ABD Sahil güvenlik Komutanlığı, ulusal ekonomisi ve güvenliği için ciddi bir tehlike olarak gördüğü siber saldırılara karşı "Siber Stratejisi" yayımladı.

Bu yeni strateji, siber saldırılara karşı alınacak önlemlerde yeni bir standardın belirleyicisi olabilir. "Önleme ve Müdahale" prensiplerine dayanan Siber Stratejisi, İkiz Kule saldırılarından sonra kabul edilen Deniz Taşımacılığı Güvenlik Yasası (MTSA – Maritime Transportation Security Act)'ndan yola çıkılarak hazırlandı ve belki de bazı noktalarda yasanın ötesine geçti.

MTSA, belirli bir bölgede yaşanan ve ciddi kayıp ya da zararla sonuçlanan kazalarda ABD Sahil Güvenlik Komutanlığı'na tam yetki ve yargılama gücü veriyor. ABD Sahil Güvenlik Komutanlığı, yasadaki bu konumu sayesinde kendisini Siber Strateji belirlemekle ve bunu uygulamakla yetkili görüyor. Siber Stratejisi'nin temelinde, en iyi uygulamaların veya yeni bir standardın planlanması işinin siber tehlikeleri bertaraf etmekten sorumlu bir organizasyona devredilmesi yatıyor.

Bu yeni Siber Stratejisi, özellikle MTSA'yla birlikte düşünüldüğünde, 1990 Petrolden Ötürü Deniz Kirlenmesi Yasası (OPA 90 – Oil Pollution Act of 1990)'yla ilişkilendirilen "önleme ve müdahale" işlevlerine benzerliğiyle dikkat çekiyor. OPA 90 kabul edildikten sonra, bölgesel ve ulusal acil durum planlarının geliştirilmesine katkı sağlamak için liman güvenlik komiteleri kurulmuştu. Siber Stratejisi'ni uygulamakla görevli ABD Sahil Güvenlik Komutanlığı görevlileri ise "performans standartları"yla uyumlu olarak "risk temelli değerlendirme" yapacak bir organizasyonun kurulmasını öneriyor. Vurgulanan bu iki ifade de OPA 90'ı açıklamada kullanılan ifadeleri hatırlatıyor.

ABD Sahil Güvenlik Komutanlığı görevlileri, bir siber saldırı karşısında müdahalede bulunmak için gerekli prosedürleri belirlemede "eğitimler"den yararlanılabileceğini de söylüyorlar. Organizasyonlar tarafından belirlenen kişilerin ve uzman ekiplerin siber tehlikelere karşı zayıflıkları değerlendireceğini ve gerekli olduğunda siber ağlara müdahalede bulunacağını belirtiyorlar. OPA 90'da yer alan kimi maddeler de eğitim ve talim yapılması gerekliliğini, gemi ve tesisler için müdahale planlarının uygulanmasını ve petrol dökülmelerinden sorumlu ekip ve organizasyonların kurulmasını gerekli kılmaktadır.

OPA 90'ın bağlayıcılığı olan bir yasa, Siber Stratejisi'nin ise sadece bir strateji olduğu doğrudur. Ama ABD Sahil Güvenlik Komutanlığı, siber risk yönetiminin MTSA'yla birlikte ele alınması için "kılavuz" niteliğinde seyir ve gemi denetimi sirküleri yayımlayabilir. Sirkülerin ihlali cezai bir sonuç doğurmasa da kabul edilen standartların dışına çıkan bir tutum olarak değerlendirilir.

OPA 90 kabul edildiği zaman özellikle önleme ve müdahale prensipleriyle dikkatleri çekmişti; benzer şekilde ticari gemiler de 1) ağ erişimine ve veri korumaya yönelik olası siber zayıflıklarının değerlendirilmesiyle (önleme) ve 2) güvenlik ya da çevre vakalarına neden olan bir siber saldırısı karşısında yapılacak müdahalelerin planlamasıyla en iyi hizmeti almış olacaktır.

Kaynak: Clyde & Co Hukuk Firması ortaklarından Joe Walsh'ın 6 Kasım 2015 tarihli TradeWinds Gazetesi'nde yayımlanan yazısından özetlenmiştir.