Kriittisestä infrastruktuurista onnettomuustilanteiden välttämiseen: Kaksi tärkeää kyberavaruuden solarium-komission raporttia kyberturvallisuudesta

According to the recently published Cyberspace Solarium Commission report “Cybersecurity Lessons from the Pandemic,” the COVID-19 pandemic illustrates the challenge of ensuring resilience and continuity in a connected world. Many of the effects of this new breed of crisis can be significantly ameliorated through advance preparations that yield resilience, coherence, and focus as it spreads rapidly through the entire system, stressing everything from emergency services and supply chains to basic human needs and mental health. The pandemic produces cascading effects and high levels of uncertainty. It has undermined normal policymaking processes and, in the absence of the requisite preparedness, has forced decision-makers to craft hasty and ad hoc emergency responses.

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Toimittajan huomautus: Cyberspace Solarium Commission (CSC) perustettiin John S. McCain National Defense Authorization Act for Fincal Year 2019 -asiakirjassa, jossa kehitetään yhteisymmärrys strategisesta lähestymistavasta Yhdysvaltojen puolustamiseksi kyberavaruudessa merkittäviä seurauksia aiheuttavia kyberhyökkäyksiä vastaan. Mallinnettu Dwight Eisenhowerin ”Project Solarium” -projektin jälkeen, joka oli kansallisen tason harjoitus strategiassa ja poliittisessa suunnittelussa, jonka tarkoituksena oli luoda yhteisymmärrystä kansallisessa turvallisuusyhteisössä Neuvostoliiton laajentumiselle vastaamisesta, CSC on äskettäin julkaissut kaksi luotettavaa raporttia, jotka ovat laillisen huomioita, liiketoimintaa ja tietotekniikan ammattilaisia pohtiessaan strategista, operatiivista ja taktista kyberpelotetta makrokansalliselta tasolta mikroorganisaatiotasolle.

Kyberturvallisuuden solariumin komission kertomus

Valmis raportti esiteltiin yleisölle 11. maaliskuuta 2020.

Puheenjohtajan kirje senaattori Angus Kingiltä ja edustaja Mike Gallagherilta

Maamme on vaarassa paitsi katastrofaalisesta kyberhyökkäyksestä, myös miljoonista päivittäisistä tunkeiluista, jotka häiritsevät kaikkea rahaliikenteestä vaalijärjestelmämme sisäiseen toimintaan. Tämän haasteen monimutkaisuuden vangitseminen on vaikeaa. Jopa mies hyvitetään keksimällä termi ”kyberavaruus”, tieteiskirjailija William Gibson, myöhemmin arvostelisi sitä ”herättäväksi ja olennaisesti merkityksettömäksi” buzzwordiksi.

Tämän ongelman tutkimisessa on helppo laskeutua luokitteluun, lyhenteisiin, jargoniin ja hämärään hallituksen organisaatiokaavioihin. Tämän välttämiseksi yritimme jotain erilaista: luokittelematonta raporttia, jonka toivomme olevan luettavissa juuri ne ihmiset, jotka kärsivät kyberturvattomuudesta — kaikki. Mietinnössä pyritään myös suoraan toimiin; siinä on lukuisia suosituksia, joissa käsitellään organisatorisia, poliittisia ja teknisiä kysymyksiä, ja sisällytimme liitteeseen lakiesityksiin, joiden mukaan kongressi voi toimia nopeasti näiden ajatusten toteuttamiseksi käytännössä ja Amerikasta turvallisemman.

Todellisuus on se, että olemme vaarallisen epävarmoja kyberissä. Koko elämäsi — palkkasi, terveydenhuoltosi ja sähkösi — luottaa yhä enemmän digitaalisten laitteiden verkkoihin, jotka tallentavat, käsittelevät ja analysoivat tietoja. Nämä verkot ovat haavoittuvia, ellei niitä jo vaaranneta. Maamme on menettänyt satoja miljardeja dollareita kansallisvaltion tukemille immateriaaliomaisuuden varkauksille, jotka käyttävät verkkovakoilua. Suuri verkkohyökkäys maan elintärkeään infrastruktuuriin ja talousjärjestelmään aiheuttaisi kaaosta ja pysyviä vahinkoja, jotka ylittävät Kalifornian tulipalojen, keskilännen tulvien ja Kaakkois-hurrikaanien aiheuttamat vahingot.

Mietinnössämme hahmotellaan uutta kyberstrategiaa ja annetaan yli 75 suositusta julkisen ja yksityisen sektorin toimintaan. Tässä on isoja ideoita, joilla keskustelu saadaan käyntiin.

