2021’de Biden Yönetimi, Savunma Bakanlığı (DoD) ve Federal Sivil İcra Şubesi genelinde güvenlik gereksinimlerini standartlaştırma nihai hedefiyle kurum çapında bir güvenlik girişimini başlatan Ulusun Siber Güvenliğini İyileştirmeye İlişkin Yürütme Kararını (EO 14028) yayınladı. (FCEB) tedarik zinciri.
FCEB ajansları ile sözleşme yapan kuruluşlar için, temel siber hijyen uygulamalarını şimdiden uygulamak kritik öneme sahiptir ve önümüzdeki birkaç yıl içinde rekabetçi bir fark yaratacaktır.
Federal ağları korumak için güvenliği standartlaştırma
Savunma sanayi üssündeki (DIB) şirketler için Siber Güvenlik Olgunluk Modeli Sertifikasyonu (CMMC), 2019’dan beri bir parola olmuştur. Liderlikteki ve çerçevedeki değişiklikler şaşkınlığa, kafa karışıklığına ve zorluklara neden olur. FCEB ajansı tedarik zinciri, federal sözleşme sürecinde ve gelecekteki siber güvenlik uyumluluk gerekliliklerinde yapılacak değişikliklere hazırlanmalıdır.
Başkanlık Emri 14028
EO 14028, FCEB tedarik zinciri siber güvenlik girişimleri için katalizördü. Federal Tedarik Yönetmeliği (FAR) bağlamında, EO 14028 birkaç kurumu siber güvenlik gereklilikleri çerçevesinde standartlaştırılmış sözleşme dilini gözden geçirmeye yönlendirdi.
önerilen ortak kural
2022 Sonbaharında Savunma Bakanlığı, Genel Hizmetler İdaresi (GSA) ve Ulusal Havacılık ve Uzay İdaresi (NASA), Ulusal Arşivler ve Kayıtlar İdaresi (NARA) Kontrollü Sınıflandırılmamış Bilgileri ( CUI) programı tüm Federal sözleşmelerde aynı şekilde. Spesifik olarak, önerilen kural şunları belirtir:
Bu kural, Hükümetin Federal yüklenicileri hedef alan artan karmaşık tehdit eylemlerini belirleme, caydırma, koruma, tespit etme ve bunlara yanıt verme çabalarını iyileştirmeye yönelik daha büyük bir stratejinin bir unsurudur.
Bu önerilen kural üzerinde başka bir işlem yapılmamış olsa da, tüm yüklenici tabanında daha fazla gözetim ve güvenlik tasdiklerinin habercisidir.
Düzenleyici çay yapraklarını okumak
Siber güvenlik uyum habercilerini görmezden gelen işletmeler, kendilerini iş açısından kritik sözleşmeleri kaybederken bulacaklardır. Şirketler, ağları “geliştirmek için daha büyük strateji” ifadesinin önemini dikkate almalıdır. Şirketler, bu cümleyi EO 14028’in girişimleriyle birleştirerek, CUI kurallarını tek tip uygulamanın yalnızca ilk adım olduğunu görebilirler.
Şu anda Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kuruluşların CMMC sertifikasını nasıl elde edebileceğini tanımlayan çerçeve olan Özel Yayını (SP) 800-171’i gözden geçiriyor.
Bu revizyonlar, NIST SP 800-171 ve 800-53 kontrollerinin daha geniş bir şekilde benimsenmesine işaret ediyor; bu, FCEB tedarik zinciri genelinde sözleşme yapan kuruluşların hazırlık aşamasında mevcut güvenlik duruşlarını gözden geçirmeye başlaması gerektiği anlamına geliyor.
Uygun maliyetli, önce güvenlik uyumluluğu
FCEB ajansları veya FCEB yüklenicileri ile çalışan şirketler, uyumlulukla ilgili maliyetleri düşünmeye başlamalıdır. Bu uyum girişimlerinin gerçeğe dönüşmesi birkaç yıl alabilirken, kuruluşların politikaları, süreçleri ve teknolojileri uygulamanın ne kadar zaman ve para gerektirdiğini bilmesi gerekir.
