Siber güvenlik harcamaları, hükümet, sektöre özgü
Analistler Beyaz Saray’ı uyarıyor BT Planı Deregülasyon Direktifleri ile Çelişebilir
Chris Riotta (@Chrisriotta) •
12 Mayıs 2025
Genel Hizmetler İdaresi’nin yeni “Onegov” stratejisi aracılığıyla federal bilgi teknolojisi satın almayı kolaylaştırmak için bir Beyaz Saray, standart sözleşmeler yoluyla satın alma gücünü daha da merkezileştirmeye ve siber güvenliği artırmaya yardımcı olabilir. Tedarik uzmanları, idarenin uzun süredir devam eden edinim kurallarını serbest bırakma ve azaltma zorlamasıyla da çatışabileceği konusunda uyarıyor.
GSA, Onegov stratejisinin “zamanla gelişeceğini” ve donanım, platformlar, altyapı ve siber güvenlik hizmetleri gibi alanlara genişlediğini söyledi.
Uzmanlar, bilgi güvenliği medya grubuna, GSA’nın sözü verdiği gibi, OneGov stratejisinin gelecekteki aşamalarının hükümet genelinde daha güçlü, düşük maliyetli siber güvenlik araçlarına erişebileceğini “ihtiyatlı iyimser” olduklarını söyledi. Bazıları, yaklaşımın daha küçük satıcıları sınırlandırabileceği ve merkezi yapıları tamamen önleyen daha esnek, geleneksel olmayan tedarik modellerini tercih etmek için devam eden çabaları azaltabileceğine dair endişeleri dile getirdi.
Federal bir tedarik uzmanı ve merkez hukuk ve danışmanlık ortağı olan Alan Chvotkin, hükümet alımları arasındaki satın alma koşullarının standartlaştırılmasının tutarlılıkta büyük faydalar sağlayabileceğini, ajanslar ve yükleniciler için uyumluluk yüklerini azaltabileceğini ve potansiyel olarak endüstri maliyetlerini düşürebileceğini söyledi. Ancak GSA’nın etkisinin sınırları olduğunu, özellikle de ajansa özgü siber güvenlik gereksinimleri söz konusu olduğunda.
Chvotkin, GSA’nın ajansa özgü gereksinim yerine GSA tarafından ilave edilmiş şartlar ve koşulları kabul etmeye zorlayabilmesinin GSA’nın beklentisi olduğuna inanmıyorum. “Dedi. “Örneğin, GSA’nın siber hüküm ve koşulları DoD’nin CMMC gereksinimlerini yitiriyor mu yoksa başka bir ajansın yasal görevi mi?”
OneGov stratejisi, 16 Nisan Beyaz Saray direktifinin rekabeti artırmak, maliyetleri düşürmek ve edinme kurallarını kolaylaştırmak için federal tedarik politikasının kapsamlı bir revizyonu çağrısında bulunmasının ardından başlatıldı. Yönetim ve Bütçe Ofisi kıdemli danışmanı Kevin Rhodes, yaptığı açıklamada, federal satın alma düzenlemesinin planlı bir şekilde yeniden yazılmasının “tedarik sistemimizi kuşak değişimi ve sonuçları ile ortaya çıkaracak 40 yıldan fazla bürokratik birikmeyi azaltacağını” söyledi.
Birkaç analist, Onegov stratejisinin cumhurbaşkanının federal tedarik direktifini ve savunma satın alımlarını düzene yönlendirmeyi amaçlayan ayrı bir yürütme emrini gölgede bırakabileceği konusunda uyardı. Bu sipariş, ticari çözüm tekliflerine ve diğer işlem otoritesine öncelik verir, bu iki tedarik yöntemi uzaklara göre yönetilmez.
Onegov stratejisinin siber güvenliği artırmada etkinliğinin önemli bir testi, Defectdojo CEO’su ve eski bir Pentagon penetrasyon testçisi Greg Anderson, Federal Risk ve Yetkilendirme Yönetimi Programı ortamlarında faaliyet göstermek için onay ararken yavaş, sıklıkla işlevsiz süreç satıcılarının karşılaşıp ayarlanmadığı olacaktır. Anderson, ISMG’ye “ATO statüsünü alma sürecinin esasen durduğunu” söyledi ve satıcıları kimlik bilgilerini kullanma yetkisine sahip olan üçüncü taraflarla ortak olmaya zorladı.
Anderson, “ATO statüsü temelde kırık durumundan revize edilirse, bu, uygun tespit prosedürlerinin hala yerinde olması koşuluyla, satıcılar, vergi mükellefleri, hükümet çalışanları ve federal hükümetin kendisi için büyük bir kazanç olacak.” Dedi. Siber güvenlik alarmları CVE programı finansmanının kaybına karşı ses çıkarıyor).
“Büyük soru şudur: Hükümet, esas haline gelen daha küçük bir satıcı aniden işten çıkarsa ne yapar?” Ekledi.
OneGov, tedarikin basitleştirilmesine yardımcı olabilirken, doğrudan üreticiye bir modelin kritik altyapı gibi karmaşık, çok satıcı ortamlarda nasıl çalışacağına dair sorular da gündeme getiriyor.
Orijinal ekipman üreticileri, tek satıcı bir çözüm uygulanabilir olduğunda etkili olabilir, ancak en kritik altyapı ortamları, aynı tesiste bile çoklu satıcılara güvenir – Dan Gunter, siber güvenlik firması Insane Cyber ve ABD Hava Kuvvetleri için eski siber savaş görevlisi CEO’su. OEM’ler kendi teknolojilerini en iyi bilebilirken, Gunter daha pratik yaklaşımın genellikle bitki ortamlarının heterojen olduğu gerçeğini yansıttığını söyledi.
“Heterojen bir çözüm ideal olabildiğinde OEM’ler sözleşme değerlerini en üst düzeye çıkarmak için yönlendirilebilir” dedi. “Bir varlık sahibinin potansiyel olarak bu ilişkileri yönetmek için güvenilir, agnostik bir satıcıya güvenmek yerine tüm OEM’leriyle ayrı ayrı çalışması gerekecektir.”
Analistler, Onegov stratejisinin federal hükümeti büyük, sözleşmeli yazılım satıcılarının ürünlerini daha gelişmiş alternatifler üzerinden desteklemeye itebileceği konusunda uyardı. Fortinet Federal baş teknoloji sorumlusu Felipe Fernandez, genellikle operasyonel teknoloji ve eski platformlara bağlı kritik altyapı ve hassas görev sistemleri de “entegrasyon engelleri” ile karşılaşabilir.
Fernandez, kritik altyapı BT ortamları “görev bağlamı ve sistemik risk anlayışı” gerektiriyor. OEM’ler “kesinlikle destekleyici teknoloji sağlamaya devam ederken”, “çevre sadece ürünlerden daha fazlasını gerektiriyor.”
Fernandez ISMG’ye verdiği demeçte, “Ajanslar için zorunluluk, teknoloji seçim sürecinde katma değerli ortaklık uzmanlığını tamamen göz ardı etmek olacaktır.” Dedi.
GSA, Onegov stratejisinin federal düzenleyici tedarikin zaten kalabalık manzarasında veya mevcut siber güvenlik çerçevelerine nasıl hizalanacağı konusunda yorum taleplerine yanıt vermedi. Beyaz Saray ayrıca yorum talebine yanıt vermedi.