Das Weiße Haus hat am Donnerstag seine lang erwartete nationale Cybersicherheitsstrategie veröffentlicht. Die neue Bundesrichtlinie weist einen Großteil der Verantwortung für die digitale Sicherheit eher Technologieunternehmen als mehr föderalen Vorschriften zu.
Das Grundsatzdokument fordert mehr Mandate für die Firmen, die den größten Teil der digitalen Infrastruktur des Landes kontrollieren. Es predigt auch eine erweiterte Rolle der Regierung, um Hacker und staatlich geförderte Einrichtungen zu stören.
Aber diese Strategie schafft eine Cybersicherheits-Roadmap für neue Gesetze und Vorschriften in den nächsten Jahren, die darauf abzielen, den USA dabei zu helfen, sich auf neue Cyber-Bedrohungen vorzubereiten und dagegen vorzugehen. Sie gibt langfristig das Tempo für staatliche Maßnahmen vor, die:
- Erkunden Sie im Falle eines katastrophalen Cyberangriffs einen Rückhalt für nationale Versicherungen, um den bestehenden Cyberversicherungsmarkt zu ergänzen.
- Konzentration auf die Verteidigung kritischer Infrastrukturen durch Ausweitung der Mindestsicherheitsanforderungen in bestimmten Sektoren und Straffung der Vorschriften;
- Behandeln Sie Ransomware als nationale Sicherheitsbedrohung und nicht nur als kriminelles Problem.
Das setzt eine grundlegende Richtungsänderung in der Cybersicherheitsvision der Regierung in Gang. Die Änderung des Fokus spiegelt wider, wie die Vereinigten Staaten Rollen, Verantwortlichkeiten und Ressourcen im Cyberspace zuweisen.
Außerdem wird die Verantwortung für die Verteidigung des Cyberspace neu ausbalanciert, indem die Last für die Cybersicherheit von Einzelpersonen, kleinen Unternehmen und lokalen Regierungen verlagert wird. Stattdessen liegt die Verantwortung bei den fähigsten und am besten positionierten Organisationen, um die Risiken für uns alle zu reduzieren, so die Grundsatzerklärungen.
„Die Strategie erkennt an, dass die Regierung alle Instrumente der nationalen Macht koordiniert einsetzen muss, um unsere nationale Sicherheit, die öffentliche Sicherheit und den wirtschaftlichen Wohlstand zu schützen“, sagte das Weiße Haus in seiner Ankündigung.
Der neue Ansatz
Die Biden-Harris-Strategie zielt darauf ab, die Zusammenarbeit um fünf Säulen herum aufzubauen und zu verbessern:
- Kritische Infrastruktur verteidigen;
- Bedrohungsakteure unterbrechen und abbauen;
- Marktkräfte formen, um Sicherheit und Widerstandsfähigkeit zu fördern;
- Investieren Sie in eine widerstandsfähige Zukunft durch strategische Investitionen und koordinierte, kollaborative Maßnahmen, um die Welt bei der Innovation von sicheren und widerstandsfähigen Technologien und Infrastrukturen der nächsten Generation anzuführen;
- Schmieden Sie internationale Partnerschaften, um gemeinsame Ziele zu verfolgen
Mit diesen Standards werden die neu gewonnenen globalen Verbündeten und Partner das digitale Ökosystem der Vereinigten Staaten laut der Grundsatzerklärung vertretbar, widerstandsfähig und an Werten ausgerichtet machen.
Federal Cybersecurity-Anforderungen, Durchsetzung
Die Bundesregierung bekenne sich sichtbar und sinnvoll dazu, die obligatorischen Mindestanforderungen an die Cybersicherheit in kritischen Sektoren auszuweiten, sagte Eric Noonan, CEO von CyberSheath.
Er fügte hinzu, dass dies eine erfrischende Anerkennung der Rolle der Bundesregierung und eine vollständige Abkehr von der ursprünglichen Strategie von 2003 sei, die besagte, dass die Bundesregulierung kein primäres Mittel zur Sicherung des Cyberspace sei.
„Es hat vielleicht 20 Jahre gedauert, aber die Bundesregierung spricht jetzt den leisen Teil laut aus. Der Mangel an obligatorischen Mindestanforderungen für die Cybersicherheit ist gescheitert, und es kommen behördliche Auflagen, also bringen Sie Ihr Haus in Ordnung“, sagte Noonan gegenüber TechNewsWorld.
Die Strategie mache auch deutlich, dass dort, wo die Regierung nicht befugt sei, Mindeststandards vorzuschreiben, die Verwaltung mit dem Kongress zusammenarbeiten werde, um diese Lücken zu schließen und die nicht regulierten zu regulieren, bemerkte er.
Noonan sagte voraus, dass unsere Fähigkeit, Cyber-Bedrohungen zu erkennen und sich dagegen zu wehren, grundlegend verändert werden wird. Dies geschieht jedoch nur, wenn Behörden wie DOD, SEC, FCC und der Rest der Bundesregierung das volle Gewicht ihrer Regulierungsbefugnisse nutzen, um verbindliche Mindestanforderungen für die Cybersicherheit bei ihren jeweiligen Auftragnehmern und Lieferanten festzulegen und durchzusetzen.
„Das ist das wirkungsvollste, was die Bundesregierung für die Cyberabwehr unseres Landes tun kann, und diese Strategie tut es“, sagte er.
