Başkan Biden Perşembe günü, ürünlerini federal hükümete satan yazılım şirketlerinin Çin istihbarat teşkilatlarını, Rus fidye yazılımı çetelerini, Kuzey Koreli kripto para hırsızlarını ve İran casuslarını engelleyebilecek sağlam güvenlik özelliklerine sahip olduklarını göstermelerini zorunlu kılan bir idari emir yayınladı.
Ancak, özellikle Çin'le mücadele etme sözü vermesine rağmen kuralsızlaştırma konusunda istekli olan Trump yönetiminin, revize edilen siber güvenlik kurallarını yerinde tutup tutmayacağı belli değil.
Bay Biden'ın görev süresinin bitiminden dört gün önce yayınlanan emir, yönetiminin Amerika'nın altyapısını güvence altına almak ve giderek daha karmaşık hale gelen gözetim operasyonlarını savuşturmak için verdiği dört yıllık mücadelenin sonuncusu.
Ancak Çin ile yeni Soğuk Savaş'ın büyük bir kısmının sona erdiği bu günlük, acı çatışmanın dört yılı sonrasında, bilgisayar korsanları genellikle zirveye çıkıyor. Son iki yılda Çin'in ülkenin elektrik şebekesine, boru hatlarına, telekomünikasyon sistemine ve son haftalarda Hazine Bakanlığı'na defalarca başarılı saldırıları yaşandı. Bu saldırılar, yeni Trump yönetiminin Amerika'nın savunmasının ihlal edilmesinin kolay olduğundan ve caydırıcılık yeteneklerinin yetersiz olduğundan şikayet etmesine yol açtı.
Bay Biden'ın yeni düzenleme ve emir listesi büyümeye devam ederken ve Doğu Yakası'nda sondaj yapılması ve Küba'nın terör listesinden çıkarılması gibi konuları içerirken, Bay Trump'ın danışmanları mevcut yönetimin kendilerini terörle mücadeleye yönelik politikalarını engellemek için şiddetli bir kampanya yürüttüğünden şikayet ediyor. bağlar ve görevlendirir.
Gelecek hafta bazı adımlar tersine çevrilecek ve bu da Bay Biden'ın birçok hamlesini heyecan verici bir siyasi jestten başka bir şey olmaktan çıkaracak. Ancak yeni siber güvenlik gereklilikleri tartışmayı yoğunlaştırıyor ve Trump yönetiminin kuralsızlaştırma vaadi ile Çin'in Amerikan ağlarına müdahalesine karşı savunma vaadi arasında potansiyel olarak bir çatışma yaratıyor.
Yeni kurallar, ilk kez şirketlerin federal hükümete sattıkları yazılımın temel siber güvenlik gereksinimlerini karşıladığını göstermelerini ve bu adımların kanıtlarını yayınlamalarını gerektirecek. Çin'in “ABD'ye yönelik aktif ve devam eden siber tehdidine” ve diğer uluslardan ve suç gruplarından gelen saldırı dalgalarına işaret ediyorlar.
Ancak talimattaki 50 sayfalık gerekliliklere rağmen Bay Biden, yönetimin gönüllü programlar ve kamu-özel sektör ortaklıkları yoluyla özel sektörü siber güvenliğe yatırım yapmaya ikna etme yaklaşımını esasen terk ediyor.
Kendisi ve ekibi, şirketlerin sıkı siber güvenlik önlemleri almasını sağlamanın tek yolunun bu önlemleri zorunlu kılmak ve şirketleri tam adımlarını yayınlamaya zorlamak olduğu sonucuna vardı. Böylece utanç verici bir ihlal daha yaşanırsa şirketlerin savunmalarında boşluk bırakıp bırakmadığı ortaya çıkacak.
Yeni düzenleme, yazılım tedarik zinciri üzerindeki federal yetkiyi genişletecek. Beyaz Saray, çoğunlukla mevcut yetkililere dayanarak boru hatları, demiryolları ve hastaneler için halihazırda düzenlemeler yayınladı.
Bu girişime liderlik eden siber ve gelişen teknolojilerden sorumlu ulusal güvenlik danışman yardımcısı Anne Neuberger, Çarşamba günü gazetecilere verdiği demeçte, aylardır üzerinde çalışılan başkanlık emrinin “ülkeyi savunma yoluna sokmayı amaçladığını” söyledi. -hazır ağlar.” Hükümete ve özel sektöre.”
