Dahi kafalar
New member
Ukrayna’ya Rus füzeleri yağarken, siber dünyada yeni bir savaş patlak veriyor. Vladimir Putin işgalini açıkladığından beri, yıkıcı kötü amaçlı yazılımlar yüzlerce Ukraynalı web sitesini ve bilgisayarı sular altında bıraktı. Bu tür saldırıların Ukrayna hedefleriyle sınırlı kalacağını varsaymak yanlış olur.
Geçen hafta Başkan Biden, Putin’i ABD’nin kritik altyapısına yönelik Rus siber saldırılarına karşı uyardı. Ancak Amerikan işletmeleri siber uzayda bir savaşa hazır değil. Bay Biden, bu tür bir saldırganlığa karşı güçlü bir yanıt olacağına söz verdiği şeyi yönetmesi için İç Güvenlik Bakanlığı’nı görevlendirmiş olsa da, bu yeterli değil. DHS’nin özel sektöre liderliğini takip etmesini emretme konusunda yasal yetkisi yoktur. Daha geniş anlamda, federal hükümet, Microsoft gibi şirketler tarafından siber saldırılara karşı uyarılmış olsa bile, Amerikan işletmelerini bu saldırıların çoğundan korumak için gerekli altyapıya sahip değil.
ABD’nin misilleme tehditlerine başvurması başlı başına bir sorundur. Amerika zaten siber saldırılara dayanıklı olmalı, ancak bu çabaları ülke genelinde koordine etmek zorlu bir mücadele oldu.
Ulusal Güvenlik Teşkilatı’nın eski genel müşaviri olarak, Rusya, Çin, İran ve Kuzey Kore’den gelen bu tür kötülüklerin kapsamına ve karmaşıklığına her gün tanık oldum. Hepsi, ABD işletmelerine ve vatandaşlarına tam güçle karşı çıkmak için – ticari ve devlete ait işletmeler ile casus ajanslar dahil olmak üzere – ellerindeki çeşitli güç sektörlerinden yararlanıyor.
Yine de Birleşik Devletler organize bir yanıttan yoksundur. Haftalık fidye yazılımı saldırıları ve veri ihlalleri raporları, bu savaşı kaybettiğimizi açıkça ortaya koyuyor. Bu yüzden Amerika’nın liderleri mevcut siber savunma sistemini yeniden düşünmeli ve hem vatandaşları hem de özel sektörü mevcut ve gelecekteki saldırılara karşı savunmak için merkezi bir düzenleyici etrafında toplanmalı.
Amerikan hükümetinin merkezi olmayan yapısı, yabancı siber tehditlerle savaşmaya elverişli değildir. Devlet kurumları, denetledikleri sektörlerdeki siber düzenleme ve tehditleri ele alıyor – tüm ekonomimizi ilgilendiren bir sorunu ele almanın verimsiz ve etkisiz bir yolu. DHS’nin Ulaştırma Güvenliği Ajansı, geçtiğimiz birkaç ay içinde boru hatları ve demiryolları için yeni siber güvenlik gerekliliklerini duyurdu; Federal İletişim Komisyonu telekomünikasyon şirketleri için kendi teklifini ortaya koydu; Menkul Kıymetler ve Borsa Komisyonu, yatırım danışmanları ve fonlara ilişkin kuralları oyladı; ve Federal Ticaret Komisyonu, birçok iş uygulamasında bulunan yeni tespit edilen bir yazılım güvenlik açığını gideremeyen şirketleri yasal olarak takip etmekle tehdit etti. Ve Capitol Hill’de, siber düzenlemenin çeşitli yönleri üzerinde yetki sahibi olduğunu iddia eden yaklaşık 80 komite ve alt komite var.
Bu dağınık çabaların siber suçları durdurmak şöyle dursun, azaltması pek olası değildir.
