Kuzey Dakota eyaletinin CISO’su olan Michael Gregg, ilk görevlerinden birinin eyaletin siyasi altyapısına risk ve sigorta hizmetleri sağlayan kar amacı gütmeyen bir kuruluş olan Kuzey Dakota Sigorta Rezerv Fonu (NDIRF) ile görüşmek olduğunu söylüyor. O zamanlar NDIRF, uç nokta tespit ve müdahale, antivirüs ve güvenlik farkındalığı eğitimini ilk kez uygulayan herhangi bir belediyeye, kuruma veya başka kuruluşa %4’lük bir sigorta indirimi sunuyordu.
Bu siber güvenlik kontrollerini uygulamak için hibelerden fon tahsis edilmesi, belediyeler, okullar, hastaneler ve diğer devlet kurumları ve tesisleri için siber sigorta maliyetlerini azaltacaktır. Bu, devletin uygulama maliyetlerini önden yüklerken uzun vadeli maliyet tasarrufu yaratmasına olanak tanır. Gregg, hibeler kuruduktan sonra ağır finansmana dayanmayan bir güvenlik sistemi kurmanın çok önemli olduğunu söylüyor.
Devletler, yerel kuruluşlarına ve vatandaşlarına güvenlik kaynakları sağlamak için yeni yöntemler araştırıyorlar. Yardımcı olmak için 2021 tarihli ABD Altyapı Yatırım ve İş Yasası (IIJA), Eyalet ve Yerel Siber Güvenlik Hibe Programını (SLCGP) oluşturdu. Bu yıllar SLCGP finansmanında 375 milyon dolar inovasyonu teşvik ediyor ve bugün 30’dan fazla eyalette siber güvenlik görev güçleri. Eyalet CISO’larının ve görev güçlerinin karşılaştığı zorluk, fonlarını akıllıca kullanmaktır; yani, federal hibelerden daha uzun süre dayanacak uzun vadeli yükümlülüklere sahip altyapılar inşa etmemek.
Eyaletler + Diğer Eyaletler
Gregg, İç Güvenlik Bakanlığı’ndan kaliteli tehdit istihbaratı aldığını ve Çok Durumlu Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC), diğer eyaletteki CISO’larla deneyimleri hakkında doğrudan konuşarak elde ettiği filtrelenmemiş verileri takdir ediyor. Bir telefon alıp başka bir eyaletin CISO’su ile konuşmanın daha hızlı olduğunu ve daha fazla eyleme dönüştürülebilir veri sağladığını söylüyor.
Connecticut eyaletinin CISO’su Jeff Brown da aynı fikirde. Connecticut, eyalet genelinde ücretsiz MS-ISAC araçlarından ve hizmetlerinden yararlanırken, Kötü Amaçlı Etki Alanı Engelleme ve Raporlama (MDBR) araçlarıCISA ve Akamai tarafından ortaklaşa geliştirilen Brown aynı zamanda meslektaşlarıyla doğrudan konuşmayı da seviyor. Eyalet içinde üretilen tehdit istihbaratını diğer CISO’larla paylaşır ve elde eder.
Brown, “Çapraz işbirliği inanılmaz derecede iyi” diyor. Ticari ISAC’lardan farklı olarak finansal hizmetler ISACMS-ISAC üyeleri birbirleriyle rekabet halinde değildir.
“Neyin işe yarayıp neyin yaramadığını birbirimizle çok samimi bir şekilde paylaşabiliriz” diyor. “Ve onu çok fazla sterilize etmemize gerek yok.”
Brown, belediyeleri ve diğer yerel ve bölgesel hükümet organlarını belirli güvenlik tedbirleri almaya zorlama yetkisine sahip olmadığını belirtiyor. Ancak Connecticut’taki ve çoğu kırsal bölgelerdeki birçok kuruluşa destek, araç ve rehberlik sunarak, sonuçta önemli kaynakların ve operasyonların güvenliğinin sağlanmasına yardımcı olacak siber güvenlik iyileştirmelerini kolaylaştırabilir.
