美国政府问责局报告显示,尽管新的风险管理指南已经开始实施,但负责关键基础设施管理工作的各联邦部门一直未就安全改进效果开展量化评估;
报告称,16大关键基础设施领域中,仅3个评估了NIST关基安全改进框架的采用情况,多数表现滞后;
有联邦机构表示,持续的疫情和勒索软件攻击影响了对该工作的资源投入。
美国政府问责局(GAO)日前发布的最新报告显示,随着联邦网络安全指南在各关键基础设施部门的落地,仍有不少负责网络风险管理工作的联邦部门尚未对指南实施带来的安全改进做出衡量与评估。GAO建议相关部门抓紧推进该项工作。
《2021年国防授权法案》将2013年的一项总统行政令纳入法律,要求将16大关键基础设施领域的风险管理职责划归9个联邦机构负责管理。但政府问责局的报告显示,这些联邦机构至今仍未对16大主要关键基础设施领域中的13个采用网络安全标准情况开展全面评估。
GAO报告封面
报告称,从核反应堆到关键制造、再到医疗保健与应急服务,这9个肩负风险管理职责的联邦机构,一直没能确定美国国家标准与技术研究所(NIST)《关键基础设施网络安全改进框架》的实施情况。这套框架意在为整个行业提供全面的网络安全规划,涵盖核心安全功能与技术保障手段,希望能缓解漏洞影响并预防入侵行为。
截至目前,各负责机构只评估了这套框架在国防工业基地、政府设施及自来水/废水处理系统(3个领域)中的应用情况。
其他关键基础设施领域的框架落地现状则可谓好坏参半。
部分行业已经确定了框架的应用方式,比如能源部开始跟踪各机构内的网络安全工具包申请情况。但大多数机构仍然停滞在跟踪并评估跨部门框架实施水平的阶段。
NIST关基安全框架为自愿性质,除了与特定行业团体开展协同调查与信息共享之外,各机构其实无权从关键基础设施运营者处直接获取信息。
政府问责局在报告中还提到,国际社会的持续性危机也可能影响到各级机构的网络安全框架实施进展。
在报告中,美国卫生与人类服务部(HHS)官员指出,“COVID-19疫情防控、抵御并恢复勒索软件攻击影响等事务已经严重侵占各部门资源,也迫使管理者将注意力从框架实施转向更为迫切的现实问题。”
报告称,目前有三家联邦风险管理机构在衡量NIST框架实施方面取得了显著成功。以环境保护署为例,其下辖的地下水与饮用水办公室官员提到,在146家要求自愿接受技术评估的自来水公司之内,框架中所推荐安全控制措施的普及度提升了32%。
参考来源:https://fcw.com/security/2022/02/agencies-need-measure-improvements-critical-infrastructure-cybersecurity-report-says/362016/
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。