Bei der Anhörung von SolarWinds im Repräsentantenhaus kündigen überparteiliche Gesetzgeber ein Gesetz zur Offenlegung von Sicherheitsverletzungen an

Cyber Security News

Bei einer gemeinsamen Anhörung des House Oversight and Homeland Security Committee über die Spionagekampagne im Zusammenhang mit SolarWinds sagte Repräsentant Michael McCaul, R-Texas, dass er und Repräsentant Jim Langevin, D-R.I., an einer Gesetzgebung arbeiten, die Unternehmen dazu verpflichtet, die Bundesregierung nach ähnlichen Verstößen zu informieren.

Die Anhörung im Repräsentantenhaus am Freitag war die zweite Anhörung in dieser Woche zu diesem Thema, wobei der Geheimdienstausschuss des Senats am Dienstag eine ähnliche Anhörung durchführte. Es war die erste öffentliche Gelegenheit für das Repräsentantenhaus, Schlüsselfiguren in Unternehmen zu befragen, die mit dem Angriff in Verbindung gebracht wurden, bei dem ein bösartiges Update der IT-Management-Plattform SolarWinds Orion eine Reihe von Bundesbehörden und Unternehmen, darunter Microsoft und die Sicherheitsfirma FireEye, angriff.

Wie bei der Senatsanhörung war ein gemeinsamer Vorschlag für die Politik, der sowohl von den Gesetzgebern als auch von den Zeugen wiederholt wurde, die Notwendigkeit, von den Unternehmen oder denjenigen, die auf die Verletzung reagieren, zu verlangen, dass sie die Regierung in irgendeiner Form über schwerwiegende Verletzungen informieren.

McCaul sagte, dass er mit Langevin in diese Richtung arbeitet.

“Herr Langevin und ich arbeiten an obligatorischen Benachrichtigungen über Verstöße [or] Cyber-Eingriffen”, sagte er.

“Dies kann getan werden, indem man Quellen und Methoden und Firmennamen herausnimmt, um sie zu schützen. Da Sie eine Pflicht gegenüber den Aktionären haben, würden sie einfach nur die Bedrohungsinformationen selbst senden” an die Cybersecurity and Infrastructure Security Agency, erklärte er.

Während McCaul keine weiteren Details über den Vorschlag hatte, wurde ein Großteil der Anhörung der Frage gewidmet, wie diese Art von Gesetzen funktionieren könnte. Eine Frage, die häufig aufkam, war, wie man den Haftungsschutz gegen die Pflicht zum Schutz der Verbraucher abwägt. Eine andere Frage war, an wen die Benachrichtigungen gehen würden, sei es an die Strafverfolgungsbehörden, den Geheimdienst oder eine neutralere Behörde wie CISA.

Eine weitere Frage ist, welche Unternehmen am besten geeignet wären. Wie der CEO von FireEye, Kevin Mandia, aussagte, könnte ein zu weit gespanntes Netz sogar kontraproduktiv sein.

“Eine große Offenlegung schafft Angst und Unsicherheit, und das ist unnötig”, sagte er. “Die meisten Organisationen, wenn sie eine Sicherheitsverletzung haben, haben nicht das Fachwissen, um den vollen Umfang von ‘was haben wir verloren und was sollten wir tun’ zu erfassen; sie können es nicht tun. Und sie erschrecken einfach alle, indem sie sagen: ‘Hey, wir hatten eine Sicherheitsverletzung.'”

Die Abgeordnete Katie Porter bedrängte den Microsoft-Präsidenten Brad Smith, ob der Schutz von Whistleblowern ein geeigneter Weg sei, um die Benachrichtigung der Regierung zu fördern. Smith antwortete, dass die Einführung einer Benachrichtigungsregel eine bessere Lösung wäre.

Thompson und der aktuelle SolarWinds-CEO Sudhakar Ramakrishna schossen auf die Gesetzgeber zurück, die sie über Berichte über eine laxe Sicherheitskultur in der Firma ausfragten, einschließlich der Bewachung von Update-Servern mit dem Passwort “solarwinds123” und der Einstellung eines Chief Information Security Officers erst nach dem Einbruch.

In Bezug auf das Passwort-Problem sagte Thompson, dass es sich nicht um ein unternehmensweites Problem handelte, sondern um einen Praktikanten, der die Passwort-Richtlinien des Unternehmens verletzt hat.

“Das bezog sich also auf einen Fehler, den ein Praktikant gemacht hat. Er hat gegen unsere Passwortrichtlinien verstoßen und dieses Passwort auf seinem eigenen privaten GitHub-Account gepostet”, sagte Thompson. “Sobald es identifiziert und meinem Sicherheitsteam zur Kenntnis gebracht wurde, haben sie es heruntergenommen.”

Bezüglich des Fehlens eines Chief Information Security Officers sagten Ramakrishna und Thompson, dass sie vor der Schaffung einer Position mit diesem Namen einen Vice President of Security hatten, der ähnliche Aufgaben wahrnahm.

Die Vertreter fragten häufig, ob die Basisstandards für Cybersicherheit generell verbessert werden müssten und ob die Gesetzgebung dabei eine Rolle spielen könnte.

“Ich bin nicht davon überzeugt, dass die Einhaltung irgendwelcher Standards oder Gesetze den russischen Auslandsgeheimdienst davon abhalten würde, erfolgreich in die Organisation einzudringen”, sagte Mandia.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com