Ein Leitfaden für den Kongress: Sieben Schritte zur US-Sicherheit, Wohlstand und Freiheit im Cyberspace Cybersicherheit ist eines der kritischsten Probleme, denen die USA heute gegenüberstehen. Die Bedrohungen sind real und die Notwendigkeit drängt. Trotz der besten Absichten derjenigen, die mit früheren Cyber-Gesetzgebungsanstrengungen beschäftigt sind, wird eine Regulierungsgrundlage einfach nicht funktionieren: Sie wird die Sicherheit nicht verbessern und sie sogar senken, indem sie ein falsches Maß an Komfort bietet und den privaten Sektor mit veralteten Vorschriften verknotet. Cyberspaces dynamische Natur muss anerkannt und durch Maßnahmen, die gleichermaßen dynamisch behandelt werden. Heritage Foundation National Security Analysten detaillierte sieben Maßnahmen, die die USA umsetzen sollten, um ihre Vermögenswerte und Interessen in der Cyber-Domain zu schützen. Schlüsselpunkte Die US-Gesichter und sind weitgehend unvorbereitet für signifikante Cyber-Bedrohungen, die die kritische Infrastruktur Amerikas gefährden, die Freiheiten, die die Amerikaner online ausüben, und die Wirtschaftlichkeit des US-Geschäfts. Russland, China und Iran versuchen, US-amerikanisches Eigentum zu stehlen oder zu zerstören, um ihre Macht oder ihr Prestige zu fördern. Hamas, Hisbollah und kriminelle Organisationen aus der ganzen Welt haben auch Cyber-Methoden eingesetzt. Cyber Spionage ist weit verbreitet, mit U. S. Unternehmen verlieren schätzungsweise 250 Milliarden jedes Jahr in geistigem Eigentum. Trotz der besten Absichten derjenigen, die vorherige Cyber-Gesetzgebung unterstützt haben, wird eine regulatorische Grundlage einfach nicht funktionieren: Sie verbessert nicht die Sicherheit und kann sie sogar senken, indem sie ein falsches Maß an Komfort bietet und den privaten Sektor mit veralteten Vorschriften belastet. Cyberspaces dynamische Natur muss anerkannt und durch Maßnahmen, die gleichermaßen dynamisch behandelt werden. Und jede Gesetzgebung muss einen robusten Schutz für die Privatsphäre und die individuellen Freiheiten bieten. Schlüsselpunkte Die US-Gesichter und sind weitgehend unvorbereitet für signifikante Cyber-Bedrohungen, die die kritische Infrastruktur Amerikas gefährden, die Freiheiten, die die Amerikaner online ausüben, und die Wirtschaftlichkeit des US-Geschäfts. Russland, China und Iran versuchen, US-amerikanisches Eigentum zu stehlen oder zu zerstören, um ihre Macht oder ihr Prestige zu fördern. Hamas, Hisbollah und kriminelle Organisationen aus der ganzen Welt haben auch Cyber-Methoden eingesetzt. Cyber Spionage ist weit verbreitet, mit U. S. Unternehmen verlieren schätzungsweise 250 Milliarden jedes Jahr in geistigem Eigentum. Trotz der besten Absichten derjenigen, die vorherige Cyber-Gesetzgebung unterstützt haben, wird eine regulatorische Grundlage einfach nicht funktionieren: Sie verbessert nicht die Sicherheit und kann sie sogar senken, indem sie ein falsches Maß an Komfort bietet und den privaten Sektor mit veralteten Vorschriften belastet. Cyberspaces dynamische Natur muss anerkannt und durch Maßnahmen, die gleichermaßen dynamisch behandelt werden. Und jede Gesetzgebung muss einen robusten Schutz für die Privatsphäre und die individuellen Freiheiten bieten. Über die Autoren Steven P. Bucci, Ph. D. Douglas und Sarah Allison Zentrum für Außen - und Sicherheitspolitik Douglas und Sarah Allison Zentrum für Außen - und Sicherheitspolitik Die USA stehen vor erheblichen Bedrohungen der Cyber-Sicherheit, die die kritische Infrastruktur Amerikas gefährden, die Freiheiten, die die Amerikaner online ausüben, und die wirtschaftliche Lebensfähigkeit der USA Unternehmen. Der Cyber-Sicherheitsstatus quo ist instabil, vor allem, wenn man den enormen und wachsenden Umfang dieser Bedrohungen betrachtet. Um diese Bedrohungen abzumildern, bietet dieses Papier einen Rahmen für Kongressaktionen, die die Macht der U. S.-Industrie und Erfindungsgabe nutzen und gleichzeitig die Freiheiten und die Privatsphäre der einzelnen Bürger schützen. Durch dynamische und kostengünstige Lösungen kann der Kongress Cyberspace zu einem sichereren und produktiveren Ort für US-Bürger machen, um den amerikanischen Traum zu verfolgen. Das Fehlen, verantwortliches Handeln zu nehmen, lässt die U. S anfällig für eine Vielzahl von Drohungen. Nation-Staaten wie Russland, China und Iran sind mehr als bereit, zu stehlen oder zu zerstören U. S. digitales Eigentum, um ihre Macht oder Prestige zu fördern. Nichtstaatliche Akteure wie die Hamas und die Hisbollah haben auch gezeigt, dass sie in der Lage sind, Cyber-Methoden und kriminelle Organisationen aus der ganzen Welt einzusetzen, und sie sind sowohl als Waffen als auch als Waffe eingesetzt worden Spionage ist zügellos, mit US-Unternehmen schätzungsweise zu verlieren, eine schwankende 250 Milliarden jährlich in geistigem Eigentum.2 Die latente Natur dieser Bedrohung führt viele Menschen auf Investitionen in Sicherheit zu verzichten, weil es noch nicht geschädigt ihre Organisation oder weil sie irrtümlicherweise glauben, dass Sie haben nichts, was ein Cyber-Gegner wollen würde. Noch wichtiger ist, sie missverstehen, dass ihre eigene Cyber-Unsicherheit hat Sicherheiten Auswirkungen auf andere Effekte, für die sie verantwortlich sind. Es gibt daher eine Rolle für die Bundesregierung, Maßnahmen zu fördern, die die allgemeine Cybersicherheitsposition der USA verbessern werden. Diese Rolle besteht jedoch nicht darin, verbindliche Regelungen festzulegen. Wie das US-Government Accountability Office (GAO) festgestellt hat, wäre ein solcher Ansatz eher ein Anker, der US-Unternehmen zurückhält, ohne dabei zusätzliche Sicherheit zu schaffen. Der Kongress sollte einen Regulierungsansatz ablehnen und eine Gesetzgebung verabschieden, die tatsächlich die Nationen-Cyber-Sicherheit verbessern wird. Solche Gesetze müssen in der Lage sein, sich an die sich ständig weiterentwickelnde Herausforderung anzupassen, die das heutige Cyberumfeld darstellt. Darüber hinaus muss jede Gesetzgebung einen robusten Schutz für die Privatsphäre und die individuellen Freiheiten gewährleisten. Es gibt sieben Schlüsselkomponenten, die in eine wirklich effektive Cyber-Gesetzgebung aufgenommen werden müssen: Ermöglichung des Informationsaustauschs anstatt sie zu beauftragen Förderung der Entwicklung einer lebensfähigen Cyber-Sicherheitshaftung und des Versicherungssystems Aufbau einer privatwirtschaftlichen Struktur, die die Sicherheitsbewertungen der Cyber-Supply-Chain fördert Begrenzte Cyber-Selbstverteidigung Standards für die Industrie Für mehr privatwirtschaftliche Bemühungen um allgemeine Sensibilisierung, Bildung und Ausbildung in ganz Amerika Reforming Wissenschaft, Technologie, Ingenieurwesen und Mathematik (STEM) Bildung, um eine starke Cyber Belegschaft in der Industrie und Regierung zu schaffen und zu fördern Führende verantwortungsvolle internationale Cyber-Engagement. Vergangene Anstrengungen scheiterten aus gutem Grund Der 112. Kongreß versuchte und scheiterte, eine umfassende Gesetzgebung zur Cyber-Sicherheit vorzulegen. Mehrere Rechnungen wurden in beiden Kammern betrachtet, und ein Gesetzentwurf, das Cyber Intelligence and Sharing Protection Act (CISPA), verabschiedete das Repräsentantenhaus. Dennoch entstand schließlich kein Gesetz. Präsident Barack Obama hat vor kurzem eine Exekutivverordnung erlassen, die das vorgeschlagene Senats-Cybersecurity Act (CSA) von 2012, die so genannte LiebermanCollins-Rechnung, widerspiegelt.4 Die CSA hat es versäumt, insbesondere aufgrund der vernünftigen Unterschiede zwischen den Mitgliedern des