ESG Interactive Research Portal

ESG Research Report: Cyber Supply Chain Security Revisited Sep 14, 2015

Attachments

Executive Summary

Chapter Outline Show

Remove Translation Translation

Original Text

Overview

Vista geral

The cyber supply chain is defined as follows:

A corrente de fonte do cyber é definida como segue:

The entire set of key actors involved with/using cyber infrastructure: system end-users, policy makers, acquisition specialists, system integrators, network providers, and software/hardware suppliers. The organizational and process-level interactions between these constituencies are used to plan, build, manage, maintain, and defend the cyber infrastructure.”

O jogo inteiro atores chaves de com envolvido/que usa o infrastructure do cyber: end-users do sistema, fabricantes de política, specialists da aquisição, integradores do sistema, fornecedores de rede, e fornecedores do software/ferragem. As interações organizational e do processo-nível entre estes círculos eleitorais são usadas planear, construir, controlar, manter, e defender o infrastructure do cyber.”

While most cybersecurity incidents are attributable to online attacks, countless examples used insecure cyber supply chains, introducing new types of risks, threats, vulnerabilities, and even cyber-attacks. For example:

Quando a maioria de incidents do cybersecurity forem attributable aos ataques em linha, os exemplos incontáveis usaram as correntes de fonte insecure do cyber, introduzindo tipos novos de riscos, ameaças, vulnerabilities, e cyber-atacam-nas mesmo. Por exemplo:

In 2008, the FBI seized $76 million of counterfeit Cisco equipment. According to an FBI presentation, the fake Cisco routers, switches, and cards were sold to the U.S. Navy, the U.S. Marine Corps., the U.S. Air Force, the U.S. Federal Aviation Administration, and even the FBI itself. One slide referred to the counterfeit Cisco equipment as a “critical infrastructure threat.”

Em 2008, o FBI apreendeu $76 milhão do equipamento forjado de Cisco. De acordo com uma apresentação de FBI, os routers, os interruptores, e os cartões falsificados de Cisco foram vendidos aos ESTADOS UNIDOS. Marinha, os ESTADOS UNIDOS. Corpo de fuzileiros navais., os ESTADOS UNIDOS. Força aérea, os ESTADOS UNIDOS. Administração federal da aviação, e mesmo o FBI próprio. Uma corrediça consultou ao equipamento forjado de Cisco como “uma ameaça crítica do infrastructure.”

Security researchers who analyzed the 2010 Stuxnet attack on Iranian nuclear facilities believe that malware used to infect programmable logic controllers (PLCs) and modify Siemens Step 7 software was likely carried into the facilities by third-party contractors working with the Iranian government. These third-party contractors were identified, attacked, and compromised and then unknowingly transported Stuxnet into the Iranian nuclear facilities, most likely through the use of USB thumb drives.

Os investigadores da segurança que analisaram o ataque 2010 de Stuxnet em facilidades nucleares Iranian acreditam que o malware usado infect controladores programáveis da lógica (PLCs) e modificar o software de etapa 7 de Siemens estêve carregado provavelmente nas facilidades pelos contratantes third-party que trabalham com o governo Iranian. Estes contratantes third-party foram identificados, Stuxnet atacams, e comprometidos e então unknowingly transportados nas facilidades nucleares Iranian, muito provável com o uso de movimentações do polegar do USB.

In 2012, the Chairman and Ranking Member of the House Intelligence Committee, Mike Rogers (R-MI) and C.A. Dutch Ruppersberger (D-MD), released a report recommending that U.S. companies avoid using telecommunications equipment manufactured by Chinese telecommunications companies Huawei and ZTE. The report highlighted U.S. critical infrastructure interconnectivity and went on to warn of the heightened threat of cyber-espionage and predatory disruption or destruction of U.S. networks if U.S-based telecommunications networks were built by companies with known ties to the Chinese state, a country known to “aggressively steal valuable trade secrets and other sensitive data from American companies.”

