Incident Response | Cyber Security Crash Course
Een nieuwe reeks cyberbeveiligingsrichtlijnen, uitgegeven door het Amerikaanse National Institute of Standards and Technology (NIST), voldoet niet aan de bescherming die nodig is voor overheidssystemen, een cyberbeveiligingsanalyse en belangenbehartigingsgroep zei.
De NIST-richtlijnen voor niet-geclassificeerde gegevens bij civiele instanties, die op 31 juli zijn vrijgegeven, laat veel federale IT-systemen uit van de hoogste beveiligingsvereisten, aldus het Cyber Secure Institute. Federale systemen met een lage of matig-impactdoelstelling zouden beveiligingscontroles hebben die niet zijn ontworpen om bestand te zijn tegen bekwame en goed gefinancierde hackers, zei de groep in een kritiek die deze week werd gepubliceerd.
"Zogenaamde high-end bedreigingen zijn nu de norm is geen uitzondering ", zei CSI in zijn rapport. "IT-professionals in de federale en private sector melden steeds vaker dat de aanvallen die ze regelmatig moeten aanpakken, afkomstig zijn van zeer bekwame, zeer gemotiveerde en goed gefinancierde actoren - variërend van de Russische maffia, tot het Chinese leger en georganiseerde cybercriminelen."
[Meer informatie: hoe u malware van uw Windows-pc verwijdert]Het probleem is dat veel gevoelige federale systemen zouden vallen onder de categorie met matige gevolgen, inclusief systemen met informatie over "extreem gevoelige" onderzoeken bij federale wetgeving handhavingsinstanties, zei Rob Housman, waarnemend directeur bij CSI. Elektronische gezondheidsgegevens lijken ook te vallen in de categorie met matige gevolgen, zei hij.
"Als een IRS [Internal Revenue Service] -onderzoek niet het soort ding is dat u een hogere mate van bescherming tegen een geavanceerde aanvaller, ik weet niet wat het is, "zei Housman, die diende als assistent-directeur voor strategische planning in het Witte Huis Drug Czar's Office en die les geeft in terreurbestrijding en binnenlandse veiligheidsklassen aan de Universiteit van Maryland. "In bijna al mijn gesprekken met CIO's, CISO's en anderen in de publieke en private sector, vertellen ze wat ze zien dat is … geavanceerde hackers."
De NIST-aanbevelingen vereisen systemen met een lage en gemiddelde impact. alleen beveiligen tegen onbedorven dreiging, of "de spreekwoordelijke ijdelheid hacker die hackt in de kelder", zei het CSI-rapport.
Maar Ron Ross, senior computerwetenschapper en onderzoeker op het gebied van informatiebeveiliging bij NIST, zei dat de kritieken van CSI gebaseerd lijken te zijn op een misverstand over de NIST-richtlijnen. Ten eerste zijn de NIST-richtlijnen minimumnormen en moeten individuele bureaus risicobeoordeling uitvoeren en de richtlijnen afstemmen op hun behoeften, zei hij.
Federale agentschappen moeten hun eigen systemen indelen, en systemen met een hoge impact zijn die die een "ernstig, catastrofaal effect" hebben als ze verloren zijn, zei Ross. "Die basislijnen [in de NIST-aanbevelingen] zijn minimale vertrekpunten voor agentschappen," zei hij. "De implicatie zou niet moeten zijn dat dat een voldoende reeks controles is tegen sommige soorten aanvallen die we tegenkomen." Sommige agentschappen die het doelwit zijn van Amerikaanse tegenstanders zullen extra maatregelen moeten nemen om hun computersystemen te beschermen, Ross zei: 'Er is een risico dat agentschappen tot het minimum werken, zei Ross. Maar hij noemde de nieuwe NIST-richtlijnen "de breedste, de rijkste en de diepste reeks besturingselementen … overal ter wereld." Het Amerikaanse ministerie van defensie en inlichtingendiensten werkten met NIST aan deze reeks richtlijnen, zei hij.
Als NIST de aanbevelingen van CSI zou opvolgen, zou elke beveiligingscontrole in de richtlijnen worden aanbevolen voor elk federaal informatiesysteem, zei Ross. "Het is duidelijk dat dat erg duur zou zijn, en het zou te veel zijn voor veel van de systemen die we hebben," zei hij. "Elke controle die je in een systeem stopt … gaat het agentschap geld kosten."
Bovendien zullen de richtlijnen blijven evolueren, zei Ross. Terwijl het White House Office of Management en Budget de tijdlijn zullen opstellen voor agentschappen om te voldoen aan deze derde versie van de NIST-richtlijnen voor cyberveiligheid, zal NIST de aanbevelingen blijven verfijnen, zei hij.
Housman erkende dat budget een groot probleem is voor federale instanties. En hoewel hij zei dat de NIST-aanbevelingen niet ver genoeg gaan, noemde hij ze een "grote stap voorwaarts" van inspanningen uit het verleden.
"Dit is een soort status quo plus, die ik hack en patch noem," zei hij. "We zijn zelfgenoegzaam geworden, we accepteren het feit dat er hacks zijn en ze zullen succesvol zijn en we zullen ze moeten patchen."
Rapport: Indian Gov't Says Satyam May Fondsen
Overheid; onderzoekers die nu van mening zijn dat de middelen mogelijk uit Satyam zijn overgeheveld. De Indiase regering zou naar verluidt uit het zicht verdwijnen dat geld mogelijk is overgeheveld uit de financieel gestoorde Indiase outsourcer Satyam Computer Services. Minister van Ondernemingen Prem Chand Gupta vertelde de Press Trust of India op zondag dat fondsen lijken te zijn afgeleid van Satyam.
Cyber Chief: Gov't moet beter werken met bedrijven
De Amerikaanse overheid moet beter werken met particuliere bedrijven en andere landen om cyberspace te beschermen, zegt een federale functionaris.
Vijf technologieën om enorme groei te zien in US Gov't, Group Sands
Cloud computing, virtualisatie en open- Bronsoftware zou een grote groei in de Amerikaanse overheid kunnen zien, zegt een analistenfirma.