Amerikaanse bedrijven in tweestrijd over cyberbeveiligingsmandaten
Terwijl de federale overheid de eisen voor cyberbeveiliging in sommige sectoren heeft opgeschroefd, blijkt uit een enquête van Mimecast dat bedrijven gemengde gevoelens hebben over verplichte minimumnormen.
Hoofdpunten
- De Amerikaanse overheid heeft verplichte cyberbeveiligingsnormen ingevoerd voor overheidsinstanties, federale aannemers en spelers op het gebied van kritieke infrastructuur.
- Haar initiatieven zullen de lat voor cyberbeveiliging waarschijnlijk hoger leggen dan deze eerste verdedigingslinie.
- Bedrijven die zijn ondervraagd in het jaarlijkse Mimecast-rapport State of Email Security (SOES) staan ambivalent tegenover verplichte minimumeisen voor cyberbeveiliging.
Nu Amerika het hoofd moet bieden aan voortdurende cyberaanvallen op kritieke infrastructuur en softwareleveringsketens, hebben Amerikaanse beleidsmakers selectief cyberbeveiligingsvoorschriften uitgevaardigd in belangrijke sectoren. Voor veel waarnemers wekt dit het vooruitzicht dat minimumnormen voor cyberbeveiliging over de hele linie kunnen worden toegepast.[1]
In het Mimecast-rapport State of Email Security Report voor 2022 tonen Amerikaanse bedrijven gemengde gevoelens ten aanzien van dergelijke mandaten. Minder dan een derde van de bedrijven denkt dat minimumnormen een groot verschil zullen maken in de risico's die ze lopen, de manier waarop ze hun bedrijf beschermen of de uitgaven die ze daarvoor doen. Toch denkt ongeveer de helft dat het effect op deze en andere gebieden op zijn minst bescheiden zal zijn, zoals hieronder beschreven.
Washington begint minimumnormen voor cyberbeveiliging vast te stellen
Afgelopen mei heeft president Biden een uitvoeringsbesluit uitgevaardigd waarin hij oproept tot strengere normen voor cyberbeveiliging binnen de federale overheid en bij haar contractanten, alsook tot een betere beveiliging van de toeleveringsketen van software en het opstellen van een draaiboek voor de reactie op cyberincidenten. Sinds die aankondiging is een aantal verwante wetgevingsvoorstellen op stoom gekomen.
In maart ondertekende Biden een wet die bedrijven in kritieke infrastructuur verplicht om cyberaanvallen en betalingen van ransomware te melden.[2] Ondertussen hebben een aantal federale departementen en agentschappen het voorbeeld van de opperbevelhebber gevolgd met nieuwe rapportageverplichtingen en cyberbeveiligingsvereisten voor bepaalde sectoren. In tegenstelling tot het cyberbeveiligingsraamwerk van het National Institute of Standards and Technology (NIST), dat vrijwillig is voor bedrijven, zijn deze nieuwe initiatieven verplicht, "een voortzetting van de verschuiving van de overheid naar een steeds regelmatiger benadering van cyberbeveiliging in de particuliere sector", aldus juridische deskundigen.[3]
Volgens sommige waarnemers in Washington zullen deze hogere verwachtingen en nieuwe normen voor de federale overheid, haar leveranciers en de spelers op het gebied van kritieke infrastructuur waarschijnlijk doorwerken in de bredere particuliere sector, waardoor de minimumnormen voor cyberbeveiliging voor iedereen dichterbij komen.
Een rimpeleffect
In januari is de regering-Biden begonnen met het vaststellen van tijdschema's voor de eisen die in zijn uitvoeringsbesluit waren opgenomen. Dat memo gaf federale departementen en agentschappen 180 dagen om multifactorauthenticatie en encryptie voor geclassificeerde systemen te implementeren, terwijl het Committee on National Security Systems (CNSS) 90 dagen de tijd kreeg om met een cyberbeveiligingsraamwerk voor systemen in de commerciële cloud te komen en het hoofd van elk uitvoerend departement of agentschap 60 dagen de tijd kreeg om plannen bij te werken om prioriteit te geven aan de adoptie van cloudtechnologie en een zero-trust architectuur.[4]
In de tussentijd hebben sommige departementen en agentschappen belangrijke stappen gezet. In navolging van haar strenge cyberbeveiligingsmandaten, specifiek voor pijpleidingbeheerders, heeft de Transportation Security Administration richtlijnen uitgevaardigd die luchtvaartmaatschappijen en exploitanten van passagiers- en goederenspoorlijnen verplichten een reeks cyberbeveiligingsmaatregelen te treffen om verstoring en beschadiging van hun infrastructuur te voorkomen.[5] De Securities and Exchange Commission stemde voor het voorstel nieuwe vereisten voor risicobeheer op het gebied van cyberbeveiliging voor de beleggingssector, een stap die een advocatenkantoor omschreef als "de meest significante update van de federale privacywetgeving" voor deze sector in 20 jaar.[6]
Wat de gevolgen voor de particuliere sector betreft, heeft het Amerikaanse ministerie van Justitie een initiatief aangekondigd dat het in staat zal stellen een reeds bestaande fraudewet te gebruiken om bedrijven te vervolgen die niet voldoen aan federale cyberbeveiligingsnormen of die een verkeerde voorstelling geven van hun inspanningen om daaraan te voldoen. Sommige industriewatchers merkten dit op als een dramatische verschuiving van de kant van het ministerie van Justitie om niet alleen particuliere bedrijven te beschermen die het slachtoffer worden van cyberaanvallen, maar om diegenen te vervolgen die zich niet houden aan de cyberbeveiligingsmandaten.[7] "Het initiatief maakt gebruik van de koopkracht van de federale overheid om de lat voor cyberbeveiliging hoger te leggen," schreven juridische experts, "in de hoop dat de normen die door overheidsaannemers worden gehanteerd uiteindelijk door de private sector zullen worden geëvenaard."
