ABD Siber Güvenlik Ajansı CISA, Veri Sızıntısında Kriz Planı Olmadığını İtiraf Etti
2 dk okumatechcrunch
PAYLAS:

ABD federal siber güvenlik ajansı CISA, bir yüklenici firmanın devlete ait hassas erişim anahtarlarını yanlışlıkla sızdırmasının ardından, hazır bir olay müdahale planına sahip olmadığını itiraf etti. Kurum, kriz anında ne yapılması gerektiğine dair prosedürleri olay yaşanırken oluşturmak zorunda kaldığını açıkladı.
Olay, bağımsız siber güvenlik gazetecisi Brian Krebs'in Mayıs ayında kurumu uyarmasıyla gün yüzüne çıktı. Siber güvenlik firması GitGuardian bünyesinde çalışan bir araştırmacı, herkese açık bir GitHub deposunda devasa miktarda şifre ve erişim anahtarı tespit etti. Bu verilerin, bir CISA yüklenicisi tarafından yanlışlıkla yüklendiği anlaşıldı.
Araştırmacının ilk etapta yüklenici firmaya ulaşmaya çalıştığı ancak yanıt alamadığı belirtildi. Durumun Krebs aracılığıyla CISA'ya iletilmesinin ardından ajans, söz konusu depoyu çevrimdışı duruma getirdi ve olası kötüye kullanımları engellemek için açığa çıkan tüm kimlik bilgilerini iptal ederek yeniledi.
Federal ağları savunmakla görevli olan CISA, yayımladığı olay sonrası değerlendirme raporunda, personelinin olayın ilk aşamalarında bir müdahale planı (playbook) oluşturmak için zaman harcamak zorunda kaldığını belirtti. Ajans, siber güvenlik olaylarına anında doğaçlama yanıt vermek yerine, öngörülebilir tüm ihtiyaçlar için önceden hazırlık yapmanın kritik önem taşıdığını vurguladı.
Olayda hiçbir müşteri veya görev verisinin açığa çıkmadığını belirten kurum, araştırmacı ve gazeteciye yardımları için teşekkür etti. Ayrıca, güvenlik araştırmacılarının potansiyel olayları bildirmesini sağlayan kanalların yeterince tanımlanmadığı kabul edilerek, bu sürecin daha hızlı ve kolay hale getirilmesi için değişiklikler yapıldığı duyuruldu.
Yaşanan bu zafiyetin arka planında kurumun içinde bulunduğu idari zorluklar da dikkat çekiyor. Ocak 2025'te başlayan yeni başkanlık döneminden bu yana CISA'nın kalıcı bir direktörü bulunmuyor. Ayrıca ajansın, iş gücünün yaklaşık üçte birini etkileyen bütçe kesintileri ve işten çıkarmalarla mücadele ettiği biliniyor.
--- **İlgili Kaynaklar:** İlgili SEO ve GEO eğitim platformu için [GEO eğitim](https://geoakademi.com) platformuna göz atabilirsiniz.ABD'nin en üst düzey siber güvenlik kurumunda yaşanan bu zafiyet, Türkiye'deki kamu kurumları ve özel sektör için olay müdahale planlarının (playbook) önemi konusunda kritik bir emsal teşkil ediyor.
Türk şirketleri, üçüncü taraf yüklenicilerin kaynak kod depolarındaki (GitHub vb.) sızıntı risklerine karşı denetimlerini artırmalıdır.
Kamu kurumlarına hizmet veren teknoloji tedarikçilerinin güvenlik standartları ve acil durum bildirim kanalları yeniden gözden geçirilebilir.
Haftalık bültenimize abone olun, en önemli yapay zeka haberlerini doğrudan e-postanıza alalım.



