ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) direktörü Jen Easterly, bugün ABD’nin Çin Halk Cumhuriyeti (PRC) ile bağlantılı saldırganların oluşturduğu siber tehditlere karşı koruma sağlamak için daha fazlasını yapması gerektiği konusunda uyardı.
Easterly, bir blog yazısında ÇHC’nin Tayvan’la muhtemelen on yılın sonunda, hatta daha erken olmasa da, “yeniden birleşme” girişiminde bulunacağı konusunda uyarıda bulundu ve kendisi ve diğer yetkililerin, Çin’in ABD’nin kritik altyapısına yönelik ısrarlı saldırılarının hazırlık aşamasında olabileceği yönündeki açıklamalarını yineledi. Tayvan’a karşı bir hamle için. Şöyle yazdı:
“Böyle bir eyleme ‘her şeye, her yere, aynı anda’ yönelik yıkıcı saldırılar eşlik edebilir: ulaşım düğümlerimiz, telekomünikasyon hizmetlerimiz, elektrik şebekelerimiz, su tesislerimiz ve muhtemelen çok daha fazlası; hepsi de toplumsal paniğe yol açma ve Tayvan’ı savunmak için Amerikan kanını ve hazinesini harcama konusunda askeri gücü ve vatandaşların iradesini harekete geçirme yeteneğimizi caydırıyor.”
Easterly’nin görevi, kendisi ve CISA Direktör Yardımcısı Nitin Natarajan’ın ikinci Trump Yönetimi yemin ederken yola çıkmalarından beş gün önce geldi. CISA, geçiş döneminde bir dizi girişimde bulundu ve bu kişilerden birinin son siber güvenlik yöneticisi olması bekleniyor. Görevi sona eren Başkan Joe Biden’ın emrinin yerine getirilmesi için bu hafta imzalanması gerekecek.
Doğu: Teknoloji Ürünleri Daha Güvenli Olmalı
Easterly, CISA’nın ÇHC bağlantılı tehdit aktörlerini hükümet ağlarından ve enerji, ulaşım, su ve telekomünikasyon sektörlerinden çıkarmada başarılı olduğunu ve ajansın güvenliği artırmaya yardımcı olmak için “yaklaşık 7.000 kritik altyapı kuruluşuna” kaynak dağıttığını söyledi.
Ancak şunları kaydetti: “Bulduğumuz şey muhtemelen buzdağının sadece görünen kısmı. Bu amansız ÇHC kampanyası, kamu ve özel sektör genelinde güçlü siber savunma ve uyanıklığa olan acil ihtiyacın altını çiziyor.”
Easterly, daha güvenli ürün geliştirme konusunda ateşli bir çağrıda bulunarak, üründeki güvenlik açıklarının siber saldırganların işini “kolaylaştırdığını” belirtti.
“Aslında ÇHC, bilinen ürün kusurlarından büyük ölçüde yararlanıyor” diye yazdı. “Gerçek şu ki, kritik altyapımızın dayandığı teknoloji tabanı, güvenlikten ziyade özelliklere ve pazara sunma hızına öncelik veren onlarca yıldır süren yanlış hizalanmış teşvikler nedeniyle doğası gereği güvensizdir. Bu artık durmalı. Teknoloji şirketleri, Çin Halk Cumhuriyeti ve diğer düşman tehdit aktörlerinin, kritik altyapımızı hedef almak için teknoloji ürünlerindeki kusurlardan yararlanamamasının sağlanmasına yardımcı olmalıdır. Bu zayıflıklar ve bunun sonucunda ulusal güvenliğimize yönelik riskler, sadece Tasarım gereği güvenli ürünler üreten ve satan şirketler tarafından geniş ölçekte ele alınması gerekiyor.” [Emphasis Easterly’s]
Kritik altyapı kuruluşlarının da daha iyisini yapması gerektiğini söyledi.
Easterly, “Her kritik altyapı kuruluşu dirençlilik konusundaki kararlılığını iki katına çıkarmalı” diye yazdı. “CEO’lar, Yönetim Kurulları ve her iş lideri, siber riski bir iş riski ve iyi bir yönetim meselesi olarak kabul etmelidir. Kesinti karşısında çalışabilmelerini ve bir saldırı sonrasında hızla toparlanabilmelerini sağlamak için kritik sistemlerin ve işlevlerin sürekliliğini sürekli olarak test ederek kesintiyi beklemeleri gerekir.”
CISA’nın son zamanlardaki yüksek profilli faaliyetleri, yeni yönetimdeki geleceği belirsiz olsa bile ajansın değerinin altını çizmeye hizmet ediyor.
Biden Siber Güvenlik Kararını Genişletmeyi Planlıyor
Bu haftanın ayrıca Biden’dan, federal hükümeti ve müteahhitleri ÇHC aktörlerinden ve diğer siber tehditlerden güçlendirme çağrısında bulunacak nihai bir siber güvenlik yönetici emri getirmesi bekleniyor.
Yazılım ve bulut güvenliği için daha güçlü standartlar, daha güvenli federal ağlar ve kimlik doğrulama, üçüncü taraf risk yönetimi, dijital kimlikler, gelişmiş BGP güvenliği ve yapay zeka destekli güvenlik teknolojilerinin teşviki, son sırada yer alabilecek öğelerden bazılarıdır. Kararın ayrıca CISA’ya siber güvenlik standartlarını uygulama konusunda ek yetki vermesi bekleniyor.
İlgili