Pentagon Analyst: Cyber-domheden bij Binnenlandse Veiligheid maakt Verenigde Staten kwetsbaar voor een "Onzichtbaar Wapen" dat Rusland (of China) kan gebruiken om Amerika terug te sturen naar de Donkere Middeleeuwen
1 maart 2022 - door Ltc. Robert L. Maginnis
Rusland, China en de rest van 's werelds slechte cyber-spelers zullen niet stoppen met het aanvallen van Amerikaanse commerciële en infrastructurele doelen zoals de Colonial Pipeline en JBS, 's werelds grootste vleesverwerkingsbedrijf, totdat we ze een onaanvaardbare prijs laten betalen. Helaas accepteren het Congres en de federale regering wel dat grote risico.
Amerika is een makkelijk doelwit voor cybercriminelen en staatsactoren, die met gemak ons intellectuele eigendom kunnen oogsten, onze communicatie kunnen aantasten, valse informatie kunnen creëren die onze politiek beïnvloedt, en onze nationale wil kunnen ondermijnen vanaf toetsenborden in het buitenland.
Ja, cyberspace-operaties zijn de nieuwe kernwapens en kunnen worden opgeschaald van speldenprikjes tot aanvallen die hele landen lamleggen. De dreiging is zo ernstig dat het de aandacht van elke Amerikaan zou moeten trekken.
Het toppunt van de dreiging is cybercriminaliteit, die de wereld jaarlijks misschien wel 6 biljoen dollar kost, maar zorgwekkender zijn die cyberaanvallen welke door staten worden gesponsord. Cyber is immers een onzichtbaar wapen om kosten te maken en middelen te verbruiken. Geen wonder dat onze vijanden in Moskou en Peking aanzienlijke offensieve cyberlegers en een verscheidenheid aan cyber-proxies herbergen die ontevredenheid zaaien en Amerika aan banden leggen - wat een effectieve strategie is.
De belofte van president Joe Biden om de Russische president Vladimir Poetin aan te klagen wegens het herbergen van cybercriminelen is een loos dreigement. Poetin weet dat Amerika gemakkelijke cyberdoelen biedt, zoals de ransomware-aanval van vorige maand, die de computers van Colonial Pipeline blokkeerde, waardoor de gastanks aan de oostkust meer dan een week lang leeg bleven.
De CEO van Colonial, Joseph Blount, vertelde de commissie Binnenlandse Veiligheid van de Amerikaanse Senaat: "We hebben een noodreactieproces: de dreiging zien, de dreiging indammen, de dreiging verhelpen en herstellen. Dat proces heeft gefaald, en dat geldt ook voor de meeste grote commerciële en overheidsplannen wanneer ze het slachtoffer worden van een geavanceerde cyberaanval, die jaarlijks een meerderheid van de Amerikaanse bedrijven treft. Zesentwintig procent betaalt daadwerkelijk losgeld.
Het is een schrale troost dat ons ministerie van Justitie $2,3 van de $4,4 miljoen aan cryptocurrency's die aan de aanvallers zijn betaald, heeft teruggehaald. Het probleem is zo wijdverspreid dat het alle Amerikanen bedreigt, en onze regering is schuldig aan wanpraktijken.
Senator Maggie Hassan (D-N.H.) reageerde op het excuus van Mr. Blount. "Ik denk niet dat het aanvaardbaar is om de kritieke aard [van de dreigingen] ... van je product te begrijpen, maar dan niet echt de voorbereiding en het systeem te hebben om het te beschermen alsof het kritieke infrastructuur is." Hassan vervolgde: "We moeten ons beginnen voor te stellen wat er kan gebeuren, en dienovereenkomstig reageren in plaats van altijd te kijken naar wat het laatste probleem was, en echt te investeren in kritieke infrastructuur."
Stelt u zich eens voor, senator Hassan, dat een cyberaanval ons elektriciteitsnet lamlegt in plaats van Colonial stop te zetten. Richard Andres, professor aan het U.S. National War College, legde uit wat de catastrofale gevolgen zouden zijn van een cyberaanval die ons elektriciteitsnet platlegt. Het zou alle handel, benzinepompen en telefoons stilleggen. Watervoorziening en riolering zouden stoppen met stromen, voedsel zou niet worden geleverd, ziekenhuizen zouden een paar dagen functioneren op noodstroom, de Nationale Garde en wetshandhavers zouden na minder dan een week niet meer komen werken, en dan zal ziekte en hongersnood binnen enkele dagen toeslaan.
De schuld voor deze mate van kwetsbaarheid ligt bij onze wetgevers, die blindelings en meestal ongeïnformeerd toezicht houden op het cyberrisico. Zij schrijven wetten, maar zorgen er zelden of nooit voor dat onze investeringen in beveiliging leiden tot de noodzakelijke verharding van onze systemen.
Te veel wetgevers denken dat cyber iets is dat ze niet kunnen begrijpen, en ze worden vergezeld door incompetente bureaucraten, zoals die bij het Cybersecurity and Infrastructure Security Agency (CISA) van de Binnenlandse Veiligheidsdienst. Die bureaucraten zijn medeverantwoordelijk, want het is de taak van CISA om plannen, strategieën en mechanismen op te zetten om cyberaanvallen te voorkomen en erop te reageren.