Bir dizi uzman çalışmasını yineleyen ilk ulusal siber direktörümüz, Amerika Birleşik Devletleri’nin “kamu ve özel sektör arasındaki ilişkiyi anlamlı şekilde değiştiren” yeni bir yaklaşıma ihtiyacı olduğunu söylüyor. Ancak sosyal ve bürokratik atalet, endüstri direnişi ve partizan bölünmeler, siber savunma çabalarını ve düzenlemelerini merkezileştirme yolunda durdu. Yakın tarihli bir kongre oturumunda, birkaç endüstri temsilcisi ve Cumhuriyetçi Kongre üyeleri, ihlallerin bildirilmesi için daha katı gerekliliklere itiraz etti. Partizanlığı ve standart itirazları düzenlemeye taşımanın zamanı geldi.
Özel sektör açısından bakıldığında, merkezi bir çaba için durum da mantıklı. Hemen hemen her sektör, bilgisayarlarını üç işletim sisteminden birinde çalıştırır: Windows, macOS ve Linux. Çoğu durumda, aynı iş yazılımını da kullanırlar – bir savunma müteahhitinin bordro sistemi bir eczaneninkinden çok farklı değildir. Bu, güvenlik açıklarının sektörler arasında benzer olduğu ve bu nedenle benzer çözümler gerektireceği anlamına gelir. O halde merkezi bir hükümet müdahale merkezi mantıklıdır. Hükümet ve özel sektör arasında hızlı ve etkili bir şekilde akan hackler ve güvenlik açıkları hakkında bilgi almak – merkezi bir kurumun yapacağı gibi – siber saldırıları çok fazla yayılmadan durdurmak için çok önemlidir. Ve böyle bir kurum, güvenlik ürünleri ve hizmetlerinin standartlaştırılmasına yardımcı olacak ve bu da maliyetleri düşürerek işletmeler üzerindeki genel yükü azaltacaktır.
Merkezi bir siber düzenleyicinin kapsayıcı hedefi, standartların tek tip olarak uygulanması, ancak gerektiğinde belirli bir sektörün ihtiyaçlarına göre özel olarak uyarlanması olacaktır. Herkese uyan katı bir politika tasavvur etmiyorum, ancak inovasyonu engellemeden halkı korumak için yeterince etkili sektörler arası düzenleme tasarlamak mümkün olmalıdır.
Bir dizi başka sanayileşmiş demokrasi zaten merkezi bir yaklaşımı benimsiyor: Yakın tarihli Ağ ve Bilgi Güvenliği Yönergesi ile Avrupa Birliği şimdi tüm dünyada tek tip siber güvenlik standartları öneriyor. endüstrileri ve 27 üye ülkesi. Doğru, Amerikalılar, Avrupalılardan daha fazla düzenleme konusunda ihtiyatlı olma eğilimindedir. Ancak Amerika’nın en yakın müttefiklerinden bazıları – İngiltere, Kanada ve Avustralya – siber güvenlik işlevlerini özel sektörle birlikte çalışan ve istihbarat toplama ve kolluk kuvvetleri için özel işlevleri elinde tutan tek bir kurumda birleştirmek için harekete geçti.
Bu hamleler reddedilmemelidir. Bu yeni konsolidasyon önlemlerinin başarısını tam olarak değerlendirmek için henüz çok erken olsa da, Amerika Birleşik Devletleri açıkça eğrinin gerisindedir: Birleşik Devletler ilkini oluşturmak için mücadele ederken, İngiltere ikinci çok yıllı ulusal siber stratejisini henüz benimsemiştir.
Merkezi bir siber düzenleyicinin oluşturulmasına rehberlik edebilecek planlar zaten mevcuttur. SEC, her sektördeki halka açık şirketler için tamamen yeni bir açıklama çerçevesi oluşturmak için ilk yıllarında yatırım bankaları ve borsalarla birlikte çalıştı. Sonuç olarak, halka açık bir şirketin piyasayı hareket ettiren haberleri (iyi ya da kötü) derhal ifşa etmesi artık doğal kabul ediliyor – tıpkı menkul kıymetler yasalarından önceki günlerde içeriden öğrenenlerin ticaretinin ve kurumsal gelişmeleri gizlemenin rutin uygulamalar olması gibi.
