Whenever you visit our websites, information may be collected using cookies and similar tools to improve your user experience and to enhance the performance of the website.
Closing this message means you accept the use of cookies.

 
Executive Summary
     
    Remove Translation Translation
    Original Text

    Overview

    개관

    The cyber supply chain is defined as follows:

    cyber 공급 연쇄는 다음과 같이 정의된다:

    The entire set of key actors involved with/using cyber infrastructure: system end-users, policy makers, acquisition specialists, system integrators, network providers, and software/hardware suppliers. The organizational and process-level interactions between these constituencies are used to plan, build, manage, maintain, and defend the cyber infrastructure.”

    로 포함되거나 cyber 기반을 사용해 중요한 배우의 전체 세트: 체계 최종 사용자, 정책 입안자, 취득 전문가, 시스템 통합 사업자, 네트워크 제공자 및 소프트웨어 또는 기계설비 공급자. 이 선거 구민 사이 조직과 과정 수준 상호 작용은 cyber 기반을 계획하고, 건설하고, 처리하고, 유지하고, 방어하기 위하여 이용된다."

    While most cybersecurity incidents are attributable to online attacks, countless examples used insecure cyber supply chains, introducing new types of risks, threats, vulnerabilities, and even cyber-attacks. For example:

    대부분의 cybersecurity 사건이 온라인 공격에 기인한 동안, 무수한 보기는 위험, 위협, 취약성의 신형을 소개하는 불안한 cyber 공급 연쇄를 이용하고, cyber 공격한다 조차. 예를 들면:

    In 2008, the FBI seized $76 million of counterfeit Cisco equipment. According to an FBI presentation, the fake Cisco routers, switches, and cards were sold to the U.S. Navy, the U.S. Marine Corps., the U.S. Air Force, the U.S. Federal Aviation Administration, and even the FBI itself. One slide referred to the counterfeit Cisco equipment as a “critical infrastructure threat.”

    2008년에, FBI는 Cisco 위조 장비의 $76백만을 탈취했다. FBI 발표에 따르면, Cisco 가짜 대패, 스위치 및 카드는 미국에 판매되었다. 해군, 미국. 해병대., 미국. 공군, 미국. 연방 항공국 및 FBI 조차 자체. "긴요한 기반 위협으로 Cisco 위조 장비가 1개의 활주에 의하여 언급했다."

    Security researchers who analyzed the 2010 Stuxnet attack on Iranian nuclear facilities believe that malware used to infect programmable logic controllers (PLCs) and modify Siemens Step 7 software was likely carried into the facilities by third-party contractors working with the Iranian government. These third-party contractors were identified, attacked, and compromised and then unknowingly transported Stuxnet into the Iranian nuclear facilities, most likely through the use of USB thumb drives.

    이란 핵 시설에 Stuxnet 2010년 공격을 분석한 안전 연구원은 풀그릴 논리 관제사 (PLCs)를 감염하고 시멘스 단계 7 소프트웨어를 변경하기 위하여 이용된 malware가 이란 정부를 사용하는 제삼자 계약자에 의해 기능으로 아마 날라졌다는 것을 믿는다. 이 제삼자 계약자는 Stuxnet, 거의 확실하게 확인되고, USB 엄지 드라이브의 사용을 통해 이란 핵 시설로 공격하고, 타협하고 그 후에 무지하게 수송된.

    In 2012, the Chairman and Ranking Member of the House Intelligence Committee, Mike Rogers (R-MI) and C.A. Dutch Ruppersberger (D-MD), released a report recommending that U.S. companies avoid using telecommunications equipment manufactured by Chinese telecommunications companies Huawei and ZTE. The report highlighted U.S. critical infrastructure interconnectivity and went on to warn of the heightened threat of cyber-espionage and predatory disruption or destruction of U.S. networks if U.S-based telecommunications networks were built by companies with known ties to the Chinese state, a country known to “aggressively steal valuable trade secrets and other sensitive data from American companies.”

