Uudet Gov't Cyber-ohjeet puuttuvat, ryhmä sanoo

Yhdysvaltain kansallisen standardisointi- ja teknologiainstituutin (NIST) julkaisemaa uutta tietoverkkorikollisuutta koskevaa ohjesääntöä ei pidä hallintorakenteiden tarpeellisesta suojasta, tietoturva-analyysi ja asianajoyritys ovat sitä mieltä.

NIST-ohjeet siviilivirastojen luokittelemattomista tiedoista, jotka julkaistiin 31. heinäkuuta, jättävät monet liittovaltion tietojärjestelmät korkeimmista turvallisuusvaatimuksista, Cyber ​​Secure Institute totesi. Liittoutuneet järjestelmät, jotka luokiteltiin matala- tai keskitasolla vaikuttaviksi tavoitteiksi, eivät olleet turvallisuustarkastuksia, joiden tarkoituksena on vastata ammattitaitoisiin ja hyvin rahoitettuihin hakkereihin, ryhmä totesi tällä viikolla julkaisemassaan kritiikissä.

"Ns. High-end-uhkat ovat nyt normi ei ole poikkeus ", CSI totesi mietinnössään. "Liittovaltion ja yksityisen sektorin tietotekniikan ammattilaiset raportoivat yhä useammin, että hyökkäykset, joita he kohtaavat säännöllisesti, ovat korkeasti koulutetuista, hyvin motivoituneista ja hyvin varatuista toimijoista - aina venäläiseltä väkivaltaiselta kiinalaiselta armeijalta järjestäytyneille tietoverkkorikollisille."

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Ongelmana on, että monet herkät liittovaltion järjestelmät kuuluvat maltilliseen vaikutustyyppiin, mukaan lukien järjestelmät, jotka sisältävät tietoja "erittäin arkaluonteisista" täytäntöönpanovirastot, sanoi Rob Housman, joka toimii CSI: n toimitusjohtajana.

"Jos IRS: n [Internal Revenue Service] -tutkimus ei ole sellaista asiaa, että haluat suojata suurempaa suojaa hienostunut hyökkääjä, en tiedä, mikä on ", sanoi Housman, joka toimi Apulaisjohtajana strategisessa suunnittelussa Valkoisen talon huumevalvojan toimistossa ja joka opettaa terrorismin vastaisia ​​ja kotimaan turvallisuusluokkia Marylandin yliopistossa. "Lähes kaikissa keskusteluissani sekä julkisen että yksityisen sektorin tietohallintojohtajien, CISO: n ja muiden kanssa, mitä he kertovat näkevänsä, ovat … kehittyneet hakkerit."

NIST: n suositukset edellyttävät matala- ja keskitasoisia vaikutuksia turvallinen vain epäedullinen uhka, tai "sananlaskainen teini-ikäinen hakkeri hakkerointi pois kellarista", CSI: n raportti sanoi.

Mutta Ron Ross, NIST: n vanhempi tietotekniikan tutkija ja tietoturva-tutkija, sanoi CSI: n kritiikkiä näyttävät perustuvan NIST-ohjeiden väärinkäsityksestä. Ensinnäkin NIST-ohjeet ovat vähimmäisvaatimuksia, ja yksittäisten virastojen on tehtävä riskinarviointi ja räätälöidä suuntaviivat niiden tarpeisiin.

Liittovaltion virastojen on luokiteltava omat järjestelmät, joilla on "vakava, katastrofaalinen vaikutus", jos ne ovat kadonneet, Ross sanoi. "Ne perusviivat [NIST: n suosituksissa] ovat vähimmäislähtökohtia virastoille", hän sanoi. "Vaikutus ei saisi olla olemassa, sillä se on riittävä valvontatoiminta tiettyihin hyökkäyksiin, joita näemme."

Jotkin Yhdysvaltain vastustajien kohteena olevat virastot joutuvat toteuttamaan lisätoimia tietokonejärjestelmiensä suojaamiseksi, Ross sanoi.

On olemassa riski siitä, että virastot toimivat vain minimaalisesti, Ross sanoi. Mutta hän kutsui uudet NIST-ohjeet "laajimmaksi, rikkaimmaksi ja syvimmäksi valvontalomakkeeksi … missä tahansa maailmassa". Yhdysvaltain puolustusministeriö ja tiedusteluviranomaiset työskentelivät NIST: n kanssa tämän ohjeiston kanssa, hän sanoi.

Jos NIST noudattaisi CSI: n suosituksia, jokaisen ohjeiden turvallisuusvalvonta olisi suositeltavaa jokaiselle liittovaltion tietojärjestelmälle, Ross sanoi. "Selvästi se olisi erittäin kallista, ja se olisi ylikuormitusta monille järjestelmille, joita meillä on", hän sanoi. "Jokainen valvonta, jonka laitat järjestelmään … maksaa viraston rahaa."

Lisäksi suuntaviivat kehittyvät edelleen, Ross sanoi. Vaikka Valkoisen talon hallinto- ja taloushallitus perustaa aikataulun virastoille noudattamaan tämän kolmannen version NIST-verkkoturvallisuusohjeistusta, NIST jatkaa suositusten parantamista.

Housman myönsi, että talousarvio on suuri asia liittovaltion virastoille. Ja vaikka hän sanoi, että NIST: n suositukset eivät mene tarpeeksi pitkälle, hän kutsui heitä "suuriksi edistysaskelein" aiemmista ponnisteluista.

Yhdysvaltain presidentti Barack Obama pyysi toukokuun lopulla puheenvuoron

"Tämä on eräänlainen status-quo-plus, jota kutsun hakata ja laastari", hän sanoi. "Meistä on tullut tyytyviä. Hyväksymme sen, että on olemassa hakkereita, ja he menestyvät, ja meidän täytyy korjata ne."