Kongresses, wie die Nation sollte Ansatz der wachsenden Herausforderung der Cyber-Sicherheit. Diese unterschiedlichen Lager sind nicht an gegenüberliegenden Enden des politischen Spektrums, aber sind verbreitet in der amerikanischen ideologischen Landschaft. Die Mitarbeiter der Senatoren Joe Lieberman (ICT, jetzt im Ruhestand) und Susan Collins (RME), die den Gesetzentwurf verfasst haben, haben eine breite Palette an Akteuren aus dem öffentlichen und privaten Sektor erreicht, um die Kluft zwischen den verschiedenen zu überbrücken Lagern. Als die Abstimmung näherte, versuchten die Mitarbeiter, einige Bereiche zu erweichen, die Gegner für unangenehm hielten. Während sie verdienen Lohn für ihre Bemühungen, die Überarbeitungen waren nicht zufriedenstellend: Die wichtigsten Überarbeitung der CSA machte Cybersecurity-Standards freiwillig. Einzelne Regulierungsagenturen könnten jedoch Regelungen verabschiedet haben, die diese freiwilligen Standards in bestimmten Sektoren vorgeschrieben hätten. Letztendlich glaubte eine bedeutende Anzahl von relevanten Spielern, dass Regulierung der falsche Weg ist, die Cyber-Sicherheit zu fördern. Solche Bedenken verhinderten, dass das Cybersecurity Act von 2012 Gesetz wurde. Die Befürworter eines regulatorischen Ansatzes glauben, dass dieser Rahmen die Nationen allgemeine Cybersicherheit verbessern wird. Das Problem ist, dass eine schwere Regierungsverordnung eine Lösung des 19. Jahrhunderts für ein Problem des 21. Jahrhunderts ist. Es hilft einfach nicht. Solche Befürworter behaupten, dass alles tun ist besser als nichts zu tun. In der Tat kann der regulatorische Ansatz die Dinge schlimmer machen als nichts zu tun. Ein Netzwerk von Vorschriften zwingt eine langsame und statische Compliance-Kultur auf die dynamischste Technologie, die die Welt je gekannt hat. Es wird ein Standard, der nichts anderes als eine Einladung an Americas Gegner im Cyberspace. Sie werden wissen, dass, unabhängig davon, was diese Norm ist, müssen sie nur zu überschreiten es mit dem geringsten bis zu schweren Schäden an US-Interessen zu tun. Das wird eindeutig nicht ausreichen, wenn es darum geht, die nationale Cybersecurity-Haltung zu verbessern, anstatt nur etwas zu tun, damit sich Politiker und die amerikanische Öffentlichkeit besser fühlen können. Die Verordnung, insbesondere die Bundesverordnung, ist langsam, umständlich und statisch. Einmal in Kraft, Vorschriften sind sehr schwer zu entfernen oder sogar ändern. Dies ist genau der falsche Ansatz für den Umgang mit dem sich schnell bewegenden und unglaublich dynamischen Bereich der Cybersicherheit. Die Rechenleistung von Computern hat sich historisch verdoppelt alle 18 bis 24 Monate, wenn es dauert, zu schreiben und zu implementieren eine große Regulierung ist mindestens 24 bis 36 Monate.5 Infolgedessen werden Cyber-Sicherheit Vorschriften bereits am Tag ihrer Ausgabe und schnelle Updates veraltet sein Wird nicht möglich sein. Angesichts einer langsamen, statischen Standard, Hacker, ob selbstständig oder für eine andere Regierung arbeiten, wird leicht umgehen, den Standard, so wie die Deutschen Frances Maginot Linie im Zweiten Weltkrieg umgangen. Darüber hinaus sind die staatlichen Kontrollen und Regelungen nicht schutzfähig. Die Bundesregierung hat mindestens 65 Verletzungen und Misserfolge im Zusammenhang mit der Cyber-Sicherheit gehabt, wobei mindestens 13 derjenigen vor kurzem aufgetreten sind.6 Da sie ihre eigenen Netzwerke nicht schützen kann, sollte sie nicht für die Festlegung von Standards für den privaten Sektor verantwortlich sein. Präsident Obamas Exekutivausschuss weist darauf hin, dass er einen regulatorischen Ansatz für Cybersicherheit bevorzugt. In der Cybersicherheit jedoch gehen solche Aktionen gegen die Weisheit der Mehrheit der großen Technologieunternehmen und der staatlichen Rechnungsprüfer wie der GAO, die glauben, dass Cyberverordnungen eine Kultur konzentrieren, die sich auf die Einhaltung von Cyber-Sicherheitsanforderungen konzentriert, anstatt auf eine umfassende und umfassende Kultur zu konzentrieren Effektive Cybersecurity.7 Es ist klar, dass zusammen mit anderen Bedenken über Innovation und Kosten, die dynamische Natur von Cyber ist nicht zugänglich für die Zwangsjacke der Regulierung. Die Notwendigkeit ist real Während es Uneinigkeit über die korrekte Rolle der Bundesregierung in der Cybersicherheit gibt, gibt es wenig Meinungsverschiedenheit, dass etwas getan werden muss, um die US-Cybersicherheit zu verbessern. Die Drohungen, die die USA von Gegnern im Cyber-Reich gegenüberstehen, sind echt und entmutigend. In der Tat gibt es drei Ebenen von Cyber-Bedrohungen zu prüfen. Erstens, Cyber-Verbrechen trifft viele Amerikaner in Form von Identitätsdiebstahl, Phishing oder Cyber-Vandalismus. Im Jahr 2006 schätzte das GAO, dass Cyber-Identitätsdiebstahl US-Bürger und Unternehmen fast 50 Milliarden kostet und diese Cyber-Bedrohung erst seitdem gewachsen ist.8 Diese Verbrechen sind in der Regel von einzelnen Kriminellen, so genannten Hacktivisten oder kriminellen Organisationen begangen und vertreten Die häufigste Form der Cyber-Bedrohung. Als nächstes ist die Bedrohung durch Cyber-Spionage. Spionage verfolgt große, wichtige Ziele, wie militärische Blaupausen oder proprietäre Business-Pläne, und ist oft staatlich gefördert. China ist zum Beispiel ein bekannter schlechter Akteur im Cyberspace. Die Chinesen erlauben und sponsern nicht nur Hacker, sondern haben auch ganze Militär - und Regierungseinheiten, um Daten von Regierungen und Privatunternehmen zu stehlen, wie der jüngste Mandiant-Bericht klar macht.9 China engagiert sich in einer längeren Kampagne, um US-geistiges Eigentum und Militär zu stehlen Geheimnisse, wie die Titan RainByzantine Hades Hacker der Mitte der 2000er Jahre, die gestohlene Teile der F-35 designs.10 haben könnte. Zusammen mit anderen Hackern und Cyber-Operationen hat China Milliarden, wenn nicht Billionen Dollar in US-Intellektuellen gestohlen Eigentum, ganz zu schweigen von Kompromittierung US nationale Sicherheitsgeheimnisse. Schließlich, während Cyber-Kriminalität und Spionage sind ernsthafte Probleme, die USA auch vor einer Bedrohung durch Cyberwarfare. Die Fähigkeit, das Funktionieren kritischer Systeme, als eigenständiger Angriff oder im Zusammenhang mit einem kinetischen Angriff zu beeinträchtigen, ist ein beunruhigender Satz. Die Abnahme von Kommunikationen, Transportmitteln oder anderen Systemen würde die Reaktion der USA auf einen physischen Angriff stark beeinträchtigen und damit den verursachten Schaden stark beeinträchtigen.11 Während ein solches Ereignis laut Direktor von National Intelligence James Clapper unwahrscheinlich ist, müssen sich die USA auf diese Bedrohungen vorbereiten Oder isolierte Staaten sind wahrscheinlich, solche Angriffe zu nutzen, wie sie die Fähigkeiten, um dies zu tun.12 Fast jeder versteht, dass für solche schweren Probleme, die Bundesregierung eine Rolle zu spielen hat. Die Cyber-Gesetze sollten die folgenden sieben Hauptkomponenten enthalten, um das Risiko für amerikanische Unternehmen tatsächlich zu senken und ausreichend flexibel zu sein, um eine statische Kultur der Compliance zu vermeiden. 