In deze reeks belichten we een aantal sectorspecifieke beveiligingsrisico's, tips en best practices voor een sterkere beveiligingsomgeving. Van de gezondheidszorg, de verwerkende industrie en het onderwijs tot financiële dienstverlening, de energiesector en het midden- en kleinbedrijf – in deze reeks op vrijdag nemen we de risico's onder de loep en kijken we hoe we ze kunnen beperken. Vandaag bekijken we wat overheidsinstanties kunnen doen om zichzelf (en hun kiezers) te beschermen.
De cybersecurity-revisie van de overheid
De Amerikaanse regering heeft op zijn zachtst gezegd een moeilijk half jaar achter de rug. In december 2020 kwam de opzienbarende onthulling naar buiten van een aanval op meerdere agentschappen als gevolg van de SolarWinds-hack. Vijf maanden later werden de exploitanten van de Colonial Pipeline aangevallen. Overheidsinstellingen zijn kwetsbaar omdat zij, zoals velen hebben geconcludeerd, gewoon niet proactief genoeg zijn geweest in hun voorbereiding op cyberrampen. #slowgoingcybersecurity
Volgens Insurance Journal heeft alleen al de onpartijdige Government Accountability Office sinds 2010 ongeveer 3300 aanbevelingen gedaan om kwetsbaarheden aan te pakken. Maar eind 2020 waren honderden van die aanbevelingen nog niet geïmplementeerd. (Hoewel we de agentschappen enig krediet moeten geven, aangezien meer dan 2000 van de aanbevelingen voor kwetsbaarheden wel zijn geïmplementeerd.)
Wat heeft geleid tot de zwakte van federale overheidsinstellingen? Laten we eens kijken naar de vijf grootste risico's.
1. Niet genoeg voorbereid
Zowel de Amerikaanse senator Angus King (ME) als vertegenwoordiger Mike Gallagher (WI) zijn co-voorzitters van de Cyberspace Solarium Commission, die kan worden vergeleken met de 9/11-commissie. Na de inbreuk op Colonial Pipeline gaven ze een verklaring uit waarin ze stelden dat de Commissie bedoeld was als “de 9/11-commissie die een cyber-9/11 moet voorkomen”. Ze voegden eraan toe: “Een van de belangrijkste lessen van de terroristische aanval van 20 jaar geleden was dat de verbeeldingskracht tekortschoot ... Amerika kan en moet beter zijn –- we moeten vindingrijk en proactief zijn in het omgaan met de dreigingen van het tijdperk van cyberagressie.”
Uit een onderzoek van Frost en Sullivan uit 2015 blijkt dat bijna de helft van de 1800 respondenten uit de federale overheidssector van mening was dat de beveiliging de afgelopen twee jaar niet was verbeterd. Ongeveer 17% zei dat de beveiliging van hun agentschap verslechterd was omdat ze geen gelijke tred konden houden met de veranderende bedreigingsomgeving en omdat ze over onvoldoende middelen beschikten, en meer dan de helft zei dat de reactietijden voor bedreigingen niet waren veranderd.
Zes jaar later – en zoals blijkt uit de hacks van SolarWinds en Colonial Pipeline en andere incidenten – zijn velen in de beveiligingsindustrie het erover eens dat er nog veel werk moet worden verricht.
Zo zei Jerry Bessette van Booz Allen in dit recente cyberbeveiligingspanel, georganiseerd door Channel Partners, dat de federale overheid volgens hem absoluut niet voorbereid is op cyberaanvallen door natiestaten. Hij schreef dit toe aan het feit dat “netwerken nog steeds zo ingewikkeld zijn” en voegde eraan toe dat “er nog steeds zoveel organisaties zijn, waaronder overheidsinstanties, die de basis niet doen.”
Robert Zukis van het Digital Directors Network gaf zijn mening: “Hackers hebben duidelijk ontdekt dat het systeem op zichzelf een zwak punt is en ze maken daar misbruik van. En helaas bevinden we ons op dit moment op ground zero."
2. Niet genoeg prioriteit
In maart van dit jaar waarschuwde de GAO dat er meer moest worden gedaan. “Hoewel de federale regering een aantal verbeteringen heeft aangebracht, moet ze sneller reageren op de snel evoluerende en ernstige bedreigingen voor het land.”
Maar ruim voor die tijd was het in mei 2018 al duidelijk dat de overheid cyberbeveiliging niet als kritiek beschouwt. Op 15 mei heeft toenmalige nationaal veiligheidsadviseur John Bolton de functie van coördinator cyberveiligheid in de Nationale Veiligheidsraad geschrapt.
Die dag zei vertegenwoordiger Bennie G. Thompson (MS), het belangrijkste lid van de Commissie Binnenlandse Veiligheid, dat “met cyberdreigingen die voortdurend veranderen en steeds geavanceerder worden, er geen logische reden is om deze hogere functie te schrappen en het reeds verminderde niveau van cyberexpertise in het Witte Huis te verlagen.”
3. Personeelstekorten
Het is al jaren algemeen bekend dat er in de VS te weinig ervaren cybersecurity-professionals in de private sector zijn, maar die kloof wordt een zaak van nationale veiligheid wanneer de entiteit waarover je het hebt de federale overheid is.
Laten we de klok terugdraaien naar 2019, toen Jeanette Manfra, de assistent-directeur voor cyberbeveiliging van CISA, een menigte toesprak op TechCrunch Disrupt SF. Ze benadrukte dat het agentschap de opleiding van nieuwe cyberbeveiligers tot een prioriteit maakt – zozeer zelfs dat het voor toekomstige cyberbeveiligers naar kinderen van basisschoolleeftijd kijkt. Want dat is hoe belangrijk cyberbeveiliging al was geworden.
