Het congres keurde vrijdag een tweeledige infrastructuurwet van $ 1 biljoen goed, waarin ongeveer $ 2 miljard aan financiering voor cyberbeveiliging was inbegrepen. De rekening – die nu naar het bureau van president Joe Biden gaat – omvat $ 1 miljard aan staats-, lokale, tribale en territoriale cyberdefensiesubsidies, $ 100 miljoen voor het Department of Homeland Security en $ 21 miljoen voor National Cyber-directeur Chris Inglis.
Het vierjarige subsidiefonds van $ 1 miljard is iets waar staats- en lokale overheden op hebben gewacht om hun groeiende takenlijst op het gebied van cyberbeveiliging aan te pakken. Om elk jaar een deel van de miljoenen dollars aan subsidies te ontvangen, moeten staten een bepaald percentage van de federale dollars evenaren. Het percentage begint bij 10% en groeit de komende vier jaar naar 40%. Het idee is dat staten hierdoor wennen aan het verantwoorden van cyberfinanciering in hun budgetten.
The Washington Post merkte op dat voor het subsidieprogramma voor cyberbeveiliging 1% naar elke staat gaat en 0,25% naar alle vier de Amerikaanse territoria. Nog eens 3% gaat naar tribale regeringen. De rest van de financiering zal worden verdeeld tussen staten op basis van hun bevolkingsomvang en specifiek hun aantal plattelandsbevolking. Staten zijn verplicht om ten minste 25% van de financiering te besteden aan cyberprogramma's in plattelandsgebieden.
In het wetsvoorstel staat dat er in 2022 $ 200 miljoen aan subsidies zal worden toegekend, $ 400 miljoen zal worden uitgegeven in 2023, $ 300 miljoen in 2024 en $ 100 miljoen in 2025. De Federal Highway Administration moet ook een tool die hen kan helpen te reageren op cyberaanvallen.
Jonathan Reiber, voormalig Chief Strategy Officer voor cyberbeleid in het kantoor van de Amerikaanse minister van Defensie tijdens de regering-Obama, vertelde ZDNet dat het wetsvoorstel enkele van de grootste zorgen wegneemt die experts hebben over de paraatheid en infrastructuur van het land op het gebied van cyberbeveiliging.
“Deze investering zal het land helpen een staat van echte cyberbeveiligingsgereedheid te bereiken waar het er het meest toe doet. Dit wetsvoorstel richt zich ook op het beveiligen van elementen van onze kritieke infrastructuur die systeemrisico's op nationaal niveau kunnen veroorzaken als ze worden verstoord. Kwetsbaarheden in de energiesector vormen een strategisch risico voor de VS — van onze elektriciteitsbedrijven tot de olie- en gasdistributie, zoals we zagen bij de aanval op de koloniale pijpleiding — en vijandige actoren richten zich al jaren op de energiesector”, zegt Reiber, die nu senior director is bij AttackIQ.
“Dit wetsvoorstel zal er niet alleen voor zorgen dat cyberbeveiligingscapaciteiten worden gebouwd en ingezet – het vraagt ook om continue evaluaties om ervoor te zorgen dat onze investeringen in cyberdefensie werken zoals bedoeld. Het is niet genoeg om de beste defensiecapaciteiten te hebben gebouwd; ze moeten worden uitgeoefend en klaarstaan wanneer de tegenstander aanvalt. Deze middelen kunnen helpen om de effectiviteit te waarborgen.”
Hij voegde eraan toe dat Inglis “een van de meest getalenteerde leiders op het gebied van cyberbeveiliging ter wereld” is en dat het een positieve stap was om de hoeveelheid geld te zien die werd gegeven om het kantoor van de National Cyber Director te ondersteunen.
Drew Jaehnig, leider van de industriepraktijk van de publieke sector bij Bizagi, scherpte de delen van het wetsvoorstel aan die gericht waren op het beveiligen van industriële of operationele technologie (OT) -systemen.
