İç Güvenlik Bakanlığı (DHS) Salı günü, Başkan Donald Trump'ın göreve döndükten haftalar sonra ortadan kaldırdığı çerçevenin yerine yeni bir kamu-özel sektör kritik altyapı iş birliği sistemi önerdi.
Çarşamba günü Federal Kayıt'ta yayınlanacak bir DHS dosyalama setine göre, Anavatan Operasyonel Dayanıklılığı - Kritik Altyapı Ulusal Konseyleri İttifakı (ANCHOR-CI), kritik altyapı operatörleri, hükümet yetkilileri ve "siber güvenlik ve kritik altyapı güvenliği ve dayanıklılık faaliyetlerinden doğrudan sorumlu olan kuruluşlardan" oluşan bir grup danışma konseyi için bir şemsiye sistemi görevi görecek.
DHS, ANCHOR-CI'nın "federal, eyalet, yerel, kabile ve bölgesel düzeylerdeki siber güvenlik, kolluk kuvvetleri, istihbarat, ulusal güvenlik ve diğer hükümet temsilcilerinin özel sektör kuruluşlarının temsilcilerini ve kritik altyapı sahipleri ve operatörlerini mevcut tehdit ortamını gözden geçirmek, potansiyel güvenlik açıklarını tartışmak ve daha dayanıklı bir kritik altyapı ve siber uzayı güvence altına almak için öneriler oluşturmak üzere dahil edebileceği forumlar sağlayacağını" söyledi.
Detaylar ve Etkileri
Yeni sistem, Trump yönetiminin Mart 2025'te aniden feshettiği Kritik Altyapı Ortaklığı Danışma Konseyi'nin (CIPAC) yerini alıyor. Bu karar, kısa süre sonra federal kurumlarla ortaklıklarının kötüleştiğini gören kritik altyapı operatörlerini hayal kırıklığına uğrattı ve alarma geçirdi. Yönetim, CIPAC'ın modern tehdit ortamı için yeterince esnek olmadığına dair belirsiz açıklamaların ötesinde, CIPAC'ın ortadan kaldırılmasına yönelik çok az açıklama yaptı. Birçok siber güvenlik uzmanı, kararın ulusal güvenliği tehlikeye attığını söyledi.
Nasıl Önlem Alınmalı?
Yeni ANCHOR-CI çerçevesi kapsamında, kritik altyapı operatörleri ve bunların hükümet ortakları dört tür konsey oluşturabilir: önde gelen altyapı operatörlerinden ve ticari birliklerden oluşan sektör koordinasyon konseyleri (SCC'ler) ve bu altyapı sağlayıcılarını denetlemekten ve onlara yardımcı olmaktan sorumlu federal, eyalet ve yerel kurumlardan oluşan hükümet koordinasyon konseyleri (GCC'ler) dahil olmak üzere sektöre özgü konseyler; altyapı kategorileri arasındaki karşılıklı bağımlılığı ele almak üzere tasarlanmış sektörler arası konseyler; birden fazla sektörü kapsayan endüstriler için endüstri konseyleri; ve coğrafi odaklı dayanıklılık ortaklıkları için bölgesel konseyler.
Sonuç ve Değerlendirme
Bölgesel konsey seçeneği, Trump yönetiminin eyalet ve yerel düzeye daha fazla siber güvenlik direnci sorumluluğu verme arzusunu yansıtıyor; bu, yerel yönetimlerin karmaşık bilgisayar korsanlığı tehditlerine yanıt vermeye hazırlıksız olduğunu söyleyen altyapı işletmecilerini rahatsız eden bir eğilim.
DHS'nin dosyasında bölgesel konseyler, "güvenlik ve dayanıklılığın en etkili şekilde eyalet ve yerel düzeylerde sahiplenildiği ve yönetildiği ve erişilebilir ve verimli bir federal hükümet tarafından desteklendiği" iddiasıyla açıklandı. Bakanlık, konseylerin "kırsal alanlardaki kritik altyapı kuruluşlarının erişimini ve temsilini sağlaması" gerektiğini söyledi.
