Overview |
Обзор |
|
The cyber supply chain is defined as follows: |
Цепь поставкы cyber определена следующим образом: |
|
The entire set of key actors involved with/using cyber infrastructure: system end-users, policy makers, acquisition specialists, system integrators, network providers, and software/hardware suppliers. The organizational and process-level interactions between these constituencies are used to plan, build, manage, maintain, and defend the cyber infrastructure.” |
Весь комплект ключевыми с включили актерами, котор/используя инфраструктуру cyber: пользователя системы, руководителя, специалисты по приема, интеграторы системы, providers сети, и поставщики средства программирования/оборудования. Взаимодействия организационных и процесс-уровня между этими constituencies использованы для того чтобы запланировать, построить, управить, поддержать, и защитить инфраструктуру cyber.» |
|
While most cybersecurity incidents are attributable to online attacks, countless examples used insecure cyber supply chains, introducing new types of risks, threats, vulnerabilities, and even cyber-attacks. For example: |
Пока большинств случаи cybersecurity приписывают online нападения, бесчисленные примеры использовали insecure цепи поставкы cyber, вводя новые Ны тип рисков, угроз, уязвимостей, и даже cyber-атакуют. Например: |
|
In 2008, the FBI seized $76 million of counterfeit Cisco equipment. According to an FBI presentation, the fake Cisco routers, switches, and cards were sold to the U.S. Navy, the U.S. Marine Corps., the U.S. Air Force, the U.S. Federal Aviation Administration, and even the FBI itself. One slide referred to the counterfeit Cisco equipment as a “critical infrastructure threat.” |
В 2008, FBI заело $76 миллионов counterfeit оборудования Cisco. Согласно представлению FBI, routers, переключатели, и карточки Cisco фальшивки были проданы к США. Военно-морской флот, США. Морская пехота., США. Военно-воздушные силы, США. Федеральное управление гражданской авиации, и даже FBI само. Одно скольжение refer to оборудование Cisco counterfeit как «критически угроза инфраструктуры.» |
|
Security researchers who analyzed the 2010 Stuxnet attack on Iranian nuclear facilities believe that malware used to infect programmable logic controllers (PLCs) and modify Siemens Step 7 software was likely carried into the facilities by third-party contractors working with the Iranian government. These third-party contractors were identified, attacked, and compromised and then unknowingly transported Stuxnet into the Iranian nuclear facilities, most likely through the use of USB thumb drives. |
Исследователя обеспеченностью проанализировали нападение 2010 Stuxnet на иранских ядерных средствах верят что malware используемое для того чтобы заразить programmable регуляторы логики (PLCs) и доработать средство программирования раздела 7 Siemens вероятн было снесено в средства third-party контракторами работая с иранским правительством. Эти third-party контракторы были определены, атакованное, и скомпрометированное и после этого unknowingly транспортированное Stuxnet в иранские ядерные средства, most likely через пользу приводов большого пальца руки USB. |
|
In 2012, the Chairman and Ranking Member of the House Intelligence Committee, Mike Rogers (R-MI) and C.A. Dutch Ruppersberger (D-MD), released a report recommending that U.S. companies avoid using telecommunications equipment manufactured by Chinese telecommunications companies Huawei and ZTE. The report highlighted U.S. critical infrastructure interconnectivity and went on to warn of the heightened threat of cyber-espionage and predatory disruption or destruction of U.S. networks if U.S-based telecommunications networks were built by companies with known ties to the Chinese state, a country known to “aggressively steal valuable trade secrets and other sensitive data from American companies.” |
В 2012, руководитель и член ранжировки комитета сведении дома, Майк Rogers (R-MI) и C.A. Голландское выпущенное Ruppersberger (D-MD), рапорту рекомендуя те США. компании избегают использовать оборудование радиосвязей изготовленное китайскими компаниями Huawei и ZTE радиосвязей. Рапорт выделил США. критически interconnectivity инфраструктуры и пошло дальше предупредить heightened угрозы cyber-шпионства и захватнических нарушения или разрушения США. сети если телекоммуникационные сети U.S-based были построены компаниями с известный связями к китайскому положению, то, страна известная «завоевательно крадут секреты ценности trade и другие чувствительные данные от американских компаний.» |
|
