Q&A: Katalytische Ereignisse veranlassen die USA, die Cybersicherheit ernster zu nehmen

Die Ankunft einer neuen Regierung in Washington ist ein hoffnungsvolles Zeichen für die US-Cybersicherheitspolitik auf nationaler Ebene, sagt Mark Weatherford. Er stellt fest, dass Präsident Biden die Cybersicherheit zu einer Priorität erklärt hat, wichtige Ernennungen in diesem Bereich vorgenommen und zugesagt hat, fast 10 Milliarden Dollar für verschiedene Cybersicherheitsinitiativen zur Unterstützung der Bundesregierung bereitzustellen.

"Es ist ein Hinweis darauf, dass er seinen Worten Taten folgen lassen wird", sagte Weatherford, Chief Strategy Officer des U.S. National Cybersecurity Center. "Ich bin zuversichtlich, dass die Regierung vieles von dem, was wir im Moment als Versprechen sehen, auch umsetzen wird.

Im Laufe seiner Karriere war Weatherford während der Obama-Regierung stellvertretender Unterstaatssekretär für Cybersicherheit im Ministerium für Innere Sicherheit und CISO der Bundesstaaten Kalifornien und Colorado.

In einem Q&A mit Mimecast sprach Weatherford, der auch CISO bei Alert Enterprise ist, über die Aussichten für die Cybersicherheitspolitik auf nationaler Ebene und darüber, wie sich der Fokus des privaten Sektors auf digitale Sicherheit entwickelt.

Anmerkung des Herausgebers: Dies ist das vierte in einer Reihe von Interviews mit führenden Cybersicherheitsexperten aus Hochschulen, Forschungseinrichtungen und dem privaten Sektor.

Mimecast: Wie sollte das Biden-Team Ihrer Meinung nach aufgrund Ihrer Erfahrungen in der Obama-Regierung an das Thema Cybersicherheit herangehen?

Mark Weatherford: Das ist etwas, worüber ich in einem Forbes-Artikel geschrieben habe, die drei wichtigsten politischen Entscheidungen, die sie treffen müssen. [1]

Eine davon ist, jemanden im Außenministerium als Verbindungsperson für die globale Cybersicherheit mit anderen Nationen einzusetzen. Ich glaube sogar, dass der Kongress gerade an einer Gesetzgebung arbeitet - vielleicht nicht an einer Gesetzgebung, aber sie haben einen Cyber-Botschafter im Außenministerium gefordert. Dies ist von entscheidender Bedeutung, denn wenn wir im Laufe der Jahre etwas herausgefunden haben, dann, dass wir es nicht allein schaffen können. Wir können über die besten Sicherheitsvorkehrungen, die besten Leute und die beste Politik der Welt verfügen, aber wenn wir nicht mit anderen Nationen kooperieren, zusammenarbeiten und uns mit ihnen abstimmen, können wir einfach nicht erfolgreich sein. Es ist von entscheidender Bedeutung, dass wir die Rolle des internationalen Cyber-Botschafters wieder einführen.

Was die Beratung angeht, so hoffe ich, dass wir mehr Leute mit Erfahrung im Bereich der Cybersicherheit aus der Privatwirtschaft finden und nicht nur viele dieser Stellen mit Regierungsmitarbeitern besetzen. Das nimmt den Regierungsmitarbeitern nichts weg, denn diejenigen, die bisher nominiert wurden, sind sehr, sehr gut qualifiziert. Aber in meiner Zeit in der Regierung, sowohl auf Landes- als auch auf Bundesebene, habe ich immer wieder gelernt, dass Regierungsmitarbeiter das Thema Cybersicherheit anders angehen als der private Sektor. Sie gehen Probleme anders an, setzen andere Prioritäten und betrachten Risiken anders als der private Sektor. Daher ist es wichtig, Leute in der Verwaltung zu haben, die Erfahrung im Bereich der Cybersicherheit haben, die wissen, was Gewinn und Verlust sind, die Entscheidungen treffen mussten wie: "Geben wir dafür Geld aus oder geben wir dafür Geld aus?" Ich denke, das ist wirklich wichtig.

Die andere war, dass das Weiße Haus die Ernennung eines nationalen Cyber-Direktors in Angriff nehmen muss. Diese Person muss die Autorität über die Exekutivorgane in Bezug auf die Cybersicherheit haben, sowohl für die Politik als auch für die Finanzierung in der gesamten Bundesverwaltung.

