Yeni Gov't Cyber ​​İlkeleri Lacking, Group Diyor

ABD Ulusal Standartlar ve Teknoloji Enstitüsü'nün (NIST) yayınladığı yeni bir siber güvenlik yönergesi, hükümet sistemleri için gereken korumanın yetersiz kaldığını, bir siber güvenlik analizi ve savunma grubu olduğunu söyledi.

NIST yönergeleri. Cyber ​​Secure Institute, 31 Temmuz 'da yayımlanan sivil kurumlardaki sınıflandırılmamış veriler için, yüksek güvenlik gereksinimlerine sahip birçok federal IT sistemini bıraktığını söyledi. Düşük ya da orta derecede etkili hedefler olarak derecelendirilen federal sistemler, yetenekli ve iyi finanse edilen korsanlara dayanacak şekilde tasarlanmayan güvenlik kontrollerine sahip olacaklardı, grup bu hafta yayınlanan bir eleştiride şöyle dedi:

"Sözde üst düzey tehditler şimdi norm, istisna değil, "CSI kendi raporunda söyledi. "Federal ve özel sektör BT uzmanları, düzenli olarak karşı karşıya kaldıkları saldırıların, Rus mafyasından Çin ordusuna, organize siber suçlulara kadar çok yetenekli, yüksek motivasyona sahip ve iyi kaynaklı aktörlerden kaynaklandığını bildiriyorlar."

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Sorun, birçok hassas federal sistemin, federal yasadaki "son derece hassas" soruşturmalar ile ilgili bilgileri içeren sistemler de dahil olmak üzere, ılımlı etki kategorisine girmesidir. icra daireleri, Rob Housman, CSI'da yönetici direktör olarak görev yaptı. Elektronik sağlık verileri de ılımlı etki kategorisine girecek gibi görünüyordu.

"Eğer bir IRS [Dahili Gelir Hizmeti] soruşturması, bir aleyhine daha yüksek bir koruma derecesine sahip olmak istediğiniz bir şey değilse sofistike bir saldırgan, ne olduğunu bilmiyorum, "dedi Beyaz Saray İlaç Dairesi 'nde stratejik planlamada yönetmen yardımcısı olarak çalışan ve Maryland Üniversitesi'nde terörle mücadele ve anavatan güvenliği dersleri veren Housman. "Hem kamu sektörü hem de özel sektör CIO'ları, CISO'lar ve diğerleriyle yaptığım görüşmelerde, gördüklerini söyledikleri şey… sofistike korsanlarıdır."

NIST tavsiyeleri, düşük ve orta derecede etkili sistemlerin olmasını gerektiriyor. CSI'nin raporunda, “sadece kötü olmayan tehdide karşı korunmak, ya da“ bodrumda hacker gibi duran genç bir hacker korsanı ”dedi.

NIST'de kıdemli bir bilgisayar bilimcisi ve bilgi güvenliği araştırmacısı olan Ron Ross, CSI eleştirilerinin NIST yönergelerinin yanlış anlaşılmasında. Her şeyden önce, NIST yönergeleri asgari standartlardır ve bireysel kurumlar risk değerlendirmesi yapmalı ve yönergeleri kendi ihtiyaçlarına göre uyarlamalıdır.

Federal kurumların kendi sistemlerini sınıflandırması gerekiyor ve yüksek etkili sistemler Ross, "şiddetli, felaket etkisi" olan kayıplar varsa, dedi. "Bu referanslar [NIST tavsiyelerinde] ajanslar için minimum başlangıç ​​noktalarıdır" dedi. "Bunun anlamı, bizim gördüğümüz bazı saldırı türlerine karşı yeterli bir kontrol seti olması gerekmemesi gerekiyor."

ABD'li rakiplerin hedef aldığı bazı ajanslar bilgisayar sistemlerini korumak için ek adımlar atmak zorunda kalacaklar, Ross dedi ki.

Ajansların sadece asgari düzeyde çalışması riski var, dedi Ross. Fakat yeni NIST yönergelerini “dünyanın en geniş, en zengin ve en derin kontrol seti…” olarak adlandırdı. ABD Savunma Bakanlığı ve istihbarat teşkilatları, bu kılavuzlar dizisinde NIST ile çalıştı, dedi.

Eğer NIST, CSI'ın tavsiyelerini takip etseydi, kurallardaki her güvenlik kontrolü her federal bilgi sistemi için tavsiye edilirdi, dedi. “Açıkçası, bu son derece pahalı olurdu ve sahip olduğumuz sistemlerin çoğu için aşırı olacak” dedi. “Bir sisteme koyduğunuz her kontrol… ajans parasına malolacak.”

Ayrıca, kılavuzlar gelişmeye devam edecek, dedi Ross. Beyaz Saray Yönetim ve Bütçe Dairesi, NIST siber güvenlik ilkelerinin bu üçüncü versiyonuna uymak için ajansların zaman çizelgesini kurarken, NIST tavsiyeleri düzeltmeye devam edeceklerini söyledi.

Housman, bütçenin federal kurumlar için büyük bir sorun olduğunu kabul etti. Ve NIST tavsiyelerinin yeterince uzağa gitmediğini söylese de, onlara geçmişteki çabalardan "ileriye doğru büyük bir adım" diyorlardı.

Ancak, Mayıs ayı sonlarında ABD Başkanı Barack Obama, cybersecurity stat quo, Housman ekledi.

"Bu, bir hack ve yama adı verilen bir durum-quo artı," dedi. "Şikâyetçiydik. Hacklerin olacağı gerçeğini kabul ediyoruz ve başarılı olacaklar, ve biz de bunları düzeltmek zorundayız."