Artık Güvenlik Olaylarını Bildirmek Çok Önemli
Yazan: Trip Hillman, Ortak, BT Danışmanlık Hizmetleri, Weaver
Siber güvenlik saldırılarını ve fidye yazılımı ödemelerini bildirmek, yeni bir federal yasa uyarınca artık belirli işletmeler için isteğe bağlı olmayacak. 15 Mart 2022’de Başkan Biden tarafından kanunla imzalanan 2022 tarihli Siber Olay Raporlama Yasası, ilgili kuruluşların ‘önemli’ bir siber olayı 72 saat içinde Siber Güvenlik ve Altyapı Güvenlik Ajansı’na (CISA) bildirmelerini zorunlu kılıyor. CISA, kapsam dahilindeki kuruluşlardan gelen raporları analiz edecek ve anonimleştirilmiş bültenler üretecek ve devlet kurumlarına ve önemli teknoloji ve siber güvenlik şirketlerine dağıtacak, umarız zamanla diğer işletmelerin benzer saldırılara kurban gitmesini önler. Ek olarak, fidye yazılımı ödemelerinin 24 saat içinde bildirilmesi gerekecektir.
Bu yasanın yürürlüğe girmesiyle, kuruluşlar için önemli bir çıkarım, ‘raporlamanız gerekir…’ durumundan ‘raporlama yapacaksınız’ şeklindeki genel değişimdir. Bununla birlikte, gerekli içerik, raporlama, raporlama dağıtımı ve saklama yöntemi ve gönderimleri değiştirme veya geri çağırma süreci gibi bunun nasıl sonuçlanacağına ilişkin temel hususlar, CISA’nın belirlemesi için bırakılmıştır. Bu, CISA’ya Kongre’nin yeni yasaları yürürlüğe koymasını beklemek zorunda kalmadan yeni tehditler ortaya çıktıkça ve mevcut olanlar geliştikçe kuralları ayarlama ve revize etme esnekliği verir.
Bugüne kadar, CISA rapor edilecek siber saldırıların doğası hakkında belirli bir bilgi yayınlamadı, ancak ajans, geleneksel ‘kritik altyapı’ tanımını, 2013 Cumhurbaşkanlığı Politikasında tanımlanan en az 16 Kritik Altyapı Sektörünü içerecek şekilde genişleteceğini belirtti. Direktif:
- Kimyasal
- Ticari Tesisler
- iletişim
- Kritik Üretim
- Barajlar
- Savunma Sanayi Üssü
- Acil servisler
- Enerji
- Finansal hizmetler
- Gıda ve Tarım
- Devlet Tesisleri
- Sağlık ve Halk Sağlığı
- Bilgi Teknolojisi
- Nükleer Reaktörler, Malzemeler ve Atık
- Ulaşım Sistemleri
- Su ve Atıksu Sistemleri
Kapsanan endüstrileri daha fazla tanımlamak için, birkaç sektör alt sektörleri içerir. Örneğin, ticari tesisler sektörü, diğerlerinin yanı sıra kumarhaneleri, stadyumları, perakende merkezlerini ve alışveriş merkezlerini kapsayan yedi alt sektörü, “büyük insan kalabalığını çeken siteler” oluşturdukları gerekçesi altında, ancak “büyük”ün ne olduğunu tanımlamadan içermektedir. Diğer sektörler, alt sektörlere dayanmak yerine kapsanan faaliyetleri tanımlar.
Birlikte, 16 Sektör, bir zamanlar kritik olarak kabul edilenlerin önemli bir genişlemesini temsil ediyor. Örneğin, çiftliklerden restoranlara ve marketlere, su ve elektrik hizmetlerine, perakende bankacılık ve internet erişim sağlayıcıları ve cep telefonu ağları dahil telekomünikasyon ağlarına kadar tüm gıda tedarik zincirini kapsarlar. Kanun, ister mevcut bir Sektöre yeni kapsanan faaliyetler veya alt sektörler ekleyerek, isterse tamamen yeni bir Sektör ekleyerek olsun, CISA’ya 16 Sektörün içindeki ve dışındaki kapsanan kuruluşların listesini genişletmek için geniş bir serbestlik verir.
