Günümüz dünyasında, özellikle enerji, sağlık ve ulaşım gibi kritik altyapıları ve sektörleri hedef alan siber tehditlerle ilgili sürekli söylentiyi kaçırmak zordur. Bu saldırıların sayısı artmakla kalmıyor; daha sofistike hale geliyorlar ve savunmamızı güçlendirmemiz gerektiğini açıkça ortaya koyuyorlar.
Örneğin son olayları ele alalım. Şubat ayında Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA) ve FBI, ortaklarıyla birlikte ciddi bir uyarı yayınlamak için bir araya geldi. Onlar uyarıldı Çin Halk Cumhuriyeti (ÇHC) ile bağlantılı siber operasyonlar tarafından halihazırda istismar edilen güvenlik açıklarına dikkat çekilerek potansiyel siber tehditler hakkında önemli altyapı sektörleri hakkında bilgi verildi.
Ve bu sadece ABD’de gerçekleşen bir siber saldırı değil. nükleer tesis Birleşik Krallık’ta yaşananlar yakın zamanda bize, konu altyapımızın korunması olduğunda risklerin ne kadar yüksek olabileceğini gösterdi. Ancak tüm alarmlara ve farkındalığa rağmen siber güvenlik konusunda hem mevzuatta hem de uluslararası işbirliğinde hala büyük bir boşluk var.
Daha İyi Bir Küresel Siber Anlaşmaya Yönelik Ölmekte Olan İhtiyaç
Kritik altyapılara yönelik siber güvenliğin mevcut durumu, modern tehditlerin karmaşıklığını gidermekte genellikle başarısız olan bir dizi düzenleme ve standarttan oluşan parçalı bir yapıdadır. Her ne kadar Birleşmiş Milletler 2015 yılında gönüllü normları kabul etse de etkileri sınırlı olmuştur.
Altyapıyı hedef alan siber olayların 2020 ile 2022 arasında iki katına çıktığı bildiriliyor. Uluslararası Enerji Ajansımevcut müdahale çerçevesinin yetersizliğini vurgulamaktadır.
Bu acil sorunu çözmek için uluslararası toplum, özellikle kritik altyapının korunmasını geliştirmeye odaklanan küresel bir siber anlaşma oluşturmayı düşünmelidir. Böyle bir anlaşma, mevcut çerçeveler üzerine inşa edilebilir ve küresel ekonomiyi yükseltecek bağlayıcı tedbirler getirebilir. siber güvenlik standartları.
Şu anda siber güvenlik düzenleme ortamı, federal yasaların, endüstri standartlarının ve sektöre özgü yönergelerin bir karışımından oluşmaktadır. Ancak bu düzenlemelerin hiçbiri tüm kritik altyapı sektörlerini kapsamlı bir şekilde kapsamamaktadır.
- Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA): Bu federal yasa, tıbbi bilgilerin korunması açısından hayati önem taşıyor ve sağlık hizmeti sağlayıcılarının ve onların ortaklarının hasta verilerini korumak için güvenlik önlemleri almasını gerektiriyor. Önemine rağmen HIPAA’nın kapsamı sağlık sektörüyle sınırlıdır ve diğer kritik altyapı alanlarını kapsamamaktadır.
- Siber Güvenlik Olgunluk Modeli Sertifikasyonu (CMMC): Savunma Bakanlığı (DoD) ile çalışan savunma yüklenicileri için tasarlanan CMMC, bu kuruluşların belirli siber güvenlik standartlarına uymasını sağlar. Ancak, uygulanabilirliği savunmayla ilgili yüklenicilerle sınırlı olup, diğer sektörleri karşılaştırılabilir korumalardan yoksun bırakmaktadır.
- Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS): Eyaletler arasında geniş çapta benimsenen bu endüstri standardı, kredi kartı verilerini işleyen kuruluşlar için güvenlik gerekliliklerini belirler. Ancak PCI DSS, finansal işlemlerin ötesinde kritik altyapı sektörlerini kapsamamaktadır.
