30 Eylül’de son anda Kongre iki partili bir tasarıyı kabul etti Şimdilik hükümetin kapanmasını önleyerek federal hükümete 45 gün daha fon sağlamak. Finansmanla ilgili belirsizlik göz önüne alındığında, Yönetim ve Bütçe Ofisi kurum liderlerine şu talimatları verdi: olası bir kapanmaya hazırlıklı olunve bu planların uzun vadeli harcama faturaları onaylanana kadar yürürlükte kalması gerekiyor. Hükümet Kasım ayı ortasında kapanırsa yüz binlerce federal çalışan ücretsiz izne ayrılacak. Çok daha fazlası olacak ücretli ya da ücretsiz çalışmaya devam etmek. Bu kadar çok değişken söz konusuyken, Kasım ayındaki bir kapanma ülkenin siber güvenliği açısından ne anlama gelebilir?
İçeriden Tehdit Potansiyeli ve Hoşnutsuz Çalışanlar
Potansiyel kapanma, devlet çalışanlarına ya gerekli olmadıkları ya da işlerinin gerekli olduğu ancak onlara ödeme yapılmadığı yönünde güçlü bir mesaj gönderiyor. Çalışanlar, evde kendi faturalarını ödeyecek paraya sahip olmadıklarını ve aynı zamanda işlerinin değerinin düştüğünü hissettiklerinden, bu durum içeriden gelen tehditlere neden olabilir. Bazı üzgün insanların, bir siber suçluyla veya onun için çalışmayı gerektirse bile, ödeme almanın başka bir yolunu bulmaya çalıştıklarını hayal etmek zor değil.
Ulus-Devlet Fırsatları
Kapanma, ulus devlet aktörlerini, daha fazla kesinti olasılığını artırmak için belirsizlikten yararlanarak bir saldırı düzenlemeye motive edebilir. Bildirildiğine göre, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) zaten hazırlanıyordu. İşgücünün yüzde 80’inden fazlasını ücretsiz izne ayırdı.
CISA’nın misyonunun önemli bir kısmının tehditleri proaktif bir şekilde izlemeyi ve kamu ve özel sektör paydaşlarını ortaya çıkan tehlikeler konusunda eğitmeyi içerdiği göz önüne alındığında, paydaşlar arasında etkili bir şekilde iletişim kurma ve farkındalık yaratma becerisi kısıtlanabilir. Geriye şu soru kalıyor: Siber teşkilatımızı bu kadar düşük bir seviyede çalıştırmayı göze alabilir miyiz ve kötü niyetli aktörler bunun etkisinden yararlanabilir mi? Eğer ulus devlet aktörleri bu olasılığa henüz hazırlıklı değilse, 45 günlük uzatma bu tür planların hayata geçirilmesi için daha fazla fırsat sağlayacak.
Mevzuat Gereksinimlerini Karşılamak
Etkilenecek olan yalnızca kamu sektörü ve kritik altyapı da olmayacak. Kötü niyetli aktörler bu fırsatı değerlendirirse, halka açık şirketler maddi olayların ifşa edilmesini nasıl sağlayacak? Menkul Kıymetler ve Borsa Komisyonu (SEC) yakın zamanda yeni kuralları kabul etti (PDF) “siber güvenlik risk yönetimi, stratejisi, yönetişimi ve 1934 Menkul Kıymetler Borsası Kanununun raporlama gerekliliklerine tabi olan halka açık şirketler tarafından gerçekleştirilen olaylara ilişkin açıklamaları geliştirmek ve standartlaştırmak.” Ancak ciddi bir siber güvenlik olayı meydana gelirse, halka açık şirketler bunu kendilerine ayrılan dört günlük süre içinde nasıl rapor edecek? Kim olacak bu varlıklara yardım edin CISA’nın çoğunun izinli olması durumunda, olay müdahalesine yardımcı olan diğer devlet kurumlarıyla birlikte bu olaylara müdahale etmek, analiz etmek ve araştırmak? Kamu ya da özel her kuruluş, olaylara müdahale şirketlerine başvurmak ve ihtiyaç duydukları desteği alabileceklerini ummak zorunda mı kalacak?
Personel Sayısı Az Olan Kurumlar Hazır mı?
Hükümetin kapanması ihtimaline rağmen, diğer çeşitli hükümet politikaları ve kararları ilerlemeye devam ediyor. Örneğin, COVID-19 salgını nedeniyle üç yıldır ara verilen öğrenci kredisi geri ödemelerinin Ekim ayında yeniden başlamasını ele alalım. Sistemin yeni faaliyetlerde bir artış öngörmeye devam etmesi ve aynı zamanda potansiyel siber saldırılara karşı savunmasını güçlendirmesi zorunludur. 2019’daki son hükümet kapatması sırasında, .gov web siteleri de süresi dolmuş TLS sertifikaları nedeniyle erişilemez hale geldi; bu durum, kişisel bilgileri ortadaki adam saldırıları riskine ve kullanıcıları dolandırıcılığa ve kimlik hırsızlığına açık hale getirebilir.
Kesintiye Hazır Olun
Kongre Araştırma Servisi’ne göre 1981’den bu yana 14 kapatma yaşandı ve çoğu yalnızca bir veya iki gün sürdü, bu nedenle ne bekleneceğini bilmek zor. Birçok kamu kurumu güncelleme yapmadı 2023’te acil durum planları (114 kişiden yalnızca 39’unun planları güncellendi). Hükümet kamu ve özel sektörü iyileştirmeye teşvik etmeye devam ederken siber güvenliğe hazırlıksöylemesi yapmaktan daha kolaydır.
Devlet kurumları olası bir kapanmaya karşı hazırlıklarını sürdürürken, özel sektörün de olası sonuçlara karşı hazırlıklı olması gerekiyor. Önemli bir saldırının hükümetin kapatılması sırasında (Kasım ayında veya gelecekte) meydana gelmesine bakılmaksızın, bu kesinlikle dikkate alınması gereken bir risktir. Uzun vadeli hükümet finansmanının mevcut olup olmadığına bakılmaksızın, tüm kuruluşlara karmaşık ağlarını korumak için şimdi ellerinden gelenin en iyisini yapmaları en iyi hizmeti verecektir.