    2012년에, 집 정보 위원회의 의장 및 순위 일원, 마이크 Rogers (R-MI) 및 C.A. 저 미국을 추천하는 보고이라고 풀어 놓이는 네덜란드 Ruppersberger (D-MD). 회사는 중국 통신 회사 Huawei와 ZTE가 제조한 정보 통신 장비를 사용하여 피한다. 보고는 미국을 강조했다. 긴요한 기반 interconnectivity는 미국의 cyber 간첩행위의 높게 한 위협의 및 약탈하는 붕괴 또는 파괴 경고하기 위하여 계속했다. 미국 근거하는 경우에 원거리 통신망이 중국 국가에 알려진 동점을 가진 회사에 의해 건설되면 네트워크는, 알려지는 국가 "호전적으로 훔친다 미국 회사에게서 귀중한 거래 비밀 그리고 다른 민감 자료를."

    According to documents leaked by Edward Snowden, the National Security Agency (NSA) intercepted networking equipment built in the United States, added backdoors for remote access capabilities, and then shipped these devices to their recipients abroad. When the hacked networking equipment was deployed online, it was programmed to phone home to NSA-controlled servers. "In one recent case, after several months a beacon implanted through supply-chain interdiction called back to the NSA covert infrastructure," said Glenn Greenwald, a reporter at the Guardian at the time. Greenwald further quoted the leaked NSA report: "This call back provided us (i.e., NSA) with access to further exploit the device and survey the network."

    Edward Snowden에 의해 샌 문서에 따르면, 국가 안보 기관 (NSA)는 미국 의 원격 액세스 기능을 위한 추가한 backdoors에서 건축된 네트워킹 장비를 차단하고, 그들의 수령인에게 그 후에 이 장치를 해외로 발송했다. 거칠게 잘리는 네트워킹 장비는 온라인으로 배치될 때, NSA 통제되는 서버에 집으로 전화를 거는 프로그램되었다. "1개의 최근 케이스에서 몇 달 후에 NSA 은밀한 기반 등을 맞댄 불리는 공급하 사슬 금지를 통해 이식되는 기만항법보조," Glenn Greenwald, 후견인에 취재원을 당시에 말했다. 더 Greenwald는 샌 NSA 보고를 인용했다: "후에 이 외침 접근을 제공했다 장치를 더 이용하고 네트워크를 조사하기 위하여 저희에게 (i.e, NSA)."는

    The 2013 data breach at U.S. retailer Target exposed the personal and credit card data of more than 110 million consumers. Security researchers believe that this attack began with a spear phishing attack on a Target HVAC contractor, Fazio Mechanical, of Sharpsburg, PA. Cyber-attackers used an e-mail message to compromise a PC at Fazio Mechanical a few months before the attack and then downloaded password-stealing malware onto the system. The perpetrator then used legitimate Fazio credentials to log onto the Target network and ultimately carry out the attack.

    미국에 2013 자료 개척. 소매상인 표적은 110백만명의 소비자의 개인과 신용-카드 자료를 드러냈다. 안전 연구원은 이 공격이 표적 HVAC 계약자에 창 phishing 공격으로 시작되었다고, Sharpsburg, PA의, 기계 Fazio 믿는다. Cyber 공격기는 공격의 앞에 타협하기 위하여 전자 우편 메시지를 약간 달 기계 Fazio에 PC를 이용하고 그 후에 체계에 malware를 암호 훔치기 다운로드했다. 표적 네트워크에 벌채하고 궁극적으로 공격을 실행하는 범인 그 때 이용된 정당한 Fazio 신임장.

    While cyber supply chain security incidents like these threaten businesses and consumers alike, any type of cyber-attack on critical infrastructure organizations could result in massive societal disruption threatening national security. These concerns are exacerbated by numerous events such as:

    이들 같이 cyber 공급 연쇄 안전 사건이 기업과 소비자를 비슷하게 위협하는 동안, 아무 유형나의 국가 안보를 위협하는 다량 사회활동 붕괴 긴요한 기반 조직에 귀착될 수 있었다 cyber 공격한다. 이 관심사는 수많은 사건에 의해 약화된다:

    The Siberian gas pipeline explosion of 1982. In 1982, CIA agents learned of a Russian plot to steal western technologies for updating its outdated gas pipeline system. Armed with this knowledge, the CIA intervened with a covert operation. Unbeknownst to Soviet agents, software stolen in France was actually booby-trapped by the CIA and programmed to create havoc in a series of pumps, values, and turbines and increase pressure across the entire pipeline. Once installed, the malicious software caused a massive explosion. Leaked government documents referred to this event as, “the most monumental non-nuclear explosion ever seen from space,” in the summer of 1982.