- Kolluk Kuvvetleri Yasası (CALEA) için İletişim Yardımı: Federal İletişim Komisyonu (FCC) tarafından uygulanan CALEA, telekomünikasyon şirketlerine iletişimin yasal olarak dinlenmesini kolaylaştırma yetkisi veriyor. Ancak CALEA’nın kolluk kuvvetlerine odaklanması daha geniş siber güvenlik endişelerini ele almıyor.
- Kuzey Amerika Elektrik Güvenilirlik Kurumu Kritik Altyapı Koruması (NERC CIP): NERC CIP yönergeleri, elektrik şebekesinin siber tehditlere karşı korunmasında etkilidir. Ancak bunlar sektöre özgüdür ve ulaşım veya imalat gibi diğer kritik altyapı alanlarını kapsamaz.
- Mevcut çerçevelere rağmen, tüm kritik altyapı sektörlerinde siber güvenliğe yönelik merkezi ve kapsamlı bir yaklaşım bulunmuyor. Bu parçalanmış düzenleyici ortam çoğu zaman boşluklarla sonuçlanır. siber düşmanlar istismar edebilir.
Birleşik Siber Güvenlik Çerçevesi Durumu
Daha entegre bir düzenleme yaklaşımına duyulan ihtiyaç yalnızca önemli değil, aynı zamanda çağın ihtiyacı haline geldi. Merkezi düzenlemeler, güvenlik uygulamaları için bir temel oluşturarak kuruluşları siber güvenlik stratejilerini geliştirmeye ve iyileştirmeye teşvik edebilir.
Bu, yaygın güvenlik açıklarını giderecek ve güvenlik önlemlerinde yeniliği teşvik edecektir. Örneğin, Sıfır Güven modeliGüvenlik risklerini azaltmak için insanlar, veriler ve sistemler arasındaki etkileşimleri yöneten , giderek parametresizleşen ağlarda daha iyi güvenlik ihtiyacına yanıt olarak ortaya çıktı.
Merkezi düzenlemeler aynı zamanda tedarik zincirlerindeki güvenlik uygulamalarını standartlaştırarak birbirine bağlı iş operasyonlarından kaynaklanan güvenlik açıklarını azaltabilir. Tüm tarafların aynı güvenlik protokollerine uymasını sağlayarak kuruluşlar riskleri daha iyi yönetebilir ve azaltabilir. Bu yaklaşım yalnızca güvenliği artırmakla kalmayacak, aynı zamanda tüketiciler ve tedarik zinciri ortakları da dahil olmak üzere paydaşlar arasında güven inşa edecektir.
Mevcut tehdit sistemi daha iyiye duyulan ihtiyacı vurguluyor düzenleyici çerçeveler. Gelişmiş Kalıcı Tehditler (APT’ler) gibi çevrimiçi tehditler ve BT ile Operasyonel Teknoloji (OT) sistemlerinin yakınsaması önemli zorluklar doğurmaktadır.
BT ve OT Sistemlerinin Yakınsaması: BT ve OT sistemlerinin entegrasyonu, kritik altyapıya yönelik saldırı yüzeyini genişletti. Endüstriyel kontrol sistemleri (ICS) ve denetleyici kontrol ve veri toplama (SCADA) gibi sistemler, daha önce BT ağlarıyla sınırlı olan siber tehditlere karşı artık savunmasızdır. Bu yakınlaşma, hem BT hem de OT ortamlarına yönelik entegre siber güvenlik çerçevelerine olan ihtiyacın altını çiziyor.
Gelişmiş Kalıcı Tehditler (APT’ler): APT’ler, uzun süreler boyunca yüksek değerli hedeflere yönelik, genellikle devlet destekli, karmaşık saldırılardır. APT’leri ele almak, gelişmiş tespit ve yanıt yeteneklerinin yanı sıra sürekli izleme ve tehdit istihbaratı gerektirir. Bu yetenekleri zorunlu kılan düzenlemeler, kuruluşların bu tür karmaşık saldırılara karşı daha iyi savunma yapmasına yardımcı olabilir.
