CISA, Kritik Altyapı İçin Gönüllü Siber Hedefler Sunuyor
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kritik altyapı sahiplerinin ve operatörlerin temel güvenlik önlemlerine öncelik vermesine ve bir temel oluşturmasına yardımcı olmak için uzun zamandır beklenen siber güvenlik performans hedeflerini (CPG) bugün açıkladı.
İç Güvenlik Bakanlığı (DHS) tarafından halihazırda belirlenmiş 16 kritik altyapı sektöründe geçerli olan CPG’ler, kritik altyapı sahiplerinin ve operatörlerin bilinen risklerin olasılığını ve etkisini azaltmak için uygulayabilecekleri bilgi teknolojisi ve operasyonel teknoloji siber güvenlik uygulamalarının bir listesini içerir. ve düşman teknikleri.
CISA, hedeflerin “gönüllü” olduğunu ve kritik altyapıyı korumak için “gerekli tüm siber güvenlik uygulamalarını tanımlamadığını” açıkladı.
CISA Direktör Yardımcısı Nitin Natarajan, yeni hedeflerin “NIST [Ulusal Standartlar ve Teknoloji Enstitüsü] siber güvenlik çerçevesinin yerini alacak şekilde tasarlanmadığını, aslında NIST siber güvenlik çerçevesiyle çalışmak üzere tasarlandığını söyledi.
Bugün MeriTalk’un Washington DC’deki Siber Merkez – Tasarıma Göre Güvenlik konferansında yeni siber rehberlik yayınından bahseden Natarajan, “Bu ürünü çıkardığımız için gerçekten heyecanlıyız” dedi.
“Temel güvenlik için en etkili güvenlik önlemlerinin benimsenmesini gerçekten yönlendirmek istiyoruz” ve “kuruluşlarında değişimi yönlendirmek için temel temel kabulü oluşturmak istiyoruz” dedi.
CISA , hedefleri açıklayan bir yayında , kritik altyapı yönergelerinin “sektörler arasında geniş çapta uygulanabilir olduğu bilinen risk azaltma değerine sahip bir dizi temel siber güvenlik uygulamasını ele aldığını” belirtti .
CISA’nın hedefleri yayınlaması, Nisan 2021’de Başkan Biden tarafından imzalanan Beyaz Saray muhtırasından geliyor.
Kritik Altyapı Kontrol Sistemleri için Siber Güvenliği Geliştirmeye İlişkin Ulusal Güvenlik Memorandumu başlıklı not , CISA’yı Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve kurumlar arası toplulukla birlikte çalışarak tüm kritik altyapı sektörlerinde tutarlı temel siber güvenlik performans hedefleri geliştirmeye yönlendiriyor.
Hedefler, kritik altyapı için standart bir temel siber güvenlik uygulamaları seti oluşturur. Ayrıca, CPG’ler küçük ve orta ölçekli kuruluşların siber güvenlik çabalarını başlatmalarına yardımcı olmayı amaçlıyor. CISA, hedefleri geliştirmek için mevcut siber güvenlik rehberliğini ve ajansın mevcut siber riskler ve düşman taktikleri hakkındaki bilgilerini kullandığını söyledi.
NIST siber güvenlik Çerçevesi (CSF), CISA ile birlikte yeni siber hedeflerin nasıl kullanılacağını ayrıntılandıran ajans, CPG’lerin NIST çerçevesindeki ilgili alt kategorilerle eşleştirilirken, CISA’nın hala kuruluşların tasarım için NIST çerçevesini kullanmasını tavsiye ettiğini açıkladı. ve kapsamlı bir siber güvenlik programını olgunlaştırın.
İleriye dönük olarak, CISA sektöre özel hedefler geliştirmeyi planlıyor ve bu hedefleri geliştirmek için her Sektör Risk Yönetim Ajansı ile birlikte çalışacak.
Natarajan, bugünkü MeriTalk konferansında, yeni hedeflerin büyük ve küçük kuruluşlar ile kamu ve özel sektör arasındaki “gerçekten yüksek etkili uygulamalara bakmak” olduğunu söyledi.
Hedeflerin “siber savunmanızı yükseltmeye, siber güvenlik konusundaki çabalarınızı artırmaya yardımcı olmak için atabileceğiniz adımlara” odaklandığını ve CISA’nın “bunlara gerçekten riski azaltacak siber korumanın minimum temeli olarak baktığını” söyledi. kritik altyapı operatörlerinin
CISA yetkilisi, “Günün sonunda, bunu yaparak ulusal güvenliği ve ulus genelinde Amerikalıların sağlık ve güvenliğini de etkiliyoruz” dedi.
Natarajan, hedeflerin, akademi ve güvenlik araştırma topluluğu ile kapsamlı bir işbirliği yoluyla geliştirildiğini, “gelmekte olduğumuz çözümleri yönlendirmek için hükümet ve endüstri grupları, özel sektör uzmanları ile işbirliği içinde tehdit ortamına ilişkin geniş çapta yayınlanan araştırmalara dayanarak” geliştirildiğini söyledi.
“Bu, hem BT hem de OT sistemlerinde bu temel siber güvenlik düzeyine ulaşmak için paydaşlara önerilen en iyi uygulamaları ve ölçülebilir eylemleri sağlamaya yönelik ilk ABD hükümeti çabasıdır” dedi.
Illumio Federal Teknolojiden Sorumlu Başkan Yardımcısı Gary Barlet bugün MeriTalk’a “CISA’nın kritik altyapı sektörleri için yeni siber güvenlik performans hedefleri oldukça basit ve bu iyi bir şey” dedi.
“Siber güvenlik her zamankinden daha hızlı yenilik yapıyor, ancak kuruluşlar genellikle en temel tehditlerden etkileniyor” dedi ve ekledi, “temeller yerinde olmadığı sürece siber hijyenin iyileştirilmesi gerçekleşemez.”
Barlet, “CISA’nın hedeflerinin temel çıkarımı, temel olmaları değil, daha çok geniş bir organizasyon yelpazesinde uygulanmasının kolay olmasıdır” dedi. “Şu anda, kamu ve özel birçok kuruluş, ‘siber ABC’lerine sahip değil. Bu, özellikle siber araçları benimsemek için kaynaklara sahip olmayan KOBİ’ler ve kuruluşlar için geçerlidir, ancak bunlar, bu hedeflerden en fazla yararlanabilecek kuruluşlardan bazılarıdır.”
“Ülkenin kritik altyapısını güvenceye almak, ilk ihlallerin (bugünkü ve çağın kaçınılmaz) daha büyük felaketlere dönüşmesini önleyen segmentasyon uygulamak gibi küçük ama anlamlı adımlar atmayı içeren büyük bir görevdir ” dedi.
Barlet, “Bu hedefleri bir araya getirdiği için CISA’yı alkışlıyorum ve tüm kurum ve kuruluşları kendilerini buna karşı derecelendirmeye teşvik ediyorum” dedi. “Bu, kritik altyapı genelinde riski azaltmamıza yardımcı olacak. Buradaki zorluk, bu çerçevenin başarılı olması için kuruluşların bu hedeflerde ne kadar başarılı oldukları konusunda kendilerine karşı dürüst olmaları gerektiğidir.”
Kaynak:
https://www.meritalk.com/articles/cisa-rolls-out-voluntary-cyber-goals-for-critical-infrastructure/