Em 2012, o presidente e o membro do Ranking do comitê da inteligência da casa, o microfone Rogers (R-MI) e o C.A. Ruppersberger holandês (D-MD), liberado um relatório que recomenda esses ESTADOS UNIDOS. as companhias evitam de usar o equipamento das telecomunicações manufaturado pelas companhias chinesas Huawei e ZTE das telecomunicações. O relatório destacou ESTADOS UNIDOS. o interconnectivity crítico do infrastructure e foi sobre advertir da ameaça heightened do cyber-espionage e rompimento ou destruição predatory de ESTADOS UNIDOS. as redes se as redes de telecomunicações de U.S-based forem construídas por companhias com os laços sabidos ao estado chinês, um país conhecido “roubam aggressively os segredos de comércio do artigo de valor e outros dados sensíveis das companhias americanas.”

According to documents leaked by Edward Snowden, the National Security Agency (NSA) intercepted networking equipment built in the United States, added backdoors for remote access capabilities, and then shipped these devices to their recipients abroad. When the hacked networking equipment was deployed online, it was programmed to phone home to NSA-controlled servers. "In one recent case, after several months a beacon implanted through supply-chain interdiction called back to the NSA covert infrastructure," said Glenn Greenwald, a reporter at the Guardian at the time. Greenwald further quoted the leaked NSA report: "This call back provided us (i.e., NSA) with access to further exploit the device and survey the network."

De acordo com os originais escapados por Edward Snowden, a agência da segurança nacional (NSA) interceptou o equipamento do trabalho em rede construído nos Estados Unidos, backdoors adicionados para potencialidades de acesso remoto, e enviou então estes dispositivos a seus receptores no exterior. Quando o equipamento cortado do trabalho em rede foi desdobrado em linha, foi programado phone para casa aos usuários NSA-controlados. “Em um caso recente, após diversos meses uma baliza implanted com o interdiction da forneç-corrente chamado para trás ao infrastructure secreto do NSA,” disse Glenn Greenwald, um repórter no Guardian naquele tempo. Greenwald mais adicional citou o relatório escapado do NSA: “Esta chamada para trás forneceu-nos (isto é, o NSA) com o acesso para explorar mais mais o dispositivo e para examinar a rede.”

The 2013 data breach at U.S. retailer Target exposed the personal and credit card data of more than 110 million consumers. Security researchers believe that this attack began with a spear phishing attack on a Target HVAC contractor, Fazio Mechanical, of Sharpsburg, PA. Cyber-attackers used an e-mail message to compromise a PC at Fazio Mechanical a few months before the attack and then downloaded password-stealing malware onto the system. The perpetrator then used legitimate Fazio credentials to log onto the Target network and ultimately carry out the attack.

A ruptura de 2013 dados em ESTADOS UNIDOS. o alvo do varejista expôs os dados pessoal e de crédito do cartão de mais de 110 milhão consumidores. Os investigadores da segurança acreditam que este ataque começou com um ataque phishing da lança em um contratante da ATAC do alvo, Fazio mecânico, de Sharpsburg, PA. os Cyber-atacantes usaram uma mensagem do E-mail comprometer um PC em Fazio mecânico alguns meses antes do ataque e downloaded então senha-roubar o malware no sistema. Os credentials legitimate então usados de Fazio do perpetrator a registrar na rede do alvo e para realizar finalmente o ataque.

While cyber supply chain security incidents like these threaten businesses and consumers alike, any type of cyber-attack on critical infrastructure organizations could result in massive societal disruption threatening national security. These concerns are exacerbated by numerous events such as:

Quando os incidents da segurança da corrente de fonte do cyber como estes ameaçarem negócios e consumidores igualmente, qualquer tipo de cyber-ataca em organizações críticas do infrastructure poderia resultar no rompimento societal maciço que ameaça a segurança nacional. Estes interesses exacerbated por eventos numerosos como:

The Siberian gas pipeline explosion of 1982. In 1982, CIA agents learned of a Russian plot to steal western technologies for updating its outdated gas pipeline system. Armed with this knowledge, the CIA intervened with a covert operation. Unbeknownst to Soviet agents, software stolen in France was actually booby-trapped by the CIA and programmed to create havoc in a series of pumps, values, and turbines and increase pressure across the entire pipeline. Once installed, the malicious software caused a massive explosion. Leaked government documents referred to this event as, “the most monumental non-nuclear explosion ever seen from space,” in the summer of 1982.

