçok kurum, ağlarını gerçek zamanlı olarak etkin bir şekilde izlemek ve ortaya çıkan tehditlere anında yanıt vermek için gerekli kaynaklara, araçlara ve uzmanlığa sahip değildir.
Devlet yüklenicileri ve kurumları kendi güvenlik ve uyumluluk gerekliliklerine nasıl hazırlanmalı?
- Tüm ağ cihazlarına öncelik verin. Güvenlik açıklarını yalnızca çevrede değerlendirmek bir alışkanlık haline geldi. ABD ordusu, federal hükümet ve kritik ulusal altyapıdaki siber güvenlik uzmanlarına ilişkin yakın tarihli araştırmamız, kuruluşların %96’sının güvenlik duvarlarını yapılandırmaya ve denetlemeye öncelik verdiğini, ancak yönlendiricileri veya anahtarları değil. Bu, yalnızca %4’ünün anahtarları ve yönlendiricileri değerlendirdiği ve bu cihazları potansiyel olarak önemli ve tanımlanamayan risklere maruz bıraktığı anlamına gelir. Sıfır güven en iyi uygulamalarına göre, ağlar arasında yanal hareketi önlemek için tüm bu cihazları değerlendirmek önemlidir.
- Ağları segmente edin. Ağ bölümlemesini uygulamak, hassas bilgileri bölümlere ayırarak ve ağ içindeki yanal hareketi sınırlayarak potansiyel bir ihlalin etkisini azaltabilir. Kuruluşlar, ağları erişim seviyelerine ve veri sınıflandırmasına göre ayırarak olası saldırı yüzeyini azaltabilir ve bir ihlalin etkisini en aza indirebilir.
- Uyumluluk denetimlerini ve güvence otomasyon araçlarını kullanın. Bu, yüklenicilerin ve ajansların denetimlere hazırlanma yollarından biridir. Güvenlik açıklarını belirlemek, riskleri değerlendirmek ve ağ güvenlik gereksinimlerine uygunluğu sağlamak için düzenli değerlendirmeler yapılmalıdır. Bu değerlendirmeler, ağ güvenlik kontrollerindeki boşlukları belirleyebilir ve hızlı düzeltmeye izin verebilir. Hatalı yapılandırmalar için kesin teknik düzeltmeler sağlayan araçların kullanılması da önemlidir.
Hassas hükümet bilgilerini işleyen tüm yükleniciler için CMMC benzeri düzenlemeler getiren bir FAR kuralının yaklaşan önerisi, gelişmiş ağ güvenliğinin ve federal tedarik zinciri genelinde yasal uyumluluğun artan önemini vurgulamaktadır. Bu, yüklenicilerden kaynaklanan siber güvenlik riskinin azaltılmasına yardımcı olacak olsa da, ABD devlet kurumlarının, yukarıdaki adımlardan başlayarak mevcut güvenlik ve uyumluluk gereksinimlerini karşılama konusundaki kendi zorluklarını halletmesi gerekiyor. Bu, yüklenicilerin ve federal kurumların proaktif olması ve düzenleyici eğrinin bir adım önünde olması gerektiği anlamına gelir.
Hassas devlet bilgilerinin korunması çok önemlidir ve siber güvenlik gereksinimlerini uyumlu hale getirerek ve NIST gibi yerleşik çerçeveleri dahil ederek yapılabilir. Yükleniciler ve ajanslar, güvenlik ve uyumluluk denetimleri gerçekleştirmek için otomasyon araçlarından yararlanarak ve sıfır güven zihniyetini destekleyen ilkeleri uygulayarak, gelişen siber güvenlik ortamına başarılı bir şekilde uyum sağlayabilir ve daha güvenli bir ekosisteme katkıda bulunabilir.