ESG Interactive Research Portal

Connect to TechTarget Market Monitor™

ESG Research Report: Cyber Supply Chain Security Revisited Sep 14, 2015

Attachments

Executive Summary

Remove Translation Translation

Original Text

Overview

Обзор

The cyber supply chain is defined as follows:

Цепь поставкы cyber определена следующим образом:

The entire set of key actors involved with/using cyber infrastructure: system end-users, policy makers, acquisition specialists, system integrators, network providers, and software/hardware suppliers. The organizational and process-level interactions between these constituencies are used to plan, build, manage, maintain, and defend the cyber infrastructure.”

Весь комплект ключевыми с включили актерами, котор/используя инфраструктуру cyber: пользователя системы, руководителя, специалисты по приема, интеграторы системы, providers сети, и поставщики средства программирования/оборудования. Взаимодействия организационных и процесс-уровня между этими constituencies использованы для того чтобы запланировать, построить, управить, поддержать, и защитить инфраструктуру cyber.»

While most cybersecurity incidents are attributable to online attacks, countless examples used insecure cyber supply chains, introducing new types of risks, threats, vulnerabilities, and even cyber-attacks. For example:

Пока большинств случаи cybersecurity приписывают online нападения, бесчисленные примеры использовали insecure цепи поставкы cyber, вводя новые Ны тип рисков, угроз, уязвимостей, и даже cyber-атакуют. Например:

In 2008, the FBI seized $76 million of counterfeit Cisco equipment. According to an FBI presentation, the fake Cisco routers, switches, and cards were sold to the U.S. Navy, the U.S. Marine Corps., the U.S. Air Force, the U.S. Federal Aviation Administration, and even the FBI itself. One slide referred to the counterfeit Cisco equipment as a “critical infrastructure threat.”

В 2008, FBI заело $76 миллионов counterfeit оборудования Cisco. Согласно представлению FBI, routers, переключатели, и карточки Cisco фальшивки были проданы к США. Военно-морской флот, США. Морская пехота., США. Военно-воздушные силы, США. Федеральное управление гражданской авиации, и даже FBI само. Одно скольжение refer to оборудование Cisco counterfeit как «критически угроза инфраструктуры.»

Security researchers who analyzed the 2010 Stuxnet attack on Iranian nuclear facilities believe that malware used to infect programmable logic controllers (PLCs) and modify Siemens Step 7 software was likely carried into the facilities by third-party contractors working with the Iranian government. These third-party contractors were identified, attacked, and compromised and then unknowingly transported Stuxnet into the Iranian nuclear facilities, most likely through the use of USB thumb drives.

Исследователя обеспеченностью проанализировали нападение 2010 Stuxnet на иранских ядерных средствах верят что malware используемое для того чтобы заразить programmable регуляторы логики (PLCs) и доработать средство программирования раздела 7 Siemens вероятн было снесено в средства third-party контракторами работая с иранским правительством. Эти third-party контракторы были определены, атакованное, и скомпрометированное и после этого unknowingly транспортированное Stuxnet в иранские ядерные средства, most likely через пользу приводов большого пальца руки USB.

In 2012, the Chairman and Ranking Member of the House Intelligence Committee, Mike Rogers (R-MI) and C.A. Dutch Ruppersberger (D-MD), released a report recommending that U.S. companies avoid using telecommunications equipment manufactured by Chinese telecommunications companies Huawei and ZTE. The report highlighted U.S. critical infrastructure interconnectivity and went on to warn of the heightened threat of cyber-espionage and predatory disruption or destruction of U.S. networks if U.S-based telecommunications networks were built by companies with known ties to the Chinese state, a country known to “aggressively steal valuable trade secrets and other sensitive data from American companies.”

