Misyonu Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Amerikalıların günün her saatinde güvendiği siber ve fiziksel altyapıyı anlamak, yönetmek ve riskleri azaltmak için ulusal çabaya liderlik etmektir. Bu geniş ve asil bir girişim, ne yazık ki tarihsel verilerden yoksun ve aslında en iyi neyin işe yaradığına dair çok sayıda emsal var. Ancak CISA, kuruluşunuzun siber güvenlik politikalarını, kontrollerini ve azaltımlarını belirlemek ve ifade etmekten sorumlu değildir.
Uzmanlar son zamanlarda CISA 2024-2026 stratejik planına yansıtıldı, amaçlanan risk azaltma çabalarının ölçülebilir ve etkili olup olmadığı ve planın Siber Performans Hedeflerinin (CPG’ler) uygulanmasının kritik altyapıya yönelik siber riski azaltıp azaltmadığı soruluyor. Ancak CISA’nın temel misyonu göz önüne alındığında bu yanlış sorudur: nedensellik ve korelasyon tutarsızlığı. Asıl soru şudur: Eğer bunlar azaltılırsa, “doğrulanmış etkili olaylar” için eşik nedir ve önerilen ölçülebilir hedeflerden hangisi etkilerin şiddetini azaltır, neden ve nasıl?
Kendimizi siber risklere karşı düzenleyemeyeceğimizi kolektif olarak kabul edersek, yalnızca şirketlerin kendilerini daha az çekici hedefler haline getirebileceği gerçeğini de kabul etmeliyiz. DEF CON 2023’te, ABD Ulusal Siber Direktör Ofisi’nin (ONCD) ulusal siber direktör vekili Kemba Walden, en az yetenekli tehdit aktörlerinin bile siber uzayda (ve buna bağlı olarak kritik altyapıda) çok büyük bir etkiye sahip olabileceğini yineledi. Ayrıca özel sektörün en yetenekli savunma kapasitesine ve riski satın alma yeteneğine sahip olduğunu ifade etti.
Bu, Uzatma’yı Nerede Bırakıyor?
Kritik altyapı siber güvenliği büyük bir samanlıkta iğne sorunu yaratıyor. BT’nin ana akım ve her yerde bulunan sistemlerde benzer şekillerde istismar edilmesi muhtemel pek çok güvenlik açığı gördüğü durumlarda, OT güvenliği genellikle duruma göre özel bir ayrımdır. Farklılıkların aşırı basitleştirilmesi, roller ve sorumlulukları devlet için görev ve yeteneklere, endüstri için ise iş sürekliliği ve felaket kurtarmaya dönüştürürken bağlamsal bir boşluğa yol açmaktadır.
Günümüzde kritik sektörlerde kullanımda olan endüstriyel varlıkların ve teknolojilerin yaygınlaşması, bunların risk yönetimi için konfigürasyon olasılıkları ve aynı zamanda risk yönetimi konusundaki farkındalık konusunda bir anlayış eksikliği bulunmaktadır. gerçekçi basamaklı etkiler ve serpinti analizi Farklı özelliklere ve demografik yapıya sahip kuruluşlar için. Operasyonel kritik bileşenlerin ulusal envanterini ve kritik altyapıyı korumaya yönelik araç bazlı değil etki bazlı bir yaklaşıma dayalı olarak bunları nasıl savunacağımızı daha iyi anlamamız gerekiyor.
Risk dokusunu kritik altyapıya yaymak, mevcut yaklaşımların sunduğundan daha ayrıntılı ve amaca yönelik bir model gerektirir. ONCD’nin ulusal siber güvenlik stratejisinin altında yatan çaba, özellikle hedef açısından zengin, kaynak bakımından fakir kuruluşlar için maliyetleri azaltmak amacıyla paylaşılan hizmetlerin geliştirilmesi ise, operasyonel teknoloji (OT) öncelikli odak noktası olmalıdır. kapsam dışı kabul edildi Devam eden düzenleme uyumlaştırma çalışmaları için.
Sektör Risk Yönetimi Ajansı Kapasite Geliştirme
Mükemmel bir dünyada, SRMA’lar veya CISA’da her kritik altyapı sektörü için federal düzeyde özel bir siber güvenlik konu uzmanı bulunacaktır. Bu gerçekliğin yerine, siber güvenlik araştırma ve geliştirmesi, CISA CPG’lerine uygun olarak tüm tedarik zincirini (tedarikçilerin yönetimi, kurumsal olay yönetimi, geliştirme ortamı, ürünler ve hizmetler, üst tedarik zinciri, operasyonel teknoloji ve alt tedarik zinciri) kapsar. bir temel.
