Biden-Harris yönetimi bugün, diğer şeylerin yanı sıra, yazılım ürünleri ve hizmetleri için anlamlı sorumluluk oluşturmayı amaçlayan ve kritik altyapı sektöründe zorunlu minimum siber güvenlik gereksinimleri belirleyen kapsamlı yeni bir Ulusal Siber Güvenlik Stratejisini duyurdu.
Tam olarak uygulandığında, strateji aynı zamanda hem federal hem de özel sektör kuruluşlarının tehdit aktörü operasyonlarını bozma ve tasfiye etme yeteneğini güçlendirecek ve bireylere ilişkin verileri işleyen tüm kuruluşların bu verileri nasıl koruduklarına daha fazla dikkat etmelerini gerektirecektir.
Stratejinin temel hedeflerinden biri, federal düzenleyicilerin vergi yapıları ve diğer mekanizmalar aracılığıyla tüm paydaşları daha iyi güvenlik uygulamaları benimsemeye teşvik etme fırsatları aramasıdır.
Siber Güvenlik Sorumluluğunun Yeniden Dengelenmesi
“[The strategy] Başkan Biden, siber güvenlik sorumluluğunun çok büyük bir kısmının bireysel kullanıcılara ve küçük kullanıcılara düştüğü sistemik zorluğu üstleniyor” diye yazdı. yeni planına giriş. “Sanayi, sivil toplum ve Devlet, yerel, Kabile ve bölgesel hükümetlerle ortaklaşa çalışarak, siber güvenliğin sorumluluğunu daha etkili ve adil olacak şekilde yeniden dengeleyeceğiz.”
Biden’ın stratejisi, beş belirli alan etrafında işbirliği ve ivme kazanmayı hedefliyor: kritik altyapı koruması, tehdit aktörü operasyonlarının ve altyapısının kesintiye uğraması, yazılım satıcıları ve bireysel verileri işleyen kuruluşlar arasında daha iyi güvenliğin teşvik edilmesi, daha dayanıklı teknolojilere yatırımlar ve siber güvenlik konusunda uluslararası işbirliği.
Bunlardan kritik altyapı güvenliği ve sorumluluğun yazılım satıcılarına ve veri işleyicilere kaydırılmasına ilişkin önerilen girişimler en önemli etkiye sahip olabilir.
Biden’ın stratejisinin kritik altyapı bileşeni, kritik altyapının tüm operatörleri için minimum siber güvenlik gereksinimlerinin genişletilmesine yönelik bir öneri içeriyor. Düzenlemeler, Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) Kritik Altyapı Siber Güvenliğini Geliştirme Çerçevesi ve Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Siber Güvenlik Performans Hedefleri gibi mevcut siber güvenlik standartlarına ve kılavuzlarına dayanacaktır.
Tasarım Yoluyla Güvenliğe Odaklanma
Gereksinimler performansa dayalı olacak, değişen gereksinimlere uyarlanabilecek ve tasarım gereği güvenlik ilkelerinin benimsenmesine odaklanılacaktır.
Strateji belgesinde, “Kritik altyapı güvenliğine yönelik gönüllü yaklaşımlar anlamlı iyileştirmeler sağlarken, zorunlu gereksinimlerin eksikliği yetersiz ve tutarsız sonuçlara yol açtı.” Yönetmelik aynı zamanda operatörlerin diğerleriyle güvenliğe gereğinden az harcama yapmak için rekabet halinde olduğu sektörlerde oyun alanını eşitleyebilir, çünkü daha iyi güvenlik uygulamak için gerçekten bir teşvik yoktur. Strateji, yeni gereksinimleri karşılamak için mali ve teknik kaynaklara sahip olmayan kritik altyapı operatörlerine, bu kaynakları güvence altına almak için potansiyel olarak yeni yollar sağlar.
Claroty’nin eski CISA baş stratejisti ve şu anki siber güvenlik başkan yardımcısı Joshua Corman, Biden yönetiminin kritik altyapı güvenliğini bir öncelik haline getirme seçiminin önemli olduğunu söylüyor.
Corman, “Ulus, su, gıda, yakıt ve hasta bakımına erişim dahil olmak üzere çok sayıda yaşamsal işlevi önemli ölçüde etkileyen kritik altyapıda başarılı siber aksamalar gördü,” diyor Corman. “Bunlar, giderek daha fazla kesintiye uğrayan hayati sistemler ve bu kritik altyapının sahiplerinin ve operatörlerinin çoğu, benim ‘hedef zengini, siber fakir’ dediğim kişiler.”
Bunlar genellikle tehdit aktörleri için en çekici hedefler arasında yer alıyor, ancak kendilerini korumak için en az kaynağa sahipler.
Telos’ta hükümet işleri müdürü Robert DuPree, kongre desteğini Biden’ın kritik altyapı siber güvenliğini destekleme planlarının anahtarı olarak görüyor.
Bir açıklamada, “Ek kritik altyapı sektörlerine zorunlu siber güvenlik gereksinimleri dayatma baskısı, bazı durumlarda mevcut siyasi ortamda en iyi ihtimalle uzun bir ihtimal olan kongre onayına ihtiyaç duyacaktır” dedi. “Cumhuriyet Meclisi çoğunluğu felsefi olarak yeni hükümet yetkilerine karşı çıkıyor ve Biden Yönetimine böyle bir yetki vermesi pek olası değil.”
