Yorum
Çin bağlantılı hack grubu Salt Typhoon yakın zamanda ABD’nin büyük telekomünikasyon sistemlerinde gizlenerek tespit edildi ve neredeyse her Amerikalı’nın iletişimlerini Çin istihbarat ve güvenlik hizmetlerine maruz bıraktı.
Yanıt olarak, 4 Aralık 2024’te Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve FBI ortak bir ifade yayınladı Amerikan vatandaşlarının ve şirketlerinin, hassas bilgileri Çin’e maruz bırakmamak için uçtan uca şifreli iletişim araçlarını benimsemelerini önermek. Bu tavsiye iletişimi güvence altına almak için ihtiyatlı olmakla birlikte, bu teknolojilerin aceleci benimsenmesi, yüksek düzenlenmiş endüstrilerdeki kuruluşlar için düzenleyici uyumsuzluğa neden olabilir. Bu kuruluşlar, yeni güvenlik çözümlerini benimsedikçe hem güvenlik risklerini hem de düzenleyici yükümlülüklerini dikkatle incelemelidir.
Arka plan: Tuz tayfası
Tuz tayfun sömürülen eski sistemler Modern siber güvenlik uygulamalarını uygulamak için çok eski olan telekomünikasyon endüstrisi boyunca, bazı bölümler 1970’lerin sonlarına kadar uzanıyor. Çok faktörlü kimlik doğrulama gibi yaygın olarak kabul edilen temel siber korumalar uygulanmadı. Bu saldırının kapsamı, sesli çağrılar ve SMS mesajları da dahil olmak üzere yaygın olsa da, ABD istihbarat yetkilileri Apple’ın iMessage, Meta’nın WhatsApp ve sinyali gibi şifreli iletişim uygulamalarındaki iletişimin ortaya çıkmadığını belirtti.
Salt Typhoon, ABD’nin tarihteki kritik altyapısına en sofistike saldırılardan birini işaret ediyor. ABD’li yetkililer her büyük telekomünikasyon sağlayıcısının dahil edildiği sonucuna varmışlardır. Çin, ABD için en aktif ve kalıcı siber tehdit olmaya devam ediyorve tuz tayfun kampanyası, tarihteki ABD kritik altyapısına en sofistike saldırılardan birini işaret ediyor.
Güvenlik ve Uyumluluk: Uçtan uca şifreleme teknolojilerinin benimsenmesi
ABD siber güvenlik ve istihbarat yetkilileri, şirketlere ve bireylere yalnızca gönderen ve amaçlanan alıcıların iletişimin içeriğine erişebileceği iletişim için uçtan uca şifreli uygulamaları benimsemelerini tavsiye etti. Uçtan uca şifreleme, hem gönderen hem de alıcıda kriptografik anahtarlar kullanarak iletişim içeriğini güvence altına alarak çalışır. Sonuç olarak, internet hizmet sağlayıcıları ve telekomünikasyon şirketleri ve bu varlıkları hedefleyen yabancı hackerlar da dahil olmak üzere, şifreleme anahtarı olmadan, kesişen veya tehlikeye atılan herhangi bir iletişimin içeriğini ve bu varlıkları hedefleyen yabancı bilgisayar korsanları olan herhangi bir kesişen veya tehlikeye atılan iletişimin içeriğini oluşturur.
Uçtan uca şifrelenmiş uygulamalar güvenlik için belirgin avantajlar sağlarken, birçoğu, bazı yüksek düzenlenmiş endüstrilere uygulanan veri saklama ve erişim gereksinimlerine uymak için tasarlanmamıştır.
Finansal hizmetler sektöründe, Menkul Kıymetler ve Borsa Komisyonu (SEC) Kural 17A-4 (b) (4), bir kuruluşun işiyle ilgili bir üye, broker veya satıcı tarafından alınan ve gönderilen iletişimin tutulmasını gerektirir en az üç yıl. Buna ek olarak, Sarbanes-Oxley Yasası’nın 802. Bölümü, finansal tabloları denetleyen veya gözden geçiren muhasebecilerin, denetim veya inceleme ile ilgili herhangi bir iletişimi içeren kayıtları korumasını gerektirir.
