Biden'ın Siber Güvenlik Stratejisi, Yazılım Sorumluluğu, Daha Sıkı Kritik Altyapı Güvenliği Gerektiriyor

Biden-Harris yönetimi bugün, diğer şeylerin yanı sıra, yazılım ürünleri ve hizmetleri için anlamlı sorumluluk oluşturmayı amaçlayan ve kritik altyapı sektöründe zorunlu minimum siber güvenlik gereksinimlerini belirleyen, kapsamlı yeni bir Ulusal Siber Güvenlik Stratejisini duyurdu.

Strateji tam olarak uygulandığında, hem federal hem de özel sektör kuruluşlarının tehdit aktörü operasyonlarını kesintiye uğratma ve ortadan kaldırma yeteneğini de güçlendirecek ve bireylere ilişkin verileri işleyen tüm kuruluşların, bu verileri nasıl koruduklarına daha fazla dikkat etmelerini gerektirecek.

Stratejinin temel amaçlarından biri, federal düzenleyicilerin vergi yapıları ve diğer mekanizmalar yoluyla tüm paydaşları daha iyi güvenlik uygulamalarını benimsemeye teşvik etme fırsatlarını aramasıdır.

Siber Güvenlik Sorumluluğunu Yeniden Dengelemek

Başkan Biden şunları yazdı: "[Strateji], siber güvenlik sorumluluğunun büyük kısmının bireysel kullanıcılara ve küçük kullanıcılara düştüğü şeklindeki sistematik zorluğu üstleniyor." yeni planına giriş. “Sanayi, sivil toplum ve Eyalet, yerel, Kabile ve bölgesel yönetimlerle ortaklaşa çalışarak, siber güvenliğin sorumluluğunu daha etkili ve adil olacak şekilde yeniden dengeleyeceğiz.”

Biden'ın stratejisi beş spesifik alan etrafında işbirliği ve ivme oluşturmayı hedefliyor: kritik altyapı koruması, tehdit aktörlerinin operasyonlarının ve altyapısının kesintiye uğraması, bireysel verileri işleyen yazılım satıcıları ve kuruluşlar arasında daha iyi güvenliğin teşvik edilmesi, daha dayanıklı teknolojilere yatırımlar ve siber güvenlik konusunda uluslararası işbirliği.

Bunlardan kritik altyapı güvenliği ve sorumluluğun yazılım satıcılarına ve veri işleyicilerine kaydırılmasıyla ilgili önerilen girişimler en önemli etkiye sahip olabilir.

Biden'ın stratejisinin kritik altyapı bileşeni, kritik altyapının tüm operatörleri için minimum siber güvenlik gereksinimlerini genişletme önerisini içeriyor. Düzenlemeler, Ulusal Standartlar ve Teknoloji Enstitüsü'nün (NIST) Kritik Altyapı Siber Güvenliğini İyileştirme Çerçevesi ve Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) Siber Güvenlik Performans Hedefleri gibi mevcut siber güvenlik standartlarına ve kılavuzlarına dayanacaktır.

Tasarım Yoluyla Güvenliğe Odaklanma

Gereksinimler performansa dayalı olacak, değişen gereksinimlere uyarlanabilecek ve tasarım gereği güvenlik ilkelerinin benimsenmesini teşvik etmeye odaklanacak.

Strateji belgesinde, "Kritik altyapı güvenliğine yönelik gönüllü yaklaşımlar anlamlı iyileştirmeler sağlarken, zorunlu gerekliliklerin eksikliği yetersiz ve tutarsız sonuçlara yol açtı" denildi. Düzenleme aynı zamanda operatörlerin güvenliğe daha az harcama yapmak için başkalarıyla rekabet halinde olduğu sektörlerde de oyun alanını eşitleyebilir çünkü gerçekte daha iyi güvenlik uygulamak için hiçbir teşvik yoktur. Strateji, yeni gereksinimleri karşılayacak mali ve teknik kaynaklara sahip olmayabilecek kritik altyapı işletmecilerine, bu kaynakların güvence altına alınması için potansiyel olarak yeni yollar sunuyor.

