Biden yönetimi, Amerikan şirketlerini Rus siber saldırıları hakkında giderek daha sert bir şekilde uyarıyor, binlerce şirkete kritik altyapıya yönelik tehditler hakkında brifing veriyor ve şirketleri herhangi bir saldırıyı bildirmelerini gerektiren yeni bir yasaya uymaya çağırıyor. Ancak yasanın bazı ayrıntıları belirsizliğini koruyor ve yöneticilere mevzuatın onlar için ne anlama geldiğine dair soru işaretleri bırakıyor.
Başkan Biden bu hafta yaptığı açıklamada, özel şirketleri savunmalarını güçlendirmeye teşvik etti. Yönetim yetkilileri, özellikle kamu hizmeti şirketleri ve hastane sistemleri gibi kritik sektörleri hedef alan saldırılardan endişe duyuyor.
Bay Biden, ABD’nin Ukrayna’daki savaş nedeniyle uyguladığı yaptırımlara yanıt olarak Rusya’nın potansiyel siber saldırıları hakkında “Bu, Rusya’nın oyun kitabının bir parçası” dedi.
Yeni yasa, Sayın Biden’in geçen hafta imzaladığı harcama paketine dahil edildi. Yasaya göre, şirketlerin bir hack’i keşfettikten sonra 72 saat içinde Siber Güvenlik ve Altyapı Güvenliği Ajansı’na haber vermeleri gerekecek. Ayrıca, rehinlerini elinde tutan saldırganlara fidye ödedikten sonra 24 saat içinde ajansı uyarmaları gerekiyor.
Ajans, benzer saldırıların araştırılmasını ve önlenmesini iyileştirebilecek bir süreç olan bir takas odası olarak çalışmayı ve saldırılarla ilgili bilgileri hükümet genelinde dağıtmayı planlıyor.
Ajansın direktörü Jen Easterly yaptığı açıklamada, “CISA, özel sektör ortaklarımızdan gelen bu raporları, hasımlarımızın ABD ağlarını ve kritik altyapıyı nasıl hedef aldığına dair ortak bir anlayış oluşturmak için kullanacak” dedi.
Ancak yasa, birçok ayrıntıyı siber güvenlik kurumu tarafından yorumlanmaya açık bırakıyor ve bu ayrıntıların dövüleceği kural oluşturma süreci aylar alabilir. Ajans, hangi tür şirketlerin olayları bildirmesi gerektiğine, hangi tür olayların rapor edilebilecek kadar ciddi olduğuna ve 72 saatlik raporlama son tarihi için saatin ne zaman başlayacağına karar verecek. Yasa, kritik altyapı sağlayan şirketlere odaklanıyor, ancak ajans bunu geniş bir şekilde yorumlayabilir veya daha küçük bir şirket alt kümesine uyarlayabilir.
Salı günü işletmelerle yaptığı bir telekonferansta ajans, herhangi bir olayın önemli bir ekmek kırıntısı sağlayarak sofistike bir saldırgana yol açabileceği umuduyla, Rus siber saldırılarının baş gösteren riski nedeniyle küçük görünen tehditlerin bile rapor edilmesi gerektiğini vurguladı.
Bununla birlikte, küçük olaylarla ilgili bilgi akışının, kurumun ciddi saldırılara ilişkin görüşünü bulandırabileceğine dair endişeler var. Ajans Salı günü yaptığı açıklamada, genellikle bu kadar ayrıntılı bir ayrıntı düzeyi talep etmeyeceğini, ancak ihtiyatlı olmak istediğini söyledi.
ABD Ticaret Odası’nın siber, istihbarat ve tedarik zinciri güvenlik politikasından sorumlu kıdemli başkan yardımcısı Christopher D. Roberti, “Gerçek ayrıntıların birçoğunun kural koyma sürecinde üzerinde çalışılması gerekecek” dedi.
Kanun, siber güvenlik kurumunun kuralları belirlediği için şirketlerle çalışmasını gerektiriyor, bu nedenle iş liderleri kanunun nasıl uygulanacağı konusunda söz sahibi olacak.
Siber saldırılar, geçen yıl bir et tedarikçisi olan JDS Foods ve Doğu Kıyısında yakıt sağlayan Colonial Pipeline dahil olmak üzere büyük Amerikan işletmelerindeki operasyonları kesintiye uğrattı. Her iki saldırı da Amerikalıların temel malzemeleri elde etme becerisine müdahale etti ve milletvekillerinin harekete geçmesi için aciliyet yarattı.
Olay raporlama yasasının yazarları Michigan Demokrat Senatörler Gary Peters ve Ohio Cumhuriyetçisi Rob Portman, yasanın bu tür saldırılardan sonra JDS Foods ve Colonial gibi şirketlerin daha hızlı iyileşmesine yardımcı olacağını söyledi. Siber güvenlik kurumu, kurtarma sürecinde onlara rehberlik ve yardım sağlayabilecektir.
