Tech Events

Smjernice NIST za nerazvrstane podatke u civilnim agencijama objavljenim 31. srpnja, ostavljaju mnoge federalne IT sustave iz najviših sigurnosnih zahtjeva, priopćio je Cyber ​​Secure institut. Savezni sustavi ocijenjeni kao ciljevi s nižim ili umjerenim učinkom bi imali sigurnosne kontrole koji nisu osmišljeni da bi se podvrgavali kvalificiranim i dobro financiranim hakerima, rekla je skupina u kritici objavljenom ovog tjedna.

"Tzv high-end prijetnje sada su norma nije iznimka ", izjavio je CSI u svom izvješću. "Federalni i privatni informatički stručnjaci sve više izvješćuju da se napadi s kojima se suočavaju redovito nalaze iz visokoobrazovanih, visoko motiviranih i dobro raspoloživih sudionika - od ruske mafije do kineske vojske do organiziranih cyber-kriminalaca.

Problem je u tome što će mnogi osjetljivi savezni sustavi spadati u kategoriju umjerene utjecaja, uključujući sustave koji sadrže informacije vezane uz "iznimno osjetljive" istrage na federalnom zakonu agencije za provedbu zakona, izjavio je Rob Housman, izvršni izvršni direktor CSI-ja. Elektronički zdravstveni podaci također bi se pojavili u kategoriji s umjerenim udjelom, rekao je.

"Ako istraga IRS-a [Internal Revenue Service] nije vrsta koju želite imati viši stupanj zaštite od sofisticirani napadač, ne znam što je ", rekao je Housman, koji je služio kao pomoćnik direktora za strateško planiranje u uredu Bijele kuće droga cara i koji predaje nastavu protiv terorizma i domovinske sigurnosti na Sveučilištu Maryland. "U gotovo svim mojim razgovorima s CIO-ovima i javnim i privatnim sektorima, CISO-ima i ostalima, ono što oni kažu da vide je … sofisticirani hakeri." Preporuke NIST zahtijevaju da se sustavi s niskim i umjerenim impulsima siguran samo od nepristupačne prijetnje, ili "prokletni tinejdžer hakerski haker koji se sjeckao u podrumu", izjavio je CSI izvješće.

Ali Ron Ross, viši računalni znanstvenik i istraživač informacijske sigurnosti u NIST-u, rekao je da se CSI-ove kritike zasnivaju na nerazumijevanju smjernica NIST. Prije svega, NIST smjernice su minimalni standardi, a pojedinačne agencije moraju obaviti procjenu rizika i prilagoditi smjernice prema njihovim potrebama.

Savezne agencije moraju kategorizirati vlastite sustave, a sustavi s visokim utjecajem bit će oni koji imaju "tešku, katastrofalnu posljedicu" ako su izgubljeni, rekao je Ross. "Te osnove [u NIST preporukama] su minimalne polazišta za agencije", kazao je. "Implikacija ne bi trebala biti tamo gdje je to dovoljan niz kontrola nad nekim vrstama napada koje vidimo."

Neke agencije koje ciljaju američki protivnici morat će poduzeti dodatne korake kako bi zaštitili svoje računalne sustave, Rekao je Ross.

Postoji rizik da agencije rade samo na minimum, rekao je Ross. Ali on je nazvao nove smjernice NIST-a "najširi, najbogatiji i najdublji niz kontrola … bilo gdje u svijetu". Američki ministar obrane i obavještajne agencije su radile s NIST-om o ovoj skupini smjernica, rekao je on.

Ako NIST prati preporuke CSI-a, svaka sigurnosna kontrola u smjernicama preporučuje se za svaki federalni informacijski sustav, rekao je Ross. "Jasno, to bi bilo izuzetno skupo i bilo bi previše za mnoge sustave koji imamo", rekao je. "Svaka kontrola koju stavite u sustav … će koštati novac agencije."

Osim toga, smjernice će se nastaviti razvijati, rekao je Ross. Iako će Ured za upravljanje i proračun Bijele kuće uspostaviti vremensku liniju agencija za pridržavanje ove treće verzije smjernica za sigurnost cybersecuritya NIST, NIST će nastaviti precizirati preporuke, kazao je.

Housman je priznao da je proračun veliki problem za federalne agencije. I premda je rekao da preporuke NIST ne idu dovoljno daleko, on ih je nazvao "velikim korakom naprijed" iz prošlih napora.

Međutim, američki predsjednik Barack Obama na govoru u svibnju prošle godine pozvao je na kraj ", dodao je Housman." Ovo je svojevrsni status-quo plus, koji zovem hack i patch ", rekao je. "Postali smo samozadovoljavajući, prihvaćamo činjenicu da će biti hackova i oni će biti uspješni i morat ćemo ih zakrpati."