Overview |
概観 |
|
The cyber supply chain is defined as follows: |
cyberのサプライチェーンは次の通り定義される: |
|
The entire set of key actors involved with/using cyber infrastructure: system end-users, policy makers, acquisition specialists, system integrators, network providers, and software/hardware suppliers. The organizational and process-level interactions between these constituencies are used to plan, build, manage, maintain, and defend the cyber infrastructure.” |
にかかわるか、またはcyberの下部組織を使用している主俳優の全体のセット: システムエンドユーザー、政策当局者、獲得の専門家、システム・インテグレーター、ネットワークプロバイダおよびソフトウェアまたはハードウェア製造者。 これらの選挙区民間の組織およびプロセスレベルの相互作用が使用されているcyberの下部組織を計画し、造り、経営し、維持し、守るのに」。 |
|
While most cybersecurity incidents are attributable to online attacks, countless examples used insecure cyber supply chains, introducing new types of risks, threats, vulnerabilities, and even cyber-attacks. For example: |
ほとんどのcybersecurityの事件がオンライン攻撃に帰することができている間、無数の例は危険、脅威、脆弱性の新型をもたらす不確かなcyberのサプライチェーンを使用しcyber攻撃する。 例えば: |
|
In 2008, the FBI seized $76 million of counterfeit Cisco equipment. According to an FBI presentation, the fake Cisco routers, switches, and cards were sold to the U.S. Navy, the U.S. Marine Corps., the U.S. Air Force, the U.S. Federal Aviation Administration, and even the FBI itself. One slide referred to the counterfeit Cisco equipment as a “critical infrastructure threat.” |
2008年に、FBIはCisco偽造の装置の$76,000,000を握った。 FBIの提示に従って、Cisco擬似ルーター、スイッチおよびカードは米国に販売された。 海軍、米国。 海兵隊。、米国。 空軍、米国。 連邦航空局およびFBI自体。 1枚のスライドは「重大な下部組織の脅威として示したCisco偽造の装置を」。 |
|
Security researchers who analyzed the 2010 Stuxnet attack on Iranian nuclear facilities believe that malware used to infect programmable logic controllers (PLCs) and modify Siemens Step 7 software was likely carried into the facilities by third-party contractors working with the Iranian government. These third-party contractors were identified, attacked, and compromised and then unknowingly transported Stuxnet into the Iranian nuclear facilities, most likely through the use of USB thumb drives. |
イランの核設備のStuxnetの2010年の攻撃を分析した保証研究者はプログラム可能な論理のコントローラー(PLCs)を感染させ、Siemensのステップ7ソフトウェアを変更するのに使用されたmalwareがイランの政府を使用する第三者の建築業者によって設備に多分運ばれたことを信じる。 次にこれらの第三者の建築業者はStuxnet、多分識別され、USBの親指ドライブの使用によるイランの核設備に攻撃され、そして妥協され、そして知らずに運ばれた。 |
|
In 2012, the Chairman and Ranking Member of the House Intelligence Committee, Mike Rogers (R-MI) and C.A. Dutch Ruppersberger (D-MD), released a report recommending that U.S. companies avoid using telecommunications equipment manufactured by Chinese telecommunications companies Huawei and ZTE. The report highlighted U.S. critical infrastructure interconnectivity and went on to warn of the heightened threat of cyber-espionage and predatory disruption or destruction of U.S. networks if U.S-based telecommunications networks were built by companies with known ties to the Chinese state, a country known to “aggressively steal valuable trade secrets and other sensitive data from American companies.” |
2012年に、家の諜報特別委員会の議長およびランキングのメンバー、マイクロジャース(R-MI)およびC.A。 その米国を推薦するレポート解放されるオランダのRuppersberger (D-MD)。 会社は中国の電話会社HuaweiおよびZTEが製造した通信機器を使用して避ける。 レポートは米国を強調した。 重大な下部組織のinterconnectivityは米国のcyber諜報活動の高められた脅威のおよび略奪する中断または破壊警告することを続き。 米国基づかせていた電気通信網が中国の州への知られていたタイを持つ会社によって造られたらネットワークは、知られている国「積極的に盗むアメリカの会社からの貴重な企業秘密そして他の感知可能データを」。 |
|
