Este é o primeiro de uma série de artigos e entrevistas sobre o assunto improving cyberresilience —the ability of companies, organizations, and institutions to prepare for, respond to, and recover from cyberattacks. Other articles in the series, which is a product of BCG’s work with the World Economic Forum, will examine such topics as the security requirements of critical IT infrastructure, how boards of directors and senior managers should approach cybergovernance, and how businesses undergoing digital transformation can ensure that cybersecurity is considered deliberately rather than on an ad hoc basis.
The former chairman of the US National Governors Association, Terry McAuliffe, fez segurança cibernética nos níveis estadual e local do ponto focal de seu mandato. Com uma boa razão. As entidades do setor público dos EUA ficam em terceiro lugar em violações de dados, por trás apenas de instituições financeiras e organizações de saúde, de acordo com a Verizon's 2017 Relatório de investigações de violação de dados. Link fraco na segurança cibernética, porque não possuem as sofisticadas defesas e sistemas de resposta a incidentes empregados pelo governo federal e pelas agências de defesa nacional. A vulnerabilidade é especialmente grave, pois geralmente envolve "infraestrutura crítica" - bridge, túneis, rodovias e hospitais, por exemplo. Além disso, os sistemas vulneráveis do governo local podem fornecer uma cabeça de praia para quem procura se infiltrar em redes estaduais ou federais. If yet another warning was needed on the dangers of poor or inadequate cybersecurity, it came in the form of the hacking of the Equifax credit rating agency, which exposed more than 140 million US consumers to identity theft from May to July of 2017.
Many experts have long pointed to state and local governments as a weak link in cybersecurity, because they lack the sophisticated defenses and incident response systems employed by the federal government and national defense agencies. The vulnerability is especially serious since it often involves “critical infrastructure”—bridges, tunnels, highways, and hospitals, for example. Moreover, vulnerable local-government systems can provide a beachhead for those looking to infiltrate state or federal networks.
Uma grande necessidade local…
Aqui está o problema. Os governos estaduais e locais geralmente são mal adequados para lidar com a segurança cibernética por conta própria. Eles não apenas não têm financiamento para as soluções mais recentes, mas também não têm a escala, habilidades ou conhecimentos para avaliar os riscos e vulnerabilidades que enfrentam ou as soluções que podem ajudá -los a desenvolver uma melhor cibersiliência.
Vale a pena fazer uma pausa para refletir sobre o cenário da tecnologia. A análise da BCG da atividade de inicialização global de segurança cibernética identificou cerca de 1.000 empresas em 14 clusters, incluindo segurança de dados, segurança de rede, segurança de dispositivos móveis, recuperação de desastres e roubo e autenticação de identidade, com um total de US $ 20 bilhões em investimento por trás deles. (Veja a exposição.) A nuvem continua a colocar mais soluções de segurança ao alcance, ao mesmo tempo em que introduzem novas preocupações sobre sua própria segurança. E progresso tecnológico e inovação em tudo, desde a inteligência artificial até a análise comportamental, aumente o número e a complexidade dos produtos e serviços. Mas não é razoável esperar que os governos estaduais e locais naveguem na colméia global da atividade de segurança cibernética por conta própria e implemente soluções para se proteger e os ativos digitais de seus constituintes. No entanto, esse é exatamente o caminho em que a segurança cibernética do setor público está. E agora, além das louváveis recomendações gerais desenvolvidas pelo Instituto Nacional de Padrões e Tecnologia, praticamente a única fonte de conselhos para compradores estaduais e locais de software e soluções de segurança são as empresas de pesquisa e consultoria de mercado que avaliam novos produtos e soluções. Embora essas empresas se esforcem para ser úteis e objetivas, elas são frequentemente compensadas pelas empresas que oferecem os produtos em questão - uma situação não diferente da das agências de classificação de crédito que foram pagas pelos emissores para avaliar as ofertas de dívidas antes da crise financeira de 2008. De fato, muitos governos locais já estão procurando apoio. O dinheiro é uma questão, mas existem outras formas úteis de assistência. Pode -se compartilhar serviços: o governo federal torna as soluções cibersárias que usa disponíveis para os governos locais voluntários. Outra forma valiosa de assistência pode ser a experiência: permitindo que as entidades estaduais e locais tomem decisões informadas sobre suas necessidades de segurança cibernética e as soluções em potencial. Especialistas normalmente dividem a segurança cibernética em três componentes: pessoas, processos e tecnologia. Ao emprestar sua experiência e experiência em tecnologia, o governo federal pode ajudar os governos locais a estabelecer prioridades e desenvolver estratégias e planos - e implementá -los - enquanto os governos locais mantêm autoridade e controle sobre seus próprios sistemas. Na França, por exemplo, a Agência Nacional de Segurança Cibernética (ANSSI) fornece vários serviços de segurança cibernética para agências governamentais em todos os níveis, incluindo um processo de credenciamento para soluções de segurança. E a Alemanha está estabelecendo um escritório central para ele que pode fornecer serviços às agências de segurança.
