Heutige Aussicht auf den Cybersecurity Drohungen kahler als 2013

Das Verteidigen gegen cyber-greift darstellt eine unaufhörliche Schlacht für die kritischen Infrastruktureinteilungen an, die eine in zunehmendem Maße gefährliche Drohunglandschaft gegenüberstellen. Vor tatsächlich glauben 31% von den Sicherheit Fachleuten, die an den kritischen Infrastrukturarbeiten Einteilungen, daß die Drohunglandschaft heute viel ist schlechter, als es zwei Jahren war, während ein anderes 36% Sagen es ein wenig schlechter ist (siehe Tabelle 1).

Es ist interessant, daß ESG diesem die gleiche Frage in seinem Forschung 2010 Projekt stellte, 1 zu merken  und es produzierte auffallend ähnliche Resultate-68% der Antwortenden, die gesagt wurden, daß die Drohunglandschaft in 2010 verglichen mit 2008 schlechter war. Offenbar erhält die Drohunglandschaft auf einer jährlichen Grundlage ohne letup im Anblick gefährlicher. ESG findet diese Daten, besonders zu bemühen. US Bürger hängen nach kritischen Infrastruktureinteilungen für die grundlegenden Notwendigkeiten der modernen Gesellschaft wie Nahrung, Wasser, Kraftstoff und Fernübertragungsdienste ab. Die in zunehmendem Maße gefährliche Drohunglandschaft gegeben, sind kritische Infrastruktureinteilungen tasked mit dem Beibehalten der wichtigen täglichen Dienstleistungen und dem Verteidigen ihrer Netze von einer wachsenden Armee der Cyberverbrecher, der hacktivists und der Nationzustandschauspieler.

Note1: Quelle: ESG Forschung Report, Cyber Versorgungsmaterial-Kette Sicherheit Verwundbarkeit innerhalb der US festsetzend Kritische Infrastruktur, November 2010.

Dieses geht Glaube über die in zunehmendem Maße gefährliche Drohunglandschaft über Meinungen hinaus alleine da viele kritische Infrastruktureinteilungen das konstante, die Gesicht cyber-angreift. Eine Majorität (68%) kritische Infrastruktureinteilungen erfuhr ein Sicherheit Ereignis über den letzten zwei Jahren, wenn fast Drittel (31% berichten), einen System Kompromiß resultierend aus einem generischen Angriff (d.h., Virus, Trojan, etc.), erfahrend innen geholt durch das System eines Benutzers, 26%, über einen Datenbruch, wegen des verlorenen/gestohlenen Geräts und 25% von den kritischen Infrastruktureinteilungen, die etwas Art Eingeweihtangriff erleiden (siehe Tabelle 2). Besorgniserregend haben mehr als Hälfte (53%) der kritischen Infrastruktureinteilungen zwei mindestens dieser Sicherheit Ereignisse seit 2013 beschäftigt.

Sicherheit Ereignisse kommen immer mit den Verzweigungen, die mit Zeit und Geld verbunden sind. Z.B. fast behaupten Hälfte (47%) der cybersecurity Fachleute, die an den kritischen Infrastruktureinteilungen arbeiten, daß Sicherheit Ereignisse bedeutend SIE Zeit/Personal für Remediation erforderten. Während dieses eine unerwartete Belastung auf ES und cybersecuritygruppen setzt, waren andere Konsequenzen, die auf Sicherheit Ereignissen bezogen wurden, weites ominöseres-36% Sagen, das Sicherheit Ereignisse zur Unterbrechung eines kritischen Geschäft Prozesses oder der Geschäftsoperationen führten, der 36% Anspruch, daß Sicherheit Ereignisse die Unterbrechung der Geschäft Anwendungen oder SIE Verfügbarkeit des Systems ergaben, und der 32% Report, den Sicherheit Ereignisse zu einem Bruch der vertraulichen Daten führten (siehe Tabelle 3).

Diese Daten sollten Grund zur Besorgnis sein, da ein erfolgreiches auf kritischen Infrastruktureinteilungen' Anwendungen cyber-angreifen und Prozesse die Unterbrechung der elektrischen Energie, die Gesundheitspflegeservices oder die Verteilung der Nahrung ergeben konnten. So konnten diese Ausgaben eine verheerende Auswirkung auf US haben Bürger und Staatssicherheit.

