Das DoD braucht eher Zuckerbrot als Peitsche, um Unterstützung für das Programm zur Bedrohungsjagd auf Auftragnehmer zu gewinnen

Cyber Security News

Das Pentagon mit dem Washington Monument und der National Mall im Hintergrund. Während das Verteidigungsministerium an den Konturen eines Programms zur Bedrohungsjagd für Auftragnehmer des Verteidigungssektors arbeitet, tauchen alte Debatten über die Rolle der Regierung bei der Cybersicherheit im privaten Sektor wieder auf. (U.S. Air Force Foto von Senior Airman Perry Aston)

Unternehmen, die an einem potenziellen Pentagon-Programm zur Durchführung von Bedrohungsjagden in der gesamten Verteidigungsindustrie teilnehmen, sollten vor rechtlicher Haftung geschützt werden und zusätzliche finanzielle oder technische Unterstützung erhalten, um sicherzustellen, dass kleine Unternehmen nicht verdrängt werden, argumentiert eine Industriegruppe.

Die Cyberspace Solarium Commission hat im vergangenen Jahr Dutzende von Empfehlungen an die politischen Entscheidungsträger herausgegeben, von denen viele in die jährliche Verteidigungsgesetzgebung des Kongresses aufgenommen wurden. Eine der Bestimmungen, die es in das endgültige Gesetz geschafft haben, verlangt, dass der Verteidigungsminister bis September einen Bericht vorlegt, in dem die Machbarkeit eines vom DoD geleiteten Programms zur Bedrohungsjagd dargelegt wird, das sich auf die Identifizierung und Ausrottung von Cybersicherheitsschwachstellen in den Systemen und Netzwerken von Verteidigungsunternehmen konzentriert. Wenn dieser Bericht die Idee befürwortet, planen DoD-Beamte, ein solches Programm bis 2022 einzuführen.

Letzte Woche hat die Intelligence and National Security Alliance, eine gemeinnützige Berufsorganisation für Mitarbeiter des Nachrichtendienstes und der nationalen Sicherheit, sieben verschiedene Empfehlungen veröffentlicht, wie ein solches Programm eingerichtet werden könnte. Ein Unterton in vielen der Ideen ist die Überzeugung, dass die Regierung bei der Einrichtung eines solchen Programms vorsichtig vorgehen sollte, sich eher auf Zuckerbrot als auf Peitsche verlassen sollte, um die Teilnahme anzulocken, und die Regeln, die bestimmen, wann Beamte des DoD oder Dritter das Netzwerk eines Unternehmens durchwühlen können, stark einschränken sollte.

Die Autoren warnen davor, dass das Hinzufügen von Anforderungen zur Bedrohungsjagd zu Programmen wie der Cybersecurity Maturity Model Certification viele kleine Unternehmen eher ausschließen könnte, als dass es die Bildung neuer Bedrohungsjagdteams anspornt. Während große Verteidigungsunternehmen wahrscheinlich bereits über die Ressourcen und ausgefeilten Bedrohungsjagdprogramme verfügen, die erforderlich sind, um die höchste Zertifizierungsstufe des CMMC zu erhalten, benötigen kleine und mittelständische Unternehmen “möglicherweise technische und finanzielle Unterstützung, um Teil einer lebensfähigen nationalen Verteidigungslieferkette zu bleiben.”

Das könnte alles beinhalten, von finanziellen Anreizen und technischer Unterstützung für kleine Unternehmen bis hin zu der Möglichkeit, Investitionen in die Bedrohungsjagd als “zulässige Kosten” unter den Vertragsregeln des Pentagons zu behandeln, die von der Bundesregierung erstattet werden können.

Die Unternehmen sollten ihre internen Analysen von Netzwerk-Metadaten weitergeben, aber die Militärs sollten von den Auftragnehmern nicht verlangen, dass sie die Metadaten selbst weitergeben, da diese auch personenbezogene Daten enthalten könnten oder gegen die Datenschutzgesetze in Europa und in einigen US-Bundesstaaten wie Kalifornien verstoßen würden. Andere Ideen, wie die Platzierung von Sensoren in den Netzwerken von Auftragnehmern, könnten nach Ansicht von INSA zusätzliche Gesetze erfordern.

