Kritik Altyapı Güvenliği, Devlet, Sektöre Özel
Uzmanlar, Gözden Geçirilmiş Bir Uygulama Planı ve Uygulamaya Yeni Bir Odaklanma Çağrısında Bulundu
Chris Riotta (@chrisriotta) •
6 Mart 2024
Uzmanlar, Bilgi Güvenliği Medya Grubu'na, ABD ulusal siber güvenlik stratejisi için güncellenmiş bir uygulama planının yeterince yakın zamanda gelemeyeceğini söyledi.
Ayrıca bakınız: Canlı Web Semineri | Tehditlerle Mücadele Edin, Direnç Oluşturun ve Verimli Bir Şekilde Uyun: Hindistan'ın Güvenli Siber Gelecek Mantrası
Aralık ayında ikinci daimi ulusal siber direktör olarak görev yapacağı onaylanan Ulusal Siber Direktör Harry Coker'in mesajı “Yolda”. Coker, yakın tarihli bir blog yazısında federal hükümetin ulusal stratejiyi uygulamadaki ilk 12 ayı boyunca kaydettiği ilerlemeyi övdü ve kurumların “geçen Temmuz ayında özetlenen 69 girişimin tamamında ilerleme kaydettiğini” ve bu hedeflerin 20'den fazlasının uygulanmasını tamamen tamamladığını yazdı.
Coker, “Strateji kalıcı olsa da uygulanması tekrarlanır” diye yazdı.
Ulusal Siber Direktör Ofisi, ikinci uygulama planının yayınlanmasına ilişkin zaman çizelgesine ilişkin yorum taleplerine hemen yanıt vermedi, ancak uzmanlar, yetersiz kaynaklara sahip birçok federal kurumun ve kritik altyapı kuruluşunun, rehbere tam olarak uyum sağlamakta zorlandığını söyledi. Yazılım tedarik zinciri yönetimi firması Sonatype'ın teknoloji sorumlusu ve kurucu ortağı Brian Fox, şu anda ulusal stratejinin uygulanmasında “bir dengesizlik sorunu” olduğunu söyledi.
Fox, ISMG'ye yaptığı açıklamada, “Eğitime odaklanmanın devam ettiğini ancak uyumsuzluğun sonuçlarını uygulamaya yönelik herhangi bir eylem olmadığını görüyoruz” dedi ve stratejiyi “doğru yönde atılmış bir adım” olarak nitelendirdi ancak “bizi dış tehditlerden başarılı bir şekilde korumak için yeterli değil.”
Ulusal strateji, siber güvenliğin beş temel dayanağı üzerinde kamu ve özel sektör arasında işbirliği kurmayı amaçlıyor: kritik altyapının savunulması, tehdit aktörlerinin ortadan kaldırılması, sorumluluğun son kullanıcılardan yazılım sağlayıcılara ve riski azaltma konusunda en iyi konumda olanlara aktarılması, dayanıklı bir geleceğe yatırım yapılması ve Tehditlere karşı koymak için uluslararası ortaklıklar (bkz: Beyaz Saray Ulusal Siber Güvenlik Stratejisi Yol Haritası Yayınlıyor).
Güvenlik danışmanlık firması NCC Group'un teknik direktörü Robert Moore, kuruluşların ulusal siber güvenlik stratejisinde belirtilen çerçeveye ulaşmak için “muazzam” miktarda kaynağa ihtiyaç duyduğunu söyledi ve yönetimin yeni “geliştirerek küçük ve orta ölçekli kuruluşları desteklemeye odaklanmasını önerdi” kullanımı kolay açık kaynak araçlar” ve “kuruluşların varlıklarını ve teknik borçlarını haritalandırmaya ve tanımlamaya yardımcı olabilir.”
Moore, “Güvenliğin değerini ölçmek zordur, ancak bu, küçük işletmelerin anlaşılır bir şekilde mücadele edebileceği bir maliyettir” dedi.
Uygulama planında ana hatlarıyla belirtilen girişimler arasında, Yönetim ve Bütçe Dairesi aracılığıyla yeni siber güvenlik gereksinimlerinin belirlenmesi ve Milli Güvenlik Kurulu'na, kritik altyapı sektörlerinde yeni düzenlemeler için politika oluşturma sürecine liderlik etme görevi verilmesi yer alıyor.
Federal kurumlar aynı zamanda sınıflandırılmamış federal sivil yürütme organı sistemlerini güvence altına almak, Federal Sivil Yürütme Organı teknolojisini modernleştirmek ve sektöre özgü istihbarat ihtiyaçlarını ve önceliklerini operasyonel hale getirmekle de görevlidir.
Coker, ABD'yi siber uzayda koruma çalışmasını “tüm ulusun çabası” olarak nitelendirdi ve “yapılacak daha çok iş olduğunu” kabul etti.
Kılavuza göre, uygulama planında özetlenen 69 girişimin yarısından fazlasının 2024 mali yılında tamamlanması beklenirken, diğer 20 girişimin ise 2025 ve 2026 mali yıllarında tamamlanması planlanıyor.