Cybersecurity an den kritischen Infrastruktur-Einteilungen

Glauben kritische Infrastruktureinteilungen ihnen, die rechte cybersecurity Politik, die Prozesse, die Fähigkeiten und die Technologien zu haben, zum der in zunehmendem Maße gefährlichen Drohunglandschaft zu adressieren? Die Resultate dieser Anfrage werden bestenfalls gemischt. Auf der positiven Seite, der 37% Rate ihre Einteilungen' cybersecurity politische Richtlinien, den Prozessen und den Technologien, wie ausgezeichnet und fähig zum Adressieren fast alle heutige Drohungen. Es ist wert, zu merken, daß die gesamten Bewertungen seit 2010 verbessert haben (sehen Sie Tabelle 1). Während diese Verbesserung bemerkenswert ist, veranschlagen 10% von kritischen Infrastruktursicherheit Fachleuten noch ihre Einteilung, wie angemessen oder Armen.

In der Lage sein, die meisten Drohungen zu beschäftigen kann eine Verbesserung von 2010 sein, aber es ist noch nicht genug. Dieses ist besonders den Sachverhalt dargelegt zutreffendes, daß die Drohunglandschaft gleichzeitig schwieriger gewachsen ist. Kritische Infrastruktureinteilungen bilden Fortschritt, aber defensive Masse kommen nicht am gleichen Schritt weiter, wie die beleidigenden Fähigkeiten der heutigen Cybergegner und dieses Gefahr Abstandes alle US verläßt Bürger verletzbar.

Die Staatssicherheit Implikationen der kritischen Infrastrukturs gegeben, überrascht es nicht, daß cybersecurity Gefahr eine in zunehmendem Maße wichtige Chefetageausgabe über letzten fünf Jahre geworden ist. Fast veranschlagen Hälfte (45%) der cybersecurity Fachleute heute Executivmanagementmannschaft ihrer Einteilung, wie ausgezeichnet, während nur 25% sie als in hohem Grade 2010 veranschlug (sehen Sie Tabelle 2). Wechselweise 10% Rate die Executivder managementverpflichtung cybersecurity Mannschaft, wie angemessen oder Armen 2015, wo 23% sie so 2010 veranschlug. Diesen Resultaten werden ein wenig die sichtbaren und zerstörenden Datenbrüche der letzten Jahre gegeben erwartet. Kritisches Infrastruktur cybersecurity ist auch vom Verstand in Washington mit Gesetzgebern, Zivilagenturen und der Exekutive ober. Z.B. wurde der National Institute of Standards and Technology (NIST) cybersecurity Rahmen 2014 (CSF) durch eine Ausführungsverordnung gefahren und soll kritischem Infrastruktureinteilungen Maß helfen und Cybergefahr effektiv handhaben. Resultierend aus den ganzen diese cybersecurity Tätigkeit, nehmen korporative Bretter viel mehr an cybersecurity teil, als sie in der Vergangenheit waren, aber ob sie genug tun oder, investierend in den rechten Bereichen, noch fraglich ist.

Kritische Infrastruktureinteilungen ändern ihre cybersecurity Strategien für eine Anzahl von Gründen. Z.B. 37% Sagen, daß Strategie infosec ihrer Einteilung durch die Notwendigkeit, neu SIE zu stützen Initiativen mit werthaltige Sicherheit bester Praxis gefahren wird. Dieses wahrscheinliche bezieht sich auf ES sich projiziert für Prozeßautomatisierung, das Internet der Technologien der Sachen (IoT) miteinschließen. IoT Projekte können Produktivität polstern, aber sie stellen auch neue Verwundbarkeit und folglich die Notwendigkeit zu den zusätzlichen Sicherheit Kontrollen vor. Ausserdem rufen der 37% Punkt zum Schützen der empfindlicher Kunde Datenvertraulichkeit und -vollständigkeit und 36% die Notwendigkeit aus, interne Datenvertraulichkeit und -vollständigkeit zu schützen (siehe Tabelle 4). Diese sind zweifellos lohnende Ziele, aber ESG war überrascht, daß nur 22% von kritischen Infrastrukturern sagen, daß ihre Informationen Sicherheit Strategie durch das Verhindern/gerichtete Angriffe und verfeinerte malware Drohungen ermittelnd gefahren wird. Vor schließlich glauben 67% von Sicherheit Fachleuten, daß die Drohunglandschaft gefährlicherer ist heutiger Tag, als es zwei Jahren war, und 68% von Einteilungen haben mindestens ein Sicherheit Ereignis über den letzten zwei Jahren erlitten. Da kritische Infrastruktureinteilungen unter konstantem Angriff sind, glaubt ESG stark, daß CISOs in diesen Einteilungen festsetzen sollte, ob sie genug tun, um zu verhindern, zu ermitteln und auf modernes zu reagieren cyber-angreift.