De feiten tonen aan dat CISA een catastrofe is - een put voor belastinggeld - en dat de leiders ervan geen flauw benul lijken te hebben van de cyberdreiging en van de manier waarop dit land moet worden beschermd tegen een potentiële ondergang.
We moeten niet verbaasd zijn dat CISA-directeur Brandon Wales vorige maand getuigde dat hij gelooft "dat Colonial geen contact zou hebben opgenomen met CISA als de FBI het agentschap niet had ingelicht." Dat is veelzeggend.
Het niet melden van de aanval door Colonial aan CISA is een belangrijke motie van wantrouwen. Blijkbaar is het ook een afkeuring van het Congres. Immers, het Congres verzuimt de leiding van de CISA vragen te stellen die getuigt van gezond verstand, zoals deze: wat hebt u gedaan met het geld dat bedoeld was om onze cyberdefensie te versterken? Wat is uw plan, en hoe heeft u het cyberrisico teruggedrongen?
Het ontbreekt CISA aan volwassen strategisch denken en planning. Deze mensen hebben geen cyberstrategie, en hun infrastructuurplannen vergaren stof - al acht jaar zonder uitvoering. CISA verdient de "Gulden Vlies"-onderscheiding, die William Proxmire, een voormalige Amerikaanse senator uit Wisconsin, toekende voor het "verkwistende, belachelijke of ironische gebruik van het geld van de belastingbetaler".
Het is niet dat CISA geen overvloed aan richtlijnen heeft. President Barack Obama heeft immers Presidential Policy Directive 21: Critical Infrastructure Security and Resilience uitgevaardigd. Die richtlijn heeft een samenwerkingsproces in het leven geroepen dat 16 sectoren van kritieke infrastructuur, alle 50 staten en alle overheids- en bedrijfsniveaus bestrijkt.
CISA, dat de federale regering leidt voor PPD-21, publiceerde een nationaal plan voor de bescherming van de infrastructuur waarin wordt bevestigd dat "het welzijn van onze natie afhangt van een veilige en veerkrachtige kritieke infrastructuur - de activa, systemen en netwerken die de Amerikaanse samenleving schragen". Toch hebben we geleden onder het Colonial Pipeline incident, en dat is nog niet alles.
De cyberaanval van 2020 waarbij het systeem van een externe softwareleverancier, SolarWinds, werd gecompromitteerd, was misschien wel net zo erg en leidde tot zeer destructieve inbreuken op gegevens van federale agentschappen zoals het ministerie van Handel en zelfs een bij CISA.
Microsoft Corp identificeerde de SolarWinds cyber-speler als Nobelium, een in Rusland gevestigde speler, die meer recent (mei 2021) andere overheidsagentschappen, denktanks en niet-gouvernementele organisaties viseerde. Zowel de VS als Groot-Brittannië gaven de buitenlandse inlichtingendienst van Rusland de schuld voor SolarWinds en de meest recente hacks.
Wat deed CISA toen het op de hoogte kwam van de SolarWinds aanval? Het deed niets en liet aanvankelijk de besmette, met malware geïnfecteerde servers rondslingeren als een tijdbom. Waarom? Gebrek aan training en waarschijnlijk incompetentie.
Het enige goede nieuws is dat het Pentagon veel beter is voorbereid op cyberoorlogsvoering dan de rest van de federale overheid. Hoewel niet perfect, beschikt het ministerie van Defensie over cybercommando's en gezagsketens om onmiddellijk actie te ondernemen bij aanvallen. Het leidt zijn personeel agressief op en zorgt voor tegenmaatregelen en verdedigingsmechanismen.
Dus wat moet er worden gedaan?
In 2019 heeft het Congres de Cyberspace Solarium Commission in het leven geroepen om twee vragen te beantwoorden: "Ten eerste, welke strategische aanpak zal de Verenigde Staten het best verdedigen tegen cyberaanvallen met significante gevolgen? Ten tweede, welk beleid en welke wetgeving zijn nodig om die strategie uit te voeren?"
De Commissie kwam met 54 afzonderlijke wetgevingsvoorstellen, en in het 2020-verslag werden de vereiste maatregelen geschetst voor zowel de uitvoerende macht als particuliere ondernemingen.
Wat is de reactie van het Congres en de federale regering op dat rapport? Stilzwijgen! Waar zijn het toezicht en de noodzakelijke wetgeving? Waarom gebruikt CISA zijn autoriteit niet om de VS veiliger te maken?
Het Congres moet agressief en intelligent toezicht houden. Eis dat ons belastinggeld het risico voor onze infrastructuur vermindert. Dit gaat over overleven en onze manier van leven. We worden dagelijks aangevallen, en het wordt nog veel erger.
Amerika moet investeren in talent, uitrusting en geïnformeerd leiderschap. We hebben ook een strategie nodig die onze vele vijanden op de hielen zit. Ontzeg ze de toegang tot cloud-ruimte in de VS om hun cyber-tools te verbergen, en ga achter degenen buiten onze grenzen aan. Onthoud dat we de cyberoorlog nooit thuis willen uitvechten. Ga in de aanval.
De heer Maginnis is een gepensioneerd officier van het Amerikaanse leger en de auteur van Alliance of Evil: Russia, China, the United States and a New Cold War. Zijn nieuwe boek, Give Me Liberty, Not Marxism, komt dit voorjaar uit en beschrijft de marxistische dreiging en hoe China Amerika radicaal wil veranderen.