ABD’de telekom ve internet endüstrisi son derece güçlü lobi faaliyetleriyle tanınır. İşte bu faaliyetler sayesinde, hem telekom devleri hem de internet şirketleri şimdilik 20 kritik güvenlik kontrolünü [1] uygulamak zorunda kalmaktan kurtulmuş gibi gözüküyor. Federal İletişim Kurumu’na (FCC) bir rapor sunan [2] çalışma grubu, söz konusu kontrollerin en azından şimdilik bir kural haline gelmemesi ve şirketlerin bu kontrolleri uygulama konusunda “cesaretlendirilmekle” yetinilmesi tavsiyesinde bulundu.
2008 yılında, Savunma Bakanlığı’nda siber güvenlik için ayrılan bütçenin yeniden düzenlenmesini isteyen ABD yönetimi, Ulusal Güvenlik Kurumu’ndan (NSA), alınabilecek güvenlik tedbirleri ve uygulanması gereken güvenlik kontrollerini içeren bir rapor hazırlamasını talep etti. Ne de olsa NSA, siber güvenlik tehditleriyle en sık uğraşan ve dolayısıyla da siber saldırıların ruhunu en iyi anlayan kurum olarak görülmekteydi. Bu talep doğrultusunda NSA bir liste hazırladı ve ardından da hem Center for Internet (CIS) hem de SANS Enstitüsü ile birlikte çalışarak kritik altyapı şirketleri ve kamu kurumlarında izlenmesi gereken kontroller dizisini hazırladı. “20 Kritik Güvenlik Kontrolü” adını alan bu kontroller dizisi 2008 yılında tamamlandı ve o tarihten beri de düzenli bir biçimde güncellenmekte.
Ancak oluşturulan bu 20 Kritik Güvenlik Kontrolü listesini [1] harfiyen uygulayabilmek, hem telekom firmaları hem de internet ve yazılım firmaları için hayli zor. Zira bu listede kuruma ait tüm mobil cihazlardaki donanım ve yazılım konfigürasyonlarının güvenli hale getirilmesinden tutun da hesap takibi ve kontrolüne ya da veri kaybını önleme tedbirlerine varana dek çok geniş kapsamlı bir regülasyonlar yer alıyor. Firmalarsa şimdilik bu kontrol setine tam uyum sağlamamanın yolunu lobi çalışmasıyla bulmuş gibi gözüküyorlar.
Aralarında AT&T, Sprint, Verizon, Microsoft gibi pek çok firmanın temsilcilerinin de yer aldığı bir çalışma grubu, söz konusu 20 Kritik Güvenlik Kontrolü’nün ABD’deki tüm telekom ve internet şirketleri için uygulanıp uygulanamayacağını inceleyen bir rapor hazırladı. Şimdilik böyle bir kurallar dizisini uygulanabilir bulmayan bu rapor, FCC’ye sunulmuş durumda. FCC, bu çalışma grubunun önerileri doğrultusunda konuyla ilgili bir karar alacak ve bu kararın söz konusu raporla uyumlu olması bekleniyor.
[1]-Critical Controls for Effective Cyber Defense
[2]-Consensus Cyber Security Controls Çalışma Grubu Raporu
Kaynak : 