Önemli Gelişmeler
Büyük bir koordinasyon boşluğunu doldurmak
Görünüşte yeni sistem CIPAC'a çok benziyor. 2006 yılında oluşturulan bu çerçeve, SCC ve GCC yapılarını oluşturdu ve ortaya çıkan güvenlik risklerini öngörmek, planlamak ve bunlara karşı savunma yapmak için yaklaşık yirmi yıldır süren ortak hükümet-sanayi çabalarının temelini oluşturdu. Ayrıca SCC ve GCC toplantılarını federal şeffaflık kurallarından muaf tutarak hükümet ve sektör temsilcilerinin hassas güvenlik konularını özel olarak tartışmasına olanak tanıdı.
CIPAC'ın sona ermesinden bu yana, altyapı operatörleri ve onların ticari birlikleri DHS'yi sistemi hızla eşit veya daha sağlam bir sistemle değiştirmeye çağırdı. Birkaç endüstri temsilcisi daha önce Cybersecurity Dive'a, CIPAC'ın korumalarının yokluğunda sektörlerinin bazı hassas konuları hükümetle tartışmayı bıraktığını söylemişti.
ANCHOR-CI planları 2026'nın başında birleşti ancak DHS'deki liderlik kargaşası sistemin onayını geciktirdi.
Yazılım endüstrisi ticaret grubu BSA, yeni ortaklık yapısından dolayı Trump yönetimine övgüde bulundu.
BSA'nın kıdemli politika direktörü Henry Young, "Bu çaba, hükümet ve endüstri arasındaki güvenilir iş birliğini güçlendiriyor, siber ve fiziksel tehdit bilgilerinin zamanında paylaşımını geliştiriyor ve önemli olaylara daha hızlı, daha koordineli yanıtlar verilmesini sağlıyor" dedi.
Gelecekte Ne Bekleniyor?
Ancak yeni çerçeve hâlâ kritik altyapı topluluğunun endişelerinin tamamını gideremeyebilir. öyle değil CIPAC'ta yer alan ve sektör kuruluşlarına mevzuatla ilgili endişeler olmadan bilgi paylaşma konusunda güven veren sorumluluk korumalarını içerir.
Sağlık Bilgi Paylaşımı ve Analiz Merkezi'nin güvenlik şefi Errol Weiss, "ANCHOR'un güçlü risk azaltma hedeflerine ulaşması için hükümetin, şirketlerin hassas siber olaylarla ilgili bilgi paylaşmasını sıklıkla engelleyen yasal açıkları ele alması gerekiyor" dedi. "Sektör liderleri, hassas güvenlik açıkları hakkında samimi, stratejik görüşmeler yapmak için eski CIPAC çerçevesinde yerleşik yasal korumalara güveniyordu."
Yönetim ve zaman çerçevesi
Sistem Güvenliği
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), önerilen üyelerin onaylanması ve ajansın uygun gördüğü şekilde ek üyelerin atanması da dahil olmak üzere ANCHOR-CI konseylerini yönetecek. DHS, konseylerin, farklı boyutlardaki ve coğrafi konumlardaki üyeler de dahil olmak üzere, ilgili toplulukların temsili kesitlerini içermesi gerektiğini söyledi.
DHS, ANCHOR-CI'yı iki yıllık bir başlangıç dönemi için kuruyor ancak sistem, sınırsız ek iki yıllık dönemler için yenilenebilir.
WaterISAC altyapı siber savunma direktörü Jennifer Lyn Walker, "ANCHOR-CI'nın, CIPAC'ın bir zamanlar [Sektör Risk Yönetimi Ajansları] ve özel sektör arasında oluşturduğu yenilenmiş işbirliği düzeyiyle sonuçlanacağını umuyorum, ancak ilk bakışta sorumluluk korumaları ve sınırlı koşullar olmadan endişe verici görünüyor" dedi. "Bunu sadece zaman gösterecek."