Geçen sonbaharda Başkan Joe Biden, ülkenin köprülerini iyileştirmek, iklim direncine yardımcı olmak, geniş bant interneti kırsal alanlara getirmek ve su ve enerji sistemlerini yükseltmek için 1 trilyon dolardan fazla tahsis ederek tarihin en büyük altyapı paketlerinden birini yasalaştırdı. Altyapı Yatırım ve İstihdam Yasası ayrıca siber güvenlik için neredeyse 2 milyar dolar içeriyor ve bunun yarısı eyalet, yerel ve kabile hükümetleri için bir hibe programına gidiyor.
Siber güvenlik finansmanı, boru hatlarının, elektrik şebekelerinin, su sistemlerinin ve yerel yönetimlerin, fidye yazılımı çetelerinden karmaşık devlet aktörlerine kadar çeşitli düşmanlara sahip olduğu bir zamanda geliyor. Para, zayıf güvenlik uygulamalarından geçiş yapmalarına ve sıfır güven gibi gelişmiş güvenlik modellerini uygulamalarına yardımcı olmayı amaçlıyor.
Critical Insight CISO’su ve Seattle şehri eski CISO’su Mike Hamilton, özellikle, hükümet fonları sınırlı kaynaklara sahip küçük kuruluşlara yardımcı olabilir – özellikle kırsal alanlarda yerleşik olanlar, diyor. “Dolar öncelikle yerel yönetimleri temel bir hijyen durumuna getirmeye odaklanmalı çünkü birçoğu standartların çok gerisinde” diye ekliyor.
Kritik altyapı sektöründe (enerji, ulaşım, tarım ve finans gibi) faaliyet gösteren yerel yönetimler ve özel kuruluşlar, siber güvenlik girişimlerini düşünmeye ve bu hibelere başvurmaya başlıyor. Evrensel bir alışveriş listesi bulunmamakla birlikte, uzmanlar bu fonlara başvurmaya hazırlanırken dikkate alınması gereken birkaç öncelikten bahseder.
Alışveriş Listesini Oluşturma
Her türlü siber güvenlik planlaması, tüm varlıkların bir envanteri ve bir risk değerlendirmesi ile başlamalıdır ve federal fon başvurusunda bulunmak da farklı değildir. Güney Kaliforniya Metropolitan Su Bölgesi CISO’su Jake Margolis, bu bulguların organizasyonun neye ihtiyacı olduğuna dair bir temel oluşturacağını ve farklı yönetilen hizmet türlerinden başlayarak ek gereksinimleri ortaya çıkaracağını söylüyor. 7/24 çalışan, bakım görevleri için dış kaynak kullanımı ve olay müdahalesi sağlayan yönetilen algılama ve yanıt hizmetleri önerir.
Hamilton, yerel yönetimlerin yerinde olmayabilecek önleyici kontrollerle hız kazanması gerektiğini de sözlerine ekledi. “Bu, risk ifadesinde ‘kötü bir sonuç olasılığı’ terimini satın alacaktır” diyor.
Veri analitiği teknolojisi de listede üst sıralarda görünmelidir.
“Parayı yönetişim riski ve uyumluluk platformlarını bir araya getirmek için harcardım, SIEM [security information and event management] ve YÜKSEL [security orchestration automation and response] Margolis şöyle diyor: “Birbirinizle konuşan bu araçlara sahip olduğunuzda, çeşitli kaynaklardan bilgi çekersiniz… bu da ne olduğunuzu anlamanıza olanak tanır. karşı.”
Margolis ayrıca, “güzel uyumlu bir sıfır güven mimarisine” sahip olmayı hedefleyerek, insanların ağa erişme şeklini dönüştürmek için para harcayacaktı, ancak bunu başarmanın zor ve pahalı olduğunu kabul ediyor. “Bütün parayı buna harcardım” diyor.
Yine de, çalışanları eğitmek ve kültürü değiştirmek, farklı departmanlardaki teknoloji uzmanlarının güvenlik becerilerini yükseltmelerine yardımcı olmak önemlidir.
Hibe uygulamaları, uç nokta algılama ve yanıt (EDR) platformlarından uygulama beyaz liste teknolojilerine ve varlık yönetimi yazılımlarına kadar pek çok ürün ve hizmeti içerebilirken, bu araçlar güvenlik yeteneği eksikliğini telafi edemez. Uzmanları işe alma ve elde tutma, en kritik altyapı sektörlerinin mücadele ettiği konulardır.
“Bu 1 numara olurdu [on the list]ama bunu ‘satın alamayız’ diyor. “Mevzuata dahil değil.”
Standartları Takip Edin
Altyapı Yatırımı ve İşler Yasası’nın siber güvenlik finansmanı, ekli birkaç kuralla birlikte gelir. Hamilton, hibe başvurusunda bulunmak isteyen kuruluşlar “çalışanları işe alamaz/ödeyemez, mevcut maliyetlerin yerine geçemez” diyor. Ayrıca, federal hibelerin zorunlu kıldığı gibi maliyetlere katılmaya ve zaman içinde paylarını artırmaya hazır olmaları gerekir.
