Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Ulusal Siber Direktör Ofisi (ONCD), siber güvenliği federal olarak finanse edilen altyapı projelerine yerleştirmeyi amaçlayan kapsamlı bir kılavuz yayınladı. Kritik Altyapıya Yönelik Federal Hibe Programlarında Siber Güvenliğin Güçlendirilmesine Yönelik Başucu Kitabı başlıklı kılavuz, hibe veren kurumlara ve alıcılara güçlü siber güvenlik uygulamalarını programlarına ve altyapı girişimlerine dahil etmeleri için temel araçlar ve kaynaklar sunuyor.
Bu siber güvenlik taktik kitabı, federal hibe programı yöneticilerine, kritik altyapı sahiplerine ve operatörlerine ve hibe fonlarını alt ödüllendiren veya hibe fonlu projeleri denetleyen eyalet, yerel, kabile ve bölgesel hükümetler gibi kuruluşlara yardımcı olmak için tasarlanmıştır.
ABD’nin Altyapı Yatırımı ve İstihdam Yasası (IIJA), Enflasyonu Azaltma Yasası (IRA) ve CHIPS ve Bilim Yasası gibi yasal düzenlemeler yoluyla altyapıya tarihi yatırımlar yapması nedeniyle, bu kılavuz siber güvenliğin altyapıya entegre edilmesinin kritik ihtiyacını vurgulamaktadır. bu projelerin temelini oluşturuyor.
Siber Güvenlik Başucu Kitabının Temel Özellikleri
Başucu kitabı, siber güvenliği hibe programlarına dahil etmek için yapılandırılmış bir yaklaşım sunuyor ve şunları sunuyor:
- Hibe yaşam döngüsü boyunca siber güvenliği entegre etmek için önerilen eylemler.
- Başvuru sahipleri için net siber güvenlik beklentileri sağlamak amacıyla Finansman Fırsatı Bildirimleri (NOFO’lar) ve Şartlar ve Koşullar için model dil.
- Hibe alıcılarının Siber Risk Değerlendirmeleri ve Proje Siber Güvenlik Planları oluşturmasına yönelik şablonlar.
- Hibeyle finanse edilen projelerin güvenli bir şekilde yürütülmesini destekleyecek kapsamlı bir siber güvenlik kaynakları listesi.
CISA Direktörü Jen Easterly, bu kılavuzun önemini vurguladı ve şunu belirtti: “Kuruluşlar tarihi altyapı hibelerinden faydalandıkça, ulusumuzdaki her toplulukta bu yeni nesil Amerikan altyapısının güvenliğini ve dayanıklılığını sağlamak kritik önem taşıyor.”
Beyaz Saray Ulusal Siber Direktörü Harry Coker Jr. da bu duyguları yineleyerek ülkenin kritik altyapısının yeniden inşasında “tasarım yoluyla siber güvenliğin” önemini vurguladı. “Altyapı projelerinin küremeye ve sibere hazır olmasına ihtiyacımız var. Bu kılavuz, siber güvenliğin en başından itibaren her altyapı projesinin temel bir parçası olmasını sağlamak için değerli bir kaynak görevi görecek.”
Güvenliği Artırırken Yükü En Aza İndirme
CISA ve ONCD, temel siber güvenlik uygulamalarının federal olarak finanse edilen projelere dahil edilmesini sağlarken, taktik kitabını esnek olacak ve idari yükü en aza indirecek şekilde tasarladı. Hibeleri yöneten federal kurumların, alt ödül veren kuruluşların ve altyapı operatörlerinin, projeleri gelişen siber tehditlerden korumak için başucu kitabının tavsiyelerini benimsemeleri teşvik edilmektedir.
Güvenli Bulut Hizmetleri Yönergesi
CISA, taktik kitabına ek olarak şunları da yayınladı: Bağlayıcı Operasyonel Direktif (BOD) 25-01: Bulut Hizmetleri için Güvenli Uygulamaların Uygulanması. Bu yönerge, federal sivil kurumların, değerlendirme araçlarını uygulayarak ve yapılandırmalarını CISA’nın Güvenli Bulut İş Uygulamaları (SCuBA) projesiyle uyumlu hale getirerek bulut ortamlarının güvenliğini güçlendirmesini zorunlu kılar.
Son dönemde yaşanan siber güvenlik olayları, saldırganların yetkisiz erişim elde etmesine, verileri sızdırmasına veya hizmetleri kesintiye uğratmasına olanak tanıyan bulut yanlış yapılandırmalarının oluşturduğu riskleri ortaya çıkardı. Buna yanıt olarak BOD 25-01, federal kurumların şunları yapmasını gerektirir:
- Kapsamları dahilindeki bulut kiracılarını belirleyin ve bu bilgiyi CISA’ya bildirin.
- Sürekli izleme ve güvenli yapılandırma temelleriyle uyum sağlamak için SCUBA değerlendirme araçlarını kullanın.
- Gelişen tehditlere yanıt vermek için zorunlu SCUBA politikalarını uygulayın ve yapılandırmaları güncelleyin.
Haziran 2025’e kadar federal sivil kurumların, buluttaki güvenlik açıklarıyla ilişkili riskleri azaltmak için bu gereksinimleri tam olarak uygulaması gerekiyor.
CISA Direktörü Jen Easterly, bu önlemlerin aciliyetini yineleyerek şunları söyledi: “Kötü amaçlı tehdit aktörleri giderek bulut ortamlarını hedef alıyor ve taktiklerini geliştiriyor. Bu eylemler federal sivil girişime yönelik risklerin azaltılmasında çok önemli bir adımdır. Tüm kuruluşları, ulusal siber dayanıklılığı toplu olarak desteklemek için bu kılavuzu benimsemeye çağırıyoruz.”
Bulut Güvenliğini SCUBA ile Güçlendirmek
SCuBA projesi, Microsoft Office 365 gibi yaygın olarak kullanılan Hizmet Olarak Yazılım (SaaS) ürünleri için tutarlı güvenlik temelleri sağlayarak bu yönergeyi desteklemektedir. Bu temeller, kurumların bulut ortamlarını etkili bir şekilde izlemelerine ve sorunları çözmelerine olanak tanıyan değerlendirme araçlarıyla tamamlanmaktadır. güvenli konfigürasyonlardan sapmalar.
CISA, güncel olmayan ayarlar sistemleri güvenlik açıklarına maruz bırakabileceğinden, güvenlik yapılandırmalarını güncel tutmanın önemini vurgulamaktadır. Düzenli incelemeler ve düzenlemeler, kurumların gelişen en iyi uygulamalara ve ortaya çıkan siber tehditlere uyum sağlamasını sağlar.
Bu Neden Önemli?
CISA ve ONCD tarafından yayımlanan kılavuz ve yönergeler, ABD altyapısının ve federal ağların siber saldırılara karşı korunmasına yönelik önemli bir adıma işaret ediyor. Ülke kritik altyapısını modernleştirmeye yatırım yaparken, siber güvenliği en baştan entegre etmek yalnızca dayanıklılığı artırmakla kalmayacak, aynı zamanda halkın bu hayati sistemlere olan güvenini de koruyacak.
Federal kurumların, hibe alıcılarının ve altyapı operatörlerinin oyun kitabını benimsemeleri ve gerekli bulut güvenlik önlemlerini derhal uygulamaları teşvik ediliyor. Bu eylemler, yeni nesil Amerikan altyapısının yalnızca yenilikçi değil, aynı zamanda güvenli ve dayanıklı olmasını sağlamak için hayati öneme sahiptir.