Acı bir deneyimin sonucuydu bu. Dört yıl önce, Bay Biden hala gelecek dönem başkanı iken, Rus istihbarat servisleri, hükümete ve Fortune 500 şirketlerine ağ yönetim yazılımı satan bir şirket olan SolarWinds'in şifrelerine sızmıştı. SolarWinds'in bu yazılımı güncelleyip müşterilerine dağıtmasının ardından Rusya, kurumsal sırları çalma ve Maliye ve Ticaret Bakanlığı gibi federal kurumlarda gözetim operasyonları yürütme becerisine kavuştu.
Bay Biden Rusları kınadı ve başkan olarak Başkan Vladimir V. Putin ile 2021'de Cenevre'de yaptığı tek görüşme, büyük ölçüde Doğu Kıyısı boyunca gaz ve petrol sağlayan Sömürge Boru Hattını felce uğratan Rus fidye yazılımına odaklandı. Bu toplantının ardından Bayan Neuberger, şirketlerin yazılımlarını geliştirme biçiminde değişikliklere zorlamak için federal sözleşme sürecini kullanmayı umarak, hükümetteki kurumları kendileriyle iş yapan şirketler için yeni gereksinimler hazırlamaya çağırdı.
Ancak çabalar yeterince ileri gitmedi. Şirketler, ürünlerinin yeni koşulları karşıladığını ancak hiçbir zaman iddialarını kanıtlamalarının gerekmediğini söyledi. Çin'in istihbarat teşkilatlarından biriyle bağlantılı bilgisayar korsanları yakın zamanda Hazine Bakanlığı'na girip binlerce gizli belgeye erişim sağladıklarında, BeyondTrust'un yazılımını kullandıkları ortaya çıktı. Federal yetkililer, şirketin tüm siber güvenlik gerekliliklerini karşıladığını iddia ettiğini ancak yeni düzenlemelerin şirketi bu adımları kamuya açıklamaya zorladığını söyledi.
Bayan Neuberger, eski federal düzenlemeler hakkında şunları söyledi: “Yazılım üreten şirketlere, yazılımı kullandıklarını bize söylemeleri talimatını verdik.” “Sanırım son dört yılda gerçekten kanıta ihtiyacımız olduğunu gördük.”
BeyondTrust, “Aralık 2024'ün başlarında bir güvenlik olayını çözmek için harekete geçtiği” ve “sınırlı sayıda müşteriye bildirimde bulunduğu” yönündeki kısa açıklamalar dışında olayla ilgili çok az şey söyledi. İhlalin nasıl gerçekleştiğini tartışmayı reddetti.
Ülkenin en büyük telekomünikasyon şirketleri de Çin istihbarat teşkilatlarının kendi ağlarında nasıl yeni, neredeyse tespit edilemeyen delikler keşfettikleri hakkında pek bir şey söylemedi. Keşif, hükümetin mahkeme emirlerini içeren en gizli telefon dinleme sistemlerinden bazılarına ve ayrıca Başkan seçilen Donald J. Trump ve Başkan Yardımcısı JD Vance'in şifrelenmemiş konuşmalarına erişim sağladı. (Yetkililerin bu erişimi istismar edip etmediği belli değil.)
Bayan Neuberger, “Çin'in Microsoft bulutu ele geçirmesi, Rusya'nın ticari bir uydu şirketini kapatması ve fidye yazılımı saldırganlarının hastaneleri ameliyatları ertelemeye zorlaması gibi son dört yılda manşetlere çıkan siber saldırılardan sonra” dedi ve şöyle devam etti: “Yedi yıl yatırım yaptık. ” Saldırganların kapılardan tam olarak nasıl geçtiklerini belirlemek için aylar boyunca her hackleme olayı dikkatle incelendi.”
Yeni kurallar büyük olasılıkla Salt Typhoon adı verilen telekomünikasyon şirketlerine yönelik gözetim operasyonlarında bir fark yaratmayacaktı. Adada bir askeri harekat durumunda Tayvan'a yapılacak yardımı caydırmak için ABD'deki sistemleri felce uğratmayı amaçlayan, elektrik şebekesinin ve su borularının Çin ile bağlantılı farklı türden bir hacker saldırısından korunmasına yardımcı olmuş olabilirler.
