Beyaz Saray, ABD federal kurumlarındaki siber güvenlik gerekliliklerini kaldırıyor. Solarwinds felaketinin ardından yetkililer tarafından kullanılan yazılımlara ilişkin kurallar artık bağlayıcı değil. Yetkililerin yazılımlarının hangi kütüphanelere, programlara ve hizmetlere (SBOM, Yazılım Malzeme Listesi) bağlı olduğunu belirlemesi önemli bir bileşendi. Bu bilgiye sahip olan herkes, yazılımlarının bilinen güvenlik açıklarından etkilenip etkilenmediğini daha kolay tespit edebilir.
Duyurudan sonra devamını okuyun
Geçen Cuma, Beyaz Saray'ın bir departmanı olan Yönetim ve Bütçe Ofisi (OMB), yazılımın edinilmesi ve kullanımına ilişkin önceki güvenlik düzenlemelerini iptal etti (M-26-05). Artık her otorite hangi risklere maruz olduğuna ve bunlarla nasıl mücadele etmesi gerektiğine bağımsız olarak karar vermek zorunda kalacak. Bu, ABD'nin Cumhuriyetçi Başkanı Donald Trump'ın kuralsızlaştırma politikasının sonucudur.
Federal kurumlar, derhal geçerli olmak üzere, NIST'in Güvenli Yazılım Geliştirme Çerçevesi (SSDF), SP 800-218 ve NIST'in Yazılım Tedarik Zinciri Güvenlik Kılavuzu'na uyulup uyulmayacağına karar vermekte özgürdür. Yeni kararnamede bu kurallar, “uyumu gerçek güvenliğe yatırımın üstünde tutacak” “kanıtlanmamış ve hantal” olarak tanımlanıyor. OMB şefi Russell Vought, güvenliğe yapılan gerçek yatırımlar olarak gördüğü şeyleri açık bırakıyor.
Genel anlamda, “Her kurum, kapsamlı bir risk değerlendirmesine dayalı güvenli programlama ilkelerini uygulayarak tedarikçilerinin güvenliğini doğrulamalıdır” diyor. Yetkililer, kullandıkları yazılım ve donanımın bir listesini tutmalı ve donanım ve yazılım için kendi kılavuzlarını ve süreçlerini geliştirmelidir, ancak bu sadece “kendi risk değerlendirmeleri ve görevleri”nin gerektirdiği ölçüde olmalıdır. Bunun pratikte ne anlama geldiği bireysel yetkililerin kararına bırakılmıştır.
Güneş rüzgarı, Biden ve NIST
Artık kaldırılan güvenlik önlemlerinin bir geçmişi var: 2019'da, iddia edilen Rus devlet saldırganları Solarwinds'in Orion platformunu tehlikeye atmayı ve resmi güncellemelere bir Truva atı eklemeyi başardılar. Solarwinds, dünya çapında 300.000'den fazla müşterinin kullandığı ağ ve güvenlik ürünlerini satmaktadır. Buna birçok Fortune 500 şirketi ve ABD Ordusu, Pentagon ve Dışişleri Bakanlığı gibi devlet kurumları da dahildir. Mart 2020'den itibaren güncellemelerin yüklenmesiyle sistemleri tehlikeye girdi. 2020'nin sonlarında Fireeye, saldırganların bilgisayar korsanlığı yazılımı cephaneliğine baskın yapması nedeniyle arka kapıları keşfetti. Fireeye'ın bir kısmı CIA'e aitti. Şubat 2021'de Microsoft yöneticisi Brad Smith, “dünyanın şimdiye kadar gördüğü en büyük ve en karmaşık saldırıdan” bahsetti.
Bu darbenin ardından dönemin ABD Başkanı Joe Biden, Mayıs 2021'de federal makamların siber güvenliğe ilişkin kararnamesinde (yürütme emri 14028) yer alan önlemleri aldı. Ülkenin siber güvenliğini iyileştirin) yoğunlaştırıldı. Buna yazılım tedarik zinciri güvenliği de dahildi. ABD Ticaret Bakanlığı'nın bir bölümü olan NIST (Ulusal Standartlar ve Teknoloji Enstitüsü), devreye girdi ve yukarıda adı geçen Güvenli Yazılım Geliştirme Çerçevesi ve Yazılım Tedarik Zinciri Güvenlik Kılavuzunu geliştirdi. Zamanında, çünkü neredeyse her üç şirketten biri artık yazılım tedarik zincirlerine yönelik saldırılardan etkileniyor.
Duyurudan sonra devamını okuyun
2022'den itibaren ABD makamlarında uygulama
Bu NIST tavsiyelerine uymak, Eylül 2022'den itibaren OMB Kararı M-22-18 aracılığıyla federal kurumlar için zorunlu hale geldi. Satıcıların, yazılımlarını güvenlik ilkelerine uygun olarak geliştirdiklerini ve hangi bileşenlerin dahil edildiğini (SBOM) göstermeleri gerekiyordu. Mümkünse aynı kurallara dayandırılması gerekmesine rağmen yetkililerin kendi geliştirmeleri hariç tutuldu.
Haziran 2023'teki OMB Emri M-23-16, bazı geçiş dönemlerini o yılın Aralık ayına kadar uzattı ve açık kaynaklı yazılımın kapsam dışında olduğunu açıkladı. Sonuçta, gelişimi izleyen merkezi bir sağlayıcı yok. Ayrıca, web tarayıcıları gibi özel ve ücretsiz olarak temin edilebilen yazılımlar hariç tutulmuştur. Özgür yazılım sağlayıcıları genellikle “al ya da bırak” ilkesine güvendiğinden, onları sertifika almaya ve bağımlılıkları açıklamaya ikna etmek zordur.
Yetkililer tarafından yaptırılan geliştirmeler, otoritenin geliştirmeyi belirlediği ve denetlediği ölçüde hariç tutuldu, çünkü bu bir iç gelişme olarak kabul edildi. 2023 kısıtlamaları mevcut ABD hükümeti için yeterli değil. Her iki OMB kararını da Biden'ın görev süresinden kaldırın.
(ds)
Bir yanıt yazın