Nya Cyber-riktlinjer som saknas, säger koncernen

En ny uppsättning riktlinjer för cybersäkerhet, som släpptes av det amerikanska nationella institutet för standarder och teknik (NIST), saknar det skydd som behövs för regeringens system, säger en säkerhetsanalys och förespråksgrupp för cybersecurity. för icke-klassificerade data vid civila organ, som släpptes den 31 juli, lämnar många federala IT-system ut ur de högsta säkerhetskraven, sa Cyber ​​Secure Institute. Federal system som är klassificerade som låga eller måttliga konsekvenser skulle ha säkerhetskontroller som inte är utformade för att uppfylla kvalificerade och välfinansierade hackare, sade gruppen i en kritik som publicerades i veckan.

"Så kallade high end-hot är nu normen inte undantaget, säger CSI i sin rapport. "IT-personal från federala och privata sektorer rapporterar i allt högre grad att de attacker som de konfronterar regelbundet är från högkvalificerade, motiverade och välbärgade aktörer - allt från den ryska mobben till den kinesiska militären, till organiserade cyberkriminella."

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Problemet är att många känsliga federala system skulle falla in i kategorin med måttlig påverkan, inklusive system som innehåller information om "extremt känsliga" undersökningar i federal lag brottsbekämpande organ, sade Rob Housman, verkställande direktör vid CSI. Elektroniska hälsodata tycks också falla i kategorin med måttlig påverkan, säger han.

"Om en IRS-undersökning inte är den typ av sak du vill ha en högre grad av skydd mot en sofistikerad angripare, vet jag inte vad som är ", säger Housman, som tjänstgjorde som biträdande direktör för strategisk planering i Vita huset Drug Czar's Office och som undervisar mot terrorism och hemlandsäkerhetskurser vid University of Maryland. "I nästan alla mina samtal med både offentliga och privata sektorer, CISOs och andra, vad de säger att de ser är … sofistikerade hackare."

NIST-rekommendationerna kräver att system med låga och måttliga konsekvenser är säkra bara mot osofistikerat hot eller "den proverbiala tonåren vanity hacker hacking i källaren", säger CSI rapporten.

Men Ron Ross, en senior datavetenskapare och informationssäkerhetsforskare vid NIST, sa att CSI: s kritik verkar vara baserad på ett missförstånd av NIST riktlinjerna. Först och främst är NIST-riktlinjerna miniminormer, och enskilda byråer måste göra riskbedömning och skräddarsy riktlinjerna till deras behov, säger han.

Federal agencies måste kategorisera sina egna system, och system med hög effekt skulle vara de som har en "allvarlig katastrofal effekt" om de går vilse, sade Ross. "Dessa baslinjer [i NIST-rekommendationerna] är minsta utgångspunkter för byråer", sa han. "Implikationen borde inte vara där, det är en tillräcklig uppsättning kontroller mot vissa typer av attacker som vi ser."

Vissa organ som riktas mot amerikanska motståndare kommer att behöva vidta ytterligare åtgärder för att skydda sina datorsystem, Ross sa.

Det finns viss risk för att byråer bara arbetar till ett minimum, sa Ross. Men han kallade de nya NIST-riktlinjerna "den bredaste, den rikaste och den djupaste uppsättningen kontroller … överallt i världen." Förenta staternas försvarsdepartement och försvarsbyråer arbetade med NIST om denna uppsättning riktlinjer, sade han.

Om NIST skulle följa CSI: s rekommendationer skulle varje säkerhetskontroll i riktlinjerna rekommenderas för alla federala informationssystem, sade Ross. "Det är klart att det skulle vara extremt dyrt, och det skulle bli överkill för många av systemen vi har," sa han. "Varje kontroll du sätter i ett system … kommer att kosta byråpenningen."

Dessutom kommer riktlinjerna att fortsätta att utvecklas, sa Ross. Medan Vita husets kontor för förvaltning och budget kommer att inrätta tidslinjen för myndigheter att följa den här tredje versionen av NIST-säkerhetssäkerhetsriktlinjerna, fortsätter NIST att förfina de rekommendationer som han sa.

Housman erkände att budgeten är en stor fråga för federala byråer. Och även om han sa att NIST-rekommendationerna inte går tillräckligt långt kallade han dem ett "stort steg framåt" från tidigare ansträngningar. Men USA: s president Barack Obama kallade i slutet av maj ett slut på cybersecurity status quo, added Housman.

"Detta är ett slags status-quo plus, som jag kallar hack och lapp," sa han. "Vi har blivit självständiga. Vi accepterar det faktum att det kommer att bli hackar, och de kommer att bli framgångsrika, och vi måste klara dem."