De OIG neemt de DoD ter verantwoording voor het negeren van aanbevelingen voor cyberbeveiliging gedurende meer dan tien jaar

De implicaties kunnen catastrofaal zijn als het DoD, onze grootste verdedigingslinie tegen interne en externe cyberdreigingen, een dag, een uur of een minuut te lang nodig heeft om corrigerende maatregelen te nemen om kwetsbaarheidvolle en verouderde hardware en software uit zijn kritieke IT te verwijderen infrastructuur.

RIEGELSVILLE, Pennsylvania (PRWEB) 15 mei 2023

Wanneer Hollywood de onderwereld van computerhackers verbeeldt, met bloedstollende scènes van een strijd tussen goede en slechte overheidsactoren die de wereld proberen te redden of neer te halen, is de verlichting onheilspellend, vingers vliegen moeiteloos over meerdere toetsenborden tegelijk terwijl firewalls worden geopend en gesloten razendsnel. En gelikte federale inlichtingendiensten hebben altijd het nieuwste op het gebied van flitsende, hightech snufjes. Maar de realiteit voldoet zelden. Het Pentagon, het hoofdkwartier van het Ministerie van Defensie (DoD), is een krachtig symbool van de militaire macht en kracht van de Verenigde Staten. Van 2014 tot 2022 zijn echter 822 overheidsinstanties het slachtoffer geworden van cyberaanvallen, waarbij bijna 175 miljoen overheidsgegevens zijn aangetast voor een bedrag van ongeveer 26 miljard dollar.(1) De DoD staat onder het toeziend oog van de DoD OIG (Office of Inspector General) , en hun meest recente auditrapport is een schande voor de reputatie van de grootste overheidsinstantie van het land. Walt Szablowski, oprichter en uitvoerend voorzitter van Eracent, dat al meer dan twee decennia volledig inzicht geeft in de netwerken van zijn grote zakelijke klanten, waarschuwt: “De implicaties kunnen catastrofaal zijn als de DoD, onze grootste verdedigingslinie tegen interne en externe cyberdreigingen, één dag, één uur of één minuut te lang om corrigerende maatregelen te nemen om met kwetsbaarheden gevulde en verouderde hardware en software uit de kritieke IT-infrastructuur te verwijderen. Zero Trust Architecture is de grootste en meest effectieve tool in de toolbox voor cyberbeveiliging.”

In januari 2023 hield de wereld collectief de adem in nadat de FAA een grondstop had geïnitieerd, waardoor alle vertrekken en aankomsten van vliegtuigen werden verhinderd. Sinds de gebeurtenissen van 9/11 zijn er niet zulke extreme maatregelen genomen. Het definitieve oordeel van de FAA was dat een storing in het systeem Notice to Air Missions (NOTAM) dat verantwoordelijk was voor het verstrekken van cruciale veiligheidsinformatie om vliegrampen te voorkomen, tijdens routineonderhoud in gevaar was gebracht toen het ene bestand per ongeluk werd vervangen door het andere.(2) Drie weken later, de FAA DoD OIG heeft zijn samenvatting van rapporten en getuigenissen met betrekking tot DoD-cyberbeveiliging van 1 juli 2020 tot en met 30 juni 2022 (DODIG-2023-047) openbaar gemaakt, waarin de niet-geclassificeerde en geheime rapporten en getuigenissen met betrekking tot DoD-cyberbeveiliging worden samengevat.(3)

Volgens het OIG-rapport zijn federale agentschappen verplicht om de richtlijnen van het National Institute of Standards and Technology (NIST) Framework for Improving Critical Infrastructure Cybersecurity te volgen. Het raamwerk omvat vijf pijlers - identificeren, beschermen, detecteren, reageren en herstellen - om cyberbeveiligingsmaatregelen op hoog niveau te implementeren die samenwerken als een alomvattende risicobeheerstrategie. De OIG en andere toezichthoudende entiteiten van het DoD hebben zich voornamelijk gericht op twee pijlers: identificeren en beschermen, met minder nadruk op de overige drie: detecteren, reageren en herstellen. In het rapport werd geconcludeerd dat van de 895 cyberbeveiligingsgerelateerde aanbevelingen in de huidige en eerdere samenvattende rapporten, het ministerie van Defensie nog steeds 478 openstaande beveiligingsproblemen had die teruggaan tot 2012.(3)

In mei 2021 vaardigde het Witte Huis Executive Order 14028: Improving the Nation's Cyber ​​Security uit, waarbij federale agentschappen werden verplicht de cyberbeveiliging en de integriteit van de softwaretoeleveringsketen te verbeteren door Zero Trust Architecture over te nemen met een richtlijn om multifactor-authenticatie-encryptie te gebruiken. Zero Trust verbetert de identificatie van kwaadaardige cyberactiviteit op federale netwerken door een overheidsbreed detectie- en reactiesysteem voor eindpunten te faciliteren. Vereisten voor logboeken voor cyberbeveiligingsgebeurtenissen zijn ontworpen om de onderlinge communicatie tussen federale overheidsinstanties te verbeteren.(4)

Zero Trust Architecture neemt op het meest basale niveau de houding aan van resoluut scepticisme en wantrouwen van elk onderdeel in de toeleveringsketen voor cyberbeveiliging door altijd uit te gaan van het bestaan ​​van interne en externe bedreigingen voor het netwerk. Maar Zero Trust is veel meer dan dat.