A explosão Siberian do encanamento do gás de 1982. Em 1982, os agentes do CIA aprenderam de um lote Russian roubar tecnologias ocidentais para atualizar seu sistema outdated do encanamento do gás. Armado com este conhecimento, o CIA interveio com uma operação secreta. Unbeknownst aos agentes soviéticos, software roubado em France booby-trapped pelo CIA e foi programado realmente para criar o havoc em uma série das bombas, os valores, e as turbinas e a pressão do aumento através do encanamento inteiro. Uma vez que instalado, o software malicioso causou uma explosão maciça. Os originais escapados do governo consultaram a este evento como, “a explosão non-nuclear a mais monumental vista sempre do espaço,” no verão de 1982.

The Aurora test of 2007. In 2007, Idaho National Labs ran an experiment called Aurora. The experiment simulated a cyber-attack and used a computer program to rapidly open and close a diesel generator’s circuit breakers so they were out-of-phase from the rest of the electric grid. In a now famous video, this remote attack caused a 2.25 megawatt diesel generator to bounce, shake, smoke, and eventually blow up. The entire process took less than three minutes, but researchers believe that a true cyber-attack could have destroyed the generator in less time. This experiment proved that a knowledgeable cyber-adversary could cause massive disruptions to the U.S. power grid. Furthermore, a diesel generator like the one destroyed in this experiment could take months to build, ship, and replace, meaning that a cyber-attack like Aurora could have long-term national security implications.

O teste do Aurora de 2007. Em 2007, os laboratórios nacionais de Idaho funcionaram uma experiência chamada Aurora. A experiência simulou cyber-ataca e usou um programa de computador abrir ràpidamente e fecha disjuntores de circuito de um gerador do diesel assim que eram out-of-phase do descanso da grade elétrica. Em um vídeo agora famoso, este ataque remoto fêz com que um gerador diesel de 2.25 megawatt saltasse, agitasse, fumasse, e fundisse eventualmente - acima. O processo inteiro fêz exame de menos de três minutos, mas os investigadores acreditam que um verdadeiro cyber-ataca poderia ter destruído o gerador em menos tempo. Esta experiência provou que um cyber-adversário knowledgeable poderia causar rompimentos maciços aos ESTADOS UNIDOS. grade do poder. Além disso, um gerador diesel como esse destruído nesta experiência poderia fazer exame de meses à configuração, para enviar, e substituir, significando que cyber-ataque como o Aurora poderia ter implicações a longo prazo da segurança nacional.

The cyber-attacks on Estonia in 2007. In 2007, the Estonian government removed a Soviet-era statue, the Bronze Soldier of Tallinn, from the city. This action was taken as an insult by Russian nationals within Estonia and some members of the Russian cybersecurity community within and outside the government. In April 2007, the small Baltic nation experienced a wave of devastating distributed denial-of-service (DDOS) attacks that disrupted the services of the Estonian banks, broadcasters, ministries, newspapers, and parliament. The Estonian attacks are sometimes referred to as the first documented acts of cyberwar.

Cyber-ataca em Estónia em 2007. Em 2007, o governo Estonian removeu uma estátua da Soviete-era, soldado de bronze de Tallinn, da cidade. Esta ação foi feita exame como um insulto pelos nationals Russian dentro de Estónia e pelos alguns membros da comunidade Russian do cybersecurity dentro e fora do governo. Em abril 2007, a nação Báltico pequena experimentou uma onda de devastating os ataques distribuídos do negação--serviço (DDOS) que disrupted os serviços dos bancos, dos radiodifusores, dos ministries, dos jornais, e do parliament Estonian. Os ataques Estonian são consultados às vezes a como os atos primeiramente documentados do cyberwar.

