NYS bood gratis cyberbescherming aan, maar het is onduidelijk of Suffolk het heeft geïmplementeerd

Afgelopen juli, toen gouverneur Kathy Hochul provincies in de hele staat gratis toegang bood tot een pakket cyberbeveiligingsproducten en -diensten, werd de dreiging van ransomware-aanvallen als belangrijkste reden genoemd.

Ongeveer twee maanden later diende Suffolk County een verzoek in bij het ministerie van Binnenlandse Veiligheid en Noodsituaties, dat het programma beheert, om CrowdStrike Detection and Response aan te vragen. Het verzoek kwam op 9 september, een dag nadat het computernetwerk van de county werd afgesloten vanwege een ransomware-aanval, aldus Jordan Guerrein, directeur communicatie voor Homeland Security and Emergency Services.

In de maanden daarna blijft het onduidelijk of Suffolk het programma, dat een gezamenlijk centrum voor beveiligingsoperaties omvat met computertechnici die netwerken in realtime bewaken, volledig heeft uitgerold. De Nassau County Legislature koos op 27 februari voor CrowdStrike en heeft het sindsdien geïmplementeerd, aldus county-woordvoerder Chris Boyle.

Deputy Suffolk County Executive Vanessa Baird-Streeter vertelde Newsday in maart dat “we het aanbod van CrowdStrike niet hebben afgewezen, maar geaccepteerd”. Vorige week weigerde de regering Bellone CrowdStrike te bespreken, ook of het in gebruik is.

“Als een kwestie van beste praktijken en met de verantwoordelijkheid om de bescherming van de kritieke infrastructuur van de provincie te waarborgen, moet de architectuur van de netwerkbeveiliging worden beschermd en vertrouwelijk blijven,” schreef Suffolk-woordvoerster Marykate Guilfoyle in een verklaring.

De staat bood de provincies CrowdStrike aan omdat: “Nu ransomware-aanvallen steeds vaker voorkomen, is het voor ons essentieel om gevoelige informatie bij lokale overheden in de hele staat te beschermen,” zei Lt. Gov. Antonio Delgado destijds. “Het gedeelde dienstenprogramma zal provincies de hulp en ondersteuning bieden die ze nodig hebben om hun cyberdefensie te verbeteren.”

Meer dan 40 provincies in de hele staat hebben zich aangemeld voor de software, zei Guerrein.

Suffolk zei dat het al lagen van cybersecurity bescherming heeft, waaronder firewalls van Palo Alto Networks; antivirus, multifactor authenticatie van Okta, en endpoint bescherming van Palo Alto’s Cortex.

Maar sommige ambtenaren zeiden dat Suffolk sneller gebruik zou moeten maken van het aanbod van de staat, nadat de cyberaanval van 8 september ervoor zorgde dat de provincie meer dan vijf maanden lang tientallen online diensten moest afsluiten. De meeste diensten, waaronder de hoofdwebsite van Suffolk, zijn inmiddels hersteld, maar sommige zijn nog steeds niet beschikbaar.

Suffolk Comptroller John Kennedy zei dat de county hem nog moet informeren over een plan om CrowdStrike te installeren op zijn meer dan 120 departementale computers.

“Vanaf 21 april staat CrowdStrike op geen enkele van de audit- en controlecomputers in mijn kantoor,” zei Kennedy. “Waarom zouden we geen gebruik hebben gemaakt van een kans om een ander beschermend stuk software” op het netwerk te krijgen?

Een persoon met kennis van de systemen van de provincie zei dat CrowdStrike nog volledig geïnstalleerd moet worden op het netwerk, maar een topambtenaar van de provincie weigerde de bewering te bevestigen of te ontkennen.

Peter Schlussler, de IT-directeur van de gemeentesecretaris, zei dat zijn kantoor 85.000 dollar uitgaf voor een contract met Carbon Black, een ander realtime, technologisch bemand security operations center – omdat er niets zoals CrowdStrike was geïnstalleerd in de gemeentesecretaris voordat County Executive Steve Bellone hem in december schorste.

Als Suffolk zich volledig heeft aangesloten en CrowdStrike heeft ingezet, is dat nieuws voor Suffolk County Off-Track Betting, dat had gehoopt de software te krijgen om zijn cyberdefensie te versterken.

“Wij van Suffolk OTB waren het wachten op hun actie beu en kochten CrowdStrike zelf om Jake’s 58 Casino te beschermen tegen hackers,” zei Suffolk OTB-chef Phil Boyle, een voormalig Republikeins staatssenator.

De provincie zei dat OTB geen deel kon uitmaken van haar plan. Guilfoyle zei in reactie op Boyle: “Suffolk OTB staat los van de county en ons netwerk. Onder geen enkele omstandigheid zouden zij worden opgenomen in een provinciale inzet.”

Evan Proios, OTB’s adjunct-directeur informatietechnologie, zei: “Ze hebben gelijk dat we geen deel uitmaken van de county en ze hebben gelijk dat we geen deel zouden uitmaken van hun cybersecurity-implementatie, maar als ze verder zouden zijn gegaan met hun implementaties, is er een mogelijkheid dat we een deel van de subsidie-financiering hadden kunnen zijn die was toegewezen aan counties en county-entiteiten.

“We kregen het geld niet gegarandeerd, maar volgens mijn gesprekken met het hoofd van de binnenlandse veiligheid maakten we een goede kans als de provincie meewerkte,” voegde hij eraan toe.