Brown, eyaletin CISO ofisinin çeşitli toplulukların veya yerel kuruluşların ortamlarına erişimi bulunmadığından bu grupların kendi BT işlerini yapması gerektiğini söylüyor.
“Bunu ne kadar kolaylaştırırsak, sürtüşmeleri de o kadar ortadan kaldırabilir ve hizmetlerin evet demesini kolaylaştırabiliriz [to]”Topluluklar ne kadar güvende olursa” diyor.
Devletler + Satıcılar
“Siber güvenlik bir takım sporudur” [that] Açık Sistemler Güvenlik Evangelisti Craig Harber şöyle diyor: “Kamu sektörü ve özel sektör arasındaki operasyonel stratejiler konusunda yenilikçi yaklaşımlar ve işbirliği gerekiyor.” özel sektör, kamu sektörü tarafından sağlanan tavsiyelerden, kaynaklardan ve potansiyel ve mevcut tehditlere ilişkin bildirimlerden yararlanacaktır.”
Bu ittifaka yardımcı olmak amacıyla Minnesota, yerel operasyonlara güvenlik araçları sağlamak amacıyla satıcılarla anlaşmalar yapıyor. federal hibe finansmanı Protiviti danışmanlık firmasının genel müdürü Michael Porier, daha ileri gidin diyor. Bu anlaşmaların devletlere, daha küçük devlet kurumlarının başka türlü sahip olamayacakları araçları sağlamasına olanak tanıdığını söylüyor.
Bu araçları kullanma zorunluluğu yoktur ancak belediyeler bunları ücretsiz olarak veya oldukça indirimli fiyatlarla almaktadır. Porier, devlet-tedarikçi ilişkisinin bir diğer faydasının da, araçların birlikte iyi çalıştıklarından emin olmak için incelenmesi olduğunu, böylece topluluğun çok pahalı entegrasyon gerektiren bir ürün koleksiyonuyla sonuçlanmayacağını belirtiyor.
Eyaletler + Personel
Kamu sektörü için önemli bir sorun, benzer özel sektör pozisyonlarında alacaklarından daha az para almaya istekli eğitimli personel bulmaktır.
Porier, “Eğer sadece temel engelleme ve müdahale işlemlerini iyi bir şekilde yapabilselerdi, mevcut temel tehditlerin %90’ını karşılayabilirlerdi” diyor.
Qualys’in CISO’su ve güvenlik çözümleri mimarisinden sorumlu kıdemli başkan yardımcısı Jonathan Trull, yetenek açığını kapatmak için Colorado eyalet yetkilileri ve eyaletin siber güvenlik görev gücüyle birlikte çalıştı. Devletin kullandığı taktiklerden biri, geleneksel olmayan siber yetenekleri yerel kuruluşlardan birine yerleştirmeye yardımcı olmak için işe almak ve eğitmek için programlar geliştirmekti.
Trull, “Eyalette ortaklık kurabileceğimiz eğitim kampları vardı; örneğin birisini ordudan alırdık ve dört yıl daha üniversiteye gitmek yerine temel becerileri bir eğitim kampından alabilirdik.” Trull diyor. “Daha sonra yerel yönetimdeki bağlantılarımıza ulaşacağız ve onlara ilk işini arayan harika bir ağ mühendisimiz olduğunu bildireceğiz.”
Yetkili, bazı adayların altı aylık pratik deneyim kazanmasına yardımcı olmak için eyalette staj imkanının da sunulduğunu da sözlerine ekledi.
Trull, “Eyalette mevcut bir iş olmasaydı, katılımcı ilçe veya hükümetlerden birinde bir rol aramaya çalışırdık” diyor. “Bu, yapabileceğiniz en etkili şeylerden biri.”