The cyber-theft of the F-35 Joint Strike Fighter and other military secrets. In 2015, NSA documents leaked by former contractor, Edward Snowden, revealed that cyber-attackers in China obtained more than 50 terabytes of data from U.S. defense contractors and government networks. This data included detailed plans about the F-35 Joint Strike Fighter’s stealth radar and engine. By learning about these and other design points, Chinese defense companies were able to include similar designs and technologies in China’s new stealth jet, the J-20. The secret also could allow Chinese air defenses to target the F-35 in a future conflict.

O cyber-roubo do lutador da batida da junção F-35 e de outros segredos militares. Em 2015, os originais do NSA escaparam pelo contratante anterior, Edward Snowden, revelaram que os cyber-atacantes em China obtiveram mais de 50 Terabyte dos dados de ESTADOS UNIDOS. contratantes de defesa e redes do governo. Estes dados incluíram plantas detalhadas sobre o radar e o motor do stealth do lutador da batida da junção F-35. Aprendendo sobre estes e outros os pontos do projeto, companhias chinesas da defesa podiam incluir projetos similares e as tecnologias no stealth novo de China jorram, o J-20. O segredo também podia permitir que os defesas aérea chineses alvejem o F-35 em um conflito futuro.

The potential for a devastating cyber-attack on U.S. critical infrastructure has had Washington’s attention for a number of years. In 1998, Deputy Defense Secretary John Hamre cautioned the U.S. Congress about critical infrastructure protection (CIP) by warning of a potential “cyber Pearl Harbor.” Hamre stated that a devastating cyber-attack “… is not going to be against Navy ships sitting in a Navy shipyard. It is going to be against commercial infrastructure.”

O potencial para um devastating cyber-ataca em ESTADOS UNIDOS. o infrastructure crítico teve a atenção de Washington por um número de anos. Em 1998, o deputado Defesa Secretária John Hamre advertiu os ESTADOS UNIDOS. Congress sobre a proteção crítica do infrastructure (CIP) pelo aviso do “de um porto de pérola potencial cyber.” Hamre indicou que um devastating cyber-ataca “… não está indo estar de encontro aos navios da marinha que se sentam em um shipyard da marinha. Está indo estar de encontro ao infrastructure comercial.”

After taking office, President Obama stated:

Após ter feito exame do escritório, presidente Obama indicado:

“From now on, our digital infrastructure, the networks and computers we depend on every day will be treated as they should be; as a strategic national asset. Protecting this infrastructure will be a national security priority. We will ensure that these networks are secure, trustworthy, and resilient. We will deter, prevent, detect, and defend against attacks and recover quickly from any disruptions or damage.”

“De agora sobre, nosso infrastructure digital, as redes e os computadores que nós dependemos de diário serão tratados como deve ser; como um recurso nacional estratégico. Proteger este infrastructure será uma prioridade da segurança nacional. Nós assegurar-nos-emos de que estas redes estejam seguras, trustworthy, e resilient. Nós deter, impediremos, detectaremos, e defenderemos de encontro aos ataques e recuperaremos rapidamente de todos os rompimentos ou danos.”

In 2012, defense secretary, Leon Panetta, echoed these earlier warnings, stating that the U.S. faced a potential “cyber Pearl Harbor,” and was vulnerable to an increasing number of foreign hackers who could disrupt U.S.-based power grids, transportation networks, financial systems, and the government itself. Finally, in February 2015 at a cybersecurity summit held at Stanford University, President Obama announced five priorities to strengthen the U.S. approach to cybersecurity threats:

Em 2012, a secretária da defesa, Leon Panetta, ecoou estes avisos mais adiantados, indicando que os ESTADOS UNIDOS. enfrentou do “um porto de pérola potencial cyber,” e foi vulnerável a um número crescente dos hackers extrangeiros que poderiam disrupt ESTADOS UNIDOS - grades baseadas do poder, redes do transporte, sistemas financeiros, e o governo próprio. Finalmente, em fevereiro 2015 em um summit do cybersecurity prenderam na universidade de Stanford, o presidente Obama anunciou cinco prioridades para strengthen os ESTADOS UNIDOS. aproximação às ameaças do cybersecurity:

1. Protecting the country's critical infrastructure—our most important information systems—from cyber-threats.

1. Protegendo o país crítico infrastructure-nossa informação mais importante sistema-das cyber-ameaças.

2. Improving the country’s ability to identify and report cyber-incidents so that we can respond in a timely manner.

2. Melhorando a abilidade do país de identificar e relatar cyber-incidents de modo que nós possamos responder em uma maneira oportuna.

