E-stonia - A startup country - VPRO documentary - 2015
Un nuevo conjunto de directrices de seguridad cibernética, publicado por el Instituto Nacional de Estándares y Tecnología (NIST), no alcanza la protección necesaria para los sistemas gubernamentales, dijo un grupo de defensa y análisis de ciberseguridad.
Las directrices del NIST para los datos no clasificados en agencias civiles, publicados el 31 de julio, muchos sistemas de TI federales están fuera de los más altos requisitos de seguridad, dijo el Cyber Secure Institute. Los sistemas federales calificados como objetivos de impacto bajo o moderado tendrían controles de seguridad no diseñados para hacer frente a piratas informáticos calificados y bien financiados, dijo el grupo en una crítica publicada esta semana.
"Las llamadas amenazas de alto nivel son ahora la norma no es la excepción ", dijo CSI en su informe. "Los profesionales de TI del sector federal y privado informan cada vez más que los ataques que enfrentan regularmente provienen de actores altamente calificados, altamente motivados y con recursos suficientes, que van desde la mafia rusa, el ejército chino y los ciberdelincuentes organizados".
[Lectura adicional: cómo eliminar el malware de su PC con Windows]El problema es que muchos sistemas federales sensibles caerían en la categoría de impacto moderado, incluidos los sistemas que contienen información relacionada con investigaciones "extremadamente sensibles" en la ley federal agencias de ejecución, dijo Rob Housman, director ejecutivo en funciones de CSI. Los datos electrónicos de salud también parecen caer en la categoría de impacto moderado, dijo.
"Si una investigación del Servicio de Impuestos Internos (Internal Revenue Service) no es el tipo de cosa que desea tener un mayor grado de protección contra un atacante sofisticado, no sé lo que es ", dijo Housman, que se desempeñó como asistente del director de planificación estratégica en la Oficina del Zar Antidrogas de la Casa Blanca y que enseña antiterrorismo y clases de seguridad nacional en la Universidad de Maryland. "En casi todas mis conversaciones con los CIO, los CISO y otros del sector público y privado, lo que dicen que ven es … piratas informáticos sofisticados".
Las recomendaciones del NIST requieren sistemas de bajo y moderado impacto. solo seguro contra amenazas no sofisticadas, o "el proverbial hacker de vanidad adolescente pirateando en el sótano", dijo el informe de CSI.
Pero Ron Ross, un científico informático e investigador de seguridad de la información en NIST, dijo que las críticas de CSI parecen estar basadas en un malentendido de las pautas del NIST. En primer lugar, las directrices del NIST son estándares mínimos, y las agencias individuales deben hacer una evaluación de riesgos y adaptar las directrices a sus necesidades, dijo.
Las agencias federales están obligadas a categorizar sus propios sistemas, y los sistemas de alto impacto serían aquellos que tienen un "efecto grave y catastrófico" si se pierden, dijo Ross. "Esas líneas de base [en las recomendaciones del NIST] son puntos de partida mínimos para las agencias", dijo. "La implicación no debería estar ahí, eso es un conjunto suficiente de controles contra algunos de los tipos de ataques que estamos viendo".
Algunas agencias atacadas por adversarios estadounidenses tendrán que tomar medidas adicionales para proteger sus sistemas informáticos, Ross dijo.
Existe cierto riesgo de que las agencias funcionen solo al mínimo, dijo Ross. Pero llamó a las nuevas directrices de NIST "el conjunto de controles más amplio, más rico y más profundo … en cualquier parte del mundo". El Departamento de Defensa de EE. UU. Y las agencias de inteligencia trabajaron con el NIST en este conjunto de directrices, dijo.
Si el NIST siguiera las recomendaciones de CSI, se recomendaría cada control de seguridad en cada sistema de información federal, dijo Ross. "Claramente, eso sería extremadamente costoso, y sería excesivo para muchos de los sistemas que tenemos", dijo. "Cada control que pongas en un sistema … le va a costar dinero a la agencia".
Además, las directrices seguirán evolucionando, dijo Ross. Si bien la Oficina de Administración y Presupuesto de la Casa Blanca establecerá el cronograma para que las agencias cumplan con esta tercera versión de las pautas de ciberseguridad del NIST, el NIST continuará refinando las recomendaciones, dijo.
Housman reconoció que el presupuesto es un gran problema para las agencias federales. Y a pesar de que dijo que las recomendaciones del NIST no van lo suficientemente lejos, las calificó como un "gran paso adelante" de los esfuerzos anteriores.
Sin embargo, el presidente estadounidense, Barack Obama, en un discurso de finales de mayo pidió el fin del ciberseguridad status quo, añadió Housman.
"Esta es una especie de status-quo plus, que llamo hack and patch", dijo. "Nos hemos vuelto complacientes. Aceptamos el hecho de que habrá hacks, y tendrán éxito, y tendremos que parcharlos".
Microsoft dice que la economía ofrece oportunidades para la TI del gobierno
En su CIO Summit, Microsoft le dijo a los gerentes de TI del gobierno y la educación cómo hacer "más con menos" durante el ...
Un programa de rebajas del gobierno para impulsar el consumo en áreas remotas impulsó el aumento, dice una firma de investigación de mercado.
Las ventas de computadoras y otros productos electrónicos en ciudades chinas menores crecieron en el primer trimestre gracias a un programa de descuentos para residentes de áreas remotas, dijo una firma de investigación el lunes.
Cinco tecnologías para ver un enorme crecimiento en el gobierno de los EE. UU., El grupo dice
Cloud computing, virtualización y open- El software de fuente podría ver un gran crecimiento en el gobierno de los EE. UU., según afirma una firma de analistas.