Cybersecurity, Critical Infrastructure Organizations, and the U.S. Government
     
    Remove Translation Translation
    Original Text

    To address these issues, President Obama and various senators and congressman have proposed several cybersecurity programs such as the NIST Cybersecurity Framework and an increase in threat intelligence sharing between critical infrastructure organizations and federal intelligence and law enforcement agencies. Of course, federal cybersecurity discussions are nothing new. Recognizing a national security vulnerability, President Clinton first addressed critical infrastructure protection (CIP) with Presidential Decision Directive 63 (PDD-63) in 1998. Soon thereafter, Deputy Defense Secretary John Hamre cautioned the U.S. Congress about CIP by warning of a potential “cyber Pearl Harbor.” Hamre stated that a devastating cyber-attack, “… is not going to be against Navy ships sitting in a Navy shipyard. It is going to be against commercial infrastructure.”

    Um diese Punkte anzusprechen, haben Präsident Obama und verschiedene Senatoren und Kongreßabgeordnetes einige cybersecurity Programme wie der NIST Cybersecurity Rahmen und eine Zunahme der Drohungintelligenz vorgeschlagen, die zwischen kritischen Infrastruktureinteilungen und Bundesintelligenz und Gesetzdurchführungagenturen teilt. Selbstverständlich sind Bundescybersecurity Diskussionen nichts neues. Eine Staatssicherheit Verwundbarkeit erkennend, adressierte Präsident Clinton zuerst kritischen Infrastrukturschutz (CIP) mit Präsidentenentscheidung Richtlinie 63 (PDD-63) 1998. Bald danach, warnte Abgeordneter Defense Secretary John Hamre die US Kongreß über CIP durch Warnung eines möglichen „cyber Pearl Harbor.“ Hamre gab, daß ein verheerendes cyber-angreifen, „… wird nicht gegen die Marineschiffe sein an, die in einer Marinewerft sitzen. Es wird gegen kommerzielle Infrastruktur sein.“

    Security professionals working at critical infrastructure industries have been directly or indirectly engaged with U.S. Federal Government cybersecurity programs and initiatives through several presidential administrations. Given this lengthy timeframe, ESG wondered whether these security professionals truly understood the U.S. government’s cybersecurity strategy.

    Die Sicherheit Fachleute, die an den kritischen Infrastrukturindustrien arbeiten, sind direkt gewesen oder engagiert indirekt sich in den USbundesregierung cybersecurity Programmen und den Initiativen durch einige Präsidentenleitungen. Dieses langatmige timeframe gegeben, wunderte sich ESG, ob diese Sicherheit Fachleute wirklich die US verstanden Strategie cybersecurity der Regierung.

    According to Figure 4, the results are mixed at best. One could easily conclude that the data resembles a normal curve in which the majority of respondents believe that the U.S. government’s cybersecurity strategy is somewhat clear while the rest of the survey population is distributed between those that believe that the U.S. government’s cybersecurity strategy is very clear and those that say it is unclear. ESG views the results somewhat differently, however. In spite of over 20 years of U.S. Federal cybersecurity discussions, many security professionals remain uncertain about what the government plans to do in this space. Clearly, the U.S. Federal Government needs to clarify its mission, its objectives, and its timeline with cybersecurity professionals to gain their trust and enlist their support for public/private programs.

    Entsprechend Tabelle 4, werden die Resultate bestenfalls gemischt. Man könnte leicht feststellen, daß die Daten einer normalen Kurve ähneln, an die die Mehrheit einen Antwortenden daß die US glauben Strategie cybersecurity der Regierung ist ein wenig klar, während der Rest der übersicht Bevölkerung zwischen die verteilt wird, die daß die US glauben Strategie cybersecurity der Regierung ist sehr klar und die, die sie sagen, ist unklar. ESG sieht die Resultate ein wenig anders als, jedoch an. Trotz über 20 Jahre USbundescybersecurity Diskussionen, bleiben viele Sicherheit Fachleute unsicher über, was die Regierung Pläne, zum in diesem Raum zu tun. Offenbar muß die USbundesregierung seine Mission, seine Zielsetzungen und sein timeline mit cybersecurity Fachleuten erklären, um ihr Vertrauen zu gewinnen und ihre Unterstützung für die allgemeinen/privaten Programme einzutragen.