1. Informationsaustausch Das erste Element jeder Gesetzgebung muss es sein, den Informationsaustausch zwischen dem öffentlichen und dem privaten Sektor sowie zwischen den privaten Einrichtungen zu ermöglichen und zu fördern. Ein wirksamer Informationsaustausch ist ein wichtiger und fundamentaler Bestandteil der heutigen Cybersicherheitsmaßnahmen. Verschiedene Organisationen und Regierungsstellen sammeln und analysieren Informationen über Cyber-Bedrohungen und Schwachstellen. Beispiele für die Typen von gemeinsam genutzten Informationen umfassen die Analyse eines vollständig neuen Cyber-Angriffs, der ein Entity-System durchdrang, oder die Entdeckung eines Lochs in der Codierung eines Software-Programms. Diese Informationen sind für alle Cybersecurity-Akteure hilfreich, da sie es ihnen ermöglichen, sich auf diese Bedrohungen vorzubereiten und beleidigende Software zu patching oder zu deaktivieren. Leider sind kritische Daten über Bedrohungen und Schwachstellen oft in jedem Unternehmen oder Organisation aufgrund verschiedener Bedenken und Ängsten gesperrt. Dazu gehören Haftungsengpässe, wenn sich geteilte Informationen als falsch herausstellen oder unbeabsichtigte Schäden verursachen, dass die gemeinsame Nutzung von Informationen firmeneigene Informationen in die Reichweite von FOIA-Anfragen von Mitbewerbern und Sorgen bringen könnte, dass gemeinsame Informationen gegen ein Unternehmen verwendet werden könnten Durch Regulierungsbehörden. Infolgedessen ist Cybersecurity Information Sharing derzeit auf einige wenige Sharing-Programme beschränkt, wie die DOD-Defense Industrial Base Collaborative Information Sharing Environment (DCISE) oder kleine Netzwerke von Unternehmen, die sich gegenseitig vertrauen.13 Statt begrenzt und fragmentiert Informationsaustausch, eine ideale Cyber-Sicherheit Ansatz würde vertrauenswürdige und weit verbreitete gemeinsame Nutzung zu fördern. Die Regierung hat ihre eigenen Regeln, Bedenken und Prozesse, die ihren Informationsaustausch hemmen. Während diese Prozesse respektiert werden müssen, sollten sie nicht als sakrosankt betrachtet werden. Zum Beispiel ist die Regierung zögern, Intelligenz aus Angst vor der Aufdeckung von klassifizierten Quellen und Methoden zu teilen. Diese Zurückhaltung sollte durch eine angemessenere Klassifizierung von Informationen und die Bereitstellung von mehr Freiraum für angemessene Personal im privaten Sektor überwunden werden. Durch die Öffnung des Prozesses wird das Vertrauen der Industrie, das Vertrauen und die Fähigkeit, mit der Regierung zu arbeiten, sich verbessern und die Chancen für private und öffentliche Zusammenarbeit erhöhen. Darüber hinaus sollten Informationen nicht in die Regierung eingebaut werden, sondern sollten anderen Agenturen für legitime Zwecke zur Verfügung stehen. Insbesondere sollte die gemeinsame Nutzung nicht eingeschränkt werden, solange ein wesentlicher Zweck des Informationsaustauschs für die Cyber-Sicherheit oder die nationale Sicherheit besteht, wobei die vorhandenen Datenschutzbeauftragten der Regierung dafür Sorge tragen müssen, dass sie korrekt verwendet werden. Es gibt vier Schritte, die getroffen werden können, zu ermöglichen und zu fördern, die benötigte Cyber-Information zu teilen. Erstens sollte der Kongress die Hemmnisse für die freiwillige Teilhabe am privaten Sektor beseitigen. Derzeit verhindern legale Unklarheiten eine stärkere Zusammenarbeit und den Austausch von Informationen.14 Infolgedessen enthielt fast jeder Vorschlag für Cybersicherheit im letzten Kongress Bestimmungen zur Klärung dieser Unklarheiten, um eine gemeinsame Nutzung zu ermöglichen. Das 2011 Cyber-Intelligence-Sharing - und Schutzgesetz (CISPA), die Stärkung und Verbesse - rung der Cyber-Sicherheit durch Nutzung von Forschung, Bildung, Information und Technologie (SECURE IT) von 2012 sowie das Cyber Security Act (CSA) Dass ungeachtet einer anderen Rechtsvorschrift eine privatwirtschaftliche Einrichtung Cyber-Bedrohungsinformationen mit anderen Personen im Privatsektor und mit der Regierung teilen oder offenlegen kann.15 Während der Informationsaustausch wichtig ist, sollte sie alle freiwillig sein, um eine wirkliche Zusammenarbeit zu fördern . Schließlich ist jede Vereinbarung, die ein Unternehmen zwingt, Informationen zu teilen, per Definition keine Kooperation, sondern Zwang. Freiwilliges Teilen wird auch Organisationen mit manifester Privatsphäre Bedenken, einfach zu vermeiden, ihre Informationen zu teilen, während immer noch hilfreiche Informationen von der Regierung und anderen Organisationen. Zweitens sollten jene Unternehmen, die Informationen über Cyber-Bedrohungen, Schwachstellen und Verstöße teilen, einen Rechtsschutz haben. Die Tatsache, dass sie Daten über einen Angriff oder sogar einen vollständigen Bruch mit den Behörden teilten, sollte sie niemals für rechtliche Schritte öffnen. Dies ist eines der größten Hindernisse für das Teilen heute, da es einfacher und sicherer ist, Informationen zurückzuhalten, als es zu teilen, auch wenn es anderen zugute kommt. Der ITIC (Information Technology Industry Council) bietet einige Beispiele dafür, wie die Haftungsprobleme einen effektiven Informationsaustausch blockieren. Nach derzeitigem Recht könnte Unternehmen A freiwillig berichten, was ein Cybersecure-Vorfall in einem Informationsaustausch-Umfeld sein kann, wie beispielsweise in einem ISAC (Information Sharing und Analysis Centres) oder direkt an die Regierung, beispielsweise an das FBI. Das Ergebnis einer solchen Teilnahme könnte sein, dass Staatsanwälte, Strafverfolgungsbehörden oder Zivilanwälte diese Informationen als Grundlage für die Ermittlung einer Verletzung von Zivil-oder Strafrecht gegen Unternehmen A oder ein Kunde, Partner oder nicht verbundene Einheit durch den Zwischenfall geschädigt verwendet Unternehmen A, um sie nicht über den Vorfall zu informieren, sobald sie sich dessen bewusst waren. Unternehmen Als Offenlegung kann gesehen werden als eine rauchende Pistole oder Papier Weg, wenn Unternehmen A wusste über ein Risiko Ereignis obwohl Unternehmen A noch nicht über eine gesetzliche Pflicht, den Vorfall zu melden. Solche Vorwürfe könnten zu kostspieligen Rechtsstreitigkeiten oder Verhandlungen führen, unabhängig von ihrer Gültigkeit.16 Mit der Androhung von rechtlichen Maßnahmen haben Unternehmen festgestellt, dass sie besser dran sind, wenn sie keine Informationen teilen. Ein starker Haftungsschutz ist entscheidend für den erweiterten Informationsaustausch. Drittens müssen die Informationen, die geteilt werden, von FOIA-Anfragen befreit und von Regulierungsbehörden verwendet werden. Ohne einen solchen Schutz kann ein Mitbewerber durch eine FOIA-Aktion auf potenziell proprietäre Informationen zugreifen. Alternativ, wenn Informationen mit einer Regulierungsbehörde geteilt wird, wird es die freiwillige Teilung dämpfen, da Organisationen fürchten, einen Rückschlag von Regulierungsbehörden, die gemeinsame Informationen nutzen könnte, um eine regulierte Partei zu bestrafen oder Regeln verschärfen. Auch hier ist das ITIC ein wertvolles Beispiel. Wenn ein Unternehmen Informationen über einen potenziellen Vorfall bei der Cyber-Sicherheit erhält und später feststellt, dass eine Datenbank kompromittiert wurde, die eine individuell identifizierbare Gesundheitsinformation im Sinne des HIPAA (Health Insurance Portability and Accountability Act) enthält, kann die Federal Trade Commission die gemeinsam genutzten Informationen als Beweismittel verwenden Im Falle eines Verstoßes gegen die Sicherheitsbestimmungen von HIPAA.17 Wenn freigegebene Informationen von der FOIA befreit sind, kann ein Unternehmen wichtige Daten ohne Angst teilen, dass seine Wettbewerbsvorteile für andere Unternehmen verloren gehen oder von Regulierungsbehörden genutzt werden Mehr Regeln oder Kosten.18 Schließlich muss die Regierung gezwungen sein, Informationen und Intelligenz mit dem privaten Sektor viel schneller und vollständiger zu teilen, als es derzeit tut. Wenn