Kean Üniversitesi’nden Stanley Mierzwa, pek çok kritik altyapı sektörü kuruluşunun, özellikle de küçük kuruluşların, siber olayları 72 saat içinde federal düzenleyicilere bildirme gerekliliğine uymakta büyük olasılıkla mücadele edeceğini söyledi – çeşitli nedenlerle.
Sağlık sektöründeki birçok kuruluş, büyük HIPAA ihlallerini 60 gün içinde Sağlık ve İnsan Hizmetleri Departmanına bildirme gerekliliklerine uymakta zaten zorluk yaşıyor gibi görünüyor.
Bu nedenle, 2022 tarihli Kritik Altyapı için Siber Olay Raporlama Yasası veya CIRCIA kapsamındaki, kuruluşların belirli siber olayları Siber Güvenlik ve Altyapı Güvenliği Ajansına üç günden kısa bir süre içinde bildirmesini gerektiren bir hüküm, yeni gereksinimler kapsamına giren birçok kuruluş için zorlayıcı olacaktır, dedi Mierzwa.
CIRCIA, CISA’nın Mart 2024’ün sonundan önce önerilen bir kural koyma duyurusu taslağı yayınlamasını şart koşuyor;
Başkan Joe Biden’ın 13 Temmuz’da yayınlanan Ulusal Siber Güvenlik Stratejisi Uygulama Planı, CIRCIA’nın uygulanmasının tamamlanması için 2025 mali yılının dördüncü çeyreği için bir son tarih belirliyor.
Mierzwa, “Daha küçük birimleri içerebilen özel sektör bununla mücadele edebilir. Bir saldırıda tam olarak neyin meydana geldiğini bilemeyebilirler” dedi.
Bu röportajda (fotoğrafın altındaki ses bağlantısına bakın), Mierzwa şunları tartıştı:
- Birçok kuruluşun karşılaştığı başlıca ihlal bildirimi zorlukları;
- CIRCIA ile ilgili diğer potansiyel zorluklar;
- Siber saldırganlara fidye ödeme ya da ödememe kararını içeren ikilemler.
Mierzwa, New Jersey, Union’daki Kean Üniversitesi Siber Güvenlik Merkezi’nin direktörüdür ve burada aynı zamanda siber güvenlik ve siber risk yönetiminin temelleri üzerine dersler vermektedir. Daha önce Mierzwa, New York Büyükşehir Ulaşım Otoritesi Polisinde uygulama güvenliğinin başındaydı. Bundan önce, Nüfus Konseyi’nde BT direktörü olarak görev yaptı. Yazıları bir düzineden fazla yayında yer almaktadır ve Online Journal of Public Health Informatics dergisinde hakemlik yapmaktadır.