“Ein Unternehmen sollte nicht verpflichtet sein, einer externen Partei – entweder einem Anbieter oder einer Regierungsbehörde – zu erlauben, Sensoren in seinem Netzwerk zu betreiben oder zu platzieren”, heißt es in dem Bericht.

Die Regeln und Bedingungen, die ein Bedrohungsjagdprogramm für Verteidigungsunternehmen regeln würden, sind derzeit noch in der Schwebe. Experten, die von SC Media erreicht wurden, sagen, dass dies größtenteils das Produkt der Kongressformulierung im letztjährigen National Defense Authorization Act ist, der dem DoD nur wenige Mandate und eine große Flexibilität gab, um die Details der Struktur eines solchen Programms herauszufinden.

“Was wir heute hören, ist ein Nebenprodukt einiger der anderen Gespräche, die wir in der Vergangenheit geführt haben [from the private sector] dass wir Sie nicht in unseren Netzwerken haben wollen, wir wollen nichts tun müssen, was von der Regierung verlangt wird, überlassen Sie uns unseren eigenen Geräten und wenn etwas passiert, können wir Sie informieren oder nicht, weil es nichts gibt, was uns dazu verpflichtet”, sagte Chris Cummiskey, ein ehemaliger DHS-Beamter und Senior Fellow am McCrary Institute for Cyber and Critical Infrastructure Security.

Während einige in der Industrie vielleicht wollen, dass das DoD langsamer wird, könnte das Gegenteil für die Bundesregierung gelten, die unter starkem Druck des Kongresses, des Weißen Hauses und des privaten Sektors steht, schnell zu handeln und zukünftige Vorfälle wie die SolarWinds- oder Microsoft Exchange-Kampagnen zu verhindern, bei denen Produkte von Auftragnehmern oder kommerziellen Anbietern ausgenutzt wurden, um in Regierungsnetzwerke einzudringen.

In einer Empfehlung wird beispielsweise gefordert, dass das DoD alle Pläne zur Implementierung eines Programms zur Bedrohungsjagd bis mindestens Januar 2023 aufschiebt und sagt, dass es “langsam eingeführt werden sollte, um den Wert des Programms zu ermitteln und die Auswirkungen erster, zweiter und dritter Ordnung auf die [defense industrial base] Lieferkette” und plädiert für einen überlegten Ansatz, der Tabletop-Übungen und ein Pilotprogramm umfasst.

Robert Metzger, Autor des Buches “Deliver Uncompromised” und Experte für die Cybersicherheitsanforderungen der Verteidigungsindustrie, argumentierte, dass ein solcher langsamer Ansatz wahrscheinlich weder für das Pentagon noch für die politischen Entscheidungsträger im Kongress akzeptabel wäre, die einen Großteil des vergangenen Jahres damit verbracht haben, Zeuge einer Reihe von verheerenden Hacks in der Lieferkette und anderen Eindringlingen in Systeme von Auftragnehmern und der Regierung zu werden. Eine übermäßig vorsichtige Herangehensweise oder der Rückfall in alte Argumente über die Übergriffigkeit der Regierung auf die Netzwerke von Unternehmen, die mit dem Militär Geschäfte machen, könnte das DoD direkt zum inakzeptablen Status quo zurückführen und andere Interessengruppen wie den Kongress dazu veranlassen, ihre eigenen Mandate zu entwickeln.

Während es sicherlich berechtigte Bedenken gibt, zu schnell zu handeln und Fehler zu machen, “lehrt uns die Erfahrung von SolarWinds und anderen Ereignissen, dass es eine Dringlichkeit zu diesem Problem gibt, die sich nicht wirklich mit einer vorsichtigen Herangehensweise vereinbaren lässt”, sagte Metzger. “Wir wollen vorsichtig sein, wir wollen nichts Unmögliches verlangen, wir müssen natürlich auf die kleinen Unternehmen achten, aber wenn wir uns zu sehr auf die Seite der Vorsicht und Präzision schlagen, werden wir feststellen, dass wir mehr Beispiele für Ereignisse vom Typ SolarWinds haben, mehr Schaden anrichten. Und was dazu führen kann, ist eine politische Lösung im Kongress, um diese Fragen selbst zu beantworten.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com