Positive Unterstützung durch die EU
Martin Riley, Director of Managed Security Services bei der Cyber-Firma Bridewel, freut sich über die veränderte Haltung der Vereinigten Staaten in Bezug auf Cybersicherheit.
„Es ist großartig zu sehen, dass diese Schritte in Kraft treten. Wir in Europa haben uns in vielen dieser Bereiche in einer Führungsposition wiedergefunden, wobei Vorschriften wie NIS und GDPR die Agenda seit Jahren bestimmen“, sagte Riley gegenüber TechNewsWorld.
Das versetzt die Europäische Union in eine hervorragende Position, um ihre US-Verbündeten zu unterstützen und sie beim Ziel der Cyber-Resilienz voranzubringen, fügte er hinzu. „Ich freue mich darauf, die Details zu untersuchen, um zu sehen, welche Anreize die US-Regierung setzen wird, damit diese Praktiken in allen Bundesstaaten und relevanten Sektoren gleichermaßen übernommen werden.“
Der Einsatz aktualisierter Technologie ist entscheidend
Der Bericht betont die Modernisierung der föderalen Sicherheit. Ein entscheidender Teil davon muss darin bestehen, die Fähigkeit der Regierung zu beschleunigen, moderne und Sicherheitstechnologien der nächsten Generation einzuführen, riet Marcus Fowler, CEO von Darktrace.
„Regierungsbehörden müssen in der Lage sein, Technologien in dynamischen Umgebungen effizient zu testen, die sowohl in Umfang als auch Komplexität die Umgebung widerspiegeln, die sie verteidigen sollen“, sagte Fowler gegenüber TechNewsWorld.
Er bot an, dass auch US-Beamte davon profitieren würden, validierte Sicherheitslösungen in den Vordergrund zu rücken und die Fristen für obligatorische Audits zu verkürzen. Letztendlich kann die Bundesregierung, wenn sie schneller Zugang zu fortschrittlichen Sicherheitslösungen erhält, Angreifer dazu zwingen, sich schnell anzupassen, um zu versuchen, Schritt zu halten.
„Es ist positiv zu sehen, dass die neue Strategie die Wichtigkeit betont, „Security by Design“ vorzuschreiben, sowie den Fokus auf robuste Technologien und die Schaffung einer besseren Cyber-Belegschaft zu legen“, sagte Fowler.
Technologiekritisches Element
Technologie wird auch entscheidend sein, um die Geschwindigkeit und den Umfang des Informationsaustauschs über Bedrohungen zu verbessern, den der Bericht fordert. Threat Intelligence ist von entscheidender Bedeutung, aber die Bedrohungslandschaft ist riesig und wächst weiter.
„Organisationen brauchen Technologie, die die Intelligenz durchdringt und identifiziert, wie sich eine bestimmte Schwachstelle auf ihre einzigartige Umgebung auswirkt. Sie brauchen diese Informationen schnell“, empfahl Fowler.
Diese Informationen zu destillieren und in eine Strategie zu übersetzen, die auf maßgeschneiderten Unternehmensrisiken basiert, ist eine Aufgabe für die Technologie. Wir können den Menschen nicht länger die Last aufbürden, weil sie für Strategie und Abhilfe frei werden müssen, sagte er.
In der Zukunft ist ein hybrider Mensch-KI-Ansatz für Cyber unerlässlich. Das Streben besteht darin, auf eine stärkere, robustere und besser ausgestattete Cyber-Belegschaft zu treffen, bemerkte Fowler.
„Dies muss mit innovativen und zugänglichen Programmen durchgeführt werden, die sowohl wachsen als auch in die nächste Generation von Sicherheitsfachleuten investieren und sie erweitern, um schneller weiterzukommen und die Workload-Effizienz zu erhöhen und die Reaktionszeiten zu verkürzen“, sagte er.
Laufende Schulung, Bereitschaft erforderlich
Die neuen Cybersicherheitsbemühungen der Regierung bewegen leider nicht die Nadel dazu, was getan werden muss, um das Sicherheitspersonal, das wir heute haben, zu stärken, warnte Debbie Gordon, Gründerin und CEO von Cloud Range, einem Live-Fire-OT/ICS-Cyberangriffssimulationstrainingsunternehmen .
„In jeder Art von Lebenssicherheitsbereich – und genau das stellt die Cybersicherheit kritischer Infrastrukturen dar – ist die Notwendigkeit einer kontinuierlichen Schulung und Bereitschaft von wesentlicher Bedeutung“, sagte Gordon gegenüber TechNewsWorld.
Die Cyber-Bedrohungslandschaft ändert sich täglich, wobei kritische Infrastruktursektoren das Ziel der fortschrittlichsten, von Nationalstaaten unterstützten Advanced Persistent Threats (APTs) sind. Wir können uns nicht auf ein jährliches Schulungszertifikat verlassen, um sicher zu sein, dass unsere Infrastruktur geschützt ist, riet sie.
„Anforderungen an kontinuierliche Schulungen, die anhand von branchenüblichen Rahmenwerken gemessen werden können, um ihre Wirksamkeit zu validieren, können Organisationen nicht nur dabei helfen, sicherzustellen, dass sie die richtigen Mitarbeiter mit den richtigen Fähigkeiten haben, um Angriffe zu verhindern und darauf zu reagieren. Sie können Cybersicherheitsexperten auch einen klaren Weg bieten, ihre Karriere mit den Cyberfähigkeiten zu erweitern, die für die Cybersicherheit von Operational Technology (OT) einzigartig sind“, sagte Gordon.
Bild & Quelle: TechNewsWorld