das nicht geschieht, wird der Privatsektor niemals das Vertrauen aufbauen, dass es wirklich ein Partner im Kampf ist, die Sicherheit der amerikanischen Computernetze zu wahren. Der Mechanismus für die Verbreitung von Informationen könnte mehrere Formen annehmen, die von einer Aufteilungszentrale in einer Organisation wie dem National Cybersecurity and Communications Integration Center am Department of Homeland Security (DHS) bis hin zu mehreren Verteilungszentren reichen. In diesem Bereich geht Präsident Obamas Executive Order in die richtige Richtung, aber nicht weit genug. Bedenken hinsichtlich der DHS oder der National Security Agency (NSA) - Kontrolle waren jedoch ein wichtiger Punkt bei der Diskussion über Cyber-Sicherheit. Die CSA setzte DHS verantwortlich, während SECURE IT, gesponsert von Senator John McCain (RAZ), die NSA weitgehend in die Führungsrolle setzte. Beide Agenturen behaupten, für die Führungskräfte der Cybersecurity die geeignetsten oder geeignetsten zu sein.19 Vielleicht wäre der weiseste Weg zur Förderung des Informationsaustausches die Schaffung einer öffentlich-privaten Partnerschaft. Eine solche Partnerschaft würde DHS, die NSA und Vertretern der Privatsphäre und der Industrie umfassen, um eine effektive Teilung zu gewährleisten und Schlachtschlachten zu vermeiden. Ein solches System wäre ähnlich der derzeitigen Organisation der Internet-Governance, in der Organisationen wie die Internet Corporation für zugeordnete Namen und Nummern (ICANN) und die Internet Society als gemeinnützige Organisationen mit Gremien und Beratungsgruppen tätig sind, die das weltweite Geschäft, die Privatsphäre und die Regierung umfassen , Und andere Stakeholder.20 Ein solcher Ansatz hat der Internet-Governance gut gedient und sollte als Modell für eine Cybersecurity Information-Sharing-Organisation dienen. 2. Cyber-Versicherungen Private, für die Cybersicherheit verantwortliche Akteure umfassen diejenigen, die die Computercodes schreiben, die die Hardware aufbauen, auf der sich der Code befindet, die Informationsübertragungsdienste anbieten und Intrusion Detection - und Präventionssysteme aufbauen und beibehalten. Die meisten, wenn nicht sogar alle dieser Akteure lehnen jede Haftung für Verletzungen Dritter ab, die durch Verstöße gegen Cybersicherheiten aufgrund von Handlungen oder Unterlassungen der ursprünglichen Akteure betroffen sind. Das Ergebnis ist eine klassische Marktexternalität, da die vollen Kosten einer Verletzung nicht in die Herstellungskosten des Produkts einbezogen werden, das ursächlich mit dem Bruch verbunden ist. Stattdessen werden die Kosten von anderen am meisten getragen werden diejenigen, die Produkte auf dem Markt kaufen und einen Verlust erleiden. Einfach ausgedrückt, wenn ein Cyberkrimineller eine Sicherheitslücke in einer Software wie Adobe Acrobat ausnutzt, um in einen Konsumentencomputer zu hacken und wertvolle Finanzdaten zu stehlen, wird der Verlust vom Konsumenten getragen, nicht vom Codehersteller. Dies ist auch dann der Fall, wenn die Code-Autoren objektiv fahrlässig oder schlechter, rücksichtsloser waren und nicht einmal versucht haben, die Schwachstelle zu finden oder zu beseitigen.21 Dieser Sachverhalt ist auf lange Sicht unsicher. Der Kongress muss das System der Anreize umkehren, so dass die Kosten von denen, die sie auferlegen, nicht von unschuldigen Verbraucher getragen werden. Um dies zu erreichen, muss die USA die Entwicklung eines Haftungssystems organisieren, das die Anbieter von Waren und Dienstleistungen dazu verpflichten würde, für etwaige Schäden, die durch ihr Versäumnis, angemessene Schutzmaßnahmen zu ergreifen, zu zahlen. Dies würde dazu führen, dass Softwarehersteller und Internetdienstanbieter viele der negativen Kosten, die sie jetzt externalisieren, verinnerlichen. Theoretisch hat eine solche Struktur mehrere Vorteile. Die Haftung für unerlaubte Handlungen ist eine vergleichsweise effiziente Methode, das Verhalten des privaten Sektors zu modifizieren und verlangt von der Regierung nicht, einen sich ständig verändernden Verhaltensstandard festzulegen. Stattdessen würde das Gesetz lediglich verlangen, dass ein Anbieter angemessene Vorkehrungen trifft. Sie hinterlässt die Bestimmung dessen, was eine vernünftige Vorsichtsmaßnahme für die Entwicklung des gemeinsamen Rechts darstellt.22 Noch wichtiger ist, dass die Schaffung eines Haftungssystems oftmals natürlich zur Entwicklung eines Versicherungssystems gegen die Haftung führt. Die Versicherungsfunktion ermöglicht eine weitere Ausbreitung des Risikos in einer Weise, die eine breite Reaktivität des privaten Sektors fördert. Mit genügend Daten, Versicherungen routinemäßig und effizient kostet die vergleichenden Kosten und Nutzen von präventiven Maßnahmen und erfordern kostengünstige Schutzmaßnahmen als Bedingung der Versicherung. In den reifenden Märkten übernehmen die Versicherungsgesellschaften häufig die Vorreiterrolle bei der Festlegung vernünftiger Standards, wie sie es mit der Entwicklung der Bau - und Brandschutzvorschriften im späten 19. Jahrhundert waren. Cybersecurity Versicherungsgesellschaften und Richtlinien sind bereits auftauchen, wie CyberSecurity durch die Chubb Gruppe von Versicherungsgesellschaften. CyberSecurity, nur einer von mehr als 50 geschätzten Cyber-Versicherungsträgern.23 kombiniert Dritte (Cyber-Haftung) und First-Party (Cyberkriminalität) Abdeckung in einer Politik, die an eine normale Versicherungspolice angeschlossen werden kann.24 Solche Politiken und Versicherungsgesellschaften zeigen, dass Cyber-Sicherheit Versicherung ist lebensfähig und gefragt.25 Aber es kann sehr schwierig für dieses System vollständig reifen. Versicherungsprämien sind nicht ohne Maßstäbe zur Messung der Verhaltensweisen, sowie Haftung, die aus der Nichtbeachtung dieser Standards entsteht. In der Cyber-Domain ist derzeit keine verfügbar. Es gibt keine allgemein anerkannten Cyber-Sicherheitsstandards, und es gibt kein allgemein anwendbares Haftungssystem, um Fehler bei der Erfüllung dieser Standards zu berücksichtigen. Trotz des Wachstums einiger privatwirtschaftlicher Standardisierungsinitiativen wie ICASI dürften die Akteure des privaten Sektors höchst widerstandsfähig gegenüber freiwilligen Standards sein, die zu einer Haftung führen, in der es keine gibt. Infolgedessen würde der einzige sichere Weg, eine Haftung zu schaffen, darin bestehen, dass die Regierung zunächst Maßnahmen zur Schaffung eines Haftungssystems unternimmt. Dies bedeutet nicht, dass die Regierung für ein System der Bestimmung, welche Standards Unternehmen müssen erfüllen. Stattdessen ist die Rolle der Regierung lediglich die Schaffung eines Gesetzes, das die Verhängung der Haftung für Firmen zulässt, die rücksichtslos oder fahrlässig für Cyber-Sicherheitsverluste verantwortlich sind. Das Gesetz sollte ausdrücklich die Entwicklung von Haftungsstandards für das gemeinsame Recht und private Organisationen wie ICASI. Ebenso kann es schwierig sein, genügend Daten zu einer genauen Preisversicherung zu sammeln. In der physischen Welt, Versicherungen haben viele Daten über die Häufigkeit von Ereignissen, wie Autounfälle, die ihnen erlauben, genau ihre Produkte Preis. Die USA und der Rest der Welt für diese Angelegenheit, hat noch einen langen Weg zu gehen bei der Erhebung von Daten über Cyber-Intrusionen. Aber dieser Mangel an Daten können feste Unternehmen wie Lockheed Martin sind die Erstellung umfangreicher Datenbanken, die die Kosten für Cyber-Eindringen zu beurteilen, und ohne Zweifel, irgendwann in der nahen Zukunft ein kommerzielles Produkt für Cyber-Risiko-Bewertung zur Verfügung stehen werden. Darüber hinaus könnte die öffentlich-private Partnerschaft für das Informationsaustausch, die im vorigen Abschnitt beschrieben wurde, leicht Daten für Versicherungsunternehmen zur Verfügung stellen, um den Mangel an aktuellen Informationen über Bedrohungen und Risiken zu lindern. Mit mehr Daten über Cyber-Risiken und Bedrohungen, Versicherungen werden in der Lage, besser Preis Versicherung Produkte, die wahrscheinlich zu niedrigeren Preisen aufgrund weniger Unbekannten. 