Nesnelerin İnterneti (IoT) ve Eski Sistemler: IoT cihazlarının çoğalması, çoğu minimum düzeyde güvenlik önlemleriyle tasarlandığından ek güvenlik zorlukları ortaya çıkarmaktadır. güvenlik kontrolleri. Üstelik kritik altyapılar genellikle modern siber güvenlik tehditleri göz önünde bulundurularak tasarlanmamış eski sistemlere dayanır. Bu güvenlik açıklarını gidermek için güncellenmiş düzenleyici standartlara ihtiyaç vardır.
Küresel Perspektifler ve Öneriler
Siber tehditlerin küresel doğası göz önüne alındığında, kritik altyapının korunması için uluslararası işbirliği şarttır. A küresel siber güvenlik anlaşması Kritik altyapıya odaklanmak evrensel standart ve normların oluşturulmasına yardımcı olabilir. Böyle bir anlaşma, sınır ötesi siber tehditlere yanıt vermek için bir çerçeve sağlayacak ve BM’nin siber uzayda sorumlu devlet davranışına ilişkin yönergeleri gibi mevcut çerçevelerin üzerine inşa edilecek.
Kamu-özel ortaklıklarının güçlendirilmesi de çok önemli. Devlet kurumları ve sektör paydaşları arasındaki işbirliği ve siber güvenlik uzmanları daha etkili güvenlik önlemleri alınmasını sağlayabilir ve tehdit istihbaratının paylaşımını kolaylaştırabilir. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Bilgi Paylaşımı ve Analiz Merkezleri (ISAC’ler) gibi girişimler bu işbirliğinin geliştirilmesinde hayati bir rol oynuyor.
Dahası, siber güvenlikte yeniliğin teşvik edilmesi, ortaya çıkan tehditlerin önünde kalabilmek için çok önemlidir. Yeni güvenlik teknolojileri için araştırma ve geliştirmeye yatırım yapmak ve araştırmacılar, geliştiriciler ve endüstri uygulayıcıları arasındaki işbirliğini teşvik etmek, gelişmiş güvenlik çözümlerinin geliştirilmesini teşvik edebilir.
Özetle
Dijital dünyamızın karmaşıklıklarında yol alırken, kritik altyapılara yönelik siber güvenlik standartlarının yükseltilmesi her zamankinden daha acil hale geldi. Enerji şebekelerine, sağlık sistemlerine ve ulaşım ağlarına yönelik siber saldırılarda son dönemde yaşanan artış, mevcut savunmalarımızdaki rahatsız edici durgunluğu ve yetersizliği ortaya koyuyor.
HIPAA, CMMC ve PCI DSS gibi çerçeveler mevcut olsa da tüm kritik sektörleri kapsamlı bir şekilde kapsama konusunda yetersiz kalıyorlar. Günümüzün siber güvenlik ortamının parçalı doğası, özellikle teknoloji ilerledikçe ve tehditler daha karmaşık hale geldikçe tehlikeli boşluklar bırakıyor.
Bu zorluklarla gerçek anlamda mücadele edebilmek için uluslararası toplumun birleşik bir küresel siber anlaşma için baskı yapması gerekiyor. Böyle bir anlaşma, kritik altyapının korunmasına, evrensel standartların oluşturulmasına ve küresel işbirliğinin geliştirilmesine yönelik tutarlı bir yaklaşım getirebilir. Çabalarımızı uyumlu hale getirerek, uygulamalarımızı standartlaştırarak ve yeniliği teşvik ederek, dijital çağın gelişen tehditlerine karşı koyabilecek daha güçlü, daha dayanıklı bir siber güvenlik stratejisi oluşturabiliriz.
İlgili