ABD Senatörleri Gary Peters (D-MI) ve Mike Rounds (R-SD), Amerika’nın dijital altyapısını korumaya yönelik yenilenmiş bir hamleyle, süresi 30 Eylül’de dolan kritik siber güvenlik korumalarını geri yüklemeyi amaçlayan iki partili bir yasa tasarısı olan Amerika’yı Siber Tehditlerden Koruma Yasasını tanıttı.
İki partili tasarı, özel şirketlerin kötü amaçlı yazılım imzaları, yazılım açıkları ve kötü amaçlı IP adresleri gibi siber güvenlik tehdidi göstergelerini İç Güvenlik Bakanlığı (DHS) ile gönüllü olarak paylaşmasına olanak tanıyan 2015 Siber Güvenlik Bilgi Paylaşımı Yasası’nın önemli hükümlerini yeniden yetkilendirecek.
On yıldır aktif olan bu çerçeve, veri ihlallerinin önlenmesine, kişisel ve kurumsal bilgilerin korunmasına ve federal hükümetin yabancı düşmanlardan ve siber suç ağlarından gelen saldırıları tespit etme ve bunlara yanıt verme yeteneğini geliştirmeye yardımcı olduğu için itibar görüyor.
İki Partili Yasa Tasarısının Yenilenmesi
İç Güvenlik ve Hükümet İşleri Komitesi Kıdemli Üyesi Senatör Peters, “Bu iki partili yasa tasarısı, hastanelerimizdeki, finansal sistemlerimizdeki ve enerji şebekelerimizdeki kritik ağları on yıl boyunca siber saldırılara karşı korumaya yardımcı olan kanıtlanmış bir çerçeveyi yeniliyor” dedi.
“Ulusal ve ekonomik güvenliğimizi amansız saldırılara karşı savunmaya hazır olduğumuzdan emin olmak için şirketleri siber güvenlik tehditleriyle ilgili bilgileri gönüllü olarak federal hükümetle paylaşmaya teşvik eden bu uzun süredir devam eden siber güvenlik korumalarını hızla yenilememiz gerekiyor.”
Senatör Rounds, iki partili yasa tasarısının yeniden onaylanmasının aciliyetini vurgulayarak bu düşünceyi yineledi.
“2015 Siber Güvenlik Bilgi Paylaşımı Yasası, özel sektör ile hükümet arasında kritik bilgi paylaşımını sağlayarak ülkemizin siber savunmasını güçlendirmede etkili olmuştur. Hükümetin kapatılması nedeniyle bu mevzuatta meydana gelen aksaklık, ülkemizi siber saldırılara karşı savunmasız bırakmaktadır. Mevzuatımız bu hükümleri 10 yıl daha uzatacaktır.”
Boşlukların ve Sorumluluk Sorunlarının Ele Alınması
Yeni önerilen Amerika’yı Siber Tehditlerden Koruma Yasası, yalnızca süresi dolmuş siber güvenlik korumalarını yenilemeyi amaçlamıyor, aynı zamanda geriye dönük bir hüküm de getiriyor. Bu iki partili yasa tasarısı, zaman aşımı süresi boyunca siber tehdit verilerini hükümetle paylaşmaya devam eden şirketlerin sorumluluktan korunmasını sağlıyor.
Peters, yakın tarihli bir brifing sırasında gazetecilere verdiği demeçte, “Sürekli siber güvenlik saldırılarına karşı ayakta kalabilmek için tehditler hakkında gerçek zamanlı bilgi almaya devam etmeliyiz” dedi. “Milletimizin bilmesini istiyoruz ki, bu yasa tasarısı geçtiğinde, bu boşlukta meydana gelen her şey aynı zamanda olası sorumluluklardan da korunacaktır.”