Bei den Ausgaben der Bundesregierung für die Cybersicherheit können derzeit so viele Effizienzgewinne erzielt werden. Es wird viel Geld verschwendet, weil die Organisationen ihr eigenes Ding machen, ohne dass sich die Bundesministerien und -behörden bei der Cybersicherheit abstimmen.

Mimecast: Sie haben geschrieben, dass die USA ihre Führungsrolle im Internet aufgegeben haben. Gleichzeitig haben die Bundesstaaten mit Regelungen wie CCPA und dem New York SHIELD Gesetz eine gewisse Verantwortung für Daten übernommen. Hat sich das regulatorische Umfeld hin zu einer stärker verbraucherorientierten, persönlichen Verantwortung entwickelt, bei der von den Einzelnen erwartet werden sollte, dass sie ihre eigenen Daten schützen?

Weatherford: Ich glaube nicht, dass es eine Entwicklung ist. Ich denke, die Regierung hat sich schon immer auf den Schutz des Verbrauchers konzentriert. Machen sie den Verbraucher jetzt verantwortungsbewusster? Das mag sein. Aber ich sage Ihnen, die Messlatte für Unternehmen, die mit dem Schutz der privaten Daten ihrer Kunden beauftragt sind, ist höher geworden.

Das ist der Unterschied zwischen Datenschutz und Sicherheit. Die Regierung war in Fragen des Datenschutzes schon immer proaktiver als in Fragen der Sicherheit. Das ist der Grund, warum wir dieses Gespräch führen. Die Regierung muss mehr für die Sicherheit tun, um die Datenschutzgesetze und -vorschriften zu unterstützen, die sie eingeführt hat.

Ich habe das schon vor langer Zeit gehört, und es hat sich nie geändert: Sicherheit kann ohne Privatsphäre existieren, aber Privatsphäre kann nicht ohne Sicherheit existieren. Aus Sicht des Datenschutzes besteht eine Sicherheitsabhängigkeit, die von der Regierung nicht ausreichend unterstützt wird.

Mimecast: Mit der COVID-Pandemie haben wir eine Beschleunigung der digitalen Transformation und neue Sicherheitsherausforderungen erlebt. Verlagern wir die Verantwortung mehr auf den Einzelnen und weniger auf die Organisationen? Müssen wir uns mit dieser Schwachstelle auseinandersetzen?

Weatherford: Nun, ich glaube nicht, dass es in diesem Bereich zu einer Regulierung kommen wird, denn das ist branchen- und unternehmensabhängig. Zweifelsohne wurden zusätzliche Verantwortlichkeiten auf Mitarbeiter verlagert, die von zu Hause aus arbeiten. Aber die meisten CISOs und Sicherheitsteams, die ich kenne, haben den Ansatz gewählt: "OK, weil wir mehr Verantwortung auf die Mitarbeiter abwälzen, müssen wir mehr tun, um sie zu unterstützen." Also setzen sie mehr Endpunkttechnologien ein, die Schwachstellen überprüfen und identifizieren können. Sie schulen die Benutzer stärker in den Dingen, die sie tun und lassen sollten.

Ich denke, das Fazit ist, dass die Unternehmen und CISOs letztendlich immer noch verantwortlich sind. Auch wenn den Mitarbeitern etwas mehr Verantwortung auferlegt wird, können sich die Unternehmen und CISOs nicht davor drücken, dass es letztlich immer noch ihre Verantwortung ist. Sie haben Mitarbeiter, die von zu Hause aus arbeiten, und müssen sicherstellen, dass ihre Mitarbeiter das Richtige tun. Ich würde nicht sagen, dass die Organisation weniger im Mittelpunkt steht, sondern eher, dass sich die Verantwortlichkeiten sowohl für die Mitarbeiter als auch für die organisatorische Sicherheit ändern.

Mimecast: "In einer anderen Kolumne haben Sie darüber geschrieben, wie die Pandemie die technischen Schulden" der staatlichen Behörden und die Notwendigkeit einer zentralen Cyberstruktur aufgedeckt hat. Wie wirkt sich diese technologische Schuld auf die Cybersicherheit aus? Wie können die Staaten sie korrigieren?

Weatherford: Ich würde das nicht als technologische Verschuldung an sich bezeichnen. Das ist technologische Reife. Ich beobachte das Gleiche hier in Colorado und höre davon in anderen Staaten. Der Grund für die Tech-Schulden liegt in der Finanzierung: In den meisten Fällen gibt es immer noch eine Menge sehr alter Technologien, die heute eingesetzt werden und deren Unterhalt viel Geld kostet. Übrigens ist das nicht nur bei den Landes- und Bundesbehörden und den Kommunalverwaltungen der Fall, sondern auch bei vielen Privatunternehmen.

