Van kritieke infrastructuur tot vermijding van calamiteit: twee belangrijke verslagen van de Commissie voor cyberspace solarium over cyberbeveiliging

According to the recently published Cyberspace Solarium Commission report “Cybersecurity Lessons from the Pandemic,” the COVID-19 pandemic illustrates the challenge of ensuring resilience and continuity in a connected world. Many of the effects of this new breed of crisis can be significantly ameliorated through advance preparations that yield resilience, coherence, and focus as it spreads rapidly through the entire system, stressing everything from emergency services and supply chains to basic human needs and mental health. The pandemic produces cascading effects and high levels of uncertainty. It has undermined normal policymaking processes and, in the absence of the requisite preparedness, has forced decision-makers to craft hasty and ad hoc emergency responses.

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Opmerking van de redactie: De Cyberspace Solarium Commission (CSC) werd opgericht in de John S. McCain National Defense Authorization Act for Fiscal Year 2019 met het charter van het ontwikkelen van een consensus over een strategische aanpak voor het verdedigen van de Verenigde Staten in cyberspace tegen cyberaanvallen van aanzienlijke gevolgen. Gemodelleerd naar Dwight Eisenhower's „Project Solarium” dat een nationaal niveau oefening was in strategie en beleidsontwerp bedoeld om consensus te creëren in de nationale veiligheidsgemeenschap voor het reageren op Sovjet-expansionisme, heeft de CSC onlangs twee cogente rapporten gepubliceerd die het waard zijn om te overwegen door wettigheid, professionals op het gebied van informatietechnologie en strategische, operationele en tactische cyberafschrikking van macro-nationaal niveau naar micro-organisatorisch niveau overwegen.

Het verslag van de Commissie voor Cybersecurity Solarium

Het eindverslag werd op 11 maart 2020 aan het publiek gepresenteerd.

Brief van de voorzitter van senator Angus King en vertegenwoordiger Mike Gallagher

Ons land loopt gevaar, niet alleen door een catastrofale cyberaanval, maar door miljoenen dagelijkse inbraken die alles verstoren, van financiële transacties tot de innerlijke werking van ons kiesstelsel. Het vastleggen van de complexiteit van deze uitdaging is moeilijk. Zelfs de man met het uitvinden van de term „cyberspace”, de sciencefictionauteur William Gibson, zou het later bekritiseren als een „suggestief en in wezen zinloos” buzzword.

Bij het bestuderen van dit probleem, is het gemakkelijk om af te dalen in een moeras van classificatie, acroniemen, jargon en obscure overheidsafdelingen. Om dat te voorkomen, hebben we iets anders geprobeerd: een niet-geclassificeerd rapport waarvan we hopen dat het leesbaar zal worden gevonden door de mensen die getroffen zijn door cyberonzekerheid — iedereen. Dit verslag is ook gericht op actie; het bevat tal van aanbevelingen over organisatorische, beleids- en technische kwesties, en we hebben een bijlage opgenomen met wetsontwerpen waarop het Congres snel kan handelen om deze ideeën in de praktijk te brengen en Amerika veiliger te maken.

De realiteit is dat we gevaarlijk onzeker zijn in cyber. Je hele leven — je salaris, je gezondheidszorg, je elektriciteit — is steeds meer afhankelijk van netwerken van digitale apparaten die gegevens opslaan, verwerken en analyseren. Deze netwerken zijn kwetsbaar, zo niet al gecompromitteerd. Ons land heeft honderden miljarden dollars verloren aan door de nationale staat gesponsorde diefstal van intellectueel eigendom door gebruik te maken van cyberspionage. Een grote cyberaanval op de kritieke infrastructuur en het economische systeem van de natie zou chaos en blijvende schade veroorzaken die groter is dan die veroorzaakt door branden in Californië, overstromingen in het Midwesten, en orkanen in het zuidoosten.

Om dit te voorkomen, schetst ons verslag een nieuwe cyberstrategie en bevat meer dan 75 aanbevelingen voor actie in de publieke en private sector. Hier zijn enkele grote ideeën om het gesprek op gang te brengen.

