New Gov't Cyber ​​Guidelines Lacking، Group يقول

مجموعة جديدة من المبادئ التوجيهية للأمن السيبراني ، التي أصدرها المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) ، تقصر عن الحماية اللازمة للأنظمة الحكومية ، وقال تحليل الأمن السيبراني ومجموعة المناصرة.

المبادئ التوجيهية NIST وبالنسبة إلى البيانات غير المصنفة في الوكالات المدنية ، والتي تم إصدارها في 31 تموز (يوليو) ، تترك العديد من أنظمة تكنولوجيا المعلومات الفيدرالية من بين أعلى المتطلبات الأمنية ، وفقاً لمعهد سايبر سيكي. وقالت المجموعة في نقد نُشر هذا الأسبوع: "الأنظمة الفيدرالية المصنفة كأهداف ذات أهداف منخفضة أو متوسطة التأثير ، ستكون لها ضوابط أمنية غير مصممة للوقوف أمام قراصنة ماهرين وممولين بشكل جيد." "القاعدة ليست استثناء" ، قالت CSI في تقريرها. "يزاد المتخصصون في تكنولوجيا المعلومات في القطاعين الفيدرالي والخاص بشكل متزايد أن الهجمات التي يواجهونها على أساس منتظم هي من الجهات الفاعلة ذات المهارات العالية والدوافع العالية والمتمتعة بموارد جيدة - والتي تتراوح بين الغوغاء الروس والجيش الصيني ومرتكبي الجرائم الإلكترونية المنظمة".

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

المشكلة تكمن في أن العديد من الأنظمة الفيدرالية الحساسة قد تقع ضمن فئة التأثير المعتدل ، بما في ذلك الأنظمة التي تحتوي على معلومات ذات صلة بالتحقيقات "البالغة الحساسية" في القانون الفيدرالي وقال روب هووسمان ، المدير التنفيذي بالنيابة في شركة CSI: كما يبدو أن البيانات الصحية الإلكترونية تقع ضمن فئة التأثير المعتدل.

"إذا كان التحقيق في مصلحة الضرائب الداخلية [IRDR] ليس نوعًا من الأشياء التي ترغب في الحصول على درجة أعلى من الحماية ضد وقال هوسمان الذي عمل كمساعد مخرج للتخطيط الاستراتيجي في مكتب قيصر البيت الابيض للادوية وهو يدرس دروسا في مكافحة الارهاب والامن الداخلي بجامعة ميريلاند "مهاجم متطور لا أعرف ما هو." "في جميع المحادثات التي أجريتها مع كل من مديري المعلومات في القطاعين العام والخاص ، و CISOs وغيرهم ، ما يقولونه أنهم يرون … المتسللين المتطورة."

تتطلب توصيات NIST أنظمة ذات تأثير منخفض ومتوسط وقال تقرير منظمة التضامن المسيحي الدولية (CSI) ، وهو عالم بارز في علوم الكومبيوتر وباحث أمن المعلومات في المعهد القومي للمعايير والتكنولوجيا ، إن انتقادات منظمة التضامن المسيحي الدولية تستند إلى أنه لا يمكن ضمانه إلا في مواجهة التهديد غير المبتكر ، أو "قرصنة المراهق المضحكة في القبو". على سوء فهم إرشادات NIST. أولاً وقبل كل شيء ، فإن إرشادات NIST هي معايير دنيا ، ويجب على الوكالات الفردية القيام بتقييم المخاطر وتخصيص المبادئ التوجيهية لاحتياجاتها ، على حد قوله.

الوكالات الفدرالية مطالبة بتصنيف أنظمتها الخاصة ، والنظم عالية التأثير هي تلك التي لديها "تأثير كارثي شديد" إذا فقدت ، وقال روس. وقال "هذه الخطوط الأساسية [في توصيات NIST] هي الحد الأدنى لنقاط البدء بالنسبة للوكالات". "لا يجب أن يكون هناك ضمنيًا بأن هذه مجموعة كافية من الضوابط ضد بعض أنواع الهجمات التي نشهدها."

بعض الوكالات التي يستهدفها الخصوم الأمريكيون سيتعين عليها اتخاذ خطوات إضافية لحماية أنظمة الكمبيوتر الخاصة بهم ، وقال روس إن هناك بعض المخاطرة بأن تعمل الوكالات فقط إلى الحد الأدنى ، على حد قول روس. لكنه وصف إرشادات نيست الجديدة بأنها "الأوسع والأغنى والأعمق في مجموعة الضوابط … في أي مكان في العالم". وقال روس إن وزارة الدفاع الأمريكية ووكالات الاستخبارات عملت مع المعهد القومي للمعايير والتقنية على هذه المجموعة من الإرشادات.

إذا كان المعهد القومي للمعايير والتقنية سيتّبع توصيات منظمة التضامن المسيحي الدولية ، فسيوصى بكل رقابة أمنية في المبادئ التوجيهية لكل نظام معلومات اتحادي. وقال "من الواضح أن هذا سيكون مكلفا للغاية ، وسيكون مبالغة بالنسبة للعديد من الأنظمة التي لدينا". وقال روس "كل تحكم تضعه في نظام … سيكلف أموال الوكالة."

بالإضافة إلى ذلك ، ستستمر المبادئ التوجيهية في التطور. في حين أن مكتب الإدارة والميزانية بالبيت الأبيض سيضع الجدول الزمني للوكالات للامتثال لهذه الصيغة الثالثة من المبادئ التوجيهية للأمن السيبراني للمعهد ، فإن المعهد الوطني للمعايير والتكنولوجيا سيستمر في صقل التوصيات ، على سبيل المثال.

اعترف Housman أن الميزانية هي قضية كبيرة للوكالات الفيدرالية. وعلى الرغم من أنه قال إن توصيات المعهد القومي للمعايير والتقنية لا تذهب إلى حد كاف ، فقد وصفها بأنها "خطوة كبيرة إلى الأمام" من الجهود السابقة.

ومع ذلك ، دعا الرئيس الأمريكي باراك أوباما ، في خطاب ألقاه في أواخر مايو ، إلى إنهاء الوضع الراهن للأمن السيبراني ، وأضاف Housman.

"هذا هو نوع من الوضع الراهن زائد ، والتي أسميها الإختراق والتصحيح" ، قال. "لقد أصبحنا متضايقين. نحن نقبل حقيقة أنه سيكون هناك اختراقات ، وستكون ناجحة ، وسنقوم بتصحيحها."