Tahmini maliyetler bir şirketin büyüklüğüne ve iş modeline bağlı olarak çılgınca değişse de, çoğu uygulayıcı CMMC denetimine hazırlanmanın toplam maliyetlerinin 20.000 – 60.000 ABD Doları arasında değiştiği konusunda hemfikirdir. Ancak bu rakamlar, bir boşluk değerlendirmesinin veya denetimin kendisinin dışarıdan temin edilmesiyle ilgili maliyetleri içermemektedir.
Kaçınılmaz denetimler için uygun bütçeyi oluşturmak üzere FCEB tedarik zincirindeki kuruluşlar, önümüzdeki iki ila dört yıl içinde güvenlik durumlarını yükseltmek için planlar yapmalıdır.
Birinci Aşama: CUI’yi Tanımlama
FCEB tedarik zincirindeki veri koruma girişimleri, muhtemelen DIB için geçerli olanları yansıtacaktır. Başka bir deyişle, yüklenicilerin iki tür bilgi tanımlaması gerekir:
- Federal Sözleşme Bilgileri (FCI): Bir hükümet sözleşmesinin parçası olarak toplanan, oluşturulan veya alınan kamuya açık olmayan bilgiler.
- Kontrollü Sınıflandırılmamış Bilgi (CUI): CUI programının kapsadığı özel olarak işaretlenmiş veya tanımlanmış bilgiler.
CUI’yi belirlemek, tüm ajans tedarik zinciri siber güvenlik girişimlerinin özüdür, ancak CMMC’nin en hararetle tartışılan konularından biri olmaya devam etmektedir.
İlk olarak, CUI, her biri birden fazla CUI kategorisi içeren yirmi gruplama için geçerlidir. Örneğin, Mülk İş Bilgileri gruplaması içinde aşağıdaki CUI kategorileri bulunur:
- Varlık Kayıt Bilgileri
- Genel Tescilli Ticari Bilgiler
- Ocean Ortak Taşıyıcı ve Deniz Terminali İşletmeciliği Sözleşmeleri
- Ocean Ortak Taşıyıcı Hizmet Sözleşmeleri
- Tescilli Üretici
- Özel Posta
Ek olarak, ajanslar, DIB genelinde mevcut bir hayal kırıklığı olan CUI’yi her zaman açıkça tanımlayamayabilir veya işaretleyemeyebilir. Sözleşmelerinin bir parçası olarak siber güvenlik uyumluluğu konusunda endişelenmeleri gerektiğini düşünen şirketler, şu andan itibaren CUI’yi tanımlamaya başlamalıdır.
CUI’yi yöneten çoğu şirket için temel sorun, onu oluşturan kuruluş veya bireyin onu korumaktan ve kullanmaktan sorumlu olmasıdır. Ajans, şirketlere hangi bilgilerin CUI olduğu ve olmadığı konusunda rehberlik etmesi gerekse de, bunu her zaman bir yükleniciye sağlamayabilirler. Kuruluşlar, bir sözleşmeyi sürdürmek için gereken uyumluluk duruşunu elde etmeye çalışırken, genellikle ihtiyatlı davranma hatasına düşerler; bu da, bilgilerin işaretlenmeden bırakılması ve uyumluluk ihlali riskiyle karşı karşıya kalmak yerine CUI olduğunu varsaymaları anlamına gelir.