Ensinnäkin pelote on mahdollista kyberavaruudessa. Nykyään useimmat kybertoimijat kokevat olevansa esteettömiä, ellei niitä ole veritulvottu, kohdistamaan henkilötietoihimme ja julkiseen infrastruktuuriimme. Toisin sanoen, kyvyttömyytemme tai haluttomuudemme tunnistaa ja rangaista kybervastustajiamme, signaloimme, että Yhdysvaltain vaaleihin sekaantuminen tai miljardien varastaminen Yhdysvaltain teollis- ja tekijänoikeuksien osalta on hyväksyttävää. Liittovaltion ja yksityisen sektorin on puolustettava itseään ja iskettävä takaisin vauhdilla ja ketteryydellä.

Tämä on vaikeaa, koska hallitusta ei ole optimoitu nopeaksi tai ketteräksi, vaan meidän on yksinkertaisesti oltava nopeampia kuin vastustajamme estääksemme heitä tuhoamasta verkostojamme ja laajemmin elämäntapaamme. Kerroksellisen kyberpelotteen strategiamme on suunniteltu tätä tavoitetta silmällä pitäen. Siinä yhdistyvät parannettu sietokyky ja paremmat määritysvalmiudet ja selkeämpi signalointistrategia kumppaneidemme ja liittolaistemme kollektiivisiin toimiin. Se on yksinkertainen kehys, jossa määritellään, miten kehitämme kovan kohteen, hyvän liittolaisen ja huonon vihollisen.

Toiseksi pelote nojaa sitkeään talouteen. Kylmän sodan aikana parhaat mielemme saivat tehtäväkseen kehittää hallituksen suunnitelmien jatkuvuutta, jotta hallitus voisi selviytyä ja kansakunta toipua ydiniskun jälkeen. Tarvitsemme tänään samanlaista suunnittelua varmistaaksemme, että voimme uudistua kansallisen tason verkkohyökkäyksen jälkimainingeissa. Meidän on myös varmistettava, että taloutemme jatkuu. Suosittelemme, että hallitus perustaa talouden jatkuvuussuunnitelman, jolla varmistetaan, että voimme nopeasti palauttaa kriittiset toiminnot eri yritysten ja teollisuuden aloilla, ja saada talouden takaisin vauhtiin katastrofaalisen verkkohyökkäyksen jälkeen. Tällainen suunnitelma on pelotteen peruspilari — tapa kertoa vastustajillemme, että me yhteiskuntana selviämme voittaaksemme heidät nopeasti ja ketteryydellä, jos he aloittavat suuren verkkohyökkäyksen meitä vastaan.

Kolmanneksi pelote vaatii hallituksen uudistusta. Meidän on nostettava nykyisiä kybervirastoja, erityisesti kyberturvallisuus- ja infrastruktuuriturvallisuusvirastoa (CISA), ja luotava uusia tietokeskuksia kyberturvallisuuden koordinoimiseksi toimeenpanohaarassa ja kongressissa. Tätä varten suosittelemme kansallisen kyberjohtajan perustamista uuden kongressin kyberturvallisuuskomiteoiden valvontaan, mutta tavoitteenamme ei ole luoda lisää byrokratiaa uusilla ja päällekkäisillä rooleilla ja organisaatioilla. Pikemminkin ehdotamme, että nykyisille organisaatioille annetaan välineet, joita ne tarvitsevat toimimaan nopeasti ja ketterästi, jotta voimme puolustaa verkostojamme ja aiheuttaa kustannuksia vastustajillemme. Keskeinen on CISA, jota olemme yrittäneet valtuuttaa johtavana liittovaltion kyberturvallisuuden virastona ja yksityisen sektorin ensisijaisena kumppanina. Haluamme, että CISA:ssa työskentelystä tulee niin houkutteleva kansallisesta palvelusta kiinnostuneille nuorille ammattilaisille, että se kilpailee NSA:n, FBI:n, Googlen ja Facebookin kanssa huipputason lahjakkuuksista (ja voittaa).