    1982년의 시베리아 가스관 폭발. 1982년에, CIA 요원은 그것의 구식 가스관 체계를 새롭게 하기를 위한 서쪽 기술을 훔치는 러시아 작의의 배웠다. 이 지식으로 무장해, CIA는 비밀 공작으로 개입했다. 소련 대리인, 프랑스에서 훔친 소프트웨어에 미지 실제로 CIA에 의해 부비트랩에 걸리게 하고 전체 파이프라인의 맞은편에 펌프의 연속으로 파괴를, 가치 및 터빈 및 증가 압력 창조하는 프로그램되었다. 일단 설치해, 악의 있는 소프트웨어는 다량 폭발을 일으키는 원인이 되었다. 이 사건이 샌 정부 문서에 의하여 것과 같이, "이제까지 1982년의 여름에서 공간에서," 보인 기념비 비핵 폭발 언급했다.

    The Aurora test of 2007. In 2007, Idaho National Labs ran an experiment called Aurora. The experiment simulated a cyber-attack and used a computer program to rapidly open and close a diesel generator’s circuit breakers so they were out-of-phase from the rest of the electric grid. In a now famous video, this remote attack caused a 2.25 megawatt diesel generator to bounce, shake, smoke, and eventually blow up. The entire process took less than three minutes, but researchers believe that a true cyber-attack could have destroyed the generator in less time. This experiment proved that a knowledgeable cyber-adversary could cause massive disruptions to the U.S. power grid. Furthermore, a diesel generator like the one destroyed in this experiment could take months to build, ship, and replace, meaning that a cyber-attack like Aurora could have long-term national security implications.

    2007년의 오로라 시험. 2007년에, 아이다호 국립 연구소는 Aurora이라고 칭한 실험을 달렸다. 실험은 cyber 공격하고 급속하게 이용하고 컴퓨터 프로그램을 개폐한다 디젤 발전기의 회로 차단기를 가상했다 그래서 전기 격자의 나머지에서 out-of-phase 이었다. 지금 고명한 영상에서는, 튀고, 동요하고, 연기가 나고, 최후에 부풀리기 위하여 2.25 메가와트 디젤 엔진 발전기가 이 먼 공격에 의하여 원인이 되었다. 전과정은 3 분 미만 걸렸다, 그러나 진실한 것 더 적은 시간에 있는 발전기를 파괴할 수 있었다고 cyber 공격한ㄴ다고 연구원은 믿는다. 이 실험은 지식이 있는 cyber 상대가 미국에 대규모 분열을 일으키는 원인이 될 수 있었다는 것을 증명을. 파워 그리드. 게다가, 이 실험에서 파괴된 것 같이 디젤 엔진 발전기는 오로라 같이 cyber 공격하십시오 의미하는 구조에 달을, 발송하기 위하여, 대체하는 것에는 걸리골 장기 국가 안보 연루가 있을 수 있었다.

    The cyber-attacks on Estonia in 2007. In 2007, the Estonian government removed a Soviet-era statue, the Bronze Soldier of Tallinn, from the city. This action was taken as an insult by Russian nationals within Estonia and some members of the Russian cybersecurity community within and outside the government. In April 2007, the small Baltic nation experienced a wave of devastating distributed denial-of-service (DDOS) attacks that disrupted the services of the Estonian banks, broadcasters, ministries, newspapers, and parliament. The Estonian attacks are sometimes referred to as the first documented acts of cyberwar.

    2007년에 에스토니아에 cyber 공격한다. 2007년에, 에스토니아 정부는 도시에서 소련 시대 동상, Tallinn의 청동색 군인을, 제거했다. 이 조치는 에스토니아 내의 러시아 전국 대회 및 정부 내의 그리고 이상으로 러시아 cybersecurity 지역 사회의 몇몇 일원에 의해 모욕으로 취했다. 2007년 4월에서는, 작은 발트 해 국가는 에스토니아 은행, 방송사, 내각, 신문 및 의회의 서비스를 혼란시킨 분배된 부정 의 서비스 (DDOS) 공격 유린의 파를 경험했다. 에스토니아 공격은 컴퓨터 전쟁의 첫째로 문서화된 행위로 때때로 불린다.

