नए गोबर साइबर दिशानिर्देशों की कमी, समूह कहते हैं

यूएस नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड एंड टेक्नोलॉजी (एनआईएसटी) द्वारा जारी साइबर सुरक्षा दिशा-निर्देशों का एक नया सेट, सरकारी सिस्टम के लिए आवश्यक सुरक्षा से कम है, एक साइबर सुरक्षा विश्लेषण और वकालत समूह ने कहा।

एनआईएसटी दिशानिर्देश साइबर सिक्योर इंस्टीट्यूट ने कहा कि 31 जुलाई को जारी नागरिक एजेंसियों में गैर वर्गीकृत डेटा के लिए, उच्चतम सुरक्षा आवश्यकताओं में से कई संघीय आईटी सिस्टम छोड़ दें। इस सप्ताह प्रकाशित एक आलोचना में समूह ने कहा कि इस सप्ताह प्रकाशित एक आलोचना में समूह ने कहा कि कम या मध्यम प्रभाव वाले लक्ष्यों के रूप में मूल्यांकन किए गए संघीय प्रणालियों में सुरक्षा नियंत्रणों को कुशल और अच्छी तरह से वित्त पोषित हैकर्स तक खड़े होने के लिए डिजाइन नहीं किया जाएगा।

"इसलिए उच्च अंत खतरे कहा जाता है मानदंड अपवाद नहीं है, "सीएसआई ने अपनी रिपोर्ट में कहा। "संघीय और निजी क्षेत्र के आईटी पेशेवरों ने तेजी से रिपोर्ट की है कि नियमित रूप से जिन हमलों का सामना करना पड़ता है वे अत्यधिक कुशल, अत्यधिक प्रेरित और अच्छी तरह से संसाधन वाले कलाकारों से हैं - रूसी जमाव से लेकर चीनी सेना तक, साइबर अपराधियों के लिए।"

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

समस्या यह है कि कई संवेदनशील संघीय प्रणालियां मध्यम-प्रभाव श्रेणी में आती हैं, जिसमें संघीय कानून में "बेहद संवेदनशील" जांच से संबंधित जानकारी शामिल है प्रवर्तन एजेंसियों ने कहा, सीएसआई में कार्यकारी कार्यकारी निदेशक रोब होसमैन ने कहा। उन्होंने कहा कि इलेक्ट्रॉनिक स्वास्थ्य डेटा भी मध्यम प्रभाव वाली श्रेणी में आ जाएगा।

"यदि एक आईआरएस [आंतरिक राजस्व सेवा] जांच ऐसी चीज नहीं है जो आप के खिलाफ उच्च स्तर की सुरक्षा चाहते हैं हाफमैन ने कहा, "परिष्कृत हमलावर, मुझे नहीं पता कि क्या है, व्हाइट हाउस ड्रग काज़र कार्यालय में रणनीतिक योजना के सहायक निदेशक के रूप में कार्य किया और मैरीलैंड विश्वविद्यालय में आतंकवाद और मातृभूमि सुरक्षा वर्गों को सिखाता है। "सार्वजनिक और निजी क्षेत्र के सीआईओ, सीआईएसओ और अन्य दोनों के साथ मेरी सभी बातचीत में, वे क्या कह रहे हैं कि वे देख रहे हैं … परिष्कृत हैकर।"

एनआईएसटी सिफारिशों के लिए निम्न और मध्यम प्रभाव वाली प्रणालियों की आवश्यकता होती है सीएसआई की रिपोर्ट में कहा गया है कि केवल अत्याधुनिक खतरे के खिलाफ सुरक्षित है, या "बेवकूफ किशोरी वैनिटी हैकर हैकिंग दूर बेसमेंट में है।"