Jaehnig werkte 20 jaar bij het ministerie van Defensie en zei dat de verhoogde financiering voor OT-systemen hard nodig was. Hij merkte op dat het ook “veel te laat” was voor de federale regering om steun te verlenen voor staats-, lokale, tribale en territoriale cybertraining, werving en non-profit veiligheidssubsidies.
“Op de lange termijn vereist dit echter ook dat staats- en lokale functionarissen proportioneel reageren. Het is interessant om op te merken dat FEMA verantwoordelijk zal zijn voor de toewijzing en verdeling van de juiste fondsen aan staats-, lokale en non-profitorganisaties. Dit moet een preventief proces zijn om cyberrampen te voorkomen en FEMA zal oordeelkundig moeten zijn bij de toewijzing van middelen om de effecten te maximaliseren. Overheids- en lokale overheden zouden geconsolideerde acties moeten overwegen om de impact van de investeringen te maximaliseren, “zei Jaehnig.
“Het congres heeft een goede start gemaakt met de trainingsaspecten van de cyberbeveiligingsstrategie. De aanhoudende focus op CyberSentry en de verharding van de federale ruimte zijn welkome vooruitgang. Er werd een knipoog gegeven naar een nieuwe generatie noodprotocollen voor cyberbeveiliging, maar dit zal zeker hebben aanvullende financiering van staats- en lokale partners nodig om succesvol te zijn.”
Experts online merkten op dat de subsidies aan staten en lokale overheden specifiek zeggen dat de financiering niet kan worden gebruikt voor losgeldbetalingen aan hackers.
Mark Carrigan, vice-president van OT-cyberbeveiliging bij Hexagon, zei dat de $ 50 miljard die is besteed aan het verbeteren van de veerkracht van stroom- en watersystemen een belangrijk onderdeel van het wetsvoorstel was, aangezien het hen beschermt tegen cyberaanvallen en natuurrampen. Het Environmental Protection Agency en CISA krijgen een aanzienlijk deel van de financiering in het wetsvoorstel om de beveiliging van watersystemen te versterken na een golf van aanvallen in het afgelopen jaar.
Als dit programma op de juiste manier wordt geïmplementeerd, kan het een aanzienlijk verschil maken door de kritieke infrastructuur van het land beter bestand te maken tegen onvermijdelijke gebeurtenissen: orkanen, droogtes, overstromingen en cyberaanvallen, legt Carrigan uit.
Sommigen vroegen zich af of er genoeg mensen waren. werkzaam in cybersecurity om een deel van de maatregelen in het wetsvoorstel door te voeren en vroegen zich af of overheidsorganisaties de financiering zouden gebruiken voor eenmalige projecten in plaats van het te zien als een terugkerende investering.
De federale verkoopingenieur van Lookout, Victoria Mosby, zei dat de extra financiering die wordt besteed aan het vergroten van de cyberbeveiliging op alle niveaus van de overheid een rimpeleffect zal hebben over meerdere vectoren, niet alleen de aanschaf van nieuwe tools.
“Met financiering zullen veel cyberbeveiligingsteams het geld krijgen dat nodig is om door te gaan met het updaten van verouderde systemen en procedures. Veel van deze veranderingen zullen zich buiten de infosec-teams verspreiden naar de algemene IT-infrastructuur en nieuwe beleidsacceptatie om rekening te houden met het verplaatsen van bepaalde systemen naar de cloud en het mogelijk maken van meer externe werken,” zei Mosby.
“Meer personeel om bestaande beveiligingsteams te versterken en training om de vaardigheden van bestaande professionals te versterken, met de toenemende afhankelijkheid van de cloud en professionals op afstand moeten een beter begrip hebben van cloudbeveiliging en het concept van 'zero trust'. Het zou interessant zijn om te zien of een deel van die fondsen doorsluist naar het basis- en hoger onderwijs om nieuwe diploma- en certificaatprogramma's te creëren om het inkomende cyberpersoneel te versterken.”
