Tehdit yüzeyleri benzeri görülmemiş ölçeklere ulaştıkça ve tehdit aktörleri yeni yetenekler kazandıkça, hem kamu hem de özel sektörler için siber güvenlik ve esneklik öncelikli hale geldi. Siber saldırıların artan ölçeği ve karmaşıklığı sadece ulusal güvenlik için bir tehdit oluşturmakla kalmaz, aynı zamanda mağdurlara her yıl trilyonlarca dolara mal olur. Ulus bir yönetimden diğerine geçtikçe, ABD liderleri önceki idarelerin başarıları üzerine inşa etmeye devam etmeli, ülkenin siber güvenlik ekosisteminde var olan boşlukları ele almalı ve geçmişte değerli olan kamu-özel ortaklıklarına yaslanmaya devam etmelidir.
En iyi uygulamaları yeni bir yönetime taşımak
Son sekiz yıl içinde Biden-Harris ve Trump-Pence idareleri, ülkenin güvenlik duruşunu güçlendirmek için somut adımlar attı. 2018 yılında Başkan Trump, ABD siber güvenliğine adanmış bir tür bileşen ajansı olan CISA’yı kurmak için 2018’in Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Yasasını imzaladı. ABD’deki birden fazla siber nüfusun ardından, 2021’de Başkan Biden, federal ağları modernize etmeyi ve korumayı, kamu-özel ortaklıklarını iyileştirmeyi ve olaylara yanıt verme yeteneğini güçlendirmeyi amaçlayan 14028 (EO 14028) Yürütme Emri (EO 14028) yayınladı.
2022’de Kongre ve Biden-Harris yönetimi, Kritik Altyapı Yasası (CIRGIA) için siber olay raporlamasını yürürlüğe koyarak bu eylemi daha ileri götürerek, kapsanan kuruluşların CISA’ya kapalı siber girinlikleri ve fidye ödemelerini bildirmelerini gerektiriyor. O yılın ilerleyen saatlerinde, eski Başkan Biden, EO 14028’e bir muhtıra yayınladı ve federal kurumları yalnızca Memorandumda belirtilen “NIST rehberliğine” uymayı kanıtlayabilen yazılım üreticileri tarafından sağlanan yazılımı kullanmaya yönlendirdi. Bu durumda “rehberlik” NIST Güvenli Yazılım Geliştirme Çerçevesi ve NIST Yazılım Tedarik Zinciri Güvenlik Kılavuzunu ifade eder.
Hem Caliya hem de müteakip muhtıra, kamu-özel ortaklıklarını tehditleri savunmak ve yanıtlamak için geliştirmek için önemli adımları işaretlerken, yükümlülüğü yazılımlarını güvence altına almak için makul önlemler almayan yazılım üreticilerine kaydırdı.
Yazılım satıcıları, güvenlik için uygun araba emniyet kemerleri gibi, ajansların kullanacağı ürünlere güvenlik oluşturmak için birden fazla adım atabilir. Aralarında şef, güvenli bir tasarım çerçevesi ve yazılım yapı ortamının benimsenmesidir. Örneğin, güvenlik satıcıları yapım ortamlarını dört merkezi ilkeye dayandırmalıdır:
- Yapı sistemini, saldırganların uzlaşması için uzun ömürlü ortamların bulunmadığı geçici işlemlere dayandır.
- Güvenliği sağlamak için deterministik eserler üretin.
- Paralel olarak inşa edin, izole ve farklı yapı ortamları, standart doğrulama ve güvenlik kullanın. Her yapı ortamının çok sınırlı erişimi olmalı ve hiçbir kişinin hepsine erişimi olmamalıdır.
- Her yapı adımını doğrulayın ve boru hattında yürütülen her görev için kriptografik olarak imzalanmış gerçek ifadeleri üreterek, değişmez bir kanıt kaydı oluşturun ve tam izlenebilirlik sağlayın.
Satıcılar, etkin ve güvenli bir şekilde çalışmasını sağlamak için yazılımı doğrulamak ve test etmek için mühendisler ve uygulama güvenlik ekipleri için birden fazla yapı ortamını kullandığından, varsayılan bir ihlal zihniyetini yürürlüğe koymak da önemlidir. Kabul edilen bir ihlal zihniyeti, sıfır trösti bir adım daha ileri götürür, yapay zekaya (AI) dayanan örtük güveni ortadan kaldırarak, kimlik erişim yönetimi, çok faktörlü kimlik doğrulama ve güvenlik tehdidinden yerini almak için kullanıcılar, veri ve kaynaklar arasındaki bağlantıları sürekli olarak doğrulamak için analitikleri azaltarak saldırı diyaframını ve riski azaltır.
