Staats-CIO's rangschikken beveiliging voor 9e jaar als prioriteit nr. 1

Staatsoverheden hebben veel aan hun hoofd - vooral in het licht van de COVID-19 pandemie. Maar wat staats-CIO's het meest bezighoudt, is cyberbeveiliging, volgens de National Association of State Chief Information Officers (NASCIO). Voor het negende jaar op rij stond cyberbeveiliging bovenaan in de 2022-editie van de "State CIO Top 10 Priorities" van de organisatie. [1]

De noodzaak van een dergelijke focus werd enkele dagen na de publicatie van het onderzoek eerder deze maand nog eens onderstreept, toen weer een opzienbarende cyberaanval op de staatsoverheid het nieuws haalde. In dit geval werd de wetgevende macht van Virginia offline gehaald door een ransomware-aanval.[2]

De staats- en lokale overheids- en onderwijssector (SLED) is steeds vaker getroffen sinds het begin van de pandemie, toen meer dan de helft van de SLED-beveiligingsfunctionarissen zei dat het "waarschijnlijk" tot "onvermijdelijk" was dat een e-mailaanval ernstige schade zou toebrengen aan hun organisaties, volgens Mimecast's 2020 State of Email Security in the U.S. Public Sector .

In 2020 werden naar schatting meer dan 1.790 federale, staats- en gemeentelijke overheden en scholen in de VS getroffen door een van de schadelijkste cyberdelicten - ransomware.[1] Hoewel de statistieken voor de publieke sector voor het huidige jaar nog worden bijgehouden, laten de algemene trends een stijging van 17% zien in het aantal gemelde datalekken van allerlei aard in de VS tot en met het derde kwartaal van 2021. [3] De SLED-sector wordt over het algemeen harder getroffen dan de meeste,[4] voornamelijk omdat haar organisaties zeer gevoelige informatie bezitten en zwakkere verdedigingsmechanismen hebben die hen een gemakkelijker doelwit maken voor cybercriminelen.[5]

Vooruitkijkend naar het nieuwe jaar hebben CIO's van staten aangegeven vastbesloten te zijn om actie te ondernemen op verschillende belangrijke gebieden, volgens NASCIO's jaarlijkse enquête voor 2021,[6] die een aanvulling vormt op de Top 10-lijst. Meer dan 80% zei dat ze van plan zijn om in de komende twee tot drie jaar oplossingen voor identiteits- en toegangsbeheer in te voeren of uit te breiden. Hetzelfde geldt voor het uitvoeren van voortdurende beoordelingen van de cyberbeveiliging van de onderneming (69%), het invoeren of uitbreiden van een zero-trust framework (67%) en het geven van bewustwordingstrainingen op het gebied van cyberbeveiliging (56%).

Maar in het licht van een van de grootste blijvende veranderingen als gevolg van de pandemie - werken op afstand - bleek uit de NASCIO-enquête ook dat er het komende jaar weinig nieuwe financiering naar staatsoverheden gaat. Meer dan 80% van de CIO's meldde geen budgetverhogingen om tegemoet te komen aan nieuwe of toegenomen behoeften op het gebied van telewerken, die de beveiliging hebben gecompliceerd en de aanvalsoppervlakken van hun staten hebben uitgebreid.

Thema's veiligheid en privacy lopen als een rode draad door CIO-prioriteiten

Niet alleen is cyberbeveiliging de topprioriteit van staats-CIO's, maar veel van hun andere prioriteiten weerspiegelen specifieke beveiligings- en privacybehoeften. Prioriteit nr. 2 is bijvoorbeeld "digitale overheid/digitale diensten", die wordt uitgesplitst in identiteitsbeheer en privacy, terwijl "de ervaring van de burger wordt verbeterd en gedigitaliseerd".

CIO's zijn ook vastbesloten om hun legacy te moderniseren, een doel dat voor het eerst in vijf jaar weer op de lijst staat en prioriteit nummer 5 krijgt. Het bijwerken van legacy-systemen wordt onder meer gezien als een noodzaak om beveiligingsgaten te dichten.

En zo gaat de lijst verder met een reeks beveiligingsrelevante beleidslijnen en managementprocessen, waaronder "identiteits- en toegangsbeheer" als prioriteit nr. 6. CIO's benadrukten ook de beveiligings-, privacy- en gegevensbeheeraspecten van andere grote prioriteiten, zoals "clouddiensten" (prioriteit nr. 4) en "gegevens- en informatiebeheer" (prioriteit nr. 9).

