De Amerikaanse president Joe Biden deze week ondertekende een memorandum over het versterken van de cyberbeveiliging van systemen voor nationale veiligheid, het ministerie van defensie en inlichtingendiensten.
Het doel van het nieuwe nationale veiligheidsmemorandum is om de cyberbeveiligingsvereisten te implementeren die zijn uiteengezet in het uitvoeringsbesluit dat Biden in mei 2021 heeft ondertekend om de cyberafweer te verbeteren.
Het memorandum stelt met name richtlijnen en tijdlijnen vast voor de implementatie van de cyberbeveiligingsvereisten van de National Security Systems (NSS) die in het uitvoeringsbesluit zijn beschreven.
Het memorandum vereist dat agentschappen alle NSS-cyberincidenten melden aan de NSA, en het machtigt de NSA (die de rol van National Manager heeft) om bindende operationele richtlijnen (BOD's) op te stellen die agentschappen verplichten maatregelen te nemen om bekende cyberdreigingen en kwetsbaarheden aan te pakken.
Professionals uit de sector hebben commentaar geleverd op het memorandum en de implicaties ervan.
En de feedback begint ...
Andrew Howard, CEO van Kudelski Security
“Deze basisnormen bestaan al heel lang onder het NIST 800-37 Risk Management Framework van de overheid, maar werden niet altijd ingezet, tenzij het computersysteem aanzienlijke problemen had met vertrouwelijkheid, integriteit of beschikbaarheid. Een meer alomtegenwoordige inzet van multi-factor authenticatie en hardeschijfversleuteling in overheidssystemen is een verstandige stap. De voetafdruk van systemen van de overheid is enorm en een sterke baseline is een goed idee.”
Rick Holland, CISO, Vice President Strategie, Digital Shadows:
“De indringing van SolarWinds die overheidsnetwerken verwoestte, vond plaats in december 2020. De regering van Biden publiceerde in mei 14028 Executive Order 2021 (Improving the Nation's Cybersecurity), maar we zien nu pas richtlijnen voor nationale beveiligingssystemen. Gezien het dreigingslandschap en de urgentie om verdedigbare en veerkrachtige overheidsnetwerken op te bouwen, verbaast het me dat de richtlijn zo lang op zich heeft laten wachten.
Lezers moeten er niet van uitgaan dat alleen omdat een programma is aangewezen als National Security System (NSS), het veel veiliger zal zijn dan niet-geclassificeerde of particuliere systemen. "Militaire kwaliteit" is niet altijd synoniem met beter of veiliger. Het beschermen van geclassificeerde systemen heeft veel van dezelfde uitdagingen waarmee we allemaal worden geconfronteerd. Het memorandum belicht asset discovery, logging, Zero Trust, incident response, die universele en blijvende kansen voor verbetering zijn.
Het uitzonderingsbeheerproces zal dit memorandum maken of breken. Er zijn verheven doelen rond multi-factor authenticatie en encryptie. Als een bureau de tijdlijnen niet kan halen, kunnen ze uitzonderingen aanvragen. Hoe deze uitzonderingen worden beoordeeld en gevalideerd, is van cruciaal belang; als de National Manager uitzonderingen niet aanvecht en agentschappen niet verantwoordelijk houdt, zal veel van dit memorandum een papieren tijger zijn.”
John Bambenek, hoofdbedreigingsjager, Netenrich:
"Dit lijkt een duidelijke richtlijn om eenzame autoriteit en controle over dit soort systemen te creëren, zodat één persoon verantwoordelijk en verantwoordelijk kan zijn voor de bescherming ervan. Deze systemen bevatten de meest gevoelige informatie die er is en het is belangrijk dat er “één keel is om te stikken” als er storingen zijn.”
Joseph Carson, hoofd veiligheidswetenschapper en adviserende CISO, ThycoticCentrify:
“De realiteit is dat er nu cyberaanvallen plaatsvinden en dat we snel moeten handelen om de risico's van een grote catastrofe eerder dan later te verkleinen. Recente initiatieven van de regering-Biden zijn geweldig, maar we moeten prioriteit geven aan wat we nu kunnen doen en wat we in de toekomst moeten doen. We moeten ernaar streven de behoefte aan geschoolde werknemers op het gebied van cyberbeveiliging te versnellen en ze snel in de industrie te krijgen, aangezien het tekort aan vaardigheden alleen maar groter wordt. Cybersecurity is niet langer alleen een sectorkwestie. Het is er een die de hele samenleving kan beïnvloeden en dat betekent dat cyberbeveiligingstraining nodig is voor iedereen om de risico's van cyberaanvallen te verminderen. Cybersecurity is niet langer alleen een carrièrepad. Het is een essentiële vaardigheid in de huidige digitale samenleving.”