Cyber Versorgungsmaterial-Kette Sicherheit

Wie viele andere Bereiche von cybersecurity, wächst cyber Versorgungsmaterial-Kette Sicherheit in zunehmendem Maße lästig. Tatsächlich sagen 60% von Sicherheit Fachleuten, daß cyber Versorgungsmaterial-Kette Sicherheit entweder viel schwieriger (17%) oder (43%) über den letzten zwei Jahren ein wenig schwieriger geworden ist (siehe Tabelle 5).

Warum ist cyber Versorgungsmaterial-Kette Sicherheit schwieriger geworden? Forty-four Prozente behaupten, daß ihre Einteilungen neue Arten von ES Initiativen (d.h., Wolke Rechnen, bewegliche Anwendungen, IoT, grosse Daten analytics Projekte, etc.) eingeführt haben, die die cyber Versorgungsmaterial-Kette Angriff Oberfläche erhöht haben; vor das 39% Sagen, daß ihre Einteilung mehr ES hat Lieferanten, als es tat zwei Jahren; und der 36% Zustand, daß ihre Einteilung IHN und funktionsfähige Technologiesicherheit vereinigt hat, die infosec Kompliziertheit erhöht hat (sehen Tabelle 6).

Diese Daten sind vom Zustand von IHR heute hinweisend. Die Tatsache ist, daß SIE Anwendungen, Infrastruktur und Produkte an einem zunehmenden Schritt entwickelt, dynamische änderungen auf einer konstanten Grundlage fährt und die gesamte cyber Versorgungsmaterial-Kette Angriff Oberfläche erhöht. Überladene CISOs und infosec Personalentdeckung es schwierig, mit den dynamischen cyber Versorgungsmaterial-Kette Sicherheit änderungen aufrechtzuerhalten, führend zu entwickelnde Gefahren.

Cyber Versorgungsmaterial-Kette Sicherheit und ES Lieferanten

Cybersecurity Produktverkäufer, Diensterbringer und Resellers sind ein wesentliches Teil der gesamten cyber Versorgungsmaterial-Kette. Dementsprechend können ihre cybersecurity politischen Richtlinien und Prozesse eine profunde abwärts gerichtete Auswirkung auf ihre Kunden, ihre Kunden' Kunden haben, und so weiter. In diesem Fall schließen kritische Infrastruktureinteilungen häufig cybersecurity Betrachtungen ein, wenn sie ES Beschaffung Entscheidungen treffen.

Gerade welche Arten der cybersecurity Betrachtungen sind die meisten wichtig? Mehr als Drittel (35%) von Einteilungen Erfahrung betrachtet ihrer Verkäufer' und die Schiene Aufzeichnung, die auf Sicherheit Verwundbarkeit und folgenden Verlegenheiten bezogen wird. Das heißt, beurteilen kritische Infrastruktureinteilungen Verkäufer durch die Qualität ihrer Software und ihres Reaktionsvermögens in regelnsoftware-Verwundbarkeit, wenn sie entstehen. Eine anderen 35% halten ihre Verkäufer' für gesamte Sicherheit Sachkenntnis und Renommee. Schließen Sie nach, halten 32% ihre Verkäufer' cyber Versorgungsmaterial-Kette Risikomanagementprozesse, während 31% für Renommee ihrer Verkäufer' und Industriesachkenntnis erwägen (siehe Tabelle 7).

Offenbar haben kritische Infrastruktureinteilungen eine Anzahl von den cybersecurity Betrachtungen betreffend sind ihr ES Verkäufer, aber viele dieser Interessen, wie Verkäuferrenommee und Sachkenntnis, bleiben subjektiv. Um diese weichen Betrachtungen auszugleichen, sollte CISOs eine Liste der objektiven Metrik wie der Zahl von CVEs wirklich herstellen verbunden mit spezifischen ISV Anwendungen und dem durchschnittlichen timeframe zwischen Verwundbarkeitfreigabe und Sicherheit Fleckenfreigaben. Diese Arten von Metriken können nützlich sein, wenn man ES Leistungsfähigkeit Sicherheit des Verkäufers ein gegen eines anderen vergleicht.