Hoe de reactie op de pandemie de cyberbeveiliging van staten heeft veranderd

In de jaarlijkse enquête van NASCIO beschreven CIO's hoe de reacties van hun staten op de pandemie hun cyberbeveiligingssystemen en -procedures hebben veranderd. In het algemeen, aldus het rapport: "Met de verschuiving naar een steeds meer digitale overheid en werk op afstand hier te blijven, hebben CIO's hun aanpak van cyberbeveiliging geëvolueerd om de gedistribueerde omgeving en het menselijke element van cyberdreigingen verder aan te pakken."

Specifieke enquêteresultaten zijn onder meer:

• 67% heeft de encryptie en beveiliging voor online werk thuis verbeterd.
• 65% heeft nu normen voor cloudbeveiliging.
• 57% ziet beveiliging als drijvende kracht achter hun cloudstrategieën.
• 41% ziet disaster recovery en risicobeheer als drijvende krachten achter hun overstap naar de cloud.
• 60% heeft ten minste gedeeltelijk identiteits- en toegangsbeheer ingevoerd.
• 60% heeft de modernisering van hun onveilige legacysystemen versneld.

Veel staats-CIO's (57%) noemden ransomware als een belangrijke motivator voor verandering. "Ransomware zal een belangrijke bedreiging blijven voor overheidsinstanties", aldus Cybersecurity in Government 2021 , een rapport van Osterman Research in opdracht van Mimecast.

Toch is ransomware niet de enige bedreiging voor de gegevens en activiteiten van staten. "Overheden worden aangevallen door een breed scala aan cyberaanvallen, waaronder ransomware, phishing, zakelijke e-mailcompromittering, gegevensinbreuken en verkeerd geconfigureerde cloudopslagaccounts", aldus het Osterman-rapport. De meeste aanvallen vinden hun oorsprong in e-mail phishing, aldus het rapport.

Zullen de overheidsbegrotingen voor cyberbeveiliging de uitdaging aankunnen?

De budgetten voor cyberbeveiliging zouden ver moeten reiken om aan alle in het top 10-verslag beschreven behoeften te voldoen. Toch blijven de overheidsmiddelen voor cyberbeveiliging krap.

Staatsoverheden besteden minder dan 3% van hun IT-budget aan cyberbeveiliging, vergeleken met ongeveer 7% bij het federale ministerie van Vervoer en 11% bij de Amerikaanse Social Security Administration, volgens een NASCIO-Deloitte-rapport uit 2020.[7] Hoewel de IT-financiering tijdens het eerste deel van de pandemie verbeterde, omdat noodprojecten werden versneld, zien CIO's die werden ondervraagd in de jaarlijkse enquête van NASCIO dit als een bliepje. Zoals hierboven vermeld, verwacht minder dan 20% een toename in 2022, zelfs als regelingen voor tele- en hybride werken naar verwachting zullen blijven bestaan.

Er is hulp op komst, met 1 miljard dollar aan staats- en lokale subsidies voor cyberbeveiliging die zijn opgenomen in het infrastructuurpakket van de regering-Biden. De fondsen zullen naar verwachting tussen 2022 en 2025 worden verstrekt. [8] In een andere veelbelovende ontwikkeling voor SLED CIO's, heeft de StateRAMP-groep voor cloudbeveiligingsnormen onlangs zijn eerste lijst van geautoriseerde leveranciers gepubliceerd, waaronder Mimecast.[9]

De kern van de zaak

Al negen jaar op rij hebben CIO's van staatsoverheden cyberbeveiliging als hun topprioriteit aangemerkt. Ze nemen veel maatregelen om hun risico's te beperken, maar krappe budgetten en verouderde systemen blijven hen kwetsbaarder maken dan de meeste organisaties.

[1] "State CIO Top Ten Policy and Technology Priorities for 2022," National Association of State Chief Information Officers

[2] "Ransomware-aanval treft Virginia Legislature," CNN

[3] "Aantal gegevensinbraken in 2021 overtreft dat van 2020," Identity Theft Resource Center

[4] "2021 Data Breach Investigations Report," Verizon

[5] "Why Government Institutions Are the Perfect Target for Hackers," Overheidstechnologie

[6] "The 2021 State CIO Survey," National Association of State Chief Information Officers

[7] "2020 Deloitte-NASCIO Cybersecurity Study," Deloitte and National Association of State Chief Information Officers

[8] "Staats- en lokale ambtenaren vieren goedkeuring van infrastructuurwet met 1 miljard dollar aan cyberfondsen," The Hill

[9] "StateRAMP Authorized Vendors," StateRAMP