Nové pokyny pro kybernetickou politiku Gov't, skupina říká

Nový soubor pokynů pro kybernetickou bezpečnost, který vydal Národní institut pro normy a technologie (NIST) Spojených států, nedosahuje ochrany potřebné pro vládní systémy, uvedla skupina pro analýzu kybernetické bezpečnosti a advokacie. pro nezveřejněné údaje u civilních agentur, které byly vydány 31. července, ponechávají mnohé federální systémy IT z nejvyšších bezpečnostních požadavků, řekl Cyber ​​Secure Institute. Federální systémy označené jako cíle s nízkým nebo středně závažným dopadem by bezpečnostní kontroly neměly navrhnout tak, aby dokázaly čelit kvalifikovaným a dobře financovaným hackerům, uvedla skupina v kritice, která byla zveřejněna tento týden.

"Tzv. norma není výjimkou, "uvedl CSI ve své zprávě. "Odborníci z oblasti IT na federálním a soukromém sektoru stále častěji hlásí, že útoky, které pravidelně čelí, jsou od vysoce kvalifikovaných, vysoce motivovaných a dobře financovaných aktérů - od ruského davu až po čínskou armádu až po organizované zločince."

Problém je v tom, že mnoho citlivých federálních systémů by se dostalo do kategorií s mírným dopadem, včetně systémů obsahujících informace týkající se "mimořádně citlivých" vyšetřování na federálním právu "říká Rob Housman, výkonný ředitel společnosti CSI. Elektronická zdravotní data by podle všeho spadala do kategorie mírného dopadu.

"Pokud vyšetřování IRS [Internal Revenue Service] není druh, který chcete mít vyšší stupeň ochrany proti sofistikovaný útočník, nevím, co je, "řekl Housman, který sloužil jako pomocný ředitel pro strategické plánování v kanceláři Bílého domu pro drogové carry a který vyučuje kurzy protiteroristické a vnitřní bezpečnosti na univerzitě v Marylandu. "V téměř všech rozhovorech se všemi veřejnými a soukromými vedoucími IT, CISO a dalšími, co říkají, že vidí, jsou … sofistikované hackeři."

Doporučení NIST vyžadují, aby systémy s nízkým a středním dopadem byly "Raw Ross, senior počítačový vědec a výzkumník bezpečnosti informací v NIST, řekl, že CSI kritiky se zdají být založeny na nedorozumění pokynů NIST. Za prvé, pokyny NIST jsou minimálními standardy a jednotlivé agentury musí provést hodnocení rizik a přizpůsobit pokyny svým potřebám.

Federální agentury musí kategorizovat své vlastní systémy a systémy s vysokým dopadem by byly ty, které mají "závažný, katastrofický účinek", pokud jsou ztraceny, říká Ross. "Tyto základní linie [v doporučeních NIST] představují minimální počáteční body pro agentury," uvedl. "Důsledky by neměly být tam, že to je dostatečný soubor kontrol proti některým typům útoků, které vidíme."

Některé agentury, které jsou zaměřeny americkými protivníky, budou muset podniknout další kroky k ochraně svých počítačových systémů, Ross říká:

Existuje určité riziko, že agentury budou pracovat jen na minimum, říká Ross. Ale nazval nové pokyny NIST "nejširší, nejbohatší a nejhlubší soubor kontrol … kdekoli na světě." Ministerstvo obrany USA a zpravodajské agentury spolupracovaly s NIST na tomto souboru pokynů, řekl.

Pokud by NIST sledovala doporučení CSI, doporučila by každá bezpečnostní kontrola v pokynech pro každý federální informační systém, říká Ross. "Je zřejmé, že by to bylo nesmírně drahé a bylo by to přehnané mnoho systémů, které máme," řekl. "Každá kontrola, kterou dáte do systému … bude stát peněz agentury."

Navíc pokyny se budou dále vyvíjet, říká Ross. Zatímco Úřad pro správu a rozpočet Bílého domu sestaví časovou osu pro agentury, aby splnily tuto třetí verzi NIST pokynů pro kybernetickou bezpečnost, NIST bude i nadále upřesňovat doporučení, uvedl.

Housman uznal, že rozpočet je pro federální agentury velkým problémem. A přesto, že řekl, že doporučení NIST nejsou dost daleko, nazval je "velkým krokem vpřed" z minulých snah. Americký prezident Barack Obama však v prosincovém projevu vyzval k ukončení "Je to jakýsi status quo plus, který nazývám hack a patch," řekl Housman. "Stali jsme se spokojeni. Přijmeme skutečnost, že tam budou hackery, budou úspěšné a budeme je muset opravit."