Satıcıları Yazılım Güvenliğinden Sorumlu Tutma
Biden’ın yeni ulusal siber güvenlik stratejisi, muhtemelen tartışmalı bir hareketle, yazılım satıcılarını teknolojilerinin güvenliğinden daha doğrudan sorumlu tutmaya da vurgu yapıyor. Plan, özellikle güvenli olmayan yazılım ve hizmetlere ilişkin sorumluluğu satıcılara kaydırır ve güvenli olmayan yazılımın sonuçlarını üstlenen son kullanıcılardan uzaklaştırır.
Çabaların bir parçası olarak, Biden yönetimi, pazar gücüne sahip yazılım üreticilerinin ve yayıncıların sözleşme yoluyla sorumluluğu basitçe reddetmesini önleyecek yasayı denemek ve geçirmek için Kongre ile birlikte çalışacak. Strateji, yazılım geliştirme ve bakım için kanıtlanabilir şekilde güvenli uygulamalara sahip kuruluşlar için güvenli bir liman sağlar.
Strateji belgesinde, “Çok sayıda satıcı, güvenli geliştirme için en iyi uygulamaları görmezden geliyor, ürünleri güvenli olmayan varsayılan yapılandırmalarla veya bilinen güvenlik açıklarıyla ve güvenli olmayan üçüncü taraf bileşenleriyle gönderiyor” dedi.
Sorumluluğun yazılım satıcılarına kaydırılmasına ek olarak, yeni strateji aynı zamanda bireysel verileri, özellikle coğrafi konum ve sağlık verilerini işleyen tüm kuruluşlar için minimum güvenlik gereksinimleri gerektiriyor.
Sonatype’ın CTO’su ve kurucu ortağı Brian Fox, Kongre’de sorumluluğu yazılım satıcılarına kaydırma çabalarına verilen desteğin on yıldan uzun bir süredir uyumsuzluklarla ortaya çıktığını ve başladığını söylüyor. “2013 yılında, HR5793 — Siber Tedarik Zinciri Yönetimi ve Şeffaflık Yasası Royce Bill olarak bilinen yazılım malzeme listelerinin (SBOM) tanıtılmasıyla ilgili sohbeti başlattı” diyor.
Nihayetinde bu teklif ilerlemedi, ancak federal hükümetin tüm yazılım tedarikçilerinin talep üzerine SBOM’lar üretme gerekliliği, bir Mayıs 2021 icra emri Başkan Biden’dan, diyor. “Son zamanlarda gördük 2022 Açık Kaynak Yazılım Yasasını Koruma komiteler aracılığıyla yoluna devam ediyor. Açıkça görülüyor ki, Kongre sektörü ileriye taşımanın bir yolunu arıyor ve strateji, dikkate alınması gereken belirli yeni unsurları ortaya koyuyor.”
Havuç ve çubuk
Daha iyi güvenlik davranışına rehberlik etme çabasının bir parçası olarak, federal hükümet muazzam satın alma gücünü, yazılım ve hizmet tedarikçilerinin sözleşmeye bağlı olarak minimum güvenlik gereksinimlerine uymasını sağlamak için kullanacaktır. Kuruluşların siber güvenliğe daha fazla yatırım yapmasını sağlamak için hibeleri ve oran belirleme süreçleri ve vergi yapıları gibi diğer mekanizmaları kullanacak.
Allegro Solutions’ın siber güvenlik uyum uzmanı Karen Walsh, planın amaçlandığı gibi işlemesi durumunda kurumsal zihniyetin “güvenlik ceza anlamına gelir” anlayışından “güvenlik, ödül kazanmak anlamına gelir” zihniyetine geçebileceğini söylüyor.
Walsh, “Birçok yönden bu, hükümetin temiz enerji girişimleri için halihazırda teşvikler sunmasına benzer” diyor.
Geri Mücadele
Yeni stratejinin ana odak noktalarından biri, tehdit aktörü operasyonlarını ve altyapısını bozmak için federal ve özel sektör yeteneklerini güçlendirmektir. Planlar, tüm devleti kesintiye uğratma yeteneğinin geliştirilmesini, suç altyapısının ve kaynaklarının daha koordineli bir şekilde ortadan kaldırılmasını ve tehdit aktörlerinin siber tehdit operasyonları için ABD altyapısını kullanmasını zorlaştırmayı içeriyor.
Forrester’da kıdemli bir analist olan Allie Mellen, “Tehdit aktörlerini ortadan kaldırmanın geniş bir ölçekte gerçekleşmesi pek olası değil” diyor. “Bu, ‘hack back’ fikrine benziyor – varsayımsal olarak harika, ancak uygulaması zor.”
Mellen, kritik altyapı sağlayıcıları için önerilen düzenlemelerin genişletilmesini yeni stratejinin açık ara en önemli bileşeni olarak görüyor.
“Yalnızca bir dizi minimum siber güvenlik gereksinimi oluşturmakla kalmıyor, aynı zamanda hizmet olarak altyapı (IaaS) şirketleri gibi teknoloji sağlayıcılarını bu gereksinimlere bağlayarak erişimini genişletiyor” diyor.
Claroty’den Corman, yeni stratejideki bazı önerilerin muhtemelen bazı sert konuşmaları tetikleyeceğini söylüyor. Ama onlara sahip olmanın tam zamanı, diye belirtiyor.
Corman, “Yazılım sorumluluğu gibi daha tartışmalı konuların başarılması kuşkusuz daha zor olacak” diyor. Ancak çaba çok önemli, diyor.
“Kritik altyapı siber dayanıklılığı için mevcut durum ile istenen durum arasında önemli bir boşluk var – bu boşluğu kapatmak için cesur düşünceye ve cesur eyleme ihtiyacımız var.”