アメリカ合衆国は、「ターゲットが多く、資源が乏しい」病院、学校、公共施設、地方自治体などの地域組織が、政府や民間セクターの「より能力のある他の主体」とサイバーセキュリティの責任を共有する新しいモデルに向かうべきです。
これは、カリフォルニア大学バークレー校の長期サイバーセキュリティセンター(CLTC)とサイバー平和研究所が主導するボランティア組織、サイバー・レジリエンス・コーが火曜日に発表した新しい報告書の主な結論です。
長年、政策立案者は、ランサムウェアグループ、国家、デジタル詐欺師からの激しい攻撃に直面して、米国の重要インフラのこれらの重要な部分がサイバーセキュリティ防御を強化するのを支援するのに苦労してきました。
この文書の多くの洞察は、著者がクレイグ・ニューマーク・フィランソロピーのサイバー市民防衛イニシアチブとサイバーセキュリティ・インフラストラクチャー・セキュリティ・エージェンシー(連邦政府の州および地方自治体とのサイバー防衛における主要な連絡先)からの助成金受領者との会話から引き出されたものです。
「これらのグループの両方から浮かび上がったのは1つの核心的なテーマでした。それは、地域組織全体が抜け落ちており、現在の取り組みでは彼らがオンラインで自分自身を保護するのに十分ではないということです」と、著者のサラ・ポワゼクとグレース・メンナは書いています。
これらの地域組織は「非常に相互依存しており、病院が水を必要とするように、小規模ビジネスは育児を必要とし、公共施設は市政府を必要とし、それが非営利団体を必要とする、というように」と報告書は述べています。
情報源によって数値は異なりますが、専門家は長い間、これらのタイプの組織をアメリカのサイバーセキュリティ問題の弱点として特定してきました。彼らの混乱が現実世界の被害を引き起こす可能性があるほど重要ですが、利益を追求するハッカーや外国の情報機関にとって魅力的なターゲットとなり得る一方で、あまりにも小規模で資源が乏しいため、何か意味のあることをするのは難しいのです。サイバー平和研究所は、2023年から2025年の間に121の市民社会組織を標的とした約43,000件のサイバー事件を追跡しています。
地域組織はデジタル技術に依存していますが、それを完全に保護するための人的または技術的資源を持っているところはほとんどありません。ITおよびサイバーセキュリティの専門家は公共および民間セクターで需要があり、多くは平均的な地方病院や地方自治体よりも高い給与を提供できる大企業や政府に行きます。
しかし、著者たちは、人々や組織が内燃機関の仕組みを理解せずに自動車を安全に利用できるように、これらの組織もフルタイムのセキュリティオペレーションセンターを雇用せずに重要な技術を運用できるべきだと主張しています。
これらの課題に対処するために、著者たちは既存のサイバーボランティアプログラムを成熟させ、拡大して、支援できる組織の数を増やすことを推奨しています。
報告書は、外部グループがこれらの組織のITを保護するための3つの潜在的な方法を特定しています。まず、民間企業は、顧客にセキュリティの負担をかけない、よりシンプルで安全な製品を作ることができます。これは、CISAのような連邦機関が個々の組織から(より多くの資源を持つ)製造業者にサイバーリスクを押し上げるために行っている努力と同様です。
第二に、州は小規模で地方の組織のために新しい共有サービスを作成し、セキュリティの責任の多くを引き受けることができます。これもまた、連邦政府が近年取ってきたアプローチを反映しており、国土安全保障省や他の省庁に、小規模で資源が乏しい機関のための共有ITリソースを開発するように課しています。
「小規模な地域レベルに達すると、ITチームが10人以下の組織がある場合、サイバーハイジーンやサイバーベーシックスが最も役立ちます」と、CLTCの公共利益サイバーセキュリティプログラムディレクターのポワゼク氏は述べています。
最後に、既存のボランティアサイバー組織は重要なギャップを埋めるのに役立ちますが、拡大し、リソースをより効果的に使用し、単発の関与を超えて持続可能なサイバー専門知識を地域社会に構築する必要があります。
報告書の項目には、彼らが所有または運営していないITインフラを守るために異なるグループのボランティアを引き付ける方法を見つけるなど、重要な物流および組織の課題が含まれています。CLTCは、CISAや他の組織による既存の取り組みを基にして、国の断片的なサイバーボランティア人口を組織することを目的とした新しいウェブサイト、cybervolunteers.usを設立しました。
CLTCのエグゼクティブディレクター、アン・クリーブランド氏は、サイバーボランティアをより良く調整し組織する努力は、報告書の推奨事項を実施する際に「自分たちの薬を飲む」試みであると述べました。
「インタビューで、私たちのボランティアコミュニティが最初に求めたことの一つは可視性でした」と彼女は言いました。「私たちは他に誰がいるのかさえ知らず、必要な組織は私たちを見つける方法を知りません。」
しかし、ポワゼク氏は、多くの小規模で地方の組織にとって「現状は受け入れられない」ということを認める努力でもあると述べました。
「何もしないことで、彼らを国家の攻撃者に直面させることになってしまいます」と彼女は言いました。「そして、これらの問題に取り組むすべての人々、これらのコミュニティと協力するすべての人々が協調的な努力をしない限り、何も変わることはありません。」
翻訳元: https://cyberscoop.com/cyber-resilience-corps-volunteer-target-rich-resource-poor-assistance/