Управление подотчетности правительства США (GAO) опубликовало всеобъемлющий отчет с подробным описанием важнейших проблем кибербезопасности, стоящих перед страной, и неотложных действий, необходимых для их решения. В отчете, озаглавленном “СЕРИЯ СЛУЧАЕВ ВЫСОКОГО РИСКА: необходимы срочные действия для решения важнейших задач кибербезопасности, стоящих перед страной”, подчеркивается рост угроз федеральным системам, критически важной инфраструктуре и конфиденциальным данным.
Ключевые выводы
В отчете GAO определены четыре основные проблемные области кибербезопасности:
- Разработка всеобъемлющей стратегии кибербезопасности и осуществление эффективного надзора
- Обеспечение безопасности федеральных систем и информации
- Защита кибербезопасности критически важной инфраструктуры
- Защита конфиденциальности и конфиденциальных данных
В рамках этих четырех задач GAO выделяет 10 важнейших действий, которые необходимы для устранения серьезных угроз кибербезопасности, стоящих перед страной.
Растущие киберугрозы
В отчете подчеркивается тревожный рост киберинцидентов: федеральные агентства сообщили о 30 659 инцидентах информационной безопасности в Группу готовности к компьютерным чрезвычайным ситуациям Министерства внутренней безопасности США в 2022 финансовом году. Эти атаки потенциально могут нанести серьезный ущерб безопасности людей, национальной безопасности, окружающей среде и экономике.
Прогресс и текущие проблемы
С 2010 года GAO вынесло 1610 рекомендаций по четырем проблемным областям кибербезопасности. Хотя федеральные агентства выполнили 1043 из этих рекомендаций, 567 остаются невыполненными по состоянию на май 2024 года. В отчете подчеркивается, что до тех пор, пока эти рекомендации не будут выполнены в полном объеме, федеральное правительство будет ограничено в своей способности обеспечивать безопасность федеральных систем, критически важной инфраструктуры и конфиденциальных данных.
Подробный анализ проблемных областей
1. Разработка всеобъемлющей стратегии кибербезопасности
Белый дом через Офис Национального директора по кибербезопасности (ONCD) предпринял важные шаги в разработке национальной стратегии кибербезопасности. Однако GAO обнаружила, что стратегия и план реализации не в полной мере включают показатели эффективности, ориентированные на конечный результат, и предполагаемые ресурсы и затраты.Рекомендации:
- ONCD должен разработать показатели эффективности и оценить ресурсы, необходимые для реализации стратегии.
2. Обеспечение безопасности федеральных систем и информации
Несмотря на прогресс в некоторых областях, многие федеральные агентства по-прежнему сталкиваются с проблемами при внедрении эффективных программ информационной безопасности. Например, в 2024 году инспекторы обнаружили, что программы информационной безопасности в 15 из 23 агентств были неэффективными.Рекомендации:
- Административно-бюджетному управлению (OMB) следует улучшить показатели оценки информационной безопасности и увязать их с целями эффективности.
3. Защита кибербезопасности критически важной инфраструктуры
Кибератаки на критически важные объекты инфраструктуры, такие как здравоохранение и энергетика, продолжаются и представляют серьезную угрозу национальной безопасности. В апреле 2024 года Белый дом опубликовал Меморандум по национальной безопасности о безопасности и отказоустойчивости критической инфраструктуры (NSM-22).Рекомендации:
- Федеральные агентства должны оценить, в какой степени их отрасли внедряют лучшие практики кибербезопасности, и оценить эффективность федеральной поддержки в снижении рисков.
4. Защита конфиденциальности и конфиденциальных данных
Недавние инциденты, такие как утечка данных AT & T в марте 2024 года, подчеркивают сохраняющиеся проблемы в защите личной информации. В отчете отмечается, что федеральные агентства ограничены в своих возможностях защищать доверенные им частные и конфиденциальные данные.Рекомендации:
- Налоговая служба (IRS) должна вести всестороннюю инвентаризацию систем, обрабатывающих или хранящих информацию о налогоплательщиках, и контролировать их для предотвращения несанкционированного доступа.
- Конгрессу следует рассмотреть вопрос о предоставлении Налоговой службе дополнительных полномочий по проверке мер безопасности данных в агентствах.
Заключение
В отчете GAO подчеркивается, что без полного выполнения его рекомендаций федеральное правительство будет ограничено в своих возможностях:
- Обеспечьте эффективный надзор за важнейшими правительственными инициативами
- Снижение рисков глобальной цепочки поставок
- Решайте задачи управления персоналом в области кибербезопасности.
- Обеспечение безопасности новых технологий
- Улучшить реализацию общегосударственных инициатив в области кибербезопасности.
- Устраните недостатки в программах информационной безопасности федерального агентства
- Повысьте эффективность федерального реагирования на киберинциденты
- Снижение рисков кибербезопасности для ключевых критически важных инфраструктурных систем.
- Защитите личные и конфиденциальные данные
Отчет призывает федеральные агентства и Конгресс к срочным действиям для решения этих важнейших проблем кибербезопасности и лучшей подготовки нации к реагированию на развивающиеся киберугрозы.
Author: admin
Related Posts
Полный отчет по G2 Fall 2024 Grid Report для Security Orchestration, Automation, and Response (SOAR)
Обзор отчета Microsoft Digital Defense Report 2024
