ABD'nin havacılık sistemini siber saldırılara karşı korumakla görevli kurumların, önemli güvenlik iyileştirmelerini ve süreç değişikliklerini yalnızca kısmen uyguladığı ortaya çıktı. Hükümet Hesap Verebilirlik Ofisi (GAO) tarafından yayımlanan yeni bir denetim raporu, Federal Havacılık İdaresi (FAA) ve Ulaştırma Güvenliği İdaresi'nin (TSA) siber güvenlik alanında ciddi eksiklikler taşıdığını gösteriyor. Rapor, ulus-devlet bilgisayar korsanlarının ABD toplumunu istikrarsızlaştırma yollarını giderek daha fazla aradığı bir dönemde, ulusal havacılık güvenlik sistemindeki kalıcı zayıflıklara işaret ediyor.
GAO raporuna göre, FAA ağ izleme ve kimlik yönetimi yeteneklerini yeterince modernize edemedi. TSA ise siber güvenlik sorumluluklarını ve bunları nasıl uygulayacağını tanımlamakta başarısız oldu. Raporda, 'Ticari uçuş operasyonları, uçakta ve yerde Ulusal Hava Sahası Sistemi'nde bulunan birbirine bağlı sistemlere dayanır. Bu bağlantılılık nedeniyle, bu sistemler doğası gereği daha savunmasızdır ve kötü niyetli aktörler tarafından hedef alınma riski daha yüksektir' ifadelerine yer verildi.
FAA'nın 2020 Siber Güvenlik Stratejisi, kurum ağlarının korunması da dahil olmak üzere bir dizi hedef belirlemişti. Ancak GAO, FAA'nın ağ koruma hedefiyle ilgili yedi hedeften yalnızca üçünü tam olarak uyguladığını tespit etti: tehdit istihbaratı toplama ve yayma; tehdit algılama ve azaltma yeteneklerini iyileştirme; ve siber güvenlik araştırmalarını savunma çalışmalarına dahil etme. Kurum, dört kritik alanda geride kaldı: izleme, algılama ve yanıt yeteneklerini iyileştirme; kullanıcı erişim kontrolleri ve kullanıcı etkinliği izlemeyi iyileştirme; güvenlik kontrollerini NIST yönergeleriyle uyumlu hale getirme; ve sıfır güven mimarisi uygulama.
GAO, FAA'nın sıfır güven mimarisi geçiş planının eksik olduğunu vurguladı. Denetçiler, planın sıfır güven yaklaşımını FAA'nın araştırma ve geliştirme sistemlerine uygulamayla ilgili ayrıntıları atladığını ve NIST'in sıfır güven önerileriyle tam olarak uyumlu olmadığını buldu. Raporda, 'FAA, sıfır güven uygulama planını tüm işletim ortamlarında NIST en iyi uygulamalarıyla tam olarak uyumlu hale getirmeden, Ulusal Hava Sahası Sistemi modernizasyonu sırasında siber güvenlik risklerini etkili ve kapsamlı bir şekilde yönetemez' uyarısı yapıldı.
Uzmanların Görüşleri
TSA'nın rolü konusundaki kafa karışıklığı da raporda öne çıkan bir diğer konu. FAA uçakların genel güvenliğini onaylarken, TSA havalimanları ve havayollarının siber güvenlik uygulamalarını düzenliyor. Ancak GAO, TSA'nın bu sorumlulukları nasıl yerine getireceğini veya siber güvenlik hedeflerini gerçekleştirmekten sorumlu ofisleri ve ekipleri henüz belirlemediğini tespit etti. Bu eylemsizlik, havacılık sektöründe alarma neden oldu ve TSA'nın ortaklarının siber güvenlik misyonunu yerine getirme yeteneğine olan güvenini sarstı. Bir havayolu şirketi, TSA'nın siber güvenliği düzgün bir şekilde düzenlemek için 'kaynak, yetki ve uzmanlıktan yoksun olduğuna' inandığını belirtti.
GAO, bulgularına dayanarak TSA'ya siber güvenlik planını güncellemesini ve paydaşlarla bu güncellemeler hakkında iletişim kurmasını tavsiye etti. Denetçiler ayrıca FAA'ya sıfır güven geçiş planını daha kapsamlı hale getirmesini, NIST önerileriyle uyumlu hale getirmesini ve genel siber strateji uygulamasının gözetimini iyileştirmesini önerdi. TSA'yı denetleyen İç Güvenlik Bakanlığı, TSA'ya özgü tavsiyeyi uygulamayı kabul etti ve TSA'nın siber güvenlik planını Mayıs 2027 sonuna kadar modernize etmesini beklediğini belirtti. FAA'yı denetleyen Ulaştırma Bakanlığı ise tavsiyeleri değerlendirdiğini ancak henüz tam olarak kabul etmediğini bildirdi.
Kaynak: cybersecuritydive.com