Novas Diretrizes Cibernéticas do Governo Faltam, Grupo Diz

[Leia mais: Como remover malware do seu PC com Windows]

O problema é que muitos sistemas federais sensíveis cairiam na categoria de impacto moderado, incluindo sistemas contendo informações relacionadas a investigações "extremamente sensíveis" na lei federal. agências de fiscalização, disse Rob Housman, diretor executivo em exercício da CSI. Os dados eletrônicos de saúde também parecem cair na categoria de impacto moderado, disse ele.

"Se uma investigação do IRS [Internal Revenue Service] não é o tipo de coisa que você quer ter um maior grau de proteção contra um Um atacante sofisticado, eu não sei o que é ", disse Housman, que atuou como diretor assistente de planejamento estratégico no Gabinete do Secretário Antidrogas da Casa Branca e que ensina contra terrorismo e segurança interna na Universidade de Maryland. "Em quase todas as minhas conversas com CIOs do setor público e privado, CISOs e outros, o que eles estão dizendo que vêem são … hackers sofisticados."

As recomendações do NIST exigem sistemas de impacto baixo e moderado. seguro apenas contra ameaça não sofisticada, ou "o proverbial hacker de vaidade adolescente hackeando o porão", disse o relatório da CSI.

Mas Ron Ross, cientista sênior e pesquisador de segurança da informação do NIST, disse que as críticas da CSI se baseiam em um mal-entendido das diretrizes do NIST. Em primeiro lugar, as diretrizes do NIST são padrões mínimos e as agências individuais devem fazer a avaliação de riscos e adequar as diretrizes às suas necessidades, disse ele.

As agências federais são obrigadas a categorizar seus próprios sistemas, e sistemas de alto impacto seriam aqueles que têm um "efeito severo e catastrófico" se forem perdidos, disse Ross. "Essas linhas de base [nas recomendações do NIST] são pontos de partida mínimos para as agências", disse ele. "A implicação não deve estar lá de que é um conjunto suficiente de controles contra alguns dos tipos de ataques que estamos vendo."

Algumas agências que são alvo de adversários dos EUA terão que tomar medidas adicionais para proteger seus sistemas de computador, Ross disse.

Há algum risco de que as agências trabalhem apenas no mínimo, disse Ross. Mas ele chamou as novas diretrizes do NIST de "o mais amplo, o mais rico e o mais profundo conjunto de controles … em qualquer lugar do mundo". O Departamento de Defesa dos EUA e as agências de inteligência trabalharam com o NIST nesse conjunto de diretrizes, disse ele.

Se o NIST seguisse as recomendações da CSI, todos os controles de segurança nas diretrizes seriam recomendados para todos os sistemas federais de informação, disse Ross. "Claramente, isso seria extremamente caro, e seria um exagero para muitos dos sistemas que temos", disse ele. "Todo controle que você coloca em um sistema … vai custar dinheiro para a agência."

Além disso, as diretrizes continuarão a evoluir, disse Ross. Embora o Escritório de Administração e Orçamento da Casa Branca estabeleça o cronograma para que as agências cumpram esta terceira versão das diretrizes de segurança cibernética do NIST, o NIST continuará a refinar as recomendações, disse ele.Housman reconheceu que o orçamento é um grande problema para as agências federais. E apesar de ele ter dito que as recomendações do NIST não vão longe o bastante, ele as chamou de um "grande passo adiante" de esforços anteriores.

No entanto, o presidente dos EUA, Barack Obama, em um discurso no final de maio pediu o fim do cossegurança status quo, Housman acrescentou.

"Esta é uma espécie de status quo plus, que eu chamo de hack and patch", disse ele. "Nos tornamos complacentes. Aceitamos o fato de que haverá hacks, e eles serão bem-sucedidos, e teremos que consertá-los."