Ticaret Bakanlığı’nın kamuya açık bilgi teknolojisi sistemlerini korumak için tasarlanan güvenlik açığı açıklama programı (VDP), bakanlığın Genel Müfettiş Ofisi (OIG) tarafından yakın zamanda gerçekleştirilen bir denetime göre “tamamen etkili değil” olarak değerlendirildi. Denetim, bakanlığın güvenlik açığının açıklanması ve giderilmesine yönelik yaklaşımındaki bazı eksiklikleri vurguluyor.
Ticaret Bakanlığı, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) bir direktifine yanıt olarak VDP’sini kurdu. Bu direktif, tüm federal kurumların, halkın internetten erişilebilen hükümet sistemlerindeki güvenlik açıklarını belirlemesine ve raporlamasına olanak tanıyan bir güvenlik açığı açıklama politikası uygulamasını gerektiriyordu. Bu tür programlar, federal siber güvenlik çabalarının kritik bir bileşeni olarak kabul ediliyor ve kurumların dijital altyapıyı korumak için dış uzmanlıktan yararlanmasını sağlıyor.
Bununla birlikte, OIG’nin resmi olarak Bakanlığın Güvenlik Açığı Raporlama ve Çözüm Programının Denetimi (Rapor Numarası OIG-26-002-A) başlıklı denetimi, bakanlığın programının birkaç önemli alanda yetersiz kaldığını ortaya çıkardı. Raporda, “Bakanlık bir güvenlik açığı açıklama programı oluşturdu; ancak bu program tam anlamıyla etkili olmadı” ifadesine yer veriliyor. Özellikle, denetim internetten erişilebilen tüm sistemlerin VDP’ye dahil edilmediğini, test yönergelerinin kamu güvenliği araştırmacılarının kullanabileceği araçları kısıtladığını, bildirilen güvenlik açıklarının her zaman tam olarak giderilmediğini ve düzeltme son tarihlerinin sıklıkla kaçırıldığını ortaya çıkardı.
İyileştirme ve Güvenlik Açığı Raporlamadaki Boşluklar
OIG, çözümlenen 71 güvenlik açığı açıklamasını inceledi ve yalnızca 57’sinin (%80) tamamen düzeltildiğini, 14’ünün (%20) çözülmeden kaldığını tespit etti. Ayrıca denetim, departmanın 2023’ten bu yana güvenlik açıklarını düzeltmek için belirlenen son tarihleri yaklaşık %35 oranında karşılayamadığını gösterdi. Raporda, “Etkili bir güvenlik açığı açıklama programı olmadan, Bakanlık internetten erişilebilen sistemlerini koruyamaz, bu da onları potansiyel tehlikelere ve istismara açık hale getirir” uyarısında bulundu.
Denetimde ayrıca VDP ile ilgili yapısal sorunlar da vurgulandı. Departman kapsamını, departmanın sahip olduğu veya işlettiği 22 site hariç, internetten erişilebilen 64 web sitesiyle sınırladı. Ek olarak, VDP portalını yöneten yüklenici, kamu güvenliği araştırmacıları tarafından güvenlik açıklarını tespit etmek için yaygın olarak kullanılan araçlar olan otomatik tarayıcıların kullanımını yasakladı.
OIG Önerileri ve Sonraki Adımlar
Bu eksiklikleri gidermek için OIG üç tavsiye yayınladı. İlk olarak bakanlığın, güvenlik açığı açıklama çabalarına internetten erişilebilen tüm sistemleri dahil etmeyi vurgulayan CISA’nın Bağlayıcı Operasyonel Direktifi 20-01 ile uyum sağlamak için VDP test kapsamını revize etmesi gerekiyor.
İkinci olarak bakanlık, etkilenen sistemlerde kapsamlı iyileştirme sağlamak amacıyla güvenlik açığı raporlaması ve çözümüne yönelik standart işletim prosedürlerini güncellemeli ve uygulamalıdır. Son olarak OIG, yükleniciler ve bürolar arasındaki iletişimi koordine etmek ve gecikmiş iyileştirme çabaları konusunda zamanında harekete geçmek için otomatik bir sistem kurulmasını önerdi.
Güvenlik Açığı Açıklama Programlarının (VDP’ler) Önemi
OIG denetimi, güvenlik açığı açıklama programlarının (VDP’ler) federal siber güvenlikteki kritik rolünü vurguluyor. CISA, güçlü bir VDP’nin kurumların zayıflıkları istismar edilmeden önce tespit etmelerine olanak tanıdığını, güvenlik araştırmacıları tarafından bildirilen güvenlik açıklarının sistematik olarak değerlendirilmesini, izlenmesini ve düzeltilmesini sağladığını vurguladı.
Siber güvenlik duruşlarını güçlendirmek isteyen kuruluşlar, dünya lideri yapay zeka destekli tehdit istihbaratı çözümü Cyble gibi platformlardan yararlanabilir. Cyble, açığa çıkan varlıklara, güvenlik açıklarına ve ortaya çıkan tehditlere ilişkin gerçek zamanlı görünürlük sağlayarak kuruluşların riskleri proaktif bir şekilde yönetmelerine yardımcı olur.
Dünya çapındaki kuruluşların ve federal kurumların güvendiği Cyble’ın Blaze AI dahil olmak üzere AI odaklı araçları, tehdit tespitini, güvenlik açığı yönetimini ve olaylara müdahaleyi otomatikleştirerek, saldırganlar saldırmadan önce sistemlerin korunmasını sağlar.
Rezervasyon yap kişiselleştirilmiş demo ve Cyble Today ile zayıf noktalarınızı keşfedin!