Cybersikkerhed: Internetarkitektur anses for at være modstandsdygtig, men føderale agenturer fortsætter med at afbøde risici

Hvad GAO fandt

Kommunikationssektoren driver flere selvstændige netværk, der udgør rygraden i internettet. For at understøtte udvekslingen af ​​netværkstrafik administrerer og kontrollerer tjenesteudbydere vigtige infrastrukturelementer med adskillige komponenter, herunder internetudvekslingspunkter og undersøiske kabelstationer, der forbinder til både indenlandske og internationale netværk (se figur). Flere tjenesteudbydere i USA driver separate kernenetværk, der kører på tværs af landet og forbinder til hinanden på flere punkter.

Hvordan store amerikanske internetnetværk opretter forbindelse til tjenesteudbydere

\\vdifs02\FR_Data\BeckerB\Desktop\FY21_ALL_STAFF-#920789-v12-GRAPHIC_PROOF-ITC-104560_CGB.bmp

Selvom eksperter anser internettets arkitektur for at være modstandsdygtig, står det ikke desto mindre over for forskellige cyber- og fysiske risici, der kan påvirke dets komponenter; sådanne risici kan være tilsigtede eller utilsigtede (se tabel). Især cybersikkerhedsrisici kan påvirke to sæt protokoller, der kræves for at sikre unikke navne, der bruges i internettjenester, og for at lette routing af datapakker. Især oversætter Domain Name System navne som f.eks www.gao.gov, til numeriske adresser, der bruges af computere og andre enheder til at dirigere data. Derudover bruges edge gateway-protokollen til at udveksle netværkstilgængelighed og routinginformation for individuelle netværk (dvs. destinationer). Begge disse protokoller er i risiko for bevidst misbrug af angribere, såvel som utilsigtet fejl. Derudover kan internettets arkitektur blive påvirket af fysiske risici såsom at skære eller fjerne fiberoptiske kabler.

Risici for internettets arkitektur

Cyberbevidst

  • Denial of Service-angreb
  • Misbrug af Border Gateway Protocol (BGP)
  • Misbrug af Domain Name System (DNS)
  • Supply chain drift
  • Angriber(e)

cyber utilsigtet

  • BGP fejl
  • DNS-fejl
  • Hardwarefejl
  • Softwarefejl
  • Operatør fejl

fysisk bevidst

  • Forsætlig beskadigelse af det fiberoptiske kabel
  • Angreb på et objekt med internetarkitektur eller dens tilknyttede infrastruktur

fysisk utilsigtet

  • Utilsigtet skade på det fiberoptiske kabel
  • Alvorligt naturfænomen

Kilde: GAO-analyse af føderale og ikke-føderale rapporter. | GAO-22-104560

Risici, hvis de bliver til virkelighed, kan føre til hændelser, der forstyrrer internettets normale funktion, herunder udfald, ydeevneforringelse og trafikkapring. Medlemmer af de to grupper indkaldt af GAO erklærede også, at risikoen for bevidste hændelser, der påvirker internettets arkitektur, afhænger af angribernes evner og motiver. GAO og andre har rapporteret trusler, herunder trusler fra kriminelle grupper og nationalstater, der potentielt kunne bruge deres magt til at påvirke komponenter i internetarkitekturen. For eksempel identificerede en 2017 Department of Homeland Security Information Technology Risk Assessment organiseret kriminalitet og nationalstater som trusler mod operationer, der leverer domænenavnsroutingtjenester.

Efterhånden som den amerikanske regering har reduceret sin rolle over komponenter i internetarkitekturen, herunder nedlukning af de tidlige netværk, den udviklede og opgivet sin tilsynsrolle over internettets tekniske funktioner, er dette ansvar flyttet til det globale multistakeholder-fællesskab. Ingen enkelt organisation er ansvarlig for alle internetpolitikker, drift og sikkerhed. Den føderale regering udfører dog en række forskellige funktioner, der er direkte relateret til risiciene for internetarkitekturen (se tabel). For at udfylde disse roller har agenturer truffet handling. For eksempel har DHS arbejdet med repræsentanter fra de kritiske kommunikations- og informationsteknologiske infrastruktursektorer for blandt andet at gennemføre en risikovurdering af sektorernes evne til at levere internetfunktionalitet. Derudover påvirker FCC sikkerheden af ​​internetarkitekturen ved at give licens til søkabler og landingsstationer og ved at administrere et program til at fjerne og erstatte udstyr, der anses for at udgøre en uacceptabel risiko for den nationale sikkerhed.

Føderale roller i infrastrukturarkitektursikkerhed

Vejledning om beskyttelse af kritisk infrastruktur og engagement med den private sektor

Deltagelse i internationalt cyberdiplomati

Støtte til cyberforskning og -udvikling

Koordinering af respons på cyberhændelser

Efterforskning og retsforfølgning af cyberkriminel aktivitet

Udvikling af sikkerhedsstandarder

Regulering af dele af det amerikanske kommunikationsnetværk

Løsning af forsyningskædeudfordringer relateret til dataroutingudstyr og -tjenester

Drift af domænenavnesystem Root Zone-servere

Udstedelse af licenser til opsendelse og drift af søkabler

Kilde: GAO-analyse af føderal lov og politik, agenturdokumentation og tidligere GAO-rapporter. | GAO-22-104560

Hvorfor GAO lavede denne undersøgelse

Internettet er et globalt system af sammenkoblede netværk, der bruges af milliarder af mennesker rundt om i verden til personlige, uddannelsesmæssige, kommercielle og offentlige formål. Den amerikanske regering har over tid opgivet sin tilsynsrolle på internettet. Et globalt, multi-stakeholder-fællesskab af mange organisationer bestemmer internetpolitik, drift og sikkerhed. Men den fortsatte og voksende afhængighed af internettet understreger behovet for at forstå risiciene for dets underliggende arkitektur.

Beretning fra House Armed Services Committee medfølger William M. (Mack) Thornberry National Defense Authorization Act for regnskabsåret 2021 indeholdt en bestemmelse om, at GAO skal gennemgå sikkerheden af ​​internetarkitekturen. Denne rapport (1) identificerer sikkerhedsrisiciene forbundet med internettets arkitektur og (2) bestemmer, i hvilket omfang amerikanske føderale agenturer har truffet foranstaltninger for at imødegå sikkerhedstrusler mod internettets arkitektur.

GAO har indsamlet og gennemgået offentligt tilgængelige rapporter fra føderale og ikke-føderale organisationer for at identificere risici for internetarkitekturkomponenter (internetudvekslingspunkter, undersøiske kabler, Domain Name System og Border Gateway Protocol, blandt andre). GAO gennemgik også føderal lov og politik og dets tidligere arbejde for at bestemme den føderale internetarkitekturs sikkerhedsroller og ansvarlige agenturer. Baseret på agenturernes rolle indsamlede og gennemgik GAO relevante dokumenter og gennemførte interviews med embedsmænd fra de ansvarlige agenturer.

Derudover har GAO indkaldt to paneler med eksperter på området. Eksperter har erfaring med forskellige aspekter af internetarkitektur, såsom at eje og drive infrastrukturelementer, deltage i og deltage i standardsættende organisationer og lære om og deltage i forskellige multistakeholder-styringsorganisationer.

Under gruppesessionerne præsenterede GAO tidligere identificerede cyber- og fysiske risici og bad eksperter om at identificere yderligere risici eller problemer, der ikke var blevet identificeret. GAO og eksperter diskuterede også involveringen af ​​den føderale regering i at håndtere risiciene.

For mere information, kontakt David B. Hinchman på (214) 777-5719 eller [email protected]

Leave a Comment