Overview |
Descrizione |
|
The cyber supply chain is defined as follows: |
La catena di rifornimento del cyber è definita come segue: |
|
The entire set of key actors involved with/using cyber infrastructure: system end-users, policy makers, acquisition specialists, system integrators, network providers, and software/hardware suppliers. The organizational and process-level interactions between these constituencies are used to plan, build, manage, maintain, and defend the cyber infrastructure.” |
L'intero insieme di con in causa attori chiave/che usando l'infrastruttura del cyber: utilizzatori finali del sistema, politici, esperti di aquisizione, integratori del sistema, fornitori di rete e fornitori fissaggi/del software. Le interazioni del processo-livello ed organizzative fra questi collegi elettorali sono usate per progettare, sviluppare, controllare, effettuare e difendere l'infrastruttura del cyber.„ |
|
While most cybersecurity incidents are attributable to online attacks, countless examples used insecure cyber supply chains, introducing new types of risks, threats, vulnerabilities, and even cyber-attacks. For example: |
Mentre la maggior parte dei avvenimenti di cybersecurity sono attribuibili agli attacchi in linea, gli esempi countless hanno usato le catene di rifornimento insicure del cyber, introducenti i nuovi tipi di rischi, le minacce, le vulnerabilità e perfino cyber-attaca. Per esempio: |
|
In 2008, the FBI seized $76 million of counterfeit Cisco equipment. According to an FBI presentation, the fake Cisco routers, switches, and cards were sold to the U.S. Navy, the U.S. Marine Corps., the U.S. Air Force, the U.S. Federal Aviation Administration, and even the FBI itself. One slide referred to the counterfeit Cisco equipment as a “critical infrastructure threat.” |
In 2008, il FBI ha grippato $76 milioni di apparecchiatura falsificata di Cisco. Secondo una presentazione di FBI, i routers, gli interruttori e le schede falsi di Cisco sono stati venduti negli Stati Uniti Blu marino, Stati Uniti Corpo marino., gli Stati Uniti Aeronautica, Stati Uniti Gestione federale di aeronautica e perfino il FBI in se. Uno scorrevole si è riferito all'apparecchiatura falsificata di Cisco come “minaccia critica dell'infrastruttura.„ |
|
Security researchers who analyzed the 2010 Stuxnet attack on Iranian nuclear facilities believe that malware used to infect programmable logic controllers (PLCs) and modify Siemens Step 7 software was likely carried into the facilities by third-party contractors working with the Iranian government. These third-party contractors were identified, attacked, and compromised and then unknowingly transported Stuxnet into the Iranian nuclear facilities, most likely through the use of USB thumb drives. |
I ricercatori di sicurezza che hanno analizzato l'attacco 2010 di Stuxnet agli impianti nucleari iraniani ritengono che il malware usato per infettare i regolatori programmabili di logica (PLCs) e per modificare il software di punto 7 della Siemens probabilmente sia stato trasportato nelle facilità dagli appaltatori di terzi che funzionano con il governo iraniano. Questi appaltatori di terzi sono stati identificati, Stuxnet attacato e compromesso ed allora unknowingly trasportato negli impianti nucleari iraniani, molto probabilmente con l'uso degli azionamenti del pollice del USB. |
|
In 2012, the Chairman and Ranking Member of the House Intelligence Committee, Mike Rogers (R-MI) and C.A. Dutch Ruppersberger (D-MD), released a report recommending that U.S. companies avoid using telecommunications equipment manufactured by Chinese telecommunications companies Huawei and ZTE. The report highlighted U.S. critical infrastructure interconnectivity and went on to warn of the heightened threat of cyber-espionage and predatory disruption or destruction of U.S. networks if U.S-based telecommunications networks were built by companies with known ties to the Chinese state, a country known to “aggressively steal valuable trade secrets and other sensitive data from American companies.” |
In 2012, il presidente ed il membro di posto del comitato di intelligenza della Camera, Mike Rogers (R-MI) e il C.A. Ruppersberger olandese (D-MD), liberato un rapporto che suggerisce i quegli Stati Uniti le aziende evitano di per mezzo dell'apparecchiatura di telecomunicazioni prodotta dalle aziende Huawei e ZTE di telecomunicazioni del Chinese. Il rapporto ha evidenziato gli Stati Uniti il interconnectivity critico dell'infrastruttura ed ha continuato ad avvertire della minaccia intensificata di cyber-spionaggio e rottura o distruzione predatore degli Stati Uniti le reti se le reti di telecomunicazioni di U.S-based fossero sviluppate dalle aziende con i legami conosciuti al cinese dichiarano, un paese conosciuto “rubano aggressivamente i segreti commerciali del valuable ed altri dati sensibili dalle aziende americane.„ |
|
