Nowe wskazówki Cybernetyczne Brak, Grupa Mówi

Nowy zestaw wytycznych dotyczących bezpieczeństwa cybernetycznego, wydany przez Amerykański Narodowy Instytut Standardów i Technologii (NIST), nie spełnia wymogów ochrony dla systemów rządowych, analizy bezpieczeństwa cybernetycznego i grupy rzeczników.

Wytyczne NIST w przypadku niesklasyfikowanych danych w agencjach cywilnych, wydanych 31 lipca, pozostawić wiele federalnych systemów IT z najwyższych wymagań bezpieczeństwa, powiedział Cyber-Secure Institute. Federalne systemy oceniane jako cele o niskim lub średnim wpływie miałyby kontrolę bezpieczeństwa nie zaprojektowaną tak, by przeciwstawić się wykwalifikowanym i dobrze finansowanym hakerom, powiedziała w krytyce opublikowanej w tym tygodniu.

"Tak zwane zaawansowane zagrożenia są teraz norma, a nie wyjątek "- powiedział CSI w swoim raporcie. "Specjaliści IT z sektora federalnego i prywatnego coraz częściej donoszą, że ataki, z którymi regularnie się konfrontują, pochodzą od wysoce wykwalifikowanych, zmotywowanych i dysponujących odpowiednimi zasobami aktorów - od rosyjskiego motłochu, przez chińską armię wojskową, po zorganizowanych cyber-przestępców".

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Problem polega na tym, że wiele wrażliwych systemów federalnych należałoby do kategorii umiarkowanego oddziaływania, w tym do systemów zawierających informacje związane z "niezwykle delikatnymi" dochodzeniami w prawie federalnym agencje ścigania, powiedział Rob Housman, pełniący obowiązki dyrektora wykonawczego w CSI. Wydaje się, że elektroniczne dane na temat zdrowia również należą do kategorii umiarkowanego wpływu.

"Jeśli dochodzenie w sprawie IRS [Internal Revenue Service] nie jest czymś, co chcesz mieć wyższy poziom ochrony przed wyrafinowany napastnik, nie wiem, co to jest "- powiedział Housman, który był asystentem dyrektora ds. planowania strategicznego w Białym Domu Drug Car Office i który uczy walki z terroryzmem i bezpieczeństwa na uniwersytecie w University of Maryland. "W niemal wszystkich moich rozmowach z CIO i CIO, zarówno z sektora publicznego, jak i prywatnego, to, co mówią, to … wyrafinowani hakerzy."

Zalecenia NIST wymagają systemów o niskim i średnim wpływie zabezpieczyć się tylko przed nieskomplikowanym zagrożeniem lub "przysłowiowym hackerem próżności nastolatków hakującym w piwnicy" - powiedział raport CSI.

Ale Ron Ross, starszy informatyk i badacz bezpieczeństwa informacji w NIST, powiedział, że krytyka CSI wydaje się być oparta w sprawie niezrozumienia wytycznych NIST. Po pierwsze, wytyczne NIST są minimalnymi standardami, a poszczególne agencje muszą dokonać oceny ryzyka i dostosować wytyczne do swoich potrzeb, powiedział.

Federalne agencje są zobowiązane do kategoryzacji swoich własnych systemów, a systemy o dużym znaczeniu to takie, które mają "poważny, katastrofalny efekt", jeśli zostaną zgubione, powiedział Ross. "Te wartości podstawowe [w zaleceniach NIST] są minimalnymi punktami wyjścia dla agencji" - powiedział. "Implikacja nie powinna polegać na tym, że jest to wystarczający zestaw kontroli przeciwko niektórym rodzajom ataków, które obserwujemy."

Niektóre agencje będące celem ataków ze strony amerykańskich przeciwników będą musiały podjąć dodatkowe kroki w celu ochrony swoich systemów komputerowych, Ross powiedział:

Istnieje pewne ryzyko, że agencje działają do minimum, powiedział Ross. Ale nazwał nowe wytyczne NIST "najszerszym, najbogatszym i najgłębszym zestawem kontroli … w dowolnym miejscu na świecie." Departament Obrony i agencje wywiadowcze USA pracowały z NIST nad tym zestawem wytycznych, powiedział.

Jeśli NIST będzie stosował się do zaleceń CSI, każda kontrola bezpieczeństwa w wytycznych będzie zalecana dla każdego federalnego systemu informacji, powiedział Ross. "Oczywiście, byłoby to niezwykle kosztowne i byłoby to przesadą dla wielu systemów, które mamy", powiedział. "Każda kontrola, jaką wpiszesz w system … będzie kosztować pieniądze agencji".

Ponadto, wytyczne będą nadal ewoluować, powiedział Ross. Podczas gdy Biuro Zarządzania i Budżetu Białego Domu ustanowi termin, w którym agencje będą przestrzegać trzeciej wersji wytycznych dotyczących bezpieczeństwa cybernetycznego NIST, NIST będzie nadal precyzować zalecenia, powiedział.

Housman przyznał, że budżet jest poważnym problemem dla agencji federalnych. I chociaż powiedział, że zalecenia NIST nie idą wystarczająco daleko, nazwał je "wielkim krokiem naprzód" w wyniku przeszłych wysiłków.

Jednak prezydent USA Barack Obama w majowym przemówieniu wezwał do zakończenia Stan zachowania bezpieczeństwa cybernetycznego, dodał Housman.

"To coś w rodzaju status-quo plus, które nazywam hack i patch" - powiedział. "Jesteśmy zadowoleni, akceptujemy fakt, że będą hacki i odniosą sukces, a my będziemy musieli je załatać".