According to documents leaked by Edward Snowden, the National Security Agency (NSA) intercepted networking equipment built in the United States, added backdoors for remote access capabilities, and then shipped these devices to their recipients abroad. When the hacked networking equipment was deployed online, it was programmed to phone home to NSA-controlled servers. "In one recent case, after several months a beacon implanted through supply-chain interdiction called back to the NSA covert infrastructure," said Glenn Greenwald, a reporter at the Guardian at the time. Greenwald further quoted the leaked NSA report: "This call back provided us (i.e., NSA) with access to further exploit the device and survey the network." |
Согласно документам протекаемым Эдвард Snowden, агенство национальной безопасности (NSA) перехватило оборудование networking построенное в Соединенных Штатах, добавленных backdoors для возможностей дистанционного доступа, и после этого грузило эти приспособления к их получателям зарубежом. Когда прорубленное оборудование networking было раскрыно online, оно было запрограммировано позвонить по телефону домой к NSA-controlled серверам. «В одном недавнем случае, после нескольких месяцев маяк имплантированный через interdiction поставлять-цепи вызванный back to инфраструктура NSA covert,» сказал Glenn Greenwald, репортер на радетеле вовремя. Greenwald более дальнейшее закавычило протекаемый отчет о NSA: «Этот обратно звонк обеспечил нас (т.е., NSA) с доступом более далее для того чтобы эксплуатировать приспособление и произвести съемку сеть.» |
|
The 2013 data breach at U.S. retailer Target exposed the personal and credit card data of more than 110 million consumers. Security researchers believe that this attack began with a spear phishing attack on a Target HVAC contractor, Fazio Mechanical, of Sharpsburg, PA. Cyber-attackers used an e-mail message to compromise a PC at Fazio Mechanical a few months before the attack and then downloaded password-stealing malware onto the system. The perpetrator then used legitimate Fazio credentials to log onto the Target network and ultimately carry out the attack. |
Пролом 2013 данных на США. цель розничного торговца подвергла действию данные по личных и кредитной карточки больше чем 110 миллионов едоков. Исследователя обеспеченностью верят что это нападение начало с нападением копья phishing на контракторе HVAC цели, Fazio механически, Sharpsburg, cPa. Cyber-атакующие использовали сообщение и-мэйла для того чтобы скомпрометировать пикокулон на Fazio механически немного месяцев перед нападением и после этого downloaded парол-красть malware на систему. Credentials Fazio perpetrator после этого используемые правомерные, котор нужно внести в журнал на сеть цели и предельно унести нападение. |
|
While cyber supply chain security incidents like these threaten businesses and consumers alike, any type of cyber-attack on critical infrastructure organizations could result in massive societal disruption threatening national security. These concerns are exacerbated by numerous events such as: |
Пока случаи обеспеченностью цепи поставкы cyber как эти угрожают дел и едоков alike, любой тип cyber-атакует на критически организации инфраструктуры смог привести к в массивнейшем социетальном нарушении угрожая национальной безопасности. Эти заботы exacerbated многочисленнIp случаями such as: |
|
The Siberian gas pipeline explosion of 1982. In 1982, CIA agents learned of a Russian plot to steal western technologies for updating its outdated gas pipeline system. Armed with this knowledge, the CIA intervened with a covert operation. Unbeknownst to Soviet agents, software stolen in France was actually booby-trapped by the CIA and programmed to create havoc in a series of pumps, values, and turbines and increase pressure across the entire pipeline. Once installed, the malicious software caused a massive explosion. Leaked government documents referred to this event as, “the most monumental non-nuclear explosion ever seen from space,” in the summer of 1982. |
Siberian взрыв трубопровода газа 1982. В 1982, вещества C I A выучили русского графика украсть западные технологии для уточнения своей outdated системы трубопровода газа. Я подготовлено с этим знанием, C I A вмешалось с covert деятельностью. Unbeknownst к советским веществам, средство программирования украденное в Франции фактическ было booby-trapped C I A и запрограммировано для того чтобы создать havoc in a series of насосы, значения, и турбины и давление увеличения через весь трубопровод. Как только после того как я установлено, злостое средство программирования причинило массивнейший взрыв. Протекаемые документы правительства refer to этот случай как, «самый монументальный неядерный взрыв всегда видимый от космоса,» в лете 1982. |
|
