„Die gute Nachricht ist, dass wir tatsächlich wissen, wie wir diese Probleme lösen können“, sagt Glenn Gerstall, Basic Recommend bei der Nationwide Safety Company bis 2020. „Wir können die Cybersicherheit beheben. Es magazine teuer und schwierig sein, aber wir wissen, wie es geht. Das ist kein Technologieproblem.“

Ein weiterer großer Cyberangriff der letzten Zeit beweist dies erneut: SolarWinds, eine russische Hacking-Kampagne gegen die US-Regierung und große Unternehmen, hätte neutralisiert werden können, wenn die Opfer bekannte Cybersicherheitsstandards befolgt hätten.

„Es gibt eine Tendenz, die Fähigkeiten der Hacker, die für größere Cybersicherheitsvorfälle verantwortlich sind, praktisch auf das Niveau einer Naturkatastrophe oder anderer sogenannter höherer Gewalt zu bringen“, sagt Wyden. „Das entbindet die gehackten Organisationen, ihre Führer und Regierungsbehörden praktischerweise von jeglicher Verantwortung. Aber sobald die Fakten bekannt sind, hat die Öffentlichkeit wiederholt gesehen, dass die Hacker oft erst Fuß gefasst haben, weil die Organisation nicht mit Patches Schritt gehalten oder ihre Firewalls nicht richtig konfiguriert hat.“

Dem Weißen Haus ist klar, dass viele Unternehmen allein nicht genug in Cybersicherheit investieren und werden. In den vergangenen sechs Monaten hat die Regierung neue Cybersicherheitsregeln für Banken, Pipelines, Schienensysteme, Fluggesellschaften und Flughäfen erlassen. Biden unterzeichnete im vergangenen Jahr eine Cybersecurity Government Order, um die Cybersicherheit des Bundes zu stärken und jedem Unternehmen, das an die Regierung verkauft, Sicherheitsstandards aufzuerlegen. Den Privatsektor zu verändern, warfare schon immer die herausforderndere Aufgabe und wohl auch die wichtigere. Die überwiegende Mehrheit der kritischen Infrastrukturen und Technologiesysteme gehört dem Privatsektor.

Die meisten der neuen Regeln beschränkten sich auf sehr grundlegende Anforderungen und einen leichten staatlichen Contact – und wurden dennoch von den Unternehmen zurückgewiesen. Trotzdem ist klar, dass noch mehr kommt.

„Es gibt drei wichtige Dinge, die erforderlich sind, um den anhaltenden traurigen Zustand der US-Cybersicherheit zu beheben“, sagt Wyden. „Obligatorische Mindeststandards für Cybersicherheit, die von Regulierungsbehörden durchgesetzt werden; obligatorische Cybersicherheitsaudits, die von unabhängigen Auditoren durchgeführt werden, die nicht von den Unternehmen ausgewählt werden, die sie auditieren, wobei die Ergebnisse an die Aufsichtsbehörden übermittelt werden; und hohe Geldstrafen, einschließlich Gefängnisstrafen für leitende Angestellte, wenn ein Versäumnis, grundlegende Cyberhygiene zu praktizieren, zu einem Verstoß führt.“

Als erster Schritt gilt die neue Meldepflicht, die am Dienstag in Kraft getreten ist. Das Gesetz verlangt von Privatunternehmen, Informationen über gemeinsame Bedrohungen, die sie früher geheim gehalten haben, schnell auszutauschen – obwohl genau diese Informationen oft dazu beitragen können, eine stärkere kollektive Verteidigung aufzubauen.

Frühere Regulierungsversuche sind gescheitert, aber der jüngste Vorstoß für ein neues Berichtsgesetz gewann an Fahrt durch die wichtige Unterstützung von Unternehmensgiganten wie Mandiant-CEO Kevin Mandia und Microsoft-Präsident Brad Smith. Dies ist ein Zeichen dafür, dass führende Persönlichkeiten des Privatsektors Regulierung mittlerweile sowohl als unvermeidlich als auch in Schlüsselbereichen als vorteilhaft ansehen.

Inglis betont, dass die Ausarbeitung und Durchsetzung neuer Regeln bei jedem Schritt eine enge Zusammenarbeit zwischen der Regierung und den Privatunternehmen erfordern wird. Und selbst in der Privatwirtschaft besteht Einigkeit darüber, dass Veränderungen notwendig sind.

„Wir haben es schon seit langem mit rein freiwilligen Maßnahmen versucht“, sagt Michael Daniel, der die Cyber ​​Danger Alliance leitet, eine Vereinigung von Technologieunternehmen, die Informationen über Cyberbedrohungen austauschen, um eine bessere kollektive Verteidigung zu bilden. „Es geht nicht so schnell oder so intestine, wie wir es brauchen.“

Der Blick über den Atlantik

Aus dem Weißen Haus argumentiert Inglis, dass die Vereinigten Staaten hinter ihren Verbündeten zurückgefallen seien. Er weist auf das britische Nationwide CyberSecurity Centre (NCSC) als wegweisende staatliche Cybersicherheitsbehörde hin, von der die USA lernen müssen. Ciaran Martin, der Gründungs-CEO des NCSC, betrachtet die amerikanische Herangehensweise an Cyber ​​mit verwirrtem Erstaunen.

„Wenn ein britisches Energieunternehmen der britischen Regierung das angetan hätte, was once Colonial der US-Regierung angetan hätte, hätten wir sie auf höchster Ebene verbal abgerissen“, sagt er. „Ich hätte den Premierminister den Vorsitzenden anrufen lassen, um zu sagen: ‚Was once zum Teufel glaubst du, dass du ein Lösegeld zahlst und diese Pipeline abschaltest, ohne es uns zu sagen?’“

https://aspiringsysadmin.com/