Hükümete, Sektöre Özel
Raporda, Teşkilatların Tehditleri Takip Etme, Soruşturma ve İyileştirme Yeteneklerinin Eksik Olduğu Belirtiliyor
Chris Riotta (@chrisriotta) •
15 Aralık 2023
Kongre gözlemcisi, en az 20 federal kurumun, kritik siber tehdit olaylarına müdahale yeteneklerini uygulamaya koymak için 2021 siber güvenlik yönetim emrinde belirtilen Ağustos ayı son tarihini karşılayamadığı sonucuna vardı.
Ayrıca bakınız: Yeni Dolandırıcılıkların Tespiti ve Önlenmesi: Kara Para Aklama Planlarıyla Mücadele
Ticaret, Devlet ve Adalet bakanlıkları, Hükümet Sorumluluk Bürosu tarafından derlenen ve yaz sonuna kadar gelişmiş kayıt gereksinimlerini karşılayamayan kuruluşlar arasında 4 Aralık’ta hazırlanan listeye dahil edildi. En büyük 23 federal kurumdan sadece üçü son teslim tarihine ulaşmayı başardı.
Gelişmiş günlük kaydı, kurumların siber güvenlik olaylarını takip etmesini ve aynı zamanda izleme günlüklerini uygun şekilde yönetip saklamasını sağlar. GAO’ya göre, son teslim tarihini karşılayamayan 20 ajanstan 17’si “sıfır sıfır” seviyesindeydi, bu da kayıt tutma yeteneklerinin etkili kabul edilmediği anlamına geliyor ve üçü “temel” birinci kademe seviyesindeydi.
Raporda, “Kurumlar tüm olay günlüğü gereksinimlerini uygulayana kadar, federal hükümetin siber tehditleri tam olarak tespit etme, araştırma ve düzeltme yeteneği kısıtlanacak” dedi.
Ajanslar, personel eksikliği, teknik zorluklar ve siber tehdit bilgi paylaşımındaki sınırlamalar nedeniyle zorluklarla karşılaştıklarını söyledi. GAO, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın önümüzdeki sonbahardan önce kullanıma sunmayı planladığı yeni bir tehdit istihbarat platformu da dahil olmak üzere, bu sorunları ele almak için hükümet çapında çeşitli girişimlerin devam ettiğini söyledi.
Siber güvenlik firması NCC Group’un küresel dijital adli tıp ve olay müdahalesi başkanı Alejandro Rivas-Vásquez, “Raporda belirlenen teknik boşluklar genellikle bir olayı etkili bir şekilde tespit edememe veya olaya müdahale edememe anlamına geliyor” dedi.
Rivas-Vásquez, “bir olay sırasında personel eksikliğinin üçüncü taraf düzenlemeleri yoluyla giderilebileceğini” ancak “olay verileri mevcut değilse veya kalitesizse soruşturmanın olumsuz etkileneceğini” söyledi.
CISA, personel alımı ve siber tehdit bilgi paylaşımıyla ilgili zorlukların yanı sıra, bulut günlük kaydı yetenekleriyle ilgili maliyetin, özellikle yaygın olarak kullanılan Microsoft temel kurumsal lisansının ticari ve kamu müşterileri için kritik bir sorun olduğunu tespit etti.
Temmuz ayında Microsoft, bazı müşterilerinin şirketin en üst düzey bulut hizmetleri için ödeme yapmamaları nedeniyle bir Çin casusluk kampanyasını tespit edememeleri üzerine, hiçbir ek ücret ödemeden bulut günlüğü yeteneklerini genişleteceğini duyurdu (bkz: Microsoft, Çin Hack Blowback’inden Sonra Günlük Erişimini Genişletiyor).
GAO raporu, günlük kaydı yeteneklerini tüm kritiklik düzeylerinde tam olarak uygulamak için kayıt son tarihini karşılayamayan ajanslara yönelik 20 öneri içeriyordu. Son teslim tarihini karşılayamayan diğer kurumlar arasında Konut ve Kentsel Gelişim, İçişleri, Çalışma, Ulaştırma, Hazine ve Gaziler İşleri gibi departmanlar yer alıyor.