Garis Panduan Cyber ​​Baru Kurang, Kata Kumpulan

Satu garis panduan keselamatan siber yang baru, yang dikeluarkan oleh Institut Teknologi dan Teknologi Kebangsaan (NIST) Kebangsaan, jatuh pendek daripada perlindungan yang diperlukan untuk sistem kerajaan, analisis cybersecurity dan kumpulan advokasi berkata

Garis panduan NIST untuk data yang tidak diklasifikasikan di agensi awam, yang dikeluarkan pada 31 Julai, meninggalkan banyak sistem IT persekutuan daripada keperluan keselamatan tertinggi, kata Cyber ​​Secure Institute. Sistem-sistem Persekutuan yang dinilai sebagai sasaran rendah atau sederhana akan mempunyai kawalan keselamatan yang tidak direka untuk menahan penggodam yang dibiayai dan dibiayai dengan baik, kata kumpulan itu dalam kritikan yang diterbitkan minggu ini.

norma bukan pengecualian, "kata CSI dalam laporannya. "Profesional IT sektor swasta dan swasta semakin melaporkan bahawa serangan yang mereka hadapi secara berkala adalah dari pelaku yang sangat mahir, sangat bermotivasi dan baik sumber daya - dari massa Rusia, kepada tentera Cina, kepada penjenayah siber yang terancang."

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows anda]

Masalahnya ialah bahawa banyak sistem persekutuan yang sensitif akan jatuh ke dalam kategori kesan sederhana, termasuk sistem yang mengandungi maklumat yang berkaitan dengan penyiasatan "amat sensitif" di undang-undang persekutuan agensi penguatkuasaan, kata Rob Housman, bertindak sebagai pengarah eksekutif di CSI. Data kesihatan elektronik juga akan kelihatan jatuh ke dalam kategori berkadar sederhana, katanya.

"Jika siasatan [Internal Revenue Service] IRS bukan jenis perkara yang anda ingin mempunyai tahap perlindungan yang lebih tinggi terhadap penyerang yang canggih, saya tidak tahu apa, "kata Housman, yang bertugas sebagai penolong pengarah perancangan strategik di Office of White House Drug Czar dan yang mengajar kelas anti-keganasan dan keamanan tanah air di University of Maryland. "Dalam hampir semua perbualan saya dengan kedua-dua CIO awam, dan sektor swasta, CISO dan lain-lain, apa yang mereka nyatakan yang mereka lihat adalah … penggodam yang canggih."

Cadangan NIST memerlukan sistem rendah dan sederhana selamat daripada ancaman yang tidak canggih, atau "peretas kesetiaan remaja yang pepatah yang menghancurkan di ruangan bawah tanah," kata laporan CSI.

Tetapi Ron Ross, seorang saintis komputer kanan dan penyelidik keselamatan maklumat di NIST, berkata kritikan CSI nampaknya berasaskan atas salah faham garis panduan NIST. Pertama sekali, garis panduan NIST adalah piawaian minimum, dan agensi-agensi individu mesti melakukan penilaian risiko dan menyesuaikan garis panduan keperluan mereka, katanya.

Agensi-agensi Persekutuan dikehendaki mengkategorikan sistem mereka sendiri, dan sistem berimpak tinggi adalah yang mempunyai "kesan yang teruk, bencana" jika mereka hilang, kata Ross. "Barisan tersebut [dalam cadangan NIST] adalah mata permulaan minimum untuk agensi," katanya. "Implikasinya tidak sepatutnya di sana bahawa itu adalah satu set kawalan yang mencukupi terhadap beberapa jenis serangan yang kita lihat."

Sesetengah agensi yang disasarkan oleh musuh-musuh Amerika Syarikat perlu mengambil langkah tambahan untuk melindungi sistem komputer mereka, Ross berkata.

Terdapat beberapa risiko bahawa agensi hanya bekerja dengan minimum, kata Ross. Tetapi dia memanggil garis panduan NIST yang baru "yang paling luas, terkaya, dan set kawalan yang paling dalam … di mana sahaja di dunia." Agensi Pertahanan dan Agensi Jabatan A.S. bekerja dengan NIST pada garis panduan ini, katanya. Jika NIST mengikuti saran CSI, setiap kawalan keselamatan dalam garis panduan akan disyorkan untuk setiap sistem maklumat persekutuan, kata Ross. "Jelas sekali, ia akan menjadi sangat mahal, dan ia akan menjadi terlalu banyak bagi kebanyakan sistem yang kita ada," katanya. "Setiap kawalan yang anda masukkan ke dalam sistem … akan menanggung kos agensi."

Selain itu, garis panduan akan terus berkembang, kata Ross. Sementara Pejabat Pengurusan dan Bajet Gedung Putih akan menetapkan garis masa bagi agensi untuk mematuhi garis panduan keselamatan siber NIST versi ketiga ini, NIST akan terus memperbaiki cadangannya, katanya.

Housman mengakui bajet itu adalah isu besar bagi agensi persekutuan. Walaupun dia mengatakan cadangan NIST tidak cukup jauh, dia memanggil mereka "langkah besar ke hadapan" dari usaha yang lalu.

Bagaimanapun, Presiden Amerika Syarikat, Barack Obama, dalam ucapan akhir bulan Mei, menuntut pengakhiran status cybersecurity quo, kata Housman.

"Ini adalah sejenis status quo ditambah, yang saya panggil peretasan dan patch," katanya. "Kami telah berpuas hati, kami menerima hakikat bahawa akan ada hacks, dan mereka akan berjaya, dan kami perlu memecat mereka."