Son anda 30 Eylül’de Kongre, federal hükümete 45 gün daha fon sağlanmasını öngören iki partili bir yasa tasarısını kabul etti ve böylece hükümetin kapatılması şimdilik önlendi. Finansmanla ilgili belirsizlik göz önüne alındığında, Yönetim ve Bütçe Ofisi kurum liderlerine olası bir kapanmaya hazırlanmaları talimatını verdi ve bu planların uzun vadeli harcama faturaları onaylanana kadar yürürlükte kalması gerekiyor. Hükümet Kasım ayı ortasında kapanırsa yüz binlerce federal çalışan ücretsiz izne ayrılacak. Çok daha fazlası, ücretli ya da ücretsiz olarak çalışmaya devam edecek. Bu kadar çok değişkenin söz konusu olduğu bir ortamda Kasım ayındaki bir kapatma, ülkenin siber güvenliği açısından ne anlama gelebilir?
İçeriden Tehdit Potansiyeli ve Hoşnutsuz Çalışanlar
Potansiyel kapanma, devlet çalışanlarına ya gerekli olmadıkları ya da işlerinin gerekli olduğu ancak onlara ödeme yapılmadığı yönünde güçlü bir mesaj gönderiyor. Çalışanlar, evde kendi faturalarını ödeyecek paraya sahip olmadıklarını ve aynı zamanda işlerinin değerinin düştüğünü hissettiklerinden, bu durum içeriden gelen tehditlere neden olabilir. Bazı üzgün insanların, bir siber suçluyla veya onun için çalışmayı gerektirse bile, ödeme almanın başka bir yolunu bulmaya çalıştıklarını hayal etmek zor değil.
Ulus-Devlet Fırsatları
Kapanma, ulus devlet aktörlerini, daha fazla kesinti olasılığını artırmak için belirsizlikten yararlanarak bir saldırı düzenlemeye motive edebilir. Bildirildiğine göre Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), işgücünün %80’inden fazlasını ücretsiz izne çıkarmaya hazırlanıyordu.
CISA’nın misyonunun önemli bir kısmının tehditleri proaktif bir şekilde izlemeyi ve kamu ve özel sektör paydaşlarını ortaya çıkan tehlikeler konusunda eğitmeyi içerdiği göz önüne alındığında, paydaşlar arasında etkili bir şekilde iletişim kurma ve farkındalık yaratma becerisi kısıtlanabilir. Geriye şu soru kalıyor: Siber teşkilatımızı bu kadar düşük bir seviyede çalıştırmayı göze alabilir miyiz ve kötü niyetli aktörler bunun etkisinden yararlanabilir mi? Eğer ulus devlet aktörleri bu olasılığa henüz hazırlıklı değilse, 45 günlük uzatma bu tür planların hayata geçirilmesi için daha fazla fırsat sağlayacak.
Mevzuat Gereksinimlerini Karşılamak
Etkilenecek olan yalnızca kamu sektörü ve kritik altyapı da olmayacak. Kötü niyetli aktörler bu fırsatı değerlendirirse, halka açık şirketler maddi olayların ifşa edilmesini nasıl sağlayacak? Menkul Kıymetler ve Borsa Komisyonu (SEC) yakın zamanda “siber güvenlik risk yönetimi, stratejisi, yönetişimi ve 1934 tarihli Menkul Kıymetler Borsası Kanunu’nun raporlama gerekliliklerine tabi olan halka açık şirketler tarafından gerçekleştirilen olaylara ilişkin açıklamaları geliştirmek ve standartlaştırmak” için yeni kuralları (PDF) kabul etti. ” Ancak ciddi bir siber güvenlik olayı meydana gelirse, halka açık şirketler bunu kendilerine ayrılan dört günlük süre içinde nasıl rapor edecek? CISA’nın çoğu izne ayrılırsa, olay müdahalesine yardımcı olan diğer devlet kurumlarıyla birlikte bu kuruluşların bu olaylara müdahale etmesine, analiz etmesine ve soruşturmasına kim yardımcı olacak? Kamu ya da özel her kuruluş, olaylara müdahale şirketlerine başvurmak ve ihtiyaç duydukları desteği alabileceklerini ummak zorunda mı kalacak?
Personel Sayısı Az Olan Kurumlar Hazır mı?
Hükümetin kapanması olasılığına rağmen, diğer çeşitli hükümet politikaları ve kararları ilerlemeye devam ediyor. Örneğin, COVID-19 salgını nedeniyle üç yıldır ara verilen öğrenci kredisi geri ödemelerinin Ekim ayında yeniden başlamasını ele alalım. Sistemin yeni faaliyetlerde bir artış öngörmeye devam etmesi ve aynı zamanda potansiyel siber saldırılara karşı savunmasını güçlendirmesi zorunludur. 2019’daki son hükümet kapatması sırasında, .gov web siteleri de süresi dolmuş TLS sertifikaları nedeniyle erişilemez hale geldi; bu, kişisel bilgileri ortadaki adam saldırıları riskiyle karşı karşıya bırakabilir ve kullanıcıları dolandırıcılığa ve kimlik hırsızlığına açık hale getirebilir.
Kesintiye Hazır Olun
Kongre Araştırma Servisi’ne göre 1981’den bu yana 14 kapatma yaşandı ve bunların çoğu yalnızca bir veya iki gün sürdü, bu nedenle ne bekleneceğini bilmek zor. Devlet kurumlarının birçoğu 2023’te acil durum planlarını güncellemedi (114 kurumdan yalnızca 39’unun planları güncellendi). Hükümet, kamu ve özel sektörü siber güvenliğe hazırlıklı olma konusunda teşvik etmeye devam ederken, bunu söylemek yapmaktan daha kolay.
Devlet kurumları olası bir kapanmaya karşı hazırlıklarını sürdürürken, özel sektörün de olası sonuçlara karşı hazırlıklı olması gerekiyor. Önemli bir saldırının hükümetin kapatılması sırasında (Kasım ayında veya gelecekte) meydana gelmesine bakılmaksızın, bu kesinlikle dikkate alınması gereken bir risktir. Uzun vadeli hükümet finansmanının mevcut olup olmadığına bakılmaksızın, tüm kuruluşlara karmaşık ağlarını korumak için şimdi ellerinden gelenin en iyisini yapmaları en iyi hizmeti verecektir.