Kritik altyapı siber güvenliği olan geniş sorun kümesini bağlamsallaştırmadığımızda, iki kötü sonucu riske atıyoruz. Birincisi, uyumluluğa dayalı siber güvenliğin maliyetinin, küçük ve orta ölçekli işletmelerin pahalı ve kuralcı siber güvenlik düzenlemelerini karşılamayı karşılayamayacağı ölçüde arttırılması. İkincisi, hükümetin kendisini birden çok sektördeki belirlenen risk yoğunlaşmalarına yönelik yönetilen siber güvenlik hizmetleri sağlamaktan sorumlu bulması; bu tedbirsiz, son derece pahalı ve sürdürülemez bir sonuçtur.
CISA Siber-Fiziksel Ar-Ge Boşlukları
Federal siber güvenlik araştırma ve geliştirme, operasyonel teknoloji ve endüstriyel kontrol sistemlerine ilişkin bütünsel ve ulusal anlayış söz konusu olduğunda kör bir noktaya sahiptir. Metrikler, çevreye özgü bağlamla değerlendirme sağlayan etki ve sonuç değerlendirmeleriyle yönlendirilmelidir. CISA’nın Dayanıklı Yatırım Planlama ve Geliştirme Çalışma Grubu sohbete katıldı. Onun AR-GE İhtiyaçları ve Kritik Altyapının Dayanıklılığına Yönelik Stratejik Eylemler hakkındaki teknik rapor Mart 2023’te yayınlanmasına rağmen daha geniş federal düzenleme görüşmelerinde büyük ölçüde göz ardı edildi.
Makalede, “kritik altyapı esnekliğine ilişkin federal araştırma çabalarının sonuçlarının genellikle sektöre özgü veya disipline göre parçalı olduğu ve bu çabaların kesişen ve sistemik riskleri nasıl azaltabileceğine dair tam bir resmin geliştirilmesini zorlaştırdığı” ayrıntılarıyla anlatılıyor. Rapordaki eylem öğeleri arasında, birçok özel ihtiyaç ve eylem öğesinin ana hatlarıyla belirtildiği üç ana boşluk bulunmaktadır. Kısa vadede OT siber güvenlik düzenlemeleri için günümüzün en önemli boşlukları ve ihtiyaçları aşağıdakilere özetlenebilir:
Boşluk 1: Siber-fiziksel altyapı sistemlerine bağlı kritik hizmetler için sonuçların ve risk azaltma karar faktörlerinin entegre bir analizi.
-
İhtiyaç: Yerelden ulusal ölçeğe kadar kritik hizmetlere yönelik birbirine bağlı siber-fiziksel altyapı riskinin sistematik bir şekilde anlaşılması.
-
İhtiyaç: Altyapı dayanıklılığı müdahalelerinin etkinliğini ölçmek için ortak tanımlar, standartlar ve ölçümler.
Boşluk 2: Dayanıklılık bilgisini yerel ve bölgesel düzeyde etkili eyleme dönüştürmek için siber-fiziksel altyapı araştırmalarında kullanıcı katılımı.
-
İhtiyaç: Düzenleyici sistemin siber-fiziksel altyapının dayanıklılığını nasıl kısıtlayabileceğine veya iyileştirmelere olanak sağlayabileceğine ilişkin ampirik araştırma.
-
İhtiyaç: Etkin altyapı yönetişimi ve uyarlanabilir kapasite için kurumsal koşulları belirleyin.
CISA ve tüm SRMA’ların, belirlenen bu boşluklar ve ihtiyaçlar göz önüne alındığında, hükümetin makul olarak ne kadar sübvansiyon verebileceğini ve artırabileceğini, buna karşılık hangi düzeyde siber güvenlik ve risk yönetimi varlık sahiplerinin sahip olmaya gücü yeteceğini belirlemesi gerekir.
İleriye ve yukarıya doğru
Bu arada, kritik altyapı dayanıklılığının temellendirilmesi, CISA’nın 2024-2026 stratejisinin ana hedeflerinden biri olmaya devam ediyor. Daha geniş ulusal siber güvenlik stratejisinin üç şemsiye odak alanı vardır: acil tehditleri ele almak, zemini sağlamlaştırmak ve güvenliği geniş ölçekte artırmak. CISA CPG’lerinin sinerjik hedeflerinden biri de siber güvenlik standartlarını ve kontrollerini siber güvenlik sonuçlarıyla eşleştirmektir. Tüm bu hedefler ve perspektifler göz önüne alındığında, bu fazla mesai boşlukları ve ihtiyaçları göz ardı edilemez.
Gerçek, birbiriyle çelişen düzenlemelerden daha kafa karıştırıcıdır ve endüstriyi, siber-fiziksel sistemler için saldırı yüzeyi yönetiminin temellerini tekrarlamak zorunda bırakmaktadır: en kritik sistemleri ele almak ve güçlendirmek için en önemli etki analizi, yeterli bölümlendirmeyle savunulabilir mimariler oluşturmak ve sistemler için güvenlik açığı yönetimi kontrolü. bu sertleştirilemez. Geleceğe odaklanmamıza rağmen, bugün sektörün bu temelleri genel anlamda ne kadar iyi uyguladığına dair gerçek bir gösterge yok.