Hayati önem taşıyan Siber Güvenlik En İyi Uygulamaları
Yazan: John Funk, Yaratıcı Danışman, SevenAtoms
Pentagon tarafından uygulamaya konulan yeni siber güvenlik talimatının, askeri endüstriyel üssün ötesine uzanan sonuçları var. Siber Güvenlik Olgunluk Modeli Sertifikasyonu 2.0’ı (CMMC 2.0) benimseyen iş liderleri, kuruluşlarının güvenlik duruşunu alçaktan sertleştirilmiş bir saldırı yüzeyine yükseltme fırsatına sahip.
ABD Savunma Bakanlığı (DoD), askeri yüklenicilerin ve tedarik zinciri kuruluşlarının, 2010 yılından bu yana ulusal güvenlikle bağlantılı hassas bilgileri koruma yöntemlerini birleştirme üzerinde çalışıyor. CMMC konseptini (ve devamı olan CMMC 2.0’ı) geliştirmeden önce, şirketler çeşitli güvenlik protokollerini izledi. Tutarsızlık ve yeterli siber güvenlik önlemlerinin alınmaması, gereksiz veri ihlallerine yol açtı. Savunma Bakanlığı’ndaki güvenlik görevlileri, düşman ulus devlet aktörlerinin kritik verileri çalmasının ardından kendilerini cezalar ve para cezaları verirken buldu.
“İşte hepimizin karşılaştığı temel zorluk. Eğer bunu yanlış anlarsak ve çok az yaparsak, ihtiyaç duyduğumuzda tehlikeye giren ve ağırlaşan savunmasız bir tedarik sistemi ortaya çıkar,” dedi Ulusal Savunma Sanayii Birliği CEO’su David Norquist. “Ulusal güvenlik için hem kesintiye hem de tahrifata karşı koruma sağlamamız gerekiyor. Ancak bir pazarı bu kadar güçlü kılan şey, tam da bu mücadeleyi bu kadar zorlaştıran şeydir.”
CMMC 2.0, sürekli sertifikasyon gerektiren 100.000’den fazla yüklenici ve alt yükleniciyi tek bir politika altında birleştiriyor. Savunma Bakanlığı’nın gerektirdiği aynı protokoller, her operasyonun aralıksız siber saldırı akışına karşı savunmak için ihtiyaç duyduğu yüksek siber güvenliği sağlayabilir.
CMMC 2.0 Nasıl Çalışır?
Bu siber güvenlik politikası, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından yayınlanan standartlardan geliştirilmiştir. İlk model, işletmenin depoladığı ve aktardığı Federal Sözleşme Bilgileri (FCI) ve Kontrollü Gizli Olmayan Bilgilerin (CUI) türüne göre ekipmanlara uygulanan beş siber hijyen seviyesini içeriyordu. Aşamalı olarak uygulanmaya başlanan CMMC 2.0 sürümünde beş katman aşağıdaki üçe kadar revize edildi.
- Seviye 1: “Temel” siber hijyen olarak kabul edilen FCI’yı depolayan veya ileten tedarik zinciri kuruluşlarının, 59 hedefi karşılamak için 17 uygulamayı takip etmesi gerekmektedir. Seviye 1 kapsamına giren şirketler, öz değerlendirme yapmak ve bulguları federal hükümete raporlamakla görevlidir.
- Seviye 2: CUI’yi koruyan bu “Gelişmiş” siber hijyen standardı, şirketlerin 300’den fazla hedefe ulaşması için 110 NIST uygulamasına uymasını zorunlu kılıyor. Dijital varlıkların türüne bağlı olarak şirketler yıllık öz değerlendirmeler raporlayabilir veya C3PAO olarak da bilinen CMMC Üçüncü Taraf Değerlendirici Kuruluşu tarafından incelenebilir.
- 3. seviye: Siber hijyende “Uzman” olarak tanınan askeri yüklenicilerin ve kritik CUI’ye sahip işletmelerin, diğer ilgili savunmaların yanı sıra 110’dan fazla NIST önlemini karşılaması gerekiyor. Şirketler her üç yılda bir C3PAO tarafından denetleniyor ve sonuç Pentagon’a bildiriliyor.
CMMC 2.0’ın gerekliliklerini yerine getiremeyen işletmeler büyük ihtimalle kendilerini bir kenara itilmiş halde bulacaklar. Kazançlı Savunma Bakanlığı sözleşmelerinden gelir akışını kaybetmek, hassas askeri savunma sırlarını güvence altına alma çabasında havuçtan çok kırbaç olma eğilimindedir. Ancak bu, işletmelerin CMMC 2.0’ı yalnızca Savunma Bakanlığı onayı almak için uygulaması gerektiği anlamına gelmiyor. Siber güvenlik politikasının, açgözlülük nedeniyle ağlara sızmaya çalışan bilgisayar korsanlarını engellemede de aynı derecede etkili olduğu kanıtlandı.
CMMC’nin Başarıları
İş dünyası liderlerinin siber güvenlik önlemlerinin mutlaka sektöre özgü olmadığını anlaması önemlidir. Anti-virüs yazılım paketleri, kurumsal düzeyde güvenlik duvarları, sanal özel ağlar ve yaygın olarak kullanılan diğer veri koruma stratejileri, sağlık, finans, üretim ve askeri endüstriyel temellerde kullanılmaktadır. Siber güvenlik uzmanları ve yazılım geliştiricileri, yeni ortaya çıkan bilgisayar korsanlığı planlarına yanıt vermek için askeri tedarik zincirindekiler de dahil olmak üzere hassas ve değerli dijital varlıkları korumanın yeni yollarını bulmaya devam ediyor. Önemli olan, CMMC 2.0’da yerleşik olan aşağıdaki kontrollerin her türlü işletmeye fayda sağlayacak kararlı bir siber güvenlik duruşu sunabilmesidir.