Eines der deutlichsten Beispiele, das mit der Pandemie zusammenhängt, waren die Menschen, die sofort arbeitslos wurden, als die Bundesregierung Mittel für die Arbeitslosenversicherung bewilligte. Viele von ihnen sind immer noch COBOL-basierte Plattformen, was verrückt ist, denn sie mussten COBOL-Programmierer finden, um diese Systeme zu warten. Ich kenne niemanden mehr, der COBOL lehrt. Das ist ein sehr sichtbares Beispiel für die technische Verschuldung.

Ein weiteres Beispiel aus dem privaten Sektor: die kleine Wassergesellschaft in Florida, die gehackt wurde. [2] In dieser Umgebung wurde Windows 7 eingesetzt, was übrigens nicht ungewöhnlich ist. Viele dieser kritischen Infrastrukturunternehmen verwenden immer noch diese alte Technologie. Microsoft unterstützt Windows 7 nicht einmal mehr, was bedeutet, dass entdeckte Schwachstellen nicht leicht zu beheben sind. Es gibt nicht viel, was man dagegen tun kann, außer kompensierende Kontrollen anzuwenden.

Diese Art von technischer Verschuldung kostet eine Menge Geld und stellt ein Risiko für das Unternehmen dar. Aber wenn Unternehmen sich keine Aufrüstung leisten können, können sie es sich auch nicht leisten, aufzurüsten. Das ist die technologische Welt, in der wir leben, und wir müssen kompensierende Kontrollen einsetzen, um das Risiko und die Schwachstellen in diesen alten Altsystemen zu verwalten. Und leider verursachen diese Ausgleichskontrollen enorme Ressourcenkosten.

Mimecast: In der Anfangsphase der Pandemie lag der Schwerpunkt auf der Lieferkette, und es kam zu einem Anstieg der Ransomware-Angriffe . Steigt dadurch auch der Fokus auf die Cybersicherheit in der Logistik und der Lieferkette?

Weatherford: Wenn wir von Lieferkette sprechen, denken die Leute oft an die physische Logistik, d. h. daran, wie wir ein Produkt von Punkt A nach Punkt B bringen. Wenn wir in der Cybersicherheitsbranche an Lieferkette denken, denken wir an die digitale Infrastruktur. Ich habe in einer Diskussionsrunde darüber gesprochen, wie man sicherstellen kann, dass die Software, die wir entwickeln, sicher ist. Nur sehr wenige Softwareentwickler setzen sich hin und schreiben ihren gesamten Code. Was sie tun, ist, dass sie Bibliotheken oder Repositories aufsuchen, um Teile des Codes hineinzuziehen und sie miteinander zu verknüpfen. Das ist eine enorme, enorme Schwachstelle, wenn es darum geht, zu verstehen, wo die Software ursprünglich entwickelt wurde und wie ein ganzes Paket aussieht.

Die NTIA [National Telecommunications and Information Administration] fördert eine Initiative mit dem Namen "Software Bill of Materials", die besagt, dass ein Unternehmen bei der Auslieferung eines Softwareprodukts eine Liste der Inhaltsstoffe oder ein Inventar der Herkunft des Codes mitliefert. [3] Das ist eines der Dinge, die dazu beitragen werden, Software-Sicherheitslücken in der Lieferkette zu schließen. SolarWinds hat uns jedoch auf sehr dramatische Weise bewiesen, dass die Lieferkette verwundbar ist. Wir kennen die Auswirkungen von SolarWinds noch nicht in vollem Umfang und werden sie wahrscheinlich auch noch eine Weile nicht kennen, aber sie werden erheblich sein und es wird viel Geld kosten und viel Zeit in Anspruch nehmen, sie vollständig in den Griff zu bekommen - falls wir sie jemals vollständig in den Griff bekommen.

Mimecast: Es scheint so, als ob jeder davon spricht, dass der Informationsaustausch ein Teil des Aufbaus besserer Verteidigungsmaßnahmen sein sollte. Gibt es eine größere Dringlichkeit nach Ereignissen wie dem SolarWinds-Angriff oder dem gemeldeten nordkoreanischen Hack von Pfizer? [4]

Weatherford: Wir können immer mehr tun, aber tun wir auch genug? Wahrscheinlich nicht. Ich weiß nicht, ob Sie den 60 Minutes-Bericht gesehen haben, in dem der Präsident von Microsoft im Wesentlichen sagte, dass wir mehr Informationen austauschen müssen und dass dies möglicherweise eine Regulierung erfordert, die die Unternehmen dazu verpflichtet, mehr Informationen auszutauschen. [5] Meine Befürchtung und die vieler Menschen in der Sicherheitsgemeinschaft ist, dass SolarWinds nachlässt und wir dann einfach wieder so weitermachen wie bisher, bis der nächste große Verstoß passiert. Genau das haben wir in den letzten zehn Jahren getan: Wir taumeln von Ereignis zu Ereignis, ohne sie jemals wirklich zu beheben.

