Kongressen vedtok en topartisk infrastrukturregning på 1 billion dollar på fredag som inkluderte rundt 2 milliarder dollar i nettsikkerhetsfinansiering. Regningen – nå på vei til president Joe Bidens skrivebord – inkluderer 1 milliard dollar i statlige, lokale, stamme- og territorielle cyberforsvarstilskudd, 100 millioner dollar til Department of Homeland Security og 21 millioner dollar til den nasjonale cyberdirektøren Chris Inglis.
Det fireårige tilskuddsfondet på 1 milliard dollar er noe statlige og lokale myndigheter har ventet på for å hjelpe til med å takle deres voksende oppgaveliste for cybersikkerhet. For å motta en del av millioner av dollar i tilskuddsmidler hvert år, må statene matche en spesifisert prosentandel av de føderale dollarene. Prosentandelen starter på 10 % og vokser til 40 % i løpet av de neste fire årene. Tanken er at stater som et resultat skal venne seg til å gjøre rede for cyberfinansiering i budsjettene sine.
Washington Post bemerket at for cybersikkerhetstilskuddsprogrammet vil 1 % gå til hver stat og 0,25 % vil gå til alle fire amerikanske territorier. Ytterligere 3 % vil gå til stammeregjeringer. Resten av finansieringen vil deles mellom stater basert på deres befolkningsstørrelse og spesifikt deres befolkningstall på landsbygda. Statene er pålagt å bruke minst 25 % av finansieringen til cyberprogrammer i landlige områder.
Lovforslaget sier at 200 millioner dollar i tilskudd vil bli delt ut i 2022, 400 millioner dollar vil bli brukt i 2023, 300 millioner dollar i 2024 og 100 millioner dollar i 2025. Federal Highway Administration er også pålagt å opprette en verktøy som kan hjelpe dem med å svare på nettangrep.
Jonathan Reiber, tidligere strategisjef for cyberpolitikk ved kontoret til USAs forsvarsminister under Obama-administrasjonen, sa til ZDNet at lovforslaget tar for seg noen av de største bekymringene eksperter har om landets cybersikkerhetsberedskap og infrastruktur.
“Denne investeringen vil hjelpe landet med å oppnå en tilstand av reell cybersikkerhetsberedskap der det betyr mest. Dette lovforslaget fokuserer også på å sikre elementer av vår kritiske infrastruktur som kan forårsake systemiske risikoer på nasjonalt nivå hvis de blir forstyrret. Sårbarheter i energisektoren utgjør en strategisk risiko. for USA – fra våre elektriske verktøy til olje- og gassdistribusjon, som vi så med Colonial Pipeline-angrepet – og fiendtlige aktører har vært rettet mot energisektoren i årevis,” sa Reiber, som nå er seniordirektør i AttackIQ.
“Dette lovforslaget vil ikke bare bidra til å sikre at cybersikkerhetskapasiteter bygges og distribueres – det krever også kontinuerlige vurderinger for å sikre at våre cyberforsvarsinvesteringer fungerer etter hensikten. Det er ikke nok å ha bygget de beste forsvarsevnene; de må utøves og klares. når motstanderen angriper. Disse ressursene kan bidra til å sikre effektivitet.”
Han la til at Inglis er “en av de mest talentfulle cybersikkerhetslederne i verden”, og at det var et positivt skritt å se hvor mye penger som ble gitt for å støtte kontoret til den nasjonale cyberdirektøren.
Drew Jaehnig, industripraksisleder for offentlig sektor i Bizagi, gikk inn på delene av lovforslaget som fokuserte på å sikre industrielle eller operasjonelle teknologisystemer (OT).
Jaehnig tilbrakte 20 år ved forsvarsdepartementet og sa at økte midler til OT-systemer var sårt nødvendig. Han bemerket at det også var “vel på tide” for den føderale regjeringen å gi støtte til statlig, lokal, stamme- og territoriell cybertrening, rekruttering og non-profit sikkerhetstilskudd.
“På lang sikt vil dette imidlertid også kreve at statlige og lokale tjenestemenn reagerer proporsjonalt. Det er interessant å merke seg at FEMA vil være ansvarlig for tildeling og fordeling av de riktige midlene til statlige, lokale og ideelle organisasjoner. Dette må være en forebyggende prosess for å avverge cyberkatastrofer, og FEMA må være fornuftig i tildelingen av midler for å maksimere effektene. Statlige og lokale myndigheter bør vurdere konsoliderte tiltak for å maksimere investeringseffekten,” sa Jaehnig.
“Kongressen fikk en god start på opplæringsaspektene ved cybersikkerhetsstrategi. Det fortsatte fokuset på CyberSentry og herdingen av det føderale rommet er velkomne fremskritt. Et oppmuntrende nikk ble gitt til en ny generasjon nødprotokoller for cybersikkerhet, men dette vil absolutt krever ytterligere finansiering fra statlige og lokale partnere for å lykkes.”
Eksperter på nettet bemerket at tilskuddene til stater og lokale myndigheter spesifikt sier at finansieringen ikke kan brukes til løsepenger til hackere.
