Yönetişim ve Risk Yönetimi, Risk Değerlendirmeleri
Hükümet Gözlemcisi ONCD’yi Sonuca Odaklı Performans Ölçüleri Geliştirmeye Çağırdı
Chris Riotta (@chrisriotta) •
5 Şubat 2024
Bir hükümet gözlemcisi, Beyaz Saray’ı federal siber güvenlik girişimlerinin etkinliğini belirlemeye yardımcı olacak ölçümler oluşturmaya çağırdı, ancak siber güvenlik için sonuç odaklı performans önlemleri geliştirmeyi tavsiye etmek, bunları gerçekten geliştirmekten çok daha kolaydır.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Almak: CISO’ları Engellemek 5 En Önemli Güvenlik Sorunu
Hükümet Sorumluluk Ofisi Perşembe günü yayınladığı bir raporda Ulusal Siber Direktör Ofisi’ne performans ölçümleri oluşturması ve uygulama maliyetlerini tahmin etmesi çağrısında bulundu. GAO, Hazine Bakanlığı’nın fidye yazılımıyla ilgili yıllık olayların dolar değeri hakkında veri topladığını ve gözlemcinin “bu tür önlemlerin geliştirilmesinin mümkün olduğunu ve etkinliği ölçmek için kullanılabileceğini gösterdiğini” söyledi.
Rapora göre Ulusal Siber Direktör Ofisi personeli, “bu noktada sonuç odaklı önlemler geliştirmenin gerçekçi olmadığını” ve “tüm stratejiyi uygulamanın maliyetini tahmin etmenin gerçekçi olmadığını” belirterek GAO’nun tavsiyelerini geri çekti.
Uzmanlar, sürekli, hızla gelişen ve karmaşık tehdit manzarasının yanı sıra siber sistemlerin karmaşıklığı ve ortaya çıkan tehditler nedeniyle siber güvenlikte performans önlemleri geliştirmenin özellikle zor olabileceğini söylüyor.
Siber güvenlik uzmanı ve UC Berkeley Hukuk öğretim görevlisi Jim Dempsey, “Bugün bir siber sistemi kalem testine tabi tutsanız bile, saldırganların yarın yeni bir sıfır gün keşfedip keşfedemeyeceğini bilemezsiniz” dedi. Dempsey daha önce Ulaştırma Güvenliği İdaresi’ni 2022’de Colonial Pipeline fidye yazılımı saldırısına yanıt olarak yayınlanan ve ölçülebilir sonuçların olmadığını söylediği bir dizi direktif nedeniyle eleştirmişti.
Dempsey, “Sahte performans ölçümleri geliştirmek yerine kontrollere odaklanmalıyız” diyerek, çok faktörlü kimlik doğrulama ve varsayılan şifrelerin sıfırlanması gibi teknik kontrollerin “büyük yatırım getirisine sahip olduğunu” ve “bunlara bağlılığın ölçülebilir” olduğunu söyledi.
“Aslında siber güvenlik için gerçekten performansa veya sonuca dayalı ölçümler çok az (eğer varsa) var” dedi.
GAO, ofis yeterli, sonuç odaklı performans ölçütleri oluşturana kadar ONCD’nin ulusal siber güvenlik stratejisinin “etkililiğini gösterme yeteneğinin sınırlı olacağı” konusunda uyardı.
ONCD, rapora verdiği yanıtta GAO ile kısmen aynı fikirdeydi ve “siber güvenlik için sonuç odaklı performans ölçümleri geliştirmenin zorlu bir konu olduğunu” söyledi.
Ofis, siber güvenlik stratejisinde yer alan ve sonuç odaklı performans ölçümlerine uygun girişimleri değerlendireceğini ve bu önlemleri “doğrulanmış önlemlerin mevcut olduğu ölçüde” girişimlere uygulayacağını söyledi.
FBI’ın eski siber bölümü özel ajanı ve şu anda siber savunmada yönetici olan Austin Berglas, sonuç odaklı performans ölçümleri geliştirmek zor olabilir ancak ulusal düzeydeki siber güvenlik girişimlerinin etkinliğini ölçmek için kullanılabilecek ve kullanılması gereken kriterler ve göstergeler bulunduğunu söyledi. BlueVoyant platformu.
Berglas, bu göstergelerin olay müdahale sürelerini, yamalı sistemlerin yüzdesini, toplam çözülmemiş güvenlik açıklarını, güncel siber güvenlik uygulamaları konusunda eğitimli çalışan sayısını ve bir siber güvenlik olayının maliyetini içerdiğini belirterek, “kurtarmanın daha düşük genel maliyeti” olduğunu da sözlerine ekledi. ve bir olaya müdahale etmek etkili önlemlerin göstergesi olabilir.”