ABD Hükümeti bir süredir Ulusal Siber Güvenlik Strateji Belgesi 2023 üzerinde çalışıyor ve sonunda yayınlandı.
ABD Hükümeti bir süredir Ulusal Siber Güvenlik Strateji Belgesi 2023 üzerinde çalışıyor ve sonunda yayınlandı. 2018’deki bu tür son çalışmanın yerini alan strateji belgesi, ABD’nin siber suçlara ve güvenliğe yaklaşımının önümüzdeki birkaç yıl için genel yönünü göstermeye çalışıyor.
Ortaya çıkan noktalarda hemen harekete geçmeniz gerekmese de, daha büyük kuruluşlar için zayıf güvenlik uygulamalarının sorumluluğu, IoT cihazları için daha iyi derecelendirmeler ve doldurulmamış güvenlik açık pozisyonları için büyük ölçüde geliştirilmiş bir işe alma stratejisi hakkında çok fazla konuşma var. Bunlar sizi ilgilendiren alanlarsa, aşağıda önemli kısımları vurgularız.
WSJ’ye göre, eylem için beş ana alan şunlardır:
- Kritik altyapıyı savunmak
- Suç çetelerinin dağıtılması ve tasfiyesi
- Piyasa güçlerini şekillendirin
- Dirençli bir geleceğe yatırım
- Uluslararası ortaklıklar kurun
Bu yeni stratejinin büyük bir kısmı, potansiyel olarak saldırıları savuşturmak için en iyi donanıma sahip kuruluşların adım atması ve daha fazlasını yapması gerektiğidir:
Siber uzaydaki en yetenekli ve en iyi konumdaki aktörler, dijital ekosistemin daha iyi görevlileri olmalıdır… daha fazlasını sormalıyız [across both the public and private sectors] dijital ekosistemimizi daha güvenli ve esnek hale getirmek için en yetenekli ve en iyi konumlandırılmış aktörlerden oluşan bir ekip. Özgür ve birbirine bağlı bir toplumda, verileri korumak ve kritik sistemlerin güvenilirliğini sağlamak, verilerimizi tutan ve toplumumuzu işler hale getiren sistemlerin sahiplerinin ve operatörlerinin yanı sıra bunları oluşturan ve hizmet veren teknoloji sağlayıcıların sorumluluğunda olmalıdır. sistemler.
Bunu akılda tutarak, ilgili bölümlerden bazı öne çıkanları vurgulayalım.
Kritik altyapıyı savunmak
Minimum siber güvenlik gereksinimlerinin kritik sektörlerde kullanımının yaygınlaştırılması
Kritik bir endüstri sektöründe çalışıyorsanız, yakın gelecekte yeni gereksinimlerin yolunuza çıktığını görmeyi bekleyebilirsiniz. “Mevcut makamlar” siber güvenlik için yeni gereksinimler belirleyecek ve minimum standartlar oluşturmak için yasal makamlarda boşluklar varsa, Yönetim bunları kapatmak için kongre ile birlikte çalışacaktır. Yönetmelikler performansa dayalı olacak ve mevcut güvenlik çerçevelerinden yararlanacak; burada tekerleği yeniden icat etmek yok. Bulut endüstrisinde daha iyi uygulamalara odaklanma da belirgindir.
Federal yanıt planlarını güncelleyin
Bir siber olaydan sonra Federal makamlarla iletişime geçmeniz gerektiğinde, kiminle ne zaman iletişime geçileceğini hızlı ve kolay bir şekilde öğrenebilen kuruluşlarla “birleşik, koordineli, bütün bir devlet müdahalesi” oluşturmak amacıyla daha iyi süreçler bekleyebilirsiniz. Ulusal Siber Olay Müdahale Planı (NCIRP) bu çalışma aracılığıyla güncellenecek ve 2022 tarihli Kritik Altyapı için Siber Olay Raporlama Yasası (CIRCIA), kritik altyapı sektörlerindeki belirli kuruluşların olayları “saatler içinde” CISA’ya bildirmesini gerektirecektir.
Suç çetelerinin bozulması
Özel sektörü kesinti faaliyetlerine dahil etmek
Hükümet, özel sektörün “benzersiz kavrayış ve yeteneklerini” Federal kurumlar tarafından kararlı adımlar atma yeteneği ile birleştirmek istiyor. Özel sektör ortaklarının, Federal hükümetle operasyonel işbirliği için merkezler olarak hizmet veren kar amacı gütmeyen kuruluşlar aracılığıyla örgütlenmesine yönelik güçlü bir istek var.
