Overview |
Überblick |
The cyber supply chain is defined as follows: |
Die cyber Versorgungsmaterial-Kette wird definiert, wie folgt: |
The entire set of key actors involved with/using cyber infrastructure: system end-users, policy makers, acquisition specialists, system integrators, network providers, and software/hardware suppliers. The organizational and process-level interactions between these constituencies are used to plan, build, manage, maintain, and defend the cyber infrastructure.” |
Der gesamte Satz von Schlüsselschauspieler mit einbezogenem mit/cyber Infrastruktur verwendend: System Endbenutzer, maßgebende Politiker, Erwerb Fachleute, System Integratoren, Netzbetreiber und Software-/Kleinteillieferanten. Die organisatorischen und Prozessniveau Interaktionen zwischen diesen Wahlkreisen werden verwendet, um die cyber Infrastruktur zu planen, zu errichten, zu handhaben, beizubehalten und zu verteidigen.“ |
While most cybersecurity incidents are attributable to online attacks, countless examples used insecure cyber supply chains, introducing new types of risks, threats, vulnerabilities, and even cyber-attacks. For example: |
Während die meisten cybersecurity Ereignisse on-line-Angriffen zuzuschreibend sind, verwendeten unzählige Beispiele die unsicheren cyber Versorgungsmaterial-Ketten und stellten neue Arten der Gefahren, Drohungen, Verwundbarkeit vor, und cyber-greifen sogar an. Z.B.: |
In 2008, the FBI seized $76 million of counterfeit Cisco equipment. According to an FBI presentation, the fake Cisco routers, switches, and cards were sold to the U.S. Navy, the U.S. Marine Corps., the U.S. Air Force, the U.S. Federal Aviation Administration, and even the FBI itself. One slide referred to the counterfeit Cisco equipment as a “critical infrastructure threat.” |
2008 ergriff das FBI $76 Million von nachgemachtem Cisco Gerät. Entsprechend einer FBI Darstellung wurden die gefälschten Cisco Fräser, die Schalter und die Karten in die US verkauft Marine, die US Marinekorps., die US Luftwaffe, die US Bundesluftfahrt-Leitung und sogar das FBI selbst. Ein Objekttraeger bezog sich das auf nachgemachte Cisco Gerät als „kritische Infrastrukturdrohung.“ |
Security researchers who analyzed the 2010 Stuxnet attack on Iranian nuclear facilities believe that malware used to infect programmable logic controllers (PLCs) and modify Siemens Step 7 software was likely carried into the facilities by third-party contractors working with the Iranian government. These third-party contractors were identified, attacked, and compromised and then unknowingly transported Stuxnet into the Iranian nuclear facilities, most likely through the use of USB thumb drives. |
Sicherheit Forscher, die den Stuxnet Angriff 2010 auf iranischen Atomkraftwerken analysierten, glauben, daß das malware, das, um programmierbare Logikkontrolleure (PLCs) anzustecken verwendet wurde und Software des Siemens Schrittes zu ändern 7 wahrscheinlich in den Service durch die aus dritter Quellefremdfirmen getragen wurde, die mit der iranischen Regierung arbeiten. Diese aus dritter Quellefremdfirmen wurden gekennzeichnet, in Angriff genommene und verglichene und dann unknowingly transportierte Stuxnet in die iranischen Atomkraftwerke, höchstwahrscheinlich durch den Gebrauch von USB Daumen-Antrieben. |
In 2012, the Chairman and Ranking Member of the House Intelligence Committee, Mike Rogers (R-MI) and C.A. Dutch Ruppersberger (D-MD), released a report recommending that U.S. companies avoid using telecommunications equipment manufactured by Chinese telecommunications companies Huawei and ZTE. The report highlighted U.S. critical infrastructure interconnectivity and went on to warn of the heightened threat of cyber-espionage and predatory disruption or destruction of U.S. networks if U.S-based telecommunications networks were built by companies with known ties to the Chinese state, a country known to “aggressively steal valuable trade secrets and other sensitive data from American companies.” |
