To address these issues, President Obama and various senators and congressman have proposed several cybersecurity programs such as the NIST Cybersecurity Framework and an increase in threat intelligence sharing between critical infrastructure organizations and federal intelligence and law enforcement agencies. Of course, federal cybersecurity discussions are nothing new. Recognizing a national security vulnerability, President Clinton first addressed critical infrastructure protection (CIP) with Presidential Decision Directive 63 (PDD-63) in 1998. Soon thereafter, Deputy Defense Secretary John Hamre cautioned the U.S. Congress about CIP by warning of a potential “cyber Pearl Harbor.” Hamre stated that a devastating cyber-attack, “… is not going to be against Navy ships sitting in a Navy shipyard. It is going to be against commercial infrastructure.” |
Pour adresser ces questions, le Président Obama et les divers sénateurs et membre du Congrès ont proposé plusieurs programmes de cybersecurity tels que le cadre de NIST Cybersecurity et une augmentation de l'intelligence de menace partageant entre les organismes critiques d'infrastructure et les agences fédérales d'application d'intelligence et de loi. Naturellement, les discussions fédérales de cybersecurity sont rien de neuf. Identifiant une vulnérabilité de sécurité nationale, le Président Clinton a adressé la première fois la protection critique d'infrastructure (CIP) avec la directive présidentielle 63 (PDD-63) de décision en 1998. Bientôt ensuite, député Defense Secretary John Hamre a averti les États-Unis Le congrès au sujet du CIP par l'avertissement d'un potentiel « cyber Pearl Harbor. » Hamre a déclaré qu'un dévastateur cyber-attaque, « … ne va pas être contre des bateaux de marine se reposant dans un chantier naval de marine. Il va être contre l'infrastructure commerciale. » |
Security professionals working at critical infrastructure industries have been directly or indirectly engaged with U.S. Federal Government cybersecurity programs and initiatives through several presidential administrations. Given this lengthy timeframe, ESG wondered whether these security professionals truly understood the U.S. government’s cybersecurity strategy. |
Les professionnels de sécurité travaillant aux industries critiques d'infrastructure ont été directement ou ont indirectement engagé dans des programmes et des initiatives de cybersecurity de gouvernement fédéral des États-Unis par plusieurs administrations présidentielles. Donné ce calendrier prolongé, ESG s'est demandé si ces professionnels de sécurité ont vraiment compris les États-Unis stratégie du cybersecurity du gouvernement. |
According to Figure 4, the results are mixed at best. One could easily conclude that the data resembles a normal curve in which the majority of respondents believe that the U.S. government’s cybersecurity strategy is somewhat clear while the rest of the survey population is distributed between those that believe that the U.S. government’s cybersecurity strategy is very clear and those that say it is unclear. ESG views the results somewhat differently, however. In spite of over 20 years of U.S. Federal cybersecurity discussions, many security professionals remain uncertain about what the government plans to do in this space. Clearly, the U.S. Federal Government needs to clarify its mission, its objectives, and its timeline with cybersecurity professionals to gain their trust and enlist their support for public/private programs. |
Selon le schéma 4, les résultats sont mélangés au mieux. On pourrait facilement conclure que les données ressemblent à une courbe normale à laquelle la majorité de répondants croient que les États-Unis la stratégie du cybersecurity du gouvernement est quelque peu claire tandis que le reste de la population d'aperçu est distribué entre ceux qui croient que les États-Unis la stratégie du cybersecurity du gouvernement est très claire et ceux qui l'indiquent est peu claire. ESG regarde les résultats légèrement différemment, cependant. Malgré sur 20 ans de discussions fédérales de cybersecurity des États-Unis, beaucoup de professionnels de sécurité restent incertains au sujet de ce qui les plans de gouvernement à faire dans cet espace. Clairement, le gouvernement fédéral des États-Unis doit clarifier sa mission, ses objectifs, et sa chronologie avec des professionnels de cybersecurity pour gagner leur confiance et pour enrôler leur soutien de programmes publics/privés. |
While critical infrastructure security professionals may be tentative about the Federal Government’s strategy, they would also like to see Washington become more engaged. Nearly half (45%) of critical infrastructure organizations believe that the U.S. Federal Government should be significantly more active with cybersecurity strategies and defenses while 38% believe that the U.S. Federal Government should be somewhat more active with cybersecurity strategies and defenses (see Figure 5). |
Tandis que les professionnels critiques de sécurité d'infrastructure peuvent être expérimentaux au sujet de la stratégie de gouvernement fédéral, ils voudraient également voir Washington devenir plus engagé. Presque la moitié (45%) des organismes critiques d'infrastructure croient que le gouvernement fédéral des États-Unis devrait être sensiblement plus d'actif avec des stratégies et des défenses de cybersecurity tandis que 38% croient que le gouvernement fédéral des États-Unis devrait être légèrement plus en activité avec des stratégies et des défenses de cybersecurity (voir le schéma 5). |
Finally, ESG asked the entire survey population of security professionals what types of cybersecurity actions the U.S. government should take. Nearly half (47%) believe that Washington should create better ways to share security information with the private sector. This aligns well with President Obama’s executive order urging companies to share cybersecurity threat information with the Federal Government and one another. Cybersecurity professionals have numerous other suggestions as well. Some of these could be considered government cybersecurity enticements. For example, 37% suggest more funding for cybersecurity education programs while 36% would like more incentives like tax breaks or matching funds for organizations that invest in cybersecurity. Alternatively, many cybersecurity professionals recommend more punitive or legislative measures—44% believe that the Federal Government should create a “black list” of vendors with poor product security (i.e., the cybersecurity equivalent of a scarlet letter), 40% say that the Federal Government should limit its IT purchasing to vendors that display a superior level of security, and 40% endorse more stringent regulations like PCI DSS or the institution of laws with higher fines for data breaches (see Figure 6). |
En conclusion, ESG a demandé à la population entière d'aperçu des professionnels de sécurité quels types d'actions de cybersecurity les États-Unis le gouvernement devrait prendre. Presque à moitié (47%) croyez que Washington devrait créer de meilleures manières de partager l'information de sécurité avec le secteur privé. Ceci aligne bien avec l'ordre exécutif du Président Obama's invitant des compagnies à partager l'information de menace de cybersecurity avec le gouvernement fédéral et celui un autre. Les professionnels de Cybersecurity ont nombreux d'autres suggestions aussi bien. Certaines de ces derniers ont pu être considérées des attraits de cybersecurity de gouvernement. Par exemple, 37% suggèrent le placement pour des programmes d'éducation de cybersecurity tandis que 36% voudrait plus d'incitations comme des fonds d'allégements fiscaux ou d'assortiment pour les organismes qui investissent dans le cybersecurity. Alternativement, beaucoup de professionnels de cybersecurity recommandent plus punitif ou les mesures-44% législatives croient que le gouvernement fédéral devrait créer « une liste noire » de fournisseurs avec la sécurité pauvre de produit (c.-à-d., l'équivalent de cybersecurity d'une lettre d'écarlate), la parole de 40% que le gouvernement fédéral devrait la limiter son achetant aux fournisseurs qui montrent un niveau supérieur de sécurité, et 40% approuvent des règlements plus rigoureux comme PCI SAD ou l'établissement des lois avec des fines plus élevées pour des données ouvre une brèche (voir le schéma 6). |