लेकिन एनआईएसटी के एक वरिष्ठ कंप्यूटर वैज्ञानिक और सूचना सुरक्षा शोधकर्ता रॉन रॉस ने कहा कि सीएसआई की आलोचनाएं आधारित हैं एनआईएसटी दिशानिर्देशों की गलतफहमी पर। सबसे पहले, एनआईएसटी दिशानिर्देश न्यूनतम मानदंड हैं, और व्यक्तिगत एजेंसियों को जोखिम मूल्यांकन करना चाहिए और उनकी जरूरतों के लिए दिशानिर्देश तैयार करना चाहिए।

संघीय एजेंसियों को अपने सिस्टम को वर्गीकृत करने की आवश्यकता है, और उच्च प्रभाव प्रणाली उन लोगों के लिए होगी रॉस ने कहा, "अगर वे खो गए हैं तो" गंभीर, विनाशकारी प्रभाव "है। उन्होंने कहा, "उन बेसलाइन [एनआईएसटी सिफारिशों में] एजेंसियों के लिए न्यूनतम शुरुआती बिंदु हैं।" "निहितार्थ यह नहीं होना चाहिए कि हम कुछ प्रकार के हमलों के खिलाफ नियंत्रण का एक पर्याप्त सेट है जिसे हम देख रहे हैं।"

अमेरिकी प्रतिद्वंद्वियों द्वारा लक्षित कुछ एजेंसियों को अपने कंप्यूटर सिस्टम की सुरक्षा के लिए अतिरिक्त कदम उठाने होंगे, रॉस ने कहा।

कुछ जोखिम है कि एजेंसियां ​​केवल न्यूनतम काम करती हैं, रॉस ने कहा। लेकिन उन्होंने नए एनआईएसटी दिशानिर्देशों को "सबसे व्यापक, सबसे अमीर, और नियंत्रण का सबसे गहरा सेट … दुनिया में कहीं भी कहा।" रॉस ने कहा कि अमेरिकी रक्षा विभाग और खुफिया एजेंसियों ने दिशानिर्देशों के इस सेट पर एनआईएसटी के साथ काम किया।

यदि एनआईएसटी सीएसआई की सिफारिशों का पालन करना था, तो प्रत्येक संघीय सूचना प्रणाली के लिए दिशानिर्देशों में हर सुरक्षा नियंत्रण की सिफारिश की जाएगी। "जाहिर है, यह बेहद महंगा होगा, और हमारे पास कई प्रणालियों के लिए अधिक होगा," उन्होंने कहा। रॉस ने कहा, "हर प्रणाली जिसे आप एक सिस्टम में डालते हैं … एजेंसी के पैसे खर्च करने जा रहा है।"

इसके अलावा, दिशानिर्देश विकसित हो रहे हैं, रॉस ने कहा। प्रबंधन और बजट के व्हाइट हाउस कार्यालय ने एनआईएसटी साइबर सुरक्षा दिशानिर्देशों के इस तीसरे संस्करण का अनुपालन करने के लिए एजेंसियों के लिए समयरेखा स्थापित की है, एनआईएसटी सिफारिशों को परिशोधित करना जारी रखेगी।

हाउसमैन ने स्वीकार किया कि संघीय एजेंसियों के लिए बजट एक बड़ा मुद्दा है। और भले ही उन्होंने कहा कि एनआईएसटी सिफारिशें काफी दूर नहीं जाती हैं, उन्होंने पिछले प्रयासों से उन्हें "बड़ा कदम आगे" कहा।

हालांकि, अमेरिकी राष्ट्रपति बराक ओबामा ने मई के आखिर में भाषण दिया, साइबर सुरक्षा स्थिति, हौसमैन ने कहा।

"यह एक तरह का स्टेटस-क्वा प्लस है, जिसे मैं हैक और पैच कहता हूं।" "हम संतुष्ट हो गए हैं। हम इस तथ्य को स्वीकार करते हैं कि हैक होने जा रहे हैं, और वे सफल होने जा रहे हैं, और हमें उन्हें पैच करना होगा।"