В 2012, руководитель и член ранжировки комитета сведении дома, Майк Rogers (R-MI) и C.A. Голландское выпущенное Ruppersberger (D-MD), рапорту рекомендуя те США. компании избегают использовать оборудование радиосвязей изготовленное китайскими компаниями Huawei и ZTE радиосвязей. Рапорт выделил США. критически interconnectivity инфраструктуры и пошло дальше предупредить heightened угрозы cyber-шпионства и захватнических нарушения или разрушения США. сети если телекоммуникационные сети U.S-based были построены компаниями с известный связями к китайскому положению, то, страна известная «завоевательно крадут секреты ценности trade и другие чувствительные данные от американских компаний.»

According to documents leaked by Edward Snowden, the National Security Agency (NSA) intercepted networking equipment built in the United States, added backdoors for remote access capabilities, and then shipped these devices to their recipients abroad. When the hacked networking equipment was deployed online, it was programmed to phone home to NSA-controlled servers. "In one recent case, after several months a beacon implanted through supply-chain interdiction called back to the NSA covert infrastructure," said Glenn Greenwald, a reporter at the Guardian at the time. Greenwald further quoted the leaked NSA report: "This call back provided us (i.e., NSA) with access to further exploit the device and survey the network."

Согласно документам протекаемым Эдвард Snowden, агенство национальной безопасности (NSA) перехватило оборудование networking построенное в Соединенных Штатах, добавленных backdoors для возможностей дистанционного доступа, и после этого грузило эти приспособления к их получателям зарубежом. Когда прорубленное оборудование networking было раскрыно online, оно было запрограммировано позвонить по телефону домой к NSA-controlled серверам. «В одном недавнем случае, после нескольких месяцев маяк имплантированный через interdiction поставлять-цепи вызванный back to инфраструктура NSA covert,» сказал Glenn Greenwald, репортер на радетеле вовремя. Greenwald более дальнейшее закавычило протекаемый отчет о NSA: «Этот обратно звонк обеспечил нас (т.е., NSA) с доступом более далее для того чтобы эксплуатировать приспособление и произвести съемку сеть.»

The 2013 data breach at U.S. retailer Target exposed the personal and credit card data of more than 110 million consumers. Security researchers believe that this attack began with a spear phishing attack on a Target HVAC contractor, Fazio Mechanical, of Sharpsburg, PA. Cyber-attackers used an e-mail message to compromise a PC at Fazio Mechanical a few months before the attack and then downloaded password-stealing malware onto the system. The perpetrator then used legitimate Fazio credentials to log onto the Target network and ultimately carry out the attack.

Пролом 2013 данных на США. цель розничного торговца подвергла действию данные по личных и кредитной карточки больше чем 110 миллионов едоков. Исследователя обеспеченностью верят что это нападение начало с нападением копья phishing на контракторе HVAC цели, Fazio механически, Sharpsburg, cPa. Cyber-атакующие использовали сообщение и-мэйла для того чтобы скомпрометировать пикокулон на Fazio механически немного месяцев перед нападением и после этого downloaded парол-красть malware на систему. Credentials Fazio perpetrator после этого используемые правомерные, котор нужно внести в журнал на сеть цели и предельно унести нападение.

While cyber supply chain security incidents like these threaten businesses and consumers alike, any type of cyber-attack on critical infrastructure organizations could result in massive societal disruption threatening national security. These concerns are exacerbated by numerous events such as:

Пока случаи обеспеченностью цепи поставкы cyber как эти угрожают дел и едоков alike, любой тип cyber-атакует на критически организации инфраструктуры смог привести к в массивнейшем социетальном нарушении угрожая национальной безопасности. Эти заботы exacerbated многочисленнIp случаями such as:

The Siberian gas pipeline explosion of 1982. In 1982, CIA agents learned of a Russian plot to steal western technologies for updating its outdated gas pipeline system. Armed with this knowledge, the CIA intervened with a covert operation. Unbeknownst to Soviet agents, software stolen in France was actually booby-trapped by the CIA and programmed to create havoc in a series of pumps, values, and turbines and increase pressure across the entire pipeline. Once installed, the malicious software caused a massive explosion. Leaked government documents referred to this event as, “the most monumental non-nuclear explosion ever seen from space,” in the summer of 1982.

