Biden yönetimi bugün, güvenliğe çok az önem verilerek satılan yazılım ürünleri ve hizmetleri için sorumluluk belirleyen mevzuat çağrıları da dahil olmak üzere, ülkenin toplu siber güvenlik duruşunu güçlendirme vizyonunu yayınladı. Beyaz Saray’ın yeni ulusal siber güvenlik stratejisi, siber suç altyapısını bozmada bulut sağlayıcıları ve ABD ordusunun daha aktif bir rol oynamasını öngörüyor ve Çin’i ABD çıkarlarına yönelik en büyük siber tehdit olarak gösteriyor.
Strateji, Beyaz Saray’ın Kongre ve özel sektörle birlikte çalışarak şirketlerin yazılım ürünlerinin veya hizmetlerinin güvenliğine ilişkin sorumluluklarını reddetmelerini önleyecek yasalar çıkaracağını söylüyor.
Bu sopayla birleştiğinde bir havuç olacaktır: Bu şirketlerin siber güvenliği tasarımlarının ve operasyonlarının merkezi bir endişesi haline getirdiklerini göstermek için neler yapabileceklerini ortaya koyan, henüz tanımlanmamış bir “güvenli liman çerçevesi”.
Strateji, “Bu tür herhangi bir mevzuat, pazar gücüne sahip üreticilerin ve yazılım yayıncılarının sözleşme yoluyla sorumluluğu tamamen reddetmesini ve belirli yüksek riskli senaryolarda yazılım için daha yüksek bakım standartları oluşturmasını önlemelidir” diye açıklıyor. “Güvenli yazılım geliştirmeye yönelik bakım standartlarını şekillendirmeye başlamak için Yönetim, yazılım ürünlerini ve hizmetlerini güvenli bir şekilde geliştiren ve sürdüren sorumluluk şirketlerinden korunmak için uyarlanabilir bir güvenli liman çerçevesinin geliştirilmesini yönlendirecektir.”
Brian Tilkibaş teknoloji sorumlusu ve yazılım tedarik zinciri güvenlik firması Sonatype’ın kurucusu, yazılım sorumluluğu olarak adlandırılan sektör için bir dönüm noktası.
Fox, “Piyasa güçleri, belirli endüstrilerde dibe doğru bir yarışa yol açarken, sözleşme yasası her türden yazılım satıcısının kendilerini sorumluluktan korumasına izin veriyor” dedi. “Diğer sektörler için düzenlemeler benzer bir dönüşümden geçti ve olumlu bir sonuç gördük – artık uygun özen gösterilmesi ve uymayanlar için hesap verebilirlik beklentisi var. Güvenli limanlar kavramının oluşturulması, önceki düzenleyici girişimlerde olduğu gibi kapsamlı reform ve gerçekçi olmayan sonuçlar talep etmek yerine, bir sorumluluk kalkanını korumak için güvenlik en iyi uygulamalarını seviyelendirerek endüstrinin adım adım olgunlaşmasına olanak tanır.”
EN AKTİF, KALICI TEHDİT
2012’de (yaklaşık üç ulusal siber strateji önce), ardından ABD Ulusal Güvenlik Teşkilatının (NSA) direktörü Keith İskender Çin devlet destekli bilgisayar korsanlarının yıllarca süren başarılı siber casusluk kampanyalarının “tarihteki en büyük servet transferini” temsil ettiğini söylediğinde manşetlere taşındı.
Bugün yayınlanan belge, Çin Halk Cumhuriyeti’nin (ÇHC) “hem hükümet hem de özel sektör ağları için şu anda en geniş, en aktif ve en kalıcı tehdidi oluşturduğunu” ve Çin’in “dünyayı yeniden şekillendirme niyeti olan tek ülke” olduğunu söylüyor. uluslararası düzen ve giderek artan bir şekilde bunu yapacak ekonomik, diplomatik, askeri ve teknolojik güç.”
ABD hükümetinin Çin’in teknoloji becerisini dizginleme çabalarının çoğu, ABD merkezli yarı iletken üretimi ve araştırmasını genişletmek ve ABD’yi daha az yapmak için 50 milyar dolardan fazla bir kenara koyan Başkan Biden tarafından geçen yıl imzalanan yeni bir yasa olan CHIPS Yasası gibi devam eden girişimleri içeriyor. yabancı tedarikçilere bağımlı; Ulusal Yapay Zeka Girişimi; ve 5G’yi Güvenli Hale Getirme Ulusal Stratejisi.