According to documents leaked by Edward Snowden, the National Security Agency (NSA) intercepted networking equipment built in the United States, added backdoors for remote access capabilities, and then shipped these devices to their recipients abroad. When the hacked networking equipment was deployed online, it was programmed to phone home to NSA-controlled servers. "In one recent case, after several months a beacon implanted through supply-chain interdiction called back to the NSA covert infrastructure," said Glenn Greenwald, a reporter at the Guardian at the time. Greenwald further quoted the leaked NSA report: "This call back provided us (i.e., NSA) with access to further exploit the device and survey the network." |
Secondo i documenti fuoriusciti da Edward Snowden, l'agenzia di sicurezza nazionale (NSA) ha intercettato l'apparecchiatura della rete costruita negli Stati Uniti, backdoors aggiunti per le possibilità di accesso a distanza ed allora ha spedito questi dispositivi ai loro destinatari all'estero. Quando l'apparecchiatura incisa della rete è stata schierata in linea, è stata programmata telefonare a casa agli assistenti NSA-controllati. “In un caso recente, dopo parecchi mesi un falò impiantato con interdiction della forn-catena denominato di nuovo all'infrastruttura segreta del NSA,„ ha detto allora Glenn Greenwald, un reporter al guardiano. Greenwald ulteriore ha citato il rapporto fuoriuscito del NSA: “Questa chiamata indietro ci ha fornito (cioè, NSA) accesso più ulteriormente per sfruttare il dispositivo e per esaminare la rete.„ |
|
The 2013 data breach at U.S. retailer Target exposed the personal and credit card data of more than 110 million consumers. Security researchers believe that this attack began with a spear phishing attack on a Target HVAC contractor, Fazio Mechanical, of Sharpsburg, PA. Cyber-attackers used an e-mail message to compromise a PC at Fazio Mechanical a few months before the attack and then downloaded password-stealing malware onto the system. The perpetrator then used legitimate Fazio credentials to log onto the Target network and ultimately carry out the attack. |
La frattura di 2013 dati agli Stati Uniti l'obiettivo del rivenditore ha esposto i dati e personale della carta di credito di più di 110 milione consumatori. I ricercatori di sicurezza ritengono che questo attacco abbia cominciato con un attacco phishing del germoglio ad un appaltatore di HVAC dell'obiettivo, Fazio meccanico, di Sharpsburg, PA. i Cyber-attackers hanno usato un messaggio di E-mail per compromettere un pc a Fazio meccanico alcuni mesi prima dell'attacco ed allora hanno trasferito parola d'accesso-rubare dal sistema centrale verso i satelliti il malware sul sistema. Le credenziali legittime allora usate di Fazio del perpetrator per annotare sulla rete dell'obiettivo ed infine per effettuare l'attacco. |
|
While cyber supply chain security incidents like these threaten businesses and consumers alike, any type of cyber-attack on critical infrastructure organizations could result in massive societal disruption threatening national security. These concerns are exacerbated by numerous events such as: |
Mentre gli avvenimenti di sicurezza della catena di rifornimento del cyber come questi minacciano egualmente i commerci ed i consumatori, qualunque tipo di cyber-attaca sulle organizzazioni critiche dell'infrastruttura potrebbe provocare la rottura sociale voluminosa che minaccia la sicurezza nazionale. Queste preoccupazioni sono esacerbate dagli eventi numerosi come: |
|
The Siberian gas pipeline explosion of 1982. In 1982, CIA agents learned of a Russian plot to steal western technologies for updating its outdated gas pipeline system. Armed with this knowledge, the CIA intervened with a covert operation. Unbeknownst to Soviet agents, software stolen in France was actually booby-trapped by the CIA and programmed to create havoc in a series of pumps, values, and turbines and increase pressure across the entire pipeline. Once installed, the malicious software caused a massive explosion. Leaked government documents referred to this event as, “the most monumental non-nuclear explosion ever seen from space,” in the summer of 1982. |
L'esplosione siberiana del gasdotto di 1982. In 1982, gli agenti di CIA hanno imparato di un diagramma russo rubare le tecnologie occidentali per l'aggiornamento del relativo sistema antiquato del gasdotto. Munito con questa conoscenza, il CIA ha intervenuto con un funzionamento segreto. Unbeknownst agli agenti sovietici, software rubato in Francia realmente è stato installato trappole esplosive dal CIA ed è stato programmato per generare il havoc in serie di pompe, valori e turbine e pressione di aumento attraverso l'intera conduttura. Una volta che installato, il software cattivo ha causato un'esplosione voluminosa. I documenti fuoriusciti di governo si sono riferiti a questo evento come, “l'esplosione non nucleare più monumental vista mai da spazio,„ di estate di 1982. |
|