    Figure 4. Opinion about U.S. Federal Government’s Cybersecurity Strategy
    Figure 4. Opinion about U.S. Federal Government’s Cybersecurity Strategy

    While critical infrastructure security professionals may be tentative about the Federal Government’s strategy, they would also like to see Washington become more engaged. Nearly half (45%) of critical infrastructure organizations believe that the U.S. Federal Government should be significantly more active with cybersecurity strategies and defenses while 38% believe that the U.S. Federal Government should be somewhat more active with cybersecurity strategies and defenses (see Figure 5).

    Während kritische Infrastruktursicherheit Fachleute über die Strategie der Bundesregierung vorläufig sein können, möchten sie auch Washington sehen, engagiert zu werden. Fast glauben Hälfte (45%) der kritischen Infrastruktureinteilungen, daß die USbundesregierung deutlich mehr aktives mit cybersecurity Strategien und Verteidigung sein sollte, während 38% glauben, daß die USbundesregierung mit cybersecurity Strategien und Verteidigung ein wenig aktiver sein sollte (siehe Tabelle 5).

    Figure 5. Critical Infrastructure Organizations Want More Cybersecurity Involvement from the U.S. Federal Government
    Figure 5. Critical Infrastructure Organizations Want More Cybersecurity Involvement from the U.S. Federal Government

    Finally, ESG asked the entire survey population of security professionals what types of cybersecurity actions the U.S. government should take. Nearly half (47%) believe that Washington should create better ways to share security information with the private sector. This aligns well with President Obama’s executive order urging companies to share cybersecurity threat information with the Federal Government and one another. Cybersecurity professionals have numerous other suggestions as well. Some of these could be considered government cybersecurity enticements. For example, 37% suggest more funding for cybersecurity education programs while 36% would like more incentives like tax breaks or matching funds for organizations that invest in cybersecurity. Alternatively, many cybersecurity professionals recommend more punitive or legislative measures—44% believe that the Federal Government should create a “black list” of vendors with poor product security (i.e.,  the cybersecurity equivalent of a scarlet letter), 40% say that the Federal Government should limit its IT purchasing to vendors that display a superior level of security, and 40% endorse more stringent regulations like PCI DSS or the institution of laws with higher fines for data breaches (see Figure 6).

    Schließlich fragte ESG die gesamte übersicht Bevölkerung der Sicherheit Fachleute, welche Arten der cybersecurity Tätigkeiten die US Regierung sollte nehmen. Fast beinahe (47%) glauben Sie, daß Washington bessere Weisen verursachen sollte, Sicherheit Informationen mit dem privaten Sektor zu teilen. Dieses stimmt gut mit Präsident Obamas der Ausführungsverordnung überein, die Firmen drängt, cybersecurity Drohunginformationen mit der Bundesregierung und der andere zu teilen. Cybersecurity Fachleute haben zahlreich andere Vorschläge außerdem. Einige von diesen konnten gelten als Regierung cybersecurity Verleitungen. Z.B. schlagen 37% die Finanzierung für cybersecurity Ausbildung Programme vor, während 36% mehr Anreize wie Steuerfreijahr- oder Zusammenbringenkapital für Einteilungen möchte, die im cybersecurity investieren. Wechselweise empfehlen viele cybersecurity Fachleute strafenderes, oder gesetzgebende Masse-44% glauben, daß die Bundesregierung eine „schwarze Liste“ der Verkäufer mit schlechter Produktsicherheit erstellen sollte (d.h.,  das cybersecurity äquivalent eines Scarletbuchstaben), das 40% Sagen, daß die Bundesregierung sein ES begrenzen sollte kaufend zu den Verkäufern, die ein überlegenes Niveau der Sicherheit anzeigen und 40% indossieren zwingendere Regelungen wie PCI DSS, oder die Anstalt von Gesetzen mit höheren Geldstrafen für Daten bricht durch (siehe Tabelle 6).

    Figure 6. Critical Infrastructure Organizations Suggestions for U.S. Government Cybersecurity Actions
    Figure 6. Critical Infrastructure Organizations Suggestions for U.S. Government Cybersecurity Actions