3. Cyber-Supply-Chain-Sicherheit Eines der größten Löcher im US-Cyber-System liegt im Bereich der Supply Chain-Sicherheit, insbesondere bei Hardware - und Schlüsselinfrastrukturkomponenten. Software-Schwachstellen, die dennoch in der Lage sind, erhebliche Verluste zu verursachen, können relativ einfach durch Aktualisieren des Codes oder ggf. durch Ersetzen der Software relativ fixiert werden. Wenn beispielsweise ein Unternehmen eine Software mit einer Sicherheitsanfälligkeit erwerben würde, die Hackern den Zugriff auf bestimmte Dateien gestattet, könnte diese Firma diese Sicherheitsanfälligkeit durch Aktualisieren der Software beheben, sodass die Sicherheitsanfälligkeit beseitigt wurde. Wenn das Unternehmen besorgt war, dass Schwachstellen im gesamten Produkt weit verbreitet sein könnten, könnte es die Software löschen und ein anderes Produkt installieren. Mit Hardware-Sicherheitsproblemen, aber anstelle von einem einfachen Software-Patch oder sogar die bescheiden umständlichen Prozess des Austausches von Software, oft die einzige Antwort ist, ersetzen jedes Stück von beanstandeten Hardware. Laut einem Bericht der Brookings Institution, Sobald schädliche Hardware in einen Chip gebaut wurde, kann ein Hardware-Angriff initiiert werden und handeln in einer Vielzahl von Möglichkeiten. Ein Angriff kann intern ausgelöst werden, beispielsweise auf der Ankunft eines bestimmten Kalendertages. Alternativ könnte ein externer Trigger in Daten versteckt werden, die von einem Angreifer gesendet werden. Komplexere Hybridtrigger könnten ebenfalls verwendet werden. Beispielsweise könnte eine böswillige Schaltung, die in einem GPS-Chip verborgen ist, so konfiguriert werden, dass sie nur dann angreift, wenn sich der Chip nach einem bestimmten Datum in einem bestimmten geografischen Gebiet befindet. Es gibt mehrere Formen von potenziellen Angriffen. Bei einem offenen Angriff könnte die schädliche Hardware bewirken, dass das Gerät, das den beschädigten Chip enthält, entweder nicht mehr funktioniert oder weiter arbeitet, aber offensichtlich beeinträchtigt ist. Die Existenz eines Problems wäre klar, obwohl seine Ursache nicht. In einem persönlichen elektronischen Gerät wie einem Mobiltelefon könnte ein solcher Angriff nichts anderes sein als eine Unannehmlichkeit. Wenn sie in einem großen Maßstab auf Tausenden von Chips innerhalb eines kritischen Teils der nationalen Infrastruktur durchgeführt werden, könnte diese Form des Angriffs verheerend sein.26 Verdeckte oder gemischte Angriffe könnten auch einen Informationsdiebstahl ermöglichen oder kritische Operationen beeinträchtigen. Natürlich sind solche Hardware-Schwachstellen leichter verborgen aufgrund ihrer eingebetteten Natur. Zusätzlich zu ernsten Cyberkriminalität - und Spionagebetroffenheiten, sind solche eingebetteten Verwundbarkeiten eindeutig eine ernste nationale Sicherheitsbedrohung außerdem. In der Tat gibt es keinen Mangel an Warnungen. Ein im März 2012 veröffentlichter GAO-Bericht untersuchte die Lieferketten-Sicherheitsprozeduren der Abteilungen Energie, Heimatschutz, Verteidigung und Justiz.27 Der Bericht stellte fest, dass die Abteilungen alle Versorgungskettenschutzmaßnahmen außer dem Verteidigungsministerium nicht durchführten , Obwohl alle die Bedrohung anerkannt. Cyber-Sicherheits-Versorgung betrifft im Oktober 2012 House Permanent Select Ausschuss für Intelligence-Bericht über chinesische Telekommunikations-Riesen Huawei und ZTE.28 Diese Unternehmen verstehen sich unter der direkten Kontrolle der Kommunistischen Partei Chinas, da Telekommunikation als ein Gebiet der absoluten staatlichen Kontrolle gilt in China. Im Falle eines Konflikts mit China würden diese Unternehmen dem chinesischen Zugang zu unüberwindlichen Schwachstellen geben, die die US-Verteidigung nicht einmal wissen würde. Solche Schwachstellen in der US-kritischen Infrastruktur, wie etwa im Stromnetz oder im Finanzsektor, würden ein ernstes Risiko für die USA und damit für die Ausschüsse darstellen, Huawei und ZTE als Quelle für Telekommunikationsinfrastruktur und - dienste zu vermeiden. Dieses Risiko muss gemindert werden, ohne das hochwirksame globale System zu beeinträchtigen, das die Spitzentechnologie für die meisten Menschen erschwinglich und zugänglich macht. The Open Group consortium, an organization focused on improving businesses through IT standards, has developed the most viable model to deal with the supply chain, and it should be adapted by Congress. An effective cyber policy should establish a nonprofit organization that will evaluate and accredit technology companies supply chain security, even to the point of giving them grades.29 This approach would be similar to the well-known Underwriters Limited, which certifies the safety of electronic appliances. For example, if a company has outstanding supply chain security across its entire global process, it would receive a high grade. Another firm might have a less comprehensive system and only receive a middling grade. Those companies with the highest grades would be able to charge higher prices for their technical equipment and software than companies with lower grades.30 This has the benefit of giving the consumer a way to vote on the level of security he or she feels is adequate and make better risk-based decisions on the acquisition of technical equipment. If an organization needed multiple systems for a certain budgeted amount, it might have to buy from a company with a lower grade. Again, market forces would push companies to have better security in order to have a competitive advantage, while allowing the consumer to make more informed choices. 4. Cyber Self-Defense Presently, there are no well-defined rules to tell businesses what they can and cannot do to establish self-defense mechanisms in the cyber domain. The Department of Justice is trying to increase its capacity for prosecuting cyber attackers. The National Security Division of the Justice Department is creating new positions across the country in its National Security Cyber Specialist (NSCS) network for people who can competently prosecute cyber cases. Implicit in this program is the burgeoning willingness to pursue these cases. As the ability to attribute involvement to specific players expands, law enforcement can prosecute not just those who steal the data, but those who use it as well. The NSCS program is in its embryonic stage, however, and the collection capabilities in many cases are even less developed. The Justice Department must enlist the help of the companies who have become targets of cyber attacks. If these entities have the realistic capabilities to collect data on intrusions, they should do so in the interests of self-defense. However, defense cannot stop at passively collecting information on attacks that have or are trying to breach a network. Current law prohibits businesses from doing anything more than attempting to defend their networks with firewalls and other security software, and collecting information on attacks. In this area, the