새로운 Gov's 사이버 가이드 라인 결여, 그룹 의견 없음

NIST 가이드 라인 7 월 31 일에 발표 된 민간 기관의 분류되지 않은 데이터에 대해 많은 연방 IT 시스템이 가장 높은 보안 요구 사항을 벗어나지 못하게했다고 사이버 보안 연구소 (Cyber ​​Secure Institute)는 전했다. 저조 또는 중등도 영향을받는 목표로 평가 된 연방 시스템은 이번 주에 발표 된 비판에서 그룹이 숙련되고 잘 자금을 조달 한 해커를 견제하도록 설계되지 않은 보안 통제를 갖게 될 것이라고 말했다.

규범은 예외는 아니다 "라고 CSI는 보고서에서 밝혔다. "연방 및 민간 부문의 IT 전문가들은 정기적으로 직면하는 공격이 러시아 군중에서부터 중국 군대, 조직 된 사이버 범죄자에 이르기까지 고도로 숙련되고 동기 부여가 잘되고 자원이 풍부한 배우들로부터 점점 더 많아지고 있다고보고합니다."

[추가 정보: Windows PC에서 멀웨어를 제거하는 방법]

문제는 많은 민감한 연방 시스템이 연방법에서 "극도로 민감한"조사와 관련된 정보를 포함하는 시스템을 포함하여 보통 영향 카테고리에 속할 것이라는 점입니다 CSI의 전무 이사 인 Rob Housman은 말했다. 그는 또한 전자 건강 데이터가 중등도 영향 카테고리에 속하는 것으로 보인다고 말했다.

"IRS [국세청]의 조사가 당신에게 더 높은 수준의 보호를 원하는 종류가 아니라면 정교한 공격자는 무엇인지 모르겠다 "고 백악관 마약 국장의 전략 기획 담당 조감독과 메릴랜드 대학에서 테러 및 국토 안보 수업을 가르치는 Housman은 말했다. "공공 및 민간 부문 CIO, CISO 및 다른 사람들과의 거의 모든 대화에서 볼 때 그들이 말하는 것은 정교한 해커입니다."NIST의 권고에 따르면 저 - 및 중 - 충격 시스템은 (CSI) 보고서에 따르면 NIST의 컴퓨터 과학자이자 정보 보안 연구원 인 론 로스 (Ron Ross)는 CSI의 비판은 비판적인 위협에 기반을 둔 것으로 보인다고 말했다. NIST의 지침에 대한 오해. 우선 NIST 가이드 라인은 최소 기준이며 개별 기관은 위험 평가를 수행하고 필요에 따라 지침을 조정해야한다고 연방 대행 기관은 자체 시스템을 분류해야하며 영향력이 큰 시스템은 로스가 말했다면 "심한 재앙적인 영향"이있다. 그는 "NIST 권고안에 나온 기준선은 정부 기관을위한 최소한의 출발점"이라고 말했다. "우리가보고있는 공격 유형 중 일부에 대한 충분한 통제가 이루어져야 함을 암시해서는 안된다."미국 적 대상자의 일부 기관은 컴퓨터 시스템을 보호하기 위해 추가적인 조치를 취해야 할 것이다. 로스는 말했다.

기관들은 최소한으로 일할 위험이있다. 로스는 말했다. 그러나 그는 새로운 NIST 가이드 라인을 "세계 어디서나 가장 광범위하고 풍부하며 가장 강력한 컨트롤 세트"라고 불렀다. 미 국방부와 정보 기관은이 가이드 라인에 따라 NIST와 협력했다. NIST가 CSI의 권고 사항을 준수한다면 모든 연방 정보 시스템에 대해이 가이드 라인의 모든 보안 통제가 권장 될 것이라고 로스는 말했다. "분명히, 그것은 매우 비쌀 것이고, 우리가 가지고있는 많은 시스템에 과잉이라고 할 수 있습니다."라고 그는 말했다. "당신이 시스템에 투입하는 모든 통제는 대행 비용을 요구할 것입니다."또한,이 지침은 계속 진화 할 것이라고 로스는 말했다. 백악관 예산 관리국 (NIST)이 NIST의 사이버 보안 지침 제 3 판을 준수 할 일정을 수립하는 동안 NIST는 권고안을 계속 수정 해 나갈 것이라고 그는 말했다.

Housman은 예산이 연방 기관에 큰 문제라고 인정했습니다. 그리고 NIST 권고안이 충분히 지나치지 않았다고 말했지만, 그는 과거의 노력들에서 그들을 "큰 진보"라고 말했다. 그러나 오바마 미국 대통령은 5 월 말 연설에서 " Housman은 덧붙였다. "이것은 일종의 전제 조건이며, 나는 해킹과 패치라고 부른다"고 그는 덧붙였다. 우리는 해킹이 될 것이라는 사실을 받아들이고 성공할 것이며 패치를해야 할 것입니다. "