Overview |
Vue d'ensemble |
|
The cyber supply chain is defined as follows: |
La chaîne d'approvisionnements de cyber est définie comme suit : |
|
The entire set of key actors involved with/using cyber infrastructure: system end-users, policy makers, acquisition specialists, system integrators, network providers, and software/hardware suppliers. The organizational and process-level interactions between these constituencies are used to plan, build, manage, maintain, and defend the cyber infrastructure.” |
L'ensemble entier d'avec impliqué par acteurs principaux/employant l'infrastructure de cyber : utilisateurs de système, personnes définissant la politique, spécialistes en acquisition, intégrateurs de système, fournisseurs de réseau, et fournisseurs de logiciel/matériel. Les interactions d'organisation et de processus-niveau entre ces collèges électoraux sont employées pour projeter, établir, contrôler, maintenir, et défendre l'infrastructure de cyber. » |
|
While most cybersecurity incidents are attributable to online attacks, countless examples used insecure cyber supply chains, introducing new types of risks, threats, vulnerabilities, and even cyber-attacks. For example: |
Tandis que la plupart des incidents de cybersecurity sont attribuables aux attaques en ligne, les exemples innombrables ont employé les chaînes d'approvisionnements peu sûres de cyber, présentant de nouveaux types de risques, menaces, vulnérabilités, et cyber-les attaquent même. Par exemple : |
|
In 2008, the FBI seized $76 million of counterfeit Cisco equipment. According to an FBI presentation, the fake Cisco routers, switches, and cards were sold to the U.S. Navy, the U.S. Marine Corps., the U.S. Air Force, the U.S. Federal Aviation Administration, and even the FBI itself. One slide referred to the counterfeit Cisco equipment as a “critical infrastructure threat.” |
En 2008, le FBI a saisi $76 millions d'équipement contrefait de Cisco. Selon une présentation de FBI, les routeurs, les commutateurs, et les cartes faux de Cisco ont été vendus aux États-Unis Marine, États-Unis Corps marins., les États-Unis L'Armée de l'Air, États-Unis Administration fédérale d'aviation, et même le FBI lui-même. Une glissière s'est rapportée à l'équipement contrefait de Cisco comme « menace critique d'infrastructure. » |
|
Security researchers who analyzed the 2010 Stuxnet attack on Iranian nuclear facilities believe that malware used to infect programmable logic controllers (PLCs) and modify Siemens Step 7 software was likely carried into the facilities by third-party contractors working with the Iranian government. These third-party contractors were identified, attacked, and compromised and then unknowingly transported Stuxnet into the Iranian nuclear facilities, most likely through the use of USB thumb drives. |
Les chercheurs de sécurité qui ont analysé l'attaque 2010 de Stuxnet sur les installations nucléaires iraniennes croient que le malware employé pour infecter les contrôleurs programmables de logique (PLCs) et pour modifier le logiciel d'étape 7 de Siemens a été probablement porté dans les équipements par de tiers entrepreneurs fonctionnant avec le gouvernement iranien. Ces tiers entrepreneurs Stuxnet ont été identifiés, attaquents, et compromis et puis unknowingly transportés dans les installations nucléaires iraniennes, très probablement par l'utilisation des commandes de pouce d'USB. |
|
In 2012, the Chairman and Ranking Member of the House Intelligence Committee, Mike Rogers (R-MI) and C.A. Dutch Ruppersberger (D-MD), released a report recommending that U.S. companies avoid using telecommunications equipment manufactured by Chinese telecommunications companies Huawei and ZTE. The report highlighted U.S. critical infrastructure interconnectivity and went on to warn of the heightened threat of cyber-espionage and predatory disruption or destruction of U.S. networks if U.S-based telecommunications networks were built by companies with known ties to the Chinese state, a country known to “aggressively steal valuable trade secrets and other sensitive data from American companies.” |
En 2012, le Président et le membre de rang du Comité d'intelligence de Chambre, le Mike Rogers (R-MI) et le C.A. Ruppersberger hollandais (D-MD), libéré un rapport recommandant les ces États-Unis les compagnies évitent d'à l'aide de l'équipement de télécommunications construit par les compagnies chinoises Huawei et ZTE de télécommunications. Le rapport a accentué les États-Unis l'interconnectivity critique d'infrastructure et a continué pour avertir de la menace intensifiée du cyber-espionnage et la rupture ou la destruction prédatrice des États-Unis les réseaux si des réseaux de télécommunications d'U.S-based étaient établis par des compagnies avec les cravates connues à l'état chinois, un pays connu « volent agressivement les secrets commerciaux d'objet de valeur et d'autres données sensibles des compagnies américaines. » |
|
