Amerikaanse cyberbeveiligingsstrategie verhoogt de lat tegen aanvallers

De Amerikaanse cyberbeveiligingsstrategie verhoogt de lat tegen aanvallers

Door Danny Bradbury • 21 maart 2023

Kort daarna publiceerden we onze Preview van de Amerikaanse National Cybersecurity Strategy (NCS) heeft de regering het slotdocument onthuld. Het bevatte krachtiger taalgebruik dan ooit, waarin het bedrijven in de Verenigde Staten opriep om hun cyberbeveiliging te versterken, en het toonde ook inzicht in het denken, bedoeld om een aantal langetermijnproblemen op het gebied van cyberbeveiliging in binnen- en buitenland aan te pakken.

Een focus op kritieke infrastructuur

De strategie pakt veiligheidsuitdagingen aan in vijf pijlers, waarvan de eerste de verdediging van kritieke infrastructuur is. Er is een wortel-en-stok-aanpak nodig om deze uitdaging aan te pakken. Aan de ene kant pleit het voor strengere regelgeving die bedrijven meer verantwoordelijk zal maken voor cyberbeveiliging. Het erkent echter dat sommige sectoren over te weinig middelen beschikken in vergelijking met andere en roept de toezichthouders op om rekening te houden met het niveau van de beschikbare middelen bij het opstellen van nieuwe cyberbeveiligingsregels.

Het document combineert deze regelgevende stok met prikkels voor goede langetermijnbeslissingen op het gebied van cyberbeveiliging. Deze prikkels zullen afkomstig zijn van mechanismen zoals tariefvorming en belastingstructuren, zegt het rapport.

Het aansprakelijk stellen van technologieleveranciers en -exploitanten

Een andere pijler in de NCS, het vormgeven van de marktkrachten ter ondersteuning van cyberbeveiliging, luidt ook een verschuiving van de focus in. Het draagt de aansprakelijkheid over van wat het de meest kwetsbare spelers in het ecosysteem noemt (technologiegebruikers) naar de verkopers en exploitanten die de technologie leveren. Laatstgenoemden meer verantwoordelijk stellen is een fundamenteel uitgangspunt van de Strategie.

Tot deze operators behoren onder meer cloudserviceproviders (CSP's), die steeds belangrijker worden in het technologie-ecosysteem. Dezelfde week daalde de NCS, waarnemend nationaal cyberdirecteur Kemba Walden genaamd de cloud ‘te groot om te falen’. Clouddiensten zijn ook lokaal genoeg zodat aanvallers er misbruik van kunnen maken. Overzeese tegenstanders gebruiken hun infrastructuur vaak voor aanvallen, waardoor geoblocking en andere beschermingsmaatregelen moeilijk worden.

Met dit in gedachten roept de NCS CSP’s op om meer verantwoordelijkheid te nemen bij het beoordelen en beperken van risico’s voor hun systemen. Het citeert Executive Order 13984, “Extra stappen ondernemen om de nationale noodsituatie aan te pakken met betrekking tot aanzienlijke kwaadwillige cyberactiviteiten”. Dit document uit het Trump-tijdperk riep op tot betere klantidentificatie onder CSP’s, maar werd tot nu toe niet afgedwongen.

Deze nieuwe focus op verantwoordelijkheid strekt zich uit tot degenen die met gegevens omgaan en software maken om deze te beheren. Het Witte Huis wil wetgeving die “nationale eisen stelt aan de beveiliging van persoonlijke gegevens, in overeenstemming met de normen en richtlijnen ontwikkeld door NIST.” Dit is de duidelijkste indicatie tot nu toe van het verlangen naar sterke federale privacy- en gegevensbeveiligingswetgeving die consumenten beschermt, in plaats van een lappendeken van wetten op staatsniveau.

De NCS roept ook op tot wetgeving met betrekking tot softwareleveranciers, die volgens haar de aansprakelijkheid voor onveilige software in hun licentieovereenkomsten ontwijkt. Deze wetten zouden de aansprakelijkheid afdwingen voor softwareleveranciers die niet voldoen aan de softwarebeveiligingsstandaarden die al zijn opgesteld door bijvoorbeeld NIST. Er zou echter een veiligehavenovereenkomst zijn voor degenen die dat wel doen.