    The cyber-theft of the F-35 Joint Strike Fighter and other military secrets. In 2015, NSA documents leaked by former contractor, Edward Snowden, revealed that cyber-attackers in China obtained more than 50 terabytes of data from U.S. defense contractors and government networks. This data included detailed plans about the F-35 Joint Strike Fighter’s stealth radar and engine. By learning about these and other design points, Chinese defense companies were able to include similar designs and technologies in China’s new stealth jet, the J-20. The secret also could allow Chinese air defenses to target the F-35 in a future conflict.

    F-35 합동 타격 전투기 및 다른 군 비밀의 cyber 도둑질. 2015년에, NSA 문서는 이전 계약자, Edward Snowden에 의하여 중국에 있는 cyber 공격기가 미국에서 자료의 이상의 50 테라바이트를 얻었다는 것을, 계시했다 샜다. 방위 청부업자와 정부 네트워크. 이 자료는 F-35 합동 타격 전투기의 비밀 레이다 및 엔진에 관하여 상세한 계획을 포함했다. 이들과 다른 사람에 대해 배워서 디자인 점은, 중국 방위 회사 유사한 디자인을 포함할 수 있고 중국의 새로운 비밀에 있는 기술은, J-20 분출한다. 비밀은 또한 중국 방공이 미래 충돌에 있는 F-35를 표적으로 하는 것을 허용할 수 있었다.

    The potential for a devastating cyber-attack on U.S. critical infrastructure has had Washington’s attention for a number of years. In 1998, Deputy Defense Secretary John Hamre cautioned the U.S. Congress about critical infrastructure protection (CIP) by warning of a potential “cyber Pearl Harbor.” Hamre stated that a devastating cyber-attack “… is not going to be against Navy ships sitting in a Navy shipyard. It is going to be against commercial infrastructure.”

    통렬한 것을 위한 잠재력은 미국에 cyber 공격한다. 긴요한 기반에는 워싱톤의 주의가 수년간 있었다. 1998년에, 죤 Hamre 대리인 국방부 장관은 미국을 경고했다. 잠재적인 "cyber 진주만의 경고에 의하여 긴요한 기반 보호 (CIP)에 관하여 의회." Hamre는 통렬한 것 "… 해군 조선소에서 앉는 해군 함정에 대하여 있기 위하여 려고 하고 있지 않다는 것을 cyber 공격한ㄴ다는 것을 주장했다. 그것은 상업적인 기반에 대하여 있기 위하여 려고 하고 있다."

    After taking office, President Obama stated:

    취임한 후에, Obama 진술되는 대통령:

    “From now on, our digital infrastructure, the networks and computers we depend on every day will be treated as they should be; as a strategic national asset. Protecting this infrastructure will be a national security priority. We will ensure that these networks are secure, trustworthy, and resilient. We will deter, prevent, detect, and defend against attacks and recover quickly from any disruptions or damage.”

    "이어야 한 대로 이제부터, 우리가 위에 매일에 의존하는 우리의 디지털 기반, 네트워크 및 컴퓨터는 대우될 것이다; 전략 국가 자산으로. 이 기반을 보호하는 것은 국가 안보 우선권일 것이다. 우리는 이 네트워크가 안전하고, 확실하다는 것을, 다는 것을 보증할 것이다. 우리는 공격에 대하여 제지하고, 막고, 검출하고, 방어하고 어떤 붕괴 또는 손상든지에서 빨리 재기할 것이다."

    In 2012, defense secretary, Leon Panetta, echoed these earlier warnings, stating that the U.S. faced a potential “cyber Pearl Harbor,” and was vulnerable to an increasing number of foreign hackers who could disrupt U.S.-based power grids, transportation networks, financial systems, and the government itself. Finally, in February 2015 at a cybersecurity summit held at Stanford University, President Obama announced five priorities to strengthen the U.S. approach to cybersecurity threats:

    2012년에, Leon Panetta, 국방부 장관은 주장하는 이 조기 경보를 미국 반향했다. 잠재적인 "cyber 진주만을," 직면하고 미국 - 근거한 파워 그리드, 수송 네트워크, 재정적인 체계 및 정부 자체를 혼란시킬 수 있던 외국 해커의 증가 수에 비난받기 쉬웠다. 마지막으로, 스탠포드 대학에 붙든 cybersecurity 정상에 2015년 2월에서, Obama 대통령은 5개의 미국을 강화하기 위하여 우선권을 알렸다. cybersecurity 위협에 접근:

    1. Protecting the country's critical infrastructure—our most important information systems—from cyber-threats.

    1. 긴요한 국가 보호 cyber 위협체계 에서 기반 우리의 중요한 정보.