2012 der Vorsitzende und das Klassifizierung-Mitglied des Haus-Intelligenz-Ausschusses, Mike Rogers (RMI) und das C.A. Holländisches Ruppersberger (D-MD), freigegeben einem Report, der diese US empfiehlt Firmen vermeiden, das Nachrichtentechnikgerät zu verwenden, das von den chinesischen Nachrichtentechnikfirmen Huawei und ZTE hergestellt wird. Der Report hob US hervor kritisches Infrastruktur interconnectivity und fuhr fort, von der erhöhten Drohung von Cyberspionage und räuberische Unterbrechung oder Zerstörung von US zu warnen Netze, wenn U.S-based Fernmeldenetze von den Firmen mit bekannten Riegeln zum chinesischen Zustand errichtet wurden, ein Land, das „stehlen bekannt ist konkurrenzfähig, Wertsache Geschäftsgeheimnisse und andere empfindliche Daten von den amerikanischen Firmen.“ |
According to documents leaked by Edward Snowden, the National Security Agency (NSA) intercepted networking equipment built in the United States, added backdoors for remote access capabilities, and then shipped these devices to their recipients abroad. When the hacked networking equipment was deployed online, it was programmed to phone home to NSA-controlled servers. "In one recent case, after several months a beacon implanted through supply-chain interdiction called back to the NSA covert infrastructure," said Glenn Greenwald, a reporter at the Guardian at the time. Greenwald further quoted the leaked NSA report: "This call back provided us (i.e., NSA) with access to further exploit the device and survey the network." |
Entsprechend den Dokumenten, die von Edward Snowden ausgelaufen wurden, fing die Staatssicherheit Agentur (NSA) das Netzwerkanschlußgerät ab, das in den Vereinigten Staaten, zusätzliche backdoors für Fernzugrifffähigkeiten errichtet wurde und versendete dann diese Vorrichtungen zu ihren Empfängern auswärts. Als das zerhackte Netzwerkanschlußgerät online entfaltet wurde, wurde es programmiert, zu NSA-kontrollierten Bedienern nach Hause anzurufen. „In einem neuen Fall, nach einigen Monaten ein Leuchtfeuer eingepflanzt durch das Liefernkette Verbot gerufen zurück zu der NSA verborgenen Infrastruktur,“, sagte Glenn Greenwald, ein Reporter am Wächter zu der Zeit. Weiteres Greenwald veranschlug den ausgelaufenen NSA Report: „Dieses Wiederholungsbesuch versah uns (d.h., NSA) mit Zugang, um die Vorrichtung weiter auszunutzen und das Netz zu überblicken.“ |
The 2013 data breach at U.S. retailer Target exposed the personal and credit card data of more than 110 million consumers. Security researchers believe that this attack began with a spear phishing attack on a Target HVAC contractor, Fazio Mechanical, of Sharpsburg, PA. Cyber-attackers used an e-mail message to compromise a PC at Fazio Mechanical a few months before the attack and then downloaded password-stealing malware onto the system. The perpetrator then used legitimate Fazio credentials to log onto the Target network and ultimately carry out the attack. |
Der Bruch mit 2013 Daten an US Einzelhändler Ziel stellte die persönliche und Kreditkarte Daten von mehr als 110 Million Verbrauchern heraus. Sicherheit Forscher glauben, daß dieser Angriff mit einem Stange phishing Angriff auf einer Ziel HVAC Fremdfirma anfing, mechanisches Fazio, von Sharpsburg, PA. Cyber-Angreifer verwendeten eine E-mail Anzeige, um sich einen PC bei mechanischem Fazio zu vergleichen einige Monate vor dem Angriff und luden dann das Kennwort-Diebstahl von malware auf das System zentral. Die Täter dann verwendeten gesetzmaßigen Fazio Bescheinigungen, zum auf das Zielnetz zu loggen und des Angriffs schließlich durchzuführen. |
While cyber supply chain security incidents like these threaten businesses and consumers alike, any type of cyber-attack on critical infrastructure organizations could result in massive societal disruption threatening national security. These concerns are exacerbated by numerous events such as: |