Giriş kontrolu
Savunma Bakanlığı’nın talimatı, bir ağdaki bilgilere dahili ve uzaktan erişim de dahil olmak üzere, birimlerin meşru kullanıcılara ağ erişim sınırlamaları getirmesini gerektirir. Sınırlı veri erişimi kavramı, siber güvenlik uzmanlarının şirketlerin kullanmasını önerdiği “sıfır güven” profillerini yansıtıyor. Bu, esasen herhangi bir kullanıcının, ilgili görevlerini tamamlamak için gerekli olmayan hassas ve değerli bilgilere erişmesini engeller. Bir bilgisayar korsanının birinin oturum açma bilgilerini öğrenmesi durumunda suçlu da aynı kısıtlamalarla karşılaşır.
Farkındalık ve Eğitim
Çalışanlara siber güvenlik farkındalığı eğitimi verilmesi yalnızca askeri sanayi üssüyle sınırlı değil. Araştırmalar, insan hatasının tüm veri ihlallerinin yüzde 88 ila 95’ini oluşturduğunu gösteriyor. Şirketler farkındalık eğitimini güvenlik planlarına entegre ettiğinde çalışanlar kimlik avı saldırılarına ve sosyal mühendisliğe karşı çok daha az savunmasız oluyor. Personel, zayıflık olmak yerine savunmanın ön cephesi haline gelir. CMMC 2.0’ın iş gücünün bir bilgisayar korsanlığı tehdidinin işaretlerini bilmesinde ısrar etmesinin nedeni tam olarak budur.
Risk yönetimi
Yaygın olarak “siber güvenlik risk yönetimi” olarak adlandırılan bu kavram, sektör liderlerinin veri güvenliğine nasıl yatırım yaptığını anlatıyor. Siber güvenlik uzmanlığına sahip, üçüncü tarafça yönetilen bir BT firması, genellikle sistemin gücünü ve güvenlik açıklarını belirlemek için bir risk değerlendirmesi gerçekleştirir. Daha sonra iş liderleri, kaynaklarını nasıl dağıtacakları konusunda bilinçli kararlar vermek için risk değerlendirme raporunu inceler. Geleneksel görüş, kritik verilerin ve hayati sistemlerin en büyük koruma ve güvenlik yatırımından yararlandığı yönündedir. Herhangi bir kuruluşta yalnızca riskin anlaşılmasıyla stratejik politikalar ve en iyi uygulamalar oluşturulabilir.
Olay Müdahalesi
Askeri sanayi üssünde faaliyet gösteren kuruluşlar, Amerika’nın düşmanlarından gelen ileri düzeydeki ısrarlı tehditlerle karşı karşıyadır. Bu tehdit aktörleri, güçlü savunmalara sahip ağlara sızmak için gereken finansmana, araçlara, teknolojilere ve gelişmiş bilgisayar korsanlığı becerilerine sahiptir. Savunma Bakanlığı, bu siber suçluların kritik sistemlere girmenin bir yolunu bulabileceğinin bilincindedir. Bu nedenle CMMC 2.0, şirketlere bir olay müdahale planı hazırlama görevi veriyor. Her şirket, süreçlerine ve hedeflerine uyan ve dijital varlıklarını güvence altına alan incelikli bir olay müdahale planına ihtiyaç duyar. Bununla birlikte, ortaya çıkan tehditlere yanıt vermek ve dijital varlıkları korumak için güncel bir stratejiye sahip olma temel fikri, sektörler arasında yaygın olmaya devam ediyor.
CMMC 2.0 Neden Geniş Kapsamlı İşletmeler İçin Anlamlı?
Yabancı tehdit aktörleri genellikle Amerika’nın ulusal güvenlik planlarını daha iyi açıklığa kavuşturmak amacıyla bilgi toplamak amacıyla ABD askeri tedarik zinciri işletmelerine saldırır. Bu, CUI ve FCI’nın çalınmasını veya yüksek değerli hedeflere yayılması umuduyla bir taşeronun sistemine kötü amaçlı yazılım bulaştırılmasını gerektirebilir. Benzer tedarik zinciri saldırıları özel sektörde de gerçekleşiyor ve hiçbir kuruluşu fidye yazılımı, casus yazılım veya diğer kötü amaçlı uygulamalara karşı güvende bırakmıyor. Kapsamlı bir veri koruma stratejisi olarak CMMC 2.0’ı benimseyen işletmeler, çeşitli bilgisayar korsanlarını ve karmaşık siber suçluları caydırma, tespit etme ve ortadan kaldırma yeteneğine sahip olur.
yazar hakkında
John Funk, SevenAtoms’ta Yaratıcı Danışmandır. Hayatı boyunca yazar ve hikaye anlatıcı olarak teknolojiye ve siber güvenliğe tutkuyla bağlı. Butik biranın tadını çıkarırken ya da Dungeons & Dragons oynarken görülmediğinde, John’u genellikle kedileriyle vakit geçirirken bulabilirsiniz. John’a çevrimiçi olarak [email protected] adresinden veya www.sevenatoms.com adresinden ulaşılabilir.