The Aurora test of 2007. In 2007, Idaho National Labs ran an experiment called Aurora. The experiment simulated a cyber-attack and used a computer program to rapidly open and close a diesel generator’s circuit breakers so they were out-of-phase from the rest of the electric grid. In a now famous video, this remote attack caused a 2.25 megawatt diesel generator to bounce, shake, smoke, and eventually blow up. The entire process took less than three minutes, but researchers believe that a true cyber-attack could have destroyed the generator in less time. This experiment proved that a knowledgeable cyber-adversary could cause massive disruptions to the U.S. power grid. Furthermore, a diesel generator like the one destroyed in this experiment could take months to build, ship, and replace, meaning that a cyber-attack like Aurora could have long-term national security implications. |
Испытание рассвета 2007. В 2007, лаборатории Айдахо национальные побежали вызванный эксперимент Рассветом. Эксперимент сымитировал cyber-атакует и использовал компьутерную программу быстро для того чтобы раскрыть и закрывает автоматы защити цепи генератора дизеля поэтому они были out-of-phase от остальноев электрической решетки. В теперь известном видеоем, это дистанционное нападение причинило генератор 2.25 мегаватт тепловозный для того чтобы отскочить, сотрясать, закурить, и окончательн дунуть - вверх. Весь процесс требовал меньш чем 3 минут, но исследователя верят что поистине cyber-атакует смогло разрушить генератор в меньше времени. Этот эксперимент доказал что knowledgeable cyber-adversary смог причинить массивнейшие нарушения к США. решетка силы. Furthermore, тепловозный генератор как одно разрушенный в этом эксперименте смог принять месяцы к строению, грузить, и заменить, намереваясь что cyber-атакуйте как рассвет смогл иметь долгосрочные прикосновенности национальной безопасности. |
|
The cyber-attacks on Estonia in 2007. In 2007, the Estonian government removed a Soviet-era statue, the Bronze Soldier of Tallinn, from the city. This action was taken as an insult by Russian nationals within Estonia and some members of the Russian cybersecurity community within and outside the government. In April 2007, the small Baltic nation experienced a wave of devastating distributed denial-of-service (DDOS) attacks that disrupted the services of the Estonian banks, broadcasters, ministries, newspapers, and parliament. The Estonian attacks are sometimes referred to as the first documented acts of cyberwar. |
Cyber-атакует на эстонию в 2007. В 2007, эстонское правительство извлекло статую Совет-эры, бронзовый воина Tallinn, от города. Это действие было принято как оскорбление русскими соотечественниками внутри эстония и некоторыми членами русской общины cybersecurity в пределах и вне правительства. В апреле 2007, малая прибалтийская нация испытала волну опустошать распределенные нападения запирательств--обслуживания (DDOS) которые нарушили обслуживания эстонских кренов, передатчиков, министерств, газет, и парламента. Эстонские нападения иногда refer to как сперва документированные поступки cyberwar. |
|
The cyber-theft of the F-35 Joint Strike Fighter and other military secrets. In 2015, NSA documents leaked by former contractor, Edward Snowden, revealed that cyber-attackers in China obtained more than 50 terabytes of data from U.S. defense contractors and government networks. This data included detailed plans about the F-35 Joint Strike Fighter’s stealth radar and engine. By learning about these and other design points, Chinese defense companies were able to include similar designs and technologies in China’s new stealth jet, the J-20. The secret also could allow Chinese air defenses to target the F-35 in a future conflict. |
Cyber-похищение самолет-истребителя забастовки соединения F-35 и других военных тайн. В 2015, документы NSA протекали бывшим контрактором, Эдвард Snowden, показали что cyber-атакующие в Китае получили больше чем 50 terabytes данных от США. предприятия военного значения и сети правительства. Эти данные включили подробные планы о радиолокаторе и двигателе stealth самолет-истребителя забастовки соединения F-35. Путем учить о этих и другом пункты конструкции, китайские компании обороны могли включить подобные конструкции и технологии в stealth Китая новом выпускают струю, J-20. Секрет также был в состоянии позволить китайские противовоздушные обороны пристрелть F-35 в будущем конфликте. |
|
The potential for a devastating cyber-attack on U.S. critical infrastructure has had Washington’s attention for a number of years. In 1998, Deputy Defense Secretary John Hamre cautioned the U.S. Congress about critical infrastructure protection (CIP) by warning of a potential “cyber Pearl Harbor.” Hamre stated that a devastating cyber-attack “… is not going to be against Navy ships sitting in a Navy shipyard. It is going to be against commercial infrastructure.” |