Jim Richberg, Field CISO Publieke Sector, Fortinet:
“Nationale beveiligingssystemen (NSS) worden vaak weggelaten in presidentiële richtlijnen over cyberbeveiliging; ze hebben een andere focus en ze worden bestuurd door een andere reeks juridische autoriteiten. Maar al te vaak wordt aangenomen dat, omdat deze gegevens over de nationale veiligheid behandelen, ze inherent veiliger zijn en worden gedekt door hogere of op zijn minst gelijke beschermingsniveaus. De National Security Memo (NSS) van vandaag maakt expliciet dat dezelfde elementen van cyberhygiëne die EO 14028 voorschrijft voor niet-NSS-overheidsnetwerken bestaan binnen nationale veiligheidsnetwerken, waardoor er interoperabiliteit van capaciteit is. Dit is nuttig, gezien het aantal cyberprioriteiten waarmee federale agentschappen worden geconfronteerd.
Je kunt niet genoeg benadrukken hoe moeilijk het is om jezelf te beschermen tegen een dreiging die je niet kunt detecteren, die je niet zag aankomen, of die activa aantast waarvan je niet wist dat je ze had. Deze richtlijn versterkt de capaciteiten van de NSA, als de Nationale Manager voor NSS-systemen, om deze belangrijke systemen en de missies die ze ondersteunen te verenigen. Het vereist dat agentschappen inventarissen maken en delen met de NSA en cyberincidenten melden. Het stelt de NSA ook in staat om bindende operationele richtlijnen (BOD's) uit te vaardigen die agentschappen met NSS verplichten specifieke acties te ondernemen. Dit komt overeen met de autoriteit van het DHS met betrekking tot niet-NSS civiele netwerken, waardoor de hele regering kan optreden tegen een potentiële dreiging of kwetsbaarheid.
Kort gezegd: door NSS in de schijnwerpers te zetten, wordt duidelijk dat de beschermingsniveaus en focus op deze kritieke systemen gelijk moeten zijn aan of groter moeten zijn dan niet-NSS federale netwerken. Bovendien bevordert het de interoperabiliteit en samenwerking bij het identificeren en beschermen tegen bedreigingen voor het volledige spectrum van federale netwerken.”
Mike Wiacek, oprichter en CEO, trappenhuis:
“De richtlijnen lijken gepositioneerd om de rol van de NSA te helpen bij het beheren van geclassificeerde systemen in Amerikaanse overheidsnetwerken, om de acceptatie van zero-trust-principals bij alle instanties verder te stimuleren en om ervoor te zorgen dat instanties uitgebreide plannen hebben in geval van nood.
Hoewel zero-trust essentiële principes biedt voor het waarborgen van de veiligheid van een netwerk, is een belangrijk voorbehoud dat het misbruik door kwetsbaarheden, zoals Log4j, niet altijd zal voorkomen. Het zal het vermogen van een aanvaller om lateraal te bewegen en naar andere systemen te draaien aanzienlijk verminderen, waardoor verdedigers meer tijd hebben om te reageren.”
Sen. Mark R. Warner, voorzitter van de Senaatscommissie voor inlichtingen:
“Ik juich president Biden toe voor het ondertekenen van dit bevel om de cyberbeveiliging van ons land te verbeteren. Dit National Security Memorandum (NSM) vereist onder meer dat federale agentschappen melding maken van pogingen om hun systemen te doorbreken door cybercriminelen en door de staat gesponsorde hackers. Nu is het tijd voor het Congres om te handelen door onze tweeledige wetgeving goed te keuren die eigenaren en exploitanten van kritieke infrastructuur zou verplichten om dergelijke cyberinbraken binnen 72 uur te melden."
Eduard Kovacs (@EduardKovacs) is een bijdragende redacteur bij SecurityWeek. Hij werkte twee jaar als IT-docent op een middelbare school voordat hij een carrière in de journalistiek begon als Softpedia's beveiligingsjournaalverslaggever. Eduard heeft een bachelordiploma in industriële informatica en een masterdiploma in computertechnieken toegepast in elektrotechniek.
Tags: Bron: https://www.securityweek.com/industry-reactions-biden-cybersecurity-memo-feedback-friday
