Biden-Harris Yönetimi, dijital dünyanın giderek birbirine bağlanması ve yazılım sistemlerinin artan karmaşıklığı karşısında kısa bir süre önce Ulusal Siber Güvenlik Stratejisini açıkladı. Bu strateji, tüm Amerikalıların kullanabileceği ve faydalanabileceği güvenli ve emniyetli bir dijital ekosistemi garanti altına almayı amaçlamaktadır. Dijital bağlantı artık hayatımızın neredeyse her alanına nüfuz etmekte, kişisel ve profesyonel alanları birbirine bağlamakta ve dijital ve fiziksel alanlar arasındaki boşluğu doldurmaktadır. Ulus devletler ve kötü niyetli aktörler siber saldırılar düzenlemeye devam ederken hükümet, dijital ekosistemimizin sağlam, dirençli ve temel değerlerimizle tutarlı olmasını sağlayarak bu kalıcı tehditleri ele alma yaklaşımını dönüştürmeye kararlıdır.
Yönetim bu hedefler doğrultusunda halihazırda önemli adımlar atmış olsa da, yeni yaklaşım işbirliğini geliştirebileceğimiz ve arttırabileceğimiz beş sütuna odaklanmaktadır: kritik altyapıyı savunmak, tehdit aktörlerini bozmak ve ortadan kaldırmak, güvenlik ve dayanıklılığı arttırmak için piyasa güçlerini şekillendirmek, dayanıklı bir geleceğe yatırım yapmak ve ortak hedefleri takip etmek için uluslararası ortaklıklar kurmak. Bu sütunların hepsi çok önemlidir vekritik altyap ının savunulması ile başlayarak Amerikan halkına bu on altı sektörü ve sağladıkları temel hizmetleri korumaya olan bağlılığımız konusunda güven verebiliriz.
Kritik Altyapıyı Savunun
Ulusal güvenlik ve kamu güvenliğini desteklemek için siber güvenlik gereklilikleri (Hedef 1.1) oluşturmalıyız. Bu strateji, kritik sektörlerde diğer alanlardaki mevcut düzenlemelerle uyumlu daha fazla düzenleme yapılmasına neden olabilir. Tüm sektörler aynı siber güvenlik gerekliliklerini gerektirmese de, düzenlemelerin tutarlı ve öngörülebilir olmasını sağlamak uyum yükünü azaltabilir. Mevcut ve yeni düzenlemelerin amacı, geniş ölçekte daha iyi siber güvenlik uygulamalarını teşvik etmek ve gerektirmektir. Ayrıca, siber güvenlik gereklilikleri, siber güvenlik şirketlerinin çözümlerini ne kadar iyi pazarladıklarına odaklanmak yerine, siber tehditleri ortadan kaldırmak ve siber güvenliğe kapsamlı ve güvenilir bir yaklaşım sağlamak için Deep Content Disarm and Reconstruction (Deep CDR) gibi kanıtlanmış verilere dayalı olarak etkinlik gösteren temel teknolojilere öncelik vermelidir.
İşbirliği gibi ölçek de bu strateji için kritik öneme sahiptir (Hedef 1.2). Gelişmiş tehditlerin etkili bir şekilde ele alınabilmesi için kamu-özel sektör işbirliğinin artırılması gerekmektedir.Strateji belgesinde belirtildiği üzere, Rusya'nın Ukrayna'ya açtığı savaşla ilgili "Kalkanlar Yukarı" kampanyası hazırlıklı olmayı artırmış ve kötü niyetli faaliyetlerle mücadelede etkili önlemler alınmasını teşvik etmiştir. Gelecekteki çabalar bu işbirliğini yinelemeli ve küçük kuruluşların ve bireysel vatandaşların sürekli teyakkuzuna bağlı olmayan daha dirençli bir geleceğe yatırım yapmak için uluslararası müttefikleri ve sivilleri de içermelidir. Özel sektör kuruluşlarının federal kurumlarla yakın işbirliği içinde olması, kritik altyapıya yönelik saldırıların etkisini en aza indirmek ve hatta tercihen saldırıları önlemek için daha hızlı ve koordineli müdahale imkanı sağlayabilir. Bu işbirliğinin açık ve işbirliğine dayalı olmasını ve ülke içinde büyüme ve inovasyonu teşvik etmek üzere Amerikan şirketlerine öncelik verilmesini umuyorum.
Halihazırda kritik altyapının savunmasını desteklemekten sorumlu birden fazla departman ve kurum bulunmaktadır. Yeni strateji, federal siber güvenlik merkezlerini entegre etmeyi (Hedef 1.3) ve hükümet içi koordinasyonu sağlamak için işbirliğine dayalı düğümler oluşturmayı amaçlamaktadır. CISA'dakiJoint Cyber Defense Collaborative (JCDC), siber savunma planlaması ve operasyonlarını entegre ederek bu hedefe ulaşmada ilk adımdır. JCDC bunu Federal Hükümet genelinde ve uluslararası ortaklar ve özel sektörle işbirliği içinde gerçekleştirmektedir. Yapılması gereken daha çok iş olsa da, bu merkezler işbirliği için daha fazla fırsat ve merkezlerin özel sektör ortaklarıyla zamanında, ilgili ve eylemsel bilgileri paylaşmasını sağlamaktadır. Ve en etkili olabilmeleri için federal hükümetin bu merkezlerin hedeflerini, ölçütlerini ve gizli ve hassas olmayan faaliyetlerini açıklamasını umuyoruz.
