Hükümet, Sektöre Özel, Profesyonel Sertifikalar ve Sürekli Eğitim
Yeni Rapor, Sektörün Sahil Güvenlik Siber Güvenlik Hizmetlerini Kullanmaya İsteksiz Olduğunu Ortaya Koyuyor
Chris Riotta (@chrisriotta) •
16 Temmuz 2024
Yeni bir rapora göre, deniz taşımacılığı sistemindeki özel sektör paydaşları, ABD Sahil Güvenliği tarafından sunulan kritik siber güvenlik hizmetlerini kullanma konusunda “tereddütlü”. Bu, ülkenin gezilebilir su yolları, limanlar ve gemiler ağını büyük güvenlik olaylarına ve ulusal güvenlik risklerine karşı savunmasız bırakıyor.
Ayrıca bakınız: Web Semineri | Sosyal Mühendislik ve Kimlik Avıyla Mücadele İçin Yapabileceğiniz Her Şey
İç Güvenlik Bakanlığı Müfettişlik Ofisi tarafından Temmuz ayında yayınlanan bir rapora göre, özel sektör paydaşlarının yalnızca %36’sı, 2021 yılında Sahil Güvenlik tarafından deniz taşımacılığı sisteminin siber duruşunu iyileştirmek için oluşturulan siber koruma ekiplerinden hizmet talep etti ve aldı. Sahil Güvenlik, 2002 Deniz Taşımacılığı Güvenlik Yasası uyarınca ABD denizcilik endüstrisini ve ticaretini korumakla görevlendirilmiştir, ancak özel sektörün siber güvenlik standartlarına ve en iyi uygulamalara uyumunu sağlamak için kongre yetkisinden yoksundur.
Raporda, askeri kolun ayrıca deniz ulaşım sistemini korumak için gerekli siber güvenlik eğitimi, personeli ve uzmanlığından yoksun olduğu ve “siber sistemlerin istismarına, kötüye kullanılmasına veya arızalanmasına karşı savunmasız kaldığı” belirtiliyor.
Yaklaşık 5,4 trilyon dolarlık ticareti kolaylaştıran ve ABD gayri safi yurtiçi hasılasının yaklaşık %25’ini temsil eden deniz taşımacılığı sistemi, siber suçlular, yabancı rakipler ve tehdit aktörleri arasında birincil hedeftir. Sahil Güvenlik’in en son mevcut verilerine göre, ağ günde ortalama 2.244 siber saldırıyla karşı karşıyadır.
Beyaz Saray, Şubat ayında Sahil Güvenlik’e deniz ulaşım sistemi için asgari siber güvenlik standartları geliştirme görevini veren bir yürütme emri yayınladı. Siber ve yeni teknolojiler konusunda ulusal güvenlik danışmanı yardımcısı olan Anne Neuberger, o dönemde gazetecilere, yürütme kararının Sahil Güvenlik’in yeni siber tehditleri azaltma yeteneğini güçlendirmeye yardımcı olacağını ve gemi operatörlerinin olayları bildirmesini gerektireceğini söyledi (bkz: Biden Deniz Siber Güvenliğini Artıracak Yürütme Emrini İmzalayacak).
Son birkaç yılda deniz taşımacılığı sistemine yönelik başarılı saldırılar giderek daha yaygın hale geldi. 2022’de artık faaliyette olmayan LockBit grubu, Seattle merkezli lojistik devi Expeditors International’ı üç hafta boyunca felç eden ve şirketin olaydan kurtulurken operasyonlarını durdurmasına neden olan bir fidye yazılımı saldırısı başlattı. Artık faaliyette olmayan fidye yazılımı grubu LockBit’in 2022’de gerçekleştirdiği bir fidye yazılımı saldırısı, Seattle merkezli lojistik ve yük taşımacılığı devi Expeditors International’ı saldırıdan kurtulurken operasyonları durdurulurken üç hafta boyunca felç etti. Şirket, limanlar tarafından kesilen kargo fazla kalma cezalarında 47 milyon dolar kaybettiğini ve olayla ilgili maliyetlere 18 milyon dolar harcadığını bildirdi.
2021’de federal yetkililer, Houston Limanı’nın görünüşe göre bir ulus-devlet saldırganı tarafından başlatılan bir saldırı girişimini engellediğini açıkladı. Liman yılda 247 milyon tondan fazla kargo taşıyor.
Müfettişlik Ofisi raporu, Sahil Güvenliğin son yıllarda gemiler ve tesisler için siber güvenlik risklerini ele almak için önemli adımlar attığını söylüyor. Eylül 2022’de Deniz Taşımacılığı Sistemi Siber Olay Müdahale Rehberi’ni yayınladı ve 2023’te bölgedeki deniz güvenlik komitelerine siber riskleri ele alan planlar geliştirme konusunda rehberlik sağladı. Rapora göre şube ayrıca deniz siber olaylarıyla ilgili özel sektör raporlamasını da iyileştirdi.
Ancak raporda, endüstri paydaşlarının bildirilen siber olayların ardından Sahil Güvenlik hizmetlerinden siber güvenlik duruşlarını iyileştirmelerini sürekli olarak talep etmeyi reddettikleri belirtiliyor. Denetleme personeli “denetimleri gerçekleştirirken siber güvenliğin nasıl ele alınacağı konusunda sınırlı bir anlayışa sahip olduklarını” ve “denetimin bir parçası olarak siber güvenliği gözden geçirme konusunda kendilerini güvende hissetmediklerini” belirtiyor.
DHS Genel Müfettişi, ABD Siber Komutanlığı, Liman ve Tesis Uyumluluk Ofisi ve Siber Uzay Kuvvetleri Ofisi’nin siber risk yönetimi faaliyetleri konusunda “düzenli olarak birbirleriyle ve deniz taşımacılığı paydaşlarıyla iş birliği yapmasını” öneriyor. Rapor, Sahil Güvenlik’i uygulanabilir yetkililer konusunda siber güvenlik eğitimini standartlaştırmaya, tesis ve gemi denetimleri için uygulama yetkilileri sağlayan siber güvenliğe özgü düzenlemeleri tamamlamaya ve yayınlamaya ve deniz taşımacılığı siber güvenlik uzmanları için iş tanımlarını iyileştirmeye çağırıyor.
DHS, yorum talebine hemen yanıt vermedi. Departman, müfettiş genelinin rapordaki önerilerinin her biriyle aynı fikirdeydi.