En son yönergelere göre, federal hükümetin yazılıma her yıl harcadığı 100 milyar dolardan fazla ödeme yapan her şirket bu gereksinimlere tabi olacak. İhlal edenler, sivil kovuşturma için Adalet Bakanlığı'na sevk edilebilir.
Yeni kurallar, Rusya'nın yerdeki modemlerine saldırarak Avrupa uydu iletişim sistemini felce uğratmasının ardından uzay sistemlerine de gereksinimler getirecek.
Ancak yeni düzenin uygulanması, yaklaşık 120 gün içinde başlayacak olan son teslim tarihlerini karşılaması gereken Trump yönetimine bırakılacak. Şirketlerin Bay Trump'ın son teslim tarihlerini karşılayıp karşılamadığını test etmeye karar verdiğinde çok önemli bir an gelecek.
Bayan Neuberger, Biden yönetiminin önceki Trump yönetiminden kalan birçok kural ve emri benimsediğini kaydetti. Geri dönen hükümetin de “aynısını yapmasını” beklediğini söyledi. Ancak bunun pek garantisi yoktur.
Bayan Neuberger geçtiğimiz günlerde Amerikan ağlarının dayanıklılığını artırmanın iki partili bir çaba olduğunu belirtse de, yeni ulusal güvenlik danışmanı Temsilci Michael Waltz, Çin'e saldırgan siber operasyonlarla yanıt verme konusunda çok daha fazla konuştu.
Bu aynı zamanda Bay Trump'ın CIA direktörü olarak seçtiği John Ratcliffe için de geçerlidir. Bay Ratcliffe, Çarşamba günkü onay duruşmasında, Amerika Birleşik Devletleri'nin “birkaç saniye içinde ve birkaç tuş vuruşuyla, yarım dünya öteden dijital sınırlarımızı aşan bir istilaya” tanık olduğunu söyledi. Amerika'nın bu tür saldırıları caydırma yeteneğinin zayıfladığını savundu.
“Caydırıcı etki, düşmanlarımızın bunu yapması halinde bunun sonuçlarının ortaya çıkması olmalıdır” dedi.
Ancak, özellikle Çin'le mücadele etme sözü vermesine rağmen kuralsızlaştırma konusunda istekli olan Trump yönetiminin, revize edilen siber güvenlik kurallarını yerinde tutup tutmayacağı belli değil.
Bay Biden'ın görev süresinin bitiminden dört gün önce yayınlanan emir, yönetiminin Amerika'nın altyapısını güvence altına almak ve giderek daha karmaşık hale gelen gözetim operasyonlarını savuşturmak için verdiği dört yıllık mücadelenin sonuncusu.
Ancak Çin ile yeni Soğuk Savaş'ın büyük bir kısmının sona erdiği bu günlük, acı çatışmanın dört yılı sonrasında, bilgisayar korsanları genellikle zirveye çıkıyor. Son iki yılda Çin'in ülkenin elektrik şebekesine, boru hatlarına, telekomünikasyon sistemine ve son haftalarda Hazine Bakanlığı'na defalarca başarılı saldırıları yaşandı. Bu saldırılar, yeni Trump yönetiminin Amerika'nın savunmasının ihlal edilmesinin kolay olduğundan ve caydırıcılık yeteneklerinin yetersiz olduğundan şikayet etmesine yol açtı.
Bay Biden'ın yeni düzenleme ve emir listesi büyümeye devam ederken ve Doğu Yakası'nda sondaj yapılması ve Küba'nın terör listesinden çıkarılması gibi konuları içerirken, Bay Trump'ın danışmanları mevcut yönetimin kendilerini terörle mücadeleye yönelik politikalarını engellemek için şiddetli bir kampanya yürüttüğünden şikayet ediyor. bağlar ve görevlendirir.
