To address these issues, President Obama and various senators and congressman have proposed several cybersecurity programs such as the NIST Cybersecurity Framework and an increase in threat intelligence sharing between critical infrastructure organizations and federal intelligence and law enforcement agencies. Of course, federal cybersecurity discussions are nothing new. Recognizing a national security vulnerability, President Clinton first addressed critical infrastructure protection (CIP) with Presidential Decision Directive 63 (PDD-63) in 1998. Soon thereafter, Deputy Defense Secretary John Hamre cautioned the U.S. Congress about CIP by warning of a potential “cyber Pearl Harbor.” Hamre stated that a devastating cyber-attack, “… is not going to be against Navy ships sitting in a Navy shipyard. It is going to be against commercial infrastructure.” |
Para dirigir-se a estas edições, o presidente Obama e os vários senators e congressista propuseram diversos programas do cybersecurity tais como a estrutura do NIST Cybersecurity e um aumento na inteligência da ameaça que compartilha entre organizações críticas do infrastructure e agências federais do enforcement da inteligência e de lei. Naturalmente, as discussões federais do cybersecurity não são nada novo. Reconhecendo um vulnerability da segurança nacional, o presidente Clinton dirigiu-se primeiramente à proteção crítica do infrastructure (CIP) com diretriz orientadora presidencial 63 da decisão (PDD-63) em 1998. Logo depois disso, o deputado Defesa Secretária John Hamre advertiu os ESTADOS UNIDOS. Congress sobre o CIP pelo aviso do “de um porto de pérola potencial cyber.” Hamre indicou que um devastating cyber-ataca, “… não está indo estar de encontro aos navios da marinha que sentam-se em um shipyard da marinha. Está indo estar de encontro ao infrastructure comercial.” |
Security professionals working at critical infrastructure industries have been directly or indirectly engaged with U.S. Federal Government cybersecurity programs and initiatives through several presidential administrations. Given this lengthy timeframe, ESG wondered whether these security professionals truly understood the U.S. government’s cybersecurity strategy. |
Os profissionais da segurança que trabalham em indústrias críticas do infrastructure têm estado diretamente ou têm acoplado indiretamente com programas e iniciativas do cybersecurity do governo federal de ESTADOS UNIDOS através de diversas administrações presidenciais. Dado este timeframe longo, ESG quis saber se estes profissionais da segurança compreenderam verdadeiramente os ESTADOS UNIDOS. estratégia do cybersecurity do governo. |
According to Figure 4, the results are mixed at best. One could easily conclude that the data resembles a normal curve in which the majority of respondents believe that the U.S. government’s cybersecurity strategy is somewhat clear while the rest of the survey population is distributed between those that believe that the U.S. government’s cybersecurity strategy is very clear and those that say it is unclear. ESG views the results somewhat differently, however. In spite of over 20 years of U.S. Federal cybersecurity discussions, many security professionals remain uncertain about what the government plans to do in this space. Clearly, the U.S. Federal Government needs to clarify its mission, its objectives, and its timeline with cybersecurity professionals to gain their trust and enlist their support for public/private programs. |
De acordo com figura 4, os resultados são misturados no melhor dos casos. Se poderia fàcilmente conclir que os dados se assemelham a uma curva normal em que a maioria dos respondents acredita que os ESTADOS UNIDOS. a estratégia do cybersecurity do governo está um tanto desobstruída quando o descanso da população do exame for distribuído entre aqueles que acreditam que os ESTADOS UNIDOS. a estratégia do cybersecurity do governo está muito desobstruída e aquelas que a dizem são unclear. ESG vê os resultados um tanto diferentemente, entretanto. Apesar sobre de 20 anos de discussões federais do cybersecurity de ESTADOS UNIDOS, muitos profissionais da segurança remanescem incertos sobre que as plantas do governo a fazer neste espaço. Claramente, o governo federal de ESTADOS UNIDOS necessita esclarecer sua missão, seus objetivos, e seu timeline com profissionais do cybersecurity para ganhar sua confiança e para alistar sua sustentação para programas públicos/confidenciais. |
While critical infrastructure security professionals may be tentative about the Federal Government’s strategy, they would also like to see Washington become more engaged. Nearly half (45%) of critical infrastructure organizations believe that the U.S. Federal Government should be significantly more active with cybersecurity strategies and defenses while 38% believe that the U.S. Federal Government should be somewhat more active with cybersecurity strategies and defenses (see Figure 5). |
Quando os profissionais críticos da segurança do infrastructure puderem ser tentative sobre a estratégia de governo federal, gostariam também de ver Washington tornar-se mais acoplado. Quase a metade (45%) de organizações críticas do infrastructure acredita que o governo federal de ESTADOS UNIDOS deve ser significativamente mais ativo com estratégias e defesas do cybersecurity quando 38% acreditarem que o governo federal de ESTADOS UNIDOS deve ser um tanto mais ativo com estratégias e defesas do cybersecurity (veja figura 5). |
Finally, ESG asked the entire survey population of security professionals what types of cybersecurity actions the U.S. government should take. Nearly half (47%) believe that Washington should create better ways to share security information with the private sector. This aligns well with President Obama’s executive order urging companies to share cybersecurity threat information with the Federal Government and one another. Cybersecurity professionals have numerous other suggestions as well. Some of these could be considered government cybersecurity enticements. For example, 37% suggest more funding for cybersecurity education programs while 36% would like more incentives like tax breaks or matching funds for organizations that invest in cybersecurity. Alternatively, many cybersecurity professionals recommend more punitive or legislative measures—44% believe that the Federal Government should create a “black list” of vendors with poor product security (i.e., the cybersecurity equivalent of a scarlet letter), 40% say that the Federal Government should limit its IT purchasing to vendors that display a superior level of security, and 40% endorse more stringent regulations like PCI DSS or the institution of laws with higher fines for data breaches (see Figure 6). |
Finalmente, ESG perguntou à população inteira do exame de profissionais da segurança que tipos de ações do cybersecurity os ESTADOS UNIDOS. o governo deve fazer exame. Quase parcialmente (47%) acredite que Washington deve criar maneiras melhores compartilhar da informação da segurança com o setor confidencial. Isto alinha bem com a ordem executiva do presidente Obama que incita companhias compartilhar da informação da ameaça do cybersecurity com o governo federal e esse outro. Os profissionais de Cybersecurity têm numeroso outras sugestões também. Alguma destes podia ser considerada enticements do cybersecurity do governo. Por exemplo, 37% sugerem financiar para programas da instrução do cybersecurity quando 36% gostaria de mais incentives como rupturas de imposto ou fundos combinando para as organizações que invest no cybersecurity. Alternativamente, muitos profissionais do cybersecurity recomendam mais punitive ou as medidas-44% legislativas acreditam que o governo federal deve criar “uma lista preta” dos vendedores com a segurança pobre do produto (isto é, o equivalente do cybersecurity de uma letra do scarlet), a palavra de 40% que o governo federal deve a limitar seu que compra aos vendedores que indicam um nível superior da segurança, e 40% endossam uns regulamentos mais estritos como PCI DSS ou a instituição das leis com multas mais elevadas para dados rompe (veja figura 6). |