Departamentul de Securitate Națională SUA (DHS) a publicat săptămâna aceasta strategia privind securitatea cibernetică. Acesta a fost mandatat de Congres pentru a elabora o strategie până în martie 2017, însă a fost publicată cu întîrziere pe 15 mai 2018.
Strategia este definită într-un document de nivel înalt ( PDF ) de 35 de pagini. Domeniul său de aplicare este de a oferi “Departamentului un cadru pentru a executa responsabilitățile sale în domeniul securității cibernetice în următorii cinci ani, pentru a fi în pasul cu evoluția riscurilor cibernetice prin reducerea vulnerabilităților și construirea rezistenței, combaterea actorilor rău intenționați în spațiul cibernetic, ecosistemul mai sigur și mai rezistent “.
Acest cadru cuprinde cinci piloni care conțin șapte obiective separate. Pilonii sunt identificarea riscurilor; reducerea vulnerabilităților, inclusiv obiectivele duble de protejare a sistemelor federale și a industriilor critice); reducerea amenințărilor prin mijloace proactive; diminuarea consecințelor (adică răspunsul îmbunătățit la incidente); și obținerea rezultatelor în domeniul securității informatice. Ultimul pilon cuprinde obiectivele duble de consolidare a securității și fiabilității ecosistemului cibernetic și de îmbunătățire a gestionării propriilor activități.
Peisajul amenintărilor cibernetice se schimbă în timp real și am ajuns la un moment istoric de cotitură. Securitatea digitală se converge acum cu securitatea personală și fizică și este clar că adversarii cibernetici pot ameninta însăși structura tării noastre. De aceea, DHS își regândește abordarea prin adoptarea unei strategii mai cuprinzătoare a securitătii cibernetice. Strategia noastră evidentiază modul în care DHS își va folosi capacitătile unice pe câmpul de luptă digital pentru a apăra retelele americane de amenintările cibernetice emergente. a declarat secretarul DHS, Kirstjen Nielsen.
Din necesitate însă, cei cinci piloni și șapte scopuri sunt definiți în termeni de bază. Ele definesc obiectivele, sub-obiectivele și rezultatele – dar cu puține metode. De exemplu, obiectivul nr. 1 (pilonul de identificare a riscurilor) este de a evalua riscurile de securitate cibernetică în evoluție. Acest lucru va fi realizat prin colaborarea cu “părțile interesate, inclusiv agenții specifice sectorului, firme non-federale de securitate cibernetică și alte entități federale și non-federale, pentru a înțelege în mod adecvat starea națională de risc a securității cibernetice, pentru a analiza evoluția interdependențelor și a riscurilor.
Cu toate acestea, nimeni nu a fost capabil să prezică, să detecteze sau să împiedice implicarea Rusiei în alegerile prezidențiale din 2016, nici focarele WannaCry și NotPetya. Implicația este că trebuie să se facă ceva nou și dincolo de cooperarea interguvernamentală pentru a obține o adevărată identificare a riscurilor.
Cel de-al treilea pilon, reducerea amenințărilor împreună cu obiectivul nr. 4 (prevenirea și perturbarea folosirii penale a spațiului cibernetic) este, de asemenea, interesant. Strategia afirmă: “Vom reduce amenințările cibernetice prin combaterea organizațiilor criminale transnaționale și a criminalilor cibernetici din domeniu”. Din nou, întrebarea evidentă este: “Cum?”. Strategia afirmă că “jurisdicția noastră de aplicare a legii este largă”. Dar nu se întâmplă în acele țări care sunt în general considerate că ar fi primii cyber-criminali: Rusia, China, Iran și Coreea de Nord.
Într-adevăr, guvernul american nu a reușit până acum să-l repatrieze pe Edward Snowden din Rusia și nici să-l rețină pe Julian Assange în Uniunea Europeană. Este dificil să vedem cum DHS va putea preveni și perturba utilizarea criminalității străine avansate a spațiului cibernetic, fără a recurge la noi tactici – cum ar fi o apărare mai agresivă activă cum ar fi hacking. În documentul de strategie nu se menționează nici “apărarea activă”, nici “hack back”.