Ich denke, dass SolarWinds ein katalytisches Ereignis ist, weil es so viele Unternehmen, so viele große Unternehmen und so viele Regierungsorganisationen betroffen hat. Ich denke, die Regierung muss handeln. Sie werden einen regulatorischen Rahmen für die Berichterstattung und Sicherheitsstandards schaffen, der die Sicherheit im gesamten privaten Sektor formal erhöhen wird.

Mimecast: Hatte die Bundesregierung nicht schon früher die Möglichkeit, dies zu tun?

Weatherford: Die Bundesregierung hatte schon mehrfach Gelegenheit, dies zu tun. Im Jahr 2015 gab es eine Sicherheitslücke im Office of Personnel Management, die damals als katalytisches Ereignis bezeichnet wurde. Aber was ist passiert? Nichts oder nicht viel ist passiert. Die Antwort lautet also: Ja, die Regierung hatte schon vorher viele Gelegenheiten.

Mimecast: Wie können Cybersicherheitsexperten proaktiver werden? Wie können sie zu einer strategischen Ressource werden?

Weatherford: Die meisten CISOs, die ich kenne, sehen es als Teil ihrer Aufgabe an, die Ansprechperson für Technologie und Sicherheit im Unternehmen zu sein. Ich glaube jedoch, dass sie in viel zu vielen Unternehmen nicht als geschäftskritisch angesehen werden, sondern eher als eine Art Nebendarsteller. Es werden immer noch zu viele technologische Entscheidungen getroffen, ohne das Sicherheitsteam zu konsultieren - meiner Meinung nach eine schlechte Entscheidung. Das ist meiner Meinung nach eine schlechte Entscheidung, denn dann gibt es Technologien, die eingeführt und entwickelt werden und die man im Nachhinein mit Pflastern und Sicherheitsvorkehrungen versehen muss.

Das ändert sich gerade ein wenig. Immer mehr Vorstände sehen ein, dass sie mehr über Sicherheit wissen müssen, und sie verstehen, dass sie nicht der Experte sein werden. Ich glaube jedoch, dass die Erwartungen immer noch nicht übereinstimmen. Ich höre immer noch CEOs und Vorstandsmitglieder sagen: "Das ist die Aufgabe des CISO". Ich bin immer schnell dabei, ihnen zu widersprechen und zu sagen: "Nein, das ist nicht die Verantwortung des CISOs. Es liegt in Ihrer Verantwortung. Der CISO nimmt diese Verantwortung für Sie wahr."

Mimecast: Fangen die Unternehmen an zu verstehen, dass die Verantwortung für die Daten zum Schutz des Unternehmens gehört?

Weatherford: Um es etwas klischeehaft auszudrücken: CEOs haben immer mehr Angst vor dem Cyber-Perp Walk, davor, vor den Kongress gerufen zu werden oder vor den Vorstand zu treten und zur Verantwortung gezogen zu werden. Gartner hat einen Bericht veröffentlicht, in dem es heißt, dass bis zum Jahr 2024 75 % der CEOs für Vorfälle im Bereich der Cybersicherheit finanziell haftbar gemacht werden. [6] Wenn wir an den Punkt kommen, an dem CEOs persönlich für die Sicherheit verantwortlich gemacht werden, werden wir eine stärkere Betonung der Sicherheit und mehr Unterstützung für die Sicherheitsorganisation sehen.

[1] " Die Chance und Verpflichtung der Biden-Administration im Bereich Cybersicherheit ," Forbes

[2] " Gehacktes Wasserwerk in Florida hat Passwörter wiederverwendet und hatte veraltete Windows-Installationen ," CNN

[3] " Software Bill of Materials ," NTIA

[4] " Nordkoreanische Hacker versuchten nach Angaben eines Gesetzgebers, Pfizer-Impfstoff-Know-how zu stehlen ," Reuters

[5] " SolarWinds-Hack war der "größte und raffinierteste Angriff" aller Zeiten: Microsoft-Präsident ," Reuters

[6] " Gartner sagt voraus, dass 75 % der CEOs bis 2024 persönlich für Cyber-Physical Security-Vorfälle verantwortlich sein werden ," Gartner