Editörün notu: Cybersecurity Dive, Ulusal Siber Direktör Ofisi’nin uygulama planındaki 69 girişimi, makalenin alt kısmında bulabileceğiniz ve keşfedebileceğiniz bir tabloya ayırdı.
Ülkenin siber güvenliğini iyileştirmek için bir strateji hazırlamak, siber yetkililerin yıllarca süren önemli bir çabasını gerektirdi. Şimdi, bu hedefleri gerçekleştirme konusundaki sıkı çalışma, Beyaz Saray’ın siber girişimleri geniş bir devlet dairesi ve dairesine devretme becerisine bağlı.
Ulusal siber güvenlik stratejisi için uygulama planı, stratejinin 27 hedefini 69 girişime böler. Bir kurum, her girişimde yer almak üzere atanır ve birçoğu, zaman zaman, katkıda bulunan devlet kurumlarıyla birlikte çalışmak üzere atanır.
Ulusal Siber Direktör Ofisi ve Siber Güvenlik ve Altyapı Güvenliği Ajansı, her biri sırasıyla 14 ve 10 girişimden sorumlu olan en yaygın lider kuruluşlardır.
“Bunlar için 69 [initiatives] Gerçekten bir fark yaratmak için ONCD, Yönetim ve Bütçe Ofisi ve önde gelen kurumların özel sektörle uyum sağlaması ve federal kurumlar arasında daha iyi bir işbirliği kurması gerekecek ki bu da zaman, çaba ve amaç tutarlılığı gerektiriyor” dedi.
Siber uzmanlar ve analistler, stratejinin istenen sonuçlarını alkışlarken, artık ajanslara verilen belirli görevler ve sorumluluklar, önlerinde yatan zorlukların altını çiziyor.
Forrester’ın kıdemli analisti Allie Mellen e-posta yoluyla, “En büyük zorluk, uluslararası düzeydeki devlet kurumları ve özel sektör arasında gereken koordinasyon miktarıdır” dedi. “Bu uygulama planının her parçası, dikkatli bir şekilde yapılması zaman alan aktif işbirliğini gerektiriyor.”
Yayılmayı örtmek
Sorumlulukların dağılımı, hükümetin işlerin çoğunun belirli hedeflere ulaşmak için en uygun kurumlarda, hatta geleneksel olarak siber güvenlik politikasında ön saflarda yer almayan kurumlarda bile yapılmasını nasıl beklediğini vurguluyor.
OMB, federal kurumların performansını denetlemekten ve federal bütçeyi yönetmekten sorumluyken, ONCD, federal sivil yürütme organı teknolojisinin modernleştirilmesi ve ağ güvenliği en iyi uygulamalarının benimsenmesine öncülük edilmesi de dahil olmak üzere siberle ilgili 6 girişimde liderliği üstlenmekle görevlendiriyor.
Recorded Future’da tehdit istihbaratı analisti ve çözüm mimarı olan Allan Liska, Dışişleri Bakanlığı’nın birden fazla girişimde (kesin olarak sekiz) başı çektiğini görmekten özellikle memnun olduğunu söyledi. Dışişleri Bakanlığı’nın diğer ülkelerle işbirliği sağlamada kritik bir rol oynadığını söyledi.
Daha fazla yatırım ve kritik altyapı güvenliğinde iyileştirmeler gerektirmek, Biden yönetiminin çabalarının özüdür, ancak ABD ve yurtdışındaki suç faaliyetlerini engelleme ihtiyacı da öyle.
Dışişleri Bakanlığı, uluslararası ortakların siber kapasitelerini güçlendirme ve güvenli BT ve iletişim ağları ve hizmetlerinin geliştirilmesini teşvik etme çabalarına öncülük ediyor.
Liska, “Saldırılar artmaya ve daha sofistike olmaya devam edecekse, savunmaya öylece para yığmaya devam edemezsiniz,” dedi.
Liska, “ABD süper güvenli hale gelirse, dünyanın geri kalanının sürekli saldırı altında olması hiç fark etmez” dedi. “Verilerimiz her yerde, ortaklıklarımız, bağlantımız her yerde ve bu nedenle diğer ülkelerdeki bir siber saldırı bizi etkiliyor.”
iddialı zaman çizelgeleri
Bir de zamanlama meselesi var – hükümet girişimlerin üçte ikisinden fazlasının (69 girişimden 47’sinin) 2024 mali yılının sonuna kadar, yani 14 ay sonra tamamlanmasını planlıyor. İkisi hariç tümünün 2025 mali yılının sonuna kadar yapılması planlanıyor.
