Yönetişim ve Risk Yönetimi, Devlet, Sektöre Özel
Uzmanlar Federallerin Çin Teknolojisine Güveninin Artmasına Karşı Uyardı
Chris Riotta (@chrisriotta) •
24 Ocak 2024
Uzmanlar, bir hükümet gözlemcisinin hükümetin ana satın alma kolunun izinsiz, Çin yapımı video konferans kameraları satın aldığını yakalamasının ardından Çin’in ABD federal ağlarına karşı casusluk yapmasına yönelik “önemli risk” konusunda yeni endişelerini dile getiriyor.
Ayrıca bakınız: Belirsiz Zamanlarda Bankalar için Siber Güvenlik İçin 5 Esas
Salı günü yayınlanan bir genel müfettiş raporuna göre, Genel Hizmetler İdaresi, 150 Çin yapımı kamera satın almak için “bir müteahhit memurunu son derece hatalı bilgilerle yanılttı”. Raporda, bir sözleşme görevlisinin kameraların satın alınmasını haklı çıkarmak için bilgi talep etmesinin ardından GSA’nın satın almayı desteklemek için yanıltıcı pazar araştırması sağladığı ve bunların bazılarının yamalanmamış güvenlik kusurları içerdiği belirtildi. Mevcut bir yasa, dar bir muafiyet geçerli olmadığı sürece federal kurumların Çin yapımı ürünleri satın almasını yasaklıyor.
Rapor, izinsiz Çin üretimi teknolojilerin federal sistemlere ve kritik altyapı sektörlerine giderek daha fazla girdiği yönündeki korkuların arttığı bir dönemde geldi (bkz.: CISA, Çin Drone’larının ABD Altyapısına Tehdit Oluşturduğu Uyarısında Bulundu). Flashpoint’in küresel güvenlikten sorumlu genel müdürü Andrew Borene’ye göre, Çin yapımı izinsiz ürünleri federal ağların dışında tutmanın zorluğu, “tedarik zincirlerinin karmaşıklığı ve her bileşenin güvenlik riskleri açısından kapsamlı bir şekilde incelenmesinin zorluğundan” kaynaklanıyor.
Daha önce Ulusal İstihbarat Direktörü Ofisinde karşı istihbarat ve ileri teknoloji girişimlerini yöneten Borene, Bilgi Güvenliği Medya Grubu’na, devlet kurumlarında izinsiz Çin yapımı teknolojilerin yaygınlığının kısmen “Çin’in üretim ve küresel tedarikteki hakimiyeti” nedeniyle olduğunu söyledi. zincirler, ürünlerini kolayca bulunabilir hale getiriyor ve çoğu zaman daha uygun maliyetli hale getiriyor.”
“Bu kolaylık, özellikle kritik altyapı ve ulusal güvenlik göz önüne alındığında artan riskleri beraberinde getiriyor” diye ekledi. “ÇHC’nin teknoloji üretimindeki önemli rolü, agresif casusluk taktikleriyle birleştiğinde, daha temkinli bir yaklaşım gerektirmektedir.
Genel müfettiş, GSA’nın uyumsuz kameraları imha etmesini ve “tanımlanan güvenlik açıklarının gözden kaçırılma riskini azaltmak için zamanında güncellenen” bilgi teknolojisi ekipmanı da dahil olmak üzere yetkili teknolojilerin satın alınmasına öncelik vermek için gözetim önlemlerini güçlendirmesini tavsiye etti. Raporda ayrıca GSA’ya, satın alma talebini desteklemek amacıyla yanıltıcı bilgi vermekten sorumlu personele karşı “uygun önlemleri alması” yönünde çağrıda bulunuluyor.
GSA, rapordaki tavsiyelere büyük ölçüde katılıyor ancak kurumun, kameraların güvenli kullanımını sağlamak için “standartlarımıza uymayan bu kameraların bir alt kümesinin” kullanımının durdurulması da dahil olmak üzere adımlar attığını söyledi. GSA’nın hâlâ kaç tane uyumlu olmayan kamera kullanıyor olabileceği belirsizliğini koruyor.
GSA, ISMG’ye gönderdiği bir e-postada, IG raporunda yer alan yanıtına işaret ederek daha fazla yorum yapmayı reddetti.
Güvenlik firması Checkmarx’ın kamu sektörü müdürü ve ABD Hava Kuvvetleri’nin eski bir tehdit analisti olan John Allison, GSA’nın izinsiz kameraları satın almasına şaşırmadığını söyledi.
Allison, “Ticari teknoloji satın almaya başladığından bu yana ABD hükümetinin izinsiz veya sahte ürün satın alma vakaları rahatsız etti” dedi ve federal hükümetin dünyadaki en büyük BT ürünleri alıcısı olduğunu ekledi. “Genel karmaşıklık düzeyi ve tedarikin büyük hacmi, birisinin bir satın alma işlemine yetkisiz bileşenleri sokma girişiminde bulunması için birçok fırsat sunuyor.”