Implementaties van Zero Trust dwingen de organisatie om eindelijk:

• Definieer het netwerk van de organisatie dat wordt verdedigd.
• Ontwerp een organisatiespecifiek proces en systeem dat het netwerk beveiligt.
• Onderhoud, wijzig en bewaak het systeem om ervoor te zorgen dat het proces werkt.
• Beoordeel het proces voortdurend en pas het aan om nieuw gedefinieerde risico's aan te pakken.

De Cybersecurity and Infrastructure Security Agency (CISA) ontwikkelt een Zero Trust Maturity Model met zijn eigen vijf pijlers - Identiteit, Apparaten, Netwerk, Data en Applicaties en Werklasten - om overheidsinstanties te helpen bij de ontwikkeling en implementatie van Zero Trust-strategieën en -oplossingen .(5)

Zero Trust Architecture blijft een theoretisch concept zonder een gestructureerd en controleerbaar proces zoals dat van Eracent ClearArmor Zero Trust Resource Planning (ZTRP) initiatief. Het onverkorte raamwerk synthetiseert systematisch alle componenten, softwaretoepassingen, gegevens, netwerken en eindpunten met behulp van real-time auditrisicoanalyse. Een succesvolle implementatie van Zero Trust vereist dat elk onderdeel in de softwaretoeleveringsketen onomstotelijk bewijst dat het betrouwbaar en betrouwbaar is.

Conventionele kwetsbaarheidsanalysetools onderzoeken niet methodisch alle componenten van de toeleveringsketen van een applicatie, zoals verouderde en verouderde code die een beveiligingsrisico kan vormen. Szablowski erkent en juicht deze overheidsinitiatieven toe en waarschuwt: “Zero Trust is een duidelijk gedefinieerd, beheerd en voortdurend evoluerend proces; het is niet 'één en klaar'. De eerste stap is het definiëren van de omvang en reikwijdte van het netwerk en bepalen wat er beschermd moet worden. Wat zijn de grootste risico's en prioriteiten? Creëer vervolgens een voorgeschreven set richtlijnen in een geautomatiseerd, continu en herhaalbaar beheerproces op één beheer- en rapportageplatform.”

Over Eracent
Walt Szablowski is de oprichter en uitvoerend voorzitter van Eracent en fungeert als voorzitter van de dochterondernemingen van Eracent (Eracent SP ZOO, Warschau, Polen; Eracent Private LTD in Bangalore, India, en Eracent Brazilië). Eracent helpt haar klanten de uitdagingen aan te gaan van het beheer van IT-netwerkactiva, softwarelicenties en cyberbeveiliging in de huidige complexe en evoluerende IT-omgevingen. De zakelijke klanten van Eracent besparen aanzienlijk op hun jaarlijkse software-uitgaven, verminderen hun audit- en beveiligingsrisico's en stellen efficiëntere activabeheerprocessen in. Het klantenbestand van Eracent omvat enkele van 's werelds grootste bedrijfs- en overheidsnetwerken en IT-omgevingen. Tientallen Fortune 500-bedrijven vertrouwen op Eracent-oplossingen om hun netwerken te beheren en te beschermen. Bezoek https://eracent.com/. 

Referenties:
1) Bischoff, P. (2022, 29 november). Overheidsinbreuken – kunt u de Amerikaanse overheid uw gegevens toevertrouwen? Vergelijkingstechnologie. Opgehaald op 28 april 2023, van comparitech.com/blog/vpn-privacy/us-government-breaches/
2) FAA Notam-verklaring. FAA NOTAM-verklaring | Federale Luchtvaartadministratie. (zn). Opgehaald op 1 februari 2023, van.faa.gov/newsroom/faa-notam-statement
3) Samenvatting van rapporten en getuigenissen met betrekking tot DOD-cyberbeveiliging van 1 juli 2020 tot en met. Ministerie van Defensie Bureau van de inspecteur-generaal. (2023, 30 januari). Opgehaald op 28 april 2023 van dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/
4) Uitvoeringsbesluit 14028: verbetering van de cyberbeveiliging van het land. GSA. (2021, 28 oktober). Opgehaald op 29 maart 2023 van gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity
5) CISA releases geüpdatet Zero trust maturity model: CISA. Agentschap voor cyberbeveiliging en infrastructuurbeveiliging CISA. (2023, 25 april). Opgehaald op 28 april 2023 van cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% 20openbaar%20commentaar%20periode

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
• De toekomst slaan met Adryenn Ashley. Toegang hier.
• Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
• Bron: https://www.prweb.com/releases/the_oig_takes_the_dod_to_task_for_ignoring_cybersecurity_recommendations_for_over_ten_years/prweb19337401.htm