Help Net Security’de Booz Allen’ın sivil hizmetler iş kolunda başkan yardımcısı ve lider olan Erica Banks, Federal Siber Güvenlik Stratejisinin ulusal varlıkları korumadaki rolünü tartışıyor.
Bankalar, finansman, yetenek elde tutma ve gelişmiş siber savunma için yapay zekanın kullanılması gibi iyileştirmeye açık temel alanları ana hatlarıyla açıklıyor.
Federal Siber Güvenlik Stratejisi, ulusal varlıkları korumanın önemli bir parçasıdır. Mevcut stratejinin siber tehditleri azaltmada ne kadar etkili olduğunu düşünüyorsunuz ve hangi alanların daha fazla ilgiye veya iyileştirmeye ihtiyacı var?
Devam eden ulus-devlet tehditleri ve kritik altyapıya yönelik saldırılar, uyumluluğun ötesine geçen ve şirketleri söylemlere kaynak ayırmaya çağıran bütünsel bir ulusal siber stratejinin uygulanmasının aciliyetini vurguluyor. Ulusal Siber Strateji Uygulama Planı’nın siber hazırlığa yönelik daha agresif bir yaklaşımı zorlaması ve sürekli saldırıların hesap verebilirlik baskısını artırmasıyla, şirketlerin ve ABD hükümetinin gelişen tehditleri geride bırakmak için rolleri, sorumlulukları ve kaynakları stratejik olarak tahsis etmesi gerekiyor.
Federal hükümet genelinde, saldırı ve savunmayı senkronize etmeye odaklanarak operasyonel iş birliğinde artışa ihtiyacımız var. Hükümet, saldırgan siber operasyonlardan içgörüler elde etmenin, bunları anonimleştirmenin ve savunma iyileştirmelerini hızlandırmak için savunmacılarla paylaşmanın yollarını bulmalıdır.
Federal ajansların siber savunmayı desteklemek için daha fazla fona ihtiyacı var. Düzensiz ve öngörülemeyen fonlama, sürdürülebilir yatırımı tehlikeye atar ve odak noktasını proaktif risk yönetiminden, gerçek tehditleri ele almayan reaktif, parça parça çabalara kaydırır. Çok yıllık bir plan, tutarlı ve sürdürülebilir yatırımları mümkün kılmak için CISA ve FCEB ajansları için kaynak sağlama stratejilerini içermelidir.
Yarının siber güvenlik çözümlerini yaratmak için ABD, ulusal siber teknoloji ve inovasyon tabanını kullanmalıdır. FCEB’yi kapsayacak şekilde ölçeklendirmeden önce yenilikçi yaklaşımları pilot olarak kullanmak için OTA’ların kullanılması, hükümete, ortaya çıkan tehditlerle mücadele etmek için teknolojiye erişimi hızlandıran, kolaylaştırılmış bir tedarik süreciyle geleneksel olmayan tedarikçilere erişim sağlar.
Siber güvenliğe ilişkin artan düzenlemeler, örneğin 14028 sayılı Yürütme Emri kapsamındaki yeni zorunluluklar göz önüne alındığında, federal kurumlar operasyonel verimliliği korumakla uyumluluğu nasıl dengelemelidir?
Hesap verebilirlik, değişimin arkasındaki itici güçlerden biridir. Yeniliği uyumlulukla dengeleyen metrik tabanlı hedefler, gerekli rehberliği sağlayacak ve federal hükümetin ilerlemeyi izlemesine olanak tanıyacaktır.
CISA ve FCEB ajansları, son yıllarda yapılan yatırımlar sonucunda federal işletmeye ilişkin benzeri görülmemiş, neredeyse gerçek zamanlı bir içgörüye sahip oldu. Bu operasyonel görünürlük, uyumluluk raporlamasının verimliliğini artırmada dönüştürücü oldu.
Federal iş gücünde siber güvenlik uzmanlarının mevcut eksikliği göz önüne alındığında, yetenekleri çekmek ve elde tutmak için hangi stratejiler kullanılmalıdır?
Sadece doğru yetenekleri işe alıp geliştirmemiz gerekmiyor, aynı zamanda siber yetenek havuzunu çeşitlendirmemiz ve yeni teknoloji ve iş gücü tabanlı olmayan çözümler kullanarak günümüzün siber yeteneklerini gelişen tehditlerle başa çıkacak şekilde ölçeklendirmemiz gerekiyor. Bir sektör olarak, beceri tabanlı veya yetenek tabanlı değerlendirmeler ve yeniden beceri kazandırma programları gibi siber kariyere doğrusal olmayan, geleneksel olmayan giriş noktalarını da benimsememiz gerekiyor.