Cyber Versorgungsmaterial-Kette Sicherheit beste Praxis schreibt vor, daß Einteilungen die Sicherheit Prozesse, die Verfahren und den Technologieschutz, der durch die ganze ihr ES Lieferanten verwendet wird festsetzen. Um die cybersecurity Praxis von ES zu messen leiten Verkäufer, einige kritische Infrastruktureinteilungen proaktive Sicherheit Bilanzen der Wolke Diensterbringer, der Software-Anbieter, der Hardwarehersteller, der Verkäufer der professionellen Services die ES Systeme anbringen und besonders anfertigen, und des VARs/der Verteiler die ES Gerät und/oder Dienstleistungen entbinden.

Sind diese Sicherheit Bilanzen gängige Praxis? ESG Forschung deckt Mischresultate auf. Auf Durchschnitt gerade unter 50% von kritischen Infrastruktureinteilungen revidieren Sie immer alle Arten von IHM Lieferanten, eine markierte Verbesserung von 2010, als 28% von kritischen Infrastruktureinteilungen ihr ES immer Lieferanten revidierte. Dennoch gibt es ruhiges viel des Raumes für Verbesserung. Z.B. revidieren 18% von Einteilungen nicht die Sicherheit Prozesse und die Verfahren von Resellers, von VARs und von Verteilern zur Zeit. Während das Snowden Ereignis anzeigt, diese kann ES Verteilung Fachleute für Versorgungsmaterial-Kette Verbot für das Einführen des böswilligen Codes, der Mikroprogrammaufstellung oder der backdoors in ES verwendet werden Gerät, um einen gerichteten Angriff oder eine Industriespionage zu leiten (siehe Tabelle 8).

ES Verkäufersicherheit Bilanzen scheint, eine geteilte Verantwortlichkeit mit der cybersecurity Mannschaft zu sein, die eine stützende Rolle spielt. General hat ES Management etwas Verantwortlichkeit für das Festsetzen SIE Verkäufersicherheit bei zweidrittel (67%) von Einteilungen, während die cybersecurity Mannschaft verantwortliche innen gerechte überhälfte (51%) von Einteilungen ist (siehe Tabelle 9).

Diese Resultate sind ein wenig neugierig. Schließlich warum würde nicht die cybersecurity Mannschaft für ES Verkäufersicherheit Bilanzen in etwas Kapazität verantwortlich sein? Möglicherweise sehen einige Einteilungen ES Verkäufersicherheit Bilanzen als Formalität, Teil der Verantwortlichkeit der Beschaffung Mannschaft an oder adressieren ES Verkäufersicherheit Bilanzen mit Standard„checkbox“ Schreibarbeit alleine. Unabhängig davon den Grund stellt ES Verkäufersicherheit Bilanzen begrenzten Wert ohne praktische cybersecurity Aufsicht während des Prozesses zur Verfügung.

ES Verkäufersicherheit Bilanzen schwankt weit in Breite und Tiefe ausgedrückt, also wünschte ESG etwas Einblick in die allgemeinsten Einheiten, die als Teil des Bilanzprozesses verwendet wurden. Gerechte überhälfte (54%) von Einteilungen leiten einen praktischen Bericht ihrer Verkäufer' Sicherheit Geschichte; 52% Berichtunterlagen, Prozesse, Sicherheit Metrik und Personal bezogen auf ihren Verkäufern' cyber Versorgungsmaterial-Kette Sicherheit Prozesse; und 51% Bericht interne Bilanzen Sicherheit ihrer Verkäufer' (siehe Tabelle 10).

Selbstverständlich schließen viele Einteilungen mehrere dieser Einheiten als Teil ihres ES Verkäufersicherheit Bilanzen mit ein, um eine komplettere Perspektive zu erhalten. Dennoch basieren viele dieser Bilanzbetrachtungen nach historischer Leistung. ESG schlägt vor, daß historische Berichte mit etwas Art Sicherheit überwachend und/oder der teilenden cybersecurity Intelligenz ergänzt werden, damit Einteilungen cyber Versorgungsmaterial-Kette Sicherheit Gefahren in der Realzeit besser festsetzen können.

Die cybersecurity politischen Richtlinien, die Prozesse und die Kontrollen mit übereinstimmung festsetzen, alle, die SIE Verkäufersicherheit Bilanzen ein formales, dokumentiertes Verfahren befolgen sollte. ESG Forschung zeigt an, daß Hälfte aller kritischen Infrastruktureinteilungen einen formalen Sicherheit Bilanzprozeß in allen Fällen leiten, während die andere Hälfte etwas Flexibilität haben, von formalem abzuweichen ES, Verkäufersicherheit Bilanzprozesse bei Gelegenheit (siehe Tabelle 11). Es ist, zu merken, daß 57% von Organisationen der finanziellen Services einen formalen Sicherheit Bilanzprozeß für ES Verkäufer, die in allen Fällen gefolgt werden müssen, im Vergleich mit 47% von Einteilungen in anderen Industrien haben. Dieses ist eine andere Anzeige, die Unternehmen der finanziellen Services neigen, zu haben vorgerückte und zwingendere cybersecurity Politik und Prozesse als die von anderen Industrien.