Çin, içinde bir bilgisayar çipi bulunan çoğu tüketici cihazının üreticisi olarak, aynı zamanda yalnızca düşük güvenlikli olmakla kalmayıp muhtemelen daha doğru bir şekilde tasarım gereği güvensiz olarak tanımlanan inanılmaz sayıda düşük maliyetli Nesnelerin İnterneti (IoT) cihazının da kaynağıdır. .
Biden yönetimi, çeşitli IoT ürünlerine uygulanabilecek ve tüketicilere ürünlerin ne kadar güvenli olabileceği konusunda fikir verebilecek bir etiketleme sistemi geliştirmeye yönelik daha önce duyurulan planlarına devam edeceğini söyledi. Ancak bu etiketlerin ABD dışındaki şirketler tarafından üretilen ürünlere nasıl uygulanabileceği belirsizliğini koruyor.
BULUTTA KÖTÜLÜKLE MÜCADELE
Dünyanın son on yılda başka bir tarihi servet ve ticari sır aktarımına tanık olduğu ikna edici bir şekilde savunulabilir – Rusya merkezli siber suç örgütlerinin fidye yazılımı ve veri fidye saldırıları ve ayrıca Rus istihbarat teşkilatı operasyonları şeklinde. ABD hükümeti çapında Güneş Rüzgarları uzlaşması.
Fidye yazılımı cephesinde, Beyaz Saray stratejisi ağırlıklı olarak ABD’nin hayati siber çıkarlarını tehdit eden düşmanlar tarafından kullanılan dijital altyapıyı bozma yeteneği oluşturmaya odaklanıyor gibi görünüyor. Belge, bu faaliyet için bir model olarak birden fazla Rus fidye yazılımı grubu tarafından yoğun bir şekilde kullanılan bir siber suç makinesi olan Emotet botnet’in 2021’de kaldırılmasına işaret ediyor, ancak bu yıkıcı operasyonların daha hızlı ve daha sık gerçekleşmesi gerektiğini söylüyor.
Bu amaçla Biden yönetimi, kolluk kuvvetleri, istihbarat topluluğu ve Savunma Bakanlığı genelinde siber tehdit soruşturmalarını koordine eden birincil federal kurum olan Ulusal Siber Soruşturma Ortak Görev Gücü’nün (NCIJTF) kapasitesini genişleteceğini söylüyor.
Strateji, “Bu entegre kesinti kampanyalarının hacmini ve hızını artırmak için, Federal Hükümetin sürekli, koordineli operasyonlara olanak tanıyan teknolojik ve organizasyonel platformlar geliştirmesi gerekiyor” gözleminde bulunuyor. “NCIJTF, yayından kaldırma ve kesintiye uğratma kampanyalarını daha yüksek hız, ölçek ve sıklıkta koordine etme kapasitesini artıracak. Benzer şekilde, Savunma Bakanlığı ve İstihbarat Topluluğu, tüm tamamlayıcı yetkilerini kesinti kampanyalarına taşımaya kararlıdır.”
Strateji, ABD hükümetinin ABD tabanlı altyapının kötü amaçlı kullanımını hızlı bir şekilde tespit etmek, kötü amaçlı kullanım raporlarını hükümetle paylaşmak ve mağdurların bu sistemlerin kötüye kullanıldığını bildirmesini kolaylaştırmak için bulut ve diğer İnternet altyapısı sağlayıcılarıyla daha yakın çalışmasını öngörüyor.
Strateji, “Siber güvenlik topluluğunun ve dijital altyapı sahiplerinin ve operatörlerinin bu yaklaşımı sürdürme konusundaki çıkarları göz önüne alındığında, işbirlikçi kesinti operasyonlarının sürekli olarak gerçekleştirilebilmesi için bu modeli sürdürmeli ve genişletmeliyiz” diyor. “Tehdide özgü işbirliği, ilgili bir merkez tarafından barındırılan ve desteklenen az sayıda güvenilir operatörden oluşan çevik, geçici hücreler şeklini almalıdır. Hücrenin üyeleri, sanal işbirliği platformlarını kullanarak bilgileri iki yönlü olarak paylaşacak ve düşmanları bozmak için hızla çalışacaktı.”