Siberian взрыв трубопровода газа 1982. В 1982, вещества C I A выучили русского графика украсть западные технологии для уточнения своей outdated системы трубопровода газа. Я подготовлено с этим знанием, C I A вмешалось с covert деятельностью. Unbeknownst к советским веществам, средство программирования украденное в Франции фактическ было booby-trapped C I A и запрограммировано для того чтобы создать havoc in a series of насосы, значения, и турбины и давление увеличения через весь трубопровод. Как только после того как я установлено, злостое средство программирования причинило массивнейший взрыв. Протекаемые документы правительства refer to этот случай как, «самый монументальный неядерный взрыв всегда видимый от космоса,» в лете 1982.

The Aurora test of 2007. In 2007, Idaho National Labs ran an experiment called Aurora. The experiment simulated a cyber-attack and used a computer program to rapidly open and close a diesel generator’s circuit breakers so they were out-of-phase from the rest of the electric grid. In a now famous video, this remote attack caused a 2.25 megawatt diesel generator to bounce, shake, smoke, and eventually blow up. The entire process took less than three minutes, but researchers believe that a true cyber-attack could have destroyed the generator in less time. This experiment proved that a knowledgeable cyber-adversary could cause massive disruptions to the U.S. power grid. Furthermore, a diesel generator like the one destroyed in this experiment could take months to build, ship, and replace, meaning that a cyber-attack like Aurora could have long-term national security implications.

Испытание рассвета 2007. В 2007, лаборатории Айдахо национальные побежали вызванный эксперимент Рассветом. Эксперимент сымитировал cyber-атакует и использовал компьутерную программу быстро для того чтобы раскрыть и закрывает автоматы защити цепи генератора дизеля поэтому они были out-of-phase от остальноев электрической решетки. В теперь известном видеоем, это дистанционное нападение причинило генератор 2.25 мегаватт тепловозный для того чтобы отскочить, сотрясать, закурить, и окончательн дунуть - вверх. Весь процесс требовал меньш чем 3 минут, но исследователя верят что поистине cyber-атакует смогло разрушить генератор в меньше времени. Этот эксперимент доказал что knowledgeable cyber-adversary смог причинить массивнейшие нарушения к США. решетка силы. Furthermore, тепловозный генератор как одно разрушенный в этом эксперименте смог принять месяцы к строению, грузить, и заменить, намереваясь что cyber-атакуйте как рассвет смогл иметь долгосрочные прикосновенности национальной безопасности.

The cyber-attacks on Estonia in 2007. In 2007, the Estonian government removed a Soviet-era statue, the Bronze Soldier of Tallinn, from the city. This action was taken as an insult by Russian nationals within Estonia and some members of the Russian cybersecurity community within and outside the government. In April 2007, the small Baltic nation experienced a wave of devastating distributed denial-of-service (DDOS) attacks that disrupted the services of the Estonian banks, broadcasters, ministries, newspapers, and parliament. The Estonian attacks are sometimes referred to as the first documented acts of cyberwar.

Cyber-атакует на эстонию в 2007. В 2007, эстонское правительство извлекло статую Совет-эры, бронзовый воина Tallinn, от города. Это действие было принято как оскорбление русскими соотечественниками внутри эстония и некоторыми членами русской общины cybersecurity в пределах и вне правительства. В апреле 2007, малая прибалтийская нация испытала волну опустошать распределенные нападения запирательств--обслуживания (DDOS) которые нарушили обслуживания эстонских кренов, передатчиков, министерств, газет, и парламента. Эстонские нападения иногда refer to как сперва документированные поступки cyberwar.