Während cyber Versorgungsmaterial-Kette Sicherheit Ereignisse wie diese Geschäfte und Verbraucher gleich bedrohen, cyber-greifen irgendeine Art von auf kritischen Infrastruktureinteilungen könnte die massive gesellschaftliche Unterbrechung ergeben an, die Staatssicherheit bedroht. These concerns are exacerbated by numerous events such as: |
The Siberian gas pipeline explosion of 1982. In 1982, CIA agents learned of a Russian plot to steal western technologies for updating its outdated gas pipeline system. Armed with this knowledge, the CIA intervened with a covert operation. Unbeknownst to Soviet agents, software stolen in France was actually booby-trapped by the CIA and programmed to create havoc in a series of pumps, values, and turbines and increase pressure across the entire pipeline. Once installed, the malicious software caused a massive explosion. Leaked government documents referred to this event as, “the most monumental non-nuclear explosion ever seen from space,” in the summer of 1982. |
Die sibirische Gasrohrleitungexplosion von 1982. 1982 erlernten CIA Vertreter von einem russischen Plot, westliche Technologien für die Aktualisierung seines überholten Gasrohrleitungsystems zu stehlen. Bewaffnet mit diesem Wissen, griff der CIA mit einer Geheimdienstoperation ein. Unbeknownst zu den sowjetischen Mitteln, die Software, die in Frankreich gestohlen wurde, wurde wirklich durch den CIA mit einer Falle versehen und programmiert, um Verwüstung in einer Reihe von Pumpen, Werte und Turbinen und Zunahmedruck über der gesamten Rohrleitung zu verursachen. Sobald angebracht, verursachte die böswillige Software eine massive Explosion. Ausgelaufene Regierung Dokumente bezogen sich auf diesen Fall wie, „die hervorragendste nicht nukleare Explosion, die überhaupt vom Raum,“ am Sommer von 1982 gesehen wurde. |
The Aurora test of 2007. In 2007, Idaho National Labs ran an experiment called Aurora. The experiment simulated a cyber-attack and used a computer program to rapidly open and close a diesel generator’s circuit breakers so they were out-of-phase from the rest of the electric grid. In a now famous video, this remote attack caused a 2.25 megawatt diesel generator to bounce, shake, smoke, and eventually blow up. The entire process took less than three minutes, but researchers believe that a true cyber-attack could have destroyed the generator in less time. This experiment proved that a knowledgeable cyber-adversary could cause massive disruptions to the U.S. power grid. Furthermore, a diesel generator like the one destroyed in this experiment could take months to build, ship, and replace, meaning that a cyber-attack like Aurora could have long-term national security implications. |
Der Auroratest von 2007. 2007 Idaho ließen nationale Labors ein Experiment laufen, das Aurora genannt wurde. Das Experiment simulierte cyber-angreifen und verwendeten ein Computerprogramm, um schnell sich zu öffnen und hineindrücken Sicherungen eines Dieselgenerators, also waren sie vom Rest des elektrischen Rasterfeldes phasenverschoben. In einem jetzt berühmten Bildschirm veranlaßte dieser Remoteangriff einen 2.25-Megawatt-Dieselgenerator, um aufzuprallen, zu rütteln, zu rauchen und schließlich zu explodieren. Der gesamte Prozeß dauerte weniger als drei Minuten, aber Forscher glauben, daß ein zutreffendes könnte den Generator in weniger Zeit zerstört haben cyber-angreifen. Dieses Experiment prüfte, daß ein kenntnisreicher Cybergegner massive Unterbrechungen in die US verursachen könnte Energie Rasterfeld. Ausserdem könnte ein Dieselgenerator wie der zerstört in diesem Experiment Monate zum Bau dauern, zu versenden, und zu ersetzen, bedeutend, daß wie Aurora cyber-angreifen Sie, könnte langfristige Staatssicherheit Implikationen haben. |
