ABD Başkanı Joe Biden bu hafta bir muhtıra imzaladı Ulusal Güvenlik, Savunma Bakanlığı ve İstihbarat Topluluk Sistemlerinin siber güvenliğini artırma konusunda.
Yeni ulusal güvenlik muhtırasının amacı, siber savunmayı iyileştirmek için Mayıs 2021'de Biden tarafından imzalanan yürütme emrinde belirtilen siber güvenlik gereksinimlerini uygulamaktır.
Mutabakat özel olarak, yürütme emrinde açıklanan Ulusal Güvenlik Sistemleri (NSS) siber güvenlik gereksinimlerinin uygulanması için rehberlik ve zaman çizelgeleri oluşturur.
Memorandum, kurumların herhangi bir NSS siber olayını NSA'ya bildirmelerini gerektiriyor ve NSA'ya (Ulusal Yönetici rolüne sahip olan), kurumların bilinen siber tehditleri ve güvenlik açıklarını ele almak için önlemler almasını gerektiren bağlayıcı operasyonel direktifler (BOD'ler) oluşturma yetkisi veriyor.
Endüstri uzmanları, muhtıra ve etkileri hakkında yorum yaptı.
Ve geri bildirim başlar…
Kudelski Security CEO'su Andrew Howard
“Bu temel standartlar, hükümetin NIST 800-37 Risk Yönetimi Çerçevesi kapsamında uzun süredir mevcuttur, ancak bilgisayar sisteminde önemli gizlilik, bütünlük veya kullanılabilirlik endişeleri olmadığı sürece her zaman uygulanmamıştır. Devlet sistemleri arasında çok faktörlü kimlik doğrulama ve sabit disk şifrelemenin her yerde daha yaygın olarak kullanılması ihtiyatlı bir adımdır. Hükümetin sistemlerin ayak izi çok büyük ve güçlü bir temel iyi bir fikir.”
Rick Holland, CISO, Strateji Başkan Yardımcısı, Digital Shadows:
“Hükümet ağlarını tahrip eden SolarWinds saldırısı Aralık 2020'de meydana geldi. Biden yönetimi, Mayıs 14028'de 2021 (Ulusun Siber Güvenliğini İyileştirme) Kararnamesi'ni yayınladı, ancak şu anda Ulusal Güvenlik Sistemleri için rehberlik görüyoruz. Tehdit ortamı ve savunulabilir ve dayanıklı hükümet ağları kurmanın aciliyeti göz önüne alındığında, direktifin ortaya çıkmasının bu kadar uzun sürmesine şaşırdım.
Okuyucular, bir programın Ulusal Güvenlik Sistemi (NSS) olarak adlandırılmasının, sınıflandırılmamış veya özel sektör sistemlerinden çok daha güvenli olacağını varsaymamalıdır. "Askeri sınıf" her zaman daha iyi veya daha güvenli ile eş anlamlı değildir. Gizli sistemleri korumak, hepimizin karşılaştığı zorlukların çoğuna sahiptir. Memorandum, iyileştirme için evrensel ve kalıcı fırsatlar olan varlık keşfi, günlük kaydı, Sıfır Güven, olay müdahalesini vurgular.
İstisna yönetimi süreci bu memorandumu yapacak veya bozacaktır. Çok faktörlü kimlik doğrulama ve şifreleme etrafında yüce hedefler vardır. Bir ajans zaman çizelgelerini karşılayamazsa istisna talep edebilir. Bu istisnaların nasıl değerlendirildiği ve doğrulandığı çok önemlidir; Ulusal Müdür istisnalara meydan okumaz ve kurumları sorumlu tutmazsa, bu muhtıranın çoğu kağıttan bir kaplan olacak.”
John Bambinek, Baş Tehdit Avcısı, Netenrich:
“Bu, tek bir otorite oluşturmak ve bu tür sistemlerin kontrolünü sağlamak için basit bir direktif gibi görünüyor, böylece bir kişi onu korumaktan sorumlu ve sorumlu olabilir. Bu sistemler var olan en hassas bilgileri içerir ve arızalar olduğunda “boğulacak bir boğazın” olması önemlidir.”
ThycoticCentrify, baş güvenlik bilimcisi ve Danışma CISO'su Joseph Carson:
“Gerçek şu ki, siber saldırılar şu anda gerçekleşiyor ve büyük bir felaketin bir an önce gerçekleşmesi riskini azaltmak için hızlı hareket etmeliyiz. Biden yönetiminin son girişimleri harika, ancak şimdi yapabileceklerimize ve gelecekte yapmamız gerekenlere öncelik vermeliyiz. Siber güvenlikte vasıflı işçilere olan ihtiyacı hızlandırmaya çalışmalı ve beceri kıtlığı daha da büyüdüğü için onları sektöre hızlı bir şekilde dahil etmeliyiz. Siber güvenlik artık sadece bir endüstri sorunu değil. Bu, tüm toplumu etkileyebilecek bir şeydir ve bu, herkesin siber saldırılardan kaynaklanan riskleri azaltmak için siber güvenlik eğitimi alması gerektiği anlamına gelir. Siber güvenlik artık sadece bir kariyer yolu değil. Günümüzün dijital toplumunda önemli bir beceridir.”