The Aurora test of 2007. In 2007, Idaho National Labs ran an experiment called Aurora. The experiment simulated a cyber-attack and used a computer program to rapidly open and close a diesel generator’s circuit breakers so they were out-of-phase from the rest of the electric grid. In a now famous video, this remote attack caused a 2.25 megawatt diesel generator to bounce, shake, smoke, and eventually blow up. The entire process took less than three minutes, but researchers believe that a true cyber-attack could have destroyed the generator in less time. This experiment proved that a knowledgeable cyber-adversary could cause massive disruptions to the U.S. power grid. Furthermore, a diesel generator like the one destroyed in this experiment could take months to build, ship, and replace, meaning that a cyber-attack like Aurora could have long-term national security implications. |
La prova del Aurora di 2007. In 2007, i laboratori nazionali dell'Idaho hanno fatto funzionare un esperimento denominato Aurora. L'esperimento ha simulato cyber-attaca ed usato un programma destinato all'elaboratore per aprirsi velocemente e chiude gli interruttori del generatore del diesel in modo da erano sfasati dal resto della griglia elettrica. In un video ora famoso, questo attacco a distanza ha indotto un generatore diesel da 2.25 megawatt per rimbalzare, agitare, fumare e finalmente per scoppiare. L'intero processo ha occorr più meno di tre minuti, ma i ricercatori ritengono che un allineare cyber-attacchi potrebbe distruggere il generatore in meno tempo. Questo esperimento ha dimostrato che un cyber-avversario informato potrebbe causare le rotture voluminose negli Stati Uniti griglia di alimentazione. Ancora, un generatore diesel come quello distrutto in questo esperimento potrebbe occorrere i mesi a configurazione, spedire e sostituire, significante che cyber-attacchi come Aurora potrebbe avere implicazioni di lunga durata di sicurezza nazionale. |
|
The cyber-attacks on Estonia in 2007. In 2007, the Estonian government removed a Soviet-era statue, the Bronze Soldier of Tallinn, from the city. This action was taken as an insult by Russian nationals within Estonia and some members of the Russian cybersecurity community within and outside the government. In April 2007, the small Baltic nation experienced a wave of devastating distributed denial-of-service (DDOS) attacks that disrupted the services of the Estonian banks, broadcasters, ministries, newspapers, and parliament. The Estonian attacks are sometimes referred to as the first documented acts of cyberwar. |
Cyber-attaca sull'Estonia in 2007. In 2007, il governo estone ha rimosso una statua di Soviet-era, il soldato Bronze di Tallinn, dalla città. Questa azione è stata intrapresa come insulto dai cittadini russi in Estonia e da alcuni membri della Comunità russa di cybersecurity all'interno di e fuori del governo. Nell'aprile 2007, la piccola nazione baltica ha sperimentato un'onda di devastazione degli attacchi distribuiti di smentita-de-servizio (DDOS) che hanno interrotto i servizi della banca, dei distributori a spaglio, dei ministeri, dei giornali e del Parlamento estoni. Gli attacchi estoni a volte si riferiscono a come gli atti in primo luogo documentati del cyberwar. |
|
The cyber-theft of the F-35 Joint Strike Fighter and other military secrets. In 2015, NSA documents leaked by former contractor, Edward Snowden, revealed that cyber-attackers in China obtained more than 50 terabytes of data from U.S. defense contractors and government networks. This data included detailed plans about the F-35 Joint Strike Fighter’s stealth radar and engine. By learning about these and other design points, Chinese defense companies were able to include similar designs and technologies in China’s new stealth jet, the J-20. The secret also could allow Chinese air defenses to target the F-35 in a future conflict. |
Il cyber-furto del combattente di colpo del giunto F-35 e di altri segreti militari. In 2015, i documenti del NSA hanno fuoriuscito dall'ex appaltatore, Edward Snowden, hanno rivelato che i cyber-attackers in Cina hanno ottenuto più di 50 Terabyte dei dati dagli Stati Uniti appaltatori di difesa e reti di governo. I programmi dettagliati inclusi questi dati circa il giunto F-35 colpiscono il radar ed il motore dello stealth del combattente. Imparando circa questi ed altro i punti di disegno, aziende cinesi della difesa potevano includere i disegni simili e le tecnologie nel nuovo stealth della Cina scaturiscono, il J-20. Il segreto anche ha potuto permettere che le risorse di difesa aerea cinesi designino il F-35 come bersaglio in conflitto futuro. |
|
The potential for a devastating cyber-attack on U.S. critical infrastructure has had Washington’s attention for a number of years. In 1998, Deputy Defense Secretary John Hamre cautioned the U.S. Congress about critical infrastructure protection (CIP) by warning of a potential “cyber Pearl Harbor.” Hamre stated that a devastating cyber-attack “… is not going to be against Navy ships sitting in a Navy shipyard. It is going to be against commercial infrastructure.” |