According to documents leaked by Edward Snowden, the National Security Agency (NSA) intercepted networking equipment built in the United States, added backdoors for remote access capabilities, and then shipped these devices to their recipients abroad. When the hacked networking equipment was deployed online, it was programmed to phone home to NSA-controlled servers. "In one recent case, after several months a beacon implanted through supply-chain interdiction called back to the NSA covert infrastructure," said Glenn Greenwald, a reporter at the Guardian at the time. Greenwald further quoted the leaked NSA report: "This call back provided us (i.e., NSA) with access to further exploit the device and survey the network." |
Selon des documents fuis par Edouard Snowden, l'agence de sécurité nationale (NSA) a arrêté l'équipement de gestion de réseau construit aux Etats-Unis, backdoors supplémentaires pour des possibilités d'accès à distance, et puis a embarqué ces dispositifs à l'étranger à leurs destinataires. Quand l'équipement entaillé de gestion de réseau a été déployé en ligne, il a été programmé au téléphone à la maison aux serveurs NSA-contrôlés. « Dans un cas récent, après plusieurs mois une balise implantée par l'interdiction de fournir-chaîne appelée de nouveau à l'infrastructure secrète de NSA, » a dit Glenn Greenwald, un journaliste au gardien alors. Greenwald autre a cité le rapport fui de NSA : « Cet appel retour nous a fourni (c.-à-d., le NSA) l'accès pour exploiter plus loin le dispositif et pour examiner le réseau. » |
|
The 2013 data breach at U.S. retailer Target exposed the personal and credit card data of more than 110 million consumers. Security researchers believe that this attack began with a spear phishing attack on a Target HVAC contractor, Fazio Mechanical, of Sharpsburg, PA. Cyber-attackers used an e-mail message to compromise a PC at Fazio Mechanical a few months before the attack and then downloaded password-stealing malware onto the system. The perpetrator then used legitimate Fazio credentials to log onto the Target network and ultimately carry out the attack. |
L'infraction de 2013 données aux États-Unis la cible de détaillant a exposé les données personnelle et de carte de crédit de plus de 110 millions de consommateurs. Les chercheurs de sécurité croient que cette attaque a commencé par une attaque phishing de lance sur un entrepreneur de la CAHT de cible, Fazio mécanique, de Sharpsburg, PA. les Cyber-attaquants ont employé un message d'E-mail pour compromettre un PC chez Fazio mécanique quelques mois avant l'attaque et ont puis téléchargé mot de passe-voler le malware sur le système. Les qualifications légitimes alors utilisées de Fazio de malfaiteur à noter sur le réseau de cible et pour effectuer finalement l'attaque. |
|
While cyber supply chain security incidents like these threaten businesses and consumers alike, any type of cyber-attack on critical infrastructure organizations could result in massive societal disruption threatening national security. These concerns are exacerbated by numerous events such as: |
Tandis que les incidents de sécurité de chaîne d'approvisionnements de cyber comme ces derniers menacent des entreprises et des consommateurs de même, n'importe quel type de cyber-attaquent sur des organismes critiques d'infrastructure pourrait avoir comme conséquence la rupture sociale massive menaçant la sécurité nationale. Ces soucis sont aggravés par de nombreux événements comme : |
|
The Siberian gas pipeline explosion of 1982. In 1982, CIA agents learned of a Russian plot to steal western technologies for updating its outdated gas pipeline system. Armed with this knowledge, the CIA intervened with a covert operation. Unbeknownst to Soviet agents, software stolen in France was actually booby-trapped by the CIA and programmed to create havoc in a series of pumps, values, and turbines and increase pressure across the entire pipeline. Once installed, the malicious software caused a massive explosion. Leaked government documents referred to this event as, “the most monumental non-nuclear explosion ever seen from space,” in the summer of 1982. |
L'explosion sibérienne de canalisation de gaz de 1982. En 1982, les agents de CIA ont appris d'une parcelle de terrain russe de voler des technologies occidentales pour mettre à jour son système périmé de canalisation de gaz. Armé avec cette connaissance, la CIA est intervenue avec une opération secrète. Unbeknownst aux agents soviétiques, logiciel volé en France a été piégé par la CIA et programmé réellement pour créer le ravage dans une série de pompes, valeurs, et turbines et pression d'augmentation à travers la canalisation entière. Une fois qu'installé, le logiciel malveillant a causé une explosion massive. Les documents fuis de gouvernement se sont rapportés à cet événement comme, « l'explosion non-nucléaire la plus monumentale jamais vue de l'espace, » en été de 1982. |
|
