Bidens Durchführungsverordnung zielt darauf ab, die Weitergabe von Bedrohungen durch eine Überarbeitung der Sprache in Bundesverträgen zu verbessern

Cyber Security News

Präsident Biden spricht im vergangenen Februar öffentlich, bevor er eine Durchführungsverordnung zur Wirtschaft unterzeichnet. Drei Monate später unterzeichnete er einen weiteren Erlass, der die Cyber-Sicherheit der Nation verbessern soll. (Foto: Doug Mills-Pool/Getty Images)

Präsident Joe Bidens Executive Order on Improving the Nation’s Cybersecurity schlägt viele ehrgeizige Ziele vor, aber zu den nebulösesten und herausforderndsten Passagen des Dokuments gehört ein Abschnitt, der die Überarbeitung und Standardisierung von Regierungsverträgen mit IT- und operativen Technologiedienstleistern fordert, um Hindernisse beim Austausch von Bedrohungsinformationen zu beseitigen.

Die EO verweist auf Verträge mit IT- und OT-Dienstleistern, die “eine Reihe von alltäglichen Funktionen auf föderalen Informationssystemen ausführen.” Die Anordnung verweist speziell auf Cloud-Service-Anbieter als eines der Unternehmen mit Zugang zu und Einblick in Informationen über Cyber-Bedrohungen und Vorfälle. Gleichzeitig können aktuelle Vertragsbedingungen oder -beschränkungen die Weitergabe solcher Bedrohungs- oder Vorfallsinformationen an Exekutivabteilungen und -behörden einschränken, die für die Untersuchung oder Behebung von Cybervorfällen zuständig sind.

In der Tat können Beschaffungsherausforderungen, die oft an die U.S. Federal Acquisition Regulation (FAR) gebunden sind, belastende Einschränkungen für die Weitergabe von Informationen enthalten, sagen Experten. In anderen Fällen sind die Verträge zu vage und entbinden IT- und OT-Dienstleister von der Verantwortung für die Weitergabe von Bedrohungen.

SC Media sprach mit verschiedenen Experten und Beratern, die sich mit dem Beschaffungswesen der Bundesregierung auskennen, um ihre Meinung zu aktuellen Mängeln in diesen Verträgen zu erfahren und wie sie geändert werden könnten, um Bidens Anordnung zu erfüllen.

Fehler durch Auslassung

Der Fehler des Unterlassens ist vielleicht eines der größten Probleme. Ein Dienstanbieter wird nicht unbedingt Details über bestimmte bösartige Aktivitäten, von denen er Kenntnis erlangt, preisgeben, es sei denn, ein staatlicher IT/OT-Vertrag zwingt das Unternehmen ausdrücklich dazu oder die Behörde ist direkt und wesentlich betroffen.

“Auf Bundesebene gibt es keine Standard-FAR-Anforderung für Auftragnehmer, der Regierung Informationen über Bedrohungen zu melden”, sagte Alan Chvotkin, Partner bei der Anwaltskanzlei Nichols Liu und ehemaliger Executive Vice President und Counsel des Professional Services Council.

Während der Vertrag einer einzelnen Bundesbehörde mit einem IT/OT-Anbieter die rechtzeitige Offenlegung bestimmter Datenverletzungen gegenüber dieser spezifischen vertragsschließenden Behörde vorschreiben kann, können die Bedingungen und Bestimmungen von Vertrag zu Vertrag variieren. Und selbst dann ist der Dienstleister nicht gezwungen, eine externe Bundesbehörde zu alarmieren, die es für angebracht hält, Nachforschungen anzustellen, wie z. B. die Cybersecurity and Infrastructure Security Agency oder das FBI, so Chvotkin weiter.

“Weil Sie nicht ausdrücklich von den Unternehmen verlangen, bestimmte Dinge zu tun, werden sie auf den Vertrag zeigen und sagen: ‘Nun, es ist nicht da drin, also tun wir das nicht'”, sagte Chris Cummisky, CEO von Cummisky Strategic Solutions und ehemaliger Staatssekretär für Management im Ministerium für Innere Sicherheit unter Präsident Barack Obama. “Unternehmen nutzen diese Auslassung gerne zu ihrem Vorteil, um zu sagen: ‘Das steht da nicht drin, und außerdem waren wir sowieso nicht daran interessiert, es mit euch zu teilen.'”

In gewisser Weise ist die FAR “sehr präskriptiv darüber, was von Unternehmen verlangt werden kann und was nicht.” Wenn also etwas ausgelassen wird, ist das kontextuell bedeutsam. Und weil Regierungsverträge seit Jahren so geschrieben werden, ist es zu einer Standardsprache geworden, die immer wieder ihren Weg in mehrere Vertragszyklen findet. Sobald das passiert, “ist es sehr schwierig, ein Unternehmen dazu zu zwingen, neuere Cyber-Anforderungen zu erfüllen, die die Regierung ihren Partnern aus dem Privatsektor auferlegen kann oder auch nicht”, erklärt Cummisky.

Das heißt, “die Regierung hat sich in den letzten Jahren sehr verbessert, weil sie mehr Möglichkeiten hatte, Formulierungen einzufügen, die für die Regierung vorteilhafter sind, wenn es um diese Art von Cyber-Offenlegungen geht – dass Sie als Bedingung für Geschäfte mit der Regierung Informationen offenlegen und zur Verfügung stellen werden, die wir mit anderen Stellen teilen können”, bemerkte Cummisky. Die Durchführungsverordnung wird versuchen, diesen Fortschritt weiter zu erleichtern.

