Çarşamba, Ocak 22, 2025
Ana SayfaTeknoloji HaberleriBiden yönetimi, kötü siber güvenlikten şirketleri sorumlu tutmak istiyor

Biden yönetimi, kötü siber güvenlikten şirketleri sorumlu tutmak istiyor

1600 Pennsylvania Bulvarı ve Lafayette Meydanı'ndaki Beyaz Saray'ın Havadan Görünümü, Washington DC, ABD.

Getty Resimleri

Biden yönetimi Perşembe günü, ABD siber uzayını savunma yükünü küçük kuruluşlardan ve bireylerden uzaklaştırmak amacıyla yazılım üreticilerine ve hizmet sağlayıcılara yeni zorunlu düzenlemeler ve yükümlülükler getirilmesi için baskı yaptı.

Yönetim yetkilileri, merakla beklenen güncellenmiş bir Ulusal Siber Güvenlik Stratejisi belgesinde “Siber uzaydaki en yetenekli ve en iyi konumdaki aktörler, dijital ekosistemin daha iyi görevlileri olmalıdır” diye yazdı. “Bugün, son kullanıcılar, siber riskleri azaltmak için çok büyük bir yük taşıyor. Bireyler, küçük işletmeler, eyalet ve yerel yönetimler ve altyapı operatörleri sınırlı kaynaklara ve birbiriyle yarışan önceliklere sahiptir, ancak bu aktörlerin seçimlerinin ulusal siber güvenliğimiz üzerinde önemli bir etkisi olabilir.”

Artan düzenlemeler ve yükümlülükler

39 sayfalık belge, hastaneleri, okulları, devlet hizmetlerini, boru hattı operasyonlarını ve diğer kritik altyapı ve temel hizmetleri kesintiye uğratan son fidye yazılımı saldırılarına değiniyor. Bu tür saldırıların en göze çarpanlarından biri, 2021’de ABD’nin güneydoğusunun çoğuna benzin ve jet yakıtı sağlayan Colonial Pipeline’a yapılan bir fidye yazılımı saldırısıyla gerçekleşti. Saldırı, devasa boru hattını birkaç günlüğüne kapattı ve bazı eyaletlerde yakıt sıkıntısına yol açtı.

Bu saldırının ardından yönetim, enerji boru hatlarına yeni düzenlemeler getirdi. Perşembe günkü strateji belgesi, benzer çerçevelerin muhtemelen başka sektörlere de geleceğinin sinyalini verdi.

Belgede, “Stratejik ortamımız, siber güvenlik için her sektörün risk profiline göre uyarlanmış, tekrarı azaltmak için uyumlu hale getirilmiş, kamu-özel işbirliğini tamamlayıcı ve uygulama maliyetinin farkında olan modern ve çevik düzenleyici çerçeveler gerektiriyor.” “Yeni ve güncellenmiş siber güvenlik düzenlemeleri, bireylerin, düzenlemeye tabi kuruluşların ve bunların çalışanlarının, müşterilerinin, operasyonlarının ve verilerinin güvenlik ve emniyetine ek olarak ulusal güvenlik ve kamu güvenliği ihtiyaçlarını karşılayacak şekilde ayarlanmalıdır.”

Stratejinin bir diğer odak noktası, “kendimizi bugün acil tehditlere karşı savunmak ile aynı anda dirençli bir gelecek için stratejik planlama yapmak ve ona yatırım yapmak arasında dikkatli bir denge kurarak” uzun vadeli yatırımları desteklemektir.

Teknoloji endüstrisi için muhtemelen en tartışmalı girişimlerden biri, şirketleri yazılımlarındaki veya hizmetlerindeki güvenlik açıklarından sorumlu tutmaya zorlamak. Mevcut yasal çerçeveler altında, bu şirketler, güvenlik açıkları güvenli olmayan varsayılan yapılandırmalardan veya bilinen zayıflıklardan kaynaklansa bile, ürün veya hizmetlerinden yararlanıldığında genellikle çok az yasal sonuçla karşılaşır.

Belgede, “En gelişmiş yazılım güvenlik programlarının bile tüm güvenlik açıklarını önleyemeyeceğini kabul ederken, yazılımlarını güvence altına almak için makul önlemleri almayan kuruluşlara sorumluluğu devretmeye başlamalıyız” deniyor. “Yazılım yapan şirketler yenilik yapma özgürlüğüne sahip olmalı, ancak aynı zamanda tüketicilere, işletmelere veya kritik altyapı sağlayıcılarına borçlu oldukları özen yükümlülüğünü yerine getirmediklerinde sorumlu tutulmalıdırlar.”

beş sütun

Belge, bu hedeflerin beş “sütununu” listeler. Bunlar:

1. Kritik altyapıyı savunmak. Plan, kritik sektörlere yönelik düzenlemeleri genişletmenin yanı sıra, kritik altyapıyı ve kamu güvenliğini savunmada ve federal ağları ve federal olay müdahalelerini savunmada ve modernleştirmede kamu-özel sektör işbirliğini etkinleştirmeyi gerektiriyor.