Bu faaliyetler ve bilgi paylaşım süreçleri için sanal işbirliği platformları kullanılacak ve gerekli güvenlik gereksinimleri ve kayıt yönetimi faaliyetleri Hükümet tarafından takip edilecektir. Başka bir deyişle: kuruluşunuz geniş bir güvenlik ağı kullanıyorsa, saldırı girişimleriyle ilgili verileri topluyorsa, ilginç dosyaları engelliyor ve yakalıyorsa, fidye yazılımlarını savuşturuyorsa ve şüpheli ağ trafiğini tespit ediyorsa, o zaman bir Avengers girişimi kanatta bekliyor demektir.
Piyasa güçlerini şekillendirin
Kişisel verilerin gizliliğini ve güvenliğini teşvik etmek
Büyük kuruluşları, sorumlu veri sorumlusu olamamaktan sorumlu kılmak, strateji belgesi boyunca devam eden önemli bir konu. Bunun nedeni, maliyetlerin genellikle sıradan insanlara yansıtılması ve en büyük etkinin savunmasız nüfus üzerinde hissedilmesidir.
Nesnelerin İnterneti cihazları, tüketicilerin cihazlar tarafından sunulan güvenlik korumalarını karşılaştırmasına olanak tanıyan “IoT güvenlik etiketleme programları” kapsamına girmeyi bekleyebilir. Buradaki fikir, IoT alanında daha iyi güvenlik için bir pazar teşviki yaratmaktır, ancak bu, insanların bu etiketlerin var olduğunu ve pratikte ne anlama geldiğini anlamalarına bağlıdır.
Güvenli geliştirme uygulamalarını teşvik etmek için yazılım ürünleri ve hizmetleri için sorumluluğun değiştirilmesi
Veriler, güvenlik uygulamaları ve uyumluluk konusunda hızlı ve gevşek davranan bir kuruluşta çalışan birini tanıyorsanız, uyarılmalıdır: Bir sorumluluk fırtınası yaklaşıyor. İdare, ürünleri ve hizmetleri güvenli bir şekilde geliştiren ve sürdürenler için bir “güvenli liman” ile birlikte, yazılım ürünleri ve hizmetleri için sorumluluk belirleyen mevzuat geliştirmek için Kongre ve özel sektörle birlikte çalışacak.
Dirençli bir geleceğe yatırım
Siber iş gücümüzü güçlendirmek için ulusal bir strateji geliştirin
Ülke çapında siber güvenlik pozisyonlarındaki yüzbinlerce boş pozisyon, bu Yönetim için hassas bir nokta. Kendiniz de güvenlik personeli sıkıntısı çekiyorsanız, aradığınız Ulusal Siber İşgücü ve Eğitim Stratejisi için önerilen geliştirme olabilir. Kritik altyapı bir kez daha önemli bir tartışma konusu ve yeterince temsil edilmeyen aday grupları arasında işe alımı iyileştirmeyi amaçlıyor. Bu plan, halihazırda var olan birkaç plandan yararlanmayı ve ayrıca diğer ülkelerdeki başarılı işe alma uygulamalarından ilham almayı amaçlamaktadır.
Şimdiye kadar verilen yanıt nedir?
Planlar için bazı eleştiriler var, esas olarak planların gelip gitmesine, ancak değişen teknolojik tehditlerin gerçek hızına nadiren ayak uydurabilmesine dayalı. Bloomberg Yasasının işaret ettiği gibi, planın kendisinde düzenleyici dişler yok ve artık yeni değişiklikler yapmak açısından topu alıp onunla birlikte koşmak esas olarak çeşitli kurumlara kalmış.
Siber suçla mücadele ve kritik altyapıyı korumaya yönelik yeni stratejiler her zaman memnuniyetle karşılanır, ancak Biden Yönetiminin 2023 Ulusal Siber Güvenlik Stratejisinin önümüzdeki birkaç yıl içinde ne kadar pratik etkisi olacağını göreceğiz.
Aklınıza takılan bir sorunuz mu var veya siber korumamız hakkında daha fazla bilgi edinmek mi istiyorsunuz? Aşağıdan ücretsiz bir işletme deneme sürümü edinin.
BAŞLAMAK