Neue Cyber-Richtlinien der Regierung fehlen, Gruppe sagt

Eine neue Reihe von Richtlinien zur Cybersicherheit, die vom US-amerikanischen National Institute of Standards and Technology (NIST) veröffentlicht wurden, entsprechen nicht dem für Regierungssysteme erforderlichen Schutz, wie eine Cybersecurity-Analyse und Interessenvertretung feststellte.

Die NIST-Richtlinien Englisch: www.germnews.de/archive/dn/1995/02/15.html Die nicht freigegebenen Daten von zivilen Stellen, die am 31. Juli veröffentlicht wurden, lassen viele Bundes - IT - Systeme von den strengsten Sicherheitsanforderungen verschont, sagte das Cyber ​​Secure Institute. Föderale Systeme, die als Ziele mit geringer oder mäßiger Auswirkung eingestuft werden, hätten Sicherheitskontrollen, die nicht dafür ausgelegt sind, qualifizierten und finanziell gut ausgestatteten Hackern standzuhalten, sagte die Gruppe in einer in dieser Woche veröffentlichten Kritik.

"So genannte High-End-Bedrohungen gibt es jetzt die Norm nicht die Ausnahme ", sagte CSI in ihrem Bericht. "IT-Fachleute des Bundes und des privaten Sektors berichten zunehmend, dass die Angriffe, mit denen sie regelmäßig konfrontiert sind, von hoch qualifizierten, hochmotivierten und gut ausgestatteten Akteuren ausgehen - vom russischen Mob über das chinesische Militär bis hin zu organisierten Cyberkriminellen."

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Das Problem besteht darin, dass viele sensible föderale Systeme in die Kategorie der gemäßigten Auswirkungen fallen würden, einschließlich Systemen mit Informationen zu "extrem sensiblen" Untersuchungen im Bundesgesetz Strafverfolgungsbehörden, sagte Rob Housman, stellvertretender Geschäftsführer bei CSI. Elektronische Gesundheitsdaten würden auch in die Kategorie der mittelschweren Auswirkungen fallen, sagte er.

"Wenn eine IRS-Untersuchung nicht die Art von Sache ist, bei der Sie einen höheren Grad an Schutz gegen eine Ein ausgeklügelter Angreifer, ich weiß nicht, was ist ", sagte Housman, der als stellvertretender Direktor für strategische Planung im Büro des Weißen Hauses für Drogenzaren diente und an der Universität von Maryland gegen Terrorismus und innere Sicherheit lehrt. "In fast allen meinen Gesprächen mit sowohl öffentlichen als auch privaten CIOs, CISOs und anderen sagen sie, dass sie … ausgeklügelte Hacker sehen."

Die NIST-Empfehlungen verlangen, dass Systeme mit geringer und mittlerer Auswirkung funktionieren "Nur gegen einfache Bedrohung, oder" der sprichwörtliche Teenager Vanity Hacker im Keller hacken ", sagte der CSI-Bericht.

Aber Ron Ross, ein Senior Informatiker und Informationssicherheit Forscher am NIST, sagte CSI-Kritiken scheinen zu basieren auf ein Missverständnis der NIST-Richtlinien. "Erstens sind die NIST-Richtlinien Mindeststandards, und die einzelnen Agenturen müssen eine Risikobewertung vornehmen und die Richtlinien an ihre Bedürfnisse anpassen", sagte er.

Bundesbehörden müssen ihre eigenen Systeme kategorisieren, und hochwirksame Systeme wären das die haben eine "schwere, katastrophale Wirkung", wenn sie verloren sind, sagte Ross. "Diese Baselines [in den NIST-Empfehlungen] sind minimale Ausgangspunkte für Agenturen", sagte er. "Die Implikation sollte nicht da sein, dass dies eine ausreichende Anzahl von Kontrollen gegen einige der Arten von Angriffen ist, die wir sehen."

Einige Agenturen, die von US-Gegnern ins Visier genommen werden, müssen zusätzliche Schritte unternehmen, um ihre Computersysteme zu schützen, Ross sagte:

Es gibt ein gewisses Risiko, dass Agenturen nur so wenig wie möglich arbeiten, sagte Ross. Aber er nannte die neuen NIST-Richtlinien "das umfassendste, das reichste und das tiefste Kontrollsystem … überall auf der Welt". Das US-Verteidigungsministerium und Geheimdienste arbeiteten mit dem NIST an diesen Richtlinien, sagte er.

Wenn NIST den CSI-Empfehlungen folgen würde, würde jede Sicherheitskontrolle in den Richtlinien für jedes föderale Informationssystem empfohlen, sagte Ross. "Natürlich wäre das extrem teuer, und es wäre für viele der Systeme, die wir haben, übertrieben", sagte er. "Jede Kontrolle, die man in ein System steckt … wird die Agentur Geld kosten."

Außerdem werden sich die Richtlinien weiter entwickeln, sagte Ross. Während das Büro für Management und Haushalt des Weißen Hauses den Zeitplan für die Einhaltung dieser dritten Version der NIST-Cybersicherheitsrichtlinien durch die Agenturen festlegt, wird NIST die Empfehlungen weiter verfeinern, sagte er.

Housman räumte ein, dass das Budget für Bundesbehörden ein großes Problem sei. Und obwohl er sagte, dass die NIST - Empfehlungen nicht weit genug gehen, nannte er sie einen "großen Schritt vorwärts" aus früheren Bemühungen.

Allerdings hat US - Präsident Barack Obama in einer Rede im späten Mai ein Ende der Cybersecurity status quo, fügte Housman hinzu.

"Das ist eine Art Status quo plus, den ich Hack and Patch nenne", sagte er. "Wir sind selbstgefällig geworden. Wir akzeptieren die Tatsache, dass es Hacks geben wird, und sie werden erfolgreich sein, und wir müssen sie patchen."