ABD Başkanı Joe Biden, ABD federal yetkilileri için geniş bir BT güvenlik önlemleri kataloğu hazırladı. Tedbirlerin kapsamı çok büyüktür, dolayısıyla neredeyse hiçbir resmi BİT sistemine dokunulmayacaktır. Perşembe günü yayınlanan Cumhurbaşkanlığı kararnamesini hazırlamak yıllar almış olsa gerek. Biden'ın görev süresinin bitimine dört gün kala bitti.
Reklamcılık
Yalnızca federal otoritelerin iç yönetimine ilişkin spesifikasyonları değil, aynı zamanda onların tedarikçileri ve hizmet sağlayıcılarına ilişkin spesifikasyonları da içermektedir, aksi takdirde bu girişimin pek bir anlamı olmayacaktır. Satın aldığınız yazılım DNS şifrelemeyi desteklemiyorsa en iyi çözümleyicinin bile hiçbir faydası yoktur. Şebeke operatörünün BGP yönlendiricisi (Sınır Ağ Geçidi Protokolü) kaynak anahtarlarını işlemezse veri aktarım güvenliği etkisiz olacaktır. Donanım kurulumdan önce tehlikeye girerse savunma zor anlar yaşar.
Ancak gereklilikler, Biden'ın halefi Donald Trump'ın vaaz ettiği düzenlemelerin azaltılması ve kamu hizmetlerinde planladığı radikal kesintilerle çelişiyor. Belki de özellikle Trump için, Biden'ın kararnamesi kimin savuşturulması gerektiğini daha başlangıçta iki kez vurguluyor: muhalifler ve suçlular, her şeyden önce Çin Halk Cumhuriyeti. Bu, “ABD yetkililerine, özel sektöre ve kritik altyapıya yönelik en aktif ve kalıcı BT tehdididir”.
Kararnamesi Barack Obama, Donald Trump ve Biden'ın önceki başkanlık kararnamelerinin devamı olan ABD Başkanı, “Ulusun BT güvenliğini bu tehditlere karşı korumak için daha fazla şey yapılması gerekiyor” diye yazıyor. Yazılım ve bulut hizmeti sağlayıcılarını daha sorumlu tutmanın, resmi iletişim ve kimlik yönetimi sistemlerinin güvenliğini güçlendirmenin ve BT güvenliği için yenilikçi gelişmeleri ve yeni teknolojiyi (okuyun: AI) kullanmanın hükümetin resmi stratejisi olduğunu açıkladı.
Tedarikçiler daha yoğun izleniyor
Bu amaçla Biden, ilgili farklı tarafların atması gereken adımların yer aldığı uzun bir liste sipariş ediyor. Ancak başkanın yetkisi federal düzeyle sınırlıdır. Özel sektör ise yalnızca federal makamlar adına çalıştığı ölçüde etkileniyor. Ulusal güvenlik sistemleri ve özellikle önemli askeri tesisler büyük ölçüde kapsam dışında tutulmakta olup, kararnamede bunlar için uygun önlemlerin alınması tavsiye edilmektedir. Açık kaynak için bazen tam anlamıyla bir sözleşme ortağı bulunmadığından, güvenlik değerlendirmeleri, güncelleme yönetimi için tavsiyelerin yanı sıra kamu sektörünün açık kaynak projelerine katkıları da bunların kullanımına yönelik olarak geliştirilmelidir.
Önerilen editoryal içerik
Onayınız doğrultusunda harici bir anket (Opinary GmbH) buraya yüklenecektir.
Anketleri her zaman yükle
Anketi şimdi yükle
Yazılım tedarikçileri, programlama sırasında zaten belirli güvenlik kurallarına uymak zorundadır, ancak iş bilinen güvenlik açıklarını kapatmaya geldiğinde bazen ihmalkar davranırlar. Bu nedenle yetkililerin tedarikçilerini daha yakından takip etmesi gerekiyor. Bu amaçla Biden, tedarikçilerden güvenlik gerekliliklerine uyduklarına dair yeni sözleşme şartları ve onaylar talep ediyor. Tüm devlet müşterilerinin listesinin yanı sıra, düzenlemelerin uygulandığını kanıtlayan verileri de yüklemelisiniz. Bu rastgele olarak kontrol edilmeli ve sonuçlar yayınlanacaktır. Bu şekilde ihmalkar yazılım sağlayıcıları eleştirilir.