Geçen ay, Çevre Koruma Ajansı ve federal ortakları, ülkenin 52.000 özel ve belediye su tedarik sistemini, içme suyumuzu bozabilecek veya kirletebilecek potansiyel bir Rus siber saldırısına karşı savunmayı güçlendirmeye çağırdı. Merkezi bir düzenleyici bu süreci büyük ölçüde basitleştirecektir. Her su sisteminin yöneticilerinin olası bir Rus saldırısının kritik detaylarından tamamen haberdar olmasını sağlayabilir. Saldırıyla ilgili kritik bilgileri anında yayabilir. Ve potansiyel kurbanları saldırının yayılmasını nasıl en aza indirecekleri konusunda eğitebilir.
Bunların hiçbiri kolay olmayacak veya hızlı bir şekilde uygulanmayacak. Siber uzayda Amerika Birleşik Devletleri’ni savunmak için stratejik bir yaklaşım üzerinde iki taraflı bir fikir birliği geliştirmek üzere 2019 yılında kurulan Siber Uzay Solaryum Komisyonu, kısa süre önce, daha az kapsamlı tavsiyelerinden bazılarının bile “gerekli siyasi ivmeyi yaratmak için gelecekteki bir acil durum” gerektirebileceğini bildirdi. Mevcut engelleri aşmak.”
Rusya’nın Ukrayna’ya karşı savaşı bu “gelecekteki acil durum” olabilir. Musluğu her açtığımızda içme suyumuzu kirleten Rus bilgisayar korsanlarından endişelenmek istemiyorsak, şimdi yaklaşımımızı yeniden düşünmenin zamanı geldi.
Glenn S. Gerstell, teknoloji ve ulusal güvenlik odaklı Stratejik ve Uluslararası Çalışmalar Merkezi’nde kıdemli danışmandır. 2015’ten 2020’ye kadar Ulusal Güvenlik Ajansı ve Merkezi Güvenlik Servisi’nin genel danışmanı olarak görev yaptı.
The Times çeşitli mektuplar yayınlamaya kararlıdır. ) editöre. Bu veya makalelerimizden herhangi biri hakkında ne düşündüğünüzü duymak isteriz. İşte bazı ipuçları . Ve işte e-postamız: [email protected] .
Facebook , Twitter (@NYTopinion) üzerinden The New York Times Opinion bölümünü takip edin ) ve Instagram .
Geçen hafta Başkan Biden, Putin’i ABD’nin kritik altyapısına yönelik Rus siber saldırılarına karşı uyardı. Ancak Amerikan işletmeleri siber uzayda bir savaşa hazır değil. Bay Biden, bu tür bir saldırganlığa karşı güçlü bir yanıt olacağına söz verdiği şeyi yönetmesi için İç Güvenlik Bakanlığı’nı görevlendirmiş olsa da, bu yeterli değil. DHS’nin özel sektöre liderliğini takip etmesini emretme konusunda yasal yetkisi yoktur. Daha geniş anlamda, federal hükümet, Microsoft gibi şirketler tarafından siber saldırılara karşı uyarılmış olsa bile, Amerikan işletmelerini bu saldırıların çoğundan korumak için gerekli altyapıya sahip değil.
ABD’nin misilleme tehditlerine başvurması başlı başına bir sorundur. Amerika zaten siber saldırılara dayanıklı olmalı, ancak bu çabaları ülke genelinde koordine etmek zorlu bir mücadele oldu.
Ulusal Güvenlik Teşkilatı’nın eski genel müşaviri olarak, Rusya, Çin, İran ve Kuzey Kore’den gelen bu tür kötülüklerin kapsamına ve karmaşıklığına her gün tanık oldum. Hepsi, ABD işletmelerine ve vatandaşlarına tam güçle karşı çıkmak için – ticari ve devlete ait işletmeler ile casus ajanslar dahil olmak üzere – ellerindeki çeşitli güç sektörlerinden yararlanıyor.
Yine de Birleşik Devletler organize bir yanıttan yoksundur. Haftalık fidye yazılımı saldırıları ve veri ihlalleri raporları, bu savaşı kaybettiğimizi açıkça ortaya koyuyor. Bu yüzden Amerika’nın liderleri mevcut siber savunma sistemini yeniden düşünmeli ve hem vatandaşları hem de özel sektörü mevcut ve gelecekteki saldırılara karşı savunmak için merkezi bir düzenleyici etrafında toplanmalı.