Gelecek hafta bazı adımlar tersine çevrilecek ve bu da Bay Biden'ın birçok hamlesini heyecan verici bir siyasi jestten başka bir şey olmaktan çıkaracak. Ancak yeni siber güvenlik gereklilikleri tartışmayı yoğunlaştırıyor ve Trump yönetiminin kuralsızlaştırma vaadi ile Çin'in Amerikan ağlarına müdahalesine karşı savunma vaadi arasında potansiyel olarak bir çatışma yaratıyor.
Yeni kurallar, ilk kez şirketlerin federal hükümete sattıkları yazılımın temel siber güvenlik gereksinimlerini karşıladığını göstermelerini ve bu adımların kanıtlarını yayınlamalarını gerektirecek. Çin'in “ABD'ye yönelik aktif ve devam eden siber tehdidine” ve diğer uluslardan ve suç gruplarından gelen saldırı dalgalarına işaret ediyorlar.
Ancak talimattaki 50 sayfalık gerekliliklere rağmen Bay Biden, yönetimin gönüllü programlar ve kamu-özel sektör ortaklıkları yoluyla özel sektörü siber güvenliğe yatırım yapmaya ikna etme yaklaşımını esasen terk ediyor.
Kendisi ve ekibi, şirketlerin sıkı siber güvenlik önlemleri almasını sağlamanın tek yolunun bu önlemleri zorunlu kılmak ve şirketleri tam adımlarını yayınlamaya zorlamak olduğu sonucuna vardı. Böylece utanç verici bir ihlal daha yaşanırsa şirketlerin savunmalarında boşluk bırakıp bırakmadığı ortaya çıkacak.
Yeni düzenleme, yazılım tedarik zinciri üzerindeki federal yetkiyi genişletecek. Beyaz Saray, çoğunlukla mevcut yetkililere dayanarak boru hatları, demiryolları ve hastaneler için halihazırda düzenlemeler yayınladı.
Bu girişime liderlik eden siber ve gelişen teknolojilerden sorumlu ulusal güvenlik danışman yardımcısı Anne Neuberger, Çarşamba günü gazetecilere verdiği demeçte, aylardır üzerinde çalışılan başkanlık emrinin “ülkeyi savunma yoluna sokmayı amaçladığını” söyledi. -hazır ağlar.” Hükümete ve özel sektöre.”
Acı bir deneyimin sonucuydu bu. Dört yıl önce, Bay Biden hala gelecek dönem başkanı iken, Rus istihbarat servisleri, hükümete ve Fortune 500 şirketlerine ağ yönetim yazılımı satan bir şirket olan SolarWinds'in şifrelerine sızmıştı. SolarWinds'in bu yazılımı güncelleyip müşterilerine dağıtmasının ardından Rusya, kurumsal sırları çalma ve Maliye ve Ticaret Bakanlığı gibi federal kurumlarda gözetim operasyonları yürütme becerisine kavuştu.
Bay Biden Rusları kınadı ve başkan olarak Başkan Vladimir V. Putin ile 2021'de Cenevre'de yaptığı tek görüşme, büyük ölçüde Doğu Kıyısı boyunca gaz ve petrol sağlayan Sömürge Boru Hattını felce uğratan Rus fidye yazılımına odaklandı. Bu toplantının ardından Bayan Neuberger, şirketlerin yazılımlarını geliştirme biçiminde değişikliklere zorlamak için federal sözleşme sürecini kullanmayı umarak, hükümetteki kurumları kendileriyle iş yapan şirketler için yeni gereksinimler hazırlamaya çağırdı.
Ancak çabalar yeterince ileri gitmedi. Şirketler, ürünlerinin yeni koşulları karşıladığını ancak hiçbir zaman iddialarını kanıtlamalarının gerekmediğini söyledi. Çin'in istihbarat teşkilatlarından biriyle bağlantılı bilgisayar korsanları yakın zamanda Hazine Bakanlığı'na girip binlerce gizli belgeye erişim sağladıklarında, BeyondTrust'un yazılımını kullandıkları ortaya çıktı. Federal yetkililer, şirketin tüm siber güvenlik gerekliliklerini karşıladığını iddia ettiğini ancak yeni düzenlemelerin şirketi bu adımları kamuya açıklamaya zorladığını söyledi.
Bayan Neuberger, eski federal düzenlemeler hakkında şunları söyledi: “Yazılım üreten şirketlere, yazılımı kullandıklarını bize söylemeleri talimatını verdik.” “Sanırım son dört yılda gerçekten kanıta ihtiyacımız olduğunu gördük.”