Daha iyi programlama yöntemleri tek başına yeterli değildir. Yazılımın dağıtımı ve güncellemeleri ile son ürünün güvenliği de doğru olmalıdır. Bu amaçla Ulusal Standartlar ve Teknoloji Enstitüsü'nün tavsiyeleri güncellenmeli ve bağlayıcı hale getirilmelidir (NIST Özel Yayını 800-218 Güvenli Yazılım Geliştirme Çerçevesi (SSDF), 800-53 Bilgi Sistemleri ve Kuruluşları için Güvenlik ve Gizlilik Kontrolleri). Aynı durum, yazılım ve donanım tedarik zincirinin tamamı için de geçerlidir (Sistemler ve Organizasyonlar için 800-161 Siber Güvenlik Tedarik Zinciri Risk Yönetimi Uygulamaları). Satın alma planlamasından tedarikçi seçimine, sorumlulukların tanımlanmasına, güvenlik ve performansın değerlendirilmesine ve sözleşmelerin yönetimine kadar tüm yaşam döngüsü gözden geçirilmelidir.
Ev ödevi ve iç denetim
En güvenli yazılım, müşterinin güvensiz kullanması halinde pek işe yaramayacağından, yetkililerin de ödevlerini yapması gerekiyor. Buna dijital kimliklerin ve erişim haklarının daha iyi yönetilmesi de dahildir. Biden'ın özellikle WebAuthn'u ele alması, yani geçiş anahtarlarını göndermesiyle kimlik avı daha da zor hale getirilmelidir. Veri güvenliğini artırmak için bulut sistemlerine ilişkin varsayılan ayarların tanımlanması gerekir.
Daha önceki bir emirde Biden, federal kurumlara tehdit bilgilerini birbirleriyle paylaşma talimatı vermişti. Bu artık yeterli değil. Artık, değerlendirmeleri BT güvenlik yetkilisi CISA'nın izleyebileceği (veri koruması veya gizli tutulması gereken diğer bilgiler ve özel durumlarda zaman kısıtlamaları hariç olmak üzere) “uç nokta tespit ve yanıt” olarak adlandırılan sistemler kullanıma sunulacaktır. kritik süreçleri aksatmamak için).
Uzay yolculuğunda dönüm noktası
Uydular ve diğer uzay sorunları için Başkan'ın temel yapı taşlarını devreye sokması bile gerekiyor: veri aktarımının şifrelenmesi ve hareket halindeyken manipülasyona karşı korunması, kaynakların sertifikasyonu ve yetkisiz komutların reddedilmesi. Buna ek olarak, anormallikleri tespit etme ve bunlara yanıt verme yöntemlerinin geliştirilmesinin yanı sıra donanım ve yazılımın geliştirilmesi için güvenli yöntemlerin kullanılması da söz konusudur.
Hangi sistemlerin özel koruma gerektirdiğini belirlemek için öncelikle yer istasyonları için bir envanter oluşturulmalıdır. Bunlara yönelik daha iyi koruma ve izleme önerileri oluşturulmalıdır.
Reklamcılık
Yalnızca federal otoritelerin iç yönetimine ilişkin spesifikasyonları değil, aynı zamanda onların tedarikçileri ve hizmet sağlayıcılarına ilişkin spesifikasyonları da içermektedir, aksi takdirde bu girişimin pek bir anlamı olmayacaktır. Satın aldığınız yazılım DNS şifrelemeyi desteklemiyorsa en iyi çözümleyicinin bile hiçbir faydası yoktur. Şebeke operatörünün BGP yönlendiricisi (Sınır Ağ Geçidi Protokolü) kaynak anahtarlarını işlemezse veri aktarım güvenliği etkisiz olacaktır. Donanım kurulumdan önce tehlikeye girerse savunma zor anlar yaşar.
Ancak gereklilikler, Biden'ın halefi Donald Trump'ın vaaz ettiği düzenlemelerin azaltılması ve kamu hizmetlerinde planladığı radikal kesintilerle çelişiyor. Belki de özellikle Trump için, Biden'ın kararnamesi kimin savuşturulması gerektiğini daha başlangıçta iki kez vurguluyor: muhalifler ve suçlular, her şeyden önce Çin Halk Cumhuriyeti. Bu, “ABD yetkililerine, özel sektöre ve kritik altyapıya yönelik en aktif ve kalıcı BT tehdididir”.
Kararnamesi Barack Obama, Donald Trump ve Biden'ın önceki başkanlık kararnamelerinin devamı olan ABD Başkanı, “Ulusun BT güvenliğini bu tehditlere karşı korumak için daha fazla şey yapılması gerekiyor” diye yazıyor. Yazılım ve bulut hizmeti sağlayıcılarını daha sorumlu tutmanın, resmi iletişim ve kimlik yönetimi sistemlerinin güvenliğini güçlendirmenin ve BT güvenliği için yenilikçi gelişmeleri ve yeni teknolojiyi (okuyun: AI) kullanmanın hükümetin resmi stratejisi olduğunu açıkladı.
