Kritik Altyapı Güvenliği , Devlet , Sektöre Özgü
Jen Easterly, Kongreye CISA Harcamalarının Etkisini Ölçmenin Zor Olduğunu Söyledi
Micheal Novinson (Michael Novinson) •
28 Mart 2023
Siber Güvenlik ve Altyapı Güvenliği Teşkilatını finanse etmekten sorumlu ABD milletvekilleri, Salı günü müdürüne önerilen 3,1 milyar dolarlık bütçenin nasıl somut sonuçlar doğuracağını göstermesi için baskı yaptı.
Ayrıca bakınız: Web Semineri | SASE Mimarisi Uzaktan Çalışmayı Nasıl Sağlar?
Engellenen kötü niyetli girişimlerin sayısı veya yama uygulanan sistemlerin yüzdesi gibi ölçümler bir ağın güvenli olduğunu göstermediği için, siber savunmanın etkinliğini doğrudan ölçmek onlarca yıldır politika çevreleri için kötü bir sorun olmuştur.
CISA Direktörü Jen Easterly, “Yalnızca şeyleri, faaliyetleri veya performansı nasıl ölçtüğümüzle ilgili değil, aslında etkinliği nasıl ölçtüğümüzle ilgili bu yolculuğa başlıyoruz,” dedi. R-Ohio’dan Temsilci Dave Joyce’a “Yatırım getirisini ifade etmemize izin verecek çok ölçülebilir ölçümler verebilmek için yola çıktık” dedi.
D-Texas’tan Temsilci Henry Cuellar, federal hükümetin ajanslara ve Kongre’ye hangi ölçümlere odaklanılacağını belirlemesi yerine ajansların kendi performans ölçümlerini geliştirmelerine izin vererek hata yaptığını söyledi. Cuellar, CISA ve diğer federal kurumlar tarafından önerilen ölçütlerin çoğunun sonuçları ölçmek yerine faaliyeti ölçmeye odaklandığını söyledi. Ve çok sayıda federal kurum, “kendilerini sıvazlamaktan” biraz daha fazlasını içeren performans değerlendirmeleri ortaya attı, diye ekledi.
Easterly, CISA’nın stratejik planının faaliyetler ve performanstan çok sonuçları ve etkililiği ölçmeye baktığını, ancak gerçekleşmeyen kötü şeyleri ölçmenin zor olabileceğini kabul ettiğini söyledi. İçinde bulunduğumuz mali yılda ölçmeyi umduğu bir sonuç, CISA’nın K-12 okulları, hastaneler ve kamu hizmetleri gibi hedef yönünden zengin, siber açıdan fakir ortamlarda sosyal yardım ve ücretsiz hizmetler yoluyla fidye yazılımı olaylarını azaltmadaki etkinliğidir (bkz:: ABD CISA Yetkilisi: Kullanıcıları MFA’yı Benimsemeleri İçin ‘Zorla Dürtün’).
Easterly, “Bir katılım belgesi aramıyoruz,” dedi. “Ulusa yönelik riski gerçekten azaltmak istiyoruz.”
Doğuda ajansının saldırıları caydırmak için en kritik programları, bütçe talebinin 424,9 milyon dolar olduğu Siber Analitik Veri Sistemi; bütçenin 408,3 milyon $ talep ettiği Sürekli Teşhis ve Azaltma programı; ve bütçesi 97,7 milyon $ olan Kritik Altyapı için Siber Olay Raporlama Yasasını uygulamak. 2022 yasası, CISA’nın kritik altyapı bölümlerinin siber olayları 72 saat içinde hükümete bildirmesini zorunlu kılan düzenlemeler geliştirmesini gerektiriyor. Yasa aynı zamanda ajansa, fidye yazılımı güvenlik açıklarını tespit etmek için kritik altyapı kuruluşlarını tarama yetkisi de veriyor (bkz: ABD CISA, Kritik Altyapıyı Fidye Yazılım Riskine Karşı Uyarıyor ).
Easterly ayrıca, CISA’nın sivil federal ağlar genelinde uç nokta tespiti ve yanıtı kullandığını ve ajansın ağlardaki kötü niyetli faaliyetlerden federal hükümet cihazlarındaki TikTok’a kadar her şeyi tespit etmesine olanak tanıdığını söyledi (bkz:: ABD Yetkilisi Sektörü Kötü Siber Güvenlikle Suçladı).
Easterly, “Düzeltilmesi gereken güvenlik açıkları olup olmadığını anlamamıza izin veriyor, ancak aslında bunu ölçmek bir zorluk” dedi.
“Burada İşe Alımı Birinci Öncelik Haline Getirdik”
Ajans müdürü, Temmuz 2021’de müdür olarak katıldığından bu yana CISA’nın işgücü boyutunu önemli ölçüde artırdığını, 2022 mali yılında 516 yeni kişiyi bünyesine kattığını ve mevcut mali yılda 600 yeni işe alım hedeflediğini söyledi. CISA’nın misyonuna ve federal bir işin istikrarına odaklanarak özel sektördeki daha yüksek maaş beklentilerine karşı koyan CISA, Eylül 2024’e kadar açık pozisyonların %8’den azını boş bırakma yolunda ilerliyor.
Easterly, “İşe alımları burada birinci öncelik haline getirdik,” dedi. “İnsanları daha hızlı bir şekilde işe alabilmemiz ve ardından onları etki yaratabileceklerini hissettikleri bir kültüre getirebilmemiz için çok çeşitli yeni yetkililer kullandık.”
Temsilci Lauren Underwood, D-Ill., Easterly’ye Cumhuriyetçilerin federal harcamaları 2022 mali seviyelerine düşürme önerisini sordu ve bunun CISA’nın bölgesel saha gücünün boyutunda %13’lük bir azalmayla sonuçlanacağını söyledi. Easterly, CISA’yı 2022 mali harcama seviyelerine geri getirmenin, kurumun ülke çapındaki küçük kritik altyapı sahipleri ve operatörleriyle çalışmasını ciddi şekilde kısıtlayacağını söyledi.
Easterly, son iki yılda CISA’nın kritik altyapı kuruluşlarına destek sağlamaya odaklanan eyalet ve saha düzeyindeki iş gücünü önemli ölçüde artırdığını söyledi.
“Bu yeteneklerdeki herhangi bir kesinti ve ayrıca istediğimiz herhangi bir yetenek veya şey hakkında çok endişelenirim, çünkü bu bizi, geliştirdiğimiz görünürlüğü kaybedeceğimiz SolarWinds öncesi bir dünyaya geri götürür. dedi Easterly. “Ve bu, güvenlik inovasyonumuza zarar veriyor.”