Bedrijven zien hogere kosten, minder autonomie
In het verleden waren particuliere bedrijven en overheidsinstanties grotendeels verantwoordelijk voor het bepalen van hun eigen cyberbeveiligingsrichting, met begeleiding, ondersteuning en sommige normen van de overheid. Hoewel de drijfveren voor een grotere betrokkenheid van de overheid en het vaststellen van mandaten duidelijk mogen zijn, is de verwachte impact op particuliere bedrijven minder duidelijk. In het rapport State of Email Security beschrijven respondenten uit de VS het als volgt:
- Cyberbeveiligingsrisico: Slechts 31% van de Amerikaanse deelnemers aan de enquête is van mening dat door de overheid opgelegde minimumbeveiligingsnormen een aanzienlijke impact zouden hebben op het verminderen van het risico op cyberaanvallen die hun bedrijf treffen. Vier op de tien denken dat een mandaat een matig effect zou hebben, en bijna een kwart (23%) denkt dat dergelijke eisen een gering effect zouden hebben.
- Cyberveerkracht: Evenzo geven slechts drie op de tien Amerikaanse respondenten aan dat door de overheid opgelegde minimumbeveiligingsnormen zouden leiden tot grote verbeteringen in de cyberveerkracht van hun bedrijf. Bijna de helft zegt dat mandaten zouden leiden tot matige verbeteringen in hun algehele cyberbeveiligingsprofiel, terwijl 17% zegt dat ze zouden leiden tot minimale veranderingen.
- Beveiligingsbudget: Meer dan een kwart (28%) van de ondervraagden zegt dat mandaten hun kosten aanzienlijk zouden doen stijgen, terwijl 46% verwacht dat dergelijke vereisten de kosten matig zullen doen stijgen. Twee op de tien respondenten zeggen dat minimumeisen een beperktere impact zouden hebben op hun budget voor cyberbeveiliging.
- Cyberstrategie: Meer dan een kwart (28%) van de Amerikaanse respondenten zegt dat verplichte minimumniveaus van cyberbeveiliging de vrijheid van hun bedrijf om te bepalen wat de beste manier is om te reageren op cyberdreigingen, sterk zou beperken, terwijl 43% vindt dat het hun autonomie matig zou aantasten en 18% zegt dat het een minimale impact zou hebben op hun zelfbeschikking met betrekking tot cyberbeveiligingsmaatregelen.
- Betrokkenheid van bestuur en directie: Bijna drie op de tien (29%) deelnemers aan de enquête denken dat verplichte minimumvoorschriften het niveau van zorg van bedrijfsleiders met betrekking tot de verbetering van cyberbeveiliging in hun organisaties aanzienlijk zou kunnen verhogen. De helft van de respondenten zegt dat dergelijke wetgeving de mate van interesse van bedrijfsleiders matig zou verhogen, en 15% denkt dat het waarschijnlijk hun aandachtsniveau slechts een beetje zal verhogen.
De kern van de zaak
Of deze veranderende overheidseisen zullen resulteren in verplichte cyberbeveiligingsminima voor een breder spectrum van particuliere bedrijven valt nog te bezien. In de tussentijd verwachten deskundigen dat de cyberbeveiligingsmaatregelen van bedrijven kritischer zullen worden gevolgd, met name door bedrijven die rechtstreeks met de overheid werken of deel uitmaken van de IT-toeleveringsketen. Lees meer over hoe bedrijven reageren op deze en andere cyberbeveiligingsgebeurtenissen in het Mimecast-rapport State of Email Security voor 2022.
[1] "Cyberbeveiligings- en dataprivacyverkenning 2022," Reuters
[2] "With Eye to Russia, Biden Administration Asks Companies to Report Cyberattacks," New York Times
[3] "TSA Rail Cybersecurity Directives Show Increasing Government Regulation of Critical Infrastructure and the Private Sector," Wiley
[4] "Memorandum on Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems," Witte Huis
[5] "TSA legt nieuwe eisen op inzake cyberbeveiliging voor spoorweg- en luchtsectoren," Inside Privacy
[6] "SEC stelt nieuwe cyberbeveiligingsregels voor SEC-geregistreerde adviseurs en fondsen voor," Dechert LLP
[7] "Cyberbeveiligings- en dataprivacyverkenning 2022," Reuters
Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze
Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox
Succesvol aanmelden
Dank u voor uw inschrijving om updates van onze blog te ontvangen
We houden contact!