Beyaz Saray, ABD federal kurumlarındaki BT güvenliği gerekliliklerini kaldırıyor. Solarwinds felaketinin bir sonucu olarak yetkililer tarafından kullanılan yazılımlara ilişkin kurallar artık bağlayıcı değildir. Önemli bir bileşen, yetkililerin yazılımlarının hangi kütüphanelere, programlara ve hizmetlere bağlı olduğunu belirlemesiydi (SBOM, Yazılım Malzeme Listesi). Bu bilgiye sahip olan herkes, yazılımının bilinen güvenlik açıklarından etkilenip etkilenmediğini daha kolay tespit edebilir.
Reklamdan sonra devamını okuyun
Geçtiğimiz Cuma günü, Beyaz Saray'ın bir departmanı olan Yönetim ve Bütçe Dairesi (OMB), yazılımın satın alınması ve kullanımına ilişkin önceki güvenlik kurallarını (M-26-05) kaldırdı. Artık her otoritenin hangi risklerle karşı karşıya olduğuna ve bunlara nasıl karşı koyacağına kendisi karar vermesi gerekiyor. Bu, Cumhuriyetçi ABD Başkanı Donald Trump'ın kuralsızlaştırma politikasının sonucudur.
Federal kurumlar, derhal geçerli olmak üzere, NIST Güvenli Yazılım Geliştirme Çerçevesi (SSDF), SP 800-218 ve NIST Yazılım Tedarik Zinciri Güvenlik Kılavuzuna uyulup uyulmayacağına karar vermekte özgürdür. Yeni kararnamede bu kurallar, “uyumluluğu gerçek güvenlik yatırımlarının önüne koyacak” “kanıtlanmamış ve hantal” olarak tanımlanıyor. OMB başkanı Russell Vought, gerçek güvenlik yatırımları olarak gördüğü yatırımları açık bırakıyor.
Genel anlamda şöyle diyor: “Her kurum, kapsamlı bir risk değerlendirmesine dayanan güvenli programlama ilkelerini uygulayarak tedarikçilerinin güvenliğini doğrulamalıdır.” Yetkililer, kullandıkları yazılım ve donanımın bir listesini tutmalı ve donanım ve yazılım için kendi kılavuzlarını ve süreçlerini geliştirmelidir, ancak bu sadece “kendi risk değerlendirmeleri ve görevleri”nin gerektirdiği ölçüde olmalıdır. Bunun pratikte ne anlama geldiği bireysel yetkililere bırakılmıştır.
Güneş rüzgarı, Biden ve NIST
Artık kaldırılan güvenlik önlemlerinin bir geçmişi var: 2019'da şüpheli Rus devlet saldırganları Solarwinds'in Orion platformuna sızmayı ve resmi güncellemelere bir Truva atı sokmayı başardılar. Solarwinds, dünya çapında 300.000'den fazla müşterinin kullandığı ağ ve güvenlik ürünlerini satmaktadır. Buna birçok Fortune 500 şirketinin yanı sıra ABD ordusu, Pentagon ve Dışişleri Bakanlığı gibi devlet kurumları da dahildir. Güncelleştirmeleri yükleyerek Mart 2020'den itibaren sistemleri tehlikeye girdi. 2020'nin sonunda Fireeye, saldırganların bilgisayar korsanlığı yazılımı cephaneliğini yağmalaması nedeniyle arka kapıları keşfetti. Fireeye'ın bir kısmı CIA'e aitti. Şubat 2021'de Microsoft yöneticisi Brad Smith, “dünyanın şimdiye kadar gördüğü en büyük ve en karmaşık saldırıdan” bahsetti.
Bu ciddi darbenin ardından dönemin ABD Başkanı Joe Biden, Mayıs 2021'de federal makamlarda BT güvenliğine ilişkin bir kararnamede (Yürütme Emri 14028) yer alan önlemleri aldı. Ülkenin Siber Güvenliğini İyileştirme) yoğunlaştırıldı. Buna yazılım tedarik zincirinin güvence altına alınması da dahildi. ABD Ticaret Bakanlığı'nın bir bölümü olan NIST (Ulusal Standartlar ve Teknoloji Enstitüsü) harekete geçti ve yukarıda bahsedilen Güvenli Yazılım Geliştirme Çerçevesini ve Yazılım Tedarik Zinciri Güvenlik Kılavuzunu geliştirdi. Zamanında, çünkü neredeyse her üç şirketten biri artık yazılım tedarik zincirine yönelik saldırılardan etkileniyor.
Reklamdan sonra devamını okuyun
2022'den itibaren ABD makamlarında uygulama
Bu NIST tavsiyelerine uymak, Eylül 2022'den itibaren OMB Kararı M-22-18 aracılığıyla federal kurumlar için zorunlu hale geldi. Tedarikçilerin, yazılımlarını güvenlik ilkelerine uygun olarak geliştirdiklerini ve hangi bileşenlerin dahil edildiğini (SBOM) göstermeleri gerekiyordu. Mümkünse aynı kurallara dayandırılması gerekmesine rağmen yetkililerin kendi geliştirmeleri hariç tutuldu.
Haziran 2023'te OMB Talimatı M-23-16, belirli geçiş sürelerini o yılın Aralık ayına kadar uzattı ve açık kaynak yazılımların kapsam dışında olduğunu açıkladı. Sonuçta orada gelişimi denetleyecek merkezi bir tedarikçi yok. Ayrıca web tarayıcıları gibi özel ve ücretsiz olarak temin edilebilen yazılımlar da kapsam dışı bırakıldı. Özgür yazılım sağlayıcıları genellikle “al ya da bırak” yöntemine güvendiğinden, onları sertifika almaya ve bağımlılıkları açıklamaya ikna etmek zordur.
Yetkililer tarafından yaptırılan geliştirmeler, o zamanlar kurum içi bir geliştirme olarak kabul edildiğinden, otoritenin geliştirmeyi belirleyip denetlediği ölçüde hariç tutuldu. 2023'e yönelik kısıtlamalar, görevdeki ABD hükümeti için yeterince ileri gitmiyor. Biden'ın görev süresi boyunca her iki OMB emrini de yürürlükten kaldırıyor.
(ds)
Bir yanıt yazın