    2. Improving the country’s ability to identify and report cyber-incidents so that we can respond in a timely manner.

    2. 우리가 적당한 때에 반응해서 좋다 그래야 cyber 사건을 확인하고 보고하는 국가의 기능 개량.

    3. Engaging with international partners to promote internet freedom and build support for an open, interoperable, secure, and reliable cyberspace.

    3. 인터넷 자유를 승진시키고 공동이용이 가능한 열려있는 것을 위한 지지를 확립하기 위하여, 국제적인 협동자와 접전해서, 그리고 견실한 사이버스페이스 장악하십시오.

    4. Securing federal networks by setting clear security targets and holding agencies accountable for meeting those targets.

    4. 연방 네트워크 명확한 안전 표적을 놓고 기관을 그 목표 도달에 대하여 책임이 있는 붙들어서 장악.

    5. Shaping a cyber-savvy workforce and moving beyond passwords in partnership with the private sector.

    5. cyber 잘 아는 노동 인구를 형성하고 민간 부분과 동업하여 암호 저쪽에 움직이기.

    There is clear evidence that the U.S. critical infrastructure faces a state of constant cyber-attack and a successful breach could have devastating consequences. Are critical infrastructure organizations adequately prepared to defend themselves? Do they have the right controls and oversight in place for cyber supply chain security? Are government agencies providing critical infrastructure organizations with the right programs and support? This ESG research report is intended to explore the answers to these important questions.

    미국 명확한 기록이 있다. 긴요한 기반은 일정한의 국가를 cyber 공격한다 직면하고 성공적인 개척에는 엄청난 결과가 있을 수 있었다. 긴요한 기반 조직은 충분하게 방어하기 위하여 준비되는가? 그들에는 cyber 공급 연쇄 안전을 위해 적당한 통제 및 감독이 그 자리에 있는가? 행정국은 적당한 프로그램을 긴요한 기반 조직을 제공하고 그리고 지원하는가? 이 ESG 연구 보고는 이 중요한 질문에 응답을 탐구하기 위하여 예정된다.

    Report Conclusions

    보고 결론

    ESG surveyed 303 IT and cybersecurity professionals representing large midmarket (500 to 999 employees) organizations and enterprise-class (1,000 employees or more) organizations in the United States within 16 vertical industries designated as critical infrastructure by the U.S. Department of Homeland Security (DHS).

    ESG는 미국에 의해 긴요한 기반으로 지정된 16의 수직 기업 내의 미국에 있는 큰 midmarket (500에서 999 직원) 조직 그리고 기업 종류 (1,000명의 직원 또는 더 많은 것) 조직을 대표해 303명의 그것과 cybersecurity 전문가를 조사했다. 국토 안보 (DHS)의 부.

    The survey focused on critical infrastructure organizations’ current cybersecurity processes in general and cyber supply chain security awareness and safeguards in particular. Based on the data collected, ESG concludes:

    조사는 긴요한 기반 조직에' 현재 cybersecurity 과정 및 cyber 공급 연쇄 안전 의식 및 보호 특히 일반적으로 집중했다. 모은 자료에 기초를 두어, ESG는 종결한다:

    The threat landscape has grown more dangerous for critical infrastructure organizations. Nearly one-third (31%) of critical infrastructure organizations believe that the threat landscape (i.e., cyber-adversaries, cyber-attacks, exploits, malware, etc.) is much worse today than it was two years ago, while another 36% say that the threat landscape has grown somewhat worse in the past two years. Alarmingly, only 37% of critical infrastructure organizations rate their cybersecurity policies, processes, and technology safeguards as excellent and capable of addressing almost all of today’s threats. The remaining 63% aren’t nearly as confident.

    위협 조경은 긴요한 기반 조직을 위해 더 위험하게 성장했다. 긴요한 기반 조직의 거의 1/3는 (31%) 위협 조경이 과거 2 년에서 약간 더 나쁘게 성장한 또 다른 36% 할말 동안에 위협 조경이 전에 (i.e, cyber 상대는, 이용, malware, 등등 cyber 공격한다) 그것 보다는 매우 더 나쁜 오늘이었다는 것을 2 년다는 것을 믿는다. 놀랄 만큼, 긴요한 기반 조직의 단지 37%는 오늘 위협 거의 전부 제시 우수하고 그리고 가능하다 것과 같이 그들의 cybersecurity 정책, 과정 및 기술 보호를 평가한다. 잔여 63%는 자부하는 것과 같이 거의 이지 않는다.