Il potenziale per un devastating cyber-attaca sugli Stati Uniti l'infrastruttura critica ha avuta attenzione de Washington per un certo numero di anni. In 1998, il delegato Defense Secretary John Hamre avvertenza gli Stati Uniti Congresso circa protezione critica dell'infrastruttura (CIP) da avvertimento “di un porto di perla potenziale del cyber.„ Hamre ha dichiarato che un devastating cyber-attaca “… non sta andando essere contro le navi del blu marino che si siedono in un cantiere navale del blu marino. Sta andando essere contro l'infrastruttura commerciale.„ |
|
After taking office, President Obama stated: |
Dopo la presa dell'ufficio, il presidente Obama ha dichiarato: |
|
“From now on, our digital infrastructure, the networks and computers we depend on every day will be treated as they should be; as a strategic national asset. Protecting this infrastructure will be a national security priority. We will ensure that these networks are secure, trustworthy, and resilient. We will deter, prevent, detect, and defend against attacks and recover quickly from any disruptions or damage.” |
“D'ora in poi, la nostra infrastruttura digitale, le reti ed i calcolatori che dipendiamo da giornaliere saranno trattare come dovrebbero essere; come bene nazionale strategico. La protezione della questa infrastruttura sarà una priorità di sicurezza nazionale. Ci accerteremo che queste reti siano sicure, in maniera fidata e resilienti. Tratterremo, eviteremo, rileveremo e difenderemo contro gli attacchi e recupereremo rapidamente da tutti i rotture o danni.„ |
|
In 2012, defense secretary, Leon Panetta, echoed these earlier warnings, stating that the U.S. faced a potential “cyber Pearl Harbor,” and was vulnerable to an increasing number of foreign hackers who could disrupt U.S.-based power grids, transportation networks, financial systems, and the government itself. Finally, in February 2015 at a cybersecurity summit held at Stanford University, President Obama announced five priorities to strengthen the U.S. approach to cybersecurity threats: |
In 2012, la segretaria della difesa, Leon Panetta, ha echeggiato questi allarmi immediati, dichiarare che gli Stati Uniti ha affrontato “un porto di perla potenziale del cyber,„ ed era vulnerabile ad un numero aumentante di hackers stranieri che potrebbero interrompere gli Stati Uniti - griglie basate di alimentazione, reti del trasporto, sistemi finanziari ed il governo in se. Per concludere, nel febbraio 2015 al cybersecurity una sommità ha tenuto all'università di Stanford, il presidente Obama ha annunciato cinque priorità per rinforzare gli Stati Uniti metodo alle minacce di cybersecurity: |
|
1. Protecting the country's critical infrastructure—our most important information systems—from cyber-threats. |
1. Proteggendo il paese critico le infrastruttura-nostre informazioni più importanti sistema-dalle cyber-minacce. |
|
2. Improving the country’s ability to identify and report cyber-incidents so that we can respond in a timely manner. |
2. Migliorando la capacità del paese di identificare e segnalare gli cyber-avvenimenti in moda da poterli rispondere noi in un modo attuale. |
|
3. Engaging with international partners to promote internet freedom and build support for an open, interoperable, secure, and reliable cyberspace. |
3. Agganciandosi con i soci internazionali per promuovere la libertà del Internet e per sviluppare il sostegno un aperto, interoperable, fissi e Cyberspace certo. |
|
4. Securing federal networks by setting clear security targets and holding agencies accountable for meeting those targets. |
4. Assicurando le reti federali regolando gli obiettivi liberi di sicurezza e le agenzie della tenuta responsabili per raggiungere quegli obiettivi. |
|
5. Shaping a cyber-savvy workforce and moving beyond passwords in partnership with the private sector. |
5. Modellatura della mano d'opera cyber-savvy e muoversi oltre le parole d'accesso nell'associazione con il settore privato. |
|
There is clear evidence that the U.S. critical infrastructure faces a state of constant cyber-attack and a successful breach could have devastating consequences. Are critical infrastructure organizations adequately prepared to defend themselves? Do they have the right controls and oversight in place for cyber supply chain security? Are government agencies providing critical infrastructure organizations with the right programs and support? This ESG research report is intended to explore the answers to these important questions. |
Ci è prova libera che gli Stati Uniti l'infrastruttura critica affronta un dichiarare di costante cyber-attaca e una frattura riuscita potrebbe avere conseguenze devastating. Le organizzazioni critiche dell'infrastruttura sono preparate adeguatamente per difendersi? Hanno i giusti comandi e svista sul posto per sicurezza della catena di rifornimento del cyber? Gli enti governativi stanno fornendo le organizzazioni critiche dell'infrastruttura i giusti programmi e sostengono? Questo rapporto di ricerca di ESG è inteso per esplorare le risposte a queste domande importanti. |