According to documents leaked by Edward Snowden, the National Security Agency (NSA) intercepted networking equipment built in the United States, added backdoors for remote access capabilities, and then shipped these devices to their recipients abroad. When the hacked networking equipment was deployed online, it was programmed to phone home to NSA-controlled servers. "In one recent case, after several months a beacon implanted through supply-chain interdiction called back to the NSA covert infrastructure," said Glenn Greenwald, a reporter at the Guardian at the time. Greenwald further quoted the leaked NSA report: "This call back provided us (i.e., NSA) with access to further exploit the device and survey the network." |
エドワードSnowdenが漏らした文書に従って国家安全保障代理店(NSA)は米国の遠隔アクセスの機能のための加えられた裏口で造られたネットワーク機器を横取りし次に受け手にこれらの装置を外国に出荷した。 切り刻まれたネットワーク機器はオンラインで配置されたときに、NSA管理されたサーバーに起点に電話をかけることをプログラムした。 「1つの最近の場合で数数か月後でNSAの秘密の下部組織に呼ばれる供給鎖の禁止によって植え付けられる標識」 Glenn Greenwald、保護者のレポーターをその時に言った。 それ以上のGreenwaldは漏らされたNSAのレポートを引用した: 「この呼出しアクセスを与えた更に装置を開発し、ネットワークを調査するために私達に(すなわち、NSA)」。は |
|
The 2013 data breach at U.S. retailer Target exposed the personal and credit card data of more than 110 million consumers. Security researchers believe that this attack began with a spear phishing attack on a Target HVAC contractor, Fazio Mechanical, of Sharpsburg, PA. Cyber-attackers used an e-mail message to compromise a PC at Fazio Mechanical a few months before the attack and then downloaded password-stealing malware onto the system. The perpetrator then used legitimate Fazio credentials to log onto the Target network and ultimately carry out the attack. |
米国の2013データ違反。 小売商ターゲットは110以上,000,000人の消費者の個人的なおよびクレジットカードデータを露出した。 保証研究者はこの攻撃がターゲットHVACの建築業者のやりのphishing攻撃から始まったことを、Sharpsburg、PAの、機械Fazio信じる。 Cyber攻撃者は攻撃の前に妥協するのに電子メールメッセージを少数の月機械FazioでPCを使用し、次にシステムにmalwareをパスワード盗むことをダウンロードした。 ターゲットネットワークに記録し、最終的に攻撃を遂行する犯罪人のそれから使用された正当なFazioの信任状。 |
|
While cyber supply chain security incidents like these threaten businesses and consumers alike, any type of cyber-attack on critical infrastructure organizations could result in massive societal disruption threatening national security. These concerns are exacerbated by numerous events such as: |
これらのようなcyberのサプライチェーンの保証事件が企業や消費者を同様に脅す間、どのタイプでもの国家安全保障を脅す大きい社会的な中断で重大な下部組織の組織で起因できるcyber攻撃する。 これらの心配は多数のでき事によってのような悪化させる: |
|
The Siberian gas pipeline explosion of 1982. In 1982, CIA agents learned of a Russian plot to steal western technologies for updating its outdated gas pipeline system. Armed with this knowledge, the CIA intervened with a covert operation. Unbeknownst to Soviet agents, software stolen in France was actually booby-trapped by the CIA and programmed to create havoc in a series of pumps, values, and turbines and increase pressure across the entire pipeline. Once installed, the malicious software caused a massive explosion. Leaked government documents referred to this event as, “the most monumental non-nuclear explosion ever seen from space,” in the summer of 1982. |
1982年のシベリアのガス・パイプラインの爆発。 1982年に、CIAへの情報提供者は旧式のガス・パイプラインシステムを更新するための西部の技術を盗むロシアのプロットの学んだ。 この知識と武装させていて、CIAは秘密活動と介入した。 ソビエト代理店、フランスで盗まれたソフトウェアに知られていない実際にCIAによって爆弾を仕掛けられ、全体のパイプラインを渡る一連のポンプで破壊を、価値およびタービンおよび増加圧力作成するためにプログラムされた。 取付けられていて、悪意のあるソフトウェアにより大きい爆発を引き起こした。 漏らされた官庁出版物はこのでき事をように、「1982年の夏のスペースから」、見られた最も記念碑的な非核爆発示した。 |
|