The cyber-theft of the F-35 Joint Strike Fighter and other military secrets. In 2015, NSA documents leaked by former contractor, Edward Snowden, revealed that cyber-attackers in China obtained more than 50 terabytes of data from U.S. defense contractors and government networks. This data included detailed plans about the F-35 Joint Strike Fighter’s stealth radar and engine. By learning about these and other design points, Chinese defense companies were able to include similar designs and technologies in China’s new stealth jet, the J-20. The secret also could allow Chinese air defenses to target the F-35 in a future conflict.

Cyber-похищение самолет-истребителя забастовки соединения F-35 и других военных тайн. В 2015, документы NSA протекали бывшим контрактором, Эдвард Snowden, показали что cyber-атакующие в Китае получили больше чем 50 terabytes данных от США. предприятия военного значения и сети правительства. Эти данные включили подробные планы о радиолокаторе и двигателе stealth самолет-истребителя забастовки соединения F-35. Путем учить о этих и другом пункты конструкции, китайские компании обороны могли включить подобные конструкции и технологии в stealth Китая новом выпускают струю, J-20. Секрет также был в состоянии позволить китайские противовоздушные обороны пристрелть F-35 в будущем конфликте.

The potential for a devastating cyber-attack on U.S. critical infrastructure has had Washington’s attention for a number of years. In 1998, Deputy Defense Secretary John Hamre cautioned the U.S. Congress about critical infrastructure protection (CIP) by warning of a potential “cyber Pearl Harbor.” Hamre stated that a devastating cyber-attack “… is not going to be against Navy ships sitting in a Navy shipyard. It is going to be against commercial infrastructure.”

Потенциал для опустошительного cyber-атакует на США. критически инфраструктура имеет внимание вашингтона на несколько леты. В 1998, депутат Оборона Секретарша Джон Hamre предостерег США. Съезд о критически предохранении от инфраструктуры (CIP) предупреждением потенциальной «гавани перлы cyber.» Hamre заявило что опустошительное cyber-атакует «… не идет быть против кораблей военно-морского флота сидя в верфи военно-морского флота. Оно идет быть против коммерчески инфраструктуры.»

After taking office, President Obama stated:

После принятьа, президент заявленное Obama:

“From now on, our digital infrastructure, the networks and computers we depend on every day will be treated as they should be; as a strategic national asset. Protecting this infrastructure will be a national security priority. We will ensure that these networks are secure, trustworthy, and resilient. We will deter, prevent, detect, and defend against attacks and recover quickly from any disruptions or damage.”

«From now on, будут обработаны наша цифровая инфраструктура, сети и компьютеры, котор мы зависим на ежедневном по мере того как они должно быть; как стратегическое национальное имущество. Защищать эту инфраструктуру будет приоритетом национальной безопасности. Мы обеспечим что эти сети безопасный, благонадежны, и resilient. Мы deter, предотвратим, обнаружим, и защитим против нападений и возьмем быстро от любых нарушений или повреждения.»

In 2012, defense secretary, Leon Panetta, echoed these earlier warnings, stating that the U.S. faced a potential “cyber Pearl Harbor,” and was vulnerable to an increasing number of foreign hackers who could disrupt U.S.-based power grids, transportation networks, financial systems, and the government itself. Finally, in February 2015 at a cybersecurity summit held at Stanford University, President Obama announced five priorities to strengthen the U.S. approach to cybersecurity threats:

В 2012, секретарша обороны, Леон Panetta, вторила этим заблаговременным предупреждениям, заявляя что США. посмотрел потенциальную «гавань перлы cyber,» и был уязвимо к увеличивая количеству чужих hackers которые смогли нарушить США - основанные решетки силы, транспортная сеть, финансовая система, и правительство самого. Окончательно, в феврале 2015 на cybersecurity саммит держал на университете Stanford, президент Obama объявил 5 приоритетов для того чтобы усилить США. подход к угрозам cybersecurity:

1. Protecting the country's critical infrastructure—our most important information systems—from cyber-threats.

1. Защищающ страну критически инфраструктур-наша самая важная информация систем-от cyber-угроз.