The cyber-attacks on Estonia in 2007. In 2007, the Estonian government removed a Soviet-era statue, the Bronze Soldier of Tallinn, from the city. This action was taken as an insult by Russian nationals within Estonia and some members of the Russian cybersecurity community within and outside the government. In April 2007, the small Baltic nation experienced a wave of devastating distributed denial-of-service (DDOS) attacks that disrupted the services of the Estonian banks, broadcasters, ministries, newspapers, and parliament. The Estonian attacks are sometimes referred to as the first documented acts of cyberwar. |
Cyber-greift auf Estland 2007 an. 2007 entfernte die estnische Regierung eine Sowjet-ära Statue, den Bronzesoldaten von Tallinn, von der Stadt. Diese Maßnahmen wurden als Beleidigung von den russischen Angehörigen innerhalb Estlands und von einigen Mitgliedern der russischen cybersecurity Gemeinschaft innerhalb und außerhalb der Regierung ergriffen. Im April 2007 erfuhr die kleine baltische Nation eine Welle des Verwüstens der verteilten Ablehnung-vonservice (DDOS) Angriffe, die die Services der estnischen Bänke, der Rundfunkstationen, der Ministerien, der Zeitungen und des Parlaments störten. Die estnischen Angriffe gekennzeichnet manchmal als die zuerst dokumentierten Taten von Cyberwar. |
The cyber-theft of the F-35 Joint Strike Fighter and other military secrets. In 2015, NSA documents leaked by former contractor, Edward Snowden, revealed that cyber-attackers in China obtained more than 50 terabytes of data from U.S. defense contractors and government networks. This data included detailed plans about the F-35 Joint Strike Fighter’s stealth radar and engine. By learning about these and other design points, Chinese defense companies were able to include similar designs and technologies in China’s new stealth jet, the J-20. The secret also could allow Chinese air defenses to target the F-35 in a future conflict. |
Der Cyberdiebstahl des Verbindung F-35 Schlag-Kämpfers und anderer militärischer Geheimnisse. 2015 liefen NSA Dokumente durch ehemalige Fremdfirma, Edward Snowden, aufdeckten aus, daß Cyberangreifer in China mehr als 50 Terabyte von Daten von US erreichten Verteidigungfremdfirmen und Regierung Netze. Diese Daten schlossen ausführliche Pläne über das des Verbindung F-35 Schlag-Heimlichkeitradar und -maschine Kämpfers ein. Indem sie über diese und anderes erlernten, waren Designpunkte, chinesische Verteidigungfirmen in der Lage, ähnliche Designs einzuschließen und Technologien Chinas in der neuen Heimlichkeit spritzen, das J-20. Das Geheimnis konnte chinesische Luftwaffe das F-35 in einem zukünftigen Konflikt zielen auch lassen. |
The potential for a devastating cyber-attack on U.S. critical infrastructure has had Washington’s attention for a number of years. In 1998, Deputy Defense Secretary John Hamre cautioned the U.S. Congress about critical infrastructure protection (CIP) by warning of a potential “cyber Pearl Harbor.” Hamre stated that a devastating cyber-attack “… is not going to be against Navy ships sitting in a Navy shipyard. It is going to be against commercial infrastructure.” |
Das Potential für ein verheerendes cyber-greifen auf US an kritische Infrastruktur hat Aufmerksamkeit Washingtons für eine Anzahl von Jahren gehabt. 1998 warnte Abgeordneter Defense Secretary John Hamre die US Kongreß über kritischen Infrastrukturschutz (CIP) durch Warnung eines möglichen „cyber Pearl Harbor.“ Hamre gab an, daß ein verheerendes „… wird nicht gegen die Marineschiffe sein cyber-angreifen, die in einer Marinewerft sitzen. Es wird gegen kommerzielle Infrastruktur sein.“ |
After taking office, President Obama stated: |
Nachdem Amt übergenommen worden ist, Präsident angegebener Obama: |
“From now on, our digital infrastructure, the networks and computers we depend on every day will be treated as they should be; as a strategic national asset. Protecting this infrastructure will be a national security priority. We will ensure that these networks are secure, trustworthy, and resilient. We will deter, prevent, detect, and defend against attacks and recover quickly from any disruptions or damage.” |