Ray DeMeo, COO la Virsec, are preocupări similare.
Cybersecurity este o problemă inerentă la nivel global și este bine că strategia DHS recunoaște necesitatea unei abordări globale cu un angajament international robust. a declarat el pentru SecurityWeek
Dar este încă neclar modul în care o agenție cu mandat intern se va angaja efectiv la nivel global. Realitatea este că o mare parte a criminalității pe internet este condusă de la” vestul sălbatic “internațional din zonele cu aplicarea lexă la scară largă, sponsorizare. Această problemă este la fel de diplomatică cît și tehnologică. ”
Să lăsăm deoparte aceste excepții, este bine să vedem o strategie formală care să acopere întregul teatru de responsabilitate al DHS cu un obiectiv clar declarat: “Până în anul 2023, Departamentul pentru Securitate Naționață va îmbunătăți gestionarea riscurilor naționale în materie de riscuri cibernetice prin sporirea securității și a rezilienței în cadrul guvernului rețele și infrastructuri critice, reducerea activității cibernetice ilicite, îmbunătățirea răspunsurilor la incidente cibernetice și promovarea unui ecosistem cyber mai sigur, printr-o abordare unitară, o conducere puternică și un parteneriat strâns cu alte entități federale și non-federale “.
Strategia pusă de DHS este foarte cuprinzătoare și bine gândită. Includerea coordonării planului de răspuns în cadrul sectiunii “Reducerea consecintelor” este o piesă esentială pentru a putea contine daune provocate de un atac. Orice strategie este la fel de bună ca și executia ei, aștept cu nerăbdare să văd acest lucru pus în actiune în diferite departamente și politici. spune Rishi Bhargava, co-fondator la Demisto.
DHS, spune documentul, “trebuie sa își extindă eforturile pentru a încuraja adoptarea celor mai bune practici in materie de securitate cibernetica, incluzand Cadrul NIST pentru imbunatatirea infrastructurii critice a securității cibernetice”.
Este puțin surprinzător faptul că, în timp ce se specifică NIST, nu se menționează protocolul de raportarea și conformarea la autentificarea mesajelor de domenii (DMARC). În octombrie 2017, DHS a emis o directivă operațională obligatorie, cerând ca toate agențiile federale să înceapă să utilizeze DMARC. Până în ianuarie 2018 sa raportat că aproximativ jumătate din agenții au implementat DMARC, dar numai la cel mai mic nivel.
Este ușor să fii critic fată de un document de strategie la nivel înalt – detaliile punerii în aplicare vor decide cu privire la eficienta acestei strategii. Pentru moment, acest document marchează o abordare valoroasă și importantă pentru unificarea și întărirea competentei interne a securitătii cibernetice a DHS. Abordarea DHS de a gestiona riscul de securitate cibernetică la nivel national, este o bună analogie pentru ceea ce trebuie să facă organizatiile pentru a-și gestiona pozitia cibernetică. Un cadru bun pentru acest lucru este NIST Cybersecurity Framework (CSF), care poate servi drept bază pentru alte actiuni în domeniul de securitate cibernetică. comentează Brajesh Goyal, vicepreședinte al departamentului de inginerie de la Cavirin
Unul dintre principiile directoare ale documentului este de a promova inovatia și agilitatea – aceasta este o întrebare mare, în cazul în care orizonturile de timp existente trebuie să fie reduse de la ani până la luni. Trebuie să accelerăm dramatic colaborarea cu sectorul privat, în care inovarea în materie de securitate se întâmplă zilnic, dacă vom schimba natura asimetrică a peisajului amenintărilor actuale. explică Ray DeMeo, Chief Operating Officer la Virsec
Abonați-vă la canalul “Engine.MD” în Telegram pentru a primi știri și materiale exclusive din domeniul TIC si nu numai…