StateRAMP hilft bei der Sicherung der staatlichen und lokalen Verwaltung

Öffentliche Einrichtungen sind attraktive Ziele für Cyberkriminelle, da sie über große Mengen personenbezogener Daten verfügen, lebenswichtige Dienste und Infrastrukturen kontrollieren und häufig - insbesondere auf staatlicher und lokaler Ebene - über unzureichende Sicherheitssysteme verfügen. Die Schlagzeilen der letzten Zeit haben gezeigt, wie verwundbar staatliche Behörden, Kommunen und Bildungseinrichtungen sind: Gemeinden zahlten Lösegeld, um die Kontrolle über ihre IT-Systeme wiederzuerlangen, Schulen mussten den Unterricht ausfallen lassen und Bürger wurden Opfer von Identitätsdiebstahl.

Eine neue öffentlich-private Initiative namens StateRAMP soll es staatlichen, kommunalen und Bildungseinrichtungen (SLED) erleichtern und verbilligen, ihre Cyber-Resilienz beim Übergang zu Cloud-basierten Diensten zu verbessern. Nach dem Vorbild des Federal Risk and Authorization Management Program (FedRAMP) wird StateRAMP einen Grundstock an staatlichen Beschaffungsstandards für sichere Cloud-Dienste festlegen, Cloud-Dienstleister zertifizieren und die Sicherheitsmaßnahmen der Anbieter laufend überprüfen.

"Dies ist ein großes Unterfangen", sagte StateRAMP-Exekutivdirektorin Leah McGrath in einem kürzlich von DataBank und Mimecast gemeinsam veranstalteten Podcast. "Wir haben eine echte Chance, staatlichen und lokalen Behörden und ihren Anbietern zu helfen, ihre Cyber-Sicherheit zu verbessern. [1]

Ein Flickenteppich von Datensicherheitsrichtlinien und -standards

Das Cybersicherheitsprofil des SLED-Umfelds weist zahlreiche Lücken auf. Der Sicherheitsbedarf der Institutionen ist oft unterfinanziert und personell unterbesetzt, was durch lange und komplexe Beschaffungsprozesse noch verstärkt wird. Angesichts der Tatsache, dass Cyber-Kriminelle leichte Ziele mit wertvollen und kritischen Daten anvisieren, sehen sich Behörden und die Bürger, denen sie dienen, einem wachsenden Risiko von Ransomware, kompromittierten Datenbanken und unterbrochenen öffentlichen Diensten ausgesetzt.

Im Allgemeinen werden die Datensicherheitsrichtlinien und -standards auf staatlicher Ebene festgelegt, um verschiedene Regierungsstellen abzudecken, und sickern dann zu den Gemeinden und Schulen durch, die staatliche Mittel erhalten. Die meisten stützen sich auf Rahmenwerke, die vom National Institute of Standards and Technology (NIST) und anderen entwickelt wurden, darunter die FedRAMP-Beschaffungsstandards für Cloud-Dienste. Die Details variieren jedoch innerhalb und zwischen den Staaten. Es kann sein, dass es an Verifizierung und laufenden Kontrollen mangelt. Und kleinere lokale Gemeinden und Schulen verfügen möglicherweise nur über geringe Schutzmaßnahmen.

StateRAMP würde viele dieser Lücken schließen. "Als Verfechter starker, aber fairer Cybersicherheitsstandards arbeitet StateRAMP daran, Dienstanbieter, politische Entscheidungsträger, Branchenexperten und Regierungsbeamte zusammenzubringen, um die Zukunft der Cybersicherheit voranzutreiben", so die Organisatoren. [2]

CISOs äußern ihre Besorgnis über den Status Quo

Kürzlich haben die CISOs der Bundesstaaten offengelegt, wie besorgt sie über Angriffe auf lokale Gemeinden sind. Mehr als die Hälfte (56 %) gaben an, dass sie "nicht sehr zuversichtlich" und 35 % "nur einigermaßen zuversichtlich" sind, was die Datensicherheitspraktiken der Kommunalverwaltungen angeht. Mehr als vier Fünftel (81 %) gaben außerdem an, dass sie nur ein gewisses oder kein großes Vertrauen in die Datensicherheitspraktiken von Dritten, wie z. B. Cloud-Anbietern, haben. [3]

In der neuesten Studie von Mimecast The State of Email Security in the U.S. Public Sector gaben mehr als die Hälfte der befragten SLED-Sicherheitsbeauftragten an, dass es "wahrscheinlich" oder sogar "unvermeidlich" sei, dass ein Angriff per E-Mail ihrer Organisation ernsthaften Schaden zufügen könnte. In einer anderen Studie, The State of K-12 Cybersecurity , wurden mehr als 400 Cyberangriffe auf US-Schulen im Jahr 2020 erfasst, ein Anstieg von 18 % gegenüber 2019. [4]

StateRAMP hilft Staaten beim Aufbau von Verteidigungsmaßnahmen

StateRAMP wurde im Januar ins Leben gerufen, um SLED-Einrichtungen auf verschiedene Weise zu unterstützen:

• Eine StateRAMP-Liste autorisierter Anbieter wird die Datensicherheitsfähigkeiten von Cloud-Dienstleistern für die Verarbeitung, Speicherung und Übertragung von Regierungsdaten zertifizieren. Die erste StateRAMP-Anbieterliste soll noch in diesem Sommer online gestellt werden.
• StateRAMP wird Unterlagen und eine Liste von Drittbewertungsorganisationen (3PAOs) bereitstellen, um Dienstleistern bei der Zertifizierung zu helfen. SLED-Beamte werden die Möglichkeit haben, die abgeschlossenen Sicherheitsbewertungen der Anbieter anzufordern.
• Die kontinuierliche Überwachung umfasst jährliche 3PAO-Bewertungen sowie eine monatliche und vierteljährliche Berichterstattung an StateRAMP.
• Tools, Schulungen und andere Ressourcen werden den SLED-Beamten helfen, die Risikotoleranz ihrer Organisation zu bewerten und der Sicherheit im Beschaffungswesen Priorität einzuräumen.