U. S. should take a tip from the government of Georgia.31 In 2012, the Georgian government suspected that one of its critical computer systems had been hacked and that the intruder was searching for data to steal. Georgian government officials planted a file marked Georgian-NATO Agreement, and waited. In short order, the file was copied and exfiltrated from the Georgian system to an unauthorized computer. The hacker did not realize that the file had been booby trapped. As soon as he opened the file, the Georgian malware took control of his web camera, capturing his face, and immediately seized his files. These contained e-mails from a Russian FSB (intelligence agency) handler to the hacker, instructing him to find and steal certain types of data. It was a huge coup to find and identify the culprit. U. S. companies should be able to execute similar operations, either in cooperation with law enforcement, or alone, with the intent of providing the evidence to law enforcement after the fact.32 Such tactics are not the cyber equivalent of a trap gun that shoots any intruder who comes in a front door. It is more akin to a cyber dye bomb on bank money bags that marks the thief. This sort of operation should be encouraged by the Justice Department, not prohibited, albeit with clear guidelines. Sending out destructive malware would have unintended consequences and should probably remain illegal, but the Georgian style of self-defense should be permitted. The U. S. law enforcement, military, and intelligence communities are not capable of addressing all cyber breaches and attacks that occur across the growing network of the U. S. cyber realm. At the same time, many companies have internal capabilities to fight back against those who threaten to pillage their intellectual property or corrupt their critical data. This is not to advocate making the Internet more of a Wild West environment than it already isquite the contrary. It is an attempt to codify rules within which cyber self-defense can take place. These would need to be realistic and have provisions to inform and foster cooperation with law enforcement. They would also have to allow actions beyond simple static defensive measures. This would clearly be a controversial component, but nonetheless an important one. 5. Awareness, Education, and Training The American people recognize that there is a problem with securing the cyber domain. They hear about it regularly on the news, and know, abstractly, that it is there. The difficulty is that they receive mixed messages. What the public lacks is consistent, accurate, and up-to-date information. The federal government has tried to play a role here but has failed. That is no surprise. Initiatives like the Department of Homeland Securitys Cyber Security Month send exactly the wrong message because it does little to change how the citizens see cybersecurity. More must be done by the private sector and local organizations to bring this issue to the attention of the American publica once-a-year public relations stunt is not enough. All Americans, not just Washington, have agency in cyberspace. The nation, not Washington, must take ownership and responsibility for the cyber commons. Top-down directives are not the answer. Private entities, nongovernmental organizations, along with universities and other research institutions, ought to play a much more active and prominent role in supporting personal cybersecurity safety and community-centric programs. There must also be a viable program of professional base-level training that is encouraged for the general non-IT workforce. Nearly every job now involves the use of digital devices in some aspect of work. The general workforce must receive continuing education that goes beyond the present system, which is comprised of FISMA-compliant classes that accomplish little beyond checking off a box. These cyber survival skills should employ a dynamic curriculum, developed by the private sector, which keeps the workforce current and prevents it from being easily victimized. Any legislation should acknowledge this and encourage meaningful but dynamic training from nongovernmental sources. 6. Cyber Workforce While the above provision is aimed at the population in general, this one is aimed at the development of a workforce to serve the technology industry and the key government organizations that use cyber means for higher-order activities, such as cyberwarfare, defense of specific technical industry intellectual property, and critical infrastructure defense. The GAO surveyed 11 chief information officers (CIOs) of federal agencies and 12 outside cybersecurity experts and found that four of the CIOs and five of the outside experts cited weaknesses in education, awareness, and workforce planning as a root cause hindering progress in improving the nations cybersecurity posture.33 The development of an adequate cyber workforce will begin with improvements in STEM education. These improvements need to span from kindergarten through high school, and into university and graduate school. For this to happen, the process of acquiring and keeping good teachers needs to change. This can be done by eliminating the last-in-first-out policy that is currently applied to teachers, and moving toward merit-based compensation systems. Instead of evaluating teachers based on how long they have held their positions, their pay should directly reflect how well they teach their students.34 As Heritage Foundation economic and education policy expert Jason Richwine notes: Under a market-driven pay-for-performance system, teacher compensation will begin to move toward levels matching those of similarly skilled private-sector employees. Whether fundamental reforms of this kind can be implemented within the public-school system is questionable, which makes flexible school modelssuch as expanded charter school options or vouchersattractive options that policymakers should consider. Any reform that allows schools to operate with a less onerous regulatory burden could potentially improve the teacher-compensation system.35 Another way to encourage greater STEM education is by encouraging the use of online educational options.36 Online learning can provide students with access to highly qualified teachers no matter where they live. More STEM graduates will help to round out the United States workforce. Along these lines, the U. S. government should modify its visa system so that foreign STEM graduates are no longer forced to leave the U. S. as soon as they complete their U. S. education.37 The U. S. can also improve its cyber workforce by capitalizing on attributes the country already has in place. The U. S. should: Increase the number of IT professionals with security certifications. Information-security certifications like the Certified Information Systems Security Professional (CISSP) and the Certified Information Security Manager (CISM) represent the minimum level of training that a cybersecurity professional needs. For those who want to go beyond, intensive college and university programs are the next step. Some institutions streamline the degree process by granting credit to certificate holders for the education they have already completed. Develop more IT leaders with cybersecurity expertise. After 911, many pointed out the need for more cybersecurity professionals. Since then, the National Security Agency and the Department of Homeland Security have laid out stringent criteria for cybersecurity education programsand recognized