Andere experts zeiden dat het belangrijk was dat de federale regering het wetsvoorstel gebruikt om nieuwe cyberbeveiligingsprogramma's aan te vragen om de ontwikkeling van nieuwe en huidige snelwegen, spoorwegen en toeleveringsketenprogramma's te beschermen.
James McQuiggan, een pleitbezorger van beveiligingsbewustzijn bij KnowBe4, zei dat deze programma's zich richten op aspecten van cyberbeveiligingsrisicobeheer, incidentrespons en het gebruik van het National Institutes of Standards and Technology (NIST) Cybersecurity Framework (CSF) vereisen ).
McQuiggan prees de maatregelen in de sectie modernisering van transport (Divisie A) die stellen dat alle controle- en bewakingssystemen (SCADA) beveiligingsfuncties moeten bevatten voor toegangscontrole, misbruik van de systemen moeten voorkomen en moeten voldoen aan de nieuwe cyberbeveiligingsvereisten voor de federale overheid. supply chain en het gebruik van zero trust.
Hij zei ook dat de miljarden die worden verstrekt voor programma's die de breedbandtoegang uitbreiden, voor- en nadelen zullen hebben.
“Gedurende het hele wetsvoorstel zijn er veel vereisten voor training. Training voor respons op cyberincidenten, training voor personeelsontwikkeling, veiligheidstraining, maar ontbreekt is de noodzaak om een robuustere cyberbeveiligingscultuur binnen de overheid op federaal, staats- en provinciaal niveau te vergroten, ' legde McQuiggan uit.
“Een aantal belangrijke gebieden in het wetsvoorstel lijken zich te concentreren op de symptomen van een probleem en niet op de oorzaak. De sectie breedbandinternet (Divisie F – breedband) vraagt om de implementatie van hogere internetsnelheden voor mensen die dat niet hebben binnen hun gebied. Een ding dat ontbreekt, is dat de mensen die hiervan profiteren, de voordelen en gevaren van internet moeten begrijpen.Breedbandaanbieders moeten gratis e-mailfilters bieden voor phishing en kwaadaardige bijlagen om het risico te verkleinen dat mensen het slachtoffer worden van identiteitsdiefstal en verlies van financiële middelen als gevolg van online oplichting.”
Sommige cyberbeveiligingsexperts herhaalden de zorgen van McQuiggan over de uitbreiding van breedbandtoegang, en merkten op hoe belangrijk het is voor het land, maar waarschuwden ook dat het een groot aantal cyberbeveiligingsproblemen zou veroorzaken. Perry Carpenter, chief evangelist en strategy officer bij KnowBe4, zei dat de grotere internettoegang voor iedereen een “rijkere” omgeving voor cybercriminelen zou creëren.
“We staan op het punt om mogelijk de grootste infrastructuurupgrade van ons leven te zien. Het zal gevolgen hebben voor ons, onze kinderen en mogelijk onze kleinkinderen”, zegt Carpenter van KnowBe4. “Het is absoluut noodzakelijk dat we fouten uit ons verleden minimaliseren en goed beginnen. Bouw veiligheid in. Maak het fundamenteel voor hoe succes wordt gedefinieerd.”
Beveiliging
Het beste phishing-doelwit? Je smartphone Waarom je deze beveiligingssleutel van $ 29 nodig hebt FBI: Ransomware-groepen koppelen aanvallen aan 'belangrijke financiële gebeurtenissen' Signaal onthult hoe ver de Amerikaanse wetshandhavers gaan om informatie van mensen te krijgen De 10 ergste hardware-beveiligingsfouten in 2021 Cybersecurity 101: bescherm je privacy tegen hackers , spionnen, de overheid Overheid – VS | Beveiliging TV | Gegevensbeheer | CXO | Datacenters