    Critical infrastructure organizations are under attack. A majority (68%) of critical infrastructure organizations have experienced various cybersecurity incidents over the past two years, including compromises of an employee system, data breaches due to lost or stolen equipment, insider attacks, and breaches of physical security. Over one-third (36%) of these security incidents resulted in the disruption of a business process and/or critical operations. The ramification is clear: Cyber-attacks are already impacting critical infrastructure operations and could certainly disrupt services.

    긴요한 기반 조직은 공격하 있다. 긴요한 기반 조직의 대다수 (68%)는 물리적 보호의 분실된 훔친 장비, 내부자 공격 및 개척 때문에 직원 체계의 타협을 포함하여 과거 2 년 내내 각종 cybersecurity 사건, 자료 개척을 경험했다. 이 안전 사건의 1/3 이상 (36%) 사업 과정 및 또는 긴요한 가동의 붕괴 귀착되었다. 파생효과는 명확하다: 이미 충격을 가하고 긴요한 기반 가동에 그리고 확실하게 서비스를 혼란시킬 수 있었다 Cyber 공격한다.

    Cyber supply chain security is growing more difficult. A majority (60%) of critical infrastructure organizations believe that cyber supply chain security is much more difficult or somewhat more difficult than it was two years ago. Of those that believe that cyber supply chain security has become more difficult, 44% equate this change to new types of IT initiatives that increased the cyber supply chain security attack surface, 39% say that they have more IT suppliers than two years ago, and 36% have consolidated IT and operational technology (OT) security, increasing cyber supply chain complexity.

    Cyber 공급 연쇄 안전은 더 곤란하게 성장하고 있다. cyber 공급 연쇄 안전이 훨씬 더 곤란하고 또는 약간 더 곤란하다고 긴요한 기반 조직의 대다수 (60%)는 그것이었다 2 년 믿는다 전에. cyber 공급 연쇄 안전은 더 곤란하게 되었다고 믿는 그들의, 44%는 전에 2 년 이상 그것 공급자 있다 그것의 신형에 이 변화를 cyber 공급 연쇄 안전 공격 표면을 증가한 이니셔티브, 39% 할말 동일시한다, 36%는 cyber 공급 연쇄 복합성을 증가하는 그것과 조작상 기술 (OT) 안전을 결합하고.

    IT vendor cybersecurity audits remain haphazard. While more critical infrastructure organizations audit their IT supplier’s security processes and metrics today than five years ago, audit processes remain somewhat ad-hoc. For example, only 14% of the critical infrastructure organizations surveyed audit the cybersecurity practices of all strategic IT infrastructure vendors, use standard processes for these IT vendor audits, and use the results of these audits as formal guidelines for IT procurement decisions. In spite of progress in IT security auditing over the past five years, many critical infrastructure organizations still treat IT vendor security as a check-box exercise rather than a serious risk management requirement.

    그것은 납품업자 cybersecurity 감사 무작정에 남아 있다. 전에 5 년 보다는 더 긴요한 기반 조직이 그들의 그것을 공급자의 안전 과정과 측정 규정 오늘 감사하는 동안, 감사 과정은 약간 특별하게 남아 있다. 예를 들면, 조사된 긴요한 기반 조직의 단지 14%는 모든 전략의 cybersecurity 연습을 그것 기반 납품업자 감사하고, 이들을 위해 표준 과정을 그것 납품업자 감사 사용하고, 형식적인 지침서로 그것을 위해 이 감사의 결과를 조달 결정 사용한다. 그것에 있는 진도에도 불구하고 과거 5 년 내내 감사하는 안전은 체크박스 운동으로, 많은 긴요한 기반 조직 아직도 그것 납품업자 안전 보다는 오히려 심각한 위험 관리 필요조건을 대우한다.

    Critical infrastructure organizations continue to employ risky IT technologies. As evidence of continuing cyber supply chain security risk, 58% of critical infrastructure organizations admit that they use products or services from IT vendors that have product and/or internal process security issues that are cause for concern.