Amerikan hükümetinin merkezi olmayan yapısı, yabancı siber tehditlerle savaşmaya elverişli değildir. Devlet kurumları, denetledikleri sektörlerdeki siber düzenleme ve tehditleri ele alıyor – tüm ekonomimizi ilgilendiren bir sorunu ele almanın verimsiz ve etkisiz bir yolu. DHS’nin Ulaştırma Güvenliği Ajansı, geçtiğimiz birkaç ay içinde boru hatları ve demiryolları için yeni siber güvenlik gerekliliklerini duyurdu; Federal İletişim Komisyonu telekomünikasyon şirketleri için kendi teklifini ortaya koydu; Menkul Kıymetler ve Borsa Komisyonu, yatırım danışmanları ve fonlara ilişkin kuralları oyladı; ve Federal Ticaret Komisyonu, birçok iş uygulamasında bulunan yeni tespit edilen bir yazılım güvenlik açığını gideremeyen şirketleri yasal olarak takip etmekle tehdit etti. Ve Capitol Hill’de, siber düzenlemenin çeşitli yönleri üzerinde yetki sahibi olduğunu iddia eden yaklaşık 80 komite ve alt komite var.
Bu dağınık çabaların siber suçları durdurmak şöyle dursun, azaltması pek olası değildir.
Bir dizi uzman çalışmasını yineleyen ilk ulusal siber direktörümüz, Amerika Birleşik Devletleri’nin “kamu ve özel sektör arasındaki ilişkiyi anlamlı şekilde değiştiren” yeni bir yaklaşıma ihtiyacı olduğunu söylüyor. Ancak sosyal ve bürokratik atalet, endüstri direnişi ve partizan bölünmeler, siber savunma çabalarını ve düzenlemelerini merkezileştirme yolunda durdu. Yakın tarihli bir kongre oturumunda, birkaç endüstri temsilcisi ve Cumhuriyetçi Kongre üyeleri, ihlallerin bildirilmesi için daha katı gerekliliklere itiraz etti. Partizanlığı ve standart itirazları düzenlemeye taşımanın zamanı geldi.
Özel sektör açısından bakıldığında, merkezi bir çaba için durum da mantıklı. Hemen hemen her sektör, bilgisayarlarını üç işletim sisteminden birinde çalıştırır: Windows, macOS ve Linux. Çoğu durumda, aynı iş yazılımını da kullanırlar – bir savunma müteahhitinin bordro sistemi bir eczaneninkinden çok farklı değildir. Bu, güvenlik açıklarının sektörler arasında benzer olduğu ve bu nedenle benzer çözümler gerektireceği anlamına gelir. O halde merkezi bir hükümet müdahale merkezi mantıklıdır. Hükümet ve özel sektör arasında hızlı ve etkili bir şekilde akan hackler ve güvenlik açıkları hakkında bilgi almak – merkezi bir kurumun yapacağı gibi – siber saldırıları çok fazla yayılmadan durdurmak için çok önemlidir. Ve böyle bir kurum, güvenlik ürünleri ve hizmetlerinin standartlaştırılmasına yardımcı olacak ve bu da maliyetleri düşürerek işletmeler üzerindeki genel yükü azaltacaktır.
Merkezi bir siber düzenleyicinin kapsayıcı hedefi, standartların tek tip olarak uygulanması, ancak gerektiğinde belirli bir sektörün ihtiyaçlarına göre özel olarak uyarlanması olacaktır. Herkese uyan katı bir politika tasavvur etmiyorum, ancak inovasyonu engellemeden halkı korumak için yeterince etkili sektörler arası düzenleme tasarlamak mümkün olmalıdır.