Eski CISA baş stratejisti ve Claroty'deki siber güvenlikten sorumlu şu anki başkan yardımcısı Joshua Corman, Biden yönetiminin kritik altyapı güvenliğini öncelik haline getirme seçiminin önemli olduğunu söylüyor.

Corman, "Ülke, kritik altyapıda suya, gıdaya, yakıta ve hasta bakımına erişim de dahil olmak üzere çok sayıda yaşam hattı işlevini önemli ölçüde etkileyen başarılı siber kesintilere tanık oldu" diyor. "Bunlar giderek daha fazla kesintiye uğrayan hayati sistemler ve bu kritik altyapının sahipleri ve operatörlerinin çoğu benim 'zengin hedef, siber yoksul' dediğim kişiler."

Bunların genellikle tehdit aktörleri için en çekici hedefler arasında yer aldığını ancak kendilerini korumak için en az kaynağa sahip olduklarını belirtiyor.

Telos'un hükümet işleri müdürü Robert DuPree, kongre desteğinin Biden'ın kritik altyapı siber güvenliğini güçlendirme planlarının anahtarı olduğunu düşünüyor.

Bir açıklamasında, "Ek kritik altyapı sektörlerine zorunlu siber güvenlik gereklilikleri getirme çabası bazı durumlarda kongre onayına ihtiyaç duyacaktır ki bu mevcut siyasi ortamda en iyi ihtimalle uzak bir ihtimal" dedi. "Cumhuriyetçi Meclis çoğunluğu yeni hükümet talimatlarına felsefi olarak karşı çıkıyor ve Biden Yönetimine böyle bir yetki vermesi pek olası değil."

Satıcıları Yazılım Güvenliği Konusunda Sorumlu Tutmak

Muhtemelen tartışmalı bir hamle olarak Biden'ın yeni ulusal siber güvenlik stratejisi, yazılım satıcılarını teknolojilerinin güvenliğinden daha doğrudan sorumlu tutmaya da vurgu yapıyor. Plan, özellikle güvenli olmayan yazılım ve hizmetlere ilişkin sorumluluğu satıcılara devrediyor ve güvenli olmayan yazılımın sonuçlarına katlanacak son kullanıcılardan uzaklaştırıyor.

Bu çabanın bir parçası olarak Biden'ın yönetimi, pazar gücüne sahip yazılım üreticilerinin ve yayıncıların sözleşme yoluyla sorumluluğu reddetmelerini engelleyecek mevzuatı geçirmek için Kongre ile birlikte çalışacak. Strateji, yazılım geliştirme ve bakımı için kanıtlanabilir güvenli uygulamalara sahip kuruluşlar için güvenli bir liman sağlar.

Strateji belgesinde, "Çok sayıda satıcı, güvenli geliştirme için en iyi uygulamaları göz ardı ediyor, ürünleri güvenli olmayan varsayılan yapılandırmalara veya bilinen güvenlik açıklarına sahip olarak ve güvenli olmayan üçüncü taraf bileşenlerle gönderiyor" deniyor.

Yeni strateji, sorumluluğu yazılım satıcılarına devretmenin yanı sıra, coğrafi konum ve sağlık verileri başta olmak üzere bireysel verileri işleyen tüm kuruluşlar için minimum güvenlik gerekliliklerini de zorunlu kılıyor.

Sonatype'in CTO'su ve kurucu ortağı Brian Fox, sorumluluğu yazılım satıcılarına kaydırma çabalarına Kongre'de verilen desteğin on yılı aşkın bir süredir aralıklarla kendini gösterdiğini söylüyor. "2013 yılında, HR5793 — Siber Tedarik Zinciri Yönetimi ve Şeffaflık Yasası Royce Bill olarak bilinen yazılım malzeme listelerinin (SBOM) tanıtılması konusundaki konuşmayı başlattı” diyor.