3. Engaging with international partners to promote internet freedom and build support for an open, interoperable, secure, and reliable cyberspace.

3. Acoplando com sócios internacionais para promover a liberdade do Internet e para construir a sustentação para um aberto, interoperable, fixe, e Cyberspace de confiança.

4. Securing federal networks by setting clear security targets and holding agencies accountable for meeting those targets.

4. Fixando redes federais ajustando alvos desobstruídos da segurança e mantendo agências accountable para encontrar-se com aqueles alvos.

5. Shaping a cyber-savvy workforce and moving beyond passwords in partnership with the private sector.

5. Dando forma a um workforce cyber-savvy e mover-se além das senhas na parceria com o setor confidencial.

There is clear evidence that the U.S. critical infrastructure faces a state of constant cyber-attack and a successful breach could have devastating consequences. Are critical infrastructure organizations adequately prepared to defend themselves? Do they have the right controls and oversight in place for cyber supply chain security? Are government agencies providing critical infrastructure organizations with the right programs and support? This ESG research report is intended to explore the answers to these important questions.

Há a evidência desobstruída que os ESTADOS UNIDOS. o infrastructure crítico enfrenta um estado de constante cyber-ataca e uma ruptura bem sucedida poderia ter conseqüências devastating. As organizações críticas do infrastructure são preparadas adequadamente para defender-se? Têm os controles e o oversight direitos no lugar para a segurança da corrente de fonte do cyber? As agências de governo estão fornecendo organizações críticas do infrastructure com os programas direitos e suportam-nas? Este relatório da pesquisa de ESG é pretendido explorar as respostas a estas perguntas importantes.

Report Conclusions

Relate conclusões

ESG surveyed 303 IT and cybersecurity professionals representing large midmarket (500 to 999 employees) organizations and enterprise-class (1,000 employees or more) organizations in the United States within 16 vertical industries designated as critical infrastructure by the U.S. Department of Homeland Security (DHS).

ESG examinou 303 profissionais ELE e do cybersecurity que representam organizações grandes empregados do midmarket (500 a 999) e organizações da empresa-classe (1.000 empregados ou mais) nos Estados Unidos dentro de 16 indústrias verticais designadas como o infrastructure crítico pelos ESTADOS UNIDOS. Departamento da segurança do Homeland (sistema de alimentação de originais).

The survey focused on critical infrastructure organizations’ current cybersecurity processes in general and cyber supply chain security awareness and safeguards in particular. Based on the data collected, ESG concludes:

O exame focalizou processos atuais do cybersecurity nas organizações críticas do infrastructure' na consciência da segurança da corrente de fonte do general e do cyber e proteções no detalhe. Baseado nos dados coletados, ESG concli:

The threat landscape has grown more dangerous for critical infrastructure organizations. Nearly one-third (31%) of critical infrastructure organizations believe that the threat landscape (i.e., cyber-adversaries, cyber-attacks, exploits, malware, etc.) is much worse today than it was two years ago, while another 36% say that the threat landscape has grown somewhat worse in the past two years. Alarmingly, only 37% of critical infrastructure organizations rate their cybersecurity policies, processes, and technology safeguards as excellent and capable of addressing almost all of today’s threats. The remaining 63% aren’t nearly as confident.

A paisagem da ameaça cresceu mais perigosa para organizações críticas do infrastructure. Quase um terço (31%) de organizações críticas do infrastructure acreditam que a paisagem da ameaça (isto é, os cyber-adversários, cyber-atacam, façanhas, malware, etc.) é hoje muito mais mau do que ele era dois anos há, quando uma outra palavra de 36% que a paisagem da ameaça cresça um tanto mais má nos dois anos passados. Alarmingly, somente 37% de organizações críticas do infrastructure avaliam seus políticas do cybersecurity, processos, e proteções da tecnologia como excelentes e capazes de dirigir-se a quase todas as ameaças de hoje. Os 63% restantes não são quase como confiáveis.