BeyondTrust, “Aralık 2024'ün başlarında bir güvenlik olayını çözmek için harekete geçtiği” ve “sınırlı sayıda müşteriye bildirimde bulunduğu” yönündeki kısa açıklamalar dışında olayla ilgili çok az şey söyledi. İhlalin nasıl gerçekleştiğini tartışmayı reddetti.
Ülkenin en büyük telekomünikasyon şirketleri de Çin istihbarat teşkilatlarının kendi ağlarında nasıl yeni, neredeyse tespit edilemeyen delikler keşfettikleri hakkında pek bir şey söylemedi. Keşif, hükümetin mahkeme emirlerini içeren en gizli telefon dinleme sistemlerinden bazılarına ve ayrıca Başkan seçilen Donald J. Trump ve Başkan Yardımcısı JD Vance'in şifrelenmemiş konuşmalarına erişim sağladı. (Yetkililerin bu erişimi istismar edip etmediği belli değil.)
Bayan Neuberger, “Çin'in Microsoft bulutu ele geçirmesi, Rusya'nın ticari bir uydu şirketini kapatması ve fidye yazılımı saldırganlarının hastaneleri ameliyatları ertelemeye zorlaması gibi son dört yılda manşetlere çıkan siber saldırılardan sonra” dedi ve şöyle devam etti: “Yedi yıl yatırım yaptık. ” Saldırganların kapılardan tam olarak nasıl geçtiklerini belirlemek için aylar boyunca her hackleme olayı dikkatle incelendi.”
Yeni kurallar büyük olasılıkla Salt Typhoon adı verilen telekomünikasyon şirketlerine yönelik gözetim operasyonlarında bir fark yaratmayacaktı. Adada bir askeri harekat durumunda Tayvan'a yapılacak yardımı caydırmak için ABD'deki sistemleri felce uğratmayı amaçlayan, elektrik şebekesinin ve su borularının Çin ile bağlantılı farklı türden bir hacker saldırısından korunmasına yardımcı olmuş olabilirler.
En son yönergelere göre, federal hükümetin yazılıma her yıl harcadığı 100 milyar dolardan fazla ödeme yapan her şirket bu gereksinimlere tabi olacak. İhlal edenler, sivil kovuşturma için Adalet Bakanlığı'na sevk edilebilir.
Yeni kurallar, Rusya'nın yerdeki modemlerine saldırarak Avrupa uydu iletişim sistemini felce uğratmasının ardından uzay sistemlerine de gereksinimler getirecek.
Ancak yeni düzenin uygulanması, yaklaşık 120 gün içinde başlayacak olan son teslim tarihlerini karşılaması gereken Trump yönetimine bırakılacak. Şirketlerin Bay Trump'ın son teslim tarihlerini karşılayıp karşılamadığını test etmeye karar verdiğinde çok önemli bir an gelecek.
Bayan Neuberger, Biden yönetiminin önceki Trump yönetiminden kalan birçok kural ve emri benimsediğini kaydetti. Geri dönen hükümetin de “aynısını yapmasını” beklediğini söyledi. Ancak bunun pek garantisi yoktur.
Bayan Neuberger geçtiğimiz günlerde Amerikan ağlarının dayanıklılığını artırmanın iki partili bir çaba olduğunu belirtse de, yeni ulusal güvenlik danışmanı Temsilci Michael Waltz, Çin'e saldırgan siber operasyonlarla yanıt verme konusunda çok daha fazla konuştu.
Bu aynı zamanda Bay Trump'ın CIA direktörü olarak seçtiği John Ratcliffe için de geçerlidir. Bay Ratcliffe, Çarşamba günkü onay duruşmasında, Amerika Birleşik Devletleri'nin “birkaç saniye içinde ve birkaç tuş vuruşuyla, yarım dünya öteden dijital sınırlarımızı aşan bir istilaya” tanık olduğunu söyledi. Amerika'nın bu tür saldırıları caydırma yeteneğinin zayıfladığını savundu.
“Caydırıcı etki, düşmanlarımızın bunu yapması halinde bunun sonuçlarının ortaya çıkması olmalıdır” dedi.