Neljänneksi pelote edellyttää, että yksityisen sektorin toimijat tehostavat ja vahvistavat turvallisuusryhmiään. Suurin osa kriittisestä infrastruktuuristamme on yksityisen sektorin omistuksessa. Siksi annamme tiettyjä suosituksia, kuten pilvipalvelun suojaussertifikaatin perustamista tai yrityksen vastuuvelvollisuutta koskevien raportointivaatimusten nykyaikaistamista. Emme halua satuloida yksityistä sektoria raskailla ja haitallisilla säädöksillä, emmekä halua pakottaa yrityksiä luovuttamaan tietojaan liittovaltiolle. Emme ole Kiinan kommunistinen puolue, ja paras tiemme vastustajiemme voittamiseen on pysyä vapaana ja innovatiivisena. Mutta tarvitsemme C-sviitin johtajia ottamaan kyberin vakavasti, koska he ovat etulinjoilla. Liittovaltion tuella yksityisen sektorin tahojen on kyettävä toimimaan nopeasti ja ketteryydellä estääkseen kyberhyökkääjien puhkeamisen verkostoihinsa ja laajempaan verkostoonsa, johon kansakunta luottaa.

Viidenneksi vaaliturvallisuuden on oltava etusijalla. Yhdysvaltain kansalla ei edelleenkään ole varmuutta siitä, että vaalijärjestelmämme ovat turvassa ulkomaalaisilta manipuloinneilta. Jos vaaliturvallisuutta ei saada kuntoon, pelote pettää ja tulevat sukupolvet katsovat kaipaillen ja katuen kerran vaikutusvaltaista Amerikan tasavaltaa ja ihmettelevät miten me mokasimme koko homman. Mielestämme meidän on jatkettava määrärahoja vaaliinfrastruktuurin nykyaikaistamisen rahoittamiseksi valtion ja paikallistason tasolla. Samaan aikaan valtioiden ja paikkakuntien on maksettava osuutensa vaalien turvaamiseksi, ja ne voivat hyödyntää hyödyllisiä resursseja, kuten voittoa tavoittelemattomia, jotka voivat toimia nopeammalla ja ketteryydellä kaikissa 50 valtiossa, jotta vaalit voidaan varmistaa alhaalta ylöspäin kuin odottaa ylhäältä alaspäin suunnan ja rahoituksen. Meidän on myös varmistettava, että riippumatta äänestystavasta, paperista tai sähköisestä, paperista jäljitysketju on olemassa (ja kyllä, tunnustamme sen ironian, että kyberkomissio suosittelee paperijälkeä).

Emme ratkaisseet kaikkea tässä raportissa. Emme edes sopineet kaikesta. On olemassa alueita, kuten tasapainottaa mahdollisimman suurta salausta ja pakollista laillista pääsyä laitteisiin, joissa parasta, mitä pystyimme tekemään, oli antaa yhteinen periaatelausunto. Joka ikinen komission jäsen oli kuitenkin valmis tekemään kompromisseja työmme aikana, koska meitä kaikkia yhdisti se, että nykytilanne ei saa tehtyä työtä. Status quo kutsuu hyökkäyksiä Amerikkaan joka sekunti joka päivä. Status quo on hidas amerikkalaisten vallan ja vastuun antautuminen. Me kaikki haluamme sen loppuvan. Joten olkaa hyvä ja tehkää meille ja amerikkalaisille palvelus. Lue tämä raportti ja vaadi sitten, että hallituksesi ja yksityinen sektori toimivat nopeasti ja ketterästi turvatakseen kybertulevaisuutemme.

Senaattori Angus King (I-Maine)

Edustaja Mike Gallagher (R-Wisconsin)

Lue koko asiakirja The Cyberspace Solarium Commission Report -raportista

Kyberavaruuden solarium komission kertomus (PDF) Hiiren vieritys

CSC:n loppuraportti

Alkuperäinen lähde: Cyberspace Solarium Commission

Kyberturvallisuuden oppitunteja pandemiasta

Valmis raportti esiteltiin yleisölle 2. kesäkuuta 2020.

Tiivistelmäote

COVID-19 -pandemia kuvaa haastetta, joka liittyy sietokyvyn ja jatkuvuuden varmistamiseen yhdistetyssä maailmassa. Monia tämän uuden kriisirodun vaikutuksia voidaan merkittävästi parantaa etukäteen valmisteilla, jotka tuottavat sietokykyä, johdonmukaisuutta ja keskittymistä, kun se leviää nopeasti koko järjestelmän läpi ja korostavat kaikkea hätäpalveluista ja toimitusketjuista ihmisten perustarpeisiin ja mielenterveyteen. Pandemia tuottaa kaskadaavia vaikutuksia ja suurta epävarmuutta. Se on heikentänyt normaaleja päätöksentekoprosesseja, ja koska tarvittavaa varautumista ei ole, se on pakottanut päättäjät tekemään hätäisiä ja tilapäisiä hätätoimia. Ellei uutta lähestymistapaa kehitetä, COVID-19:n kaltaiset kriisit haastavat edelleen modernin amerikkalaisen elämäntavan joka kerta, kun ne ilmaantuvat. Liite kerää pandemian havaintoja, koska ne liittyvät kyberavaruuden turvallisuuteen, sekä sen aiheuttamien kyberturvallisuushaasteiden että sen avulla voidaan opettaa Yhdysvalloille, miten valmistautua suureen kyberhäiriöön. Nämä oivallukset ja niihin liittyvät suositukset, joista osa on uusia ja joista osa on alkuperäisessä maaliskuussa 2020 laaditussa raportissa, ovat nyt kiireellisempiä kuin koskaan.

