Yönetim ve Risk Yönetimi, Hükümet, Sektöre Özel
GAO: Departmanda Büyük İşletme BT Programları için Siber Güvenlik Stratejileri Eksik
Chris Riotta (@chrisriotta) •
15 Temmuz 2024
ABD Savunma Bakanlığı, bilgi teknolojisi iş programlarındaki bir dizi kritik siber güvenlik açığını hâlâ gidermiş değil. Bu durum, hükümetin bir denetim kuruluşunun bakanlığa her program için güvenlik stratejileri geliştirmesi yönünde ilk kez baskı yapmasının üzerinden iki yıl geçti.
Ayrıca bakınız: FedRAMP ve StateRAMP’ı Anlamak
DOD yetkilileri Haziran 2022’de Hükümet Hesap Verebilirlik Ofisi’ne, siber güvenlik stratejilerinden yoksun olan departman genelindeki BT programlarını ele aldıklarını söyledi. Ancak yeni bir GAO raporu, DOD’un hala departmanın 10 büyük BT iş programı için onaylı bir siber güvenlik stratejisi benimsemediğini gösteriyor.
GAO’nun Perşembe günü yayınlanan Pentagon’un BT sistemlerine ilişkin yıllık değerlendirmesi, yazılım geliştirmedeki ilerlemeyi takip edememe ve müşteri memnuniyeti için yetersiz ölçümler de dahil olmak üzere departman genelinde ek siber güvenlik ve raporlama boşlukları bulunduğunu söylüyor. Program yetkilileri, GAO’ya gelişmiş yazılım geliştirme ve siber güvenlik süreçleri oluşturmada liderlik ve personel devir hızından belirsiz gereksinimlere ve yetersiz kaynaklara kadar önemli zorluklarla karşı karşıya olduklarını söyledi.
Raporda, “DOD’un yüksek riskli alanları ele almak için bir eylem planı geliştirme çabaları 2021’den beri duraklamıştı” deniyor ve bakanlığın iş sistemlerini modernize etme çabalarının 1995’ten beri GAO’nun yüksek riskli listesinde yer aldığı belirtiliyor. “Bunun bir nedeni de bakanlığın büyük BT programları da dahil olmak üzere maliyet, zamanlama ve performans taahhütlerini yerine getirmede uzun süredir karşılaştığı zorluklar.”
Rapora göre Savunma Bakanlığı, Eylül 2023’te iş sistemleri modernizasyonu için yüksek riskli alanlarını ele almak üzere devam eden çabalar için “gözden geçirilmiş bir yaklaşım” detaylandırdı, ancak bakanlık Mart ayı itibarıyla 22 GAO tavsiyesini uygulamadı. GAO, bakanlık içindeki birkaç programın, büyük federal BT yatırımları hakkında bilgi sağlayan, kamuya açık bir platform olan Federal BT Pano’ya raporlamalarında asgari gerekli operasyonel performans ölçütlerini karşılamadığını söyledi.
Söz konusu programlar, ABD Deniz Kuvvetleri tarafından kullanılan elektronik tedarik sistemi olan DOD’un Savunma Seyahat Sistemi, ABD Deniz Piyadeleri için küresel bir muharebe destek sistemi ve bir Deniz Hava Sistemleri Komutanlığı Havacılık Lojistik Çevre platformu gibi kritik BT yatırımlarını içeriyor. DOD ayrıca, departmanın sağlık yönetim sistemi ve ortak operasyonel tıp bilgi platformu gibi BT iş platformlarının modernizasyonuna yatırım yapıyor.
GAO, DOD’un BT sistemlerini yıllık olarak değerlendirerek departmanın güvenlik zayıflıklarını belirlemesine ve federal siber güvenlik standartlarına uyumu sağlamasına yardımcı olur. Savunma Bakanlığı, mevcut en son verilere göre 2022-2024 mali yılları arasında BT iş programlarına tahmini 9,1 milyar dolar harcadı veya harcamayı planladı.
ABD Savunma Bakanlığı Bilgi Teknolojileri Ofisi, raporda belirtilen devam eden zorlukları kabul etti ve bakanlığın her programın 2025 mali yılı verilerini sunarken tam raporlama sağlamayı hedeflediğini söyledi.
DOD, yorum talebine hemen yanıt vermedi. Yasa koyucular, departmanın teknoloji devinin bir dizi yüksek profilli siber güvenlik olayına rağmen Microsoft ürünlerine daha fazla yatırım yapma planlarını duyurmasıyla birlikte, Haziran ayında departmanı daha fazla çoklu satıcı teknoloji stratejisi izlemeye çağırdı (bkz: Kanun koyucular Pentagon’u Siber Güvenlik Tedarikçilerini Çeşitlendirmeye Çağırıyor).