Çoğu orta ve büyük işletme, CISA’nın web sitesinde halka açık olan Kritik Altyapı Sektörleri listesini gözden geçirmek isteyebilir. Kapsanan birçok faaliyet ve terim daha fazla açıklamaya tabi olsa da, CISA’nın bir sektörü kritik olarak etiketleme mantığının gözden geçirilmesi, bir işletmenin siber olayları bildirmesi gerekme olasılığının belirlenmesine yardımcı olabilir. Muhtemel hassas iş verilerinin ifşa edilmesiyle ilgili endişeleri gidermek ve ifşayı teşvik etmek için yasa, CISA’ya rapor veren şirketler için yasal sorumluluk ve bilgi edinme özgürlüğü taleplerine karşı korumalar içerir.
NIST veya başka bir Siber Güvenlik Çerçevesi (CSF) uygulayan kuruluşlar, güvenlik olaylarını öncelik sırasına koymak ve araştırmak, dış paydaşları belirlemek ve ilgili bilgileri yaymak için halihazırda süreçlere sahip olmalıdır. CISA, yasanın uygulanmasına ilişkin ayrıntıları yayınladıktan sonra, bu kuruluşların, yeni yasa kapsamında gerekli olan ve orijinal çerçevede yer almayan alanları kapsayacak şekilde mevcut süreçlerini güncellemeleri gerekecektir:
- Bir olayın rapor edilebilir olup olmadığını değerlendirirken dikkate alınması gereken faktörler ve metrikler
- CISA’ya sunulmak üzere toplanacak veriler
- CISA ile iletişim kurma süreci
- Bir olayın değerlendirilmesi ve raporlanması ile ilgili sorumlulukları olan personel veya roller
Bir siber güvenlik olayının saatler, hatta günler sonraya kadar raporlanabilir hale gelmemesi mümkün olabileceğinden, kuruluşların dış iletişim süreçlerine sık sık bir geri bildirim döngüsü eklemesi gerekebilir. Bir saldırı, başlangıçta CISA’ya göre ‘önemli’ tanımının altına düşüyor gibi görünebilir, ancak daha sonraki analizlerde veya verilerin beklenmedik bir şekilde ifşa edilmesi gibi yeni gerçekler ortaya çıktıkça önemli ve rapor edilebilir hale gelebilir. Kapsam dahilindeki kuruluşlar, saldırının niteliği ve kapsamına ilişkin yeni bir anlayışın, saldırıyı rapor edilebilir bir siber olay haline getirmemesini sağlamak için önemsiz görülen saldırıları düzenli aralıklarla gözden geçirmek için süreçler uygulamalıdır.
Bir diğer önemli unsur, bildirim için ‘saatin ne zaman başlayacağını’ belirlemek olacaktır. Kapsam dahilindeki bir kuruluşun, bir siber olayı meydana geldiğine “makul olarak inandığı” tarihten sonra en geç 72 saat içinde bildirmesi gerekir. Ancak CISA makul inancı tanımlar, iletişim süreçlerinin güvenlik olayının anlaşılmasıyla ilgili değişikliklere hızlı tepki verecek kadar çevik olması gerekir.
Siber güvenlik sorunları hakkında dış paydaşlarla, hükümet veya başka bir şekilde iletişim kurmak için henüz tanımlanmış süreçleri olmayan kuruluşlar için, yeni yasa uygun bir stratejiyi uygulamak için gerekli itici güç olabilir. NIST-CSF, NIST 800-53 v5, ISO27001 veya COBIT 2019 gibi çoklu siber güvenlik ve BT kontrol çerçeveleri, güvenlik olaylarının uygun bir şekilde iletilmesi için prosedürlerin oluşturulmasına yardımcı olan rehberlik ve örnekler sağlar.
Her yeni siber güvenlik ihlali ve fidye yazılımı saldırısıyla birlikte, koordineli, somut bir müdahale ihtiyacı daha belirgin hale geliyor. Bu yeni yasanın beklentileri karşılayıp karşılamayacağını zaman gösterecek, ancak her kuruluş, faaliyetlerini nasıl etkileyeceğini görmek için gelişmeleri izlemelidir. Siber güvenlik müdahale planları hakkında daha fazla bilgi için bizimle iletişime geçin. Yardım etmek için buradayız.
yazar hakkında
Gezi HillmanCISSP, CISA, CEH, GPEN, GCFE, GSNA
Trip Hillman, Weaver’ın BT Danışmanlığı uygulamasının bir ortağıdır. Çok çeşitli BT ortamlarında siber güvenliği değerlendirmeye odaklanarak, Fortune 100 şirketlerine, özel sermaye gruplarına, küçük işletmelere ve benzer şekilde devlet kurumlarına güvenlik ve uyumluluk konusunda danışmanlık yaptı.