StateRAMP helpt staats- en lokale overheden te beveiligen

Overheidsinstanties zijn aantrekkelijke doelwitten voor cybercriminelen, omdat ze over grote hoeveelheden persoonsgegevens beschikken, controle hebben over vitale diensten en infrastructuur en vaak - vooral op staats- en lokaal niveau - ontoereikende beveiligingssystemen hebben. Recente krantenkoppen hebben de kwetsbaarheid van staatsagentschappen, gemeenten en onderwijsinstellingen onderstreept: gemeenten hebben losgeld betaald om de controle over hun IT-systemen terug te krijgen, scholen hebben lessen geannuleerd en burgers zijn het slachtoffer geworden van identiteitsdiefstal.

Een nieuw publiek-privaat initiatief, StateRAMP genaamd, is bedoeld om het voor staats-, lokale en onderwijsinstellingen (SLED) gemakkelijker en goedkoper te maken om hun cyberweerbaarheid te verbeteren bij de overstap naar cloudgebaseerde diensten. StateRAMP is gemodelleerd naar het Federal Risk and Authorization Management Program (FedRAMP) en zal een basislijn van overheidsaanbestedingsnormen voor veilige clouddiensten vaststellen, aanbieders van clouddiensten certificeren en doorlopend de beveiligingsmaatregelen van aanbieders controleren.

"Dit is een grote onderneming", zei Leah McGrath, uitvoerend directeur van StateRAMP, in een recente podcast die mede werd uitgezonden door DataBank en Mimecast. "We hebben een echte kans om staats- en lokale overheden en hun providers te helpen hun cyberpositie te verbeteren." [1]

Een lappendeken van beleidslijnen en normen voor gegevensbeveiliging

Het cyberbeveiligingsprofiel van de SLED-omgeving vertoont veel leemten. De beveiligingsbehoeften van instellingen zijn vaak ondergefinancierd en onderbemand, problemen die nog worden verergerd door lange en complexe aanbestedingsprocessen. Nu cybercriminelen uit zijn op gemakkelijke doelwitten met waardevolle en kritieke gegevens, lopen overheidsinstanties en de burgers die zij dienen een steeds groter risico op ransomware, gecompromitteerde databases en verstoorde openbare dienstverlening.

In het algemeen worden het beleid en de normen voor gegevensbeveiliging op het niveau van de staat vastgesteld, voor verschillende overheidsdepartementen, en vervolgens doorgesijpeld naar gemeenten en scholen die overheidsfinanciering ontvangen. De meeste zijn gebaseerd op kaders die zijn ontwikkeld door het National Institute of Standards and Technology (NIST) en anderen, waaronder de FedRAMP-aanbestedingsnormen voor clouddiensten. Maar de details verschillen binnen en tussen staten. Verificatie en lopende controles kunnen ontbreken. En kleinere lokale gemeenten en scholen hebben soms nauwelijks bescherming.

StateRAMP zou veel van deze gaten dichten. "Als pleitbezorger van strenge maar eerlijke cyberbeveiligingsnormen brengt StateRAMP dienstverleners, beleidsmakers, deskundigen uit de sector en overheidsambtenaren samen om de toekomst van cyberbeveiliging te sturen", aldus de organisatoren. [2]

CISO's uiten hun bezorgdheid over de status quo

CISO's op staatsniveau hebben onlangs bekendgemaakt hoe bezorgd ze zijn over aanvallen op lokale gemeenten. Meer dan de helft (56%) zegt "niet veel vertrouwen" te hebben en 35% zegt "slechts enig vertrouwen" te hebben in de gegevensbeveiligingspraktijken van lokale overheden. Meer dan viervijfde (81%) zei ook dat ze niet of nauwelijks vertrouwen hebben in de gegevensbeveiligingspraktijken van derden, zoals cloud service providers. [3]

In het laatste onderzoek van Mimecast op The State of Email Security in the U.S. Public Sector zegt meer dan de helft van de ondervraagde SLED-beveiligingsfunctionarissen dat het "waarschijnlijk" of zelfs "onvermijdelijk" is dat een e-mailaanval hun organisatie ernstige schade kan toebrengen. In ander onderzoek, The State of K-12 Cybersecurity rapport volgden meer dan 400 cyberaanvallen op Amerikaanse scholen in 2020, een stijging van 18% ten opzichte van 2019. [4]

StateRAMP helpt staten verdediging op te bouwen

StateRAMP werd in januari gelanceerd om de SLED-instellingen op verschillende manieren te ondersteunen:

• Een StateRAMP-lijst van geautoriseerde leveranciers zal de gegevensbeveiligingscapaciteiten van leveranciers van clouddiensten certificeren voor het verwerken, opslaan en verzenden van overheidsgegevens. De eerste verkoperslijst van StateRAMP zal deze zomer online worden geplaatst.
• StateRAMP zal documentatie en een lijst van derde partij beoordelingsorganisaties (3PAO's) verschaffen om dienstverleners te helpen certificering te verkrijgen. SLED-functionarissen zullen de voltooide veiligheidsbeoordelingen van leveranciers kunnen opvragen.
• Voortdurende monitoring omvat jaarlijkse 3PAO-evaluaties, alsook maandelijkse en driemaandelijkse rapportage aan StateRAMP.
• Hulpmiddelen, onderwijs en andere middelen zullen SLED-functionarissen helpen de risicotolerantie van organisaties te evalueren en prioriteit te geven aan veiligheid bij aanbestedingen.