Suffolk OTB is een publiekrechtelijke instelling die eigendom is van Suffolk County en waarvan de drie bestuursleden worden benoemd door de Suffolk wetgever.

Proios zei dat hij in januari voor het eerst contact opnam met de staatsafdeling van Homeland Security. “New York State informeerde me dat de subsidie er was, [but] Suffolk heeft er niet voor gekozen”, zei hij en voegde eraan toe dat de staat hem vertelde dat het aanbod niet “versnipperd” kon worden door afzonderlijke groepen toe te staan de software te krijgen totdat de provincie zelf had getekend.

OTB zei dat het 45.000 dollar betaalde voor de CrowdStrike Endpoint Protection and Response, virusbescherming en een security operations center, dat 24/7 monitoring heeft door een security operations center bemand met live techs.

“Het is het equivalent van vier of vijf mensen die 24/7 mijn hele organisatie in de gaten houden,” zei Proios. “Ik krijg een telefoontje van een live persoon elke keer als er iets gebeurt.”

Proios zei dat hem was verteld dat Suffolk wachtte op het aannemen van een nieuwe chief information security officer alvorens de beslissing te nemen over de implementatie van CrowdStrike. Suffolk moet nog zo’n beveiligingsfunctionaris aannemen, wat voor het eerst werd aanbevolen in een vertrouwelijk rapport van de provincie in 2019, heeft Newsday gemeld.

Lisa Black, chief deputy county executive voor Suffolk, zei dat een reden waarom OTB niet zou worden opgenomen in zijn CrowdStrike-contract is dat de beveiligingssuite een “single-point” communicatie met de provincie vereist als technici een probleem detecteren, en dat Suffolk de mogelijkheid zou moeten hebben om mogelijk een systeem “uit te schakelen” als er een groter probleem is.

“We moeten zicht hebben op hun… [OTB] zodat we kunnen zeggen, ‘Ja, sluit het af,’ of niet,” zei Black. “We hebben duidelijk geen controle over het OTB” netwerk.

Ben Voce-Gardner, directeur van het Office of Counter Terrorism voor New York’s Division of Homeland Security and Emergency Services, bevestigde dat elke county moet tekenen voordat entiteiten eronder toegang kunnen krijgen tot de diensten. De divisie verwees naar Suffolk om de specifieke plannen van de county te bespreken.

Afhankelijk van de grootte van een entiteit – Suffolk heeft zo’n 10.000 desktops of endpoints – kan het een paar dagen tot een paar weken duren om CrowdStrike volledig te implementeren, zei Voce-Gardner.

Voce-Gardner zei dat provincies zich hebben aangemeld, maar dat ze “niet geïnteresseerd waren in een implementatie tot”. [the second quarter] van 2023 omdat “we een ander contract hebben dat pas dan afloopt, en we zijn ook bezig met een vernieuwing van de hardware, dus we hebben gewoon niet de bandbreedte om het te doen. ”

In Nassau zei Boyle dat CrowdStrike op alle computers is geïnstalleerd en dat de officier van justitie en de politie het ook op hun computers willen installeren.

Nassau heeft andere niveaus van cybersecurity bescherming naast een leverancier die het in december inhuurde voor hulp, zei hij. County ambtenaren hebben geweigerd om de naam van de leverancier of de kosten van de dienst te identificeren, uit angst voor een mogelijke aanval.

Voce-Gardner zei dat zijn bureau een landelijke uitrol van CrowdStrike wil zien, dat “voorkomt dat een tegenstander kwaadaardige handelingen verricht” op computersystemen. “Het kan het detecteren en blokkeren.” De staat gebruikt het product, zei hij.

Provincies die het gebruiken doen dat in verschillende mate, zei Voce-Gardner, en het kan op sommige systemen worden ingezet terwijl het van andere systemen wordt uitgesloten. Het kan ook werken met bestaande endpoint protection software en diensten, zoals het Cortex systeem dat Suffolk heeft ingezet via zijn Palo Alto Networks systeem.

“Dat is een van de redenen waarom we het product goed vinden … is dat veel provincies al een vorm van endpointbescherming gebruiken of aan het gebruiken waren,” zei Voce-Gardner. “CrowdStrike kan tegelijkertijd worden gebruikt.”

Hij wilde niet zeggen of CrowdStrike de ransomware-aanval van Suffolk zou hebben gestopt, maar merkte op: “We hebben vertrouwen in het CrowdStrike-product… Wat het in feite doet, is verdacht gedrag identificeren en u daarvoor waarschuwen, en datgene wat dat verdachte gedrag veroorzaakt in quarantaine plaatsen. Het voorkomt dat het verdachte gedrag zich uitbreidt naar waar het nu is.”

Voce-Gardner zei dat bij de laatste telling 47 graafschappen CrowdStrike in gebruik hebben, een aantal dat de vijf graafschappen van New York City niet omvat omdat die al CrowdStrike hebben via de stad.

James Yeager, vice-president van de publieke sector bij CrowdStrike, beantwoordde geen vragen over de deelname van Suffolk aan het aanbod van de staat, maar zei in een verklaring dat het gezamenlijke Security Operations Center van het bedrijf met de staat New York “vooruitgaat en soepel verloopt”.

“Op dit moment heeft de overgrote meerderheid van de provincies gekozen voor het programma en is begonnen met onboarding,” zei hij.

Met Scott Eidler