Savunma Bakanlığı Bulut Güvenliğine İlişkin Kuralları Sıkılaştırıyor

Tyler Çapraz
Yayınlandı: Ocak 25, 2024

Savunma Bakanlığı'ndan (DoD) gönderilen yeni bir not, bulut sağlayıcılarına yönelik güvenlik gereksinimlerini FedRAMP düzeyinde sıkılaştırdıklarını ortaya çıkardı.

Tarihsel olarak FedRAMP sertifikalı olmanın ne olduğu ve neleri kapsadığı belirsizdi. Yeni kurallardan önce DFARS hükmü, üçüncü taraf yüklenicilerin bulut hizmeti sağlayıcılarının FedRAMP gereksinimlerini karşıladığından emin olması gerektiğini belirtiyordu.

O zamanlar bu gereksinimler, hizmet sağlayıcıların veri saklama, olay raporları ve erişim gereksinimleriyle ilgili kurallara uyması gerektiği anlamına geliyordu.

Bu hala atılması gereken önemli bir adım olmasına rağmen, bulut hizmeti sağlayıcılarının karşılaması gereken temel güvenlik gereksinimleri düzeyini oluşturamadı. Ancak DFARS hükmü değiştirildikten sonra bu endişe giderildi.

Artık FedRAMP onaylı olmak için minimum düzeyde siber güvenlik savunması gerekiyor. FedRAMP, sağlayıcıların verilen kriterleri karşılayıp karşılamadığını değerlendirmek için üçüncü taraf bir şirket kullanır.

Notta, "FedRAMP Orta Düzey eşdeğeri olarak kabul edilebilmesi için STK'ların, FedRAMP tarafından tanınan Üçüncü Taraf Değerlendirme Kuruluşu (100PAO) tarafından yürütülen bir değerlendirme yoluyla en son FedRAMP orta düzey güvenlik kontrolü temel çizgisiyle %3'e ulaşması gerekir" deniyor.

Bu da, tabiri caizse, topu bulut hizmet sağlayıcılarının eline bırakıyor. Savunma Bakanlığı ile çalışmaya devam etmek istiyorlarsa siber güvenliklerini en üst düzeye çıkarmaları gerekecek. Siber güvenlik uygulamalarında kısayollara başvuran şirketler Savunma Bakanlığı'nın işini kaybedecek.

Savunma Bakanlığı'nın güvenlik kurallarını sıkılaştırmasına neyin sebep olduğu tam olarak bilinmiyor, ancak birkaç tahmin var. Bulut hizmet sağlayıcılarındaki veri ihlalleri ve saldırılar, özellikle yapay zekanın her zamankinden daha kolay hale gelmesiyle birlikte, yıllar içinde keskin bir şekilde arttı. Bir bilgisayar korsanı servis sağlayıcıdan veri elde edebiliyorsa, birlikte çalıştığı her yüklenicinin verilerini elde edebilir.

Buna yanıt olarak ABD devlet kurumları, şirketlerin minimum güvenlik gereksinimleri yönergelerine uymasını sağlamak için birlikte çalışıyor.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.safetydetectives.com/news/department-of-defense-tightens-rules-on-cloud-security/