In der Executive Order gibt die Bundessicherheit den Anstoß für weitreichende Cyber-Implikationen

Cyber Security News

Cyber Warfare-Operatoren konfigurieren einen Bedrohungsdaten-Feed für die tägliche Überwachung auf der Warfield Air National Guard Base, Middle River, Md. Die Biden-Administration hat sich sehr auf die Sicherheit von Bundessystemen konzentriert, aber viele der Bemühungen haben das Potenzial, weitreichende Auswirkungen zu haben. (U.S. Air Force photo by J.M. Eddins Jr.)

Die Executive Order von Präsident Joe Biden zur Verbesserung der Cybersicherheit der Nation, die als Reaktion auf SolarWinds und eine Reihe hochkarätiger Sicherheitsverletzungen angepriesen wird, setzt auf verschiedenen Ebenen an. Im Kern geht es um spezifische Empfehlungen zur Verbesserung der Cybersicherheit auf Bundesebene, einschließlich Verbesserungen des Sicherheitsstandards für Bundesbeschaffungen, der Entwicklung eines Playbooks für die Reaktion und der Forderung nach einer modernen Suite von Sicherheitstechniken, einschließlich Endpunkt-Erkennung und -Reaktion sowie einer Zero-Trust-Architektur.

Aber die Verordnung geht noch viel weiter und schafft ein System nach Art des National Transportation Security Board, um die Lektionen nach größeren Sicherheitsverletzungen zu dekonstruieren. Sie verlangt von Bundesauftragnehmern, der Regierung Verstöße zu melden, die die nationale Sicherheit beeinträchtigen könnten. Sie schafft sogar ein Kennzeichnungssystem für IoT-Produkte. All diese Bemühungen haben das Potenzial für weitreichende Auswirkungen auf Organisationen des öffentlichen und privaten Sektors.

“Wenn vor zwei oder drei Jahren eine ähnliche Executive Order erlassen worden wäre – wenn die Dollars für diese Maßnahmen bereitgestellt worden wären und wenn die Behörden sie tatsächlich umgesetzt hätten – weiß ich nicht, ob wir SolarWinds aufgehalten hätten, aber die Wahrscheinlichkeit wäre höher gewesen”, sagte Tom Gann, Chief Public Policy Officer bei McAfee. “Ich denke, wir hätten es zumindest früher erkennen können.”

Da viele Cybersecurity-Experten sich optimistisch über die Ziele der Verordnung äußern, was könnte die Community erwarten?

Was es ist und was es nicht ist

Die Verordnung erhielt überwältigend positive Kritiken für ihren mehrschichtigen Ansatz, insbesondere für die Einbeziehung von detaillierten Angaben zu den erforderlichen Cybersicherheitspraktiken in den Behörden.

“Es gibt einige sehr sexy Dinge darin. Das Sicherheitsüberprüfungsgremium wird eine sexy Sache sein, aber Sie müssen diese detaillierten, unsexy IT-Anforderungen erfüllen”, sagte Jonathan Reiber, Senior Director für Cybersicherheitsstrategie bei AttackIQ und ehemaliger Chief Strategy Officer für Cyberpolitik im Verteidigungsministerium.

Reiber hob den Schritt in Richtung Zero Trust, EDR und automatisierte Tests als die wichtigsten Teile der Verordnung hervor. Zusätzlich zu den staatlichen Anforderungen wird versucht, den Markt für Verbraucher und Unternehmen zu sichern, indem die Lieferketten verbessert und die Kaufkraft des Bundes genutzt wird.

Das heißt, obwohl die Anordnung groß und umfassend ist, ist sie nicht das Ende der Cyber-Politik. “Die Anordnung ist kein Allheilmittel”, sagt Bill Wright, Director of Federal Government Affairs bei Splunk.