The Aurora test of 2007. In 2007, Idaho National Labs ran an experiment called Aurora. The experiment simulated a cyber-attack and used a computer program to rapidly open and close a diesel generator’s circuit breakers so they were out-of-phase from the rest of the electric grid. In a now famous video, this remote attack caused a 2.25 megawatt diesel generator to bounce, shake, smoke, and eventually blow up. The entire process took less than three minutes, but researchers believe that a true cyber-attack could have destroyed the generator in less time. This experiment proved that a knowledgeable cyber-adversary could cause massive disruptions to the U.S. power grid. Furthermore, a diesel generator like the one destroyed in this experiment could take months to build, ship, and replace, meaning that a cyber-attack like Aurora could have long-term national security implications. |
Le test de l'aurore de 2007. En 2007, les laboratoires nationaux de l'Idaho ont couru une expérience appelée Aurora. L'expérience a simulé cyber-attaquent et ont employé un programme machine pour s'ouvrir rapidement et ferment les disjoncteurs d'un générateur de diesel ainsi ils étaient déclassés du reste de la grille électrique. Dans une vidéo maintenant célèbre, cette attaque à distance a fait pour rebondir, secouer, fumer, et pour exploser par la suite un générateur diesel de 2.25 mégawatts. Le processus entier a pris moins de trois minutes, mais les chercheurs croient qu'un vrai cyber-attaque pourrait avoir détruit le générateur dans moins de temps. Cette expérience a montré qu'un cyber-adversaire bien informé pourrait causer des ruptures massives aux États-Unis grille de puissance. En outre, un générateur diesel comme celui détruit dans cette expérience pourrait prendre des mois à la construction, se transporter, et remplacer, signifiant que cyber-attaquez comme l'aurore pourrait avoir des implications à long terme de sécurité nationale. |
|
The cyber-attacks on Estonia in 2007. In 2007, the Estonian government removed a Soviet-era statue, the Bronze Soldier of Tallinn, from the city. This action was taken as an insult by Russian nationals within Estonia and some members of the Russian cybersecurity community within and outside the government. In April 2007, the small Baltic nation experienced a wave of devastating distributed denial-of-service (DDOS) attacks that disrupted the services of the Estonian banks, broadcasters, ministries, newspapers, and parliament. The Estonian attacks are sometimes referred to as the first documented acts of cyberwar. |
Cyber-attaque sur l'Estonie en 2007. En 2007, le gouvernement estonien a enlevé une statue de Soviétique-ère, le soldat en bronze de Tallinn, de la ville. Cette mesure a été prise comme insulte par les ressortissants russes dans l'Estonie et quelques membres de la communauté russe de cybersecurity dans et en dehors du gouvernement. En avril 2007, la petite nation baltique a éprouvé une vague de dévaster les attaques distribuées du démenti-de-service (DDOS) qui ont perturbé les services des banques, des radiodiffuseurs, des ministères, des journaux, et du parlement estoniens. Les attaques estoniennes désigné parfois sous le nom des actes d'abord documentés de la cyberguerre. |
|
The cyber-theft of the F-35 Joint Strike Fighter and other military secrets. In 2015, NSA documents leaked by former contractor, Edward Snowden, revealed that cyber-attackers in China obtained more than 50 terabytes of data from U.S. defense contractors and government networks. This data included detailed plans about the F-35 Joint Strike Fighter’s stealth radar and engine. By learning about these and other design points, Chinese defense companies were able to include similar designs and technologies in China’s new stealth jet, the J-20. The secret also could allow Chinese air defenses to target the F-35 in a future conflict. |
Le cyber-vol du combattant de grève de l'articulation F-35 et d'autres secrets militaires. En 2015, les documents de NSA ont fui par l'ancien entrepreneur, Edouard Snowden, ont indiqué que les cyber-attaquants en Chine ont obtenu plus de 50 Terabyte des données des États-Unis entrepreneurs de défense et réseaux de gouvernement. Les plans détaillés inclus ces par données au sujet de l'articulation F-35 frappent le radar et le moteur de la discrétion du combattant. En se renseignant sur ces derniers et autre les points de conception, les compagnies chinoises de la défense pouvaient inclure les conceptions semblables et les technologies dans la nouvelle discrétion de la Chine voyagent en jet, le J-20. Le secret a pu également permettre à des moyens de défense aérienne chinois de viser le F-35 en futur conflit. |
|
The potential for a devastating cyber-attack on U.S. critical infrastructure has had Washington’s attention for a number of years. In 1998, Deputy Defense Secretary John Hamre cautioned the U.S. Congress about critical infrastructure protection (CIP) by warning of a potential “cyber Pearl Harbor.” Hamre stated that a devastating cyber-attack “… is not going to be against Navy ships sitting in a Navy shipyard. It is going to be against commercial infrastructure.” |