Özel sektör çoğu zaman federal yardım olmadan siber olayları hafifletebilse de, yeni hedef gerektiğinde birleşik bir yanıt sağlamaktır. Bu da federal olay planlarının ve süreçlerinin güncellenmesi anlamına gelmektedir (Hedef 1.4), böylece kuruluşlar siber tehditlerin hedefi olduklarında hangi devlet kurumuyla irtibata geçeceklerini bileceklerdir. Kuruluşlar ayrıca federal hükümetten ne tür bir destek bekleyeceklerini de bilmelidir. Bu amaçla CISA, süreçleri, prosedürleri ve sistemleri güçlendirmek içinUlusal Siber Olaylara Müdahale Planını (NCIRP) güncelleme sürecine öncülük etmektedir. 2022 Kritik Altyapı için Siber Olay Raporlama Yasası (CIRCIA), kapsam dahilindeki siber olayların kritik altyapıdaki kapsam dahilindeki kuruluşlar için saatler içinde CISA'ya bildirilmesini gerektirmektedir. Bu hızlı bildirim, olayların nedeninin belirlenmesini hızlandırır ve hızlı, bilinçli kararlar alınmasına yardımcı olur. Genel olarak bu övgüye değer bir girişim olmakla birlikte, tehditleri nasıl önleyebileceğimizi öğrenebilmemiz için bildirilen siber olayların bazı kilit yönlerinin açıklanmasını umuyorum. Bu yaklaşım, tipik tespit ve müdahale döngüsünden önlemeye odaklanan daha proaktif bir zihniyete geçmemizi sağlayacaktır.
Son olarak, strateji federal savunmayı modernize etmeyi amaçlamaktadır (Hedef 1.5). Federal hükümet görevlerini yerine getirmek için iletişim, esnek ve güvenli bilgi ve operasyonel teknoloji ve hizmetlere dayanmaktadır. Bu karmaşık dijital ortamda, federal hükümet sistemlerinin, ağlarının hem dayanıklı hem de savunulabilir olmasını sağlamak için modernize edilmesi gerektiği anlamına gelir. Bu modernizasyon çabalarının bir parçası da geleneksel ağ sınırlarının içindeki ve dışındaki tehditlere karşı sıfır güven ilkelerinin uygulanmasıdır. Bu harika bir girişim ve umarım Deep CDR, menşe ülke değerlendirmesi gibi teknolojileri de içerecek ve sıfır güven yaklaşımının sadece VPN'leri değiştirmenin ötesine geçerek daha kapsamlı ve sağlam bir siber güvenlik stratejisi oluşturmasını sağlayacaktır.
Özel Sektör ve Kamu Sektöründe Sıfır Güven
Federal hükümet, kendi sistemlerini daha savunulabilir ve dayanıklı hale getirerek kritik altyapının daha etkili bir şekilde savunulmasını sağlayabilir. Bu, IT ve OT altyapısını modernize ederken aynı zamanda sıfır güven mimarisi stratejisiyle başlar. Sıfır güven yaklaşımı, savunmayı ağ tabanlı çevrelerden kaynaklara, kullanıcılara ve varlıklara dayalı bir çevreye taşır. Yazılım tedarik zinciri de dahil olmak üzere tedarik zincirleri de sıfır güven ilkelerini benimsemeli ve fiziksel veya ağ konumuna dayalı hiçbir örtük güven varsaymamalıdır.
Bu yaklaşım, korunan veri veya sistemlere bağlantı kurulmadan önce hem kimlik doğrulama hem de yetkilendirmenin gerçekleşmesini sağlayarak saldırıları önlemeye daha fazla odaklanır. Yazılım giderek daha karmaşık ve birbirine bağlı hale geldiğinden, siber güvenlik uzak kullanıcıların yeni gerçekliğini, kendi cihazını getir (BYOD) trendlerini ve bulut tabanlı varlıklara erişimi kapsamalıdır. Yaklaşım tespitten çok önlemeye odaklansa da, bu stratejinin hedeflerinden biri de bir saldırı girişimi gerçekleştiğinde bile genel siber esnekliği ve güvenilirliği artırmaktır.
Tüm bu girişimler, ulusal siber güvenliğimizi test etmek, güvence altına almak, analiz etmek ve modernize etmek için yetkin bir siber işgücü geliştirmeye dayanmaktadır. Verileri korumak ve kritik sistemlerin güvenilirliğini sağlamak o sistemin sahiplerinin ve işletmecilerinin sorumluluğunda olsa da, teknoloji sağlayıcıları, kritik altyapı sistemleri ve federal kurumlar arasındaki işbirliği verilerimizi güvenli bir şekilde tutmamıza ve özgür ve birbirine bağlı bir toplum olarak faaliyet göstermemize yardımcı olabilir.
OPSWAT 'un kritik altyapıyı nasılkoruduğu hakkında daha fazla bilgi edinmek ister misiniz? Lütfen siber güvenlik uzmanlarımızdan biriyle iletişime geçin.
