サイバーガイドラインの欠如、グループの発言

NISTガイドライン7月31日に発表された民間機関の非機密データのために、多くの連邦政府のITシステムを最高のセキュリティ要件から除外したとサイバーセキュア研究所は述べている。今週公開された批判では、低・中程度のターゲットと評価された連邦制システムは、熟練した資金提供型のハッカーに対抗するように設計されていないセキュリティ制御を備えていると、ノーマルは例外ではない」とCSIは報告した。連邦および民間部門のIT専門家は、定期的に直面する攻撃は、ロシアの暴動から中国の軍隊、組織化されたサイバー犯罪者に至る、高度に熟練した、意欲的で頼りになる俳優のものであると、ますます報告している。

[その他の情報：Windows PCからマルウェアを削除する方法]

問題は、連邦法で「極度に敏感な」調査に関連する情報を含むシステムを含む、多くの機密性の高い連邦システムが中程度の影響を受けるカテゴリに分類されることですCSIのエグゼクティブディレクター、ロブ・ハウスマン（Rob Housman）は述べています。

「IRS（内国歳入庁）の調査が、あなたがより高いレベルの保護を望んでいるようなものではないならば、電子健康データも中程度の影響を受けるカテゴリーに分類されるように見えるでしょう。洗練された攻撃者、私は何か分かっていません」とホワイトハウス薬師会の戦略計画担当副社長を務め、メリーランド大学でカウンセラーと国土安全保障クラスを教えるHousmanは述べています。 「官民のCIO、CISO、その他の人々との会話では、洗練されたハッカーだ」と述べている.NISTの勧告によれば、低・中程度のシステムは、 CSI報告書によると、NISTのコンピュータ科学者シニア情報セキュリティ研究員のロン・ロス氏は、CSIの批判には根拠がないようだと語ったNISTガイドラインの誤解でまず、NISTのガイドラインは最小限の基準であり、個々の機関はリスクアセスメントを行い、必要に応じてガイドラインを調整しなければならないと、連邦政府機関は独自のシステムを分類する必要があり、影響の大きいシステムは、彼らは失われた場合、 "重度の壊滅的な効果"を持っている、ロスは言った。 「[NISTの勧告の]これらのベースラインは、政府機関にとって最低の出発点である」と彼は述べた。 「米国の敵の標的にされている一部の機関は、コンピュータシステムを保護するための追加的な措置を講じる必要があります。そのためには、ロス氏は述べている。ロス氏によると、代理店は最低限しか働かないリスクがあるという。しかし、彼は新しいNISTのガイドラインを「世界のどこでも、最も幅広く、最も豊かで、最も深刻なコントロールのセット」と呼んだ。米国防総省と諜報機関は、この一連のガイドラインに基づいてNISTと共同作業を進めている、とNISTがCSIの勧告に従うとすれば、ガイドラインのすべてのセキュリティ管理はすべての連邦情報システムに推奨される、とロス氏は述べた。 「明らかに、それは非常に高価で、私たちが持っているシステムの多くは過度のものになるだろう」と彼は語った。 「あなたがシステムに投入したすべてのコントロールは、代理店の費用を負担することになる」と述べた。さらに、このガイドラインは引き続き進化する​​とロス氏は述べている。 NISTのサイバーセキュリティガイドラインの第3版を遵守するための政府機関のスケジュールを策定する予定であるが、NISTは今後もこの勧告を改善していくと述べた。Housmanは、予算は連邦政府機関にとって大きな問題であると認めている。また、NISTの勧告が十分に進んでいないと述べたにもかかわらず、彼はこれまでの努力から「大きな前進」と称した。しかし、オバマ米大統領は5月末のスピーチで、 Housman氏は付け加えた。「これは一種のステータスクォードであり、ハックとパッチと呼ばれている。 「我々は満足しています。ハッキングが起こり、成功するだろうという事実を受け入れ、パッチを当てなければなりません」。