Genauso wie Cyber ein Thema für die C-Suite wurde, ist es jetzt auch ein Thema für Ihren Gouverneur

Cyber Security News

Missouri-Gouverneur Mike Parson unterzeichnet ein Gesetz. (Office of Missouri Governor, CC BY 2.0 https://creativecommons.org/licenses/by/2.0, via Wikimedia Commons)

Es hat eine Weile gedauert, bis sich die Erkenntnis durchgesetzt hat, dass Cybersicherheit nicht nur ein IT-Problem ist, sondern ein Thema für die Führungsebene, das die leitenden Angestellten und Entscheidungsträger eines Unternehmens betrifft. In der Unternehmenswelt gehört dazu sicherlich der CEO – und im öffentlichen Sektor ist das staatliche Äquivalent des CEOs das Büro des Gouverneurs.

Genau wie CEOs und der Rest der Führungsetage können es sich Gouverneure nicht leisten, untätig zu bleiben, wenn böswillige Cyber-Akteure Einrichtungen bedrohen, die in ihrem Zuständigkeitsbereich operieren, seien es lokale Wahlen, kritische Infrastrukturen, Schulbezirke oder öffentliche Dienste.

“Es ist im öffentlichen Sektor das Gleiche wie in der Privatwirtschaft”, sagte Maggie Brunner, Programmdirektorin für Heimatschutz und öffentliche Sicherheit bei der National Governors Association, einer überparteilichen politischen Denkfabrik und Interessenvertretung aller 55 Gouverneure der US-Bundesstaaten und Territorien. Brunner erinnerte daran, dass bei einer kürzlichen NGA-Veranstaltung für neue Gouverneure ein altgedienter Stabschef sagte, dass Cybersicherheit von etwas, das “vielleicht einmal im Quartal” auf seinem Schreibtisch landete, als er anfing, zu “jedem einzelnen Tag” wurde.

Letzte Woche gaben das Center for Best Practices der NGA und das Resource Center for State Cybersecurity bekannt, dass fünf US-Bundesstaaten für die “2021 Policy Academy to Advance Whole-of-State Cybersecurity” ausgewählt wurden. Die Akademie funktioniert wie ein Bootcamp, das den Staaten technische und strategische Unterstützung bietet und ihnen hilft, die besten gesamtstaatlichen Praktiken in Schlüsselbereichen zu entwickeln und zu teilen. Kansas und Missouri werden sich auf die Cybersecurity-Governance konzentrieren, Montana auf die Entwicklung von Arbeitskräften, und Indiana und Washington wollen das lokale Engagement und Partnerschaften fördern.

Bei einem gesamtstaatlichen Ansatz zur Cybersicherheit arbeiten die Bundesstaaten eng mit Städten und Gemeinden innerhalb ihrer Grenzen zusammen, um ihre gemeinsamen Interessen gemeinsam zu verteidigen. Die Zusammenarbeit zwischen staatlichen und kommunalen Behörden ist der Politikbereich, der in letzter Zeit das meiste exponentielle Wachstum erlebt hat, sagte Brunner, da staatliche Beamte erkennen, dass sie Partnerschaften, Kooperationen und Ressourcen mit lokalen Behörden teilen müssen – ähnlich wie Unternehmen Cyber-Intelligenz mit anderen Unternehmen teilen, die in ihrem Branchenbereich tätig sind.

Im heutigen Klima, wenn ein Schulbezirk oder eine kleine Stadt durch Ransomware heruntergefahren wird, “Gouverneure sagen nicht: ‘Nicht mein Problem – das ist eine politische Unterabteilung, das sind nicht wir.'” [Instead,] Sie sagen: ‘Wie können wir helfen?'”, erklärte sie.

Es geht darum, Informationssilos aufzubrechen, und das gilt auch in Bezug darauf, wie die Cybersicherheit über mehrere staatliche Abteilungen hinweg verwaltet wird. “Es geht nicht … darum, dass jede einzelne Behörde zum Beispiel einen Plan für die Reaktion auf einen Vorfall hat”, so Brunner weiter. Vielmehr geht es darum: “Wie schaffen wir ein ganzes landesweites Ökosystem? Wie arbeiten die Leute zusammen?”

“Sie werden Leute brauchen, die in der wirtschaftlichen Entwicklung sind, Sie werden Leute im Bildungsministerium brauchen, Sie werden Leute wie CISOs brauchen, die oft dieses große technische Fachwissen bieten. Also … dies erfordert wirklich ein multidisziplinäres Team.”

Der Gouverneur von Missouri, Mike Parson, äußerte sich in einem E-Mail-Interview mit SC Media genau in diesem Sinne und merkte an, dass angesichts der zunehmenden Häufigkeit und Raffinesse von Cyber-Bedrohungen “ein gemeinsames Engagement der Verantwortlichen für Cybersicherheit in Missouri entscheidend sein wird, um Angriffe zu vereiteln und Risiken zu reduzieren. Missouri erkennt, dass Cyber nicht nur ein IT-Problem ist, sondern eine Sicherheitsbedrohung, die eine gemeinsame Verantwortung und Zusammenarbeit erfordert. Die Möglichkeit, ein landesweites Modell zu etablieren, das einen klaren Governance-Rahmen mit organisationsübergreifender Beteiligung bietet, wird uns helfen, die wachsenden Herausforderungen im Bereich der Cybersicherheit zu bewältigen.”

