Pedoman Global Gov't Cyber ​​Kurang, Grup Mengatakan

Satu set pedoman keamanan siber baru, yang dirilis oleh Institut Standar dan Teknologi Nasional AS (NIST), tidak memenuhi perlindungan yang diperlukan untuk sistem pemerintah, kata analisis cybersecurity dan kelompok advokasi.

Panduan NIST untuk data yang tidak diklasifikasikan di lembaga sipil, yang dirilis 31 Juli, meninggalkan banyak sistem TI federal dari persyaratan keamanan tertinggi, kata Cyber ​​Secure Institute. Sistem federal yang dinilai sebagai target berdampak rendah atau moderat akan memiliki kontrol keamanan yang tidak dirancang untuk berdiri untuk peretas yang ahli dan berdaya, kelompok tersebut mengatakan dalam sebuah kritik yang diterbitkan minggu ini.

"Disebut sebagai ancaman kelas atas sekarang. norma tidak terkecuali, "CSI mengatakan dalam laporannya. "Profesional TI sektoral dan swasta semakin melaporkan bahwa serangan yang mereka hadapi secara teratur adalah dari aktor yang sangat terampil, bermotivasi tinggi dan bersumber daya baik - mulai dari massa Rusia, hingga militer China, hingga penjahat cyber yang terorganisir."

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari PC Windows Anda]

Masalahnya adalah bahwa banyak sistem federal yang sensitif akan jatuh ke dalam kategori dampak moderat, termasuk sistem yang berisi informasi yang terkait dengan penyelidikan "sangat sensitif" di hukum federal lembaga penegak, kata Rob Housman, bertindak direktur eksekutif di CSI. Data kesehatan elektronik juga akan tampak jatuh ke dalam kategori dampak sedang, katanya.

"Jika penyelidikan IRS [Layanan Pendapatan Internal] bukanlah hal yang Anda ingin memiliki tingkat perlindungan yang lebih tinggi terhadap penyerang canggih, saya tidak tahu apa itu, "kata Housman, yang menjabat sebagai asisten direktur untuk perencanaan strategis di Kantor Obat-Obatan Gedung Putih dan yang mengajar kelas-kelas keamanan anti-terorisme dan tanah air di Universitas Maryland. "Dalam hampir semua percakapan saya dengan CIO sektor publik dan swasta, CISO dan lain-lain, apa yang mereka katakan yang mereka lihat adalah … peretas canggih."

Rekomendasi NIST mengharuskan sistem berdampak rendah dan moderat untuk menjadi aman hanya terhadap ancaman yang tidak canggih, atau "peretas remaja pamer hacker meretas di ruang bawah tanah," kata laporan CSI.

Tapi Ron Ross, ilmuwan komputer senior dan peneliti keamanan informasi di NIST, mengatakan kritik CSI tampaknya didasarkan pada kesalahpahaman tentang pedoman NIST. Pertama-tama, pedoman NIST adalah standar minimum, dan badan-badan individu harus melakukan penilaian risiko dan menyesuaikan pedoman untuk kebutuhan mereka, katanya.

Agen federal diperlukan untuk mengkategorikan sistem mereka sendiri, dan sistem berdampak tinggi adalah mereka yang memiliki "efek buruk, bencana" jika mereka hilang, kata Ross. "Garis dasar tersebut [dalam rekomendasi NIST] adalah titik awal minimum untuk agensi," katanya. "Implikasinya tidak seharusnya ada di sana yang merupakan seperangkat kontrol yang cukup terhadap beberapa jenis serangan yang kami lihat."

Beberapa agensi yang ditargetkan oleh musuh AS harus mengambil langkah tambahan untuk melindungi sistem komputer mereka, Ross berkata.

Ada beberapa risiko bahwa agen hanya bekerja untuk minimum, kata Ross. Namun dia menyebut pedoman NIST baru sebagai "rangkaian kontrol terkuat, terkaya, dan terdalam … di mana pun di dunia." Departemen Pertahanan AS dan badan-badan intelijen bekerja dengan NIST dalam rangkaian pedoman ini, katanya.

Jika NIST mengikuti rekomendasi CSI, setiap kontrol keamanan dalam panduan akan direkomendasikan untuk setiap sistem informasi federal, kata Ross. "Jelas, itu akan sangat mahal, dan itu akan berlebihan untuk banyak sistem yang kita miliki," katanya. "Setiap kontrol yang Anda masukkan ke dalam suatu sistem … akan menghabiskan biaya uang agensi."

Selain itu, pedoman akan terus berkembang, kata Ross. Sementara Kantor Manajemen dan Anggaran Gedung Putih akan mengatur timeline untuk mematuhi pedoman keamanan cybersecurity NIST versi ketiga ini, NIST akan terus menyempurnakan rekomendasi, katanya.

Housman mengakui bahwa anggaran adalah masalah besar bagi agensi federal. Dan meskipun dia mengatakan rekomendasi NIST tidak cukup jauh, dia menyebut mereka "langkah maju yang besar" dari upaya sebelumnya.

Namun, Presiden AS Barack Obama, dalam pidato akhir Mei, menyerukan diakhirinya cybersecurity status quo, Housman menambahkan.

"Ini adalah semacam status-quo plus, yang saya sebut hack dan patch," katanya. "Kami menjadi puas diri. Kami menerima kenyataan bahwa akan ada peretasan, dan mereka akan berhasil, dan kami harus menambalnya."