Das soll nicht heißen, dass die Dienstleister zwangsläufig fahrlässig sind, wenn sie Informationen zurückhalten. Es könnte manchmal Risiko- und Haftungsgründe geben, warum sie bestimmte Details nicht mit einigen Agenturen teilen, insbesondere in Situationen, in denen vertragliche Vereinbarungen die Privatsphäre und Diskretion des Kunden betonen.

Viele der IT- und OT-Dienstleister stehen unter separaten kommerziellen Vereinbarungen mit den Hauptauftragnehmern, was “Vertraulichkeitsbestimmungen mit sich bringt, die die Weitergabe von Informationen durch den Dienstleister an irgendjemanden außer dem Privatunternehmen des Kunden einschränken”, so Chvotkin. “Die Autorität und Verantwortung” für eine solche Weitergabe liegt also bei den Kunden der Dienstleister – und diesen Kunden fehlen oft die Fähigkeiten, Bedrohungsinformationen zu untersuchen, und sie müssen sich sowohl mit Haftungs- als auch mit Public-Relations-Problemen auseinandersetzen, wenn sie solche Informationen an die Regierung melden würden.”

Die Regierung selbst ist ebenfalls bestrebt, die gemeinsame Nutzung von Informationen über mehrere Behörden hinweg einzuschränken. In einem Blog-Beitrag im vergangenen Dezember kritisierte Microsoft-Präsident Brad Smith die “Beharrlichkeit der Bundesregierung, durch ihre Verträge unsere Fähigkeit einzuschränken, auch nur einen Teil der Bundesregierung wissen zu lassen, welcher andere Teil angegriffen wurde.”

“Anstatt das Bedürfnis nach Austausch zu fördern, macht dies den Austausch von Informationen zu einem Vertragsbruch”, schrieb Smith.

Folglich beschrieb Cummisky die Position der beauftragten Agenturen wie folgt: “Wenn wir Ihnen diese Informationen zur Verfügung stellen, dann bieten Sie uns Haftungsschutz in unseren Kämpfen mit dem Justizministerium oder wem auch immer, mit dem wir in zukünftigen Rechtsstreitigkeiten auf Augenhöhe gehen müssen.”

Definieren eines Betriebsstandards

Abgesehen davon gibt es bestimmte Umstände, unter denen Unternehmen Angriffsdetails freier teilen können, aber oft sind die Definitionen solcher Fälle entweder nicht klar oder sie sind zu eng gefasst, so die Experten.

“Viele der Berichtsanforderungen sind wirklich an persönlich identifizierbare Informationen gebunden”, sagte Stan Soloway, Präsident und CEO bei Celero Strategies LLC und ehemaliger stellvertretender Unterstaatssekretär für Verteidigung/Beschaffungsreform und Direktor, Verteidigungsreform im Verteidigungsministerium. Wenn es sich nicht um personenbezogene Daten handelt, ist es unwahrscheinlicher, dass der Dienstanbieter verpflichtet ist, Details großzügig mit der Bundesregierung zu teilen.

Aber das scheint eine antiquierte Vorstellung zu sein, denn wie der Colonial Pipeline Ransomware-Vorfall zeigt, muss ein Cyberangriff keine PII beinhalten, um ernst genug zu sein, um eine Offenlegung gegenüber Regierungsbehörden zu verdienen.

Folglich “glaube ich, dass eine der großen Veränderungen darin besteht, inwieweit die Regierung von den Auftragnehmern verlangen wird, jede Art von operativem Hack zu melden, im Gegensatz zu denjenigen, bei denen persönliche Daten offengelegt werden”, so Soloway.

Die Dinge bringen einen wichtigen Punkt zur Sprache: Die Vordenker, die Empfehlungen für eine neue Vertragssprache entwerfen, werden die wichtigsten Schwellenwerte für die Meldung von Cyber-Intelligenz an die Regierung präzisieren müssen. Genauso wie von IT/OT-Dienstleistern erwartet werden kann, mehr zu teilen, sollten sie sich auch bewusst sein, dass das Teilen von zu viel seine eigenen Probleme verursacht – einschließlich Alarmmüdigkeit und dem unnötigen Teilen von sensiblen Informationen.

“Es gibt immer ein Spannungsverhältnis zwischen der Regierung und den Unternehmen darüber, was zu melden ist, wann zu melden ist, wie zu melden ist und wie umfangreich der Bericht sein muss. Es gibt legitime geschäftliche und urheberrechtliche Bedenken, die Unternehmen haben, und es gibt legitime Bedenken, die die Regierung hat”, sagte Soloway. “Sie können sich den Schaden für den Ruf und das Geschäft eines Unternehmens vorstellen, das immer wieder über wirklich unbedeutende Dinge berichten muss, weil die Feinheiten im Durcheinander verloren gehen. Und alles, wonach es aussieht, sind ständige Pannen”, selbst wenn es sich nur um alltägliche Probleme handelt.

Deshalb “ist das Wichtigste, wie wir die Informationen definieren, die wir brauchen”, so Soloway abschließend. “Welche Art von Informationen ist wirklich wichtig für Sie?”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com