ES Verkäufersicherheit Bilanzen bezieht Datenerfassung, Analyse, Auswertungen und abschließende Beschlußfassung mit ein. Von einer zählenden Perspektive gerade setzen überschußhälfte (51%) der kritischen Infrastruktureinteilungen formale Metriken/Scorecards ein, in denen SIE Verkäufer ein bestimmtes cybersecurity Profil erreichen muß, um als anerkannter Lieferant zu qualifizieren. Der Rest der kritischen Infrastruktureinteilungen haben weniger zwingende Richtlinien-32%, einen formalen Verkäuferberichtprozeß aber keine spezifischen Metriken für Verkäuferqualifikation zu haben, während die 16% Führung ein formloser Berichtprozeß (siehe Tabelle 12).

Gesamt, zeigt ESG Forschung an, daß viele kritische Einteilungen nicht genügend gebührende Sorgfalt mit IHR Verkäufer cybersecurity Bilanzen tun. Um die Gefahr eines cyber Versorgungsmaterial-Kette Sicherheit Ereignisses herabzusetzen, würde beste Praxis der Verkäuferbilanz die folgenden drei Schritte einschließen müssen:

1. Einteilung revidiert immer die internen Sicherheit Prozesse von strategischem ES Verkäufer.

1. Einteilung verwendet einen formalen Standardbilanzprozeß für alle ES Verkäuferbilanzen.

2. Einteilung setzt formale Metrik/Scorecards ein, in denen SIE die Verkäufer eine zählende Schwelle übersteigen muß, um für SIE zu qualifizieren Zustimmung kaufend.

Als ESG kritische Infrastruktureinteilungen durch diese Reihe von IHM Verkäuferbilanzschritte festsetzte, beunruhigten die Resultate extrem. Z.B. auf Durchschnitt, nur 14% der Gesamtübersicht Bevölkerung befolgt alle drei besten Praxisschritte, wenn die Sicherheit ihrer strategischen Infrastrukturverkäufer revidiert wird (sehen Sie Tabelle 3). Da strategische Infrastrukturverkäufer häufig revidiert werden, ist es sicher, anzunehmen, daß weniger als 14% der Gesamtübersicht Bevölkerung dieser besten Praxis folgt, wenn es die Sicherheit der Software-Verkäufer, Wolke Diensterbringer revidiert, macht professionelle Dienstleistungen und Verteiler fest.

Es ist auch wert die Anmerkung, daß ESG Daten den begrenzten Verbesserungen betreffend sind SIE die Verkäufersicherheit zeigen, die beste Praxis in den letzten fünf Jahren revidiert. 2010 folgte nur 10% von kritischen Infrastruktureinteilungen allen sechs besten Praxisschritten, während 14% so 2015 tun. Offenbar gibt es eine ruhige Menge Raum für Verbesserung.

Unabhängig davon Sicherheit Bilanzmängel sind viele kritische Infrastruktureinteilungen über ihr ES Verkäufer' Sicherheit ein wenig bullish. Auf Durchschnitt veranschlagen 41% von cybersecurity Fachleuten alle Arten von IHM Verkäufer, wie ausgezeichnet in ihrer Verpflichtung zu und Kommunikationen über ihre internen Sicherheit Prozesse und Verfahren ausgedrückt, geführt von den strategischen Infrastrukturverkäufern, die eine ausgezeichnete Bewertung von 49% der geüberblickten cybersecurity Fachleute erzielen (siehe Tabelle 13).

Kritische Infrastruktureinteilungen gaben ihr ES Verkäufer positivere Sicherheit Bewertungen in 2015 verglichen mit 2010. Z.B. veranschlug nur 19% von kritischen Infrastruktureinteilungen ihre strategischen Infrastrukturverkäufer, wie ausgezeichnet in 2010 verglichen mit 49% 2015. Viele hat ES Verkäufer den Wert des Errichtens von cybersecurity in Produkte und von Prozessen während dieses timeframe erkannt und ist über ihre cybersecurity Verbesserungen viel bevorstehender. Ausserdem haben kritische Infrastruktureinteilungen die Menge von Verkäufersicherheit gebührender Sorgfalt über den letzten fünf Jahren erhöht und geführt zu grössere Sicht und verbesserte Verkäuferbewertungen.