Parson sagte, dass das Ziel von Missouri für dieses Jahr die Erstellung von sechs Dokumenten ist, die zusammen einen vorläufigen Entwurf des Cyber-Governance-Modells des Bundesstaates bilden werden: “Missouri’s Cybersecurity Goals, Cyber Goal Metrics, Defined Cyber Terrain, Missouri Cyber Resources, Cybersecurity Resource Gaps und schließlich das Framework on Roles and Responsibilities.”

[Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/04/781px-Laura_Kelly_official_photo_cropped.jpg]Kansas Governor Laura Kelly (Office of the Governor of Kansas, CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0, via Wikimedia Commons)

Die Gouverneurin von Kansas, Laura Kelly, hat ähnliche Bestrebungen. “Kansas hat Cyber-Governance als primären Schwerpunktbereich für die NGA Cybersecurity Policy Academy gewählt, weil wir versuchen, unsere alten, veralteten Systeme zu verbessern, die Zusammenarbeit zu verbessern und Silos zwischen den Regierungseinheiten in Kansas aufzubrechen”, sagte sie gegenüber SC Media. “Da immer mehr Cyber-Ereignisse auf verschiedenen Regierungsebenen auftreten, wird ein ganzheitlicher Ansatz für die Cybersicherheit im gesamten Bundesstaat dazu beitragen, den Informationsaustausch und die kollaborative Cyber-Reaktion zu fördern.”

Ein ganzheitlicher Ansatz hilft auch dabei, kostbare Budgets zu schonen – aber um dies zu erreichen, müssen staatliche und lokale Regierungsbeamte dazu angeregt werden, ihre Mittel und kollektive Intelligenz zu bündeln. “Wenn wir die Leute dazu bringen können, zusammenzuarbeiten und ihren Dollar zu strecken, können die Dinge etwas effektiver laufen”, sagte Brunner. Zum Beispiel hat die NGA in letzter Zeit einen, wie Brunner es nannte, “riesigen Output … an Shared-Service-Verträgen” erlebt. … Und das ist ein wirklich effektiver Weg, das Risiko in einem wirklich schwierigen Haushaltsklima zu reduzieren.”

Vergangene Erfolge, zukünftige Ziele

Letztes Jahr wurden sieben Staaten ausgewählt, um an einer ähnlichen Initiative der NGA Policy Academy teilzunehmen, deren Hauptziel es war, Best Practices zur Förderung der landesweiten Cybersicherheit zu implementieren. Und 2019 arbeiteten sechs Staaten mit der NGA an Strategien zur Gewährleistung der Wahlintegrität.

Eine der besten jüngsten Erfolgsgeschichten der NGA fand in Michigan statt. Letztes Jahr entwickelte der Staat unter Gouverneurin Gretchen Whitmer ein, wie Brunner es nannte, Cyber-Rahmenwerk für K-12-Bildungsbezirke, das aus drei Säulen besteht: Sicherung von Schulen, Aufbau eines Cybersicherheitslehrplans und Entwicklung von Führungskräften.

“Im Moment sind sie dabei, das im ganzen Bundesstaat zu verankern und sich wirklich einzubringen”, sagte Brunner. “Und hier konnte die NGA sagen: ‘Wir können Ihnen nicht nur dabei helfen, diese politischen Ziele zu verfeinern und dieses fantastische Rahmenwerk zu entwickeln, sondern wir können Ihnen auch dabei helfen, die Sicherheit der Schulen zu verbessern. [we can] auch dieser neutrale Vermittler sein, um viele Leute hier dazu zu bringen, Ja zu sagen.'”

Ein weiteres bemerkenswertes Beispiel ist die frühere Zusammenarbeit der NGA mit dem Gouverneursamt von West Virginia zur Unterstützung der Ausarbeitung von Gesetzen zur Zentralisierung der Cybersicherheitsverwaltung im gesamten Bundesstaat und seinen Behörden. “Sie … suchten nach Strategien für die Nachrichtenübermittlung, wie man die Aufmerksamkeit der entsprechenden politischen Entscheidungsträger erregen kann. Wie können wir über diese Notwendigkeit sprechen? Wie sprechen wir über Cybersicherheit im Allgemeinen? Und das ist etwas, bei dem wir sie unterstützen konnten… und glücklicherweise wurde das Gesetz verabschiedet.”

Die Unterstützung der NGA kann viele Formen annehmen, da sie sich mit dem Büro des Gouverneurs selbst, sowie mit verschiedenen Ministerien und Behörden (einschließlich Heimatschutzeinrichtungen) und der örtlichen Nationalgarde berät. Oftmals stellt die Organisation den Kontakt zu Fachleuten oder anderen staatlichen Stellen her, die ähnliche Initiativen und Herausforderungen erlebt haben. Die Organisation kann die Staaten auch mit bewährten Praktiken und Richtlinien vertraut machen, ihnen bei der strategischen Planung und der Festlegung von Zielen helfen und sie bei der Einrichtung von Leitungsgremien und Arbeitsgruppen unterstützen.

“Wir schauen uns oft an: Was sind die großartigen Dinge, die Sie tun, die Sie vielleicht noch verstärken wollen?” Brunner said. “Was sind einige der Herausforderungen, die Sie erleben? Und wo wollen Sie sein? Wie kommen wir von Punkt A zu Punkt B in einem bestimmten Zeitrahmen? Es geht also um eine Art SWOT-Analyse und strategische Planung.”

Staaten werden für das Programm ausgewählt, indem sie eine Bewerbung einreichen, die eine bevorstehende Cyber-Initiative und entsprechende Ziele vorschlägt, zusammen mit einem vom Gouverneur unterzeichneten Brief, der das Interesse an der Erreichung dieser Ziele bestätigt.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com