To address these issues, President Obama and various senators and congressman have proposed several cybersecurity programs such as the NIST Cybersecurity Framework and an increase in threat intelligence sharing between critical infrastructure organizations and federal intelligence and law enforcement agencies. Of course, federal cybersecurity discussions are nothing new. Recognizing a national security vulnerability, President Clinton first addressed critical infrastructure protection (CIP) with Presidential Decision Directive 63 (PDD-63) in 1998. Soon thereafter, Deputy Defense Secretary John Hamre cautioned the U.S. Congress about CIP by warning of a potential “cyber Pearl Harbor.” Hamre stated that a devastating cyber-attack, “… is not going to be against Navy ships sitting in a Navy shipyard. It is going to be against commercial infrastructure.” |
Per richiamare queste edizioni, il presidente Obama ed i vari senatori e membro del Congresso hanno proposto parecchi programmi di cybersecurity quali la struttura del NIST Cybersecurity e un aumento nell'intelligenza di minaccia che si ripartisce fra le organizzazioni critiche dell'infrastruttura e le agenzie federali di applicazione di legge e di intelligenza. Naturalmente, le discussioni federali di cybersecurity sono niente di nuovo. Riconoscendo una vulnerabilità di sicurezza nazionale, il presidente Clinton in primo luogo ha richiamato la protezione critica dell'infrastruttura (CIP) con l'indirizzamento presidenziale 63 (PDD-63) di decisione in 1998. Presto da allora in poi, il delegato Defense Secretary John Hamre avvertenza gli Stati Uniti Congresso circa CIP da avvertimento “di un porto di perla potenziale del cyber.„ Hamre ha dichiarato che un devastating cyber-attaca, “… non sta andando essere contro le navi del blu marino che si siedono in un cantiere navale del blu marino. Sta andando essere contro l'infrastruttura commerciale.„ |
Security professionals working at critical infrastructure industries have been directly or indirectly engaged with U.S. Federal Government cybersecurity programs and initiatives through several presidential administrations. Given this lengthy timeframe, ESG wondered whether these security professionals truly understood the U.S. government’s cybersecurity strategy. |
I professionisti di sicurezza che lavorano alle industrie critiche dell'infrastruttura sono stati direttamente o indirettamente si sono agganciati con i programmi e le iniziative di cybersecurity di governo federale degli Stati Uniti attraverso parecchie gestioni presidenziali. Dato questo timeframe lungo, ESG si è domandato se questi professionisti di sicurezza allineare hanno capito gli Stati Uniti strategia di cybersecurity del governo. |
According to Figure 4, the results are mixed at best. One could easily conclude that the data resembles a normal curve in which the majority of respondents believe that the U.S. government’s cybersecurity strategy is somewhat clear while the rest of the survey population is distributed between those that believe that the U.S. government’s cybersecurity strategy is very clear and those that say it is unclear. ESG views the results somewhat differently, however. In spite of over 20 years of U.S. Federal cybersecurity discussions, many security professionals remain uncertain about what the government plans to do in this space. Clearly, the U.S. Federal Government needs to clarify its mission, its objectives, and its timeline with cybersecurity professionals to gain their trust and enlist their support for public/private programs. |
Secondo figura 4, i risultati sono mescolati nel migliore dei casi. Si potrebbe concludere facilmente che i dati assomigliano ad una curva normale in cui la maggior parte dei dichiaranti crede che gli Stati Uniti la strategia di cybersecurity del governo è in qualche modo chiara mentre il resto della popolazione di indagine è distribuito fra quelli che credono che gli Stati Uniti la strategia di cybersecurity del governo è molto chiara e quelle che la dicono sono poco chiare. ESG osserva piuttosto diversamente i risultati, tuttavia. Nonostante in 20 anni delle discussioni federali di cybersecurity degli Stati Uniti, molti professionisti di sicurezza rimangono incerti circa che cosa i programmi di governo da fare in questo spazio. Chiaramente, il governo federale degli Stati Uniti deve chiarire la relativa missione, i relativi obiettivi ed il relativo timeline con i professionisti di cybersecurity per guadagnare la loro fiducia e per arruolare il loro sostegno programmi pubblici/riservati. |
While critical infrastructure security professionals may be tentative about the Federal Government’s strategy, they would also like to see Washington become more engaged. Nearly half (45%) of critical infrastructure organizations believe that the U.S. Federal Government should be significantly more active with cybersecurity strategies and defenses while 38% believe that the U.S. Federal Government should be somewhat more active with cybersecurity strategies and defenses (see Figure 5). |
Mentre i professionisti critici di sicurezza dell'infrastruttura possono essere sperimentali circa la strategia del governo federale, inoltre vorrebbero vedere Washington essere agganciata. Quasi la metà (45%) delle organizzazioni critiche dell'infrastruttura crede che il governo federale degli Stati Uniti dovrebbe essere sensibilmente più di attivo con le strategie e le difese di cybersecurity mentre 38% credono che il governo federale degli Stati Uniti dovrebbe essere piuttosto più attivo con le strategie e le difese di cybersecurity (si veda figura 5). |
Finally, ESG asked the entire survey population of security professionals what types of cybersecurity actions the U.S. government should take. Nearly half (47%) believe that Washington should create better ways to share security information with the private sector. This aligns well with President Obama’s executive order urging companies to share cybersecurity threat information with the Federal Government and one another. Cybersecurity professionals have numerous other suggestions as well. Some of these could be considered government cybersecurity enticements. For example, 37% suggest more funding for cybersecurity education programs while 36% would like more incentives like tax breaks or matching funds for organizations that invest in cybersecurity. Alternatively, many cybersecurity professionals recommend more punitive or legislative measures—44% believe that the Federal Government should create a “black list” of vendors with poor product security (i.e., the cybersecurity equivalent of a scarlet letter), 40% say that the Federal Government should limit its IT purchasing to vendors that display a superior level of security, and 40% endorse more stringent regulations like PCI DSS or the institution of laws with higher fines for data breaches (see Figure 6). |
Per concludere, ESG ha chiesto all'intera popolazione di indagine dei professionisti di sicurezza che tipi di azioni di cybersecurity gli Stati Uniti il governo dovrebbe prendere. Quasi a metà (47%) credi che Washington dovrebbe generare i sensi migliori ripartire le informazioni di sicurezza con il settore privato. Ciò si allinea bene con ordine esecutivo del presidente Obama che invita le aziende a ripartire le informazioni di minaccia di cybersecurity con il governo federale e quello un altro. I professionisti di Cybersecurity hanno numeroso altri suggerimenti pure. Alcuni di questi hanno potuto essere considerati enticements di cybersecurity di governo. Per esempio, 37% suggeriscono costituire un fondo per per i programmi di formazione di cybersecurity mentre 36% gradirebbe più motivi come le rotture di imposta o i fondi monetari di corrispondenza per le organizzazioni che investono in cybersecurity. Alternativamente, molti professionisti di cybersecurity suggeriscono più punitivo o le misure-44% legislative credono che il governo federale dovrebbe generare “una lista nera„ dei fornitori con povera sicurezza del prodotto (cioè, l'equivalente di cybersecurity di una lettera di scarlet), l'opinione di 40% che il governo federale dovrebbe limitarlo relativo che compra ai fornitori che visualizzano un livello superiore di sicurezza e 40% firmano le regolazioni più rigorose come il PCI DSS o l'istituzione delle leggi con le più alte indennità per i dati apre un varco (si veda figura 6). |