Die Nachrichten sind nicht ganz gut, da 12% mindestens von kritischen Infrastruktureinteilungen nur bereit sind, ihr SIE zu geben Verkäufer' interne Sicherheit Prozesse und Verfahren ein zufriedenstellendes, Messe oder schlechte Bewertung. ESG wird besonders mit den Bewertungen betroffen, die mit Resellers, VARs verbunden sind, und Verteiler seit 24% von kritischen Infrastruktureinteilungen veranschlagen ihre internen Sicherheit Prozesse und Verfahren, wie zufriedenstellend, Messe oder Armen. Dieses bemüht besonders, da Tabelle 10 aufdeckt, daß 18% von kritischen Infrastruktureinteilungen nicht Sicherheit Bilanzen auf Resellers, VARs und Verteilern durchführen. Gegründet nach allen diese Daten, scheint es, daß kritische Infrastruktureinteilungen zu den cybersecurity Angriffen (wie Versorgungsmaterial-Kette Verbot) ausströmend von den Resellers, von VARs und von den Verteilern verletzbar bleiben.

ES Kleinteile und Software wird häufig in den mehrfachen Ländern mit unterschiedlichen Grad des Patentschutzes oder der zugelassenen Aufsicht entwickelt, geprüft, zusammengebaut oder hergestellt. Einige dieser Länder sind bekannte „heiße Betten“ von cybercrime oder sogar von Zustand-geförderter Cyberspionage. Diese Wirklichkeiten gegeben, würde man denken, daß kritische Infrastruktureinteilungen sorgfältig die Ursprung von ES die Produkte nachvollziehen würden, die durch ihre Unternehmen gekauft wurden und verwendet waren.

Daten ESGS schlagen vor, daß die meisten Unternehmen mindestens über die geographische Abstammung von ihrem ES Werte ein wenig sicher sind (siehe Tabelle 14). Es sollte auch gemerkt werden, daß es meßbare Verbesserungen in diesem Bereich gegeben hat, da 41% von kritischen Infrastruktureinteilungen sehr überzeugt sind, denen sie das Land kennen, in dem ihr ER Kleinteil- und Software-Produkte ursprünglich verglichen worden mit nur 24% 2010 entwickelt und/oder hergestellt wurde. Noch einmal schreibt ESG diesen Fortschritt Verbesserungen in IHM Verkäufersicherheit gebührende Sorgfalt, grössere Versorgungsmaterial-Kette Sicherheit Aufsicht innerhalb ES Verkäufergemeinschaft und erhöhtes gesamtes cyber Versorgungsmaterial-Kette Sicherheit Bewußtsein über der gesamten cybersecurity Gemeinschaft über letzten fünf Jahre zu.

Während cybersecurity Fachleute positiven Bewertungen zu ihrem ES Verkäufer' Sicherheit gaben und hinsichtlich der Ursprung von ihrem ES Kleinteile und Software ziemlich überzeugt sind, bleiben sie wegen der unsicheren Kleinteile verletzbar und Software, die SIE irgendwie Verkäufersicherheit Bilanzen verhindern, fallen durch die Sprünge und Ende oben in den Produktion Klimas. Tatsächlich lassen die Majorität (58%) der kritischen Infrastruktureinteilungen zu, daß sie unsichere Produkte und/oder Dienstleistungen verwenden, die ein Grund zur Besorgnis sind (siehe Tabelle 15). Ein könnte ES Produkt oder Service-Verwundbarkeit die sprichwörtliche „schwache Verbindung“, das das zu cyber-angreifen auf dem Energie Rasterfeld, führt ATM Netz oder Wasserversorgung darstellen.

Cyber Versorgungsmaterial-Kette Sicherheit und Software-Versicherung

Software-Versicherung ist eine andere SchlüsselLehre der cyber Versorgungsmaterial-Kette Sicherheit, da sie die Gefahren adressiert, die mit einem cybersecurity Angriff verbunden sind, der Geschäft Software zielt. Die US Verteidigungsministerium definiert Software-Versicherung wie:

„Das Niveau des Vertrauens, das Software von der Verwundbarkeit, entweder absichtlich frei ist, entwarf in die Software oder schob versehentlich jederzeit während seiner Lebensdauer ein, und das die Software arbeitet in der beabsichtigten Weise.“

Kritische Infrastruktureinteilungen neigen, ES verfeinert zu haben Bedingungen, also kommt es als keine überraschung, der 40% von den überblickten Einteilungen eine bedeutende Menge Software für internen Gebrauch entwickeln, während eine anderen 41% von Einteilungen eine gemäßigte Menge Software für internen Gebrauch entwickeln (siehe Tabelle 16).