Gözlemlenebilirlik ile birleştiğinde, kuruluşlar potansiyel ihlaller de dahil olmak üzere sorunları proaktif olarak tanımlamak için tüm çevreye tek cam bölmeli görünürlük kazanabilirler. Varsayım ihlali modelinin riskleri azaltmak için doğru bilgiye ihtiyacı vardır. Gözlemlenebilirlik, varlıkların ekosisteme nasıl uyduğunu açıklar ve en kritik varlıkları korumak için altyapı ve göstergeler hakkında kritik veriler sağlar.
Ancak, ülkemizin siber güvenlik duruşunu güçlendirme sorumluluğu sadece kuruluşlara dayanmaz.
Boşlukları doldurmak
Federal hükümet ayrıca sistemik zorlukların ele alınmasında hayati bir rol oynamaktadır. ABD, son on yılda federal bilgi sistemlerini ve ağları sertleştiren olumlu adımlar atmış olsa da, Trump-Vance yönetimi ülkenin dijital ekosisteminin esnekliğini arttırmak için kalan boşlukları ele almalıdır. Bu boşluklardan biri işgücü gelişimidir.
Dünyamız teknoloji ile daha fazla bağlantılı hale geldikçe, siber güvenlik profesyonellerinin genişleyen tehdit manzarasını ele alma talebi artmaya devam edecektir. Örneğin, Dünya Ekonomik Forumu’nun küresel siber güvenlik görünümü 2024’e göre, kamu kuruluşlarının% 52’si siber esneklik tasarlarken kaynak ve beceri eksikliğinin en büyük zorlukları olduğunu söyledi. Siber işgücü kıtlığına katkıda bulunan bir diğer faktör, bulut bilişim ve AI gibi gelişmekte olan teknolojilerin hızlı bir şekilde çoğalmasıdır. Bu teknolojiler çok sayıda fayda ve yetenek getirmiş olsa da, ek beceri kıtlığı yaratan işgücü boşluğunu da genişlettiler. Uluslararası Bilgi Sistemi Güvenlik Sertifikası Konsorsiyumu, küresel olarak ankete katılan 14.865 siber güvenlik profesyonelinin% 92’sinin kuruluşlarının bir veya daha fazla alanda beceri boşluklarından muzdarip olduğunu bildirmektedir.
Federal hükümet, siber yetenekli boru hattını genişletmek için çeşitli becerilere dayalı girişimlerle bu genişleyen boşluğu ele almaya çalışıyor. 2023 yılında, Ulusal Siber Direktör Ofisi (ONCD), siber işgücünü büyütmeyi, çeşitliliği artırmayı ve özel sektördeki ortaklıklar yoluyla siber eğitim ve öğretime erişimi geliştirmeyi amaçlayan Ulusal Siber İş Gücü ve Eğitim Stratejisini (NCWES) uygulamaya başladı. Son zamanlarda House Homeland Security (HLS) Başkanı Mark Greene (R-TN-07) tarafından yapılan bir faturada tanıtılan bir başka potansiyel yol, federal hükümet için belirli bir yıl boyunca çalışacak olan siber eğitim ve öğretim için tam skorluklar sağlamayı hedefliyor. Her iki girişim de muazzam bir potansiyele sahip olsa da, tam potansiyellerini uygulamak ve olgunlaştıracaklar.
Kamu ve özel sektörler, şimdi ve geleceğe kötü niyetli aktörlerden siber alanı savunmak için siber yetenekli işe almak, eğitmek ve elde tutmak için yaratıcı yollar bulmaya devam etmek zorunda kalacaklar. Örneğin, Solarwinds CEO’su Sudhakar Ramakrishna, endüstri ortaklarının CISA’ya bir topluluk olarak birlikte çalışmak için bir tam zamanlı eşdeğer (FTE) çalışanı sağladığı bir girişim önerdi. Hepimiz kaynak kısıtlıyız. CISA’yı, sektörün dört bir yanından binlerce olmasa da yüzlerce FTE ile takviye etmek, en iyi uygulamalar, gelişmiş tehdit zekası ve bu bilgileri ekosistem boyunca geniş ölçüde paylaşmaya odaklanan nispeten büyük, yetenekli bir işgücü verebilir. Böyle bir girişim, ülkemizin dijital ekosisteminin ortak bir savunması yoluyla boşluğu derhal doldurmaya ve kamu-özel ortaklığını güçlendirmeye yardımcı olacaktır.