institutions that met these criteria as National Centers of Academic Excellence in Information Assurance Education (CAEIAE). Many of these centers are now following the National Initiative for Cybersecurity Education (NICE) framework, guaranteeing even more alignment with the security standards needed by government and industry. Graduates of these Centers are working to help the NSA and DHS, as well as many corporations, with the cybersecurity issues they face today. But more graduates are needed. Draw on current military personnel. With proven leadership abilities and valuable security clearances, military service members are in a unique position to support U. S. cybersecurity. By gaining high-level cybersecurity knowledge, these experienced professionals can provide valuable insights to a variety of government agencies. For these professionals in particular, online institutions are an excellent fit because they offer flexibility, including the ability to complete courses from far-flung locations, and quality, as some online schools have earned CAEIAE designations.38 The U. S. needs more qualified personnel in the general STEM fields, and specifically in the advanced cyber skill sets, such as code writing, defensive procedures, deep-packet inspection, and big data analysis techniques. A major effort must be made to find the sort of people who can flourish in this field, and give them the opportunity to pursue the higher STEM education they require. Additionally, Congress should change or remove barriers to pursuing these careers, such as outdated security clearance procedures and do more to retain these experts and keep them current. If this effort is not adequately enabled, the U. S. will slowly fall further behind its competitors. Every effort must be made to encourage the adjustment of hiring practices in order to allow the hiring of individuals who have proven cyber skills, even if they do not have the standard educational credentials. This would also mean that security clearance restrictions might need to be adjusted on a case-by-case basis. To lose the services of a willing former hacker in the struggle against cyber foes due to bureaucratic regulations would be foolish. 7. Cybersecurity Beyond the Borders Cybersecurity is not now, and never will be, an issue that one country can solve alone. The solution will require a concertedand ongoingcollaboration between the U. S. and like-minded free nations. Treaties and global governance do not contain bad actors, and should thus not be the focus of U. S. or international cybersecurity efforts. Instead, the U. S. must work with other friendly nations to alter bad cyber behavior by raising the costs of such behavior. The first step to effectively conducting a fruitful international strategy is to determine a U. S. domestic policy on cybersecurity. It would be foolish to jump into international negotiations until the U. S. has the kind of national conversation that sorts out definitional and policy positions such as those policies described above. However, it would be just as foolish to ignore the need to make international connections and establish cooperative relationships in this field. Both should be done as soon as is practical. The federal government must lead efforts dealing with other nations and international organizations. The U. S. must respond to aggressive actions by bad cyber actors, such as China, to make it clear that cyber espionage is unacceptable. In light of the recent report published by Mandiant, it has become clear that China regards hacking as a low-cost method of extracting valuable secrets and intellectual property from companies and governments, especially those in the U. S.39 So far, the Obama Administration has pursued a multilateral approach to international cyber issues. The White Houses recently released International Strategy for Cyberspace points toward the creation of an open, interoperable, secure, and reliable communications and information architecture through building and sustaining norms of international behavior.40 The strategy also articulates the norms it seeks to foster, such as freedom, privacy, respect for property, protection from crime, and the right to self-defense. Though desirable, these norms are articulated at too high a level of generality and are unlikely to find great acceptance in many nations that value neither privacy nor freedom. The limits of this sort of strategy are best exemplified by how the strategy addresses the problem of cyber crime. Currently, one of the most widely touted multilateral approaches to cybersecurity is the Budapest Cybercrime Convention. Indeed, it is the only binding international instrument on this issue.41 Yet, despite its prominence, it is widely agreed that the Budapest Cybercrime Convention has been ineffective. More than 10 years after its adoption, only 39 nations (of more than 190 countries worldwide and only 49 convention signatories) have ratified the convention. Furthermore, of those countries that have ratified it, some, such as Ukraine, remain havens for hackers, showing how little force the convention actually has. And yet, the principal goal of the new Obama Administration strategy for addressing cyber crime is to harmonize criminal cyber laws internationally by expanding accession to the convention. If there were a realistic prospect that criminal havens, like Russia, Ukraine, and China, would both join the convention and implement it aggressively, this policy could be effective. However, in the absence of that prospect, the promise of a multilateral policy is an empty one. Instead, large-scale, state sponsored cyber espionage must be deterred by making the cost to bad actors unacceptably large or frustrating. The U. S. could pursue several different solutions depending on how aggressive another nation is in its attempts to steal U. S. information.42 First, congressional action should be aimed at enabling the executive branch to identify countries that serve as havens for criminal activity and use the levers of influence and power to prompt changes in their behavior. The GillibrandHatch proposal from the 112th Congress is a good model.43 Under the proposed legislation, the Administration would be authorized to highlight the practices of governments that disregard outreach efforts and demonstrate a sustained pattern of ignoring criminals who use the Internet to hide as they exploit victims with impunity around the world. This form of naming and shaming is precisely the type of international policy the U. S. needs in cyberspace. Second, the U. S. should cease cooperating with bad cyber actors on issues of cyber and national security. The U. S. has conducted at least two cyber war games with China in the last year, even as Chinas cyber aggression has become more evident worldwide. Such a policy provides the Chinese a perfect opportunity to learn what the U. S. cyber capabilities are, and only emboldens them to continue their aggression as the U. S. stumbles to confront them.44 The U. S. should not engage in such war games and military exchanges with nations that use such cooperation to further their attacks against the U. S. Third, the U. S. should place travel and commercial restrictions on individuals and organizations tied to hacking. Visiting the United States for business or leisure is a privilege that should be withheld from individuals and organizations that seek to harm the U. S. Organizations that steal American secrets should not be permitted free access to