Sonuçta bu teklif ilerlemedi, ancak federal hükümete bağlı tüm yazılım tedarikçilerinin talep üzerine SBOM'lar üretme zorunluluğu, bir teklife dahil edildi. Mayıs 2021 İcra Emri Başkan Biden'dan diyor. “Son zamanlarda şunu gördük: 2022 Açık Kaynak Yazılımını Koruma Yasası komiteler aracılığıyla yoluna devam ediyor. Kongrenin sektörü ileriye taşımanın bir yolunu aradığı açıkça görülüyor ve strateji, dikkate alınması gereken belirli yeni unsurları ortaya koyuyor."

Havuç ve çubuk

Daha iyi güvenlik davranışına rehberlik etme çabasının bir parçası olarak federal hükümet, yazılım ve hizmet tedarikçilerinin sözleşmeye bağlı olarak minimum güvenlik gereksinimlerine uymasını sağlamak için muazzam satın alma nüfuzunu kullanacak. Kuruluşların siber güvenliğe daha fazla yatırım yapmasını sağlamak için hibeler ve oran belirleme süreçleri ve vergi yapıları gibi diğer mekanizmaları kullanacak.

Allegro Solutions'ın siber güvenlik uyumluluk uzmanı Karen Walsh, planın amaçlandığı gibi çalışması durumunda kurumsal zihniyetin "güvenlik ceza anlamına gelir" zihniyetinden "güvenlik ödül elde etmek anlamına gelir" zihniyetine dönüşebileceğini söylüyor.

Walsh, "Birçok açıdan bu, hükümetin temiz enerji girişimleri için halihazırda sunduğu teşviklere benziyor" diyor.

Dövüş Geri

Yeni stratejinin ana odak noktalarından biri, tehdit aktörlerinin operasyonlarını ve altyapısını sekteye uğratmak için federal ve özel sektörün yeteneklerini güçlendirmektir. Planlar, tüm hükümeti kesintiye uğratma yeteneğinin geliştirilmesini, suç altyapısının ve kaynaklarının daha koordineli bir şekilde ortadan kaldırılmasını ve tehdit aktörlerinin siber tehdit operasyonları için ABD altyapısını kullanmasını zorlaştırmayı içeriyor.

Forrester'ın kıdemli analistlerinden Allie Mellen, "Tehdit aktörlerinin ortadan kaldırılmasının geniş ölçekte gerçekleşmesi pek mümkün değil" diyor. "Bu, 'hack back' fikrine benziyor; varsayımsal olarak harika, ancak uygulanması zor."

Mellen, kritik altyapı sağlayıcılarına ilişkin düzenlemelerin genişletilmesi önerisini yeni stratejinin açık ara en önemli bileşeni olarak değerlendiriyor.

"Sadece bir dizi minimum siber güvenlik gereksinimi oluşturmakla kalmıyor, aynı zamanda hizmet olarak altyapı (IaaS) şirketleri gibi teknoloji sağlayıcılarını da bu gereksinimlere bağlayarak erişimini genişletiyor" diyor.

Claroty'den Corman, yeni stratejideki bazı önerilerin muhtemelen bazı zorlu görüşmeleri tetikleyeceğini söylüyor. Ancak bunlara sahip olmanın tam zamanıdır, diye belirtiyor.

Corman, "Yazılım sorumluluğu gibi daha tartışmalı konuların başarılması kuşkusuz daha zor olacak" diye belirtiyor. Ancak çabanın çok önemli olduğunu söylüyor.

"Kritik altyapı siber dayanıklılığı için mevcut durum ile arzu edilen durum arasında önemli bir boşluk var; bu boşluğu daraltmak için cesur düşünmeye ve cesur eylemlere ihtiyacımız var."

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Kaynak: https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security