Mark Carrigan, visepresident for OT cybersecurity i Hexagon, sa at de 50 milliarder dollar som ble dedikert til å forbedre motstandskraften til kraft- og vannsystemer var en viktig del av regningen med tanke på at den beskytter dem mot nettangrep og naturkatastrofer. Environmental Protection Agency og CISA vil få en betydelig del av finansieringen i regningen for å styrke sikkerheten til vannsystemer etter en rekke angrep det siste året.
Implementert på riktig måte kan dette programmet utgjøre en betydelig forskjell ved å gjøre landets kritiske infrastruktur mer motstandsdyktig mot uunngåelige hendelser – orkaner, tørker, flom og nettangrep, forklarte Carrigan.
Noen stilte spørsmål ved om det var nok mennesker jobber innen cybersikkerhet for å få vedtatt noen av tiltakene i lovforslaget og lurte på om statlige organisasjoner ville bruke midlene til engangsprosjekter i stedet for å se på det som en gjentakende investering.
Lookouts føderale salgsingeniør Victoria Mosby sa at tilleggsfinansieringen dedikert til å øke cybersikkerheten på alle nivåer i regjeringen vil ha en ringvirkning på tvers av flere vektorer, ikke bare anskaffelsen av nye verktøy.
“Finansiering vil gi mange cybersikkerhetsteam midlene som trengs for å fortsette å oppdatere foreldede systemer og prosedyrer. Mange av disse endringene vil spre seg utenfor infosec-teamene til generell IT-infrastruktur og ny policyvedtak for å ta hensyn til flytting av visse systemer til skyen og muliggjøre økt fjernkontroll jobber,” sa Mosby.
“Økt ansettelse for å styrke eksisterende sikkerhetsteam og opplæring for å styrke ferdighetene til eksisterende fagfolk, med den økende avhengigheten av skyen og ekstern arbeidsstyrke må fagfolk ha en bedre forståelse av skysikkerhet og konseptet med 'null tillit'. Det ville vært nysgjerrig å se om noen av disse midlene kan overføres til grunnskole og høyere utdanning for å lage en ny grad og sertifikatprogrammer for å styrke den innkommende cyberarbeidsstyrken.”
Andre eksperter sa at det var viktig at den føderale regjeringen bruker regningen til å be om nye cybersikkerhetsprogrammer for å beskytte utviklingen av nye og nåværende motorveier, jernbaner og forsyningskjedeprogrammer.
James McQuiggan, en talsmann for sikkerhetsbevissthet ved KnowBe4, sa at disse programmene fokuserer på aspekter av cybersikkerhetsrisikostyring, hendelsesrespons og krever bruk av National Institutes of Standards and Technology (NIST) Cybersecurity Framework (CSF) ).
McQuiggan fremhevet tiltakene i seksjonen for modernisering av transport (divisjon A) som sier at all-kontroll- og overvåkingssystemer (SCADA) bør inneholde sikkerhetsfunksjoner for tilgangskontroll, forhindre utnyttelse av systemene og overholde de nye cybersikkerhetskravene for den føderale regjeringens forsyningskjede og bruk av null tillit.
Han sa også at milliardene som ble gitt til programmer som utvider bredbåndstilgang, ville ha fordeler og ulemper.
“Gjennom hele lovforslaget er det mange krav til opplæring. Opplæring for respons på cyberhendelser, opplæring i arbeidsstyrkeutvikling, sikkerhetsopplæring, men mangler er behovet for å øke en mer robust cybersikkerhetskultur i myndighetene på føderalt, delstats- og fylkesnivå. ” forklarte McQuiggan.
“Flere sentrale områder i lovforslaget ser ut til å fokusere på symptomene på et problem og ikke grunnårsaken. Seksjonen for bredbåndsinternett (divisjon F – bredbånd) ber om implementering av høyere internetthastigheter til folk som ikke har innenfor sine områder. Et element som mangler er behovet for at folk som drar nytte av dette forstår internetts fordeler og farer. Bredbåndsleverandører bør tilby gratis e-postfiltre for phishing og ondsinnede vedlegg for å redusere risikoen for at folk blir ofre for identitetstyveri og tap av økonomi på grunn av nett svindel.”
Noen cybersikkerhetseksperter gjentok McQuiggans bekymringer om utvidelsen av bredbåndstilgang, og la merke til hvor viktig det er for landet, men advarte også om at det ville introdusere en rekke cybersikkerhetsproblemer. Perry Carpenter, sjefevangelist og strategiansvarlig ved KnowBe4, sa at den økte internettilgangen for alle ville skape et “rikere” miljø for nettkriminelle.
“Vi er i ferd med å se den største infrastrukturoppgraderingen i våre liv. Det vil påvirke oss, våre barn og potensielt våre barnebarn,” sa KnowBe4s Carpenter. “Det er viktig at vi minimerer fortidens feil og starter riktig. Bygg inn sikkerhet. Gjør det grunnleggende for hvordan suksess defineres.”
Sikkerhet
Det beste phishing-målet? Din smarttelefon Hvorfor trenger du denne sikkerhetsnøkkelen til $29 FBI: Ransomware grupperer som knytter angrep til “betydelige økonomiske hendelser” Signal avslører hvor langt amerikansk rettshåndhevelse vil gå for å få folks informasjon De 10 verste maskinvaresikkerhetsfeilene i 2021 Cybersecurity 101: Beskytt personvernet ditt mot hackere , spioner, regjeringen Regjeringen – USA | Sikkerhets-TV | Databehandling | CXO | Datasentre