„Ab sofort, werden unsere digitale Infrastruktur, die Netze und die Computer, die wir von täglichem abhängen, behandelt, wie sie sein sollten; als strategischer nationaler Wert. Diese Infrastruktur zu schützen ist eine Staatssicherheit Priorität. Wir stellen sicher, daß diese Netze sicher elastisch sind, vertrauenswürdig, und. Wir halten ab, verhindern, ermitteln und verteidigen gegen Angriffe und erholen schnell von jeden möglichen Unterbrechungen oder Beschädigung.“ |
In 2012, defense secretary, Leon Panetta, echoed these earlier warnings, stating that the U.S. faced a potential “cyber Pearl Harbor,” and was vulnerable to an increasing number of foreign hackers who could disrupt U.S.-based power grids, transportation networks, financial systems, and the government itself. Finally, in February 2015 at a cybersecurity summit held at Stanford University, President Obama announced five priorities to strengthen the U.S. approach to cybersecurity threats: |
2012 hallte Verteidigungsekretärin, Leon Panetta, diese früheren Warnungen wider und gab daß die US an stellte ein mögliches „cyber Pearl Harbor gegenüber,“ und war zu einer zunehmenden Anzahl von fremden Häckern verletzbar, die US stören konnten - gegründete Energie Rasterfelder, Transportnetze, finanzielle Systeme und die Regierung selbst. Schließlich im Februar 2015 am cybersecurity hielt ein Gipfel an der Stanford Universität, verkündete Präsident Obama fünf Prioritäten, um die US zu verstärken Annäherung an cybersecurity Drohungen: |
1. Protecting the country's critical infrastructure—our most important information systems—from cyber-threats. |
1. Des Landes schützen kritisch Infrastruktur-unsere wichtigsten information SystemVon Cyberdrohung. |
2. Improving the country’s ability to identify and report cyber-incidents so that we can respond in a timely manner. |
2. Die Fähigkeit des Landes verbessern, über Cyberereignisse zu kennzeichnen und zu berichten, damit wir in einer fristgerechten Weise reagieren können. |
3. Engaging with international partners to promote internet freedom and build support for an open, interoperable, secure, and reliable cyberspace. |
3. Engagierend in den internationalen Partnern, um Internet-Freiheit zu fördern und die Unterstützung für ein geöffnetes zu errichten, interoperable, sichern Sie und zuverlässiges Cyberspace. |
4. Securing federal networks by setting clear security targets and holding agencies accountable for meeting those targets. |
4. Bundesnetze durch die Einstellung der freien Sicherheit Ziele und das Halten der Agenturen sichern verantwortlich für das Treffen jener Ziele. |
5. Shaping a cyber-savvy workforce and moving beyond passwords in partnership with the private sector. |
5. Formen einer Cyberkapierte Mannschaft und Bewegen über Kennwörtern in der Teilhaberschaft mit dem privaten Sektor hinaus. |
There is clear evidence that the U.S. critical infrastructure faces a state of constant cyber-attack and a successful breach could have devastating consequences. Are critical infrastructure organizations adequately prepared to defend themselves? Do they have the right controls and oversight in place for cyber supply chain security? Are government agencies providing critical infrastructure organizations with the right programs and support? This ESG research report is intended to explore the answers to these important questions. |
Es gibt freien Beweis, der die US kritische Infrastruktur stellt einen Zustand von konstantem cyber-angreifen gegenüber und ein erfolgreicher Bruch könnte verheerende Konsequenzen haben. Werden kritische Infrastruktureinteilungen ausreichend vorbereitet, um sich zu verteidigen? Haben sie die rechten Kontrollen und die Aufsicht an der richtigen Stelle für cyber Versorgungsmaterial-Kette Sicherheit? Versehen Regierungsagenturen kritische Infrastruktureinteilungen mit den rechten Programmen und stützen sich? Dieser ESG Forschung Report soll die Antworten zu diesen wichtigen Fragen erforschen. |