Critical infrastructure organizations are under attack. A majority (68%) of critical infrastructure organizations have experienced various cybersecurity incidents over the past two years, including compromises of an employee system, data breaches due to lost or stolen equipment, insider attacks, and breaches of physical security. Over one-third (36%) of these security incidents resulted in the disruption of a business process and/or critical operations. The ramification is clear: Cyber-attacks are already impacting critical infrastructure operations and could certainly disrupt services.

As organizações críticas do infrastructure estão sob o ataque. Uma maioria (68%) de organizações críticas do infrastructure experimentou vários incidents do cybersecurity sobre os dois anos passados, including acordos de um sistema do empregado, as rupturas dos dados devido a equipamento perdido ou roubado, a ataques do insider, e a rupturas da segurança física. Sobre um terço (36%) destes incidents da segurança resultou no rompimento de um processo do negócio e/ou de umas operações críticas. O ramification está desobstruído: Cyber-ataca já estão impactando operações críticas do infrastructure e poderia certamente disrupt serviços.

Cyber supply chain security is growing more difficult. A majority (60%) of critical infrastructure organizations believe that cyber supply chain security is much more difficult or somewhat more difficult than it was two years ago. Of those that believe that cyber supply chain security has become more difficult, 44% equate this change to new types of IT initiatives that increased the cyber supply chain security attack surface, 39% say that they have more IT suppliers than two years ago, and 36% have consolidated IT and operational technology (OT) security, increasing cyber supply chain complexity.

A segurança da corrente de fonte de Cyber está crescendo mais difícil. Uma maioria (60%) de organizações críticas do infrastructure acredita que a segurança da corrente de fonte do cyber é muito mais difícil ou um tanto mais difícil do que ele era dois anos há. Daquelas que acreditam que a segurança da corrente de fonte do cyber se tornou mais difícil, 44% igualam esta mudança aos tipos novos dELES as iniciativas que aumentaram a superfície do ataque da segurança da corrente de fonte do cyber, palavra de 39% que têm mais ELE fornecedores do que dois anos há, e 36% consolidaram O e a segurança operacional da tecnologia (OT), aumentando a complexidade da corrente de fonte do cyber.

IT vendor cybersecurity audits remain haphazard. While more critical infrastructure organizations audit their IT supplier’s security processes and metrics today than five years ago, audit processes remain somewhat ad-hoc. For example, only 14% of the critical infrastructure organizations surveyed audit the cybersecurity practices of all strategic IT infrastructure vendors, use standard processes for these IT vendor audits, and use the results of these audits as formal guidelines for IT procurement decisions. In spite of progress in IT security auditing over the past five years, many critical infrastructure organizations still treat IT vendor security as a check-box exercise rather than a serious risk management requirement.

Exames do cybersecurity do vendedor remanesce haphazard. Quando umas organizações mais críticas do infrastructure o examinarem processos e metrics da segurança do seu fornecedor hoje do que cinco anos há, os processos do exame remanescem um tanto ad hoc. Por exemplo, somente 14% das organizações críticas do infrastructure examinadas examinam as práticas do cybersecurity de todo o estratégico ELE vendedores do infrastructure, usam processos padrão para estes ELE exames do vendedor, e usam os resultados destes exames como guidelines formais para ELES decisões da obtenção. Apesar do progresso nELA a segurança que examina sobre os cinco anos passados, muitas organizações críticas do infrastructure trata ainda A segurança do vendedor como um exercício da verific-caixa melhor que uma exigência séria da gerência de risco.

Critical infrastructure organizations continue to employ risky IT technologies. As evidence of continuing cyber supply chain security risk, 58% of critical infrastructure organizations admit that they use products or services from IT vendors that have product and/or internal process security issues that are cause for concern.