“Het is een nationaal veiligheidsrisico dat we niet over het nodige talent beschikken, of dat nu bij de overheid of in de private sector is”, aldus Manfra. “We hebben een enorm tekort dat naar verwachting alleen maar groter zal worden.”
4. Cyberdreigingen van natiestaten
Volgens Radware richten hackers van natiestaten zich op overheidsinstanties, kritieke infrastructuur en een zeer breed scala van sectoren, overheden en organisaties. Doorgaans slaan ze toe met geavanceerde technieken die de bedrijfsactiviteiten onderbreken, vertrouwelijke informatie lekken en enorme gegevens- en inkomstenverliezen veroorzaken. De criminelen die deze aanvallen uitvoeren, voeren steeds vaker aanvallen uit namens regeringen overal ter wereld. De hack van de toeleveringsketen van SolarWinds wordt algemeen beschouwd als een aanval van een natiestaat, omdat iedereen het erover eens lijkt te zijn dat Rusland erachter zit. Ongeacht wie het doelwit is, aanvallen door natiestaten zijn enorm ontwrichtend, schadelijk en duur. Met negen Amerikaanse federale agentschappen die rechtstreeks werden getroffen door de SolarWinds-aanval was de schade reëel.
5. Niet genoeg federale wetten en richtlijnen
In juli 2020 meldde de General Accounting Office dat de Verenigde Staten niet beschikten over een uitgebreide wet inzake de bescherming van de persoonlijke levenssfeer op internet die het verzamelen, gebruiken en verkopen van persoonlijke informatie door particuliere ondernemingen regelt. Bovendien is er momenteel geen federale wet die het commerciële gebruik van gezichtsherkenningstechnologie, inclusief het identificeren en volgen van personen, uitdrukkelijk regelt.
Tijdens een sessie tijdens de RSA Conference van 2021 zei Paul Rosenzweig, senior fellow voor cyberbeveiliging bij het R Street Institute: “Het is verbijsterend dat we na 15 jaar cybercrisis nog steeds geen beeld hebben van hoe vaak en wat voor soort inbreuken er in de Verenigde Staten plaatsvinden … zonder een uitgebreide wet op de melding van inbreuken zullen we nooit een idee krijgen van wat er in de praktijk gebeurt.”
De cyberbeveiliging van de federale overheid verbeteren – zo snel mogelijk
Door alle aanvallen van het afgelopen jaar staat cyberbeveiliging bij iedereen bovenaan de agenda. Als gevolg daarvan worden veel nieuwe wetten overwogen om ransomware, en met name aanvallen die gericht zijn tegen de overheid, streng in te perken. De belangrijkste daarvan komt rechtstreeks van de top in het Witte Huis.
Na de cyberaanval van 2020 op tal van Amerikaanse overheidsinstanties vaardigde president Biden op 12 mei een uitvoeringsbesluit uit om de cyberbeveiliging van het land te verbeteren. Het bevel heeft tot doel de cyberbeveiligingsdefensie en de incidentresponscapaciteit van de overheid en de particuliere sector te versterken.
De hervormingen van de federale overheid zijn gericht op drie belangrijke thema's: modernisering, verantwoordingsplicht en veerkracht.
- Ten eerste moeten federale agentschappen hun IT-systemen moderniseren en prioriteit geven aan het gebruik van clouddiensten, het gebruik van multifactor-authenticatie en de invoering van encryptietechnologieën voor gegevens in rust en in transit. Ook zal het Cybersecurity and Infrastructure Security Agency (CISA) de normen voor het gebruik van clouddiensten door de agentschappen bijwerken. Migratie naar een "Zero Trust Architecture" is ook een doelstelling.
- Ten tweede zal de verantwoordingsplicht van federale civiele instanties worden vergroot door de CISA toegang te geven tot netwerkgegevens van instanties om kwetsbaarheidstests uit te voeren en een "Cyber Safety Review Board" op te richten. Deze raad zal zich buigen over risicobeperkende maatregelen en reacties van agentschappen op significante cyberincidenten waarbij hetzij de overheid, hetzij entiteiten uit de particuliere sector betrokken zijn.
- Ten derde roept het Witte Huis de federale overheid ook op om een draaiboek op te stellen waarmee de overheid bedreigingen snel kan identificeren, beperken en verhelpen.
Staten raken ook betrokken
Cyberbeveiliging blijft een aandachtspunt in de wetgeving van de staten, aangezien vele maatregelen voorstellen om cyberdreigingen tegen overheden en particuliere ondernemingen aan te pakken. In 2020 zijn in ten minste 38 staten, Washington, D.C. en Puerto Rico bijna 300 wetsvoorstellen of resoluties ingediend of in behandeling genomen die betrekking hebben op cyberbeveiliging. De nieuwe regelgeving had betrekking op punten gaande van het verhogen van de straffen voor computermisdrijven, het verplichten van overheidsinstanties om opleiding of specifieke soorten beveiligingsbeleid te implementeren, regelgeving voor de verzekeringssector, het oprichten van taskforces, raden of commissies om zaken in verband met cyberbeveiliging te bestuderen/adviseren tot het ondersteunen van programma's of stimulansen voor opleiding en onderwijs in cyberbeveiliging.
Er is nog veel werk te doen
Het is duidelijk dat er nog heel wat werk moet worden verricht om de cyberbeveiliging van de overheid drastisch te verbeteren. Dat zal tijd en miljarden, zo niet biljoenen dollars, kosten. Maar in dit stadium heeft de regering niet echt een keuze.
Hopelijk zullen we in de komende jaren een daling van het aantal aanvallen zien wanneer alle nodige veranderingen en wetten worden ingevoerd.