Software-Verwundbarkeit fährt fort, einen Hauptdrohungvektor für darzustellen cyber-angreift. Z.B. berichten der Verizon Daten-Bruch 2015 und Untersuchungen gefunden, daß Netzanwendung Angriffe 9.4% von Ereignisklassifikationmustern innerhalb der bestätigten Datenbrüche betrugen. Seit schlecht geschriebenen irgendwelchen, könnte unsichere Software eine bedeutende Gefahr zu den Geschäftsoperationen darstellen, bat ESG Antwortende, ihre Einteilungen auf der Sicherheit ihrer innerlich entwickelten Software zu veranschlagen. Die Resultate verändern sich groß: 47% von Antwortenden sagen, daß sie in der Sicherheit der entwickelten Software ihrer Einteilung innerlich sehr überzeugt sind, aber 43% sind nur ein wenig überzeugt und eine anderen 8% bleiben Null (siehe Tabelle 17).

Es gibt eine geringfügige Zunahme des Vertrauen Niveaus über letzten fünf Jahre als 36% von den cybersecurity Fachleuten, die an den kritischen Infrastruktureinteilungen arbeiten, waren sehr überzeugt in der Sicherheit der entwickelten Software ihrer Einteilung innerlich in 2010 heute verglichen mit 47%. Aber dieses ist eine begrenzte Verbesserung bestenfalls.

Um Software-Sicherheit objektiver festzusetzen, fragte ESG Antwortende ob ihre Einteilung überhaupt ein Sicherheit Ereignis erfuhr, das direkt auf dem Kompromiß der innerlich entwickelten Software bezogen wurde. Während es ausfällt, hat Drittel von kritischen Infrastruktureinteilungen eine oder einige Sicherheit Ereignisse erfahren, die direkt mit dem Kompromiß der innerlich entwickelten Software zusammenhingen (siehe Tabelle 18).

Von einer Industrieperspektive haben 39% von Unternehmen der finanziellen Services ein Sicherheit Ereignis erfahren, das direkt auf dem Kompromiß der innerlich entwickelten Software bezogen wird, die mit 30% von Einteilungen von anderen kritischen Infrastrukturindustrien verglichen wird. Dieses geschieht trotz der tatsache, daß finanzielle Dienstleistungen neigen, cybersecurity Fähigkeiten und ausreichende cybersecurity Betriebsmittel vorgerückt zu haben. ESG findet diese Daten, besonders zu bemühen, da auf Haupt-US cyber-angreifen Sie Bank konnte das inländische finanzielle System stören, globale Märkte auswirken und massive Verbraucherpanik verursachen.

Kritische Infrastruktureinteilungen erkennen die Gefahren, die mit unsicherer Software verbunden sind und setzen aktiv eine Vielzahl von Sicherheit Kontrollen und von Software-Versicherung Programmen ein. Das populärste von diesen ist auch das einfachste einzuführen, da 51% der Einteilungen, die überblickt werden, Anwendung Brandmauern entfaltet haben, um Anwendungschicht zu blockieren cyber-angreift wie SQL Einspritzungen und Kreuzaufstellungsort, die scripting sind (XSS). Zusätzlich zu entfaltenden Anwendung Brandmauern über Hälfte der kritischen Infrastruktureinteilungen, die auch überblickt werden, schließen Sie Sicherheit prüfenwerkzeuge als Teil ihrer Software-Entwicklung Prozesse mit ein und ihre Software-Sicherheit gegen öffentlich erhältliche Standards messen und die sichere Software-Entwicklung zur Verfügung stellen, die zu den internen Entwicklern ausbildet und sichere Software-Entwicklung Lebensdauerprozesse annimmt (siehe Tabelle 19). Selbstverständlich nehmen viele Einteilungen an mehreren dieser Tätigkeiten gleichzeitig teil, um die Sicherheit ihrer homegrown Software zu polstern.

Sichere Software-Entwicklungsprogramme sind zweifellos ein Schritt in der rechten Richtung, aber Software-Versicherung Wirksamkeit ist eine Funktion von zwei Faktoren: die Arten der Programme eingesetzt und die übereinstimmung dieser Programme. ESG Forschung deckt auf, daß gerade überschußhälfte der kritischen Infrastruktureinteilungen sichere Software-Entwicklung Prozesse und Verfahren als Unternehmenvollmacht behandeln, also ist es wahrscheinlich, daß diese Unternehmen ein gleichbleibendes sicheres Software-Entwicklung Verfahren über der Einteilung haben.