Потенциал для опустошительного cyber-атакует на США. критически инфраструктура имеет внимание вашингтона на несколько леты. В 1998, депутат Оборона Секретарша Джон Hamre предостерег США. Съезд о критически предохранении от инфраструктуры (CIP) предупреждением потенциальной «гавани перлы cyber.» Hamre заявило что опустошительное cyber-атакует «… не идет быть против кораблей военно-морского флота сидя в верфи военно-морского флота. Оно идет быть против коммерчески инфраструктуры.» |
|
After taking office, President Obama stated: |
После принятьа, президент заявленное Obama: |
|
“From now on, our digital infrastructure, the networks and computers we depend on every day will be treated as they should be; as a strategic national asset. Protecting this infrastructure will be a national security priority. We will ensure that these networks are secure, trustworthy, and resilient. We will deter, prevent, detect, and defend against attacks and recover quickly from any disruptions or damage.” |
«From now on, будут обработаны наша цифровая инфраструктура, сети и компьютеры, котор мы зависим на ежедневном по мере того как они должно быть; как стратегическое национальное имущество. Защищать эту инфраструктуру будет приоритетом национальной безопасности. Мы обеспечим что эти сети безопасный, благонадежны, и resilient. Мы deter, предотвратим, обнаружим, и защитим против нападений и возьмем быстро от любых нарушений или повреждения.» |
|
In 2012, defense secretary, Leon Panetta, echoed these earlier warnings, stating that the U.S. faced a potential “cyber Pearl Harbor,” and was vulnerable to an increasing number of foreign hackers who could disrupt U.S.-based power grids, transportation networks, financial systems, and the government itself. Finally, in February 2015 at a cybersecurity summit held at Stanford University, President Obama announced five priorities to strengthen the U.S. approach to cybersecurity threats: |
В 2012, секретарша обороны, Леон Panetta, вторила этим заблаговременным предупреждениям, заявляя что США. посмотрел потенциальную «гавань перлы cyber,» и был уязвимо к увеличивая количеству чужих hackers которые смогли нарушить США - основанные решетки силы, транспортная сеть, финансовая система, и правительство самого. Окончательно, в феврале 2015 на cybersecurity саммит держал на университете Stanford, президент Obama объявил 5 приоритетов для того чтобы усилить США. подход к угрозам cybersecurity: |
|
1. Protecting the country's critical infrastructure—our most important information systems—from cyber-threats. |
1. Защищающ страну критически инфраструктур-наша самая важная информация систем-от cyber-угроз. |
|
2. Improving the country’s ability to identify and report cyber-incidents so that we can respond in a timely manner. |
2. Улучшающ способность страны определить и сообщить cyber-случаи TAK, CTO мы сможем ответить в своевременном образе. |
|
3. Engaging with international partners to promote internet freedom and build support for an open, interoperable, secure, and reliable cyberspace. |
3. Включающ с международными соучастниками повысить свободу интернета и построить поддержку для открытого, interoperable, безопасного, и надежного cyberspace. |
|
4. Securing federal networks by setting clear security targets and holding agencies accountable for meeting those targets. |
4. Обеспечивающ федеральные сети путем устанавливать ясные цели обеспеченностью и держать агенства подотчетно для соотвествовать те цели. |
|
5. Shaping a cyber-savvy workforce and moving beyond passwords in partnership with the private sector. |
5. Формировать cyber-savvy workforce и двигать за паролями в партнерстве с частным сектором. |
|
There is clear evidence that the U.S. critical infrastructure faces a state of constant cyber-attack and a successful breach could have devastating consequences. Are critical infrastructure organizations adequately prepared to defend themselves? Do they have the right controls and oversight in place for cyber supply chain security? Are government agencies providing critical infrastructure organizations with the right programs and support? This ESG research report is intended to explore the answers to these important questions. |
Будет убедительное доказательство США. критически инфраструктура смотрит на положение постоянн cyber-атакует и успешно пролом смог иметь опустошительные последствия. Критически организации инфраструктуры подходящ подготовлены для того чтобы защитить? Они имеют правые управление и промах in place для обеспеченности цепи поставкы cyber? Правительственные организации обеспечивают критически организации инфраструктуры с правыми программами и поддерживают? Это отчет о НИР ESG предназначено исследовать ответы к этим важным вопросам. |