Sağlık sektöründe, Sağlık Sigortası Taşınabilirliği ve Erişilebilirlik Yasası’nın (HIPAA) 164.312 (e) Bölümü, kapalı kuruluşların bir elektronik iletişim ağı üzerinden iletilen elektronik korumalı sağlık bilgilerine (EPHI) yetkisiz erişimi önlemek için teknik önlemler uygulamasını gerektirir. Birçok şifreli iletişim uygulaması, kapsamlı bir kuruluşun Ephi’nin yetkisiz ifşa edilmesini izleme veya denetleme yeteneğini kısıtlar. Buna ek olarak, HIPAA’nın 164.350 (j) Bölümü, kapsanan varlıkların EPHI içeren herhangi bir iletişimin en az altı yıl boyunca belgelerini tutmasını gerektirir.
Öneriler
Tuz tayfası olarak her sektördeki yöneticilerin ve çalışanların teminatsız iletişiminin Çin istihbarat hizmetleri tarafından sömürü için hedeflenebileceğini açıklamıştır. Bu yeni ortamda, iletişim güvenliğini uyumluluk ile dengelemek zor olabilir. Bu risklerde uygun şekilde gezinmek için, her sektördeki kuruluşlar üç şeyi düşünmelidir.
İlk olarak, kuruluşlar tüm iş iletişimi için iç ve en büyük ölçüde mümkün olan en büyük ölçüde harici olarak uçtan uca şifreleme uygulamalıdır. Şu anda bu amaca hizmet etmek için tasarlanmış çok sayıda mobil ve masaüstü uygulaması bulunmaktadır. Düzenlenmiş endüstrilerdeki şirketler için, bu araçları göz önünde bulundururken düzenleyici tutma, izleme ve denetim gereksinimlerini de dikkate almak önemlidir. Bu tür kuruluşlar, mesajlaşma, işbirliği ve ses ve veri korumasına izin vermek için özel olarak yapılandırılmış ses ve video çağrıları için uygun şifreleme standartlarını sağlayabilecek çözümler uygulamaya çalışmalıdır.
İkincisi, kuruluşlar şifreli iletişimin kullanımına rehberlik etmek için politikalar ve prosedürler uygulamalıdır. Örneğin, birçok şifreli iletişim uygulaması, kullanıcıların mesajlar için zamana dayalı tasfiye kuralları oluşturmasına izin verir. Bilgi güvenliği için değerli olmakla birlikte, bu bir kuruluşu veri saklama ve denetim gereksinimlerine uygun hale getirebilir. Mümkün olduğunda, bireyler için bu tür işlevler devre dışı bırakılmalı ve arşivleme araçları mevcut olmalıdır. Ayrıca, çalışanlar iletişim güvenliği ve düzenleyici uyum konusunda düzenli eğitim almalıdır.
Üçüncüsü, Salt Typhoon’un önemli bir dersi, temel siber güvenlik önlemlerinin hala kötü niyetli partilere karşı anlamlı savunmalar sağlamasıdır. Çok faktörlü kimlik doğrulaması, şifre yöneticilerinin kullanımı, dinlenme ve hareket halinde verileri şifrelemek ve tüm yazılım ve donanımın modern olmasını ve en son güncellemelerle donatılmış olmasını sağlamak gibi siber güvenlik önlemleri kuruluşlara çok daha güçlü bir siber güvenlik duruşu verecektir.
Çözüm
Tuz Typhoon, kuruluşların gelişen tehditleri karşılamak için modern güvenlik uygulamalarını hızla benimsemeleri için acil ihtiyacın altını çiziyor. Ancak, bunu yaparken kuruluşların güvenlik zorunluluklarını düzenleyici yükümlülükleriyle dengelemesi gerekmektedir.