ABD havacılık sistemini siber saldırılara karşı korumakla görevli kurumlar, önemli güvenlik iyileştirmelerini ve süreç değişikliklerini yalnızca kısmen uygulayabildi. Hükümet Hesap Verebilirlik Ofisi'nin (GAO) yayımladığı denetim raporu, Federal Havacılık İdaresi'nin (FAA) ağ izleme ve kimlik yönetimi yeteneklerini yeterince modernize edemediğini, Ulaştırma Güvenliği İdaresi'nin (TSA) ise siber güvenlik sorumluluklarını netleştirmediğini ortaya koydu. Rapor, ulus devlet bilgisayar korsanlarının ABD toplumunu istikrarsızlaştırma çabalarını artırdığı bir dönemde havacılık güvenliğindeki zayıflıklara dikkat çekiyor.
GAO, ticari uçuş operasyonlarının uçak içi ve Ulusal Hava Sahası Sistemi'ndeki (NAS) yer sistemleri arasındaki bağlantılılığa dayandığını vurguluyor. Bu bağlantılılık, sistemleri kötü niyetli aktörlerin hedefi haline getiriyor. FAA'nın 2020 Siber Güvenlik Stratejisi, ajans ağlarının korunması da dahil olmak üzere yedi hedef belirlemişti. Ancak FAA bu hedeflerden yalnızca üçünü tam olarak uygulayabildi: tehdit istihbaratı toplama ve yayma, tehdit tespit ve azaltma yetenekleri ile siber güvenlik araştırmalarını savunma çalışmalarına entegre etme.
FAA dört kritik alanda geride kaldı: izleme, tespit ve müdahale yeteneklerinin iyileştirilmesi; kullanıcı erişim kontrolleri ve etkinlik izleme; güvenlik kontrollerinin Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) yönergeleriyle uyumlu hale getirilmesi; ve sıfır güven mimarisinin uygulanması. FAA, 35 sistem için 'gerçek zamanlı yakın siber izleme yetenekleri' üzerinde çalıştığını belirtti. GAO, FAA'nın hedeflerini izlemek ve değerlendirmek için kapsamlı bir süreçten yoksun olduğunu vurguladı.
Sıfır güven mimarisi, bir bilgisayar korsanının ağa sızdıktan sonra yapabileceği zararı sınırlamak için kritik bir araç olarak görülüyor. Ancak GAO'ya göre FAA'nın sıfır güven geçiş planı eksik. Plan, araştırma ve geliştirme (Ar-Ge) sistemlerine sıfır güven uygulanmasına ilişkin ayrıntıları içermiyor ve NIST'in tüm sıfır güven önerileriyle uyumlu değil. GAO, FAA'nın planının NIST tarafından önerilen varlık yönetimi tanımını ve sıfır güven algoritmasının etkinliğini izleme tavsiyesini içermediğini belirtti.
FAA uçakların genel güvenliğini denetlerken, TSA havalimanlarının ve havayollarının siber güvenlik uygulamalarını düzenliyor. GAO raporu, TSA'nın siber güvenlik sorumluluklarını ve bu sorumlulukları yerine getirecek ofisleri henüz belirlemediğini ortaya koydu. Bu durum havacılık sektöründe endişe yarattı ve bazı paydaşlar TSA'nın siber güvenlik misyonunu yerine getirme yeteneğinden şüphe duyduklarını ifade etti. Bir havayolu, TSA'nın siber güvenliği düzenlemek için kaynak, yetki ve uzmanlıktan yoksun olduğunu belirtirken, üç paydaş Mart 2023'te yayımlanan TSA düzenlemelerinin kafa karışıklığına yol açtığını söyledi.
GAO, FAA ve TSA'nın düzenlediği sistemler arasındaki bağlantılılığın rollerde örtüşme görüntüsü yarattığına dikkat çekti. TSA'nın Siber Güvenlik Yol Haritası'nı güncellemesi ve paydaşlarla iletişim kurması gerektiği belirtildi. Ayrıca FAA'ya sıfır güven planını kapsamlı hale getirmesi, NIST önerileriyle uyumlu olması ve genel siber strateji uygulamasının denetimini iyileştirmesi çağrısı yapıldı. TSA'nın bağlı olduğu İç Güvenlik Bakanlığı, öneriyi kabul ederken, Ulaştırma Bakanlığı da FAA için benzer taahhütlerde bulundu.
Kaynak: cybersecuritydive.com