Lue koko paperi kyberturvallisuuden oppitunteja Pandemian

Kyberturvallisuuden oppitunteja pandemian (PDF) hiirillä vierittämiseen

Pandemiasta opittuja kyberturvallisuusopetuksia — CSC:n valkoinen kirja

Alkuperäinen lähde: Cyberspace Solarium Commission

Ylimääräinen lukeminen

Ottaen huomioon kyberturvallisuuden? Kansallinen kyberturvallisuus käytännössä: uusi käsikirja

Relevantti Ransomeware-skenaario: Kuntien hallitusten ja terveydenhuollon tarjoajien kohdentaminen

Lähde: ComplexDiscovery

Perusviivan nollaaminen? eDiscoveryn markkinakoon mukautukset vuodelle 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Uutta NIST:stä: Kyberturvallisuuden ja yritysriskien hallinnan integrointi (ERM)

NIST has released NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management...

Pilvinen liitto? Seuraavan sukupolven pilvi Euroopalle

According to Thierry Breton, Commissioner for the Internal Market, "Europe needs...

Viisi suurta lukee eDiscovery lokakuussa 2020

From business confidence and captive ALSPs to digital republics and mass...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

eDisclosure Systems Buyers Guide — 2020 Edition (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

Kisa lähtöviivalle? Viimeaikaiset Secure Remote Review -ilmoitukset

Not all secure remote review offerings are equal as the apparent...

EtäeDiscoveryn ottaminen käyttöön? Tilannekuva DAAasista

Desktop as a Service (DaaS) providers are becoming important contributors to...

Perusviivan nollaaminen? eDiscoveryn markkinakoon mukautukset vuodelle 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Kotiin vai pois? eDiscovery Malliston markkinoiden mitoitukseen ja hinnoitteluun liittyvät näkökohdat

One of the key home (onsite) or away (remote) decisions that...

Tarkistuksia ja päätöksiä? Uusia huomioita eDiscovery Secure Remote -arvosteluille

One of the key revision and decision areas that business, legal,...

Makrokatsaus menneisyyteen ja ennustettuun eDiscoveryn markkina-kokoon 2012—2024

From a macro look at past estimations of eDiscovery market size...

Muutoksen kausi? 18 huomautusta eDiscovery Business Luottamus syksyllä 2020

In the fall of 2020, 77.2% of eDiscovery Business Confidence Survey...

Jatkuva tapaus, joka koskee budjettirajoitteita eDiscoveryn liiketoiminnassa

In the fall of 2020, 49.4% of respondents viewed budgetary constraints...

Kirjanpitoa? eDiscoveryn operatiiviset mittarit syksyllä 2020

In the fall of 2020, eDiscovery Business Confidence Survey more...

Peräsimen piteleminen? Syksyn 2020 eDiscovery Business Luottamuskyselyn

This is the twentieth quarterly eDiscovery Business Confidence Survey conducted by...

DISCO nostaa 60 miljoonaa dollaria

According to the media release, DISCO will use this investment to...

Rampiva ja RYABI Groupin yhdistäminen

According to today's announcement, the RYABI Group merger is Rampiva's first...

eDiscovery-yrityskeskittymät, yritysostot ja sijoitukset Q3 2020 -hankkeeseen

From HaystackID and NightOwl Global to Reveal Data and NexLP, the...

Mitratech hankkii Acuity ELM

According to Mike Williams, CEO of Mitratech, “We came to the...

Viisi suurta lukee eDiscovery lokakuussa 2020

From business confidence and captive ALSPs to digital republics and mass...

Viisi suurta lukee eDiscovery syyskuu 2020

From cloud forensics and cyber defense to social media and surveys,...

Viisi suurta lukua eDiscoveryssa elokuulle 2020

From predictive coding and artificial intelligence to antitrust investigations and malware,...

Viisi suurta lukua eDiscovery-ohjelmassa heinäkuulle 2020

From business confidence and operational metrics to data protection and privacy...