Kürzlich hat das United States Government Accountability Office ein Update zum Fortschritt der Executive Order 14028 zur Verbesserung der Cybersicherheit der Nation veröffentlicht.
Im Jahr 2021 identifizierte das Weiße Haus 55 Anforderungen an Führung und Aufsicht, die erfüllt werden mussten, um die Cybersicherheit in bundesstaatlichen IT-Systemen zu verbessern, wobei alle Systeme den festgelegten Standard erfüllen oder übertreffen müssen. In der Exekutivverordnung (14028) zur Verbesserung der Cybersicherheit des Landes wurden die Gründe für diese Anforderung näher erläutert. Darin heißt es, dass „die Prävention, Erkennung, Bewertung und Sanierung von Cybervorfällen höchste Priorität hat und für die nationale und wirtschaftliche Sicherheit unerlässlich ist.“
Darüber hinaus hieß es in der Exekutivanordnung, dass die Durchführung dieser Maßnahmen unerlässlich sei, da die Regierung mit gutem Beispiel vorangehen und den Privatsektor dazu anregen solle, ebenfalls das Risiko von Cybersicherheitsverstößen und -verletzungen zu verringern.
Das EO benannte die für die Umsetzung der Anforderungen zuständigen Behörden: die im Department of Homelend angesiedelte Cybersecurity and Infrastructure Security Agency (CISA), das National Institute of Standards and Technology (NIST) und das Office of Management and Budget (OMB).
Die wichtigsten Anforderungen dieses Auftrags konzentrierten sich auf Lösungen für die Cybersicherheit, darunter:
Im Update vom April 2024 wurde berichtet, dass die drei zuständigen Behörden 49 der Anforderungen erfüllt haben. Die Anforderung zur Standardisierung des Playbook für die Reaktion auf Cybersicherheitsschwachstellen und -vorfälle wurde als nicht anwendbar eingestuft. Darüber hinaus haben die Behörden die verbleibenden fünf Anforderungen teilweise erfüllt.
Von den zentralen Anforderungen ist lediglich die Modernisierung der Cybersicherheit der Regierung vollständig erfüllt. Die Bestrebungen in diesem Bereich umfassten die Implementierung oder den Beginn der Implementierung einer Zero-Trust-Architektur für Bundesbehörden, die Sicherung von Cloud-Services und die Zentralisierung des Zugriffs auf Cybersicherheits-Daten.
Weitere Initiativen umfassten die Bearbeitung unklassifizierter Daten, Fortschritte bei der Implementierung von Multi-Faktor-Authentifizierung und Verschlüsselung sowie die Entwicklung einer technischen Referenzarchitektur für die Cloud-Sicherheit Dokumentation.
In dem Update wurden die Behörden zwar für ihre Bemühungen zur Verbesserung der Cybersicherheit auf Bundesebene gelobt, in der Schlussfolgerung wurde jedoch betont, wie wichtig es ist, auch die verbleibenden Anforderungen zu erfüllen.
Die fünf verbleibenden Anforderungen sind:
Das OMB integrierte zwar teilweise eine Kostenanalyse in den jährlichen Budgetierungsprozess, lieferte jedoch keine Nachweise für Details zur Umsetzung aller Führungs- und Aufsichtsanforderungen in der Verordnung.
CISA und OMB unterstützten NIST bei der Festlegung der Kriterien und Richtlinien für die erforderlichen Softwaresicherheitsmaßnahmen der Bundesregierung. CISA, OMB und NIST erstellten außerdem eine Definition entscheidender Software und eine vorläufige Liste gängiger categories von Software, die mit dieser Definition übereinstimmen. Allerdings veröffentlichte CISA die Liste der gängigen categories bis zur Deadline im September 2023 nicht.
CISA hat keine Belege für die unternommenen Schritte zur Verbesserung der Abläufe durch Empfehlungen zur Verbesserung zukünftiger Abläufe vorgelegt. In dem Update heißt es, dieser Schritt sei entscheidend dafür, dass der Vorstand künftig seine reviews effektiv durchführen könne.
Obwohl OMB berichtete, dass sie Endpoint Detection and Response (EDR) in ihre Leitlinien für Haushaltsvorlagen und EDR in die Liste der FISMA-Metriken für das Haushaltsjahr 2023 aufgenommen haben, konnte die Behörde keinen Nachweis über diese Dokumentation erbringen. In dem Update wird die Sorge deutlich, dass die Agenturen ohne den Nachweis möglicherweise nicht genügend Mittel für EDR-Initiativen erhalten werden.
Das OMB gab den Behörden Leitlinien zur Protokollierung, beispielsweise zur Aufbewahrung und zum Log-Management. OMB konnte jedoch nicht nachweisen, dass die Behörden über genügend Ressourcen verfügten, um die Protokollierung, Protokollaufbewahrung oder Log-Management umzusetzen.
Das Update enthielt konkrete Empfehlungen für exekutive Maßnahmen für die fünf verbleibenden Anforderungen, die bis zum 31. Dezember 2024 erfüllt sein sollen.