The Aurora test of 2007. In 2007, Idaho National Labs ran an experiment called Aurora. The experiment simulated a cyber-attack and used a computer program to rapidly open and close a diesel generator’s circuit breakers so they were out-of-phase from the rest of the electric grid. In a now famous video, this remote attack caused a 2.25 megawatt diesel generator to bounce, shake, smoke, and eventually blow up. The entire process took less than three minutes, but researchers believe that a true cyber-attack could have destroyed the generator in less time. This experiment proved that a knowledgeable cyber-adversary could cause massive disruptions to the U.S. power grid. Furthermore, a diesel generator like the one destroyed in this experiment could take months to build, ship, and replace, meaning that a cyber-attack like Aurora could have long-term national security implications. |
2007年のオーロラテスト。 2007年に、アイダホの国立研究所はAuroraと呼ばれた実験を動かした。 実験はcyber攻撃し、急速にディーゼル発電機の遮断器を開閉したり使用した計算機プログラムを模倣した従って電気格子の残りから異相だった。 今の有名なビデオでは、この遠隔攻撃により跳ね、揺れ、煙り、結局爆破した2.25メガワットのディーゼル発電機は。 全体のプロセスは3分以下かかったが、本当がより少ない時間の発電機を破壊したかもしれないcyber攻撃することを研究者は信じる。 この実験は知識があるcyber敵により米国に大規模な混乱を引き起こすことができると証明した。 電力網。 なお、この実験で破壊されたもののようなディーゼル発電機は造りに月を、出荷するために、取り替えることにオーロラのようにcyber攻撃しなさいことを意味する、取り長期国家安全保障の含意があることができる。 |
|
The cyber-attacks on Estonia in 2007. In 2007, the Estonian government removed a Soviet-era statue, the Bronze Soldier of Tallinn, from the city. This action was taken as an insult by Russian nationals within Estonia and some members of the Russian cybersecurity community within and outside the government. In April 2007, the small Baltic nation experienced a wave of devastating distributed denial-of-service (DDOS) attacks that disrupted the services of the Estonian banks, broadcasters, ministries, newspapers, and parliament. The Estonian attacks are sometimes referred to as the first documented acts of cyberwar. |
2007年にエストニアでcyber攻撃する。 2007年に、エストニア語の政府は都市からソビエト時代の彫像、Tallinnの青銅色の兵士を、取除いた。 この処置はエストニア内のロシアの国民および政府内のそしての外のロシアのcybersecurityのコミュニティの何人かのメンバーによって侮辱としてとられた。 2007年4月では、小さいバルト海の国家はエストニア語銀行、放送会社、大臣、新聞および議会のサービスを破壊した分散否定のサービス(DDOS)攻撃の荒廃の波を経験した。 エストニア語の攻撃は時々cyberwarの最初に文書化された行為と言われる。 |
|
The cyber-theft of the F-35 Joint Strike Fighter and other military secrets. In 2015, NSA documents leaked by former contractor, Edward Snowden, revealed that cyber-attackers in China obtained more than 50 terabytes of data from U.S. defense contractors and government networks. This data included detailed plans about the F-35 Joint Strike Fighter’s stealth radar and engine. By learning about these and other design points, Chinese defense companies were able to include similar designs and technologies in China’s new stealth jet, the J-20. The secret also could allow Chinese air defenses to target the F-35 in a future conflict. |
F-35接合箇所の殴打の戦闘機および他の軍の秘密のcyber盗難。 2015年に、NSA文書は前の建築業者、エドワードSnowdenによって中国のcyber攻撃者が米国からのデータの以上50テラバイトを得たことを、明らかにした漏った。 防衛関係の請負業者および政府ネットワーク。 このF-35接合箇所についてのデータによって含まれている詳細な計画は戦闘機の隠しだてレーダーおよびエンジンを打つ。 これらおよび他についての学習によって設計ポイントは、中国の防衛会社同じような設計を含めた、中国の新しい隠しだての技術は、J-20ジェット機で行く。 秘密はまた中国の防空が未来の対立のF-35を目標とするようにすることができる。 |
|
The potential for a devastating cyber-attack on U.S. critical infrastructure has had Washington’s attention for a number of years. In 1998, Deputy Defense Secretary John Hamre cautioned the U.S. Congress about critical infrastructure protection (CIP) by warning of a potential “cyber Pearl Harbor.” Hamre stated that a devastating cyber-attack “… is not going to be against Navy ships sitting in a Navy shipyard. It is going to be against commercial infrastructure.” |