Girişimler çaba açısından eşit değildir. Bir girişim, hükümeti bölgesel siber merkezleri incelemeye çağırıyor ve diğerleri, fidye yazılımı suçlarını ve daha geniş fidye yazılımı ekosistemini bozmayı amaçlıyor.
Thielemann, agresif zaman çerçevelerinin, değerlendirmeler ve planlar geliştirmenin başarı olarak görüleceğini öne sürdüğünü söyledi. Bunun siber riski azaltma ve ülkenin siber saldırılara karşı dayanıklılığını artırma açısından iğneyi hareket ettirip ettiremeyeceği tartışmalı.”
Teslim tarihleri, eldeki taahhüt ve kriz göz önüne alındığında, büyük ölçüde istek uyandıran ve bu nedenle iddialı olarak görülüyor.
Liska, “Burada belirtilen zaman çerçevesine yakın bir yerde uygulanacağını sanmıyorum, ama sorun değil,” dedi. “Hiçbir şey yapmamaktansa büyük hedefler belirleyip bu büyük hedeflerin bazılarını kaçırmayı tercih ederim.”
Potansiyel barikatlar
Ulusal siber güvenlik stratejisi kuruluşlara, eyalet ve yerel yönetimlere maliyetler yüklediğinden, yasal zorluklar önemli bir anlaşmazlık noktası olabilir.
Washington Post’un bildirdiğine göre, Nisan ayında bir grup eyalet başsavcısı, bir federal mahkemeden Çevre Koruma Dairesi’nin kamu su sistemlerinin siber güvenliği güçlendirmesini gerektirecek bir kuralını engellemesini istedi.
The Washington Post’un bildirdiğine göre, 8. ABD Temyiz Mahkemesi bu ayın başlarında emri geçici olarak bloke ederek Biden yönetiminin siber güvenlik hedeflerinde bir gerilemeye işaret etti.
EPA, ulusal siber güvenlik stratejisi uygulama planının yaygın olarak alıntılanan ve kritik bir parçası olan birkaç sektör risk yönetimi kurumundan biridir. SRMA’lar, birçoğu kamu-özel işbirliğini geliştirme, sektöre özgü süreçleri entegre etme ve SRMA destek yeteneği oluşturma çabalarını içeren 11 girişime katkıda bulunmakla görevlendirilmiştir.
CISA, federal yetkililerin “ABD için o kadar hayati ki bunların etkisiz hale getirilmesi veya yok edilmesi güvenlik, ulusal ekonomik güvenlik, ulusal halk sağlığı veya güvenliği üzerinde zayıflatıcı bir etkiye sahip olacak” olarak tanımladığı 16 kritik altyapı sektörünün her birine bir SRMA atadı.
SRMA’lar arasında EPA, Genel Hizmetler İdaresi ve Tarım, Savunma, Enerji, İç Güvenlik, Ulaştırma, Hazine ve Sağlık ve İnsan Hizmetleri Departmanları yer alır. Bazı SRMA’ların siber güvenlik konularındaki otoritesi test edilmemiştir ve EPA gibi diğerleri için bu testler, harekete geçtiklerinde etkisini göstermektedir.
Liska’ya göre, siber güvenlik ve savunmaları güçlendirme ihtiyacı yıllardır nispeten tarafsız bir konuydu, ancak partizanlık siber güvenlik alanına sızıyor.
Ayrıca, güvenliğin paraya mal olduğu gerçeğini de yansıtır.
Liska, su tesislerinin daha güvenli olması gerektiği konusunda neredeyse herkesin hemfikir olmasına rağmen, bunu başarmanın tek yolunun minimum bir güvenlik temeli oluşturmak olduğunu söyledi.
Liska, “Tasarım yoluyla güvenliği uygulamaya çalışmak, sektörde çok fazla geri tepme alacak ve bu tasarım gereği güvenlik kavramına meydan okuyan çok sayıda dava açılacak” dedi.
Ulusal siber güvenlik stratejisi için uygulama planı kapsamlıdır, 57 sayfa uzunluğundadır, ancak kapsamlı değildir.
Tüm dışlamalara, agresif zaman çizelgelerine ve varsayılan ve öngörülemeyen tüm zorluklara rağmen, plan hükümetin birçok bölümünde uyumlu bir stratejiyi yansıtıyor.
Liska, “Genel olarak bunun harika bir başlangıç olduğunu düşünüyorum ve umarım bunun üzerine inşa etme şansımız olur ve sonsuza kadar davalara saplanmayız.”
69 siber girişim, hızlı bir zaman çizelgesi uygulamak için kurumlar arası bir yaklaşım benimsiyor
Ulusal Siber Güvenlik Direktörü Ofisi’nin tamamlanma tarihine kadar ulusal siber strateji için uygulama planı.