Hibe başvurusunu yazarken bir strateji, temel bilgilerin kapsandığından emin olmaktır.
“[M]Secureworks Counter Threat Unit’te kıdemli güvenlik araştırmacısı Chris Yule, “Bu, güvenlik açıklarının belirlenmesi, sistemlerin yamalanması, harici erişim için çok faktörlü kimlik doğrulamanın kullanılması ve olağandışı etkinlikleri tespit etmek için uygun araçların kullanılması gibi güvenlik temelleri düzgün bir şekilde yapılmış olsaydı, ost olayları önlenebilirdi” diyor. güvenlik duruşlarını değerlendiren herhangi bir kuruluş için her zaman başlangıç noktası olmalıdır.”
Yule, kuruluşların bütünsel bir yaklaşım benimsemelerini ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından belirlenen Siber Güvenlik Çerçevesi gibi metodolojileri takip etmelerini tavsiye ediyor.
Razvan E. Miutescu, NIST çerçevesine ek olarak, yerel yönetimlerin ve kritik altyapı sektörlerinin, kamu alımları için Federal Satın Alma Yönetmeliği’nde (FAR) veya Siber Güvenlik Olgunluk Modeli Sertifikasyonu’nda (CMMC) belirlenen temel siber güvenlik yönergelerine de bakabileceğini söylüyor. Gizlilik ve veri güvenliği, veri yönetimi ve uyumluluk konularında uzmanlaştığı Whiteford, Taylor & Preston LLP’de ortaktır.
“Etkili bir şekilde, Altyapı Yatırımı ve İş Yasası, gönüllü standartların ne olduğunu belirler. [i.e., NIST and CMMC] yasal ve teknik gereklilikler olarak” diyor ve “Siber güvenlik planlarının geliştirilmesi ve revizyonunda bu standartlardan sapmalar titizlikle belgelenmeli ve açıklanmalıdır, bu nedenle bu standartların esaslı olarak neleri kapsadığını anlamak kritik öneme sahiptir.”
Hibe Başvurusunun Oluşturulması İçin Tavsiye
Yerel yönetimler ve kritik altyapı için çalışan güvenlik uzmanları, gerçekçi bir yaklaşımın en etkili olabileceğini söylüyor. Kamu hizmetleri ve elektrik şebekesi benzersiz zorluklarla karşı karşıya olsa da, çoğu güvenlik olayı, sağlam bir güvenlik programıyla önlenebilecek herhangi bir ağa izinsiz giriş gibi başlar.
Yule, “‘Gelişmiş teknolojilere’ odaklanmak genellikle bunun için bir sis perdesi olabilir” diyor.
Bir siber güvenlik planı bir bilim kurgu romanı değil, organizasyonun kaynaklarını dikkate alan gerçekçi bir proje olmalıdır.
“Yeterli personel, sürekli bakım maliyetleri, sürekli eğitim vb. yeni parlak araçlar satın almadan önce dikkate alınmazsa… Albuquerque Bernalillo İlçe Su Hizmetleri Kurumu CISO’su Kristen Sanders, “gerçekten olduğundan daha iyi bir durumda” diyor. “Gümüş bir çözüm yok ve fayda her zaman uygulama maliyetine değmez.”
Özellikle para kaybetmeyi göze alamayan az sayıda kaynağa sahip kuruluşlar tarafından dikkate alınması gereken yasal yönler de vardır. Hamilton, “Yasal olarak, ürün güvenliği sorumluluğunu satıcılara aktarmak ve sorumluluğu mümkün olduğunca değiştirmek için satın alma ve sözleşme süreçleri üzerinde çalışın” diyor. “Yıllık satıcı risk yönetimini yürütmeye başlayın.”
Son olarak, Altyapı Yatırım ve İş Yasası kapsamında federal finansmana erişim isteyenler, yasal gerekliliklerin yerine getirilmemesinin “özel bir sözleşme ihlalinden çok daha uğursuz sonuçlara” yol açabileceğini akıllarında bulundurmalılar, diye ekliyor Miutescu. “Uygulama bir sürecin başlangıcıdır ve finanse edilen kuruluşlar için çok farklı bir iş yapma yöntemi olabilecek uzun vadeli bir taahhüt gerektirecektir.”
Güvenlik uzmanları yasayı memnuniyetle karşılarken, ABD’de yaklaşık 90.000 yerel yönetim olduğu göz önüne alındığında, finansmanın neredeyse yeterli olmadığından endişeleniyorlar.
Sanders, “Genel olarak, siber güvenlik altyapı faturasının bütçesinin yalnızca %0,2’sini oluşturuyor – evet, bu 2’nin önünde bir ondalık sayı, yani %1 bile değil,” diyor. “Bu kadar büyük bir sorun olan bir şey için çok küçük bir yüzde gibi görünüyor.”