Biden yönetiminin ulusal siber güvenlik stratejisiA uzun zamandır beklenen politika vizyonu yaklaşık iki yıl sonra serbest bırakıldı icra emri daha esnek bir altyapı için çağrıldı, değişimi etkileyen önemli ayrıntılardan yoksun.
Vizyonu ve belirtilen hedefleri gerçeğe dönüştürmek daha fazla eylem ve takip gerektirir, siber güvenlik uzmanları söyledi. Teknoloji sektörüne daha fazla sorumluluk yükleyen yasa ve yönetmeliklerin hızlı veya kolay çıkması muhtemel değildir.
“Stratejide açıklanan sütunlar iyi ve düzgün bir şekilde tanımlanmış, ancak bu tür bir yasama desteği olmadan pek işe yaramıyor”, John Rostern, Kıdemli Başkan Yardımcısı ve güvenlik danışmanlığında bulut ve altyapı hizmetlerinin küresel lideri NCC Group North America, e-posta yoluyla söyledi.
“Bu tür bir yasayı Meclis ve Senato genelinde kabul edilebilir bir biçimde hazırlamak zorlu olacaktır. Ne yazık ki, bunun hızlı bir şekilde ilerlemesi pek olası değil” dedi.
Sophos Başkan Yardımcısı ve küresel saha CTO’su Julie Davila, federal mevzuat yoluyla etkilenebilecek veya başka bir şekilde standartları karşılamaya zorlanabilecek çok sayıda endüstri olduğunu söyledi.
Davila’ya göre, kritik altyapı için temel güvenlik gereksinimleri, bu ekosistemlerdeki diğer satıcılara ve yazılım sağlayıcılara damlatılabilir.
Davila, “Bu orta bölgede yer alan ve bu yasa ve yönetmeliklerin birçoğunun kapsamı dışında kalan, ancak bir nevi kapsanacak birçok şirketiniz olacak,” dedi.
Temel gereksinimleri güçlendirin
Federal hükümetin, mali cezalar veya başka türlü dahil olmak üzere teknoloji şirketlerine daha fazla sorumluluk ve sorumluluk yükleme planının arkasında nasıl duracağı belirsizliğini koruyor.
Avrupa’daki veri koruma ve mahremiyet yasalarına benzer bir yükümlülük rejimi, “gerçek ve pragmatik bir dizi temel kontrol beklentilerine bağlı, hoş bir değişiklik olacaktır” Jamf CISO Aaron Kiemele e-posta yoluyla söyledi.
Avrupa Birliği’nin Genel Veri Koruma Yönetmeliğini ihlal eden kuruluşlar, yıllık gelirlerinin %4’üne kadar para cezasına çarptırılabilir.
Kiemele, tahmin edilmesi zor bir güvenlik ortamında meydana gelen olaylar için kuruluşları cezalandırıcı bir şekilde cezalandırmadan reformu yönlendirmenin zor olacağını söyledi.
Beyaz Saray, “en gelişmiş yazılım güvenlik programlarının bile tüm güvenlik açıklarını önleyemeyeceğini” belirterek, beklentileri makul bir şekilde dengeleme gereğini kabul ediyor.
Strateji, özellikle “yazılımlarını güvence altına almak için makul önlemleri almayan” ve “tüketicilere, işletmelere veya kritik altyapı sağlayıcılarına borçlu oldukları özen yükümlülüğünü yerine getirmeyen” kuruluşlara yükümlülükler getirilmesi çağrısında bulunuyor.
Olağanüstü güvenliği ödüllendirin
Başka bir politika hedefi olan daha dayanıklı ve savunulabilir sistemlerin teşvik edilmesi, güvenliğe öncelik veren kuruluşları ödüllendirme ihtiyacını kabul eder.
“Zayıf güvenliği uyarı için bir fırsat haline getirmek kolaydır, ancak birçok kuruluş için güvenlik, oyunun amacının minimum düzeyde uyumluluğu sağlamak olduğu bir maliyet merkezidir.” Huntress’te kıdemli ThreatOps analisti ekip lideri Dray Aghae-posta yoluyla söyledi.
Rostern’e göre, bu standartların biçimi ne olursa olsun, kuruluşlar bir sonraki güvenlik ihlallerini örtbas etmek için uyumluluğa bel bağlamamalı.
Rostern, “Ajanslar, düzenlenmiş kuruluşları asgari temel çizginin ötesine geçmek için desteklemeye ve teşvik etmeye yatırım yapmalıdır” dedi.
Strateji, radikal bir değişime işaret etmiyor, ancak federal hükümetin özel şirketlerin siber savunmayı güçlendirmede oynadığı kritik rolü tanımak için mevcut her aracı kullanma taahhüdünü yeniden teyit ediyor. Michael McPherson, ReliaQuest’te güvenlik operasyonlarından sorumlu Kıdemli Başkan Yardımcısı.
McPherson, “Özel sektör işbirliği, bu çabada değerli olabilecek bilgi ve yeteneklere sahip şirketlerin derinliği ve genişliği nedeniyle, bu stratejinin uygulanmasında muhtemelen en büyük zorluk olacaktır” dedi. “Özel sektörün gücünden yararlanmak için bir çerçeve oluşturmak muazzam bir görev.”