Wechselweise führen 42% der kritischen überblickten Infrastruktureinteilungen sichere Software-Entwicklung Prozesse und Verfahren als Abteilungs- oder Linie-vongeschäft Vollmacht ein (siehe Tabelle 20). Dezentralisierte Software-Sicherheit Prozesse wie diese können zu enorme Veränderlichkeit führen, in der einige Abteilungen starke Software-Versicherung Programme einleiten, während andere nicht. Ausserdem können sichere Software-Entwicklungsprogramme während des Unternehmens schwanken, in dem eine Abteilung Training und formale Prozesse liefert, während andere einfach eine Anwendung Brandmauer entfaltet. Während der alte Saying geht, „ein schlechter Apfel kann das vollständige Bündel verderben“ - eine einzelne Abteilung, die unsichere innerlich entwickelte Software kann die Tür zum Beschädigen öffnen cyber-angreift daß Auswirkung das gesamte Unternehmen entfaltet und stören kritische Infrastrukturservices wie Nahrungsmittelverteilung, Gesundheitspflege oder Nachrichtentechniken.

Kritische Infrastruktureinteilungen führen sichere Software-Entwicklungsprogramme für eine Anzahl von Gründen, einschließlich das Befolgen allgemeines cybersecurity beste Praxis (63%) ein und decken regelnde Befolgungvollmacht (55%) und gleichmäßige senkende Kosten, indem sie Software-Sicherheit Wanzen im Entwicklung Prozeß reparieren (siehe Tabelle 21).

Es ist auch wert die Anmerkung, daß 27% von kritischen Infrastruktureinteilungen sichere Software-Entwicklungsprogramme in Erwartung der neuen Gesetzgebung herstellen. Diese Einteilungen können in dem NIST cybersecurity Rahmen (CSF) ausgedrückt denken zuerst im Februar 2014 eingeführt. Obgleich Befolgung des CSF freiwilliger heutiger Tag ist, kann sie in ein allgemeines Risikomanagement und regelnden in einen Befolgungstandard entwickeln, der andere Regierung und Industrieregelungen wie FISMA, GLBA, HIPAA und PCI-DSS zukünftig ersetzt. Ausserdem kann der CSF ein Standard für das Benchmarking IHN Gefahr als Teil der unterschreibenden cyber Versicherung auch werden und kann verwendet werden, Einteilungen festzustellen' Versicherungsprämien. Diese Möglichkeiten gegeben, würden kritische Infrastruktureinteilungen klug sein, den CSF zu beraten, CSF Empfehlungen für Software-Sicherheit festzusetzen, und den CSF zu verwenden, um ihre Software-Sicherheit Prozesse und Kontrollen wo möglich zu führen.

Neben den fortwährenden Software-Sicherheit Maßnahmen, die heute ergriffen werden, haben kritische Infrastruktureinteilungen auch den Zukunft Pläne-28% Plan, zum spezifische Sicherheit der prüfenwerkzeuge als Teil der Software-Entwicklung mit einzuschließen, fügt 25% Netzanwendung Brandmauern ihrer Infrastruktur hinzu, und 24% stellt Entwickler und Entwicklung Manager mit sicheren Software-Entwicklung Fähigkeiten an (siehe Tabelle 22). Diese ehrgeizigen Pläne zeigen an, daß CISOs ihre Software-Entwicklung Sicherheit Mängel erkennen und Vorsichtsmaßnahmen treffen, um Gefahr abzuschwächen.

Etwas Software-Entwicklung, Wartung und prüfentätigkeiten sind outsourced häufig zu den aus dritter Quelle Fremdfirmen und zu den Diensterbringern. Dieses ist der Fall an der Hälfte der kritischen Infrastruktureinteilungen, die an dieser ESG Forschung übersicht teilnahmen (siehe Tabelle 23).

Als Teil dieser Verhältnisse setzen viele kritische Infrastruktureinteilungen spezifisches cybersecurity Vertragsbedingungen auf aus dritter Quellesoftware-Entwicklung Partner. Z.B. 43% Vollmacht Sicherheit, die als Teil des Annahmeprozesses, der überprüfungen des 41% Nachfragehintergrundes auf aus dritter Quellesoftware-Entwickler und der 41% Bericht-Software-Entwicklung Projekte auf Sicherheit Verwundbarkeit prüft (siehe Tabelle 24).