2. Improving the country’s ability to identify and report cyber-incidents so that we can respond in a timely manner.

2. Улучшающ способность страны определить и сообщить cyber-случаи TAK, CTO мы сможем ответить в своевременном образе.

3. Engaging with international partners to promote internet freedom and build support for an open, interoperable, secure, and reliable cyberspace.

3. Включающ с международными соучастниками повысить свободу интернета и построить поддержку для открытого, interoperable, безопасного, и надежного cyberspace.

4. Securing federal networks by setting clear security targets and holding agencies accountable for meeting those targets.

4. Обеспечивающ федеральные сети путем устанавливать ясные цели обеспеченностью и держать агенства подотчетно для соотвествовать те цели.

5. Shaping a cyber-savvy workforce and moving beyond passwords in partnership with the private sector.

5. Формировать cyber-savvy workforce и двигать за паролями в партнерстве с частным сектором.

There is clear evidence that the U.S. critical infrastructure faces a state of constant cyber-attack and a successful breach could have devastating consequences. Are critical infrastructure organizations adequately prepared to defend themselves? Do they have the right controls and oversight in place for cyber supply chain security? Are government agencies providing critical infrastructure organizations with the right programs and support? This ESG research report is intended to explore the answers to these important questions.

Будет убедительное доказательство США. критически инфраструктура смотрит на положение постоянн cyber-атакует и успешно пролом смог иметь опустошительные последствия. Критически организации инфраструктуры подходящ подготовлены для того чтобы защитить? Они имеют правые управление и промах in place для обеспеченности цепи поставкы cyber? Правительственные организации обеспечивают критически организации инфраструктуры с правыми программами и поддерживают? Это отчет о НИР ESG предназначено исследовать ответы к этим важным вопросам.

Report Conclusions

Сообщите заключения

ESG surveyed 303 IT and cybersecurity professionals representing large midmarket (500 to 999 employees) organizations and enterprise-class (1,000 employees or more) organizations in the United States within 16 vertical industries designated as critical infrastructure by the U.S. Department of Homeland Security (DHS).

ESG произвело съемку 303 профессионалов ЕГО и cybersecurity представляя большие организации работники midmarket (500 до 999) и организации предпринимательств-типа (1.000 работников или больше) в Соединенных Штатах не познее 16 вертикальных индустрий предназначенных как критически инфраструктура США. Отдел обеспеченности Homeland (DHS).

The survey focused on critical infrastructure organizations’ current cybersecurity processes in general and cyber supply chain security awareness and safeguards in particular. Based on the data collected, ESG concludes:

Обзор сфокусировал на процессы cybersecurity критически организациях инфраструктуры' в настоящее время вообще и осведомленность и гарантии обеспеченностью цепи поставкы cyber в частности. Я основано на собранных данных, ESG заключает:

The threat landscape has grown more dangerous for critical infrastructure organizations. Nearly one-third (31%) of critical infrastructure organizations believe that the threat landscape (i.e., cyber-adversaries, cyber-attacks, exploits, malware, etc.) is much worse today than it was two years ago, while another 36% say that the threat landscape has grown somewhat worse in the past two years. Alarmingly, only 37% of critical infrastructure organizations rate their cybersecurity policies, processes, and technology safeguards as excellent and capable of addressing almost all of today’s threats. The remaining 63% aren’t nearly as confident.

Ландшафт угрозой вырос опасне для критически организаций инфраструктуры. Близко 1/3 (31%) из критически организаций инфраструктуры верит что ландшафтом угрозой (т.е., cyber-adversaries, cyber-атакуют, подвиги, malware, cEtc) будет гораздо плохее сегодня чем им был 2 лет тому назад, пока другое мнение 36% которое ландшафт угрозой рос несколько более плохим в прошлых 2 летах. Alarmingly, только 37% из критически организаций инфраструктуры классифицируют их политики cybersecurity, процессы, и гарантии технологии как превосходно и способно адресовать почти всю из сегодняшних угроз. Остальные 63% не близко как уверенно.

