Nuove linee guida del governo informatico carenti, dice il gruppo

Una nuova serie di linee guida per la sicurezza informatica, rilasciata dall'Istituto nazionale degli standard e della tecnologia (NIST), non rispetta la protezione necessaria per i sistemi governativi, ha detto un gruppo di analisi e difesa della sicurezza informatica. Per i dati non classificati presso le agenzie civili, rilasciati il ​​31 luglio, molti sistemi federali IT non soddisfano i massimi requisiti di sicurezza, ha affermato il Cyber ​​Secure Institute. I sistemi federali classificati come obiettivi a impatto basso o moderato avrebbero controlli di sicurezza non progettati per resistere a hacker qualificati e ben finanziati, il gruppo ha detto in una critica pubblicata questa settimana.

"Le cosiddette minacce di fascia alta sono ora la norma non è l'eccezione ", ha affermato CSI nella sua relazione. "I professionisti IT del settore federale e privato segnalano sempre più che gli attacchi che affrontano regolarmente provengono da attori altamente qualificati, altamente motivati ​​e dotati di risorse adeguate, che vanno dalla mafia russa, all'esercito cinese, ai criminali informatici organizzati".

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Il problema è che molti sistemi federali sensibili rientrerebbero nella categoria a impatto moderato, inclusi i sistemi contenenti informazioni relative a indagini "estremamente sensibili" alla legge federale le forze dell'ordine, ha dichiarato Rob Housman, direttore esecutivo di CSI. Anche i dati sanitari elettronici sembrerebbero rientrare nella categoria di impatto moderato, ha affermato.

"Se un'indagine IRS [Internal Revenue Service] non è il genere di cose che si desidera avere un grado più elevato di protezione da un aggressore sofisticato, non so cosa sia ", ha detto Housman, che ha lavorato come assistente alla regia per la pianificazione strategica presso l'ufficio dello zar della droga della Casa Bianca e che insegna lezioni di controterrorismo e sicurezza nazionale all'Università del Maryland. "In quasi tutte le mie conversazioni con CIO del settore pubblico e privato, CISO e altri, quello che stanno dicendo che vedono sono … sofisticati hacker."

I consigli del NIST richiedono sistemi a impatto basso e moderato sicuro solo contro la minaccia non sofisticata, o "il proverbiale vanity hacker hackerando via nel seminterrato", ha detto il rapporto CSI.

Ma Ron Ross, uno scienziato informatico e ricercatore di sicurezza informatica al NIST, ha detto che le critiche di CSI sembrano essere basate su un fraintendimento delle linee guida del NIST. Prima di tutto, le linee guida NIST sono standard minimi, e le singole agenzie devono fare la valutazione del rischio e adattare le linee guida alle loro esigenze, ha detto.

Le agenzie federali sono obbligate a categorizzare i propri sistemi e i sistemi ad alto impatto sarebbero quelli che hanno un "effetto grave e catastrofico" se sono persi, ha detto Ross. "Queste linee di base [nelle raccomandazioni del NIST] sono punti di partenza minimi per le agenzie", ha affermato. "L'implicazione non dovrebbe essere lì che questo è un insieme sufficiente di controlli contro alcuni dei tipi di attacchi che stiamo vedendo."

Alcune agenzie prese di mira dagli avversari statunitensi dovranno prendere ulteriori misure per proteggere i loro sistemi informatici, Ross ha detto.

C'è il rischio che le agenzie lavorino solo al minimo, ha detto Ross. Ma ha definito le nuove linee guida NIST "il più ampio, il più ricco e il più profondo set di controlli … ovunque nel mondo." Il Dipartimento della Difesa degli Stati Uniti e le agenzie di intelligence hanno collaborato con il NIST su questo insieme di linee guida, ha detto.

Se il NIST seguisse le raccomandazioni del CSI, ogni sistema di informazione federale raccomanderebbe ogni controllo di sicurezza nelle linee guida, ha detto Ross. "Chiaramente, sarebbe estremamente costoso, e sarebbe eccessivo per molti dei sistemi che abbiamo", ha detto. "Ogni controllo che metti in un sistema … costa ai soldi dell'agenzia."

Inoltre, le linee guida continueranno ad evolversi, ha detto Ross. Mentre l'Ufficio per la gestione e il bilancio della Casa Bianca stabilirà il calendario per le agenzie per conformarsi a questa terza versione degli orientamenti di sicurezza informatica del NIST, il NIST continuerà a perfezionare le raccomandazioni, ha detto.

Housman ha riconosciuto che il budget è un grosso problema per le agenzie federali. E anche se ha detto che le raccomandazioni del NIST non vanno abbastanza lontano, le ha definite un "grande passo avanti" rispetto agli sforzi del passato.

Tuttavia, il presidente degli Stati Uniti Barack Obama, in un discorso di fine maggio, ha chiesto la fine del Lo status quo della sicurezza informatica, ha aggiunto Housman.

"Questa è una sorta di status-quo plus, che chiamo hack e patch", ha detto. "Siamo diventati compiacenti, accettiamo il fatto che ci saranno degli hack e avranno successo, e dovremo correggerli."