הנחיות חדשות של Gov't Cyber ​​היעדר, אומר הקבוצה <הנחיות חדשות עבור אבטחה באינטרנט עבור סוכנויות בארה"ב לא הולכים רחוק מספיק, קבוצת cybersecurity אומר כי מערכת חדשה של הנחיות בתחום האבטחה ברשת, שפורסמה על ידי המכון הלאומי לתקנים וטכנולוגיה (NIST), אינה נופלת מההגנה הנדרשת למערכות הממשלתיות, כך עולה מנתוני הסייברסקוריטי וקבוצת התמיכה.

[לקריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

הבעיה היא שמערכות פדרליות רגישות רבות ייכנסו לקטגוריה של השפעה בינונית, כולל מערכות המכילות מידע הקשור לחקירות "רגישות ביותר" בחוק הפדרלי סוכנויות אכיפה, אמר רוב האוסמן, מנכ"ל בפועל ב CSI. בנוסף, נראה כי נתוני הבריאות האלקטרוניים ייפלו לקטגוריה של השפעה מתונה. [

] "אם החקירה של מס הכנסה (IRRS) אינה סוג הדברים שאתה רוצה שתהיה לך הגנה גבוהה יותר נגד מתקיף מתוחכם, אני לא יודע מה זה ", אמר האוסמן, ששימש עוזר מנהל לתכנון אסטרטגי במשרד הבית הלבן של סמים הצאר ומלמד נגד טרור ושיעורי מולדת מאוניברסיטת מרילנד. "כמעט בכל השיחות שלי עם מנהלי מערכות המידע במגזר הציבורי והמגזר הפרטי, CISOs ואחרים, מה שהם אומרים שהם רואים הוא … האקרים מתוחכמים".

המלצות NIST דורשות מערכות בעלות השפעה נמוכה ומתונה לא רק נגד איום לא מתוחכם, או "פריצה של האוהל היקר", נכתב בדו"ח CSI. אבל רון רוס, מדען מחשבים בכיר וחוקר אבטחת מידע ב- NIST, אמר כי הביקורת של CSI נראית מבוססת על אי הבנה של הנחיות NIST. ראשית, הנחיות ה- NIST הן סטנדרטים מינימליים, וסוכנויות פרטיות חייבות לבצע הערכת סיכונים ולהתאים את ההנחיות לצרכיהן, הוא אומר.

הסוכנויות הפדרליות נדרשות לקטלג את המערכות שלהן, ומערכות בעלות השפעה גבוהה יהיו אלה כי יש "אפקט חמור, קטסטרופלי" אם הם אבודים, אמר רוס. "קווי הבסיס האלה [בהמלצות NIST] הם נקודות התחלה מינימליות לסוכנויות", אמר. "המשמעות לא צריכה להיות שם, כי זו קבוצה מספקת של בקרות נגד כמה סוגים של התקפות שאנחנו רואים."

כמה סוכנויות להיות ממוקד על ידי יריבים בארה"ב תצטרך לנקוט צעדים נוספים כדי להגן על מערכות המחשב שלהם, אמר רוס. "יש סיכון כלשהו שהסוכנויות יעבדו רק למינימום, אמר רוס. אבל הוא קרא את הנחיות NIST החדש "רחב, העשיר, ואת מערך העמוקים ביותר של שליטה … בכל מקום בעולם." משרד ההגנה האמריקני וסוכנויות המודיעין עבדו עם NIST על מערכת הנחיות זו, הוא אמר.

אם ה- NIST יעקוב אחר ההמלצות של CSI, כל ביקורת אבטחה בהנחיות תהיה מומלצת לכל מערכת מידע פדרלית, אמר רוס. "ברור, זה יהיה יקר מאוד, וזה יהיה overkill עבור רבים של מערכות שיש לנו", אמר. "כל שליטה שאתה מכניס למערכת … הולך לעלות את הכסף סוכנות."

בנוסף, ההנחיות ימשיכו להתפתח, אמר רוס. בעוד משרד הבית הלבן של ניהול תקציב תקים את ציר הזמן עבור סוכנויות כדי לציית זה גרסה שלישית של הנחיות cybersecurity NIST, NIST תמשיך לחדד את ההמלצות, אמר.

האוסמן הודה כי התקציב הוא בעיה גדולה עבור סוכנויות פדרליות. ואף על פי שהוא אמר שהמלצות ה- NIST אינן מרחיקות לכת, הוא קרא להן "צעד גדול קדימה" ממאמצי העבר. עם זאת, נשיא ארצות הברית ברק אובמה, בסוף נאום מאי, קרא לסיום, הוסיף האוסמן. "זה סוג של סטטוס-קוו פלוס, שאני קורא לו גרזן וטלאי", הוא אומר. "אנחנו נהיה שאננים, אנחנו מקבלים את העובדה שיהיו פריצות, והם יצליחו, ואנחנו נצטרך לתקן אותם".