Gezien de diversiteit van de behoeften van de staten is StateRAMP bedoeld als een baseline, waaraan overheden specificaties kunnen toevoegen als zij dat nodig achten. Waarnemers verwachten dat tot 10 staten zich tegen het einde van dit jaar zouden kunnen verbinden tot het gebruik van StateRAMP voor aanbestedingen. Ambtenaren van verschillende staten en de National Association of State Chief Information Officers hebben al zitting in StateRAMP besturen en commissies.

Stroomlijning van de aanbestedingen kan de hoge kosten van het personeel en de uitvoering van complexe aanbestedingsprocessen verlagen. En certificeringen kunnen het vertrouwen van SLED-functionarissen in de keuze van veilige dienstverleners vergroten.

Vanwege deze voordelen wordt verwacht dat het werk van StateRAMP ook de overgang van de publieke sector naar de cloud zal versnellen, die zijn eigen kostenbesparingen en vaak betere beveiligingsalternatieven biedt voor on-premise IT-systemen. "StateRAMP zal niet alleen de overstap van staten naar de cloud versnellen, het zal ook de glijders smeren," zegt Jon Goodwin, directeur, U.S. Public Sector & Education , bij Mimecast.

Gebruik van FedRAMP in de staten

StateRAMP is gemodelleerd naar het tien jaar oude FedRAMP dat door de General Services Administration (GSA) wordt gebruikt om federale contractanten te houden aan eisen voor talloze specificaties, zoals encryptie en andere kritieke procescontroles. En terwijl sommige staten FedRAMP als referentie gebruiken, certificeert de GSA alleen dienstverleners die contracten hebben met federale agentschappen. Dit beperkt de pool van beschikbare dienstverleners, naast andere nadelen voor het voldoen aan de behoefte op staatsniveau aan toegang tot de feitelijke beveiligingsbeoordelingen en voor continu toezicht.

StateRAMP maakt gebruik van FedRAMP om de opstartfase te versnellen. Het biedt ook een snel traject naar StateRAMP-certificering voor huidige door FedRAMP geautoriseerde clouddiensten, waarvan er meer dan 200 zijn. [5] Zoals gemeld in Governing magazine, "Als de FedRAMP-erfenis een indicatie is voor succes, zal StateRAMP waarschijnlijk een revolutie teweegbrengen in de aanschaf van clouddiensten door staatsoverheden en veel van hun steden en graafschappen." [6]

Dienstverleners bereiden zich voor op StateRAMP

Aanbieders van clouddiensten willen ook graag deelnemen aan StateRAMP, in plaats van verschillende aanbestedingseisen en -processen in alle 50 staten te moeten beheren.

Mimecast is een voorbeeld van hoe dienstverleners zich in een positie bevinden om mee te doen. Mimecast is bijvoorbeeld al beoordeeld als " FedRAMP Ready ," met een vermelding op de FedRAMP-marktplaats, op weg naar volledige FedRAMP-autorisatie met een federale klant in de komende maanden. Dit zou Mimecast op het snelle spoor zetten voor een StateRAMP-certificering. Ondertussen blijft Mimecast voortbouwen op zijn ervaring met het ondersteunen van overheidsinstanties bij de naleving van andere, meer gespecialiseerde aanbestedingsgebieden, zoals die van de FBI's Criminal Justice Information Services (CJIS) Division en de Health Insurance Portability and Accountability Act (HIPAA) .

De kern van de zaak

Staats- en lokale overheden en scholen zijn agressief doelwit van ransomware en andere cyberaanvallen, omdat zij zoveel gegevens van hun burgers verwerken en zulke kritieke activiteiten uitvoeren. Een nieuw initiatief, StateRAMP genaamd, wil helpen het tij tegen cybercriminelen te keren door staten te verenigen rond een betere manier om veiligere clouddiensten aan te schaffen.

[1] " StateRAMP ," CISO Corner

[2] " Over StateRAMP ," StateRAMP

[3] " 2020 Deloitte-NASCIO Cybersecurity Studie ," National Association of State Chief Information Officers

[4] " The State of K-12 Cybersecurity ," K12 Six

[5] " FedRAMP bereikt 200 toelatingen ," FedRAMP

[6] " 'The Easy Button' for Taking Government to the Cloud ," Governing