Bir dizi başka sanayileşmiş demokrasi zaten merkezi bir yaklaşımı benimsiyor: Yakın tarihli Ağ ve Bilgi Güvenliği Yönergesi ile Avrupa Birliği şimdi tüm dünyada tek tip siber güvenlik standartları öneriyor. endüstrileri ve 27 üye ülkesi. Doğru, Amerikalılar, Avrupalılardan daha fazla düzenleme konusunda ihtiyatlı olma eğilimindedir. Ancak Amerika’nın en yakın müttefiklerinden bazıları – İngiltere, Kanada ve Avustralya – siber güvenlik işlevlerini özel sektörle birlikte çalışan ve istihbarat toplama ve kolluk kuvvetleri için özel işlevleri elinde tutan tek bir kurumda birleştirmek için harekete geçti.
Bu hamleler reddedilmemelidir. Bu yeni konsolidasyon önlemlerinin başarısını tam olarak değerlendirmek için henüz çok erken olsa da, Amerika Birleşik Devletleri açıkça eğrinin gerisindedir: Birleşik Devletler ilkini oluşturmak için mücadele ederken, İngiltere ikinci çok yıllı ulusal siber stratejisini henüz benimsemiştir.
Merkezi bir siber düzenleyicinin oluşturulmasına rehberlik edebilecek planlar zaten mevcuttur. SEC, her sektördeki halka açık şirketler için tamamen yeni bir açıklama çerçevesi oluşturmak için ilk yıllarında yatırım bankaları ve borsalarla birlikte çalıştı. Sonuç olarak, halka açık bir şirketin piyasayı hareket ettiren haberleri (iyi ya da kötü) derhal ifşa etmesi artık doğal kabul ediliyor – tıpkı menkul kıymetler yasalarından önceki günlerde içeriden öğrenenlerin ticaretinin ve kurumsal gelişmeleri gizlemenin rutin uygulamalar olması gibi.
Geçen ay, Çevre Koruma Ajansı ve federal ortakları, ülkenin 52.000 özel ve belediye su tedarik sistemini, içme suyumuzu bozabilecek veya kirletebilecek potansiyel bir Rus siber saldırısına karşı savunmayı güçlendirmeye çağırdı. Merkezi bir düzenleyici bu süreci büyük ölçüde basitleştirecektir. Her su sisteminin yöneticilerinin olası bir Rus saldırısının kritik detaylarından tamamen haberdar olmasını sağlayabilir. Saldırıyla ilgili kritik bilgileri anında yayabilir. Ve potansiyel kurbanları saldırının yayılmasını nasıl en aza indirecekleri konusunda eğitebilir.
Bunların hiçbiri kolay olmayacak veya hızlı bir şekilde uygulanmayacak. Siber uzayda Amerika Birleşik Devletleri’ni savunmak için stratejik bir yaklaşım üzerinde iki taraflı bir fikir birliği geliştirmek üzere 2019 yılında kurulan Siber Uzay Solaryum Komisyonu, kısa süre önce, daha az kapsamlı tavsiyelerinden bazılarının bile “gerekli siyasi ivmeyi yaratmak için gelecekteki bir acil durum” gerektirebileceğini bildirdi. Mevcut engelleri aşmak.”
Rusya’nın Ukrayna’ya karşı savaşı bu “gelecekteki acil durum” olabilir. Musluğu her açtığımızda içme suyumuzu kirleten Rus bilgisayar korsanlarından endişelenmek istemiyorsak, şimdi yaklaşımımızı yeniden düşünmenin zamanı geldi.
Glenn S. Gerstell, teknoloji ve ulusal güvenlik odaklı Stratejik ve Uluslararası Çalışmalar Merkezi’nde kıdemli danışmandır. 2015’ten 2020’ye kadar Ulusal Güvenlik Ajansı ve Merkezi Güvenlik Servisi’nin genel danışmanı olarak görev yaptı.
The Times çeşitli mektuplar yayınlamaya kararlıdır. ) editöre. Bu veya makalelerimizden herhangi biri hakkında ne düşündüğünüzü duymak isteriz. İşte bazı ipuçları . Ve işte e-postamız: [email protected] .
Facebook , Twitter (@NYTopinion) üzerinden The New York Times Opinion bölümünü takip edin ) ve Instagram .