Jim Richberg, CISO Kamu Sektörü, Fortinet:
“Ulusal Güvenlik Sistemleri (NSS) sıklıkla siber güvenlikle ilgili Başkanlık direktiflerinin dışında bırakılıyor; farklı bir odakları vardır ve farklı bir dizi yasal otorite tarafından yönetilirler. Çoğu zaman, varsayım, bunlar ulusal güvenlik verileriyle ilgili oldukları için, doğal olarak daha güvenli oldukları ve daha yüksek veya en azından eşit düzeyde koruma kapsamında oldukları yönündedir. Bugünün Ulusal Güvenlik Notu (NSS), EO 14028'in NSS dışı devlet ağları için öngördüğü aynı temel siber hijyen unsurlarının ulusal güvenlik ağlarında da mevcut olduğunu ve yeteneklerin birlikte çalışabilirliğini sağladığını açıkça ortaya koyuyor. Federal kurumların karşı karşıya olduğu siber önceliklerin sayısı göz önüne alındığında, bu yararlıdır.
Tespit edemediğiniz, geldiğini görmediğiniz veya sahip olduğunuzu bilmediğiniz varlıkları etkileyen bir tehdide karşı kendinizi korumanın ne kadar zor olduğunu abartamazsınız. Bu direktif, NSS sistemlerinin Ulusal Müdürü olarak, NSA'nın bu önemli sistemleri ve destekledikleri misyonları birleştirme yeteneklerini güçlendirir. Ajansların envanter oluşturup NSA ile paylaşmasını ve siber olayları rapor etmesini gerektirir. Ayrıca, NSA'nın, NSS'li ajansların belirli eylemleri yapmasını gerektiren Bağlayıcı Operasyonel Direktifler (BOD'ler) yayınlamasına izin verir. Bu, DHS'nin NSS dışı sivil ağlara ilişkin yetkisiyle paralellik gösterir ve olası bir tehdit veya güvenlik açığına karşı Tüm Hükümetin harekete geçmesini sağlar.
Alt satır: NSS'ye ışık tutarak, bu kritik sistemlere yönelik koruma ve odaklanma düzeylerinin NSS olmayan Federal ağlara eşit veya bu ağlardan daha fazla olması gerektiğini açıklığa kavuşturuyor. Ayrıca, Federal ağların tüm yelpazesine yönelik tehditleri belirleme ve bunlara karşı koruma sağlamada birlikte çalışabilirliği ve işbirliğini teşvik eder.”
Stairwell'in Kurucusu ve CEO'su Mike Wiacek:
“Kılavuz, NSA'nın ABD hükümet ağları genelinde sınıflandırılmış sistemleri yönetme rolüne yardımcı olacak, kurumlar arasında sıfır güven ilkelerinin benimsenmesini daha da ilerletecek ve acil durumlarda ajansların kapsamlı planlara sahip olmasını sağlamaya yardımcı olacak gibi görünüyor.
Sıfır güven, bir ağın güvenliğini sağlamak için kritik ilkeler sağlarken, önemli bir uyarı, Log4j gibi güvenlik açıklarından yararlanmayı her zaman engellemeyeceğidir. Saldırganın yanlamasına hareket etme ve diğer sistemlere dönme yeteneğini önemli ölçüde azaltacak ve savunmacılara yanıt vermeleri için daha fazla zaman tanıyacaktır.”
Senatör Mark R. Warner, Senato Seçilmiş İstihbarat Komitesi Başkanı:
“Ülkemizin siber güvenliğini geliştirmek için bu emri imzaladığı için Başkan Biden'ı alkışlıyorum. Diğer önceliklerin yanı sıra, bu Ulusal Güvenlik Memorandumu (NSM), federal kurumların siber suçlular ve devlet destekli bilgisayar korsanları tarafından sistemlerini ihlal etme çabalarını bildirmelerini gerektiriyor. Şimdi Kongre'nin, kritik altyapı sahiplerinin ve operatörlerin bu tür siber izinsiz girişleri 72 saat içinde bildirmelerini gerektiren iki taraflı yasamızı geçirerek harekete geçme zamanı."
Eduard Kovacs (@EduardKovacs) SecurityWeek'e katkıda bulunan bir editördür. Softpedia'nın güvenlik haber muhabiri olarak gazetecilik kariyerine başlamadan önce iki yıl lise BT öğretmeni olarak çalıştı. Eduard, endüstriyel bilişim alanında lisans ve elektrik mühendisliğinde uygulanan bilgisayar teknikleri alanında yüksek lisans derecesine sahiptir.
Etiketler: Kaynak: https://www.securityweek.com/industry-reactions-biden-cybersecurity-memo-feedback-friday