Gecikmiş açıklamalar şirketler için maliyetli olmuştur. 2018’de Yahoo, 2014’teki bir hack’i derhal ifşa etmediği için 35 milyon dolar para cezası ödedi. Ve yöneticiler, araç çağırma şirketinde 2016 veri ihlalini ele alması nedeniyle engelleme ve dolandırıcılık yapmakla suçlanan eski bir Uber yöneticisi durumunda olduğu gibi, kendilerini cezai suçlamalarla karşı karşıya bulabilirler.
Fidye yazılımı saldırıları nelerdir? Bu siber suç türü, bilgisayar ağlarına giren ve kurban serbest bırakılması için ödeme yapana kadar dijital bilgileri kilitleyen bilgisayar korsanlarını içerir. Son zamanlardaki yüksek profilli saldırılar, esas olarak Rusya’da bulunan bu hızla büyüyen suç endüstrisine dikkat çekti.
Neden daha yaygın hale geliyorlar? Uzmanlar, fidye yazılımlarının suçlular için çekici olduğunu, çünkü saldırıların çoğunlukla anonim olarak çevrimiçi ortamda gerçekleştiğini ve yakalanma şansını en aza indirdiğini söylüyor. Hazine Bakanlığı, Amerikalıların 2011’den bu yana 1,6 milyar dolar fidye ödediğini tahmin ediyor.
Kripto para birimlerinin yükselişiyle herhangi bir bağlantı var mı? Suç endüstrisinin büyümesi, bilgisayar korsanlarının kurbanlarla anonim olarak işlem yapmasına izin veren Bitcoin gibi kripto para birimleri tarafından destekleniyor, ancak uzmanlar sanal para borsalarını fidye yazılımı çeteleri için zayıf bir nokta olarak görüyor.
Bu saldırılara karşı ne yapılıyor? ABD ordusu fidye yazılımı gruplarına karşı saldırgan önlemler aldı ve Biden yönetimi yasal ve ekonomik önlemler aldı. Son saldırılar, fidye yazılımlarını Başkan Biden’ın ulusal güvenlik gündeminin en üst sıralarına taşıdı.
Hükümet neden karışıyor? Birkaç yıl önce çoğunlukla bireylere yönelik olan saldırılar, bilgisayar korsanlarının büyük bir benzin boru hattı ve et işleme tesisleri de dahil olmak üzere ABD’deki kritik altyapıyı hedef almaya başlamasıyla çarpıcı biçimde arttı.
Bilgi Teknolojileri Endüstri Konseyi’nin kıdemli politika direktörü Courtney Lang, “Geçen yıl veya daha fazla süredir şirketlerden olay raporlama ortamının ne kadar tutarsız ve düzensiz olduğunu duyduk” dedi. “Siber güvenlik ortamının gelişme şekli göz önüne alındığında, ele alınması gereken tehditler var. Bir dereceye kadar, olay raporlamanın belirli tepkileri şekillendirmeye yardımcı olabilecek faydalı bilgiler sağlayabileceğini düşünüyoruz.”
Avrupa’da ve Amerika Birleşik Devletleri’ndeki diğer federal kurumlarda benzer kurallar göz önünde bulundurulurken, kurumsal liderler yeni federal yasanın diğer yasa koyucular ve hükümet yetkilileri için bir model olacağı ve şirketlerin çakışan olay raporlama gereksinimleri karmaşasından kaçınmasına olanak tanıyacağı konusunda umutlu.
Kural koyma süreci devam ederken, şirketlerin ihlalleri bildirmeleri gerekmeyecek, ancak siber güvenlik kurumu onları gönüllü olarak hükümete bilgi sunmaya çağırdı.
“Gereksinimlerin resmi olarak başlamasından birkaç ay önce olacak, bu nedenle, özellikle Ukrayna’da devam eden jeopolitik gerilimler ve anavatana yönelik siber saldırı tehdidi göz önüne alındığında, kurumları siber tehdit bilgilerini paylaşmaya ve olayları mümkün olduğunca CISA’ya bildirmeye teşvik ediyoruz.” Siber güvenlik firması Mandiant’ın hükümet işleri direktörü Stacy O’Mara, şunları söyledi:
Salı günü, bankalar, kamu hizmetleri ve hastaneler gibi kritik altyapı şirketlerinden temsilciler, Bayan Easterly’yi Rusya’dan ne gibi tehditlerle karşılaşabilecekleri ve nasıl hazırlanacakları hakkında sorularla doldurdular. Ayrıca siber güvenlik yazılımı satın almak için daha fazla devlet fonu talep ettiler ve bazı çalışanlarının bir siber saldırıya hazırlanmalarına yardımcı olabilecek gizli materyalleri alamayacağına dair endişelerini dile getirdiler.
Siber güvenlik ajansı, işletmelerin çalışanların çok faktörlü kimlik doğrulama kullanmasını zorunlu kılmak, yazılımı güncellemek ve verileri şifrelemek gibi temel siber güvenlik önlemlerini almasını tavsiye etti.
Bayan Easterly yaptığı açıklamada, “Siber olaylar hızlı bir şekilde bildirildiğinde, daha fazla saldırıların durdurulmasına katkıda bulunabilir” dedi.