Tedarikçiler daha yoğun izleniyor
Bu amaçla Biden, ilgili farklı tarafların atması gereken adımların yer aldığı uzun bir liste sipariş ediyor. Ancak başkanın yetkisi federal düzeyle sınırlıdır. Özel sektör ise yalnızca federal makamlar adına çalıştığı ölçüde etkileniyor. Ulusal güvenlik sistemleri ve özellikle önemli askeri tesisler büyük ölçüde kapsam dışında tutulmakta olup, kararnamede bunlar için uygun önlemlerin alınması tavsiye edilmektedir. Açık kaynak için bazen tam anlamıyla bir sözleşme ortağı bulunmadığından, güvenlik değerlendirmeleri, güncelleme yönetimi için tavsiyelerin yanı sıra kamu sektörünün açık kaynak projelerine katkıları da bunların kullanımına yönelik olarak geliştirilmelidir.
Önerilen editoryal içerik
Onayınız doğrultusunda harici bir anket (Opinary GmbH) buraya yüklenecektir.
Anketleri her zaman yükle
Anketi şimdi yükle
Yazılım tedarikçileri, programlama sırasında zaten belirli güvenlik kurallarına uymak zorundadır, ancak iş bilinen güvenlik açıklarını kapatmaya geldiğinde bazen ihmalkar davranırlar. Bu nedenle yetkililerin tedarikçilerini daha yakından takip etmesi gerekiyor. Bu amaçla Biden, tedarikçilerden güvenlik gerekliliklerine uyduklarına dair yeni sözleşme şartları ve onaylar talep ediyor. Tüm devlet müşterilerinin listesinin yanı sıra, düzenlemelerin uygulandığını kanıtlayan verileri de yüklemelisiniz. Bu rastgele olarak kontrol edilmeli ve sonuçlar yayınlanacaktır. Bu şekilde ihmalkar yazılım sağlayıcıları eleştirilir.
Daha iyi programlama yöntemleri tek başına yeterli değildir. Yazılımın dağıtımı ve güncellemeleri ile son ürünün güvenliği de doğru olmalıdır. Bu amaçla Ulusal Standartlar ve Teknoloji Enstitüsü'nün tavsiyeleri güncellenmeli ve bağlayıcı hale getirilmelidir (NIST Özel Yayını 800-218 Güvenli Yazılım Geliştirme Çerçevesi (SSDF), 800-53 Bilgi Sistemleri ve Kuruluşları için Güvenlik ve Gizlilik Kontrolleri). Aynı durum, yazılım ve donanım tedarik zincirinin tamamı için de geçerlidir (Sistemler ve Organizasyonlar için 800-161 Siber Güvenlik Tedarik Zinciri Risk Yönetimi Uygulamaları). Satın alma planlamasından tedarikçi seçimine, sorumlulukların tanımlanmasına, güvenlik ve performansın değerlendirilmesine ve sözleşmelerin yönetimine kadar tüm yaşam döngüsü gözden geçirilmelidir.
Ev ödevi ve iç denetim
En güvenli yazılım, müşterinin güvensiz kullanması halinde pek işe yaramayacağından, yetkililerin de ödevlerini yapması gerekiyor. Buna dijital kimliklerin ve erişim haklarının daha iyi yönetilmesi de dahildir. Biden'ın özellikle WebAuthn'u ele alması, yani geçiş anahtarlarını göndermesiyle kimlik avı daha da zor hale getirilmelidir. Veri güvenliğini artırmak için bulut sistemlerine ilişkin varsayılan ayarların tanımlanması gerekir.
Daha önceki bir emirde Biden, federal kurumlara tehdit bilgilerini birbirleriyle paylaşma talimatı vermişti. Bu artık yeterli değil. Artık, değerlendirmeleri BT güvenlik yetkilisi CISA'nın izleyebileceği (veri koruması veya gizli tutulması gereken diğer bilgiler ve özel durumlarda zaman kısıtlamaları hariç olmak üzere) “uç nokta tespit ve yanıt” olarak adlandırılan sistemler kullanıma sunulacaktır. kritik süreçleri aksatmamak için).
Uzay yolculuğunda dönüm noktası
Uydular ve diğer uzay sorunları için Başkan'ın temel yapı taşlarını devreye sokması bile gerekiyor: veri aktarımının şifrelenmesi ve hareket halindeyken manipülasyona karşı korunması, kaynakların sertifikasyonu ve yetkisiz komutların reddedilmesi. Buna ek olarak, anormallikleri tespit etme ve bunlara yanıt verme yöntemlerinin geliştirilmesinin yanı sıra donanım ve yazılımın geliştirilmesi için güvenli yöntemlerin kullanılması da söz konusudur.
Hangi sistemlerin özel koruma gerektirdiğini belirlemek için öncelikle yer istasyonları için bir envanter oluşturulmalıdır. Bunlara yönelik daha iyi koruma ve izleme önerileri oluşturulmalıdır.