Citizens rightly expect government to take steps to protect against cyberattacks. But it is unreasonable to expect state and local governments to navigate the global hive of cybersecurity activity on their own and to implement solutions to protect themselves and the digital assets of their constituents. Yet this is exactly the path that public-sector cybersecurity is on. And right now, apart from the laudable general recommendations developed by the National Institute of Standards and Technology, pretty much the only source of advice for state and local purchasers of security software and solutions are the market research and advisory firms that assess new products and solutions. While these firms strive to be helpful and objective, they are often compensated by the companies offering the products in question—a situation not unlike that of the credit rating agencies that were paid by issuers to assess debt offerings prior to the 2008 financial crisis.
…Can Benefit from Federal Help
Washington can help—without imposing a “federal solution.” Indeed, many local governments are already looking upward for support. Money is one issue, but there are other useful forms of assistance. One could be shared services: the federal government makes the cybersolutions that it uses available to local governments on a voluntary basis. Another valuable form of assistance may be expertise: enabling state and local entities to make informed decisions about their cybersecurity needs and the potential solutions. Experts typically divide cybersecurity into three components: people, processes, and technology. By lending its expertise and experience in technology, the federal government can help local governments set priorities and develop strategies and plans—and implement them—while local governments maintain authority and control over their own systems. In France, for example, the national cybersecurity agency (ANSSI) provides several cybersecurity services for government agencies at all levels, including an accreditation process for security solutions. And Germany is establishing a central office for IT that can provide services to security agencies.
Assistência federal pode assumir vários formulários. Que tipo de cobertura de ponta a ponta os estados (ou municípios) exigem? Um estado ou cidade precisa de um gateway da web seguro e de um firewall? Como estados e cidades se conectam com sistemas federais de maneira segura? Quais sistemas de controle industrial são particularmente vulneráveis (um tópico de saliência particular para serviços públicos)? Em suma, quais recursos são relevantes? E depois que os recursos necessários foram determinados, quais são as perguntas certas para fazer os fornecedores sobre a personalização e integração de soluções? Como os contratos devem ser estruturados para garantir que a compensação do fornecedor esteja alinhada com o objetivo de melhorar a segurança?
Sharing Expertise and Solutions. The federal government can supplement state efforts (such as recent ones led by the National Governors Association) with information that helps local governments assess their needs. What kind of end-to-end coverage do states (or municipalities) require? Does a state or city need both a secure web gateway and a firewall? How do states and cities connect with federal systems in a secure manner? What industrial control systems are particularly vulnerable (a topic of particular salience for public utilities)? In short, which features are relevant? And after the necessary features have been determined, what are the right questions to ask vendors about the customization and integration of solutions? How should contracts be structured to ensure that vendor compensation is aligned with the goal of improved security?
Construindo uma câmara de compensação. Pense em um recurso central em que as empresas enviam seus serviços e soluções para certificação ou aprovação formal. (Os critérios comuns para a avaliação de segurança da tecnologia da informação, um padrão internacional de segurança de computadores, pode fornecer um plano útil.) As empresas estariam interessadas em obter seus serviços na lista, uma vez que a aprovação levaria às vendas e os governos locais saberiam que qualquer serviço aprovado na lista foi avaliado por especialistas. The federal government can provide a clearinghouse function for cybersecurity products, services, and solutions (making use of existing evaluations done by the defense agencies). Think about a central resource where companies submit their services and solutions for formal certification or approval. (The Common Criteria for Information Technology Security Evaluation, an international computer security standard, can provide a helpful blueprint.) Companies would be keen to get their services on the list, since approval would lead to sales, and local governments would know that any approved service on the list has been assessed by experts.
Aproveitando o poder de compra. Os fornecedores se beneficiariam de um mercado tão centralizado. Por não ter que apresentar milhares de entidades subnacionais individualmente, elas podem economizar nos custos de vendas de não implementação e reinvestir esses fundos no desenvolvimento de recursos adicionais de segurança. Pode haver resistência inicial de empresas que fazem a lista aprovada, mas essas empresas também podem ser incentivadas a atualizar suas ofertas para atender aos padrões federais. By extending the clearinghouse concept to a marketplace, the federal government could marshal its buying power on behalf of state and local purchasers, bringing prices down without having to purchase a thing itself. Vendors would stand to benefit from such a centralized marketplace. By not having to pitch to thousands of subnational entities individually, they could save on nonimplementation sales costs and reinvest those funds in developing additional security features. There might be initial resistance from firms that do make the approved list, but those companies could also be encouraged to upgrade their offerings to meet federal standards.
startups com soluções inovadoras estariam em campo de nível de campo com grandes empresas de segurança. O tamanho do orçamento de marketing de uma empresa seria menos importante que sua tecnologia subjacente, soluções e capacidade de atender às necessidades de um cliente. As empresas de segurança existentes podem se beneficiar da existência de um árbitro neutro que separa o trigo da palha e garante que o Vaporware não ultrapasse soluções confiáveis. No final, os governos estaduais e locais teriam certeza de obter soluções de qualidade a um preço negociado por especialistas apoiados com o poder de compra. O governo federal ajudaria a tornar a vanguarda da cibersegurança mais acessível não apenas para empresas bem financiadas, mas para os governos-e para os cidadãos que eles servem-em todos os níveis.
Vivemos em um mundo conectado. Ataques recentes mostraram a rapidez com que essa conectividade pode ser voltada contra nós. O fortalecimento do cyberdensense requer uma resposta coordenada. Todo mundo sofre se os governos locais ficarem vulneráveis.