İkinci Aşama: CUI’yi İzole Etme
Çoğu kuruluş, CUI’yi diğer verilerden mümkün olduğunca izole etmeye çalışır. Bunu yaparak, denetim kapsamını ve onunla ilişkili maliyetleri azaltırlar. FCEB tedarik zinciri gereksinimlerinin CMMC gereksinimleriyle paralel olduğunu varsayarsak, kuruluşlar CUI ile etkileşime giren sistem sayısını en aza indirmek ister. Kaçınılmaz siber güvenlik uyumluluk gerekliliklerine hazırlanırken, dahili ve harici olarak paylaşırken veriler üzerinde kontrol sahibi olmalarını sağlayan teknolojiler aramalıdırlar.
Kuruluşlar, CUI’yi izole ederek izleme faaliyetlerine daha kesin bir şekilde odaklanabilir ve bu verilere daha fazla dikkat etmelerini sağlayabilir. İzolasyon, ağ segmentasyonundan yalnızca çalışanların ve korunan verilerle çalışan yüklenicilerin kullandığı güvenli bir çalışma alanı uygulamaya kadar her şeyi içerebilir. Örneğin, uçtan uca şifrelemeden (E2EE) yararlanan bir çalışma alanı, yalnızca CUI’yi yöneten iş birimleri için kullanılabilir. Kuruluş, birisinin oluşturduğu andan itibaren CUI’yi koruyan güvenli bir iletişim teknolojisi kullanarak, harici üçüncü taraflarla (FCEB acentesi müşterisi gibi) paylaşırken bile verileri nasıl koruduğu konusunda kontrolü elinde tutar.
CUI’nin şirket sistemlerindeki ayak izini küçülterek, siber güvenlik riskini ve denetim maliyetlerini azaltır.
3. Aşama: Veriler üzerinde kontrolün sürdürülmesi
Temel olarak kuruluşların, onu kim kullanırsa kullansın, CUI üzerinde kontrol sahibi olduklarından emin olmaları gerekir. Dijital olarak işbirliğine dayalı bir dünyada, “bir bağlantıyla paylaş” işlevi genellikle şirketlerin, bilgi ağlarını ve ortamlarını terk ettikten sonra insanların bilgiyle ne yaptıkları üzerindeki kontrolünü kaybetmesi anlamına gelir.
Geleneksel kurumsal teknolojiler bu riskleri azaltmaya yardımcı olan ayarlar sunarken, bunları yapılandırmak külfetli olabilir. Ayrıca, bu ayarlar yapılandırılmış olsa bile kuruluş, harici tarafların dosya veya klasörlerle ne yaptığı üzerinde tam kontrol sağlayamayabilir.
Uygulanan herhangi bir teknoloji, kuruluşun aşağıdakileri kontrol etmesini ve belgelemesini sağlamalıdır:
- Dosyalar ve belgeler dahil olmak üzere CUI’ye kullanıcı erişimi
- Konum ve tarayıcı dahil olmak üzere CUI’ye erişmek için kullanılan cihazlar
- Günün tarihi ve saati dahil olmak üzere birisi CUI’ye eriştiğinde
- İndirme, görüntüleme, yorum yapma veya düzenleme dahil olmak üzere kullanıcıların dosya ve klasörlerle yapabilecekleri
- Kullanıcı ve cihaz dahil olmak üzere erişimin iptali
Uyumluluğu sağlamak için güvenli CUI
Bir iş hedefi olarak, kazançlı bir sözleşmeyi sürdürmek isteyen herhangi bir kuruluşun CUI’yi güvence altına alması gerekecektir. FCEB tedarik zincirindeki kuruluşların, DIB’deki emsalleriyle aynı zorluklarla karşılaşacaklarını varsaymaları gerekir.
Federal hükümet, tedarik zinciri konularına odaklanarak kendi güvenliğini artırma niyetinde olduğunu açıkça belirtti, bu nedenle yazılı bir yetkinin ortaya çıkmasını beklemek, şirketlerin maliyetleri dağıtmak için daha az zamanları olduğu anlamına geliyor. Hazırlıklarına şimdi başlayarak, iş, güvenlik ve uyumluluk hedeflerine ulaşırken nihai olarak mali yüklerini azaltabilirler.