Le potentiel pour un dévastateur cyber-attaquent sur les États-Unis l'infrastructure critique a eu l'attention de Washington pendant un certain nombre d'années. En 1998, député Defense Secretary John Hamre a averti les États-Unis Le congrès au sujet de la protection critique d'infrastructure (CIP) par l'avertissement d'un potentiel « cyber Pearl Harbor. » Hamre a déclaré qu'un dévastateur cyber-attaque « … ne va pas être contre des bateaux de marine se reposant dans un chantier naval de marine. Il va être contre l'infrastructure commerciale. » |
|
After taking office, President Obama stated: |
Après la prise du bureau, le Président Obama indiqué : |
|
“From now on, our digital infrastructure, the networks and computers we depend on every day will be treated as they should be; as a strategic national asset. Protecting this infrastructure will be a national security priority. We will ensure that these networks are secure, trustworthy, and resilient. We will deter, prevent, detect, and defend against attacks and recover quickly from any disruptions or damage.” |
« Dorénavant, notre infrastructure numérique, les réseaux et des ordinateurs que nous dépendons de journalier seront traités comme elles devraient être ; comme capitaux nationaux stratégiques. La protection de cette infrastructure sera une priorité de sécurité nationale. Nous nous assurerons que ces réseaux sont bloqués, dignes de confiance, et résilients. Nous découragerons, empêcherons, détecterons, et défendrons contre des attaques et récupérerons rapidement de n'importe quels ruptures ou dommages. » |
|
In 2012, defense secretary, Leon Panetta, echoed these earlier warnings, stating that the U.S. faced a potential “cyber Pearl Harbor,” and was vulnerable to an increasing number of foreign hackers who could disrupt U.S.-based power grids, transportation networks, financial systems, and the government itself. Finally, in February 2015 at a cybersecurity summit held at Stanford University, President Obama announced five priorities to strengthen the U.S. approach to cybersecurity threats: |
En 2012, le secrétaire de la défense, Leon Panetta, a fait écho ces détections plus précoces, déclarant que les États-Unis a fait face à un potentiel « cyber Pearl Harbor, » et était vulnérable à un nombre croissant d'intrus étrangers qui pourraient perturber les États-Unis - grilles basées de puissance, réseaux de transport, systèmes financiers, et le gouvernement lui-même. En conclusion, en février 2015 au cybersecurity un sommet s'est tenu à l'université de Stanford, le Président Obama a annoncé cinq priorités pour renforcer les États-Unis approche aux menaces de cybersecurity : |
|
1. Protecting the country's critical infrastructure—our most important information systems—from cyber-threats. |
1. Protégeant le pays critique infrastructure-notre information système-de cyber-menace plus importante. |
|
2. Improving the country’s ability to identify and report cyber-incidents so that we can respond in a timely manner. |
2. Améliorant la capacité du pays d'identifier et rapporter des cyber-incidents de sorte que nous puissions répondre d'une façon opportune. |
|
3. Engaging with international partners to promote internet freedom and build support for an open, interoperable, secure, and reliable cyberspace. |
3. En engageant dans les associés internationaux pour favoriser la liberté d'Internet et pour établir le soutien d'un ouvert, interoperable, fixez, et Cyberspace fiable. |
|
4. Securing federal networks by setting clear security targets and holding agencies accountable for meeting those targets. |
4. Fixant les réseaux fédéraux en plaçant les cibles claires de sécurité et en jugeant des agences responsables de rencontrer ces cibles. |
|
5. Shaping a cyber-savvy workforce and moving beyond passwords in partnership with the private sector. |
5. Formation d'une main d'oeuvre cyber-savvy et se déplacer au delà des mots de passe dans l'association avec le secteur privé. |
|
There is clear evidence that the U.S. critical infrastructure faces a state of constant cyber-attack and a successful breach could have devastating consequences. Are critical infrastructure organizations adequately prepared to defend themselves? Do they have the right controls and oversight in place for cyber supply chain security? Are government agencies providing critical infrastructure organizations with the right programs and support? This ESG research report is intended to explore the answers to these important questions. |
Il y a de l'évidence claire qui les États-Unis l'infrastructure critique fait face à un état de constant cyber-attaquent et une infraction réussie pourrait avoir des conséquences dévastatrices. Est-ce que organismes critiques d'infrastructure sont en juste proportion préparés pour se défendre ? Ont-ils les bonnes commandes et inadvertance en place pour la sécurité de chaîne d'approvisionnements de cyber ? Est-ce que organismes gouvernementaux fournissent à des organismes critiques d'infrastructure les bons programmes et les soutiennent ? Ce rapport de recherches d'ESG est prévu pour explorer les réponses à ces questions importantes. |