Critical infrastructure organizations are under attack. A majority (68%) of critical infrastructure organizations have experienced various cybersecurity incidents over the past two years, including compromises of an employee system, data breaches due to lost or stolen equipment, insider attacks, and breaches of physical security. Over one-third (36%) of these security incidents resulted in the disruption of a business process and/or critical operations. The ramification is clear: Cyber-attacks are already impacting critical infrastructure operations and could certainly disrupt services.

Критически организации инфраструктуры находятся под нападением. Большинство (68%) критически организаций инфраструктуры испытывало различные случаи cybersecurity над прошлыми 2 летами, включая компромиссы системы работника, проломы данных из-за lost или украденного оборудования, нападений человека внутри, и проломов непосредственного охранения. Над 1/3 (36%) из этих случаев обеспеченностью привел к в нарушении процесса дела and/or критически деятельностей. Степень последствий ясна: Cyber-атакует уже плотно сжимайте критически деятельности инфраструктуры и смогл некоторо нарушить обслуживания.

Cyber supply chain security is growing more difficult. A majority (60%) of critical infrastructure organizations believe that cyber supply chain security is much more difficult or somewhat more difficult than it was two years ago. Of those that believe that cyber supply chain security has become more difficult, 44% equate this change to new types of IT initiatives that increased the cyber supply chain security attack surface, 39% say that they have more IT suppliers than two years ago, and 36% have consolidated IT and operational technology (OT) security, increasing cyber supply chain complexity.

Обеспеченность цепи поставкы Cyber растет трудне. Большинство (60%) критически организаций инфраструктуры верит что обеспеченность цепи поставкы cyber очень трудне или несколько трудне чем оно было 2 лет тому назад. тех верят что обеспеченность цепи поставкы cyber была трудне, 44% приравнивают это изменение к новым Нам тип ЕГО инициативы которые увеличили поверхность нападения обеспеченностью цепи поставкы cyber, мнение 39% что они имеет больше ОНО поставщики чем 2 лет тому назад, и 36% консолидировали ЕГО и обеспеченность технологии (OT), увеличивая сложность цепи поставкы cyber.

IT vendor cybersecurity audits remain haphazard. While more critical infrastructure organizations audit their IT supplier’s security processes and metrics today than five years ago, audit processes remain somewhat ad-hoc. For example, only 14% of the critical infrastructure organizations surveyed audit the cybersecurity practices of all strategic IT infrastructure vendors, use standard processes for these IT vendor audits, and use the results of these audits as formal guidelines for IT procurement decisions. In spite of progress in IT security auditing over the past five years, many critical infrastructure organizations still treat IT vendor security as a check-box exercise rather than a serious risk management requirement.

ОНО проверкы cybersecurity поставщика остает haphazard. Пока более критически организации инфраструктуры ревизуют процессы и metrics обеспеченностью их ЕГО поставщика сегодня чем 5 лет тому назад, процессы проверкы остают несколько ad-hoc. Например, только 14% из критически произведенных съемку организаций инфраструктуры ревизуют практики cybersecurity вся стратегической ОНО поставщики инфраструктуры, используют стандартные процессы для этих ОНО проверкы поставщика, и используют результаты этих проверк как официально директивы для ЕЕ решения поставки. In spite of прогресс в ЕЙ обеспеченность ревизуя над прошлыми 5 летами, много критически организаций инфраструктуры все еще обрабатывает ЕЕ обеспеченность поставщика как тренировка проверять-коробки rather than требование к управления серьезного риска.

Critical infrastructure organizations continue to employ risky IT technologies. As evidence of continuing cyber supply chain security risk, 58% of critical infrastructure organizations admit that they use products or services from IT vendors that have product and/or internal process security issues that are cause for concern.

Критически организации инфраструктуры продолжаются использовать рисковано ЕГО технологии. Как доказательство продолжать риск с точки зрения безопасности цепи поставкы cyber, 58% из критически организаций инфраструктуры впускают что они используют продукты или обслуживания от ЕГО поставщики которые имеют продукт and/or внутренне отростчатые вопросы безопасности который будут cause for concern.

