Saldırganlar her gün ABD’deki küçük işletmeleri, seçim ofislerini, yerel devlet kurumlarını, hastaneleri ve K-12 okul sistemlerini hedef alıyor, ancak bu tür kuruluşların çoğu kendilerini savunacak ve hatta olup olmadıklarını bilecek fona veya özel kaynaklara sahip değil. saldırıya uğruyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatının (CISA), bu “siber yoksul” yerlerin hem savunmalarını güçlendirmelerine hem de saldırılara daha hızlı yanıt vermelerine yardımcı olmayı amaçladığını söyledi. Capitol olayını hackleyin Ajans, güvenliği artırmak için hükümet, büyük şirketler ve teknoloji satıcılarıyla çalışmaya devam ederken, CISA daha küçük kuruluşların da siber tehditleri savuşturmasına ne kadar yardımcı olabileceğini görmeyi amaçlıyor.
Easterly, amacın ihtiyaçlarını, güvenliğe yatırım yapabilmek için neye ihtiyaç duyduklarını ve CISA’nın yeteneklerini savunmalarına nerede yardımcı olabileceğini anlamak olduğunu söyledi.
“Bir okul bölgesine nasıl yardım edebiliriz, küçük bir hastaneye veya bir su tesisine yardım edebilir miyiz … ücretsiz hizmetler, değerlendirmeler, siber hijyen gibi şeyler kullanarak, [and] güvenlik açığı taraması mı?” dedi. “Tehditleri azaltmalarına yardımcı olabilir miyiz? Bu yüzden bütün bir yılı bunu yaparak geçirmeye çalışıyoruz ve yıl sonunda herhangi bir fark yaratıp yaratamayacağımızı göreceğiz.”
Daha küçük kuruluşlara odaklanma, KOBİ’lerin, yerel devlet kurumlarının ve okulların genellikle göz ardı edildiğini ve daha dayanıklı kuruluşlar yaratma çabalarına dahil edilmediğini kabul eder. Hükümetin kamu-özel sektör ortaklıkları oluşturma çabaları genellikle büyük şirketlere ve kritik sektörlere odaklandı, ancak saldırganlar – özellikle fidye yazılımı çeteleri – derin siber güvenlik kaynaklarına sahip olmayan daha küçük grupların peşine düştü. Bu gruplar çok sayıdadır – ABD’deki tüm işletmelerin %99’unun 250 veya daha az çalışanı vardır, ABD Nüfus Sayımı verilerine göre.
Easterly, “Açıkçası dönemsel ve tek yönlü olan ve ülkeyi savunmak için ihtiyaç duyduğumuz doğru türde bir mekanizma olması gerekmeyen, onlarca yıllık kamu-özel sektör ortaklıklarının paradigmasını gerçekten değiştirmeye çalıştık” dedi. Buradaki fikir, “uluslararası ortaklarla, devlet ve yerel ortaklarla özel sektör, tehditleri daha iyi anlamamıza ve ulusa yönelik riskleri azaltmamıza izin verecek bir görünürlük dokusu oluşturmak için bir araya gelmelidir.”
Daha Basit, Daha Kolay Bir Siber Güvenlik Çerçevesi Zamanı
Easterly, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından yayınlanan Siber Güvenlik Çerçevesinin bir işletme için bir siber güvenlik planı oluşturmak için altın standart olarak kabul edilmesine rağmen, belgenin anlaşılmasının ve uygulanmasının zor olduğunu söyledi. Böylece CISA, kuruluşların siber güvenlik duruşunu iyileştirmek için alabileceği daha düşük maliyet ve daha az çaba hedefi olmayı amaçlayan Siber Güvenlik Performans Hedeflerini (CPG’ler) tanıttı.
“NIST Siber Güvenlik Çerçevesini nasıl kullanacağınızı bilmiyorsunuz ve bu yüzden [if] çok daha basit bir kılavuz istiyorsanız, CPG’leri bir kontrol listesi biçiminde alabilir ve ardından bunları maliyet karmaşıklığı ve hıza göre karakterize edebilirsiniz” dedi. kuruluşlar riskleri azaltmak için kullanabilirler.”
Son beş yılda birçok küçük kuruluş fidye yazılımlarından etkilendiğinden, fidye yazılımı özel bir odak noktasıdır. CISA, kurumun özel sistemleri taramasına ve sahibine bu sistemlerdeki güvenlik açıkları hakkında bilgi sağlamasına olanak tanıyan bir güvenlik açığı uyarı pilotu oluşturmuştur.
“Bu ipuçlarını alıyoruz ve onlara ‘Hey … bu fidye yazılımınız var, ağınızda bu kötü şeyler var’ demelerini sağlıyoruz” dedi. “‘Bu konuda bir an önce bir şeyler yapmalısın.'”
Gerçek Tehditler Hala Bulutlu
Genel olarak, siber yoksullara yönelik tehdidin düzeyi nedir? Belki de, şaşırtıcı bir şekilde, hükümetin yanıtı yok. Easterly, İnternetin balkanlaştırılmış yapısının – özel, eğitim ve devlet ağlarının bir karışımı – görünürlüğün sınırlı olduğu ve hiç kimsenin tam bir resme sahip olmadığı anlamına geldiğini söyledi.
“Asıl soru, risk azaltmayı gerçekten nasıl ölçtüğünüzdür, bu zor çünkü … evrende kaç tane olay olduğunu anlamıyoruz” dedi. “Hepsi anekdot – orada hangi rakamlar olursa olsun, hangi araştırmalar varsa, hangi satıcı olursa olsun – hepsi gerçekten sadece bir tahmin.”
Yapay zekanın verileri tüketmenin ve filtrelemenin bir yolu olarak kullanıldığı bir dünyaya hızla girerken, yapay zeka halüsinasyonları (büyük dil modelleri (LLM’ler) gibi makine öğrenimi sistemleri tarafından yapılan ifadeler) nedeniyle bilgi düzeyi daha da kötüleşebilir. Yetkili gibi görünen ancak yanlış olan ChatGPT.
Easterly, İnternet tasarımının bugün sahip olduğumuz tehditlerin çoğunu asla hesaba katmadığına ve yapay zekaya yaklaşımımızın daha iyi olması gerektiğine dikkat çekti.
“Yani virüslerle dolu bir internetiniz vardı, sosyal medyanız dezenformasyonla doluydu ve şimdi bir tür piyade teğmenine benzeyen yapay zekamız var – sıklıkla yanlış, asla şüpheye yer bırakmıyor” dedi. “Bu yüzden, diğer teknolojilerde yaptığımız hataların bazılarını yapay zekada yaparken çok ama çok dikkatli olmamız gerektiğini düşünüyorum.”