U. S. markets as they are clearly untrustworthy trading partners. Similarly, companies and nations dealing in stolen intellectual property should be subject to criminal charges with assets liable to seizure. Beyond the legal consequences, such actions will also have reputational and financial implications as these organizations find it increasingly difficult to sell products in certain countries or to be listed on many stock exchanges.45 Fourth, the U. S. should also be willing to link the level of hacking in which another nation engages to its efforts to break down foreign Internet controls. In other words, particularly malicious nations should have their control of the Internet challenged by the U. S. in proportion to the level of their aggression. Nations that are truly bad cyber actors are often nations that are also active in censoring their own Internet in order to rein in their own populace and keep the public under surveillance. As a result, U. S. efforts to weaken or break these Internet control mechanisms could impose greater domestic costs on these nations. U. S. support for democratic movements within these countries would similarly raise the cost of domestic control. Fifth, the U. S. should lead a coalition of nations in these efforts to raise the costs of cyber crime to bad cyber actors. Nations that support Internet freedom and want to crack down on cyber crime can and should join together in reprimanding China, Russia, and other malicious cyber states for their direct or indirect roles in cyber crime. The U. S. should continue to lead this coalition in defending Internet freedom at various international bodies, such the International Telecommunications Union. Through constant and forceful condemnations, travel and commercial restrictions, less cooperation, and weakening bad actors control over the Internet, the U. S. can lead the world in a practical and principled approach to dealing with international cyber threats. A Cybersecurity Policy that Works Congress should pursue a cybersecurity policy that avoids a cumbersome and expensive regulatory approach and includes the seven key elements detailed there that will produce truly dynamic cybersecurity defenses. Such an approach should: Enable cyber information sharing by removing ambiguities, providing strong protections to sharers, and establishing a public-private partnership to facilitate sharing. Entities that share cybersecurity information need certain protections. These protections include exempting all shared information from FOIA requests and regulatory use, and providing information sharers with strong liability protection. Effective information sharing requires the government to share fully and in a timely manner with the private sector through a public-private partnership established for this purpose. Promote the development of a viable cybersecurity liability and insurance system. Liability for irresponsible cybersecurity actions should be established through common law development. This process may need some initial incentives from the government, but, ultimately, such a system returns cybersecurity liability to those who are largely responsible for cybersecurity losses. The natural establishment of a cyber insurance community will then assist in the administration of risk assessments and foster improved security methodologies. Encourage the creation of cyber-supply-chain security ratings. Such ratings should be granted by a nonprofit organization that will assess the surety of an organizations supply chain, similar to how Underwriters Limited assesses the safety of various commercial products. By promoting such ratings, consumers will be able to make risk-based decisions and support better security by tying it to their profit motive. Clarify boundaries and standards for cyber self-defense. The terms of an entitys right to self-defense must be set within reasonable limits. Such terms would allow entities with the correct capabilities to take active measures to protect themselves without usurping the responsibility or authority of the federal government. Advocate more private-sector awareness, education, and training for the general population. Such an effort will ensure that the American public becomes an asset, not a liability, in the struggle. Making the public more aware, without hype or feel-good security measures, is a start. Ongoing cyber education for the general workforce must also be promoted through standardized yet dynamic education programs, most likely originating in the private sector. This must be a major priority, not a minor ancillary effort. Alter technical education and clearance practices to encourage the development of a cyber workforce. A well-trained cyber workforce is critical to the task facing America. The U. S. should promote STEM education and adjust visa, security clearance, and certification practices to attract, train, and retain the very best personnel for Americas key public-sector and private-sector entities. This requires issuing more security clearances as appropriate and emphasizing cyber certification and credentialing programs. Achieving the workforce needed requires the U. S. to more effectively leverage its cybersecurity personnel, whether that is integrating military personnel into cyber efforts, or tapping highly skilled hackers who would normally not be eligible to work for businesses or government agencies. Lead international cyber engagement. The U. S. should lead international efforts to name and shame nations that use the cyber realm for malicious purposes, either against other nations or their own people. Additionally, the U. S. must respond to aggressive cyber campaigns by other nations by causing those nations to feel diplomatic and economic pain to deter cyber aggression. The U. S. response should include ceasing naive cooperation, curtailing visas for guilty parties, and subjecting those with stolen information and intellectual property to criminal charges and other legal action. Furthermore, many bad cyber actors also maintain some form of control over the Internet in their country. The U. S. should explore ways to weaken these nations grip on the Internet in order to weaken their control of the populace. All of these efforts should be tied to the completion of a coherent national conversation concerning the entire array of cyberspace issues. Cybersecurity is one of the most critical issues the U. S. faces today. The threats are real and the need is pressing. Despite the best intentions of those involved with previous cyber legislative efforts, a regulatory basis simply will not work. It will not improve security and may actually lower it by providing a false level of comfort and tying the private sector down with outdated regulations. Cyberspaces dynamic nature must be acknowledged and addressed by policies that are equally dynamic. Steven P. Bucci, PhD , is Director of the Douglas and Sarah Allison Center for Foreign Policy Studies, a division of the Kathryn and Shelby Cullom Davis Institute for International Studies Paul Rosenzweig is a Visiting Fellow in the Center for Legal and Judicial Studies and the Allison Center for Foreign Policy Studies and David Inserra is a Research Assistant in the Allison Center for Foreign Policy Studies, at The Heritage Foundation. About the Author Steven P. Bucci, Ph. D. Visiting Fellow, Douglas and Sarah Allison Center for Foreign and National Security Policy Douglas and Sarah Allison Center for Foreign and National Security Policy
No comments:
Post a Comment