Zephyrnet-Logo

Generative Datenintelligenz

Cybersicherheit

Das Weiße Haus erläutert Einzelheiten der nationalen Cybersicherheitsstrategie

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 90

Frisch aus der Mühle der Bundespolitik, der 57-seitige Bericht der Biden-Administration Umsetzungsplan für die nationale Cybersicherheitsstrategie (NCSIP) beschreibt mehr als 65 Initiativen, die verschiedene Bundesbehörden in den nächsten Jahren umsetzen werden. Dazu gehören die Stärkung der kritischen US-Infrastruktur gegen Cyber-Bedrohungen, die Einführung einer durchsetzbaren Haftung für Softwareprodukte und -dienste sowie die Entwicklung wirksamerer Methoden zur Unterbrechung und Deaktivierung des Betriebs von Bedrohungsakteuren und ihrer Infrastruktur.

Eine Implementierungs-Roadmap

Mehrere Sicherheitsexperten betrachteten diese Woche das NCSIP als wichtig für die Weiterentwicklung von Bidens Cybersicherheitsstrategie und sagten, dass seine relativ knappen Fristen den Interessengruppen das richtige Gefühl für die Dringlichkeit vermittelten. Aber einige fragten sich – wie sie haben vorher – darüber, wie es ohne angemessene Finanzierung und parteiübergreifende Unterstützung im Kongress gelingen würde.

„Dieser Fahrplan zur Umsetzung der Cybersicherheitsstrategie weist weiterhin in die richtige Richtung, aber es gibt einige finanzielle Schlaglöcher“, sagte Robert DuPree, Manager für Regierungsangelegenheiten bei Telos, in einem per E-Mail gesendeten Kommentar. Während beispielsweise der Umsetzungsplan die Bundesbehörden dazu aufrufe, Altsysteme zu beseitigen, seien keine Mittel für den 2017 genehmigten Technology Modernization Fund (TMF) bereitgestellt worden, sagte er. Der vorgeschlagene Haushaltsplan für das Geschäftsjahr 2024 sah magere 200 Millionen US-Dollar für die TMF vor, aber der Haushaltsentwurf des Repräsentantenhauses hat selbst diese Mittel gestrichen. „Wenn keine neuen Mittel bereitgestellt werden, muss die Regierung in ihrem Mehrjahresplan einen neuen Weg nach vorne finden“, fügte DuPree hinzu.

In der Zusammenfassung des NCSIP wurde die diese Woche veröffentlichte Version des Dokuments als erste Iteration des Umsetzungsplans beschrieben und als „lebendes Dokument“ bezeichnet, das jährlich aktualisiert wird. „Initiativen werden je nach Bedarf der sich entwickelnden Cyberlandschaft hinzugefügt und nach Abschluss entfernt“, heißt es in der Zusammenfassung.

Biden nannte im März die Strategie von wesentlicher Bedeutung für die Gewährleistung aller Beteiligten – einschließlich kritischer Infrastruktursektoren, Softwareanbieter und Dienstleister – übernehmen eine aktive Rolle beim Schutz vor Cyber-Bedrohungen. „Wir werden die Verantwortung für die Cybersicherheit neu ausbalancieren, um effektiver und gerechter zu werden“, hatte Biden angemerkt. „Wir werden die Anreize neu ausrichten, um langfristige Investitionen in Sicherheit, Widerstandsfähigkeit und vielversprechende neue Technologien zu fördern.“

Die Ziele der Cyber-Strategie sind in fünf separate Säulen unterteilt: Verteidigung kritischer Infrastrukturen; Bedrohungsakteure stören und demontieren; Gestalten Sie die Marktkräfte, um Sicherheit und Widerstandsfähigkeit zu fördern; Investieren Sie in eine widerstandsfähige Zukunft; und internationale Partnerschaften schmieden. Das Dokument dieser Woche enthält hochrangige Pläne und Initiativen zur Erreichung dieser Ziele.