2. Tehdit aktörlerini bozmak ve ortadan kaldırmak ulusal güvenlik ve kamu güvenliğine yönelik tehditlerini köreltmek için. Bunu başarmanın yolları arasında, tehdit aktörlerini engellemek için “ulusal gücün tüm araçlarını” kullanmak, aynısını yapmak için özel sektörü devreye sokmak ve uluslararası ortaklarla koordine edilen kapsamlı bir federal yaklaşım aracılığıyla fidye yazılımı tehdidini ele almak yer alır.

3. Güvenliği ve esnekliği artırmak için piyasa güçlerini şekillendirmek. Bu, riski azaltmak için dijital ekosistemde en iyi konumda olanlara sorumluluk vermeyi içerir. Bu sütun, özel verilerin gizliliğini ve güvenliğini teşvik etmeyi, yazılım ve hizmetler üzerindeki sorumluluğu değiştirmeyi ve federal hibe programlarının yeni, daha güvenli altyapıya yatırımları teşvik etmesini sağlamayı vurgular.

4. Dirençli bir geleceğe yatırım “stratejik yatırımlar ve koordineli, işbirlikçi eylem” yoluyla. Bu, dijital ekosistemdeki güvenlik açıklarını azaltmayı, onu ulusötesi baskıya karşı daha dirençli hale getirmeyi, siber güvenlik araştırma ve geliştirmeye öncelik vermeyi ve daha güçlü bir ulusal siber güvenlik işgücü oluşturmayı içerecektir.

5. Ortak hedeflere ulaşmak için uluslararası ortaklıklar kurun. Bu hedefe ulaşmanın yollarından bazıları, tehditlere karşı koymak için uluslararası koalisyonlar ve ortaklıklar kurmak veya bunlardan yararlanmak, ortakların siber güvenlik savunma yeteneklerini artırmak ve müttefiklerle birlikte çalışmaktır.

Bir başkan en son ulusal bir siber güvenlik planı hazırladığında 2018’de Başkan Donald Trump dönemindeydi. O zamandan bu yana geçen beş yılda, ABD bir dizi zarar verici siber saldırı yaşadı. Colonial Pipeline’ın yanı sıra, Aralık 2020’de gün ışığına çıkan Solar Winds tedarik zinciri saldırısını da içeriyorlar. Kremlin adına çalışan tehdit aktörleri, SolarWinds’in yazılım dağıtım sistemini tehlikeye atarak ağ yönetimi ürününü kullanan yaklaşık 18.000 müşteriye kötü amaçlı yazılım gönderdi. Bilgisayar korsanları daha sonra yaklaşık 10 ABD federal kurumuna ve yaklaşık 100 özel kuruluşa takip yükleri gönderdi.

Fidye yazılımı saldırıları artık beş yıl öncesine göre daha yaygın. Stratejide, yönetim yetkilileri şunları yazdı:

Fidye yazılımının önemli kritik altyapı hizmetleri üzerindeki etkisi göz önüne alındığında, Birleşik Devletler tehdide karşı koymak için ulusal gücünün tüm unsurlarını dört çaba hattı boyunca kullanacak: (1) fidye yazılımı ekosistemini bozmak ve suçlular için güvenli sığınaklar sağlayan ülkeleri izole etmek için uluslararası işbirliğinden yararlanmak ; (2) fidye yazılımı suçlarını araştırmak ve fidye yazılımı altyapısını ve aktörlerini bozmak için kolluk kuvvetlerini ve diğer yetkilileri kullanmak; (3) fidye yazılımı saldırılarına karşı koymak için kritik altyapı direncini artırmak; ve (4) fidye ödemelerini aklamak için sanal para biriminin kötüye kullanılmasının ele alınması.

Belge aynı zamanda fidye yazılımlarını bir ulusal güvenlik tehdidi olarak yeniden sınıflandırıyor, oysa daha önce bir suç tehdidi olarak görülüyordu.

Plan, Ulusal Güvenlik Konseyi, Beyaz Saray Yönetim ve Bütçe Ofisi ve Ulusal Siber Direktör Ofisi tarafından koordine edilecek. Bu organlar, planın uygulanmasını ve etkililiğini güncellemek için başkana ve ABD Kongresine yıllık raporlar sunar. Bu organlar ayrıca her yıl federal kurumlara rehberlik edecek. Beyaz Saray, planı özetleyen bu bilgi notunu sağladı.

RELATED ARTICLES

Popüler Konular