In het offensief gaan

Het verdedigen van binnenlandse netwerken en consumenten is één onderdeel van de strategie. Een andere pijler, Disrupt and Dismantle Threat Actors, beveelt meer agressie aan bij het uitschakelen van de systemen van aanvallers.

Deze aanpak richt zich op het hele criminele ecosysteem, niet alleen op de botnets van aanvallers. De overheid zal ransomware-aanvallers tegengaan door te proberen hun illegale activiteiten minder winstgevend te maken. Dit betekent dat we ons bijvoorbeeld moeten blijven richten op de cryptocurrency-uitwisselingen waar ze geld uitbetalen. Het ministerie van Financiën heeft al verschillende van dergelijke systemen goedgekeurd, dus dit verwoordt en versterkt een bestaande trend, net als veel andere delen van de Strategie.

Het leger zal een belangrijkere rol spelen in deze aanval op de ecosystemen van aanvallers, waardoor een nieuwe strategie ontstaat om nauwer samen te werken met civiele instanties bij het aanvallen van kwaadwillende actoren. Ook particuliere bedrijven zullen een belangrijke rol spelen. De overheid heeft eerder samengewerkt met organisaties als Microsoft om kwaadaardige netwerken uit te schakelen. Toch legt het nu de lat hoger en schakelt het bedrijven openlijk in voor zijn campagne om aanvallers uit te schakelen. Het adviseert hen om “behendige, tijdelijke cellen” te vormen voor gerichte operaties, die werken via een reeks non-profit, op cyberbeveiliging gerichte hub-organisaties die een interface met de FBI vertegenwoordigen.

Handen over de oceaan

Een deel van deze offensieve strategie omvat internationale samenwerking, aangezien zoveel kwaadwillende actoren zich in het buitenland bevinden. Het document wijdt een hele pijler aan deze strategie, die nog steeds voortduurt. Het Witte Huis al gevormd het Counter-Ransomware Initiative (CRI) om ransomware in oktober 2021 te bestrijden.

Het probleem is dat Rusland, een toevluchtsoord voor ransomwaregroepen, geen lid is van dat initiatief. Het is één land, samen met China, Noord-Korea en Iran, dat de Strategie noemt als een overzeese dreiging. Om deze tegenstanders in cyberspace het hoofd te bieden, belooft de NCS internationale diplomatieke druk uit te oefenen en “samen met onze bondgenoten en partners te werken om veroordelingsverklaringen te koppelen aan het opleggen van betekenisvolle consequenties.”

Langetermijndenken

In plaats van een reflexmatige reactie op cyberdreigingen bevat de NCS een langetermijndenken. Een voorbeeld is de discussie over een mogelijke achtervang voor cyberverzekeringen ter dekking van het soort catastrofale cybergebeurtenis dat het World Economic Forum heeft aangekondigd. zegt komt. Dit is een reactie op de groeiende spanningen tussen verzekeraars en klanten over de stijgende kosten van cyberincidenten.

Andere acties op langere termijn vallen onder een aparte pijler genaamd Investeren in een veerkrachtige toekomst. Deze omvatten een nieuwe Nationale Cyber Workforce and Education Strategy om het gebrek aan vaardigheden op het gebied van cyberbeveiliging in de VS te compenseren en een initiatief om betere digitale identiteitsoplossingen te bouwen, ter bestrijding van de huidige pandemie van identiteitsdiefstal. Deze pijler roept ook op tot het beveiligen van digitale toeleveringsketens en denkt vooruit naar een post-kwantumwereld, waarbij wordt opgeroepen tot oplossingen die gegevens kunnen verbinden wanneer kwantumcomputers de bestaande cryptografische methoden bedreigen.

Dit strategiedocument is een prijzenswaardige poging om op een intelligente manier na te denken over de problemen van vandaag, terwijl we tegelijkertijd de problemen van morgen in de gaten houden. Het probleem is, zoals altijd, de uitvoering. De uitvoerende macht kan op eigen kracht niet veel doen om deze ambities waar te maken. De NCS geeft toe dat zij afhankelijk is van de wetgevende macht om veel van deze veranderingen door te voeren.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 15 januari 2026

Van perimeterbeveiliging naar identiteit als beveiliging.

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is inderdaad een modewoord, maar...

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury