Nye retningslinier for cyberkørsel, manglende gruppe

Et nyt sæt retningslinjer for cybersikkerhed, udgivet af US National Institute of Standards and Technology (NIST), mangler den beskyttelse, der er nødvendig for regeringssystemer, en cybersecurity analyse og advokatgruppe sagde. for ikke-klassificerede data hos civile agenturer, udgivet 31. juli, forlade mange føderale it-systemer ud af de højeste sikkerhedskrav, sagde Cyber ​​Secure Institute. Føderale systemer, der er klassificeret som lav- eller moderat-effektmål, ville have sikkerhedskontrol, der ikke var designet til at stå op for dygtige og velfinansierede hackere, sagde gruppen i en kritik, der blev offentliggjort i denne uge.

"Såkaldte high-end trusler er nu normen ikke undtagelsen, "sagde CSI i sin rapport. "IT-fagfolk i det føderale og private sektor rapporterer i stigende grad, at de angreb, de konfronterer med jævne mellemrum, er fra højt kvalificerede, højt motiverede og velbesøgte aktører - lige fra den russiske mob, til det kinesiske militær, til organiserede cyberkriminelle."

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Problemet er, at mange følsomme føderale systemer falder ind i kategorien med moderat indvirkning, herunder systemer, der indeholder oplysninger vedrørende "ekstremt følsomme" undersøgelser i forbundslovgivningen håndhævende myndigheder, sagde Rob Housman, fungerende administrerende direktør hos CSI. Elektroniske sundhedsdata ser også ud til at falde ind i kategorien med moderat indvirkning, sagde han.

"Hvis en IRS-undersøgelse [Internal Revenue Service] ikke er den slags ting, du vil have en højere grad af beskyttelse mod en sofistikeret angriber, ved jeg ikke hvad der er ", sagde Housman, som fungerede som assisterende direktør for strategisk planlægning i Det Hvide Hus Drug Czar's Office og som underviser i terrorbekæmpelse og hjemlandssikkerhedsklasser ved University of Maryland. "I næsten alle mine samtaler med både offentlige og private sektor-CIO'er, CISO'er og andre, hvad de fortæller, at de ser, er … sofistikerede hackere."

NIST-anbefalingerne kræver, at systemer med lavt og moderat effekt skal være sikres kun mod usofistikeret trussel, eller "den uhyggelige teenager, der snyder hacking i kælderen," siger CSI-rapporten.

Men Ron Ross, seniorforsker og informationssikkerhedsforsker hos NIST, sagde CSIs kritik ser ud til at være baseret på en misforståelse af NIST retningslinjerne. Først og fremmest er NIST-retningslinjerne minimumsstandarder, og de enkelte agenturer skal foretage risikovurdering og skræddersy retningslinjerne til deres behov, sagde han.

Føderale agenturer skal kategorisere deres egne systemer, og systemer med høj effekt vil være dem der har en "alvorlig katastrofal effekt", hvis de går tabt, siger Ross. "Disse baselinier [i NIST-henstillingerne] er minimale udgangspunkt for agenturer," sagde han. "Implikationen bør ikke være der, at der er et tilstrækkeligt sæt af kontrol over nogle af de typer angreb, vi ser."

Nogle agenturer, der er målrettet mod amerikanske modstandere, skal tage yderligere skridt for at beskytte deres computersystemer, Ross sagde.

Der er risiko for, at agenturer kun arbejder til det mindste, sagde Ross. Men han kaldte de nye NIST-retningslinjer "det bredeste, de rigeste og det dybeste sæt kontroller … overalt i verden." De amerikanske forsvars- og efterretningsagenturer arbejdede sammen med NIST om dette sæt retningslinjer, sagde han.

Hvis NIST skulle følge CSI's anbefalinger, ville enhver sikkerhedskontrol i retningslinjerne anbefales for hvert føderalt informationssystem, sagde Ross. "Det ville helt klart være ekstremt dyrt, og det ville være overkill for mange af de systemer, vi har," sagde han. "Hver kontrol du sætter ind i et system … vil koste kontoret penge."

Derudover vil retningslinjerne fortsætte med at udvikle sig, sagde Ross. Mens White House Office of Management og Budget vil oprette tidslinjen for agenturer for at overholde denne tredje version af retningslinjerne for NIST-cybersikkerhed, vil NIST fortsætte med at forfine de anbefalinger, han sagde.

Housman erkendte, at budgettet er et stort problem for føderale agenturer. Og selvom han sagde, at NIST-henstillingerne ikke gik langt nok, kaldte han dem et "stort skridt fremad" fra tidligere bestræbelser. Men USAs præsident Barack Obama opfordrede i slutningen af ​​maj til at afslutte cybersecurity status quo, tilføjede Housman.

"Dette er en slags status-quo plus, som jeg kalder hack og patch," sagde han. "Vi er blevet selvtilfredse. Vi accepterer det faktum, at der bliver hackere, og de vil blive succesfulde, og vi bliver nødt til at patchere dem."