Ulaştırma Güvenliği İdaresi (TSA), bu hafta havalimanı ve uçak operatörleri için yeni bir siber güvenlik gereksinimleri seti duyurdu. Girişim “acil durum eylemi” teşkil eder, TSA bir basın açıklamasında açıkladıacil “havacılık sektörü de dahil olmak üzere ABD’nin kritik altyapısına yönelik sürekli siber güvenlik tehditleri nedeniyle.”
Bu duyuru Beyaz Saray’ın hemen ardından geldi. Ulusal Siber Güvenlik Stratejisi2 Mart’ta yayınlandı. Tüm bunlar, kritik sektörlerde siber dayanıklılığı artırmaya yönelik daha geniş bir hükümet çabasının parçası.
Örneğin, Temmuz ayında TSA, demiryolu endüstrisi için neredeyse kelimesi kelimesine benzer gereklilikler yayınladı. TSA’nın basın sekreteri Robert Carter Langston’ın Dark Reading’e söylediği gibi: “Havacılık güvenlik programlarına yapılan bu değişiklik, şu anda diğer ulaşım sistemi kritik altyapıları için geçerli olan benzer siber güvenlik performansına dayalı gereksinimleri genişletiyor.”
Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, “TSA’nın bu gereklilikleri düzenlemesi iyi, ancak bunun havayolu yolcularını nasıl etkileyeceği henüz belli değil” diyor.
Havaalanları ve Havayolları için Yeni Siber Yönergeler
Bu, TSA’nın havaalanı ve havayolu operatörleri için ilk siber yol kuralları seti değil. Önceki yıllarda TSA, operatörlerin önemli siber ihlalleri Siber Güvenlik ve Altyapı Güvenliği Ajansına (CISA) bildirmesi, siber güvenlik irtibat noktaları kurması, olay müdahale planları geliştirmesi ve güvenlik açığı değerlendirmelerini tamamlaması için gereksinimler belirledi.
Ajans, yeni kurallar dizisinin, TSA tarafından düzenlenen kuruluşların “siber güvenlik dayanıklılıklarını artırmak ve altyapılarının bozulmasını ve bozulmasını önlemek için aldıkları önlemleri açıklayan onaylı bir uygulama planı” geliştirmesi ve değerlendirmesi gerektiğini belirtiyor. TSA dört ana önlem tanımladı:
- Bir bilgi teknolojisi sisteminin güvenliğinin aşılması veya bunun tersi durumda operasyonel teknoloji sistemlerinin güvenli bir şekilde çalışmaya devam etmesini sağlamak için ağ bölümleme politikaları ve kontrolleri geliştirin;
- Kritik siber sistemlere yetkisiz erişimi güvence altına almak ve engellemek için erişim kontrol önlemleri oluşturun;
- Kritik siber sistem operasyonlarını etkileyen siber güvenlik tehditlerine ve anormalliklerine karşı savunma yapmak, tespit etmek ve bunlara yanıt vermek için sürekli izleme ve tespit politikaları ve prosedürleri uygulayın; Ve
- Risk tabanlı bir metodoloji kullanarak kritik siber sistemlerde işletim sistemleri, uygulamalar, sürücüler ve sabit yazılımlar için güvenlik yamaları ve güncellemeleri uygulayarak yamasız sistemlerin kötüye kullanılması riskini azaltın.
Contrast Security’de siber stratejiden sorumlu kıdemli başkan yardımcısı Tom Kellermann, yönergelerin güncel olduğunu ve TSA’nın “acil durum” tanımının haklı olabileceğini belirtti.
E-postayla gönderilen bir açıklamada, “Saldırılar ve jeopolitik gerilim yıllar içinde artmaya devam ederken, TSA’nın havaalanı ve uçak operatörlerinden siber güvenlik dayanıklılıklarını geliştirmelerini istemesinin akıllıca olduğunu düşünüyorum” dedi. “Havaalanları ve uçak operatörleri de Rus ve İran siber ekiplerinin hedefine takıldı. Bu nedenle havacılık endüstrisinin tüm dijital kontrolleri koruması gerekiyor çünkü bunlar hacklenebilir ve saldırıya uğrayacak. Siber 11 Eylül’ün gerçek olduğuna gerçekten inanıyorum. Bu nedenle operatörlerin proaktif siber güvenlik önlemlerine yatırım yapması gerekiyor.”
TSA’nın Yeni Kuralları Fark Yaratacak mı?
Bu yeni yönergelerin havayolu güvenliğinde herhangi bir gerçek, önemli fark yaratıp yaratmayacağı henüz görülmedi, ancak araştırmacılar yine de bunları memnuniyetle karşıladılar.
Bir yandan, havaalanlarından ve havayollarından tam olarak neyin yeterli güvenlik olarak kabul edileceğine ve uyumluluğun nasıl uygulanacağına ilişkin ayrıntılar hala belirsiz. Langston’a göre, her kuruluşun bu önlemleri nasıl uygulayacağına ilişkin ayrıntılar “doğrudan TSA’nın paydaşlarıyla koordine edilecek.”
Havayolları ve havaalanları dikkate alsa bile, etkiler önemli olacak mı? Parkin, TSA’nın girişiminin “yeni Ulusal Siber Güvenlik Stratejisi belgesiyle uyumlu olduğunu ve onu güçlendirdiğini ve birçok açıdan mantıklı olduğunu” söylüyor, ancak ne ağ bölümlendirme ne de erişim kontrolü, izleme veya yamalama özellikle çığır açan fikirler değil.
Parkin’in işaret ettiği gibi, “Bu gereksinimlerin hiçbiri halihazırda endüstrinin en iyi uygulaması olarak kabul edilmemektedir.[s] ve havaalanı yetkililerinin ve havayolu operatörlerinin zaten yapmaması gereken şeyler.”
Ancak Kellerman, bazı gelişmiş araçların gereksinimler konusunda TSA’nın daha geniş dilinin geniş şemsiyesi altına girdiğini belirtti. Bunlar, “gelecekteki izinsiz girişlere karşı koruma sağlamak için ağların mikro segmentasyonunu, yönetilen algılama ve yanıt hizmetlerini (MDR), çalışma zamanı uygulaması kendi kendini korumasını (RASP) ve çok faktörlü kimlik doğrulamasını (MFA) içerir” dedi. “Sunucusuz uygulama güvenliği sağlayan güvenli bulut ortamlarına geçmeyi de düşünmeliler. Devam eden saldırılardan bir şey öğrendiysek, o da siber güvenliğin bir masraf değil, iş yürütmenin bir işlevi olduğu ve TSA’nın operatörleri büyüyen geçici tehditlere karşı koruyamayacağıdır. .”
