監(jiān)督機(jī)構(gòu)指出�����,多數(shù)聯(lián)邦機(jī)構(gòu)未能完成物聯(lián)網(wǎng)設(shè)備清點(diǎn)工作,“無法有效評估風(fēng)險”�����。
12月9日消息�����,美國國會下屬監(jiān)督機(jī)構(gòu)政府問責(zé)局(GAO)發(fā)布了一份新報告,指出一些聯(lián)邦機(jī)構(gòu)未能在法律規(guī)定的截止日期前���,完成物聯(lián)網(wǎng)網(wǎng)絡(luò)安全相關(guān)要求�。
根據(jù)2020年出臺的《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》要求��,美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)和管理與預(yù)算辦公室(OMB)需制定安全采購物聯(lián)網(wǎng)設(shè)備的相關(guān)指南�����。這些設(shè)備通常是連接到建筑�、車輛或其他基礎(chǔ)設(shè)施的聯(lián)網(wǎng)技術(shù)和設(shè)備。該法案還要求23個聯(lián)邦民事機(jī)構(gòu)實施物聯(lián)網(wǎng)網(wǎng)絡(luò)安全要求���,并由OMB建立豁免流程�����。
圖:《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》的要求
根據(jù)GAO的報告����,有3個機(jī)構(gòu)表示未能在9月30日前完成物聯(lián)網(wǎng)設(shè)備的清點(diǎn)工作���,6個機(jī)構(gòu)未提供完成清點(diǎn)工作的具體時間框架����。此外�,小企業(yè)管理局聲稱未使用任何物聯(lián)網(wǎng)設(shè)備,因此無需開展清點(diǎn)工作���。
GAO指出:“在OMB和各機(jī)構(gòu)確保滿足這些要求之前�����,這些機(jī)構(gòu)將無法有效評估風(fēng)險���,也無法制定適當(dāng)?shù)陌踩蠡虿扇∑渌徑獯胧?rdquo;
美聯(lián)邦物聯(lián)網(wǎng)威脅態(tài)勢嚴(yán)峻
GAO強(qiáng)調(diào),聯(lián)邦機(jī)構(gòu)對物聯(lián)網(wǎng)技術(shù)的應(yīng)用目的廣泛���,包括控制設(shè)備或設(shè)施的訪問權(quán)限�����,以及監(jiān)控系統(tǒng)和設(shè)備��。物聯(lián)網(wǎng)技術(shù)的廣泛使用進(jìn)一步凸顯了適當(dāng)網(wǎng)絡(luò)安全協(xié)議的重要性����,尤其是在物聯(lián)網(wǎng)面臨顯著網(wǎng)絡(luò)威脅的情況下。
司法部在2022年的報告中提到�,一個俄羅斯的僵尸網(wǎng)絡(luò)瞄準(zhǔn)了大量物聯(lián)網(wǎng)及運(yùn)營技術(shù)設(shè)備,包括路由器���、流媒體設(shè)備��、時鐘以及工業(yè)控制系統(tǒng)��。今年早些時候�����,美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局���、國家安全局及聯(lián)邦調(diào)查局聯(lián)合評估認(rèn)為,一個外國支持的網(wǎng)絡(luò)團(tuán)體已入侵了多個通信���、能源���、交通運(yùn)輸和水務(wù)組織的IT網(wǎng)絡(luò)。
GAO寫道:“這些技術(shù)面臨嚴(yán)峻的網(wǎng)絡(luò)威脅��,這可能對組織運(yùn)營與資產(chǎn)、個人隱私�、關(guān)鍵基礎(chǔ)設(shè)施乃至國家安全造成不利影響�。隨著網(wǎng)絡(luò)威脅的日益復(fù)雜化,加強(qiáng)物聯(lián)網(wǎng)與運(yùn)營技術(shù)產(chǎn)品和服務(wù)的網(wǎng)絡(luò)安全管理變得愈發(fā)緊迫��。這些威脅包括蓄意攻擊�、環(huán)境干擾以及設(shè)備故障,可能危及美國的國家和經(jīng)濟(jì)安全利益����。”
應(yīng)盡快完成清點(diǎn)工作,以便開展風(fēng)險評估
截至目前����,在23個聯(lián)邦民事機(jī)構(gòu)中,只有國務(wù)院�、財政部和核管理委員會完成了物聯(lián)網(wǎng)設(shè)備清點(diǎn)工作。10個機(jī)構(gòu)表示計劃在2024財年結(jié)束前完成清點(diǎn)�����,另有3個機(jī)構(gòu)計劃在2025財年達(dá)成清點(diǎn)要求�����。
GAO建議�����,OMB應(yīng)核實各機(jī)構(gòu)報告的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全豁免情況。6個機(jī)構(gòu)獲得了部分物聯(lián)網(wǎng)豁免����,但后續(xù)溝通顯示,其中5個機(jī)構(gòu)表示這些豁免事項不應(yīng)被報告�����。在這5個機(jī)構(gòu)中���,4個已糾正了其豁免事項�,1個取消了豁免�����。
此外�,GAO建議以下機(jī)構(gòu)應(yīng)指示其首席信息官按時完成物聯(lián)網(wǎng)設(shè)備的清點(diǎn)工作:教育部、衛(wèi)生與公眾服務(wù)部(HHS)�����、退伍軍人事務(wù)部、勞工部�����、人事管理局����、環(huán)境保護(hù)署��、總務(wù)管理局���、社會保障管理局以及美國國家航空航天局�。同時��,GAO建議HHS部長指示其首席信息官確保授予的物聯(lián)網(wǎng)豁免符合OMB的相關(guān)要求�����。
參考資料:fedscoop.com
文章來源:安全內(nèi)參
在線咨詢
在線咨詢
0371-63319761