    긴요한 기반 조직은 기술 위험한 그것을 채택하는 것을 계속한다. cyber 공급 연쇄 안보 위협 계속의 기록으로, 긴요한 기반 조직의 58%는 그것에서 제품 또는 서비스를 우려 요인인 내부 가공 안보 문제 및 또는 제품 가 있는 납품업자는 사용한ㄴ다는 것을 승인한다.

    Third-party IT relationships exacerbate cyber supply chain risk. Critical infrastructure services often rely on a vast network of connected organizations. Fifty eight percent of the organizations surveyed claim that they use IT services or business applications provided by third parties, while 48% provide IT service or business application access to third-party business partners. Of those critical infrastructure organizations with these types of external IT relationships, 38% provide IT access to more than 100 third-party organizations, while 27% consume IT services and business applications from more than 100 third parties. Most critical infrastructure organizations protect these third-party IT relationships with security controls and some oversight, but these safeguards are not nearly as formal or process-oriented as they should be.

    제삼자 그것은 관계 cyber 공급 연쇄 모험을 약화시킨다. 긴요한 기반 서비스는 연결한 조직의 광막한 네트워크를 수시로 의지한다. 48%는 그것을 제삼자 동업자에게 서비스 또는 영업 신청 접근 제공하는 그러나, 그것을 서비스한다 사용한다 조직의 58% 요구 또는 제3자에 의해 제공된 영업 신청을 조사했다. 외부의 이 유형을 가진 그 긴요한 기반 조직의 그것은 관계, 38% 100 제삼자 조직이 100 제3자에서, 27%는 그것을 소모하는 그러나와 영업 신청 서비스한다 그것을 매우에 접근 제공한다. 대부분의 긴요한 기반 조직은 이 제삼자를 그것 보안 조정과 어떤 감독을 가진 관계 보호한다, 그러나 이어야 한다 이 보호는 거의 만큼 형식 적이고 또는 과정 동쪽으로 향하게 하는 이지 않는다.

    Software security remains a major concern. One-third of critical infrastructure organizations have experienced some type of security incident directly related to the compromise of internally developed software. This is particularly concerning since critical infrastructure services depend upon specialized processes often requiring homegrown software. To address software vulnerabilities, many critical infrastructure organizations have put secure software development processes in place, but only half of these firms implement these methodologies across the entire enterprise.

    소프트웨어 안전은 중요한 관심사에 남아 있다. 긴요한 기반 조직의 1/3는 직접적으로 내부에 개발한 소프트웨어의 타협과 관련있는 어떤 종류의 안전 사건을 경험했다. 이것은 특히 긴요한 기반 서비스가 수시로 본토 소프트웨어를 요구하기 전문화하기 과정에게 달려 있기 때문에 염려하고 있다. 소프트웨어 취약성을 대처하기 위하여는, 많은 긴요한 기반 조직은 안전한 소프트웨어 개발 과정을 그 자리에 뒀다, 그러나 이 상사의 단지 반은 전체 기업의 맞은편에 이 방법론을 실행한다.

    Critical infrastructure organizations want more help from Washington. Only 22% of cybersecurity professionals working at critical infrastructure organizations believe that the U.S. government’s cybersecurity strategy is extremely clear and thorough, while the remaining 88% are somewhat confused by Washington. Additionally, 45% believe that the U.S. government should be significantly more active with cybersecurity strategies and defenses. Those on the critical infrastructure cybersecurity front lines would like Washington to create better methods for sharing security intelligence with the private sector, black list IT vendors with poor cybersecurity track records, and limit government IT purchases to those vendors with demonstrably superior product and process security.

    긴요한 기반 조직은 워싱톤에서 도움을 더 원한다. 긴요한 기반 조직에 일해 cybersecurity 전문가의 단지 22%는 미국 믿는다. 정부의 cybersecurity 전략은 잔여 88%는 워싱톤에 의해 약간 혼동되는 그러나, 극단적으로 명확하고 철저하다. 게다가, 45%는 미국 믿는다. 정부는 cybersecurity 전략과 방위를 가진 active 상당히 더 이어야 한다. 긴요한 기반 cybersecurity 최전선에 그들은 빈약한 cybersecurity 실적으로 명백하게 우량한 제품과 과정 안전에 그 납품업자에게 구매하는 민간 부분, 까만 명부 그것 납품업자 창조할 것을 워싱톤이, 및 한계 정부로 보안정보를 공유하기를 위한 더 나은 방법을 좋아할 것입니다.
    Remove Translation
    Next Chapter
    To the Top