Ten eerste is afschrikking mogelijk in cyberspace. Tegenwoordig voelen de meeste cyberactoren zich onafgeschrikt, zo niet aangemoedigd, om zich te richten op onze persoonlijke gegevens en openbare infrastructuur. Met andere woorden, door ons onvermogen of onwil om onze cybertegenstanders te identificeren en te straffen, geven we aan dat interferentie met Amerikaanse verkiezingen of het stelen van miljarden aan Amerikaans intellectueel eigendom acceptabel is. De federale overheid en de particuliere sector moeten zich verdedigen en snel en behendig terugslaan.

Dit is moeilijk omdat de regering niet geoptimaliseerd is om snel of wendbaar te zijn, maar we moeten gewoon sneller zijn dan onze tegenstanders om te voorkomen dat ze onze netwerken en, bij uitbreiding, onze manier van leven vernietigen. Onze strategie van gelaagde cyberafschrikking is ontworpen met dit doel in het achterhoofd. Het combineert verbeterde veerkracht met verbeterde attributiemogelijkheden en een duidelijkere signaalstrategie met collectieve actie van onze partners en bondgenoten. Het is een eenvoudig kader dat uitlegt hoe we evolueren tot een hard doelwit, een goede bondgenoot en een slechte vijand.

Ten tweede, afschrikking is gebaseerd op een veerkrachtige economie. Tijdens de Koude Oorlog kregen onze beste geesten de opdracht om Continuïteit van Regering plannen te ontwikkelen om ervoor te zorgen dat de regering kon overleven en de natie herstellen na een nucleaire aanval. We hebben vandaag een vergelijkbare planning nodig om ervoor te zorgen dat we kunnen reconstrueren in de nasleep van een cyberaanval op nationaal niveau. We moeten er ook voor zorgen dat onze economie blijft draaien. We raden aan dat de overheid een Continuïteit van het Economy-plan in te stellen om ervoor te zorgen dat we snel kritieke functies in bedrijven en sectoren kunnen herstellen, en de economie weer aan de gang krijgen na een catastrofale cyberaanval. Zo'n plan is een fundamentele pijler van afschrikking — een manier om onze tegenstanders te vertellen dat wij, als samenleving, zullen overleven om hen snel en behendig te verslaan als ze een grote cyberaanval tegen ons lanceren.

Ten derde vereist afschrikking hervorming van de regering. We moeten bestaande cyberagentschappen, met name de Cybersecurity and Infrastructure Security Agency (CISA), versterken en versterken en nieuwe aandachtspunten creëren voor de coördinatie van cyberbeveiliging in de uitvoerende afdeling en het Congres. Daartoe raden we de oprichting aan van een National Cyber Director met toezicht van nieuwe congres Cybersecurity Comités, maar ons doel is niet om meer bureaucratie te creëren met nieuwe en dubbele rollen en organisaties. Integendeel, we stellen voor bestaande organisaties de instrumenten te geven die ze nodig hebben om snel en wendbaar te handelen om onze netwerken te verdedigen en kosten op te leggen aan onze tegenstanders. De sleutel is CISA, die we hebben geprobeerd te versterken als het leidende agentschap voor federale cybersecurity en de voorkeurspartner van de particuliere sector. We willen dat werken bij CISA zo aantrekkelijk wordt voor jonge professionals die geïnteresseerd zijn in nationale dienstverlening dat het concurreert met de NSA, de FBI, Google en Facebook voor toptalent (en wint).

Ten vierde zal het afschrikken van particuliere entiteiten ertoe verplichten hun veiligheidspositie op te voeren en te versterken. Het grootste deel van onze kritieke infrastructuur is eigendom van de particuliere sector. Daarom doen we bepaalde aanbevelingen, zoals het instellen van een cloudbeveiligingscertificering of het moderniseren van de rapportagevereisten voor bedrijfsverantwoording. We willen de particuliere sector niet opzadelen met zware en contraproductieve regelgeving, noch willen we bedrijven dwingen hun gegevens aan de federale overheid over te dragen. Wij zijn niet de Chinese Communistische Partij, en onze beste weg om onze tegenstanders te verslaan is om vrij en innovatief te blijven. Maar we hebben C-suite leidinggevenden nodig om cyber serieus te nemen, omdat ze in de frontlinie zitten. Met steun van de federale overheid, moeten particuliere entiteiten in staat zijn om snel en behendig te handelen om te voorkomen dat cyberaanvallers uitbreken in hun netwerken en het grotere scala aan netwerken waarop de natie vertrouwt.