Third-party IT relationships exacerbate cyber supply chain risk. Critical infrastructure services often rely on a vast network of connected organizations. Fifty eight percent of the organizations surveyed claim that they use IT services or business applications provided by third parties, while 48% provide IT service or business application access to third-party business partners. Of those critical infrastructure organizations with these types of external IT relationships, 38% provide IT access to more than 100 third-party organizations, while 27% consume IT services and business applications from more than 100 third parties. Most critical infrastructure organizations protect these third-party IT relationships with security controls and some oversight, but these safeguards are not nearly as formal or process-oriented as they should be.

Third-party ОНО отношения exacerbate риск цепи поставкы cyber. Критически обслуживания инфраструктуры часто полагаются на более обширной сети соединенных организаций. 50 8 процентов произведенных съемку организаций требуют что они используют ЕГО обслуживают или использования в коммерческих целях обеспеченные третья лицо, пока 48% обеспечивают ЕГО обслуживание или доступ использования в коммерческих целях к third-party бизнес-партнерам. тех критически организаций инфраструктуры с этими типами внешнего ОНО отношения, 38% обеспечивает ЕГО доступ к больше чем 100 third-party организаций, пока 27% уничтожают ЕГО обслуживают и использования в коммерческих целях от больше чем 100 третья лицо. Большинств критически организации инфраструктуры защищают эти third-party ОНО отношения с управлениями обеспеченностью и некоторым промахом, но эти гарантии не почти как официально или процесс-ориентированы по мере того как они должны быть.

Software security remains a major concern. One-third of critical infrastructure organizations have experienced some type of security incident directly related to the compromise of internally developed software. This is particularly concerning since critical infrastructure services depend upon specialized processes often requiring homegrown software. To address software vulnerabilities, many critical infrastructure organizations have put secure software development processes in place, but only half of these firms implement these methodologies across the entire enterprise.

Обеспеченность средства программирования остает главной заботой. 1/3 из критически организаций инфраструктуры испытывало некоторый тип случая обеспеченностью сразу отнесенный к компромиссу внутренне начатого средства программирования. Это определенно относится в виду того что критически обслуживания инфраструктуры зависят на специализированных процессах часто требуя homegrown средства программирования. Для того чтобы адресовать уязвимости средства программирования, много критически организаций инфраструктуры клали безопасные процессы развития средства программирования in place, но только половина этих фирм снабжает эти методологии через все предпринимательство.

Critical infrastructure organizations want more help from Washington. Only 22% of cybersecurity professionals working at critical infrastructure organizations believe that the U.S. government’s cybersecurity strategy is extremely clear and thorough, while the remaining 88% are somewhat confused by Washington. Additionally, 45% believe that the U.S. government should be significantly more active with cybersecurity strategies and defenses. Those on the critical infrastructure cybersecurity front lines would like Washington to create better methods for sharing security intelligence with the private sector, black list IT vendors with poor cybersecurity track records, and limit government IT purchases to those vendors with demonstrably superior product and process security.

Критически организации инфраструктуры хотят больше помощи от вашингтона. Только 22% из профессионалов cybersecurity работая на критически организациях инфраструктуры верят что США. стратегия cybersecurity правительства весьма ясна и тщательна, пока остальные 88% несколько смущены Вашингтоном. Дополнительно, 45% верят что США. правительство должно быть significantly more активно с стратегиями и оборонами cybersecurity. Те на линиях критически cybersecurity инфраструктуры передних хотел были бы вашингтон для того чтобы создать более лучшие методы для делить сведению обеспеченностью с частным сектором, черный список ОНО поставщики с плохими показателями следа cybersecurity, и правительством предела, котор ОНО закупает к тем поставщикам с demonstrably изделия высшего качества и обеспеченностью процесса.

Remove Translation

Next Chapter

To the Top