DHS needs power to compel agencies to fix security holes
By Jill R. Aitoro 06/16/2010
Theo: http://www.nextgov.com/nextgov/ng_20100616_1933.php
Bài được đưa lên Internet ngày: 16/06/2010
Lời người dịch: Người có trách nhiệm về kinh phí là không phải là người có trách nhiệm đưa ra những chỉ dẫn về an ninh không gian mạng trong chính phủ Mỹ hiện nay. Đó là hiện trạng giải quyết vấn đề an ninh không gian mạng giữa các bộ của chính phủ Mỹ hiện nay.
Bộ An ninh Quốc nội Mỹ không có sức mạnh để thúc ép các cơ quan sửa các chỗ bị tổn thương về an ninh được biết trong các hệ thống máy tính của họ, một vấn đề mà làm cho chúng dễ bị tổn thương đối với các cuộc tấn công không gian mạng, các đại diện từ các nhóm giám sát bên trong và bên ngoài bộ này nói hôm thứ tư.
Đội Phản ứng nhanh các sự cố máy tính Mỹ (US CERT) tại DHS, được thành lập năm 2003 để điều phối những nỗ lực bảo vệ chống lại các cuộc tấn công không gian mạng, đã có tiến bộ trong việc phát triển những khả năng dò tìm những sự cố không gian mạng trong các hệ thống mạng của toàn bộ chính phủ. Nhưng đội này “không có thẩm quyền đủ mạnh để đảm bảo rằng các cơ quan tuân thủ với những chỉ dẫn làm giảm lo lắng các mối đe dọa và các chỗ bị tổn thương” , Richard Skinner, nhà lãnh đạo điều tra tại DHS, đã nói trong sự thừa nhận của mình trước Ủy ban An ninh Quốc nội.
Gregory Wilshusen, giám đốc các vấn đề an ninh thông tin tại Văn phòng Kiểm toán Chính phủ (GAO), đã tham chiếu tới sự thừa nhận trong một báo cáo gần đây của GAO rằng đã thấy một hệ thống dò tìm thâm nhập trái phép được quản lý bởi US CERT mà nó giám sát giao thông mạng đối với hoạt động độc hại tiềm tàng, gọi là Einstein 2, đã được triển khai chỉ cho 6 cơ quan liên bang cho tới tháng 09/2009. Xác định liệu Einstein có giúp được các quan chức chính phủ dò tìm và đáp trả các cuộc tấn công hay không vẫn còn là khó vì DHS không có các phương tiện đo đạc cách mà các cơ quan phản ứng các cảnh báo về an ninh.
DHS nên có thẩm quyền yêu cầu các cơ quan sửa các chỗ bị tổn thương về an ninh được biết, Sinner nói. “Những gì sau đó cần phải được khắc phục là cách mà họ biết rằng cơ quan phải thúc giục tuân thủ... Nếu bạn không tuân thủ, bạn cần phải chịu trách nhiệm”.
Nhưng ngay cả bên trong các cơ quan, luật an ninh liên bang đang tồn tại làm cho khó khăn đối với các quan chức để ép các quan chức làm việc về những chỗ bị tổn thương của mạng, Wilshusen đã lưu ý. “Luật về Quản lý An ninh Thông tin của Liên bang (FISMA) chỉ nói rằng [các CIO] và các quan chức an ninh có chứng chỉ sẽ có trách nhiệm đảm bảo tuân thủ [với luật], nhưng không ép buộc phải tuân thủ. Một từ đó đã tạo nên sự khác biệt”.
The Homeland Security Department doesn't have the power to compel agencies to fix known security vulnerabilities in their computer systems, a problem that keeps them vulnerable to cyberattacks, representatives from watchdog groups inside and outside the department said on Wednesday.
The U.S. Computer Emergency Readiness Team at DHS, created in 2003 to coordinate efforts to defend against cyberattacks, has made progress in developing capabilities to detect cyber incidents in networks governmentwide. But the team "does not have the appropriate enforcement authority to ensure that agencies comply with mitigation guidance concerning threats and vulnerabilities," said Richard Skinner, inspector general at DHS, in his testimony before the House Homeland Security Committee.
Gregory Wilshusen, director of information security issues at the Government Accountability Office, referenced during testimony a recent GAO report that found an intrusion detection system managed by US-CERT that monitors network traffic for potential malicious activity, called Einstein 2, had been deployed to only six federal agencies as of September 2009. Determining whether Einstein is helping government officials detect and respond to attacks remains difficult because DHS does not have the means to measure how agencies respond to security alerts.
DHS should have the authority to require agencies to fix known security vulnerabilities, Skinner said. "What then needs to be worked out is how they exercise that authority to compel compliance. . . . If you're not compliant, you need to be held accountable."
But even within agencies, existing federal security law makes it difficult for officials to force officials to work on network vulnerabilities, Wilshusen noted. "The Federal Information Security Management Act just said that [chief information officers] and certifying security officers are responsible for ensuring compliance [with the law], but not enforcing compliance. That one word made a difference."
Một dự luật được giới thiệu tại Thượng viện vào 10/06 có thể đã tăng cường thẩm quyền của US CERT và cập nhật FISMA bằng việc yêu cầu các cơ quan phải tích cực giám sát các mạng đối với tính có thể bị tổn thương. Nó cũng chuyển việc giám sát an ninh thông tin liên bang từ Văn phòng Quản lý và Ngân sách (OMB) sang Bộ An ninh Quốc nội.
Nhưng việc trao cho DHS nhiều thẩm quyền hơn sẽ không buộc các cơ quan tuân theo được vì bộ này không kiểm soát việc cấp vốn cho an ninh không gian mạng, Stewart Baker, một đối tác với hãng luật Steptoe và Johnson LLP và cựu thứ trưởng về chính sách tại DHS, nói.
“Khó khăn với việc nói cho các cơ quan những gì phải làm vì bạn đang nói cho họ để chi tiền mf họ sẽ phải bỏ ra cho thứ gì đó nữa về an ninh máy tính”, ông nói. “Cần phải có sự hỗ trợ từ OMB để cũng nói, 'Chúng tôi có thể có tiền', hoặc 'Tôi xin lỗi, tiền bị cắt'”.
Một số thành viên của ủy ban đã đảm bảo ủng hộ dự luật của Thượng viện và hứa sẽ giới thiệu một phiên bản của Hạ viện.
A bill introduced in the Senate on June 10 would strengthen US-CERT's authority and update FISMA by requiring agencies to actively monitor networks for vulnerabilities. It also would transfer oversight of federal information security from the Office of Management and Budget to Homeland Security.
But giving DHS more authority won't drive agencies to fall in line because the department does not control cybersecurity funding, said Stewart Baker, a partner with the law firm Steptoe and Johnson LLP and former assistant secretary for policy at DHS.
"The difficulty with telling agencies what to do is that you're telling them to spend money that they were going to spend on something else on computer security," he said. "There needs to be support from OMB [to] either say, 'We can find the money,' or 'I'm sorry, take the cut.' "
A number of members of the committee pledged support for the Senate bill and vowed to introduce a House version.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.