Ten vijfde, verkiezingsveiligheid moet een prioriteit worden. Het Amerikaanse volk heeft nog steeds niet de zekerheid dat onze verkiezingsstelsels veilig zijn voor buitenlandse manipulatie. Als we de verkiezingsveiligheid niet goed krijgen, zal afschrikking mislukken en zullen toekomstige generaties terugkijken met verlangen en spijt op de eens machtige Amerikaanse Republiek en zich afvragen hoe we het allemaal hebben verpest. Wij zijn van mening dat we de kredieten moeten voortzetten om de modernisering van de verkiezingsinfrastructuur op nationaal en lokaal niveau te financieren. Tegelijkertijd moeten staten en gemeenten hun eerlijke aandeel betalen om verkiezingen veilig te stellen, en kunnen ze gebruikmaken van nuttige middelen, zoals non-profitorganisaties die sneller en behendig kunnen handelen in alle 50 staten, om verkiezingen van onderaf af af te sluiten in plaats van te wachten op top-down richting en financiering. We moeten er ook voor zorgen dat, ongeacht de methode van het uitbrengen van een stemming, papier of elektronisch, een papieren audit trail bestaat (en ja, we erkennen de ironie van een cybercommissie die een papieren spoor aanbeveelt).

We hebben niet alles opgelost in dit rapport. We waren het niet eens over alles. Er zijn gebieden, zoals het balanceren van maximale encryptie versus verplichte legale toegang tot apparaten, waar het beste wat we konden doen was het verstrekken van een gemeenschappelijke verklaring van principes. Toch was elke commissaris bereid om tijdens ons werk compromissen te sluiten, omdat we allemaal eensgezind waren door de erkenning dat de status quo de klus niet kan klaren. De status quo nodigt elke seconde van elke dag aanvallen uit op Amerika. De status quo is een langzame overgave van Amerikaanse macht en verantwoordelijkheid. We willen allemaal dat dat stopt. Dus doe ons, en uw mede-Amerikanen, een plezier. Lees dit rapport en eis dan dat uw overheid en de private sector snel en flexibel handelen om onze cybertoekomst veilig te stellen.

Senator Angus King (I-Maine)

Vertegenwoordiger Mike Gallagher (R-Wisconsin)

Lees het volledige document van het Commissieverslag van de Cyberspace Solarium

Het verslag van de Commissie van de Cyberspace Solarium (PDF) van de muis om te scrollen

CSC-eindrapport

Oorspronkelijke bron: Cyberspace Solarium Commissie

Cybersecurity Lessen van de Pandemie

Het eindverslag werd op 2 juni 2020 aan het publiek gepresenteerd.

Uittreksel van de uitvoerende samenvatting

De COVID-19-pandemie illustreert de uitdaging van het waarborgen van veerkracht en continuïteit in een verbonden wereld. Veel van de effecten van deze nieuwe crisis kunnen aanzienlijk worden verbeterd door middel van voorbereidende voorbereidingen die veerkracht, samenhang en focus opleveren wanneer het zich snel verspreidt door het hele systeem, waarbij alles wordt benadrukt, van hulpdiensten en toeleveringsketens tot fundamentele menselijke behoeften en geestelijke gezondheid. De pandemie produceert trapsgewijze effecten en een hoge mate van onzekerheid. Het heeft de normale beleidsvormingsprocessen ondermijnd en, bij gebrek aan de vereiste paraatheid, de besluitvormers gedwongen overhaaste en ad hoc noodreacties te zoeken. Tenzij er een nieuwe aanpak wordt bedacht, zullen crises als COVID-19 de moderne Amerikaanse manier van leven blijven uitdagen elke keer dat ze ontstaan. Deze bijlage verzamelt observaties van de pandemie als ze betrekking hebben op de beveiliging van cyberspace, in termen van zowel de cybersecurity uitdagingen die het creëert en wat het de Verenigde Staten kan leren over hoe zich voor te bereiden op een grote cyberverstoring. Deze inzichten en de bijbehorende aanbevelingen, waarvan sommige nieuw zijn en waarvan sommige in het oorspronkelijke verslag van maart 2020 zijn opgenomen, zijn nu urgenter dan ooit.