破壊的ののための潜在性は米国でcyber攻撃する。 重大な下部組織にワシントン州の注意が数年間あってしまった。 1998年に、ジョンHamre代理国防長官は米国に警告した。 潜在的な「cyber真珠湾の警告による重大な下部組織の保護(CIP)についての議会」。の Hamreは破壊的の「…海軍造船所に坐る海軍船に対してあることを行っていないcyber攻撃することを示した。 それは商業下部組織に対してあることを行っている」。 |
|
After taking office, President Obama stated: |
オフィスを取った後、Obama示される大統領: |
|
“From now on, our digital infrastructure, the networks and computers we depend on every day will be treated as they should be; as a strategic national asset. Protecting this infrastructure will be a national security priority. We will ensure that these networks are secure, trustworthy, and resilient. We will deter, prevent, detect, and defend against attacks and recover quickly from any disruptions or damage.” |
「あるべきであるように今後は、私達によってが毎日依存する私達のデジタル下部組織、ネットワークおよびコンピュータは扱われる; 戦略的な国民の資産として。 この下部組織を保護することは国家安全保障優先順位である。 私達はこれらのネットワークが安全、信頼できる、弾力性のあることを保障する。 私達は攻撃に対して躊躇させ、防ぎ、検出し、そして守り、そして中断か損傷からすぐに回復する」。 |
|
In 2012, defense secretary, Leon Panetta, echoed these earlier warnings, stating that the U.S. faced a potential “cyber Pearl Harbor,” and was vulnerable to an increasing number of foreign hackers who could disrupt U.S.-based power grids, transportation networks, financial systems, and the government itself. Finally, in February 2015 at a cybersecurity summit held at Stanford University, President Obama announced five priorities to strengthen the U.S. approach to cybersecurity threats: |
2012年に、Leon Panetta、国防長官は示すこれらの早期警報をことを米国エコーした。 潜在的な「cyber真珠湾に」、の直面し、米国基盤の電力網、交通機関ネットワーク、財政システムおよび政府自体を破壊できる外国のハッカーの増加する数に傷つきやすかったがあった。 最後に、2月にcybersecurityの頂上の2015年はスタンフォード大学で握った、Obama大統領は5つの米国を増強するために優先順位を発表した。 cybersecurityの脅威へのアプローチ: |
|
1. Protecting the country's critical infrastructure—our most important information systems—from cyber-threats. |
1. 重大な国を保護するcyber脅威システムからの下部組織私達の重要な情報。 |
|
2. Improving the country’s ability to identify and report cyber-incidents so that we can respond in a timely manner. |
2. 私達が適時に答えてもいいようにcyber事件を識別し、報告する国の機能を改善する。 |
|
3. Engaging with international partners to promote internet freedom and build support for an open, interoperable, secure, and reliable cyberspace. |
3. インターネットの自由を促進し、相互運用可能な開いたののためのサポートを造るために国際的なパートナーと従事して、および信頼できるサイバースペースしっかり止めなさい。 |
|
4. Securing federal networks by setting clear security targets and holding agencies accountable for meeting those targets. |
4. 中央政府ネットワークを明確な保証ターゲットを置き、代理店をそれらの目標に見合うために責任がある握ることによってしっかり止める。 |
|
5. Shaping a cyber-savvy workforce and moving beyond passwords in partnership with the private sector. |
5. cyber精通した労働力を形づけ、民間部門と協力してパスワードを越えて移動。 |
|
There is clear evidence that the U.S. critical infrastructure faces a state of constant cyber-attack and a successful breach could have devastating consequences. Are critical infrastructure organizations adequately prepared to defend themselves? Do they have the right controls and oversight in place for cyber supply chain security? Are government agencies providing critical infrastructure organizations with the right programs and support? This ESG research report is intended to explore the answers to these important questions. |
米国明確な証拠がある。 重大な下部組織は一定したの状態にcyber攻撃する直面し、巧妙な違反に散々な結果があることができる。 重大な下部組織の組織は十分に彼ら自身を守るために準備されるか。 それらはcyberのサプライチェーンの保証のための右の制御そして手落ちを有するか。 政府関係機関は右のプログラムを重大な下部組織の組織に与えて、支えるか。 このESGの研究のレポートはこれらの重要な質問に答えを探検するように意図されている。 |