As organizações críticas do infrastructure continuam a empregá-lo risky tecnologias. Como a evidência de continuar o risco da segurança da corrente de fonte do cyber, 58% de organizações críticas do infrastructure admitem que usam produtos ou serviços dELE os vendedores que têm o produto e/ou as edições de segurança process internas que são motivo de preocupação.

Third-party IT relationships exacerbate cyber supply chain risk. Critical infrastructure services often rely on a vast network of connected organizations. Fifty eight percent of the organizations surveyed claim that they use IT services or business applications provided by third parties, while 48% provide IT service or business application access to third-party business partners. Of those critical infrastructure organizations with these types of external IT relationships, 38% provide IT access to more than 100 third-party organizations, while 27% consume IT services and business applications from more than 100 third parties. Most critical infrastructure organizations protect these third-party IT relationships with security controls and some oversight, but these safeguards are not nearly as formal or process-oriented as they should be.

Third-party relacionamentos exacerbate o risco da corrente de fonte do cyber. Os serviços críticos do infrastructure confiam frequentemente em uma rede vasta de organizações conectadas. Cinqüênta oito por cento das organizações examinaram a reivindicação que a usam prestam serviços de manutenção ou as aplicações de negócio fornecidas por terceiros partidos, quando 48% a fornecerem serviço ou acesso da aplicação de negócio aos sócios de negócio third-party. Daquelas organizações críticas do infrastructure com estes tipos de externo os relacionamentos, 38% fornece-o acesso a mais de 100 organizações third-party, quando 27% o consumirem prestam serviços de manutenção e aplicações de negócio de mais de 100 terceiros partidos. A maioria de organizações críticas do infrastructure protegem estes third-party ELE relacionamentos com controles da segurança e algum oversight, mas estas proteções não são quase tão formais ou processo-orientadas como devem ser.

Software security remains a major concern. One-third of critical infrastructure organizations have experienced some type of security incident directly related to the compromise of internally developed software. This is particularly concerning since critical infrastructure services depend upon specialized processes often requiring homegrown software. To address software vulnerabilities, many critical infrastructure organizations have put secure software development processes in place, but only half of these firms implement these methodologies across the entire enterprise.

A segurança do software remanesce um interesse principal. Um terço de organizações críticas do infrastructure experimentaram algum tipo de incident da segurança relacionado diretamente ao acordo do software internamente desenvolvido. Isto está concernindo particularmente desde que os serviços críticos do infrastructure dependem em cima dos processos especializados que requerem frequentemente o software homegrown. Para dirigir-se a vulnerabilities do software, muitas organizações críticas do infrastructure puseram processos seguros do desenvolvimento do software no lugar, mas somente a metade destas empresa executa estas metodologias através da empresa inteira.

Critical infrastructure organizations want more help from Washington. Only 22% of cybersecurity professionals working at critical infrastructure organizations believe that the U.S. government’s cybersecurity strategy is extremely clear and thorough, while the remaining 88% are somewhat confused by Washington. Additionally, 45% believe that the U.S. government should be significantly more active with cybersecurity strategies and defenses. Those on the critical infrastructure cybersecurity front lines would like Washington to create better methods for sharing security intelligence with the private sector, black list IT vendors with poor cybersecurity track records, and limit government IT purchases to those vendors with demonstrably superior product and process security.

As organizações críticas do infrastructure querem mais ajuda de Washington. Somente 22% dos profissionais do cybersecurity que trabalham em organizações críticas do infrastructure acreditam que os ESTADOS UNIDOS. a estratégia do cybersecurity do governo é extremamente desobstruída e completa, quando os 88% restantes forem confundidos um tanto por Washington. Adicionalmente, 45% acreditam que os ESTADOS UNIDOS. o governo deve ser significativamente mais ativo com estratégias e defesas do cybersecurity. Aqueles nas linhas dianteiras do cybersecurity crítico do infrastructure gostariam de Washington de criar métodos melhores para compartilhar da inteligência da segurança com o setor confidencial, a lista preta ELE vendedores com os registros de trilha pobres do cybersecurity, e o governo que do limite compra 2 aqueles vendedores com segurança demonstrably superior do produto e do processo.

Remove Translation

Next Chapter

To the Top