Sibere giden yolun yeni kurallarının ulusal güvenlik üzerindeki etkileri

UZMAN PERSPEKTİFİ – Siber Girişimler Grubu (The Cipher Brief tarafından desteklenmektedir), SEC’in siber güvenlik risk yönetimi, stratejisi, yönetimi ve kamu şirketlerinin bir kısmından gelen olayların ifşası ile ilgili önerilen kuralları desteklemek için bu hafta anayurt güvenliği ile ilgili yorumları sundu. İşte resmi dosya.

Eski Ulusal Güvenlik Ajansı Genel Danışmanı liderliğindeki yorumcular Glenn Gerstell, içermek Kelly Bissel, Küresel Güvenlik Hizmetleri Başkanı, Microsoft Corporation, ÜZERİNDE. Sue Gordon, eski Ulusal İstihbarat Başkan YardımcısıMatt Hayden, Sibernetik, Altyapı, Risk ve Dayanıklılık için Ulusal Güvenlik eski Bakan Yardımcısı, GEN Michael Hayden (emekli), Merkezi İstihbarat Teşkilatı ve Ulusal Güvenlik Teşkilatı eski Direktörü, ÜZERİNDE. S. Leslie İrlanda, İstihbarat ve Analizden Sorumlu eski Hazine Müsteşar YardımcısıRichard H. Ledgett, Jr., Eski Müdür Yardımcısı, Ulusal Güvenlik Ajansı, RADM Mark Montgomery (emekli), eski İcra Direktörü Cyberspace Solaryum Komisyonu e Debora Plunkett, fUlusal Güvenlik Kurumu Bilgi Güvence Müdürlüğü eski Müdürü.


sırasında IGC Dekanlarına katılın. Sanal Bahar Zirvesi 25 Mayıs Çarşambainci ve Rusya tarafından başlatılan olası siber operasyonlardan kritik altyapının güvenliğini sağlamaya, fidye yazılımı patlamasıyla mücadeleye ve üçüncü taraf satıcıları yönetmeye kadar çeşitli konularda kamu ve özel sektör liderleriyle bağlantı kurun. Etkinlik ücretsiz ve kayıtlı bir etkinliktir. Şimdi yerinizi ayırtın.


Dosya numarası S7-09-22 – Önerilen standart hakkında yorumlar

Aşağıda imzası bulunanlar, Komisyon tarafından 9 Mart 2022’de önerilen Siber Güvenlik Risk Yönetimi, Strateji, Yönetişim ve Kamu Şirketleri tarafından Olay Açıklaması ile ilgili kuralların (“Önerilen Kurallar”) hedeflerini desteklemek için bu gözlemleri yapmaktadır.

Aşağıda imzaları bulunanlar, siber ve güvenlik konularında farkındalığı artırmak için Amerika Birleşik Devletleri’ndeki özel sektörle ilişki kuran özel bir medya kuruluşu olan The Cipher Brief tarafından oluşturulan ve sponsor olunan bir komite olan Siber Girişimler Grubunun Yöneticileridir. Birçoğumuz şu anda özel sektörde siber konulara doğrudan dahiliz ve siber güvenliğin hem politik hem de operasyonel yönlerinde önemli deneyime sahibiz; çoğumuz ulusumuzun askeri veya istihbarat topluluğunun en üst seviyelerinde hizmet verdik, diğerleri ise ülkenin önde gelen siber güvenlik şirketlerinde ve teknoloji sağlayıcılarında lider rollere sahip. (Bireysel yeteneklerimizi yazıyoruz ve aşağıda belirtilen bağlantılar yalnızca tanımlama amaçlıdır.)

Bu yorumları yapmaktaki amacımız, önerilen kuralın amaçlarını desteklemek, bize göre, ulusal güvenlik endişelerinin düzenlemeyi geliştirmek için geçerli ve önemli bir gerekçe olduğu konusunda Komisyonu uyarmak ve önerilen kuralın potansiyele sahip olduğunu vurgulamaktır. sadece yatırımcılara ve tescil ettirenlere değil, bize göre en önemlisi ulusal güvenliğimize de fayda sağlamaktır. Bunu yaparken, diğerleri bu ayrıntıları daha uygun bir şekilde ele alabileceğinden, önerilen kuralın kapsamı, düzenleyici yükü veya diğer teknik yönleri hakkında yorum yapmıyoruz. Bununla birlikte, halka açık şirketler için daha iyi bir siber güvenlik tutumunun ulusal güvenlik sonuçları hakkında yorumda bulunabiliyoruz.