In Anbetracht der unterschiedlichen Bedürfnisse der Staaten ist StateRAMP als Grundlage gedacht, zu der die Regierungen nach eigenem Ermessen Spezifikationen hinzufügen können. Beobachter gehen davon aus, dass sich bis zum Ende dieses Jahres bis zu 10 Bundesstaaten dazu verpflichten könnten, StateRAMP für die Beschaffung zu nutzen. Bereits jetzt sitzen Beamte aus mehreren Bundesstaaten und der National Association of State Chief Information Officers in StateRAMP-Vorständen und -Ausschüssen.

Die Rationalisierung des Beschaffungswesens kann die hohen Kosten für das Personal und die Durchführung komplexer Auftragsvergabeverfahren senken. Und Zertifizierungen können das Vertrauen der SLED-Beamten in die Auswahl sicherer Dienstleister stärken.

Aufgrund dieser Vorteile wird erwartet, dass die Arbeit von StateRAMP auch den Übergang des öffentlichen Sektors zur Cloud beschleunigen wird, die eigene Kosteneffizienz und oft bessere Sicherheitsalternativen zu IT-Systemen vor Ort bietet. "StateRAMP wird nicht nur die Umstellung der Bundesstaaten auf die Cloud beschleunigen, sondern auch den Weg ebnen", sagt Jon Goodwin, Director, U.S. Public Sector & Education , bei Mimecast.

Nutzung von FedRAMP in den Bundesstaaten

StateRAMP ist dem zehn Jahre alten FedRAMP nachempfunden, das von der General Services Administration (GSA) verwendet wird, um Bundesauftragnehmer auf die Einhaltung unzähliger Spezifikationen wie Verschlüsselung und andere wichtige Prozesskontrollen zu verpflichten. Und während einige Staaten FedRAMP als Referenz verwenden, zertifiziert die GSA nur Dienstleister, die Verträge mit Bundesbehörden haben. Dies schränkt den Pool der verfügbaren Dienstleister ein und hat weitere Nachteile, wenn es darum geht, die Anforderungen der Bundesstaaten an den Zugang zu den tatsächlichen Sicherheitsbewertungen und an die kontinuierliche Überwachung zu erfüllen.

StateRAMP nutzt FedRAMP, um seine Startphase zu beschleunigen. Es bietet auch einen schnellen Weg zur StateRAMP-Zertifizierung für aktuelle, von FedRAMP autorisierte Cloud-Service-Angebote, von denen es über 200 gibt. [5] Wie in der Zeitschrift Governing berichtet wurde, "Wenn das FedRAMP-Erbe ein Indikator für den Erfolg ist, wird StateRAMP wahrscheinlich die Beschaffung von Cloud-Services durch staatliche Behörden und viele ihrer Städte und Landkreise revolutionieren." [6]

Dienstanbieter bereiten sich auf StateRAMP vor

Auch die Anbieter von Cloud-Diensten sind sehr daran interessiert, sich an StateRAMP zu beteiligen, um nicht in allen 50 Bundesstaaten unterschiedliche Beschaffungsanforderungen und -prozesse zu verwalten.

Mimecast ist ein Beispiel dafür, wie sich Dienstanbieter positionieren können, um mitzumachen. So wurde Mimecast bereits als " FedRAMP Ready " eingestuft, mit einer Auflistung auf dem FedRAMP-Marktplatz, auf dem Weg zur vollständigen FedRAMP-Autorisierung mit einem Bundeskunden in den kommenden Monaten. Dies würde Mimecast auf die Überholspur für die StateRAMP-Zertifizierung bringen. In der Zwischenzeit baut Mimecast weiter auf seine Erfahrung in der Unterstützung von Regierungsbehörden bei der Einhaltung von Vorschriften in anderen, spezielleren Beschaffungsbereichen, wie z. B. denjenigen, die von der FBI's Criminal Justice Information Services (CJIS) Division und dem Health Insurance Portability and Accountability Act (HIPAA) kontrolliert werden.

Die Quintessenz

Staatliche und kommunale Behörden und Schulen sind ein aggressives Ziel von Ransomware und anderen Cyberangriffen, da sie so viele Daten ihrer Bürgerinnen und Bürger verwalten und so wichtige Vorgänge durchführen. Eine neue Initiative mit dem Namen StateRAMP soll dazu beitragen, das Blatt gegen Cyberkriminelle zu wenden, indem sich die Staaten auf eine bessere Methode zur Beschaffung sicherer Cloud-Dienste einigen.

[1] " StateRAMP ," CISO Corner

[2] " Über StateRAMP ," StateRAMP

[3] " 2020 Deloitte-NASCIO Cybersecurity Study ," National Association of State Chief Information Officers

[4] " Der Stand der K-12 Cybersicherheit ," K12 Six

[5] " FedRAMP erreicht 200 Autorisierungen ," FedRAMP

[6] " "Die einfache Taste" für die Einführung der Cloud in die Verwaltung ," Governing