Yetenek elde tutmayı düşünürken, siber güvenlik mesleğindeki bireyler, alanın doğası gereği tükenmişliğe ve bilişsel aşırı yüklenmeye karşı benzersiz bir şekilde hassastır. Bu kritik iş gücünün ihtiyaçlarını karşılamak ve bugün açık olan 771.000 siber pozisyonu doldurmak için, kuruluşlar rolleri ve en önemli öncelikleri açıkça tanımlayan yönlendirme ve rehberlik sağlayarak bilişsel aşırı yüklenmeyi hafifletmeyi en önemli öncelik haline getirmelidir. Güvenlik ekipleri de genellikle çok fazla araç, çok fazla veri ve aşırı bilgi nedeniyle tükenir. Güvenlik uzmanlarından geri bildirim almak ve gereksiz araçları kesmek veya doğru kaynak kombinasyonunu bulmak bu zorlukların çözülmesine yardımcı olabilir.
İnsan odaklı siber savunma, kendi başına teknolojik olarak gelişmiş rakiplerle başa çıkmak için çok yavaştır. Yapay zeka destekli siber savunma araçları, düşman saldırılarını proaktif bir şekilde tespit etmek için kaynak kısıtlamalı personeli güçlendirir. Yapay zekanın etkili kullanımı, işletmelerin rakiplerle aynı hızda ilerlemesini ve elde tutma zorluklarına yol açan yetenek eksikliklerini karşılamak için verimlilikler yaratmasını sağlar.
Mevcut federal risk yönetimi çerçevelerinin olgunluğunu nasıl değerlendiriyorsunuz ve hangi iyileştirmelerin gerekli olduğunu düşünüyorsunuz?
Farklı kuruluşların farklı alanlarda farklı risk yönetimi olgunluk seviyeleri olacaktır. Örneğin, CISA’nın Sıfır Güven Olgunluk Modeli, kurumların sıfır güven mimarisine geçiş yaparken başvurabilecekleri birçok yol haritasından biridir. Şüpheye düştüğünüzde, ilk değerlendirmeyi gerçekleştirmek bir kuruluşun belirli bir alandaki olgunluğu ölçmesine ve hedeflenen iyileştirmeleri planlamasına yardımcı olabilir.
Planlama çerçeveleri, sınırlı kaynakları öncelikli boşluklara hedeflemek için risk değerlendirmelerine karşı kaynakların daha iyi hizalanmasını sağlamalıdır. Risk değerlendirmeleri, CISA’nın işletmelerine sağladığı, eyleme dönüştürülebilir ve bağlamsallaştırılmış risk önerileri üretmek için neredeyse gerçek zamanlı görünürlüğü içermelidir.
Dayanıklılığı da değerlendirmeliyiz. İhlal ve kullanılabilirlik kaybı olduğunu varsayarsak, işlevselliği geri yüklemek için hangi planlar mevcut? Kurumların görev açısından kritik sistemlerini belirlemeleri ve öncelikli geri yüklemenin nasıl gerçekleşeceğini planlamaları gerekir.
Önümüzdeki beş yıl içinde federal siber güvenlik için en önemli üç öncelik nedir?
Kritik altyapı koruması: Geçtiğimiz yılki saldırıların gösterdiği gibi, saldırganlar ülkenin kritik altyapısındaki operasyonel teknoloji ve endüstriyel kontrol sistemlerini hedef alıyor. Bu varlıkları korumadaki başarısızlık, siviller üzerinde yaygın olarak hissedilen ve görülen bir etkiye neden olabilir ve bu, kritik altyapıyı savunmayı şu anda ve gelecekte federal siber güvenlik için önemli bir öncelik haline getirir.
Sıfır güven uygulaması: Federal sivil kurumların 2024 mali yılı sonuna kadar belirli bir düzeyde sıfır güven uygulaması gerekiyor ve DOD’un 2027 için kendi sıfır güven hedefleri var. Bu federal kurumların desteklediği çeşitli misyonlar göz önüne alındığında, bunların yıkıcı siber tehditlere karşı korunması önemlidir ve sıfır güven ilkeleri – bir ihlali varsay; asla güvenme, her zaman doğrula; yalnızca en az ayrıcalıklı erişime izin ver – gerçek zamanlı koruma sağlayabilir.
Yapay zeka destekli siber güvenlik: Yabancı düşmanlar yapay zeka kullanımını artırıyor ve bunun ABD ve diğer ülkelerdeki iç huzursuzluğu etkilemek için nasıl kullanılabileceğini çoktan gösterdiler. Yabancı ulusların inovasyonuna ayak uydurmak için ABD, yüksek tempolu teknolojik gelişmelere ve gelişmiş düşmanca yeteneklere karşı dayanıklı olan yapay zeka teknolojisinin kullanımı ve uygulanmasına kendini adamalı. Yapay zeka, tehdit algılama ve önlemede önemli bir rol oynayabilir, geleneksel reaktif siber güvenlik taktiklerini elden geçirebilir ve elektrik şebekeleri ve finansal sistemler gibi temel hizmetlerde dayanıklılığı artırabilir.