Отсутствие новых рекомендаций по кибер-гигантам, группа говорит

Новый набор руководств по кибербезопасности, выпущенный Национальным институтом стандартов и технологий США (NIST), не соответствует защите, необходимой для государственных систем, сказал аналитик по кибербезопасности и группа защиты интересов.

Руководства NIST для неклассифицированных данных в гражданских агентствах, выпущенных 31 июля, оставить многие федеральные ИТ-системы из самых высоких требований безопасности, сказал Cyber ​​Secure Institute. Федеральные системы, оцениваемые как объекты с низким или средним уровнем воздействия, будут иметь элементы управления безопасностью, не предназначенные для противостояния квалифицированным и хорошо финансируемым хакерам, говорится в критике, опубликованной на этой неделе.

«Так называемые элитные угрозы теперь норма не исключение », - говорится в отчете CSI. «ИТ-специалисты из федерального и частного секторов все чаще сообщают, что те атаки, с которыми они сталкиваются на регулярной основе, - это высококвалифицированные, высокомотивированные и обеспеченные ресурсами субъекты - от российской толпы, до китайских военных, до организованных кибер-преступников».

[Подробнее: Как удалить вредоносное ПО с вашего ПК с Windows]

Проблема заключается в том, что многие чувствительные федеральные системы попадают в категорию умеренного воздействия, включая системы, содержащие информацию, связанную с «чрезвычайно чувствительными» расследованиями в федеральном законе сказал Роб Хаушман, исполняющий обязанности исполнительного директора CSI. По его словам, электронные данные о состоянии здоровья также попадают в категорию умеренного воздействия.

«Если расследование IRS [Internal Revenue Service] не является тем, что вы хотите иметь более высокую степень защиты от сложный нападающий, я не знаю, что это такое », - сказал Хаусман, который был помощником директора по стратегическому планированию в канцелярии Белого дома по наркотикам и преподавал курсы по борьбе с терроризмом и национальной безопасности в Университете штата Мэриленд. «Почти во всех моих беседах с ИТ-директорами государственного и частного секторов, CISO и другими, то, что они говорят, что они видят, - это … сложные хакеры».

Рекомендации NIST требуют систем с низким и средним уровнем воздействия защищенный только от несложной угрозы, или «хакер-сумасшедший сумасшедший хакер, взламывающий в подвале», говорится в отчете CSI.

Но Рон Росс, старший научный сотрудник по информационным технологиям и исследователю информационной безопасности NIST, сказал, что критика CSI, по-видимому, основана при непонимании руководящих принципов NIST. Во-первых, руководящие принципы NIST являются минимальными стандартами, и отдельные агентства должны оценивать риски и адаптировать их к своим потребностям, сказал он.

Федеральные агентства должны классифицировать свои собственные системы, а системы с высоким уровнем воздействия будут такими которые имеют «тяжелый, катастрофический эффект», если они потеряны, сказал Росс. «Эти исходные условия [в рекомендациях NIST] являются минимальными отправными точками для агентств», - сказал он. «Не следует подразумевать, что это достаточный набор средств контроля над некоторыми типами атак, которые мы видим».

Некоторым агентствам, на которые нацелены американские противники, придется предпринять дополнительные шаги для защиты своих компьютерных систем, Росс сказал.

Существует определенный риск того, что агентства работают до минимума, сказал Росс. Но он назвал новые руководящие принципы NIST «самым широким, самым богатым и самым глубоким набором средств управления … в любой точке мира». Министерство обороны США и разведывательные агентства работали с NIST по этому набору руководящих принципов, сказал он.

Если NIST будет следовать рекомендациям CSI, каждый контроль безопасности в руководящих принципах будет рекомендован для каждой федеральной информационной системы, сказал Росс. «Понятно, что это было бы очень дорого, и это было бы излишним для многих систем, которые у нас есть», - сказал он. «Каждый элемент управления, который вы ввели в систему … будет стоить агентским деньгам».

Кроме того, рекомендации будут продолжать развиваться, сказал Росс. В то время как Управление по управлению и бюджету Белого дома установит сроки, в течение которых агентства будут соблюдать эту третью версию руководящих принципов кибербезопасности NIST, NIST продолжит уточнять рекомендации, сказал он.

Хаусман признал, что бюджет является большой проблемой для федеральных агентств. И хотя он сказал, что рекомендации NIST не идут достаточно далеко, он назвал их «большим шагом вперед» из прошлых усилий.

Однако президент США Барак Обама в конце майской речи призвал положить конец статус-кво кибербезопасности, добавил Хаусман.

«Это своего рода статус-кво плюс, который я называю хаком и патчем», - сказал он. «Мы стали самодовольными, мы согласны с тем, что будут хаки, и они будут успешными, и нам придется их исправлять».