Komisyonun, önerilen düzenlemeye eşlik eden temel bildirgesinde belirttiği gibi, “[l]Büyük ölçekli siber güvenlik saldırılarının, kritik altyapı ve ulusal güvenlik üzerinde ciddi etkiler de dahil olmak üzere bir bütün olarak ekonomi üzerinde sistemik etkileri olabilir.

Aşağıda imzası bulunanların tümü, siber düşmanlarımızın teknik gelişmişliğinin farkındadır ve bunun artarak devam edeceğine ve ulusumuza daha büyük riskler yükleyeceğine inanmaktadır. Bu bağlamda belirtmek gerekir ki, sanat ABD İstihbarat Topluluğu Yıllık Tehdit Değerlendirmesi (7 Şubat 2022 tarihli), dört ulus devlet düşmanının (Çin, Rusya, İran ve Kuzey Kore) siber kötülüğünü üst düzey tehditler olarak gösterdi. Ne yazık ki, düşmanlık tehdidi arttıkça, işimizin, devletimizin ve kişisel yaşamımızın her alanında dijital teknolojiye giderek daha fazla güvendiğimiz için savunmasızlığımız da artıyor. Nesnelerin İnterneti’nin ortaya çıkışı ve 5G telekomünikasyon teknolojisi, yapay zeka ve potansiyel olarak kuantum hesaplama (sadece birkaç gelişmeyi saymak gerekirse) tarafından üretilen, depolanan ve kullanılan devasa miktardaki veri, kötü niyetli siber faaliyetler için daha ilginç hedefler yaratacaktır. böylece ulusumuzun altyapısı, işletmeleri ve vatandaşları için risk artıyor. Bu teknolojinin çoğu kamu şirketlerine aittir ve onlar tarafından işletilmektedir. Bu güvenlik açıkları ulusal güvenliğimizi doğrudan etkileyebilir.

Önemli siber güvenlik olaylarının güncel raporlanmasını ve ayrıca (1) bir tescil ettirenin siber güvenlik risklerini belirleme ve yönetmeye ilişkin politika ve prosedürlerine, (2) siber güvenlik politika ve prosedürlerinin uygulanmasında yönetimin rolüne ve (3 ) kurulun siber güvenlik deneyimi ve siber güvenlik riskinin denetimi uygundur ve tescil ettirenlerin siber güvenlik pozisyonlarını iyileştirebilir. Kamu şirketleri kritik altyapıya sahiptir, her sanayi, tarım ve hizmet sektöründeki kilit işleri yönetir veya işletir ve birçok açıdan Amerikan ekonomisinin bel kemiğini oluşturur. Sonuç olarak, kamu kurumlarında daha fazla siber güvenlik, doğrudan daha güvenli ve daha dirençli bir ulusal ekonomiye dönüşür. Önemli siber olayların daha fazla raporlanmasını talep etmenin yatırımcıları, genel halkı ve devlet kurumlarını daha iyi bilgilendireceği ve bilgi politikalarının ve kurul deneyiminin daha fazla ifşa edilmesinin halka açık şirketleri (ve buna bağlı olarak özel şirketleri, en azından bazılarına) teşvik edeceği mantıklıdır. ölçüde) bu sektörlerdeki piyasa beklentilerini aşmamak kaydıyla karşılamak.

Doğaları gereği, bu faydalar kolayca ölçülemez, ancak kesin ölçüm eksikliği bu durumda açıkça açık ve mantıklı olanı reddetmek için bir neden olamaz. Ulusal refahımız için bu faydaların temel olduğuna ve Komisyon tarafından politika geliştirme ve düzenlemede dikkate alınabileceğine ve dikkate alınması gerektiğine inanıyoruz.

İlgili tarafların önerilen kuralın kapsamı ve diğer teknik yönleri hakkında farklı görüşlere sahip olacağını anlıyoruz ve yukarıda belirtildiği gibi burada bu konular hakkında bir fikir beyan etmiyoruz. Ancak, bildirim ve ifşayı diğer gerekliliklerle (2022 Kritik Altyapı için Siber Olay Raporlama Yasası kapsamında uygulanacak olanlar gibi) standartlaştırma ve uyumlu hale getirme çabalarının, açıkça sağlamlık uyumluluğunu artırma etkisine sahip olacağını vurgulamak isteriz. ve Yönetmelik Teklifinin amaçları.

Siber Girişimler Grubu bültenine abone olun. Daha iyi siber sonuçlar daha iyi düşünmeyi gerektirir. Biz eğitirken ve yeni bir siber gelecek yaratırken, yeni kamu-özel siber ekosisteminin uzmanlarına katılın. CIG bültenine bugün kaydolun.

Ulusal güvenlik herkesin işi olduğundan, The Cipher Brief’te daha fazla uzman liderliğindeki ulusal güvenlik içgörüleri, bakış açıları ve analizleri okuyun.