ABD’nin hava sahasını korumakla görevli Federal Havacılık İdaresi (FAA) ve Ulaştırma Güvenliği İdaresi (TSA), siber güvenlikte ciddi eksikliklerle karşı karşıya. Hükümet Hesap Verebilirlik Ofisi (GAO) tarafından yayımlanan yeni bir denetim raporu, her iki kurumun da ağ izleme, kimlik yönetimi ve siber sorumlulukların tanımlanması gibi kritik alanlarda yetersiz kaldığını ortaya koyuyor. Rapor, ulus-devlet bilgisayar korsanlarının ABD toplumunu istikrarsızlaştırma çabalarını artırdığı bir dönemde, havacılık güvenlik sistemindeki zayıflıklara işaret ediyor.
GAO, ticari uçuş operasyonlarının uçak içi ve yerdeki Ulusal Hava Sahası Sistemi'ne bağlı sistemlere dayandığını vurguluyor. Bu bağlantılılık nedeniyle sistemlerin kötü niyetli aktörler tarafından hedef alınma riskinin yüksek olduğu belirtiliyor. FAA'nın 2020 Siber Güvenlik Stratejisi, kurum ağlarının korunması da dahil olmak üzere yedi hedef belirlemişti, ancak bunlardan yalnızca üçü tam olarak uygulanabildi: tehdit istihbaratı toplama ve yayma, tehdit tespit ve azaltma yeteneklerini iyileştirme ve siber güvenlik araştırmalarını savunma çalışmalarına dahil etme.
FAA'nın geri kalan dört kritik alanda geride kaldığı görülüyor: izleme, tespit ve müdahale yeteneklerinin iyileştirilmesi; kullanıcı erişim kontrolleri ve kullanıcı etkinliği izlemenin geliştirilmesi; güvenlik kontrollerinin Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) kılavuzlarıyla uyumlu hale getirilmesi; ve sıfır güven mimarisinin uygulanması. FAA, 35 sistem için 'gerçek zamanlı siber izleme yetenekleri' üzerinde çalıştığını belirtse de GAO, kurumun hedeflerini izlemek ve değerlendirmek için kapsamlı bir süreçten yoksun olduğunu tespit etti.
Detaylar ve Etkileri
Sıfır güven mimarisi, siber güvenlik uzmanları tarafından bir ağ ihlalinden sonra hasarı sınırlamak için kritik bir araç olarak görülüyor. Ancak GAO, FAA'nın sıfır güven geçiş planının eksik olduğunu ve NIST'in tüm önerileriyle uyumlu olmadığını belirtiyor. Plan, araştırma ve geliştirme sistemlerine sıfır güven uygulanmasıyla ilgili ayrıntıları atlamış ve NIST'in önerdiği varlık tanımlama ve yönetim sürecini içermiyor. Ayrıca, otonom erişim kararları veren sıfır güven algoritmasının etkinliğinin izlenmesi de planda yer almıyor.
Sonuç ve Değerlendirme
TSA tarafında ise durum daha karmaşık. FAA uçak sertifikasyonu ve hava trafik yönetiminden sorumluyken, TSA havalimanları ve havayollarının siber güvenlik uygulamalarını düzenliyor. Ancak GAO, TSA'nın siber güvenlik rollerini ve sorumluluklarını henüz netleştirmediğini ve bu hedefleri gerçekleştirecek ofis ve ekipleri belirlemediğini ortaya koydu. Bu durum, havacılık sektöründe endişeye yol açtı ve paydaşların TSA'nın siber güvenlik misyonunu yerine getirme yeteneğine olan güvenini sarstı.
GAO, TSA ve FAA arasındaki sistemlerin birbirine bağlılığının 'örtüşen roller ve sorumluluklar' görüntüsü yarattığı uyarısında bulundu. Raporda, TSA'nın siber güvenlik yol haritasını güncellemesi ve paydaşlarla iletişim kurması, FAA'nın ise sıfır güven geçiş planını daha kapsamlı hale getirmesi ve NIST önerileriyle uyumlu olması öneriliyor. İç Güvenlik Bakanlığı, TSA'nın siber güvenlik planını Mayıs 2027 sonuna kadar modernize edeceğini kabul ederken, Ulaştırma Bakanlığı FAA'nın tavsiyeleri uygulayacağını bildirdi. Bu gecikmeler, ABD'nin hava sahasını giderek artan siber tehditlere karşı koruma çabalarında önemli bir boşluk olduğunu gösteriyor.
Kaynak: cybersecuritydive.com