Lees de volledige paper op Cybersecurity Lessons van de Pandemic

Cybersecurity lessen van de Pandemie (PDF) -muisover om te scrollen

Cybersecurity Lessen geleerd van de pandemie — CSC White Paper

Oorspronkelijke bron: Cyberspace Solarium Commissie

Aanvullend lezen

Overweegt u Cybersecurity? Nationale cyberbeveiliging in de praktijk: een nieuw handboek

Een relevant Ransomeware-scenario: De targeting van gemeentelijke overheden en zorgaanbieders

Bron: ComplexDiscovery

De basislijn resetten? EDiscovery Marktgrootte aanpassingen voor 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Nieuw van NIST: Cybersecurity en Enterprise Risk Management (ERM) integreren

NIST has released NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management...

Een bewolkte Alliantie? Een cloud van de volgende generatie voor Europa

According to Thierry Breton, Commissioner for the Internal Market, "Europe needs...

Vijf geweldige lezingen op eDiscovery voor oktober 2020

From business confidence and captive ALSPs to digital republics and mass...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

De handleiding voor kopers van eDisclosure Systems — editie 2020 (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

De race naar de startlijn? Recente aankondigingen voor veilige externe beoordeling

Not all secure remote review offerings are equal as the apparent...

Remote eDiscovery inschakelen? Een momentopname van DaaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

De basislijn resetten? EDiscovery Marktgrootte aanpassingen voor 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Thuis of weg? eDiscovery Collection Market Overwegingen voor afmetingen en prijzen

One of the key home (onsite) or away (remote) decisions that...

Herzieningen en besluiten? Nieuwe overwegingen voor eDiscovery Secure Remote Reviews

One of the key revision and decision areas that business, legal,...

Een macro blik op het verleden en de verwachte eDiscovery Marktgrootte van 2012 tot 2024

From a macro look at past estimations of eDiscovery market size...

Een seizoen van verandering? Achttien observaties over eDiscovery Bedrijfsvertrouwen in de herfst van 2020

In the fall of 2020, 77.2% of eDiscovery Business Confidence Survey...

Het voortdurende geval van budgettaire beperkingen in de activiteiten van eDiscovery

In the fall of 2020, 49.4% of respondents viewed budgetary constraints...

Uitstaande rekeningen? Operationele statistieken van eDiscovery in de herfst van 2020

In the fall of 2020, eDiscovery Business Confidence Survey more...

Het Roer vasthouden? Resultaten van eDiscovery Business Confidence Survey

This is the twentieth quarterly eDiscovery Business Confidence Survey conducted by...

DISCO verhoogt 60 miljoen dollar

According to the media release, DISCO will use this investment to...

Rampiva en de RYABI-groep samenvoegen

According to today's announcement, the RYABI Group merger is Rampiva's first...

eDiscovery Fusies, Overnames en Investeringen in Q3 2020

From HaystackID and NightOwl Global to Reveal Data and NexLP, the...

Mitratech verwerft scherpte ELM

According to Mike Williams, CEO of Mitratech, “We came to the...

Vijf geweldige lezingen op eDiscovery voor oktober 2020

From business confidence and captive ALSPs to digital republics and mass...

Vijf geweldige lezingen op eDiscovery voor september 2020

From cloud forensics and cyber defense to social media and surveys,...

Vijf geweldige leesboeken op eDiscovery voor augustus 2020

From predictive coding and artificial intelligence to antitrust investigations and malware,...

Vijf grote lezingen over eDiscovery voor juli 2020

From business confidence and operational metrics to data protection and privacy...