Mga Bagong Alituntunin ng Cyber ​​Cyber ​​Walang Kakailanganin, Sinasabi ng Grupo

Ang isang bagong hanay ng mga alituntunin sa cybersecurity, na inilabas ng US National Institute of Standards and Technology (NIST), ay bumaba sa proteksyon na kinakailangan para sa mga sistema ng pamahalaan, sinabi ng isang cybersecurity analysis at advocacy group. para sa mga hindi naka -classified na data sa mga ahensya ng sibilyan, inilabas Hulyo 31, iniwan ang maraming mga pederal na sistema ng IT sa pinakamataas na pangangailangan sa seguridad, sinabi ng Cyber ​​Secure Institute. Ang mga sistemang pederal na na-rate bilang mababang-o katamtamang mga epekto ay may mga kontrol sa seguridad na hindi idinisenyo upang tumayo sa mga skilled at mahusay na pinondohan na mga hacker, sinabi ng grupo sa isang kritika na inilathala sa linggong ito.

"Kaya tinatawag na high-end na pagbabanta ay ngayon ang pamantayan ay hindi ang pagbubukod, "sinabi ng CSI sa ulat nito. "Ang pederal at pribadong sektor IT propesyonal ay unting ulat na ang mga pag-atake na sila ay nakaharap sa isang regular na batayan ay mula sa mataas na bihasang, mataas na motivated at mahusay na resourced aktor - mula sa Russian nagkakagulong mga tao, sa militar Tsino, upang organisadong cyber-kriminal.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang problema ay ang maraming mga sensitibong pederal na sistema ay mahuhulog sa kategorya ng moderate na epekto, kabilang ang mga system na naglalaman ng impormasyon na may kaugnayan sa "sobrang sensitibo" na pagsisiyasat sa pederal na batas mga ahensya ng pagpapatupad, sinabi ni Rob Housman, kumikilos na executive director sa CSI. Ang elektronikong data ng kalusugan ay lilitaw na mahulog sa kategorya ng katamtamang epekto, sinabi niya.

"Kung ang pagsisiyasat ng isang IRS [Pagsisiyasat sa Internal Revenue] ay hindi ang uri ng bagay na nais mong magkaroon ng mas mataas na antas ng proteksyon laban sa isang sophisticated attacker, hindi ko alam kung ano ang, "sabi ni Housman, na nagsilbing assistant director para sa strategic planning sa White House Drug Czar's Office at nagtuturo ng kontra-terrorism at homeland security classes sa University of Maryland. "Sa halos lahat ng aking pag-uusap na may parehong mga CIO, pampubliko at pribadong sektor na CIO, CISO at iba pa, kung ano ang sinasabi nila na nakikita nila ay … sopistikadong mga hacker."

Ang mga rekomendasyon ng NIST ay nangangailangan ng mga sistema ng mababa at katamtaman na epekto secure ang laban lamang sa walang-pantay na banta, o "ang kilalang teenage vanity hacker na nag-hack sa basement," sabi ng ulat ng CSI.

Ngunit Ron Ross, isang siyentipikong senior computer at tagapagpananaliksik sa seguridad ng impormasyon sa NIST, sa isang hindi pagkakaunawaan ng mga patnubay ng NIST. Una sa lahat, ang mga pamantayan ng NIST ay mga minimum na pamantayan, at ang mga indibidwal na ahensya ay dapat gumawa ng pagtatasa ng panganib at iangkop ang mga alituntunin sa kanilang mga pangangailangan, sinabi niya.

Ang mga ahensyang pederal ay kinakailangang ikategorya ang kanilang sariling mga sistema, at ang mga high-impact system ay ang mga na may isang "matinding, sakuna epekto" kung sila ay nawala, sinabi Ross. "Ang mga baseline na [sa mga rekomendasyon ng NIST] ay pinakamaliit na panimulang punto para sa mga ahensya," sabi niya. "Ang implikasyon ay hindi dapat doon na iyon ay isang sapat na hanay ng mga kontrol laban sa ilan sa mga uri ng mga pag-atake na nakikita natin."

Ang ilang mga ahensya na ini-target ng mga adversary ng US ay magkakaroon ng karagdagang mga hakbang upang protektahan ang kanilang mga sistema ng computer, Sinabi ni Ross.

May ilang panganib na ang mga ahensya ay gumana lamang sa minimum, sinabi ni Ross. Ngunit tinawag niya ang mga bagong patnubay ng NIST "ang pinakamalawak, pinakamayaman, at pinakamalalim na hanay ng mga kontrol … kahit saan sa mundo." Ang US Department of Defense at mga ahensya ng katalinuhan ay nagtrabaho sa NIST sa hanay ng mga alituntunin na ito, sinabi niya.

"Maliwanag, magiging napakamahal ito, at malampasan ito sa maraming mga sistema na mayroon kami," sabi niya. "Ang bawat kontrol na inilagay mo sa isang sistema … ay babayaran ang pera ng ahensiya."

Bilang karagdagan, ang mga alituntunin ay patuloy na magbabago, sinabi ni Ross. Habang itatatag ng Opisina ng Pamamahala at Pamamahala ng White House ang takdang panahon para sa mga ahensya upang sumunod sa ikatlong bersyon ng mga alituntunin sa cybersecurity ng NIST, patuloy na pinapabuti ng NIST ang mga rekomendasyon, sinabi niya.

Sinabi ng Housman na ang badyet ay isang malaking isyu para sa mga ahensya ng pederal. At kahit na sinabi niya na ang mga rekomendasyon ng NIST ay hindi sapat, tinawag niya silang isang "malaking hakbang pasulong" mula sa mga nakaraang pagsisikap.

Gayunpaman, ang US President Barack Obama, sa huling pagsasalita ng Mayo, ay tumawag sa pagtatapos sa ang cybersecurity status quo, Idinagdag ni Housman.

"Ito ay isang uri ng status-quo plus, na tinatawag kong hack at patch," sabi niya. "Kami ay naging kasiya-siya. Tinatanggap namin ang katunayan na magkakaroon ng mga hack, at sila ay magiging matagumpay, at kami ay dapat na patch ang mga ito."