Auffallend abwesend in der Executive Order sind zum Beispiel spezifische Maßnahmen zur Bekämpfung von Ransomware. Die Regierung und der Kongress scheinen diese Angelegenheit durch separate Bemühungen anzugehen, von denen viele als Reaktion auf den Angriff auf die Colonial Pipeline angepriesen wurden, der aus erster Hand die Auswirkungen von Angriffen auf kritische Infrastrukturen zeigte. Einige der weithin vorgeschlagenen Vorschläge können von der Regierung ohne Beteiligung des Kongresses verfolgt werden – einschließlich des Einsatzes des Cyber Command zur Unterbrechung von Ransomware-Operationen. Die Regierung verwies auch auf Bemühungen um eine verstärkte internationale Zusammenarbeit bei Ransomware und richtete eine Task Force des Justizministeriums ein, die sich mit dem Thema befassen soll. Aber andere wichtige Vorschläge wie die Forderung nach föderalen Benachrichtigung von Ransomware-Attacken Anforderung Ausrichtung mit dem Hügel.

Die Administration veröffentlichte auch, was vermutlich die erste von mehreren Executive Orders sein wird, die industrielle Systeme betreffen. Diese Anordnung, die im April veröffentlicht wurde, zielte auf das Stromnetz und die Energieversorgung ab.

Was kommt als nächstes

Die Anordnung beinhaltet eine hektische Menge an Arbeit für Regierungsnetzwerke, wobei einige andeuten, dass die Zeitrahmen, die für die Aktualisierung der Standards gegeben sind, eng sein könnten.

“Die Zeitvorgaben der Agenturen sind extrem knapp bemessen. Der Krieg wird also in der Implementierungsphase der EO gewonnen oder verloren werden”, sagte Wright.

Während die Executive Order direkt auf die Aufrüstung von Bundesnetzwerken abzielt, demonstriert sie eine konzertierte Aktion, um den Geschäfts- und Verbrauchermarkt durch ihre Kaufkraft zu beeinflussen. Das wiederum kann ziemlich weitreichende Auswirkungen auf die Sicherheit haben: Indem die Bundesregierung die Messlatte für Cybersicherheit im Beschaffungswesen höher legt, garantiert sie, dass abgegrenzte Produkte auf den Markt kommen, die einen bestimmten Standard erfüllen. Hersteller zögern manchmal, mehr als eine Version eines Produkts zu verkaufen; die Erhöhung der Standards kann dazu führen, dass weniger sichere Alternativen gänzlich eliminiert werden.

“Wenn man Kapitalisten eine Möglichkeit gibt, mehr Geld zu verdienen, ist man ein Held”, sagte Mike Hamilton, ehemaliger Chief Information Security Officer von Seattle und CISO der staatlichen Cybersicherheitsfirma CI Security.

Die Anordnung bietet mehrere Abschnitte, die sich direkt an Unternehmen richten, einschließlich der Absicht, das Incident Review Board zu einer öffentlich-privaten Partnerschaft unter Leitung der Industrie zu machen. Das, so Reiber, “hat das Potenzial, transformativ zu sein”. Der Versuch ist dem NTSB-Prüfungsausschuss nachempfunden, der eine Fallgeschichte für die Regierung, die Hersteller und die Fluggesellschaften erstellt hat, um sie für ihre gemeinsame Vorbereitung zu dekonstruieren, und der schließlich zu Technologien wie dem Blackbox-Flugschreiber führte. Es kann den Beteiligten eine Chance geben, Fehler zu vermeiden, indem sie aus anderen Vorfällen lernen.

“Das Solarwinds-Eindringen ist das größte Cloud-Eindringen oder das größte Eindringen in Bezug auf den Umfang, das der Bundesregierung passiert ist”, sagte Reiber. “Aber es ist nicht das erste Mal, dass sich ein Eindringling seitlich durch ein Netzwerk bewegt hat, um erheblichen Schaden anzurichten. Wir hatten Target, dann hatten wir OPM, und wir hatten SingHealth; diese Dinge kommen immer wieder.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com