Zu den Plänen zur Stärkung der Verteidigung kritischer Infrastrukturen gehören beispielsweise die Festlegung neuer Cybersicherheitsanforderungen für Organisationen in diesem Sektor, der Ausbau öffentlich-privater Partnerschaften, die Integration bundesstaatlicher Cybersicherheitszentren sowie die Aktualisierung bundesstaatlicher Pläne und Prozesse zur Reaktion auf Vorfälle. Ebenso umfassen die Pläne zur Zerschlagung von Bedrohungsakteuren die Integration separater bundesstaatlicher Störungsaktivitäten, die Erhöhung der Geschwindigkeit und des Umfangs des Austauschs von Bedrohungsinformationen sowie die Verhinderung, dass Bedrohungsakteure die US-Infrastruktur für Angriffe missbrauchen.

Zu den Plänen für die dritte Säule – die viele Sicherheitsexperten als eines der folgenreichsten der fünf strategischen Ziele betrachten – gehören die Entwicklung eines langfristigen Software-Haftungsrahmens, die Förderung von Bemühungen rund um Initiativen zur Software-Stückliste (Software Bill of Materials, SBOMs) und andere Initiativen zur sicheren Softwareentwicklung . Das NCSIP bietet ähnliche Pläne und Initiativen für beide verbleibenden Säulen. Viele dieser Pläne haben eine Umsetzungsfrist bis 2025, einige sind bereits in vollem Gange.

Hindernisse für den Erfolg

Karen Walsh, Expertin für Cybersicherheits-Compliance bei Allegro Solutions, sagt, ein Problem des Umsetzungsplans bestehe darin, dass er keinen Weg zu einer koordinierten, standardisierten Durchsetzung fehle und einzelnen sektorspezifischen Behörden die Kontrolle überlasse. „Die Schaffung des rechtlichen und regulatorischen Rahmens für die Durchsetzung erfordert die Zusammenarbeit mit dem Kongress, was in unserem derzeit uneinigen politischen Klima unwahrscheinlich erscheint“, sagt sie.

Walsh meint, dass das im Implementierungsplan vorgesehene Zeitfenster von zwei bis drei Jahren für die Schaffung von Software-Haftungsrahmen ebenfalls etwas ehrgeizig erscheint. „Im vierten Quartal des Geschäftsjahres 4 wird das Büro des National Cyber ​​Director ein Symposium einberufen, um verschiedene Bereiche des Regulierungsrechts und mögliche Rahmenbedingungen zu diskutieren“, sagt Walsh. Bis zum zweiten Quartal des Geschäftsjahres 24 muss CISA dann eine SBOM-Lückenbewertung abschließen. Aufgrund der Komplexität der Aufgabe ist es jedoch unwahrscheinlich, dass diese vor 2 abgeschlossen sein wird. „Darüber hinaus muss je nachdem, wie die Regierung diese Haftung strukturiert, eine Regulierungsbehörde mit der Durchsetzungsbefugnis ausgestattet werden und sich dann an der Festlegung von Vorschriften beteiligen, oder es muss ein Gesetz die Konsequenzen festlegen. Auch das verschiebt jeden realistischen Zeitplan noch weiter.“

Mike Hamilton, CISO bei Critical Insight, ist der Ansicht, dass das neue NCSIP einen entscheidenden Schritt nach vorn bei der Sicherheit kritischer Infrastrukturen und bei den Bemühungen zur Störung von Bedrohungsakteuren bringt. Das NCSIP beispielsweise scheine sich darauf zu konzentrieren, den nationalen Plan zur Reaktion auf Cybervorfälle über den Sektor der kritischen Infrastruktur hinaus auf alle Sektoren und Unternehmensgrößen auszuweiten, sagt er. „Ich gehe davon aus, dass es auch eine Initiative geben wird, Praktiker aus dem Privatsektor als Einsatzkräfte auf nationaler Ebene im Falle einer erheblichen Störung der Infrastruktur zu engagieren. Die zu bewältigenden Probleme werden Beglaubigung und Entschädigung sein.“

Bezeichnenderweise spielt der Implementierungsplan eine Rolle für die Cybersecurity and Infrastructure Security Agency (CISA) bei der Bereitstellung von Cybersicherheitsschulungen und der Reaktion auf Vorfälle für den Gesundheitssektor, ein Hauptziel von Ransomware-Angriffen. „Das Wissen, dass die Reaktion auf Vorfälle nun eine eigenständige Bundesbehörde sein wird, könnte Ransomware-Betreibern Anlass zum Nachdenken geben, wenn sie darüber nachdenken, Krankenhäuser anzugreifen“, sagt Hamilton.

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.