Ancak burada yine bir havuç sopa yaklaşımı var: Yönetim, bulut sağlayıcılarının yabancı sunucuların kimliğini doğrulamasını gerektiren -Trump yönetimi tarafından Ocak 2021’de yayınlanan- 13984 sayılı İcra Emri’ni (EO) uygulamak için adımlar attığını söyledi. hizmetlerini kullanan kişiler.
Strateji, “Tüm hizmet sağlayıcılar, altyapılarının kötüye kullanım veya diğer suç teşkil eden davranışlara karşı kullanımını güvence altına almak için makul girişimlerde bulunmalıdır” diyor. “Yönetim, EO 13984’ün uygulanması da dahil olmak üzere kötü niyetli faaliyetin bilinen yöntemlerini ve göstergelerini ele alan Hizmet Olarak Altyapı sağlayıcıları arasında siber güvenliğe yönelik risk tabanlı bir yaklaşımın benimsenmesine ve uygulanmasına öncelik verecektir.”
Ted SchleinSiber güvenlik risk sermayesi firması Ballistic Ventures’ın kurucu ortağı olan , bunun nasıl uygulanacağının etkili olup olmayacağını belirleyeceğini söyledi.
Schlein, “Düşmanlar, ülkenin siber savunmasının seçkin kısmı olan NSA’nın ABD tabanlı altyapıyı izleyemediğini biliyorlar, bu nedenle saldırılarını gerçekleştirmek için yalnızca ABD tabanlı bulut altyapısını kullanıyorlar” dedi. “Bunu düzeltmeliyiz. Kötü bir şey yapma arzusu olan kötü bir aktörün kendini tanıtacağını varsaydığından, bu bölümün bazılarının biraz polemikçi olduğuna inanıyorum, çünkü buradaki en büyük tavsiye KYC (“müşterinizi tanıyın”) etrafında.
SİGORTACILARIN SİGORTALANMASI
Stratejinin “Bir Federal Siber Sigorta Arka Planını Keşfedin” başlıklı kısa ama ilginç bir bölümü, hükümetin başarısız olamayacak kadar büyük bir senaryoya veya “yıkıcı bir siber olaya” karşı sorumluluğunu ve tepkisini ele alıyor.
Strateji, “Daha iyi siber güvenlik uygulamalarını teşvik etmek ve felaket olayları meydana geldiğinde piyasa kesinliği sağlamak için hükümetin sigorta piyasalarını felaket riskine karşı nasıl dengeleyebileceğini araştıracağız” diyor.
Bush yönetimi 20 yıl önce 11 Eylül saldırılarından sonra ilk ABD ulusal siber güvenlik stratejisini yayınladığında, aynı senaryo için kullanılan popüler terim “dijital Pearl Harbor” idi ve o zamanlar siber sigortanın nasıl olduğu hakkında çok konuşuldu. pazar yakında şirketlerin siber güvenlik uygulamalarını güçlendirmelerine yardımcı olacaktır.
Sayısız fidye yazılımı izinsiz girişinin ardından, birçok şirket artık bu tür izinsiz girişlere yanıt vermenin önemli maliyetlerini karşılamaya yardımcı olmak için siber güvenlik sigortasına sahiptir. Sigorta kapsamının şirketlerin güvenliği artırmasına yardımcı olup olmadığı sorusunu bir kenara bırakırsak, bu şirketlerin her biri aynı anda bir talepte bulunmak zorunda kalırsa ne olur?
Bir Digital Pearl Harbor olayı kavramı, o dönemde birçok uzmanı, hükümetin dijital gözetleme yeteneklerini genişletmek için abartılı bir gerekçe ve düşmanlarımızın yeteneklerini abartmak olarak gördü. Ancak 2003’te, dünyadaki şirketlerin çoğu tüm işlerini bulutta barındırmıyordu.
Bugün kimse düzinelerce ulus-devlet düzeyindeki siber düşmanın yeteneklerini, hedeflerini ve sonuçlarını sorgulamıyor. Ve bu günlerde, feci bir siber olay, birden çok bulut sağlayıcısında uzun süreli, eş zamanlı bir kesintiden biraz daha fazlası olabilir.
Ulusal siber güvenlik stratejisinin tamamına Beyaz Saray web sitesinden (PDF) ulaşılabilir.