Bu güvence, birçok sektörün 2015 yılındaki yasanın geçerliliğini yitirmesinin ardından ortaya çıkan yasal belirsizlikle ilgili endişelerini dile getirmesinin ardından geldi. Siber tehdit göstergelerini düzenli olarak federal hükümetle paylaşan birçok şirketin, garantili koruma olmadan yola devam etmekte tereddüt ettiği bildiriliyor.
On Yıllık Siber Savunmayı Geliştirmek
İki partili yasa tasarısı, SolarWinds, Volt Typhoon ve Salt Typhoon gibi büyük siber olayların ele alınmasına yardımcı olan bilgi paylaşımını kolaylaştıran 2015 yasasının temeli üzerine inşa ediliyor. Bu saldırılar hem hükümet sistemleri hem de özel ağlardaki güvenlik açıklarını açığa çıkararak işbirliğinin devam etmesi ihtiyacını ortaya çıkardı.
Önerilen yasa aynı zamanda kişisel olarak tanımlanabilir bilgilerin (PII) tehdit raporlarından hariç tutulmasını sağlayarak gizliliğin korunmasını da yeniden doğruluyor. Bilgi paylaşımı ile gizlilik arasındaki bu denge, programın başarısının temel taşı olmuştur.
Özel şirketlerin güvenlik kusurlarını veya devam eden siber saldırıları bildirmesi, federal hükümetin hızlı hareket etmesine, tehditlerin yayılmasının önlenmesine ve etkilenen kuruluşların daha hızlı iyileşmesine yardımcı olur. Paylaşılan istihbarat aynı zamanda eyalet ve yerel yönetimlere ve kritik altyapı operatörlerine de dağıtılarak ülke çapındaki toplulukların en son tehdit bilgileriyle donatılması sağlanır.
İki Partili Yasa Tasarısı: Güçlü Sanayi Desteği
İki partili tasarı çabası, Amerika Hava Yolları, Amerikan Gaz Birliği, Banka Politika Enstitüsü, İş Yuvarlak Masası, Ticaret Odası, Edison Elektrik Enstitüsü, Ulusal Üreticiler Birliği ve Ulusal Perakende Federasyonu dahil olmak üzere büyük endüstri gruplarından geniş bir destek aldı.
Bu kuruluşlar uzun süredir siber tehdit paylaşımına yönelik istikrarlı ve öngörülebilir bir çerçevenin savunuculuğunu yapıyor ve kısa vadeli yenilemelerin ülkenin karmaşık siber güvenlik sorunlarını yönetmek için yeterli olmadığını vurguluyor.
Peters, “Tüm paydaşlar açısından çok açık olan şey, konu bu korumalar olduğunda uzun vadeli kesinliğe ihtiyaç duyduklarıdır” dedi. “Yalnızca birkaç haftalık bir yamayla faaliyet gösteremezsiniz. Bir işletmeyi veya karmaşık bir siber güvenlik operasyonunu bu şekilde yürütmenin yolu yoktur.”
Önümüzdeki Mevzuat Engelleri
İki partili geniş desteğe rağmen, iki partili yasa tasarısı Senato’da usule ilişkin engellerle karşı karşıya. Basit bir yeniden yetkilendirmeyi daha önce geçirme çabaları, uzun vadeli herhangi bir yeniden yetkilendirmeye ek ifade özgürlüğü korumalarının dahil edilmesi çağrısında bulunan İç Güvenlik Komitesi Başkanı Rand Paul (R-KY) tarafından defalarca engellendi.
Peters engelleri kabul etti ancak iyimserliğini koruyor. “Bu tasarının oylamadan önce geçmesi gereken bir dizi prosedür var” dedi ve tedbiri Senato liderliğiyle tartıştığını ancak bir zaman çizelgesi belirtmediğini ekledi.
Senatör Peters, ülkenin siber savunmasını güçlendirmenin tutarlı bir savunucusu oldu. Onun önceki iki partili çabaları, K-12 okulları, eyalet ve yerel yönetimler ve federal tedarik zincirleri için siber güvenliği artıran yasaların çıkarılmasına yol açtı.