Uzmanlar Yavaş Başlangıcı Eleştirirken CISA JCDC Yenilemesini Planlıyor

Siber Güvenlik ve Altyapı Güvenliği Ajansı, kurumun Siber Güvenlik Danışma Komitesi tarafından Çarşamba günü onaylanan Ortak Siber Savunma İşbirliğine ilişkin tavsiyeleri dinledi. Tavsiyeler, CISA’yı JCDC’nin operasyonel işbirliğine olan odağını derinleştirmeye ve üyelik kriterleri ve fiziksel alanlara katılım gibi temel operasyonel bileşenleri netleştirmeye teşvik ediyor.

JCDC, sektörler genelinde en iyi uygulamaların geliştirilmesini birleştirmek ve kamu politikasıyla ilgilenen kuruluşlar için bir kaynak olarak hizmet etmek amacıyla 2021 yılında kuruldu. CISA, JCDC’nin “önemli kilometre taşlarına ulaştığını” söyledi ancak Çarşamba günü yayınlanan taslak raporda, işbirliğinin yaklaşık üç yıl sonra hala “erken aşamada kaldığını” kabul etti.

CISA Direktörü Jen Easterly Çarşamba günü yapılan toplantıda “Bugün tartışılan öneriler konusunda heyecanlıyım ve bunları incelemeyi sabırsızlıkla bekliyorum” dedi. “Bunların CISA’nın öncelikleri ve misyonuyla uyumlu, düşünceli ve yenilikçi fikirler olduğunu biliyorum.”

CISA, danışma komitesinin son tavsiyelerinin neredeyse tamamını kabul etti veya kısmen kabul etti. CISA, stratejik tavsiye sağlamak üzere Haziran 2021’de komiteyi kurdu; 23 önde gelen siber güvenlik, teknoloji ve risk yönetimi uzmanından oluşur. Ajans, JCDC tavsiyelerini benimsemeyi planlayıp planlamadığına ilişkin yorum talebine hemen yanıt vermedi.

Siber Güvenlik Politikası ve Hukuk Merkezi koordinatörü ve Siber Güvenlik eski kıdemli direktörü Ari Schwartz, CISA’nın, JCDC’ye kimlerin üye olabileceğini ve hatta JCDC ortağı olmanın ne anlama geldiğini en başından beri açıkça ayrıntılarıyla anlatmakta zorlandığını söyledi. Ulusal Güvenlik Konseyi.

Schwartz, ISMG’ye “Bu sorun zamanla düzeldi ancak bu onların çok yavaş bir başlangıç ​​yapmalarına neden oldu” dedi. “Şu ana kadar birkaç gol attıklarını ve çok sayıda ıskaladıklarını söylemenin doğru olacağını düşünüyorum.”

JCDC, 12 kritik altyapı sektöründe 321 ortak kuruluş içermektedir ve ağların güvenliği ve siber saldırıların azaltılması konusunda yatırım, planlama ve operasyonlarına rehberlik edecek boru hattı sahipleri ve operatörleri için bir temel de dahil olmak üzere bir dizi sektör için güvenlik kılavuzu geliştirmiştir. Federal Siber Güvenlik İnceleme Kurulu’na göre JCDC ayrıca Log4Shell güvenlik açığından kaynaklanan etkiler sırasında ve Rusya’nın Ukrayna’yı işgaliyle bağlantılı siber saldırıların hafifletilmesi ve bunlara hazırlık yapılması sırasında destek ve bilgi paylaşımı sağladı.

Ancak Siber Tehdit İttifakı başkanı Michael Daniel, JCDC’nin görev belirsizliği, belirsiz üyelik koşulları ve işbirliğinin üstlenmek üzere kurulduğu çok çeşitli görevlerde işbirliğini geliştirecek bir platformun bulunmaması nedeniyle sıkıntı çektiğini söyledi.

Daniel, Information Security Media Group’a “CISA üyelik kriterlerini kamuya açık bir şekilde tanımlamalıdır” dedi. “Bu kriterler, senaryoya bağlı olarak farklı üyelik seviyelerini veya farklı katılım seviyelerini gösterebilir.”

Daniel, JCDC’nin, işbirliğinin “siber güvenliğimize aktif olarak nasıl katkıda bulunduğunu ve onu nasıl geliştirdiğini” gösteren genel bir özet de dahil olmak üzere faaliyetleri hakkında “sade İngilizce yazılmış” iki sayfalık üç aylık bir rapor yayınlamasını önerdi.

CISA’nın Siber Güvenlik Danışma Komitesi, JCDC’nin eninde sonunda, üyelik kriterlerinin sadece mevcut katılımcılar için değil aynı zamanda işbirliğine katılma potansiyeli olan diğer kişiler için de net olduğu bir olgunluk durumuna ulaşması gerektiğini söyledi. Komite ayrıca JCDC’nin “gelecekteki sorunlara proaktif bir şekilde hazırlanırken aktif sorunlara yanıt verme konusunda gelişmiş bir yeteneğe sahip olacağını” söyledi.