Kamu-özel ortaklıklarının önemi
Trump-Vance İdaresi’nin hızlı bir şekilde doldurması için bir başka boşluk da eski CISA direktörü Jen Easterly’nin rolü. ABD federal siber güvenlik için operasyonel lider olduğundan bu yana, CISA, ülkemizin güvenlik duruşunu güçlendirmek için kamu-özel ortaklıkları aracılığıyla dijital olarak birbirine bağlı ekosistemimizin güvenliğini ve esnekliğini artırmada hayati önem taşımaktadır. CISA tarafından desteklenen kamu-özel ortaklığı, birden fazla büyük ölçekli saldırı ele almada etkili olmuştur, ancak sektördeki yasama ve düzenleyici gereksinimleri uyumlu hale getirmek için hala çok fazla iş var.
Siber çalışma zorlukları gibi, yasama ve düzenleyici uyumlaştırma, raporlama gereksinimlerini bozmak ve standartlaştırmak için güçlü kamu-özel ortaklıkları gerektirecektir. 2023 yılında, İç Güvenlik Bakanlığı (DHS), 22 federal ajans tarafından Federal Hükümet Raporuna raporlamanın uyumlaştırılmasına göre 22 federal ajans tarafından uygulanan 45 etki içi siber-sonuç raporlama gereksinimlerini tespit etti. Kritik altyapı sektörüne bağlı olarak, bazı işletmelerin aynı olayı farklı son teslim tarihlerinde, çeşitli yöntemlerle (çevrimiçi form, e -posta, sözlü vb.) Sunumla bildirmeleri gerekebilir. Umarım, Caliya, o sektördeki çeşitli federal kurumlar arasında düzenleyici örtüşmeyi ve çatışmayı en aza indirmek için bazı açık parametreler ve koordinasyon mekanizmaları sağlayacaktır.
ABD Kongresi ayrıca siber güvenlik mevzuatı ve düzenlemeleri ile ilgili ajans uyumlaştırma yoluna devam etmelidir. Son zamanlarda, Kongre Üyesi Clay Higgins (R-LA-3), federal siber güvenlik çabalarını düzene sokmayı ve yinelenen raporlama gereksinimlerini ortadan kaldırmayı amaçlayan bir yasa tasarısı getirdi. Tasarı, ONCD ve diğer düzenleyici kurumlardan “her bir düzenleyici kurumun siber güvenlik gereksinimlerinin uyumlaştırılması için bir düzenleyici çerçeve geliştirmek” için bir “uyum komitesi” kuracaktır. Raporlama gereksinimleri hakkında karışıklığı hafifletmek ve kurbanın kişisel sorumluluk konusunda endişelenmek yerine tehdidi hafifletmeye ve çözmeye odaklanmasına izin vermek için net parametreler, standart raporlama kanalları ve güvenli bir liman çerçevesi çok gereklidir.
Önümüzdeki yol
Geçen yılki bir Cirgia duruşmasında, Kongre Üyesi Eric Swalwell (D-CA-14), ona “Saldırıya cevap vermek yerine, şimdi bir saldırı gerçekleştiğinde, şimdi bir saldırı gerçekleştiğinde, tüm avukatları toparlamak ve değerli yanıt süresini kaybetmektir çünkü endişe duyduğunuz ilk şey, endişe verici bir konuşma paylaştı. […] Yaptığınız herhangi bir işlemle ilgili kişisel sorumluluğunuz, bu, tüketici verileri ve tüketici bilgileri ve potansiyel olarak kritik altyapının gerçekleştiği için ciddi bir şekilde tehlikeye atılabileceği anlamına gelir. ”
Siber işgücüne girişi caydıracak yasal ve düzenleyici yükümlülükler uygulamadan federal bilgi sistemlerini ve ağlarını korumak için kamu-özel ortaklıkları aracılığıyla birleşik, ulusal bir yaklaşıma sahip olmalıyız. Giden Ulusal Siber Direktörünün yakın zamanda Amerika için Hizmet başlıklı bir blogda belirttiği gibi: Cyber, ülkenize hizmet ediyor, “giderek daha dijital ve birbirine bağlı bir dünyada, tüm siber işler ulusal güvenliğimiz için hayati önem taşıyor ve kamu yararımıza hizmet ediyor.
Bu yapay zeka, büyüyen bulut mimarileri ve daha tehlikeli ulus devlet aktörleri döneminde, yeni yönetim, ulusal siber bölgeyi korumak için çalışmalarını kesiyor. İyi haber şu ki, inşa edilecek güçlü bir temeli var. Federal hükümet, sürdürülebilir bir siber işgücü boru hattı inşa etmek ve yasal ve düzenleyici süreçleri uyumlu hale getirmek için olumlu kamu-özel ortaklıklarını geliştirmeye devam ederse-ulus ufukta siber gelişme için hazırlanacaktır.
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu” nda 500.000’den fazla siber güvenlik uzmanına katılın!