Taahhüt, şirketlerin hedeflere nasıl ulaşabileceklerine dair örnekler sunuyor ancak şirketlerin bunu “en iyi nasıl gerçekleştireceklerine karar verme takdirine sahip olduğunu” belirtiyor. Belge aynı zamanda şirketlerin hedeflerinde “ölçülebilir ilerleme” gösterdiğini ve “başkalarının öğrenebilmesi için” tekniklerini belgelemesinin önemini de vurguluyor.
Goldstein'a göre CISA, bir yandan ajansın hedeflerine ulaşırken bir yandan da onlar için neyin mümkün olabileceğini anlamak amacıyla teknoloji şirketleriyle istişarede bulunarak taahhüdü geliştirdi. Bu, taahhütlerin yalnızca Silikon Vadisi devleri için değil, her büyüklükteki şirket için uygulanabilir olmasını sağlamak anlamına geliyordu.
Teknoloji sektörü yetkilisine göre, ajans başlangıçta şirketleri taahhüdü imzalamaya teşvik etmek için Ortak Siber Savunma İşbirliği'ni kullanmayı denedi, ancak şirketler operasyonel bir siber savunma işbirliği grubunun kullanımını “bir politika ve yasal sorun” nedeniyle sorguladığında bu durum geri tepti. yetkili diyor.
Yetkili, “Sektör, taahhüt almak için JCDC'yi kullanmaya çalışmaktan duyduğu hayal kırıklığını dile getirdi” dedi ve CISA “akıllıca bu çabayı geri çekti.”
CISA daha sonra Bilgi Teknolojileri Sektörü Koordinasyon Konseyi aracılığıyla şirketlerle görüşmelerde bulundu ve onların geri bildirimlerine göre taahhütte ayarlamalar yaptı. Sektör yetkilisine göre, başlangıçta taahhüt yediden fazla hedef içeriyordu ve CISA, imzacıların ilerlemeyi göstermek için “sağlam ölçümler” taahhüt etmelerini istiyordu. Bu kişi, sonuçta CISA'nın birçok hedefi ortadan kaldırdığını ve ilerlemeyi ölçme konusunda “dili genişlettiğini” söylüyor.
Büyük bir endüstri ticaret grubu olan Bilgi Teknolojileri İnovasyon Konseyi'nin politika, güven, veri ve teknolojiden sorumlu kıdemli başkan yardımcısı John Miller, değişimin akıllıca olduğunu çünkü çok faktörlü kimlik doğrulamayı kullanan kullanıcı sayısı gibi somut ilerleme ölçümlerinin olduğunu söylüyor. “kolaylıkla yanlış anlaşılabilir.”
Goldstein, taahhüt imzalayanların sayısının bu noktada “nerede olacağımıza dair beklentilerimi aştığını” söylüyor. Sektör yetkilisi, kısmen satıcıların CISA'nın RSA'daki lansman etkinliğinden sonra “imzalama seçeneğini açık tutmak” istemesi nedeniyle taahhüdü imzalamayı kesin olarak reddeden herhangi bir şirketten haberdar olmadıklarını söyledi. “Herkes bir nevi bekle-gör modunda.”
Yasal sorumluluk, potansiyel imza sahibi şirketler için en önemli endişe kaynağıdır. Miller şöyle diyor: “Eğer kaçınılmaz olarak bir tür güvenlik olayı meydana gelirse,” [a] şirket kamuya açık olarak davalarda kullanılabileceğini söyledi.
Bununla birlikte Miller, katı yeni Avrupa güvenlik gereksinimleriyle karşı karşıya olan bazı küresel şirketlerin, zaten yapmak zorunda oldukları bir şey için ABD'nin “krediyi alma” taahhüdünü imzalayacaklarını öngörüyor.
CISA'nın Güvenli Tasarım kampanyası, Biden yönetiminin iddialı planının merkezini oluşturuyor. Siber güvenliğin yükünü kullanıcılardan satıcılara kaydırmakyönetimin Ulusal Siber Güvenlik Stratejisinin temel temasıdır. Kurumsal siber sorumluluğa yönelik baskı, kritik yazılım üreticilerine yönelik yıllardır süren yıkıcı tedarik zinciri saldırılarının ardından geliyor. Microsoft, SolarRüzgarlar, KaseyaVe Sağlık Hizmetini Değiştirve ayrıca bir montaj listesi yaygın yazılım güvenlik açıkları Okullara, hastanelere ve diğer önemli hizmetlere yönelik fidye yazılımı saldırılarına güç verenler. Beyaz Saray yetkilileri, maliyetli ve çoğu zaman önlenebilir ihlallerin, kurumsal hesap verebilirliğin arttırılması ihtiyacını gösterdiğini söylüyor.
Kaynak bağlantısı